Новая APT-группа Cloaked Shadow атакует ИТ и промышленность в России

Екатерина Быстрова 17 Июня 2025 - 11:24

Таргетированные атаки

...

Новая APT-группа Cloaked Shadow атакует ИТ и промышленность в России

Исследователи из RED Security и CICADA8 выявили новую кибергруппировку под названием Cloaked Shadow. По их данным, она нацелена на компании в сферах ИТ и промышленности, а её основная специализация — кибершпионаж.

Cloaked Shadow действует скрытно и с серьёзной подготовкой: применяет сложные техники маскировки, чтобы обходить средства защиты и долго оставаться незаметной.

Злоумышленники проникают в инфраструктуру организаций через уязвимости внешних сервисов. Для доступа внутрь они используют легитимные инструменты с открытым кодом, которые не вызывают тревоги у систем безопасности.

В системах группировка окапывается по-разному в зависимости от операционной системы: в Linux — через системные службы, в Windows — через запланированные задачи.

После этого следует этап повышения привилегий. Cloaked Shadow использует легитимные учётные записи, утилиты для дампа процесса lsass, уязвимости серии ESC и похищает базу ntds.dit, содержащую информацию обо всех учетных записях в домене.

Далее злоумышленники строят цепочки переходов через внутренние серверы, чтобы углубиться в инфраструктуру и скрыть своё присутствие. На этом этапе начинается активная эксфильтрация данных: похищаются содержимое пользовательских директорий, документы, пароли, ключи, сертификаты и другая чувствительная информация.

Чтобы оставаться незамеченными, атакующие отключают сбор логов, удаляют записи в журналах, встраивают вредоносные процессы в системные и подменяют сетевые адреса, чтобы свести к минимуму вероятность обнаружения.

Группировка использует собственный вредонос, который регулярно модифицируется и настраивается под каждую конкретную цель. Этот кастомизированный бэкдор даёт основания полагать, что атаки проводятся точечно и адресно, а не массово.

Специалисты подчёркивают: обнаружить такие атаки можно, например, через контроль целостности систем — стоит обращать внимание на исполняемые файлы, не относящиеся к установленным пакетам. Также важно регулярно инвентаризировать ключи доступа, особенно те, что используются для SSH-подключений.

Следующая главная новость »

Анатомия кибератаки: как расследовать инциденты в ИБ — подробнее в эфире AM Live. Регистрируйтесь »

Екатерина Быстрова 16 Декабря 2025 - 10:11

Android Потенциально опасные программы Домашние пользователи Корпорации

Xiaomi навяжет криптокошелёк пользователям своих смартфонов

Xiaomi без лишнего шума подписала соглашение о предустановке новых приложений на свои смартфоны. Начиная с 2026 года компания будет выпускать устройства с криптокошельком и приложением от Sei Labs. Формально — это «глобальное партнёрство по продвижению блокчейна», по факту — ещё один нежелательный софт (bloatware) на новых смартфонах.

Приложение связано с Sei — блокчейном первого уровня, заточенным под торговлю цифровыми активами.

Оно будет предустанавливаться на все новые смартфоны Xiaomi, продаваемые за пределами материкового Китая и США. А это огромный объём: Xiaomi занимает третье место на мировом рынке смартфонов после Apple и Samsung, контролируя более 13% рынка — около 160 млн устройств в год.

Само приложение позиционируется как криптокошелёк и «входная точка» в Web3. По задумке Sei, пользователи смогут отправлять переводы, работать с децентрализованными приложениями и пользоваться другими блокчейн-сервисами без установки дополнительного софта.

На этом планы не заканчиваются. Sei Labs хочет расширить сотрудничество и на розничную инфраструктуру Xiaomi. Компания рассчитывает запустить приём стейблкоинов в более чем 20 тысячах фирменных магазинов — сначала в Гонконге и ряде стран ЕС. В перспективе покупатели смогут расплачиваться за устройства Xiaomi, например, в USDC, а транзакции будут проходить через блокчейн Sei.

В официальном комментарии для CoinDesk Sei заявила, что партнёрство откроет криптовалюты для миллионов людей, особенно в регионах, где Xiaomi доминирует. Например, в Греции компания занимает почти 37% рынка смартфонов, а в Индии — около 24%.

Но если посмотреть на ситуацию глазами обычного пользователя, всё выглядит куда менее вдохновляюще. Для большинства это просто ещё одно предустановленное приложение, которое никто не просил.

Блоатвар давно остаётся болезненной темой для владельцев смартфонов Xiaomi. Несколько лет назад ситуация была особенно тяжёлой: устройства поставлялись с массой лишних приложений, которыми юзеры никогда не пользовались. Со временем компания стала действовать осторожнее и прозрачнее, но новая инициатива с криптокошельком выглядит шагом назад.

Предустанавливать криптоприложения, о которых пользователь может даже не знать и которыми не собирается пользоваться, — решение, мягко говоря, спорное. Особенно на фоне того, что далеко не все готовы видеть Web3 и блокчейн прямо «из коробки» на своём смартфоне.

Анатомия кибератаки: как расследовать инциденты в ИБ — подробнее в эфире AM Live. Регистрируйтесь »