Trickbot вооружился Masscan для проведения разведки в локальной сети

Trickbot вооружился Masscan для проведения разведки в локальной сети

Trickbot вооружился Masscan для проведения разведки в локальной сети

Новый модуль Trickbot использует opensource-утилиту Masscan для поиска систем с открытыми портами в локальной сети. Нововведение позволяет при горизонтальном перемещении по сети распространить инфекцию на другие машины целевой организации.

Экспертам Kryptos Logic и ранее попадались зловреды, применяющие сканеры для проведения разведки во взломанной сети, однако такая функциональность, по их словам, — достаточно редкое явление. Добавление Masscan в арсенал Trickbot стало для них неожиданностью.

Модуль masrv загружается на машину жертвы в виде DLL-библиотеки — 32- или 64-битной, в зависимости от используемой версии Windows. Параметры для Masscan он получает с командного сервера, который отыскивает перебором по вшитому списку IP-адресов.

Результаты сканирования спущенных блоков адресов masrv отправляет на C2-сервер с указанной периодичностью. Таким образом, обнаружив открытые порты для администрирования (что не редкость в корпоративных сетях), оператор Trickbot сможет отдать ему модули, способные использовать эти лазейки для дальнейшего распространения инфекции.

Судя по всему, masrv пока находится в стадии тестирования. Найденный образец — пока единственный; он был создан 4 декабря. Оба варианта DLL представляют собой отладочные сборки, что тоже подтверждает этот вывод.

После разгрома Emotet ботнет Trickbot стал считаться основной угрозой де-факто для корпоративных сетей. Правда, он сам чуть не попал в список «бывших», с трудом пережив аналогичную попытку ликвидации. Тем не менее, операторы Trickbot не теряют надежды в полной мере восстановить потенциал агрессивной бот-сети и совершенствуют своего зловреда ускоренными темпами.

DLP-система Стахановец получила сертификат ФСТЭК по 4-му уровню доверия

Компания «Стахановец» получила сертификат соответствия ФСТЭК России на свой программный комплекс для защиты данных от утечек. Речь идет о сертификате №5078 по 4-му уровню доверия. Такой уровень подтверждает, что DLP-система соответствует требованиям ФСТЭК к средствам защиты информации.

После сертификации продукт может применяться в организациях с повышенными требованиями к информационной безопасности, включая государственные информационные системы и объекты критической информационной инфраструктуры.

В компании отметили, что подготовка к сертификации заняла больше года. За это время программный комплекс проходил проверку независимыми лабораториями — оценивались как безопасность и эффективность самого продукта, так и процессы его разработки.

По словам CEO «Стахановца» Дмитрия Исаева, получение сертификата стало подтверждением того, что система может использоваться в средах, где к защите данных предъявляются строгие требования.

Сертификат ФСТЭК стал не единственным документом в портфеле компании. «Стахановец» также имеет действующую лицензию ФСТЭК на разработку и производство средств защиты конфиденциальной информации, а сам продукт включен в Единый реестр российского программного обеспечения Минцифры.

Таким образом, DLP-система получила официальный статус, необходимый для использования в более чувствительных инфраструктурах, где важны не только функции контроля утечек, но и подтвержденное соответствие регуляторным требованиям.

RSS: Новости на портале Anti-Malware.ru