Биопроизводственные предприятия атакует метаморфный троян Tardigrade

Биопроизводственные предприятия атакует метаморфный троян Tardigrade

Биопроизводственные предприятия атакует метаморфный троян Tardigrade

Эксперты НКО Bioeconomy Information Sharing and Analysis Center (BIO-ISAC) предупреждает производителей вакцин о появлении новой APT-угрозы — трояна, которому было присвоено кодовое имя Tardigrade. Новоявленный зловред, обладающий функциями загрузчика и бэкдора, умеет быстро приспосабливаться к окружению и работать автономно.

В этом году Tardigrade был дважды обнаружен при разборе целевых атак в области биопроизводства — весной и в октябре. Хакеры запустили в сети шифровальщика, но, против ожидания, не настаивали на уплате выкупа, да и сама записка с требованием была выполнена довольно небрежно.

Как оказалось, авторы атак приготовили жертвам еще один «подарок» — Windows-трояна, способного загружать других вредоносов и модифицировать файлы. На первый взгляд он был схож со Smoke Loader / Dofoil, однако анализ показал, что новый зловред гораздо сложнее и предлагает больше возможностей для кастомизации.

После установки Tardigrade ищет сохраненные пароли, запускает кейлоггер, начинает выводить данные и открывает бэкдор. Новобранец также оказался метаморфным — он умеет редактировать и изменять свой код, создавая новые копии. Перекомпиляция производится после установки соединения с C2-сервером — по всей видимости, компилятор скачивается оттуда.

В результате сигнатуры Tardigrade постоянно меняются. Исследователи протестировали зловреда почти 100 раз и при каждом прогоне получали новую сборку и новый вариант коммуникаций. Это сильно затрудняет обнаружение с помощью сигнатурного анализа. Когда в BIO-ISAC только приступили к анализу, их находку детектировали лишь два антивируса на VirusTotal; к 24 ноября их число увеличилось до 47.

В тех случаях, когда C2-сервер недоступен, троян переходит на автономный режим и сам выбирает файлы для модификации, пригодные для заражения машины в сети, а также принимает решения по эскалации привилегий.

Судя по сложности кода, Tardigrade по карману только какой-нибудь APT-группе. Уже понятно, что целью атак, попавших в поле зрения экспертов, являлся как минимум шпионаж, а возможно, и саботаж в придачу.

 

Распространяется вредонос, по всей видимости, с помощью адресных рассылок. Нельзя исключить и другие возможности — зараженные USB-флешки, использование способности Tardigrade самостоятельно перемещаться в другие сети при наличии правильных межсоединений.

В качестве IoC исследователи отметили обращения к серверам AWS, GoDaddy и CDN-провайдера Akamai.

РЖД готовят продажу билетов через мессенджер МАКС

РЖД планируют уже в 2026 году запустить продажу билетов на пригородные поезда через чат-бот в МАКС на всей сети железных дорог России. Исключением станет только Московский транспортный узел — там действует отдельная система продаж.

Сейчас сервис проходит проверку в регионах. С марта 2026 года РЖД тестируют чат-бот на полигонах пригородных компаний в Новосибирской, Омской, Кемеровской областях, Алтайском и Красноярском краях. С 1 июля пилот расширили на Северо-Запад России.

В Западной Сибири через чат-бот уже оформили почти 380 тысяч билетов. В РЖД считают, что это подтверждает интерес пассажиров к новому способу покупки.

В холдинге отмечают, что перед запуском нужно проверить устойчивость сервиса, удобство интерфейса для разных категорий пассажиров и собрать обратную связь.

Проще говоря, РЖД хотят убедиться, что чат-бот не развалится под нагрузкой, не запутает пользователей и действительно будет удобен, а не превратится в очередной цифровой квест.

Если масштабирование пройдет по плану, пассажиры смогут покупать билеты на электрички прямо в МАКС без перехода в отдельные приложения или кассы. Для регионов это может стать заметным упрощением, особенно там, где пригородные поездки остаются ежедневной рутиной для тысяч людей.

Московский транспортный узел пока останется за скобками: из-за собственной системы продаж билеты через чат-бот в МАКС там запускать не планируют.

RSS: Новости на портале Anti-Malware.ru