В шпионских атаках Lazarus на атомщиков засветился новый бэкдор

В шпионских атаках Lazarus на атомщиков засветился новый бэкдор

В шпионских атаках Lazarus на атомщиков засветился новый бэкдор

В «Лаборатории Касперского» зафиксировали новую серию атак, проводимых группой Lazarus в рамках Operation DreamJob. Письма с вредоносными вложениями, якобы тестами для ИТ-специалистов, рассылаются на адреса предприятий атомной энергетики.

Эксперты полагают, что фальшивки распространяются с использованием одной из популярных платформ для поиска работы. Анализ вложенных архивов выявил многоступенчатую схему заражения с участием VNC-трояна, программы для просмотра удалённых рабочих столов Windows и легитимного инструмента VNC.

Одни вредоносные семплы содержали троянский AmazonVNC.exe, который расшифровывает и запускает загрузчик Ranid Downloader для извлечения ресурсов исполняемого файла VNC.

В других архивах скрывалась vnclang.dll — загрузчик зловреда MISTPEN. Тот, в свою очередь, загружал другие вредоносные программы, в том числе RollMid и новую модификацию LPEClient.

При разборе атак также всплыл неизвестный ранее бэкдор, которому было присвоено имя CookiePlus. Вредонос был замаскирован под легитимный плагин для текстового редактора Notepad++ и умел уходить в спящий режим.

«Способность вредоносного ПО откладывать свои действия позволяет ему избегать обнаружения в момент проникновения в систему и дольше находиться в ней, — поясняет ведущий эксперт Kaspersky GReAT Василий Бердников. — Кроме того, зловред умеет манипулировать системными процессами, что затрудняет его выявление и может привести к дальнейшему повреждению или злонамеренной эксплуатации системы».

Аналогичные шпионские атаки Lazarus аналитики отслеживают под общим названием Operation DreamJob с 2019 года. Вначале злоумышленников интересовали лишь криптовалютные компании, затем список мишеней расширился.

В уходящем году Lazarus, по данным Kaspersky, уделяла особое внимание сфере ИТ и оборонке стран Европы, Латинской Америки, Африки, а также Южной Кореи. Последние зафиксированные атаки были нацелены на атомную промышленность Бразилии.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Пенсионерка помогла задержать мошенницу, пытавшуюся забрать 1,4 млн

В Жуковском сотрудники уголовного розыска задержали 20-летнюю уроженку Ленинградской области, подозреваемую в пособничестве телефонным мошенникам. Объектом интереса для злоумышленников в этот раз выступила 76-летняя жительница города.

По данным полиции, злоумышленники действовали по знакомой схеме: сначала жертве позвонила женщина, представившаяся сотрудницей медучреждения, и предложила записаться на флюорографию. Для «оформления талона» пенсионерку попросили продиктовать номер СНИЛС.

Позже ей позвонили уже «сотрудники казначейства» и сообщили, что на основании полученных данных мошенники якобы получили доступ к её банковским счетам и собираются перевести деньги на финансирование ВСУ.

Чтобы «защитить средства», женщине предложили снять все накопления и передать «инкассатору» для проверки и декларирования.

Пенсионерка сняла 1,4 миллиона рублей, но в последний момент заподозрила неладное и обратилась в полицию. Оперативники решили провести спецоперацию и под их контролем женщина передала курьеру пакет — вместо денег внутри находился муляж. В тот момент, когда подозреваемая забирала «наличность», её задержали.

Против девушки возбуждено уголовное дело по статье «Покушение на мошенничество в особо крупном размере». Жуковский городской суд отправил её под домашний арест.

Полиция устанавливает других участников схемы и проверяет задержанную на причастность к аналогичным преступлениям.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru