Российских специалистов по автоматизации бизнеса атакует BrockenDoor

Российских специалистов по автоматизации бизнеса атакует BrockenDoor

Российских специалистов по автоматизации бизнеса атакует BrockenDoor

При разборе атак на российские компании, специализирующиеся на внедрении софта для автоматизации бизнеса, эксперты «Лаборатории Касперского» выявили неизвестный ранее бэкдор. Вредонос, нареченный BrockenDoor, распространяется в основном по имейл.

В рамках данной кампании засветились и другие зловреды, позволяющие получать удаленный доступ к системам и выкачивать из них конфиденциальные данные, — Remcos RAT и DarkGate.

Целевая атака, как правило, начинается с рассылки поддельных писем от имени реального разработчика продуктов для автоматизации бизнес-процессов. Специалиста по внедрению, настройке, сопровождению такого софта просят ознакомиться с ТЗ, приложенным архивным файлом.

 

В архиве может скрываться исполняемый файл. Чтобы выдать его за безвредный, злоумышленники подменяют имя и расширение по методу Right-to-Left Override (RLO).

В других случаях содержимое было богаче за счет включения двух маскировочных документов PDF. Цепочку заражения запускает третий файл, вредоносный LNK.

Проникнув в систему, новобранец BrockenDoor собирает о ней информацию (имя пользователя и компьютера, версия ОС, сетевые адаптеры, запущенные процессы, файлы на рабочем столе) и отправляет на свой сервер.

В ответ он может получить одну из следующих команд:

  • изменить интервал опроса C2 (по умолчанию чуть более 5 секунд);
  • записать на диск и запустить полученный с C2 файл (варианты запуска: функция С/C++ system, API-функции ShellExecuteA, CreateProcessA, WinExec);
  • запустить CMD или Powershell из командной строки;
  • удалить себя из системы.

Один из найденных семплов также умел выполнять команду на загрузку и запуск клиента Tuoni — появившегося в этом году инструмента, помогающего отрабатывать навыки постэксплуатации, в том числе в ходе групповых киберучений.

«Изначально эта кампания привлекла наше внимание из-за нестандартного использования RLO, — рассказывает эксперт Kaspersky Артем Ушков. — Злоумышленники распространяли вредоносные файлы в архивах, хотя популярные архиваторы не обрабатывают символ RLO и отображают корректное название файла и расширение. Пока мы не можем отнести эти атаки к какой-то известной группе, но будем внимательно следить за развитием кампании».

Дипфейк может утяжелить приговор: в УК РФ хотят добавить новую норму

Группа сенаторов и депутатов внесла в Госдуму законопроект, который предлагает считать использование искусственного интеллекта отягчающим обстоятельством при совершении преступления. Речь прежде всего о дипфейках — поддельных видео, аудиозаписях и изображениях.

Авторы инициативы считают, что такие материалы выглядят достаточно правдоподобно, чтобы использовать их в мошенничестве, клевете и преступлениях против общественной безопасности.

Если закон примут, применение дипфейка сможет повлиять на строгость наказания.

Для этого статью 63 Уголовного кодекса предлагают дополнить новым пунктом. Отягчающим обстоятельством станет использование созданных ИИ материалов, которые приписывают человеку поступки или высказывания, которых в действительности не было.

Это уже не первая попытка ужесточить наказание за преступления с применением нейросетей. Похожий проект вносили в 2025 году, но Госдума вернула его авторам из-за несоблюдения требований Конституции и парламентского регламента.

У новой версии тоже нашлись шероховатости. В тексте говорится о воспроизведении высказываний и действий, которых человек не совершал, хотя воспроизвести то, чего не было, довольно сложно — можно лишь имитировать. Еще загадочнее выглядит формулировка «личность, сгенерированная технологиями».

Идея понятна: дипфейк в руках мошенника должен утяжелять приговор. Но законодателям еще предстоит объяснить это таким языком, чтобы потом суду не пришлось угадывать, что именно они имели в виду.

RSS: Новости на портале Anti-Malware.ru