Госсектор Украины атакуют троянизированные инсталляторы Windows 10

Госсектор Украины атакуют троянизированные инсталляторы Windows 10

Госсектор Украины атакуют троянизированные инсталляторы Windows 10

Специалисты Mandiant выявили вредоносную кампанию, нацеленную на кражу данных у правительственных ведомств Украины. Злоумышленники раздают с торрент-сайтов троянизированные файлы ISO, замаскированные под легитимный установщик Windows 10, и собирают с их помощью информацию, чтобы остановить или продолжить атаку.

Киберкампания, которую в Mandiant отслеживают как UNC4166, была запущена минувшим летом. Вредоносный Win10_21H2_Ukrainian_x64.iso был обнаружен на украинском торрент-трекере Toloka и в ветке форума RuTracker; в первом случае ISO-файл загрузили на сайт из-под аккаунта Isomaker, созданного 11 мая.

 

Анализ показал, что ISO-образ содержит измененные запланированные задания GatherNetworkInfo (отработка VBS-скрипта) и Consolidator (запуск wsqmcons.exe, отправляющего данные на серверы Microsoft). В обоих случаях было добавлено выполнение PowerShell-команды на загрузку с сервера, расположенного в сети Tor (для доступа к C2 используются onion-шлюзы).

Полученные команды тоже выполняются средствами PowerShell, позволяя хакерам провести первичную разведку: получить информацию о зараженной системе, листинг папок (с временными метками), данные геолокации.

В зловредный пакет ISO также включен bat-скрипт, препятствующий детектированию. Он отключает отправку телеметрии в Microsoft, блокирует автообновление Windows и проверку лицензии.

Разведданные взломщики используют для определения ценности атакованной сети. Если жертва представляет интерес, на машину закачивается дополнительная полезная нагрузка:

  • инструмент проксирования трафика Stowaway с функциями бэкдора (поддержка SSH, SOCKS5; загрузка/вывод данных, удаленный шелл, сбор базовой информации);
  • маячок Cobalt Strike;
  • вспомогательный бэкдор Sparepart — облегченный, написанный на C зловред, способный загружать задачи и выполнять их, создавая новый процесс;
  • инструменты для эксфильтрации данных (TOR Browser, HTTP-сервер Sheret).

Эксперты нашли несколько зараженных устройств в сетях украинских госструктур. Поскольку свидетельств корыстного интереса не выявлено, в Mandiant заключили, что целью атак UNC4166 является кража данных у правительства Украины.

Telegram не пустит сканер в личные переписки — Дуров раскритиковал ЕС

Павел Дуров резко прошёлся по Евросоюзу из-за обсуждения закона о контроле сообщений в онлайн-сервисах. Поводом стал пост о том, что в ЕС снова продвигают инициативу Chat Control, которая может разрешить сканирование сообщений, писем и фотографий пользователей для поиска запрещённого контента.

Дуров отреагировал без дипломатических кружев. По его словам, приёмы, которые раньше были типичны для банановых республик, теперь используются в ЕС для принятия законов о слежке.

Формулировка жёсткая, но посыл понятный: основателю Telegram не нравится идея, при которой частная переписка пользователей превращается в объект автоматической проверки.

В отдельном ответе Дуров также заявил, что Telegram не будет сканировать личные сообщения пользователей, какими бы бананово-республиканскими трюками ни пользовалась ЕС. Позиция мессенджера, по его словам, остаётся прежней: личная переписка не должна становиться кормом для массового мониторинга.

Ранее Европарламент вернул на рассмотрение законопроект, который связывают с инициативой Chat Control. В разных версиях обсуждалась возможность для онлайн-сервисов добровольно сканировать пользовательский контент, включая сообщения и медиафайлы, для выявления запрещённых материалов.

Критики такой идеи считают, что под лозунгом безопасности власти фактически получают механизм массовой проверки частной коммуникации. Сторонники, напротив, говорят о борьбе с незаконным контентом и защите пользователей.

Telegram в этой истории явно выбирает сторону приватности. Дуров фактически дал понять: даже если регуляторы будут закручивать гайки, превращать личные чаты в просматриваемый коридор мессенджер не собирается. Для ЕС это очередной конфликт с крупной платформой, для пользователей — напоминание, что битва за приватность в интернете снова идёт не где-то в теории, а прямо в их переписках.

RSS: Новости на портале Anti-Malware.ru