В системах российской госструктуры найден шпионский имплант DFKRAT

В системах российской госструктуры найден шпионский имплант DFKRAT

В системах российской госструктуры найден шпионский имплант DFKRAT

В ходе комплексного анализа инфраструктуры одного из клиентов – российского органа исполнительной власти эксперты ГК «Солар» обнаружили несколько семплов ранее неизвестной шпионской программы.

Вредонос оказался самобытным и многоступенчатым; на финальном этапе в систему внедрялся имплант, которому было присвоено имя DFKRAT. Его присутствие открывает широкие возможности для манипуляций.

Основными функциями DFKRAT являются эксфильтрация файлов, обеспечение интерактивного шелла и загрузка дополнительных зловредов. В качестве C2 используются взломанные серверы, расположенные в разных странах.

Расширенное исследование выявило и другие образцы новоявленного шпиона, самые ранние датировались 2021 годом. Развитие инструмента шло в сторону усложнения; новейшие экземпляры используют технику DLL Side-Loading, злоумышленники также отказались от поэтапной передачи команд с C2 — для большей скрытности.

«Нам удалось найти и проанализировать фрагмент кода управляющего сервера, — рассказывает начальник отдела анализа угроз Solar 4RAYS Алексей Фирш. —  Файл был загружен на один публичный сервис под именем config.jsp с IP-адреса Саудовской Аравии. Анализ сетевой инфраструктуры показал, что, вероятно, это была промежуточная жертва, сервер которой скомпрометировали для размещения управляющего центра. В актуальной версии импланта для координации его работы использовался взломанный компонент сервера Института нанонауки и нанотехнологий Национального центра научных исследований “Демокрит” в Греции».

Современный вектор заражения установить не удалось; ранее для доставки зловреда использовались фишинговые письма (на не очень правильном русском языке) и программа-загрузчик. Связь с какой-либо известной кибергруппой не прослеживается, поэтому операции по внедрению DFKRAT были условно наречены NGC2180.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Школьницу обвинили в дропперстве и могут посадить на 3 года

В Красноярском крае возбуждено первое уголовное дело о дропперстве (соответствующий закон вступил в силу 5 июля). Обвинения в неправомерном обороте средств платежей выдвинуты против 16-летней школьницы из г. Назарово.

В поисках подработки девушка откликнулась на объявление в соцсети и согласилась за процент переводить по указанным реквизитам деньги, которые будут скидывать на ее банковскую карту. За несколько дней новоявленный дроп разбогатела таким образом на 1600 рублей.

Расследование было запущено по жалобе местной жительницы на кражу денег со счета. Как выяснилось, мошенники вывели их, используя данные карты школьницы из Назарово.

Уголовное дело открыто по признакам преступления, предусмотренного ч. 4 ст. 187 УК РФ (использование своих средств платежа для проведения неправомерных операций по указке другого лица из корыстных побуждений).

Несовершеннолетней ответчице грозит до трех лет лишения свободы. У нее забрали телефон на экспертизу и взяли обязательство о явке.

Согласно ч. 1 ст.20 УК РФ, лица, которым на момент совершения преступления исполнилось 16 лет, подлежат уголовной ответственности. Исключение составляют несовершеннолетние, действовавшие в состоянии невменяемости (те, кто не осознает общественную опасность своих действий либо страдает психическим расстройством).

В 2025 году число атак на российских детей и подростков, в том числе с целью вовлечения в криминальные схемы, заметно возросло. В качестве меры противодействия банкам запретили открывать счета несовершеннолетним без письменного согласия родителей или иных представителей их интересов (ч. 4 ст. 846 и ч. 5 ст. 26 ГК РФ).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru