Российскую оборонку атакуют шпионы Dark River, вооруженные мощным бэкдором

Российскую оборонку атакуют шпионы Dark River, вооруженные мощным бэкдором

Российскую оборонку атакуют шпионы Dark River, вооруженные мощным бэкдором

Новая кибергруппа, которую в Positive Technologies назвали Dark River, тщательно выбирает своих жертв и действует точечно. Используемый ею модульный бэкдор засветился в нескольких атаках на предприятия российского оборонного комплекса.

Анализ вредоноса MataDoor показал, что разработчики не жалели ресурсов на его развитие. Хорошо проработанные архитектура и транспортная система позволяют бэкдору незаметно и долго работать в скомпрометированной инфраструктуре, облегчая шпионаж и кражу конфиденциальной информации.

Зловред умело маскируется: имена исполняемых файлов вызывают ассоциации с легитимным софтом, установленным на зараженных устройствах, некоторые семплы имеют действительную цифровую подпись. Вирусописатели также использовали различные утилиты-упаковщики, чтобы осложнить обнаружение.

«Это хорошо продуманный вредонос с глубокой индивидуальной разработкой в плане транспорта, скрытности и архитектуры, — комментирует Максим Андреев, старший специалист отдела PT по исследованию киберугроз. — Группировка не стала использовать коробочные решения, многие протоколы намеренно реализованы разработчиком самостоятельно. Большая и сложная транспортная система позволяет гибко настраивать коммуникацию с командой оператора, с сервером, чтобы оставаться скрытым и незамеченным. Это вредоносное программное обеспечение может действовать даже в логически изолированных сетях, вытаскивать и передавать данные откуда угодно».

Исследователи полагают, что внедрение MataDoor происходит через эксплойт, а приманкой служат поддельные письма с вредоносным вложением в формате DOCX. Для отработки эксплойта нужно не только открыть документ, но и включить режим редактирования — например, чтобы прояснить нечитаемый текст.

Похожие письма, нацеленные на оборонку, рассылались в России два года назад. На тот момент злоумышленники использовали эксплойт CVE-2021-40444.

Для защиты от сложных угроз вроде MataDoor эксперты рекомендуют принимать проактивные меры, используя инструменты поведенческого анализа, такие как PT Sandbox и PT NAD. Избежать заражения через почту поможет соблюдение базовых правил кибергигиены:

  • не терять бдительности, получая письма (а также сообщения в мессенджерах и социальных сетях);
  • не переходить по сомнительным ссылкам;
  • не открывать подозрительные вложения.

Для проведения рассылок злоумышленники могут использовать взломанные почтовые ящики. При получении неожиданного письма следует поискать такие свидетельства подлога, как нетипичные для переписок в компании вложения, некорректная подпись, несоответствие поднятого вопроса и уровня компетенций получателя.

В Битрикс24 добавили вход по коду из электронной почты

В облачной версии «Битрикс24» появился ещё один вариант двухфакторной аутентификации: теперь подтверждать вход можно с помощью кода, отправленного на электронную почту.

Ранее пользователям были доступны одноразовые коды из приложения-аутентификатора, пуш-уведомления и СМС.

Новый способ пригодится компаниям, где сотрудники по разным причинам не используют отдельные приложения для 2FA или не всегда могут получить сообщение на телефон.

Двухфакторная аутентификация добавляет к логину и паролю ещё один этап проверки. Даже если злоумышленник получил учётные данные через фишинговое письмо, утечку или звонок от имени «техподдержки», войти в аккаунт без дополнительного кода будет сложнее.

При этом электронная почта как второй фактор требует осторожности. Если злоумышленник уже контролирует почтовый ящик пользователя, такой способ защиты не поможет. Поэтому для наиболее важных аккаунтов надёжнее использовать приложение-аутентификатор или подтверждение на отдельном устройстве.

В ближайшее время аналогичная функция должна появиться и в коробочной версии «Битрикс24». Кроме того, компания планирует сделать двухфакторную аутентификацию обязательной для организаций на облачных тарифах «Профессиональный» и «Энтерпрайз».

RSS: Новости на портале Anti-Malware.ru