Действующие в России шпионы Sticky Werewolf перешли на стеганографию

Действующие в России шпионы Sticky Werewolf перешли на стеганографию

Действующие в России шпионы Sticky Werewolf перешли на стеганографию

Эксперты Positive Technologies обнаружили, что шпионящая в России APT-группа Sticky Werewolf (в PT ее именуют PhaseShifters) начала применять стеганографию для сокрытия загрузки троянов. Нововведение уже засветилось в десятках успешных атак.

Поддельные письма с новым сценарием доставки полезной нагрузки рассылаются в российские госструктуры, НИИ, промышленные компании. Получателя могут попросить ознакомиться с резюме или документом на подпись.

Вложенный архив под паролем содержит файл, при открытии которого отрабатывает скрипт-загрузчик. В результате на машину жертвы из интернета скачивается вредоносный код, спрятанный в картинке или текстовом файле по методу стеганографии.

Целевым зловредом может оказаться инфостилер Rhadamanthys, DarkTrack RAT, Meta Stealer или иной зловред, пригодный для шпионажа. Примечательно, что для их сокрытия Sticky Werewolf использует практически ту же технику, что и TA558, а также UAC-0050, действующая в России, Белоруссии, Молдавии, странах Прибалтики, на Украине и в Польше.

«Мы наблюдаем высокую активность PhaseShifters с весны 2023 года и уже тогда заметили интересные детали, — рассказывает Денис Кувшинов, руководитель TI-департамента PT ESC. — Атаки группировки по техникам идентичны цепочкам атак другой группировки, UAC-0050. Более того, атаки этих группировок проходят с небольшим временным промежутком, то есть злоумышленники одинаково атакуют с разницей в несколько недель. На данный момент мы склоняемся к тому, что UAC-0050 и PhaseShifters — это одна и та же группировка».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

В iOS 18.2 и macOS Sequoia 15.2 пропатчены баги утечки памяти и RCE

Apple выпустила iOS 18.2 и macOS Sequoia 15.2, которые в первую очередь интересуют пользователей из-за ИИ-функций. Однако в этих версиях разработчики также устранили опасные уязвимости.

Согласно описанию, эти бреши могут привести к утечке памяти, выходу за пределы песочницы и даже к удаленному выполнению кода.

Проблемы затрагивали компоненты WebKit, AppleMobileFileIntegrity, Passwords и ImageIO. Кроме того, серьезную уязвимость устранили в сторонней утилите с открытым исходным кодом — libexpat, которую Apple интегрирует в свой софт.

Дыра в libexpat получила идентификатор CVE-2024-45490. В случае эксплуатации удаленный злоумышленник может вызвать аварийное завершение работы приложения и выполнить произвольный код.

С выходом iOS 18.2 Apple также закрыла два бага в AppleMobileFileIntegrity, позволяющие вредоносным приложениям обойти защитные механизмы и добраться до конфиденциальной информации.

Кроме того, внимания заслуживает патч для уязвимости в Passwords, с помощью которой атакующие могут изменить трафик, если у них них будет привилегированная позиция в сети.

А в WebKit устранили проблемы повреждения памяти и сбоев в работе при обработке вредоносного контента.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru