Биопроизводственные предприятия атакует метаморфный троян Tardigrade

Биопроизводственные предприятия атакует метаморфный троян Tardigrade

Биопроизводственные предприятия атакует метаморфный троян Tardigrade

Эксперты НКО Bioeconomy Information Sharing and Analysis Center (BIO-ISAC) предупреждает производителей вакцин о появлении новой APT-угрозы — трояна, которому было присвоено кодовое имя Tardigrade. Новоявленный зловред, обладающий функциями загрузчика и бэкдора, умеет быстро приспосабливаться к окружению и работать автономно.

В этом году Tardigrade был дважды обнаружен при разборе целевых атак в области биопроизводства — весной и в октябре. Хакеры запустили в сети шифровальщика, но, против ожидания, не настаивали на уплате выкупа, да и сама записка с требованием была выполнена довольно небрежно.

Как оказалось, авторы атак приготовили жертвам еще один «подарок» — Windows-трояна, способного загружать других вредоносов и модифицировать файлы. На первый взгляд он был схож со Smoke Loader / Dofoil, однако анализ показал, что новый зловред гораздо сложнее и предлагает больше возможностей для кастомизации.

После установки Tardigrade ищет сохраненные пароли, запускает кейлоггер, начинает выводить данные и открывает бэкдор. Новобранец также оказался метаморфным — он умеет редактировать и изменять свой код, создавая новые копии. Перекомпиляция производится после установки соединения с C2-сервером — по всей видимости, компилятор скачивается оттуда.

В результате сигнатуры Tardigrade постоянно меняются. Исследователи протестировали зловреда почти 100 раз и при каждом прогоне получали новую сборку и новый вариант коммуникаций. Это сильно затрудняет обнаружение с помощью сигнатурного анализа. Когда в BIO-ISAC только приступили к анализу, их находку детектировали лишь два антивируса на VirusTotal; к 24 ноября их число увеличилось до 47.

В тех случаях, когда C2-сервер недоступен, троян переходит на автономный режим и сам выбирает файлы для модификации, пригодные для заражения машины в сети, а также принимает решения по эскалации привилегий.

Судя по сложности кода, Tardigrade по карману только какой-нибудь APT-группе. Уже понятно, что целью атак, попавших в поле зрения экспертов, являлся как минимум шпионаж, а возможно, и саботаж в придачу.

 

Распространяется вредонос, по всей видимости, с помощью адресных рассылок. Нельзя исключить и другие возможности — зараженные USB-флешки, использование способности Tardigrade самостоятельно перемещаться в другие сети при наличии правильных межсоединений.

В качестве IoC исследователи отметили обращения к серверам AWS, GoDaddy и CDN-провайдера Akamai.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

KB5062660 добавило в Windows чёрный экран смерти и автовосстановление ОС

Microsoft выпустила предварительное обновление KB5062660 для Windows 11 версии 24H2. В нём — аж 29 новых фич и изменений. Обновление пока необязательное (то есть ставить его — по желанию), и большинство нововведений будет раскатываться постепенно. Но уже можно взглянуть на кое-что интересное.

Главное — новые функции в рамках инициативы Windows Resiliency Initiative. Это программа Microsoft, направленная на то, чтобы система быстрее приходила в себя после сбоев.

Теперь в Windows 11 есть:

  • Чёрный экран смерти (Black Screen of Death) — новый вариант привычного синего экрана, который вы можете увидеть при серьёзной ошибке. Видимо, Microsoft решила, что чёрный цвет — это серьёзнее.
  • Быстрое восстановление машины (Quick Machine Recovery) — функция, которая должна помогать системе автоматически возвращаться к рабочему состоянию после фатальных сбоев. Включается через Параметры > Система > Восстановление.

Как установить обновление? Если хотите попробовать всё прямо сейчас, надо зайти в Параметры > Центр обновления Windows и нажать «Проверить наличие обновлений».

Апдейт необязательный, так что система предложит нажать «Скачать и установить». Если включена опция «Получать обновления как только они доступны», он установится сам.

Также его можно вручную скачать с сайта Microsoft Update Catalog. KB5062660 — это превью-обновление за июль. Финальная версия с этими функциями (и, возможно, ещё с парой новых) появится в августе, в рамках традиционного Patch Tuesday.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru