Инфостилер Raccoon начал использовать Telegram для C2-связи

Екатерина Быстрова 14 Марта 2022 - 13:05

...

Инфостилер Raccoon начал использовать Telegram для C2-связи

Операторы знаменитого вредоноса Raccoon, специализирующегося на краже информации, нашли новый канал для распространения. Также злоумышленники теперь используют Telegram для хранения и обновления адресов командного сервера (C2).

Впервые Raccoon замаячил на ландшафте киберугроз в апреле 2019 года. В новых версиях вредоносной программы авторы начали задействовать мессенджер Telegram, который помогает им хранить и поддерживать в актуальном состоянии адреса C2.

Как отметили специалисты антивирусной компании Avast, такой подход позволяет злоумышленникам обеспечить надёжное управление зловредом на лету.

Исследователи считают, что за разработкой Raccoon стоят связанные с Россией киберпреступники. Инфостилер может не только воровать пароли, но и извлекать файлы cookies, данные криптокошельков, а также логины и пароли из имейл-клиентов и мессенджеров.

«Также стоит отметить, что Raccoon может загружать и выполнять произвольные файлы, что делает его крайне опасным для конечного пользователя», — пишет Владимир Мартьянов из Avast.

Ранее операторы Raccoon распространяли его в виде файлов в формате .IMG, которые располагались в принадлежащем злоумышленникам Dropbox-аккаунте. Ссылки на эти файлы киберпреступники рассылали в рамках BEC-кампаний (business email compromise), нацеленных на финансовые организации.

Теперь, по словам Мартьянова, операторы прибегают к более креативным методам: Raccoon доставляется на устройства жертв под видом читов для игр, «кряков» для различного софта (модов для Fortnite, Valorant и NBA2K22) и т. п.

Чтобы взаимодействовать с C2 через Telegram, Raccoon использует четыре значения, жёстко заданные в коде вредоноса:

MAIN_KEY;
URL Telegram-шлюзов с именем канала;
BotID — шестнадцатеричная строка, которая отправляется C2-серверу;
TELEGRAM_KEY — ключ для расшифровки адреса C2, получаемый из Telegram.

Напомним, что летом 2021 года авторы Raccoon случайно заразили свои системы и слили данные, пока тестировали работу вредоноса.

Следующая главная новость »

Коммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!

Екатерина Быстрова 15 Апреля 2026 - 19:27

Корпорации Системы управления доступом (IdM/IAM) Компания Индид

Indeed AM 9.4 получил новые сценарии аутентификации

Компания «Индид» выпустила новую версию системы управления доступом и многофакторной аутентификации Indeed Access Manager 9.4. В релизе сделали упор на три вещи: новые сценарии входа, более гибкие настройки доступа и упрощение внедрения в уже существующую ИТ-инфраструктуру.

Одно из заметных изменений — расширение списка поддерживаемых каталогов пользователей. В новой версии добавлена работа с ALD Pro, Samba DC, РЕД АДМ и FreeIPA.

Это важно прежде всего для компаний, которые строят инфраструктуру на разных платформах и хотят обойтись без лишних доработок при интеграции системы управления доступом.

Отдельно доработали модуль Identity Provider. Теперь в нём можно настраивать политики доступа не только в целом, но и на уровне отдельных бизнес-приложений. Проще говоря, правила аутентификации можно делать более точечными, в зависимости от конкретного сервиса. Там же появился сценарий смены доменного пароля при входе — он пригодится в случаях, когда у пользователя нет прямого доступа к доменной рабочей станции.

Изменения затронули и вход в систему на рабочих местах. В модуле Linux Logon появилась поддержка многофакторной аутентификации с использованием RFID-карт и считывателя IronLogic Z-2 USB, а также работа через балансировщик нагрузки. В Windows Logon добавили кеширование учётных данных, чтобы пользователь мог войти в систему даже без подключения к сети. Плюс там тоже появилась поддержка аутентификации по RFID-картам.

Ещё один блок обновлений связан с развертыванием системы. В Indeed AM 9.4 расширили возможности мастера конфигурации: теперь через него можно устанавливать компоненты сразу на несколько физических или виртуальных серверов, причём для каждого узла формируется отдельный набор настроек. Это должно сократить объём ручной конфигурации при внедрении и обновлении.

Через тот же мастер теперь можно разворачивать и Indeed Key Server. Этот компонент используется для аутентификации с помощью пуш-уведомлений и одноразовых паролей, а его установка в новой версии вынесена в более понятный сценарий.

Наконец, в системе появился новый вариант подтверждения входа — через мессенджер eXpress. Для этого добавлен отдельный провайдер Indeed AM eXpress Provider, который позволяет использовать пуш-уведомления в мессенджере для входа в корпоративные приложения.

Коммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!