Госсектор Украины атакуют троянизированные инсталляторы Windows 10
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Госсектор Украины атакуют троянизированные инсталляторы Windows 10

Татьяна Никитина 16 Декабря 2022 - 15:20
...
Госсектор Украины атакуют троянизированные инсталляторы Windows 10

Специалисты Mandiant выявили вредоносную кампанию, нацеленную на кражу данных у правительственных ведомств Украины. Злоумышленники раздают с торрент-сайтов троянизированные файлы ISO, замаскированные под легитимный установщик Windows 10, и собирают с их помощью информацию, чтобы остановить или продолжить атаку.

Киберкампания, которую в Mandiant отслеживают как UNC4166, была запущена минувшим летом. Вредоносный Win10_21H2_Ukrainian_x64.iso был обнаружен на украинском торрент-трекере Toloka и в ветке форума RuTracker; в первом случае ISO-файл загрузили на сайт из-под аккаунта Isomaker, созданного 11 мая.

 

Анализ показал, что ISO-образ содержит измененные запланированные задания GatherNetworkInfo (отработка VBS-скрипта) и Consolidator (запуск wsqmcons.exe, отправляющего данные на серверы Microsoft). В обоих случаях было добавлено выполнение PowerShell-команды на загрузку с сервера, расположенного в сети Tor (для доступа к C2 используются onion-шлюзы).

Полученные команды тоже выполняются средствами PowerShell, позволяя хакерам провести первичную разведку: получить информацию о зараженной системе, листинг папок (с временными метками), данные геолокации.

В зловредный пакет ISO также включен bat-скрипт, препятствующий детектированию. Он отключает отправку телеметрии в Microsoft, блокирует автообновление Windows и проверку лицензии.

Разведданные взломщики используют для определения ценности атакованной сети. Если жертва представляет интерес, на машину закачивается дополнительная полезная нагрузка:

  • инструмент проксирования трафика Stowaway с функциями бэкдора (поддержка SSH, SOCKS5; загрузка/вывод данных, удаленный шелл, сбор базовой информации);
  • маячок Cobalt Strike;
  • вспомогательный бэкдор Sparepart — облегченный, написанный на C зловред, способный загружать задачи и выполнять их, создавая новый процесс;
  • инструменты для эксфильтрации данных (TOR Browser, HTTP-сервер Sheret).

Эксперты нашли несколько зараженных устройств в сетях украинских госструктур. Поскольку свидетельств корыстного интереса не выявлено, в Mandiant заключили, что целью атак UNC4166 является кража данных у правительства Украины.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Британским военным запретили обсуждать служебные вопросы в автомобилях
Яков Шпунт 18 Ноября 2025 - 10:15
КибервойныКибершпионажИнформационные войны Домашние пользователиГосударство
Британским военным запретили обсуждать служебные вопросы в автомобилях

Британским военнослужащим запретили обсуждать любые вопросы, связанные со службой, находясь в любом автомобиле. Соответствующие предупреждения разместили на торпедо и приборных панелях всех машин, принадлежащих армии Великобритании как в стране, так и за её пределами.

Причиной стали опасения по поводу возможного прослушивания со стороны китайских спецслужб. О новых мерах сообщил таблоид Daily Mail.

По данным издания, предупреждения появились в сотнях автомобилей, которые используются для перевозки личного состава и грузов вблизи военных баз и других объектов как на территории Британских островов, так и за рубежом.

Сообщения запрещают обсуждать служебные вопросы в салоне автомобиля, а также подчёркивают недопустимость подключения личных устройств к бортовой электросети.

Мера была введена спустя два года после того, как в одном из автомобилей, предназначенных для использования британским правительством, включая премьер-министра, выявили систему скрытого прослушивания.

Инцидент стал поводом для полного отказа от китайского ИТ- и телеком-оборудования в госсекторе Великобритании. Также под запрет попало использование китайских электромобилей в армии и на флоте.

Однако проблемы с безопасностью наблюдались не только у китайских автомобилей. Ещё на раннем этапе распространения технологий подключённых транспортных средств серьёзные уязвимости были обнаружены в автомобилях Nissan. С тех пор зафиксировано множество инцидентов с автомобилями разных производителей — европейских, американских и японских.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Российские компании всё ещё полагаются на IDS вместо NDR
Новость
Российские компании всё ещё полагаются на IDS вместо NDR
Обратные звонки стали самой популярной уловкой мошенников
Новость
Обратные звонки стали самой популярной уловкой мошенников
Произошел сбой в работе систем авиакомпании КрасАвиа
Новость
Произошел сбой в работе систем авиакомпании КрасАвиа

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.