APT-группа SideWinder разместила в Google Play фейковый VPN для Android

Екатерина Быстрова 02 Июня 2022 - 10:45

Домашние пользователи

Малый и средний бизнес

...

Новая фишинговая кампания APT-группировки SideWinder использует фейковое VPN-приложение для Android в качестве приманки. В связке с этим софтом злоумышленники также задействуют кастомный инструмент для фильтрации жертв и более качественного таргетирования.

Киберпреступная группа SideWinder активна как минимум с 2012 года. Считается, что родом APT из Индии, а уровень подготовки и квалификация хакеров внушает уважение даже опытным исследователям.

Специалисты «Лаборатории Касперского» за последние два года отметили около тысячи кибератак, связанных с SideWinder. Среди жертв группировки встречались организации из Пакистана, Китая, Непала и Афганистана.

Злоумышленники выстраивают свои кампании за счёт довольно крупной инфраструктуры, включающей более 92 IP-адресов. Всё это используется для фишинговых рассылок, хостинга сотен доменов и поддоменов, выступающих в качестве командных центров (C2).

На новые атаки SideWinder обратили внимание специалисты компании Group-IB, отметившие, что группировка создала множество веб-сайтов, замаскированных под официальные государственные домены Пакистана:

finance.pakgov[.]net
vpn.pakgov[.]net
csd.pakgov[.]net
hajj.pakgov[.]net
nadra.pakgov[.]net
pt.pakgov[.]net
flix.pakgov[.]net
covid.pakgov[.]net

В ходе исследования эксперты выяснили, что фишинговая ссылка перенаправляет жертв на сайт securevpn.com. А в официальном магазине Android-приложений Google Play Store специалисты нашли фейковый софт “Secure VPN“, который был скопирован с NordVPN.

Пробравшись в систему жертвы, троян отправляет на командный сервер информацию об устройстве, включая геолокацию и статус аккумулятора. Помимо этого, вредонос может извлекать конфиденциальные данные на устройстве.

Следующая главная новость »

В прямом эфире подведем итоги года для рынка информационных технологий. Присоединяйтесь! »

Татьяна Никитина 29 Декабря 2025 - 20:56

Эксплойты Атаки на сайты Уязвимости сайтов Малый и средний бизнес Корпорации

Срочно патчим MongoDB: уязвимость под атакой, PoC-эксплойт в паблике

Недавно пропатченная и обнародованная уязвимость в MongoDB, грозящая кражей конфиденциальных данных, уже активно используется в атаках. Публикация PoC повысила угрозу, админам советуют как можно скорее обновить продукт.

Причиной появления проблемы CVE-2025-14847, получившей кодовое имя MongoBleed, является логическая ошибка в реализации разуплотнения данных с помощью zlib, которое к тому же происходит до аутентификации.

При получении сообщений от клиента сервер MongoDB слепо доверяет размеру данных, указанному при передаче, и в результате может вернуть содержимое неинициализированной динамической области памяти.

В итоге путем подачи множественных запросов к серверу неавторизованный злоумышленник сможет заполучить такую конфиденциальную информацию, как внутренние состояния и указатели. Взаимодействия с законным пользователем тоже не потребуется.

Уязвимости, получившей 8,7 балла по шкале CVSS, подвержены многие версии СУБД MongoDB, и поддерживаемые, и устаревшие. Угроза также актуальна для Ubuntu.

Вышедший в этом месяце патч включен в состав сборок 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 и 4.4.30. Ввиду текущих атак, а также публикации PoC-кода на GitHub пользователям рекомендуется в кратчайшие сроки произвести обновление.

При отсутствии такой возможности можно временно отключить zlib, ограничить доступ к серверу MongoDB по сети и ввести мониторинг логов на предмет аномальных неавторизованных подключений.

Сканирование интернета, проведенное в Censys, выявило более 87 тыс. потенциально уязвимых экземпляров MongoDB, с наибольшей концентрацией в США, Китае и Германии.