Приходящий через Word зловред грузит с Imgur картинку с Cobalt Strike

Татьяна Никитина 29 Декабря 2020 - 09:49

...

Приходящий через Word зловред грузит с Imgur картинку с Cobalt Strike

Обнаружена новая вредоносная программа для Windows, распространяемая через целевые email-рассылки. Цепочку заражения запускает макрос, встроенный в документ Word; после активации он загружает с GitHub сценарий PowerShell, который, в свою очередь, скачивает с Imgur код Cobalt Strike, спрятанный в изображении по методу стеганографии.

Автор находки предположил, что это очередное творение APT-группы MuddyWater, она же SeedWorm и TEMP.Zagros. Эти злоумышленники тоже используют многоступенчатых скриптовых зловредов и раздают их через электронную почту.

Тестирование, проведенное в BleepingComputer, подтвердило результаты, полученные исследователем. Декодирование шелл-кода Cobalt Strike — легитимного инструмента пентестинга — показало, что злоумышленники не только прячут его в PNG-картинке, но также пытаются выдать за безобидный EICAR-файл, проверяющий статус антивируса.

На самом деле эта полезная нагрузка обеспечивает связь с C2-сервером через интерфейс WinINet (Win32 Internet Extensions). На момент публикации заметки BleepingComputer домен, в котором авторы атаки подняли свой сервер, был вне доступа.

Этот домен, как выяснил обнаруживший зловреда исследователь, был зарегистрирован в районе 20 декабря. Отдача PowerShell-скрипта с GitHub началась 24 декабря, и тогда же появились первые образцы на VirusTotal.

Легитимные сервисы GitHub и Imgur далеко не первый раз используются для хранения и маскировки вредоносного кода. Так, с GitHub совсем недавно загружал один из своих модулей самоходный бот Gitpaste-12, а Imgur в этом году отдавал картинки с кодом Mimikatz в рамках целевых атак на цепочки поставок в Японии и странах Западной Европы.

Следующая главная новость »

Кибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!

Екатерина Быстрова 09 Июня 2026 - 15:35

Домашние пользователи Корпорации Персональный VPN Анонимайзеры Системы контентной веб-фильтрации

Билайн открыл доступ к Netflix и Spotify без VPN

Похоже, идея белого VPN начала превращаться из обсуждений в реальный сервис. По информации СМИ, «Билайн» открыл своим абонентам доступ к ряду популярных зарубежных сервисов, которые официально не запрещены в России, но ранее были доступны только через VPN.

Как сообщил генеральный директор компании Сергей Анохин, с 9 июня пользователи подписки bee могут напрямую пользоваться рядом зарубежных платформ.

В список вошли Spotify, Netflix, Ticketmaster, Brawl Stars и другие сервисы. При этом возможность работает на смартфонах, а использование через модемы и стационарные роутеры может ограничиваться.

В компании прямо связали запуск сервиса с концепцией так называемых белых VPN, которая активно обсуждалась на Петербургском международном экономическом форуме.

Напомним, в начале июня Сергей Анохин рассказывал, что операторы связи совместно с властями прорабатывают механизм доступа к зарубежным ресурсам, которые не заблокированы Роскомнадзором, но сами ограничили работу для российских пользователей.

Речь шла не о создании единого списка разрешённых VPN-сервисов, а о технической возможности открыть доступ к отдельным площадкам без необходимости включать сторонние средства обхода ограничений.

Среди примеров тогда назывались Netflix, различные ИИ-сервисы и другие зарубежные платформы, которыми продолжают пользоваться российские пользователи.

Если информация подтвердится, то это может стать одним из первых практических примеров реализации концепции выборочного доступа к зарубежным ресурсам без классического VPN. Фактически оператор берёт на себя техническую часть маршрутизации трафика, избавляя пользователя от необходимости искать сторонние сервисы обхода.

Пока неизвестно, насколько широким окажется список доступных платформ и появятся ли аналогичные предложения у других операторов. Однако сама идея, ещё недавно звучавшая как экспериментальная инициатива на ПМЭФ, похоже, начала получать вполне прикладное воплощение.

Для пользователей это означает простую вещь: некоторые зарубежные сервисы могут снова заработать без лишних настроек, приложений и постоянного поиска работающего VPN.

Кибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!