APT-группа SideWinder разместила в Google Play фейковый VPN для Android

Екатерина Быстрова 02 Июня 2022 - 10:45

Домашние пользователи

Малый и средний бизнес

...

Новая фишинговая кампания APT-группировки SideWinder использует фейковое VPN-приложение для Android в качестве приманки. В связке с этим софтом злоумышленники также задействуют кастомный инструмент для фильтрации жертв и более качественного таргетирования.

Киберпреступная группа SideWinder активна как минимум с 2012 года. Считается, что родом APT из Индии, а уровень подготовки и квалификация хакеров внушает уважение даже опытным исследователям.

Специалисты «Лаборатории Касперского» за последние два года отметили около тысячи кибератак, связанных с SideWinder. Среди жертв группировки встречались организации из Пакистана, Китая, Непала и Афганистана.

Злоумышленники выстраивают свои кампании за счёт довольно крупной инфраструктуры, включающей более 92 IP-адресов. Всё это используется для фишинговых рассылок, хостинга сотен доменов и поддоменов, выступающих в качестве командных центров (C2).

На новые атаки SideWinder обратили внимание специалисты компании Group-IB, отметившие, что группировка создала множество веб-сайтов, замаскированных под официальные государственные домены Пакистана:

finance.pakgov[.]net
vpn.pakgov[.]net
csd.pakgov[.]net
hajj.pakgov[.]net
nadra.pakgov[.]net
pt.pakgov[.]net
flix.pakgov[.]net
covid.pakgov[.]net

В ходе исследования эксперты выяснили, что фишинговая ссылка перенаправляет жертв на сайт securevpn.com. А в официальном магазине Android-приложений Google Play Store специалисты нашли фейковый софт “Secure VPN“, который был скопирован с NordVPN.

Пробравшись в систему жертвы, троян отправляет на командный сервер информацию об устройстве, включая геолокацию и статус аккумулятора. Помимо этого, вредонос может извлекать конфиденциальные данные на устройстве.

Следующая главная новость »

Анатомия кибератаки: как расследовать инциденты в ИБ — подробнее в эфире AM Live. Регистрируйтесь »

Екатерина Быстрова 15 Декабря 2025 - 20:58

Astra Linux Корпорации Соответствие требованиям регуляторов Orion soft

Nova Special Edition получила поддержку Astra Linux и Мос ОС

Orion soft выпустила обновлённую редакцию платформы Nova Special Edition — защищённой системы оркестрации контейнеризированных приложений, соответствующей 4-му уровню доверия ФСТЭК России. В новой версии разработчики заметно расширили функциональность и сделали акцент на совместимость с российскими операционными системами.

Теперь Nova Special Edition полноценно поддерживает актуальные сертифицированные версии Astra Linux и Мос ОС.

Причём речь идёт не просто о формальной совместимости: платформу доработали с прицелом на использование в критически важных ИТ-средах — от инфраструктуры госорганов до высоконагруженных корпоративных систем.

В обновлении появилось несколько новых возможностей. В частности, добавлена автоматическая конфигурация резервирования системных ресурсов. Также в инструменте nova-ctl реализован пул SSH-подключений с интерфейсом аренды. Это упрощает администрирование и позволяет быстрее и безопаснее выполнять массовые технические операции в инфраструктуре.

Отдельные изменения коснулись резервного копирования и безопасности. В платформе появилась валидация пользовательских CA-сертификатов, а также скорректирован механизм размещения агентов Velero, что повышает надёжность бэкапов. Кроме того, в новой версии закрыты уязвимости в ряде компонентов, включая nginx ingress controller, nginx, CoreDNS и Grafana.

Обновлённая Nova Special Edition остаётся сертифицированным решением для защищённых сред и при этом получает дополнительные инструменты для повседневной эксплуатации и администрирования. Платформа ориентирована на организации, которым важно сочетание требований регуляторов, стабильности и современных возможностей оркестрации контейнеров.

Анатомия кибератаки: как расследовать инциденты в ИБ — подробнее в эфире AM Live. Регистрируйтесь »