APT-группа Kasablanka разослала троянские письма в российские госорганы

APT-группа Kasablanka разослала троянские письма в российские госорганы

APT-группа Kasablanka разослала троянские письма в российские госорганы

Китайская ИБ-компания QiAnXin рассказала об атаках на правительственные организации России, которые она зафиксировала в конце прошлого года. Злоумышленники использовали таргетированные имейл-рассылки и вложения в формате VHDX, содержащие RAT-трояна и маскировочный документ на русском языке.

Эксперты прилежно мониторят использование файлов ISO и VHD в кибератаках. Подобные контейнеры помогают злоумышленникам обходить антивирусы и такой защитный механизм Windows, как MOTW.

Разбор недавно собранных образцов вредоносных VHD-файлов показал, что в период с сентября по декабрь 2022 года на российские госорганы проводились атаки, нацеленные на засев троянов Warzone RAT, он же Ave Maria, и Loda RAT. Уровень детектирования некоторых семплов при этом составлял 0%.

Целевая атака обычно начиналась с поддельного письма, снабженного вложением с русскоязычным именем. В качестве примеров аналитики приводят образцы фальшивок, имитирующих внутренние рассылки Россотрудничества и Министерства внешних связей Астраханской области.

 

Все вредоносные вложения, загруженные на VirusTotal из российских регионов и найденные QiAnXin, использовали формат VHDX. Среди используемых приманок были обнаружены, например, такие документы:

  • справка от 2022 года о Турецкой Республике и ситуации в стране;
  • журнальная статья 2015 года об импортозамещении и миграционной политике;
  • постановление Правительства РФ от 20 октября 2022 года, устанавливающее правила предоставления отсрочки от призыва на военную службу;
  • копия справки-обоснования к проекту Цифрового кодекса Киргизии.

Автором целевых атак в России эксперты склонны считать марокканскую APT-группу, которой в Cisco присвоили имя Kasablanka. Ранее она атаковала похожие мишени в Бангладеш, Южной Америке и США.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Вышел новый релиз защищенного дистрибутива Securonis Linux

Вышел новый релиз защищённого дистрибутива Securonis Linux 3.0. Помимо обновлений основных пакетов и устранения ошибок и уязвимостей, он включает расширенный набор инструментов, ориентированных на обеспечение конфиденциальности и безопасности данных.

Разработчики назвали изменения в этом выпуске «наиболее масштабными за всю историю проекта». В отличие от Kali Linux, предназначенного в первую очередь для специалистов по информационной безопасности, Securonis ориентирован на пользователей, уделяющих внимание защите персональных данных.

Обе системы основаны на пакетной базе Debian Testing и используют ядро версии 6.12. В Securonis 3.0 полностью отказались от окружения рабочего стола GNOME в пользу MATE. Причины этого решения не уточняются. Kali Linux также отказался от GNOME в качестве основного десктопа в 2019 году.

Оба дистрибутива доступны для использования как в live-режиме с установочного носителя, так и для установки на жёсткий диск. При этом Securonis поддерживает только архитектуру x86-64, тогда как Kali Linux можно запускать и на ARM-платформах. Также доступны образы виртуальных машин с предустановленной Kali Linux.

В состав нового релиза Securonis вошли почти два десятка специализированных инструментов. В их числе — утилиты для шифрования и безопасного удаления файлов, средства защиты сетевого трафика, компоненты для нейтрализации известных вредоносных программ, менеджер паролей и браузер с расширенными механизмами защиты от отслеживания.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru