LightBot — новый инструмент разведки от создателей TrickBot

LightBot — новый инструмент разведки от создателей TrickBot

Авторы TrickBot создали новый облегченный инструмент, предназначенный для сбора данных о сети жертвы с целью развития атаки. В настоящее время вредоносный скрипт, который в Advanced Intel нарекли LightBot, распространяется через спам-рассылки и отдается со страниц, созданных злоумышленниками на веб-сервисе Google Документы.

Авторство LightBot было определено на основании схожести техник доставки. Новый зловред раздается с использованием тех же элементов социальной инженерии, которые ранее были замечены в кампаниях BazarLoader — программы-загрузчика с функциями бэкдора, которая унаследовала часть кода TrickBot.

Атака LightBot начинается с поддельного письма, имитирующего ответ HR или штатного юриста компании сотруднику, которого якобы собираются уволить по жалобе клиента. Фальшивка снабжена ссылками на некий документ в облаке Google; при заходе на указанную страницу получателю сообщают, что предварительный просмотр невозможен, и предлагают скачать документ на компьютер.

Нажатие встроенной ссылки влечет загрузку JavaScript-файла, замаскированного под документ Word. На самом деле его назначением является запуск вредоносного PowerShell-сценария — LightBot.

Анализ нового зловреда показал, что он способен в фоновом режиме поддерживать связь с C2-сервером, ожидая команд на загрузку других скриптов PowerShell, а также сбор и отправку информации. В ходе тестирования LightBot интересовался следующими данными:

  • имя компьютера
  • используемое оборудование
  • имя пользователя
  • версия Windows
  • список контроллеров домена Windows
  • имя основного контроллера домена
  • настройки подключения для статического IP-адреса
  • домен DNS
  • тип сетевого адаптера
  • список установленных программ

В обеспечение бесперебойной C2-связи в зараженной системе создается запланированное задание на ежедневный запуск вредоносного сценария в семь утра. Дополнительные скрипты, получаемые с сервера, помогают LightBot искать и отсылать только ту информацию, которая в данный момент интересует оператора. Это позволяет ему составить профиль жертвы и решить, стоит продолжать атаку или нет.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

К 2028 году в России будет повсеместный Wi-Fi в самолетах и поездах

К 2028 году планируют организовать связь в самолетах и поездах. 22 мая на ЦИПР РЖД и «Аэрофлот» подписали соглашение о сотрудничестве с российской космической компанией «Бюро 1440», входящей в «ИКС Холдинг».

Она создает группировку низкоорбитальных спутников, чтобы обеспечивать широкополосный доступ к Сети с глобальным покрытием.

Проект позволит увеличить скорость передачи данных в десять раз (с 100 Мбит/с до 1 Гбит/с на абонентский терминал) и существенно снизить задержку передачи данных (с 700 до 70 мс).

Министр цифрового развития, связи и массовых коммуникаций Максут Шадаев рассказал, что правительство нацелено на создание надёжной спутниковой системы коммуникации. Технологическая инфраструктура обеспечит связью отдалённые и малонаселённые места России, а также поможет развивать транспортную отрасль.

Представители «Бюро 1440» рассказали, что компания будет предоставлять широкополосный канал передачи данных до транспортного средства, в котором установят абонентский терминал проекта. Именно он будет организовывать связь со спутником. Пассажиры смогут подключаться к терминалу со своих устройств, используя Wi-Fi.

В «Бюро 1440» сообщили, что транспортные компании получат возможность автоматизировано управлять, мониторить и передавать информацию с помощью интеллектуальной транспортной системы в режиме реального времени. Подключение к спутниковой группировке позволит создать каналы связи для беспилотной техники и аварийного восстановления ресурсов.

Пока неясно, сколько будет стоить один терминал, кто оплатит расходы и займётся установкой оборудования. В РЖД и «Аэрофлоте» не прокомментировали условия будущего сотрудничества.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru