Российское машиностроение атакуют шпионы, вооруженные WhiteSnake Stealer
Главная » Новости
Мониторинг ИТ-инфраструктурыВ эфире AM Live мы обсудим, как создать работающий мониторинг в ИТ, который работает на бизнес. От базовых принципов observability до внедрения SRE-подходов и управления надежностью через SLI/SLO. Разберем какие метрики использовать для мониторинга состояния сервисов, как строить платформу мониторинга и как интегрировать ее с ITSM, CI/CD и SecOps. Цель — превратить мониторинг из простого наблюдения в инструмент управления.→ Регистрируйтесь по ссылке
Реклама. ООО «АМ Медиа», ИНН 7703628151, 16+

Российское машиностроение атакуют шпионы, вооруженные WhiteSnake Stealer

Татьяна Никитина 11 Марта 2024 - 18:53
...
Российское машиностроение атакуют шпионы, вооруженные WhiteSnake Stealer

В рамках целевой атаки на машиностроительное предприятие неизвестные злоумышленники отправляли на корпоративные адреса письма от имени СК РФ с троянским вложением. При его открытии в систему с помощью WhiteSnake внедрялся JavaScript-бэкдор.

Судя по набору инструментов (инфостилер, модульный бэкдор, программа для прослушки через микрофон), целью атаки являлся сбор информации о сотрудниках компании, ее инфраструктуре и внутренней сети. Эксперты «Доктор Веб» зафиксировали также выгрузку данных (файлов и скриншотов); авторство шпионской атаки установить не удалось.

Поддельные письма рассылались с аккаунта @mail.ru и содержали два вложения: защищенный паролем вредоносный ZIP и безобидный PDF с отсылкой к содержимому архива. Последний включал два исполняемых файла (копии Trojan.Siggen21.39882, он же WhiteSnake Stealer), два документа для отвода глаз и пароль, сдублированный в имени архива (Трeбoвaниe 19098 Cлед ком РФ от 02.10.23 ПАРОЛЬ - 123123123.zip).

 

Стилер в данном случае играл роль первой ступени заражения: по команде собирал данные о конфигурации сетей Wi-Fi и пароли на доступ, запускал прокси-сервер SSH и устанавливал зловреда второй ступени — JS.BackDoor.60.

Бэкдор оказался необычным: он использовал собственный фреймворк на JavaScript с возможностью расширения функциональности за счет добавления модулей-задач. Свой автозапуск в зараженной системе вредонос обеспечивал двумя способами — с помощью записей в реестре Windows и через модификацию найденных файлов ярлыков (за исключением Explorer.lnk или Проводник.lnk).

Во втором случае всем LNK-находкам в качестве целевого приложения назначается wscript.exe. Для запуска указываются аргументы с записанным телом бэкдора, с тем чтобы он стартовал первым, а потом уже исходная программа. В итоге с помощью JavaScript-вредоноса авторам атаки удалось украсть содержимое десятков каталогов с личными и корпоративными данными. Зафиксирован также факт создания скриншотов.

Из дополнительных инструментов слежки злоумышленники использовали BackDoor.SpyBotNET.79 — программу для прослушки через подключенный микрофон. Запись велась лишь в тех случаях, когда зловред фиксировал интенсивность звука, характерную для человеческого голоса.

В ходе атаки наблюдались также попытки внедрения загрузчика Trojan.DownLoader46.24755 — безуспешные из-за возникшей ошибки.

Следующая главная новость »
AM LiveСбои, инциденты, простои: как мониторить ИТ в 2026?
Регистрируйтесь на эфир!

«Гравитон» и РЕД СОФТ расширили партнёрство на ЦИПР-2026
Екатерина Быстрова 19 Мая 2026 - 18:59
Корпорации РЕД СОФТ
«Гравитон» и РЕД СОФТ расширили партнёрство на ЦИПР-2026

На конференции ЦИПР-2026 компания «Гравитон» и РЕД СОФТ объявили о расширении стратегического партнёрства. Компании планируют глубже согласовывать работу своих продуктов и развивать совместные решения для российского рынка, прежде всего в контексте импортозамещения.

У партнёров уже есть опыт совместной работы. В 2022 году они подтвердили корректную работу РЕД ОС на персональных компьютерах «Гравитон» с материнской платой «Кама» и серверах С2000А на базе платы «Арктика».

Также был получен сертификат совместимости для серверных платформ на базе платы «Урал».

Теперь сотрудничество хотят расширить не только в технической части. В планах совместное обучение специалистов, единые подходы к сервисной поддержке и синхронизация каналов продаж.

В «Гравитоне» отмечают, что заказчикам нужен понятный маршрут построения ИТ-инфраструктуры на отечественных компонентах. В РЕД СОФТ также рассчитывают, что партнёрство позволит расширить линейку совместимых продуктов.

Для рынка это вполне ожидаемый ход: российским заказчикам всё чаще нужны не отдельные элементы, а готовые связки — серверы, рабочие станции, операционные системы, поддержка и понятная ответственность за совместимость. Именно в эту сторону и двигается новое соглашение «Гравитона» и РЕД СОФТ.

AM LiveСбои, инциденты, простои: как мониторить ИТ в 2026?
Регистрируйтесь на эфир!
Полностью отключить Telegram в России без изоляции интернета не получится
Новость
Полностью отключить Telegram в России без изоляции интернета...
13,6 млн записей: утечки в сфере образования резко выросли в феврале
Новость
13,6 млн записей: утечки в сфере образования резко выросли в...
Совет по кодификации при президенте отклонил закон об ИИ Минцифры
Новость
Совет по кодификации при президенте отклонил закон об ИИ Мин...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.