Китайский вредонос крадёт данные с физически изолированных устройств
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Китайский вредонос крадёт данные с физически изолированных устройств

Екатерина Быстрова 02 Августа 2023 - 10:17
...
Китайский вредонос крадёт данные с физически изолированных устройств

Китайские правительственные киберпреступники используют новую вредоносную программу в атаках на промышленные организации. Особенность нового вредоноса в том, что он способен красть данные с физически изолированных устройств.

Поскольку изолированные устройства (Air gap) играют ключевую роль в обеспечении безопасности важных данных, они идеально подходят для работы в промышленной и других критически важных госсферах.

Специалисты «Лаборатории Касперского» обнаружили новую вредоносную программу, которую связали с киберпреступной группировкой APT31 (другое имя — Zirconium).

По словам исследователей, злоумышленники используют как минимум 15 различных зловредов, включая их фирменный FourteenHi, в атаках на Восточную Европу.

Эта кампания Zirconium стартовала в апреле прошлого года и включала три отдельные ступени. Пейлоады начальной стадии пробирались в систему, обосновывались там и открывали операторам удалённый доступ. В их задачи также входил сбор данных, которые могут пригодиться для развития атаки.

На втором этапе APT31 сбрасывала ещё больше специально подготовленных вредоносов, заточенных под кражу информации с физически изолированных устройств. Для этого использовалась техника распространения через USB (USB propagation).

Конечная стадия атаки отмечалась отдельными зловредами, загружающими все собранные данные на командный сервер злоумышленников (C2). В Kaspersky отметили, что атакующий изолированные устройства вредонос состоит из четырёх модулей:

  1. Первый модуль изучает съёмные диски, собирает файлы, снимает скриншоты, а также устанавливает дополнительные пейлоады в систему.
  2. Второй модуль заражает съёмные диски, копируя легитимный исполняемый файл McAfee, уязвимый для перехвата DLL. Также в корневую директорию устройства копируется вредоносная библиотека (после чего скрывается с помощью атрибута «hidden»).
  3. Третий модуль выполняет скрипт для сбора данных и сохранения их в папке $RECYCLE.BIN.
  4. Последний модуль — фактически вариант первого, но действует как дроппер пейлода, кейлогера и стилера.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

MAX теперь официально работает на Astra Linux: тесты завершены
Екатерина Быстрова 25 Ноября 2025 - 15:15
Linux Astra Linux Соответствие законодательству РФ КорпорацииГосударство
MAX теперь официально работает на Astra Linux: тесты завершены

Национальный мессенджер MAX подтвердил совместимость с операционной системой Astra Linux. После завершения тестов платформа получила сертификат «Ready for Astra», который удостоверяет корректную и безопасную работу мессенджера на устройствах под управлением этой ОС, включая системы с повышенными требованиями к защите.

Совместимость означает, что пользователи Astra Linux — сотрудники госструктур, образовательных и медицинских учреждений, госкорпораций и других организаций — теперь могут без ограничений устанавливать и использовать MAX.

По данным Strategy Partners, Astra Linux в 2024 году занимает 76% российского рынка операционных систем.

Аудитория MAX в ноябре превысила 55 млн человек, а вся инфраструктура сервиса размещена в России. Приложение входит в реестр отечественного ПО.

В «Группе Астра» отмечают, что подтверждение совместимости важно для распространения российских коммуникационных решений в госсекторе и бизнесе.

В VK, где развивается проект MAX, добавляют, что сертификация упрощает внедрение мессенджера в организациях и позволяет использовать его для работы с конфиденциальными данными.

Буквально на прошлой неделе МАХ стал доступен на устройствах под управлением ОС Аврора.

Напомним, ранее МАХ оказался в центре скандала: его подозревали в слежке за пользователями, передаче данных за рубеж и использовании компонентов из недружественных стран.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Осуждённый хакер Вячеслав Tank Пенчуков раскрыл тайны кибермафии
Новость
Осуждённый хакер Вячеслав Tank Пенчуков раскрыл тайны киберм...
ShadowLeak: эксперты нашли способ красть данные через серверы ChatGPT
Новость
ShadowLeak: эксперты нашли способ красть данные через сервер...
VK Tech представила систему «Проекты VK WorkSpace» для командной работы
Новость
VK Tech представила систему «Проекты VK WorkSpace» для коман...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.