Lazarus атакует инженеров зловредными предложениями работы в Airbus и GM
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Lazarus атакует инженеров зловредными предложениями работы в Airbus и GM

Татьяна Никитина 07 Июля 2021 - 18:15
...
Lazarus атакует инженеров зловредными предложениями работы в Airbus и GM

Выявлена новая вредоносная кампания, инициатором которой предположительно является северокорейская APT-группа Lazarus. Злоумышленники рассылают поддельные письма, предлагая инженерную должность в крупной американской или европейской компании.

В AT&T Cybersecurity (ранее AlienVault) проанализировали три образца вредоносных документов Word, распространявшихся в мае и июне от имени Airbus, General Motors и германского производителя военной техники Rheinmetall. Оказалось, что все эти фальшивки содержат макрокод с зашифрованным исполняемым контентом.

Все файлы, создаваемые этим макросом, сохраняются в новой папке C:/Drivers. Расшифровка полезной нагрузки осуществляется средствами Windows — с помощью Certutil, которую вредонос копирует в ту же папку под другим именем. После извлечения содержимого все исходники удаляются из системы.

Полезная нагрузка (даунлоудер) внедряется в память запущенного процесса explorer.exe посредством использования Mavinject, еще одного легитимного инструмента Windows. Все эти меры призваны уберечь зловреда от обнаружения.

Адрес командного сервера, с которого на зараженную машину отдается целевая вредоносная программа (какая именно, определить не удалось), жестко прописан в коде загрузчика. Соответствующий домен был зарегистрирован несколько лет назад и скорее всего скомпрометирован.

Примечательно, что в ходе email-кампании злоумышленники слегка корректируют и усовершенствуют свой код — тоже, видимо, для большей скрытности. Так, в течение мая незначительно изменился порядок обмена зловреда с C2-сервером, в июне — техника инъекции и исполнения кода (вирусописатели отказались от использования Mavinject).

Новые вредоносные рассылки исследователи сочли делом рук Lazarus — в начале весны эта APT-группа распространяла похожие фальшивки от имени Boeing и BAE. В феврале она провела серию целевых email-атак на оборонные предприятия для загрузки в их сети шпиона ThreatNeedle, а перед этим пытались таким же образом украсть информацию об уязвимостях у ИБ-исследователей.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Кривой октябрьский апдейт Windows вновь пробудил BitLocker Recovery Mode
Татьяна Никитина 06 Ноября 2025 - 14:53
Windows Ошибки конфигурации программ Домашние пользователиКорпорации Microsoft
Кривой октябрьский апдейт Windows вновь пробудил BitLocker Recovery Mode

Установка последних накопительных обновлений для Windows 10 и 11 вернула прежнюю проблему. Пользователи стали жаловаться, что после перезагрузки система автоматом уходит в режим обновления BitLocker (Recovery Mode).

Речь идет об апдейтах KB5066791 и KB5066835. По словам разработчиков, затронуты лишь клиентские Windows (10 22H2, 11 24H2 и 11 25H2) на компьютерах с чипами Intel и поддержкой режима ожидания с подключением (Connected Standby).

Ранее конфликтов между Standby и BitLocker Recovery Mode, который обычно включается при смене аппаратного обеспечения или прошивки, не наблюдалось.

При появлении экрана BitLocker Recovery следует ввести соответствующий ключ для разблокировки защищенных данных. Он хранится в настройках аккаунта Microsoft, и в случае нужды его можно раздобыть со смартфона.

 

Без заветного ключа данные на дисках, прежде всего на C, будут безвозвратно потеряны. В Microsoft уже работают над устранением проблемы и пытаются откатить некоторые обновления через KIR.

К сожалению, жалобы на BitLocker и автоматическое шифрование данных на Windows-устройствах стали общим местом. Из-за осложнений, возникающих из-за дефолтно включенного защитного механизма и его конфликтов с апдейтами, пользователи стали терять доступ к важным данным едва ли не чаще, чем в результате кибератак.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Приложение Л'Этуаль выводит из строя старые iPhone
Новость
Приложение Л'Этуаль выводит из строя старые iPhone
На российском рынке появился новый межсетевой экран Ideco NGFW Novum
Новость
На российском рынке появился новый межсетевой экран Ideco NG...
Биометрия снизила уровень краж со счетов клиентов до 0,0025%
Новость
Биометрия снизила уровень краж со счетов клиентов до 0,0025%

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.