Российских специалистов по автоматизации бизнеса атакует BrockenDoor

Татьяна Никитина 02 Декабря 2024 - 18:39

Корпорации

Государство

Лаборатория Касперского

Таргетированные атаки

...

Российских специалистов по автоматизации бизнеса атакует BrockenDoor

При разборе атак на российские компании, специализирующиеся на внедрении софта для автоматизации бизнеса, эксперты «Лаборатории Касперского» выявили неизвестный ранее бэкдор. Вредонос, нареченный BrockenDoor, распространяется в основном по имейл.

В рамках данной кампании засветились и другие зловреды, позволяющие получать удаленный доступ к системам и выкачивать из них конфиденциальные данные, — Remcos RAT и DarkGate.

Целевая атака, как правило, начинается с рассылки поддельных писем от имени реального разработчика продуктов для автоматизации бизнес-процессов. Специалиста по внедрению, настройке, сопровождению такого софта просят ознакомиться с ТЗ, приложенным архивным файлом.

В архиве может скрываться исполняемый файл. Чтобы выдать его за безвредный, злоумышленники подменяют имя и расширение по методу Right-to-Left Override (RLO).

В других случаях содержимое было богаче за счет включения двух маскировочных документов PDF. Цепочку заражения запускает третий файл, вредоносный LNK.

Проникнув в систему, новобранец BrockenDoor собирает о ней информацию (имя пользователя и компьютера, версия ОС, сетевые адаптеры, запущенные процессы, файлы на рабочем столе) и отправляет на свой сервер.

В ответ он может получить одну из следующих команд:

изменить интервал опроса C2 (по умолчанию чуть более 5 секунд);
записать на диск и запустить полученный с C2 файл (варианты запуска: функция С/C++ system, API-функции ShellExecuteA, CreateProcessA, WinExec);
запустить CMD или Powershell из командной строки;
удалить себя из системы.

Один из найденных семплов также умел выполнять команду на загрузку и запуск клиента Tuoni — появившегося в этом году инструмента, помогающего отрабатывать навыки постэксплуатации, в том числе в ходе групповых киберучений.

«Изначально эта кампания привлекла наше внимание из-за нестандартного использования RLO, — рассказывает эксперт Kaspersky Артем Ушков. — Злоумышленники распространяли вредоносные файлы в архивах, хотя популярные архиваторы не обрабатывают символ RLO и отображают корректное название файла и расширение. Пока мы не можем отнести эти атаки к какой-то известной группе, но будем внимательно следить за развитием кампании».

Следующая главная новость »

В прямом эфире подведем итоги года для рынка информационных технологий. Присоединяйтесь! »

Екатерина Быстрова 24 Декабря 2025 - 16:39

Windows Домашние пользователи Корпорации Microsoft

Microsoft опровергла слухи о переписывании Windows 11 на Rust с ИИ

Microsoft пришлось срочно успокаивать интернет: Windows 11 никто не собирается переписывать на Rust с помощью ИИ — по крайней мере, в обозримом будущем. Поводом для волнений стал пост в LinkedIn от Галена Ханта, одного из ведущих инженеров Microsoft.

В изначальной версии он написал, что его цель — «устранить каждую строчку C и C++ в Microsoft к 2030 году», а сделать это планируется с помощью сочетания ИИ и алгоритмов. В качестве ориентира он обозначил почти фантастическую формулу: «один инженер, один месяц, один миллион строк кода».

Учитывая, что Windows на уровне API и ядра во многом написана на C, а многие компоненты — на C++, заявление выглядело как намёк на масштабную перестройку всей платформы. Тем более что в посте активно использовалось слово «our», что многие восприняли как позицию компании, а не личную инициативу исследовательской команды.

Реакция не заставила себя ждать — от восторга до откровенного шока. В итоге Microsoft пришлось официально вмешаться. В комментарии для Windows Latest компания заявила, что не планирует переписывать Windows 11 с использованием ИИ или переводить её на Rust. Это же подтвердил Фрэнк Шоу, руководитель коммуникаций Microsoft.

Сам Хант тоже отредактировал свой пост и отдельно пояснил, что его слова поняли слишком широко. Как отметил разработчик, речь идёт не о Windows и не о смене стратегии компании, а о исследовательском проекте. Команда Ханта разрабатывает технологии, которые в теории упростят миграцию крупных кодовых баз с одного языка на другой. Rust при этом не является «конечной точкой», а лишь одним из возможных направлений.

При этом формула «1 инженер, 1 месяц, 1 миллион строк кода» в обновлённой версии поста всё же осталась. Именно она, как и жёсткая формулировка про «устранение C и C++ к 2030 году», и создала ощущение, что речь идёт о чём-то гораздо большем, чем просто исследование.

В итоге ситуация получилась показательной: одно слишком смелое заявление от человека с громкой должностью — и интернет уже переписывает Windows 11 в голове. А Microsoft снова напоминает, что между исследовательским экспериментом и реальными продуктами дистанция всё-таки огромная.

В прямом эфире подведем итоги года для рынка информационных технологий. Присоединяйтесь! »