Шпион GravityRAT портирован на Android и macOS

Шпион GravityRAT портирован на Android и macOS

Шпион GravityRAT портирован на Android и macOS

Исследователи из «Лаборатории Касперского» обнаружили новые варианты шпионской программы GravityRAT, которые способны атаковать не только Windows, но также macOS и Android.

Названный вредонос был впервые обнаружен в 2017 году в ходе целевых атак на территории Индии. Злоумышленники связывались с намеченной жертвой в Facebook и просили для продолжения беседы установить защищенный мессенджер, а на самом деле — программу-шпион для Windows. К 2018 году индийские эксперты выявили около 100 заражений в оборонных ведомствах, полицейских подразделениях и других организациях.

Анализ, позднее проведенный в подразделении Talos компании Cisco, показал, что после запуска GravityRAT проверяет зараженный компьютер на наличие виртуальных машин и песочниц, собирает информацию о системе, загружает со своего сервера полезную нагрузку и добавляет запланированное задание, чтобы обеспечить себе постоянное присутствие.

По данным Kaspersky, целевые атаки с использованием GravityRAT проводятся как минимум с 2015 года. В прошлом году исследователи обнаружили на VirusTotal схожего шпиона, внедренного в Android-приложение Travel Mate. Имя троянизированной программы для путешественников по Индии вирусописатели изменили на Travel Mate Pro.

 

Функции Android-версии GravityRAT оказались типовыми: шпион ищет и отправляет своим хозяевам данные о зараженном устройстве, список контактов, адреса email, логи звонков и SMS. Зловред также умеет отыскивать в памяти устройства и на сменных носителях документы в форматах .jpg, .jpeg, .log, .png, .txt, .pdf, .xml, .doc, .xls, .xlsx, .ppt, .pptx, .docx и .opus.

Командный сервер, который Android-шпион использовал как хранилище краденых данных, уже засветился в других вредоносных кампаниях. Проверка его IP-адреса выявила ряд доменов, используемых для распространения новых вариантов GravityRAT, работающих под Windows, macOS и Android. Все сайты, отдающие эти вредоносные программы, размещены в CDN-сети Cloudflare, что затрудняет определение реального IP-адреса.

Проанализированные в Kaspersky образцы GravityRAT написаны на .NET, Python и фреймворке Electron. Многие из них подписаны действующими сертификатами, выданными на имя существующих компаний. Распространяются новые модификации по-прежнему — вместе с копиями легитимных приложений.

«С достаточной уверенностью можно предположить, что текущая кампания GravityRAT использует схожие методы — ссылки на вредоносные приложения злоумышленники отправляют конкретным жертвам, —  резюмируют эксперты. — Главное изменение в новой кампании GravityRAT — мультиплатформенность: наряду с Windows, появились версии под Android и macOS. Злоумышленники также стали использовать цифровые подписи, чтобы повысить легитимность приложений».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Runtime Radar: на GitHub появился код инструмента для защиты контейнеров

Компания Positive Technologies опубликовала на GitHub собственный продукт с открытым исходным кодом для мониторинга безопасности и реагирования на инциденты в контейнерных средах. Инструмент под названием Runtime Radar помогает отслеживать активность в контейнерах и выявлять подозрительные процессы, сетевые соединения и изменения прав доступа.

Как отмечают в компании, идея проекта — сделать базовый контроль над контейнерной инфраструктурой доступным даже для небольших команд, которым не подходят сложные или дорогие коммерческие системы.

Контейнерные технологии вроде Kubernetes сегодня стали стандартом для развёртывания приложений. Но вместе с ростом их популярности увеличилось и число атак, направленных на среду выполнения — например, на этапе, когда приложение уже запущено.

По словам специалистов, именно этот уровень остаётся уязвимым: большинство инструментов безопасности по-прежнему сосредоточены на стадии разработки и сборки.

Runtime Radar построен на технологиях eBPF и Tetragon, что позволяет в реальном времени анализировать события внутри контейнеров. Система поддерживает централизованное управление несколькими кластерами и интеграцию с уже существующими средствами мониторинга через syslog, SMTP и webhook.

В Positive Technologies говорят, что открытие кода Runtime Radar — часть их инициативы по развитию open-source в области кибербезопасности. Проект уже вызвал интерес у специалистов по ИТ-мониторингу и команд SOC. В будущем разработчики планируют дополнять инструмент новыми функциями.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru