Атакующие мимикрируют под BI.ZONE, скрывая SSH-бэкдоры в Windows

Атакующие мимикрируют под BI.ZONE, скрывая SSH-бэкдоры в Windows

Атакующие мимикрируют под BI.ZONE, скрывая SSH-бэкдоры в Windows

Атакующие продолжают усложнять свою маскировку, мимикрируя теперь и под бренды из мира кибербезопасности. Команда BI.ZONE DFIR рассказала о серии инцидентов, в которых группировка Feral Wolf использовала подмену доменов и имён хостов, маскируя свою активность под легитимные сервисы и привычные для администраторов действия.

По словам специалистов, за последние месяцы им несколько раз попадался один и тот же приём: злоумышленники имитировали названия известных компаний и сервисов, чтобы их инфраструктура не вызывала подозрений при беглом анализе.

В одном из расследованных кейсов атакующие использовали домен формата *.bizone.dev, который визуально очень похож на название BI.ZONE. В другом случае они пошли ещё дальше и переопределили домен *.bi.zone прямо в SSH-конфигурации Windows, подменив его на IP-адрес своей инфраструктуры.

Для этого злоумышленники внесли изменения в файл
C:\Windows\System32\config\systemprofile\.ssh\config, прописав там вредоносный хост. В результате при обращении к «знакомому» имени фактически устанавливалось соединение с сервером атакующих.

Как отмечают эксперты BI.ZONE DFIR, SSH всё чаще используется не только для доступа, но и для туннелирования трафика к инфраструктуре злоумышленников. В данном случае через SSH был создан алиас, который позволял атакующим незаметно поднимать туннели и поддерживать постоянный канал связи.

Чтобы не потерять доступ, атакующие дополнительно создали планировщик задач в Windows с именем, маскирующимся под системную — User_Feed_Synchronization-{GUID}. Такая задача выглядела как стандартный механизм синхронизации RSS-лент и не вызывала подозрений.

На деле же она регулярно запускала ssh.exe, автоматически восстанавливая соединение с инфраструктурой атакующих и обеспечивая им постоянное присутствие в системе.

С точки зрения мониторинга и реагирования такие туннели обнаружить можно. Но проблема в другом: обычные администраторы, разработчики и аналитики могут просто не обратить внимание на «знакомые» домены, имена задач и привычные системные процессы.

Как подчёркивают эксперты, ключевая ставка здесь делается на доверие и визуальное сходство. Если что-то выглядит легитимным — это ещё не значит, что таковым является.

В BI.ZONE также поделились примерами признаков, на которые стоит обратить внимание специалистам по Threat Hunting, в том числе:

  • запуск ssh.exe в Windows с нетипичными портами,
  • планировщики задач, вызывающие SSH,
  • сетевые соединения SSH не на стандартный 22-й порт.

Эксперты советуют оставаться особенно бдительными к SSH-активности на Windows-системах и регулярно проверять конфигурационные файлы, даже если на первый взгляд всё выглядит привычно.

Ваше лицо без уведомления: Instagram дал Meta AI доступ к публичным фото

Meta (признана экстремистской и запрещена в России) представила новую модель генерации изображений Muse Image и сразу встроила её в Instagram. На бумаге — весёлый инструмент для креатива, а на практике публичные профили Instagram по умолчанию стали материалом для ИИ-ремиксов.

Если у пользователя открытый профиль, другой человек может упомянуть его аккаунт в запросе к Meta AI, и система сгенерирует изображение с использованием его внешности.

Meta подаёт это как удобную функцию для приглашений, совместных креативных идей и персонализированной графики. Но звучит всё равно подозрительно: достаточно тега, и ваш публичный контент уже работает топливом для генератора.

В справочном центре Instagram говорится, что другие пользователи могут создавать ИИ-контент на основе ваших публикаций, если аккаунт публичный и настройки оставлены по умолчанию. То есть отдельного согласия на каждый такой эксперимент не требуется.

Отключить это можно, не переводя профиль в закрытый режим, но вручную. Для этого нужно зайти в настройки Instagram и найти раздел Sharing and reuse. Там можно запретить использование публичных постов для ИИ-функций Meta. Нюанс неприятный: запрет сработает только на будущие генерации. Всё, что уже успели создать на основе вашего контента, останется.

Ещё один важный момент — уведомлений не будет. Meta прямо указывает, что пользователи не получат сообщение, если кто-то создаст ИИ-изображение с использованием их постов.

В итоге Instagram получил новую игрушку для генерации картинок, а пользователи — очередную настройку, которую нужно срочно проверить. Потому что в 2026 году публичный профиль — это уже не просто витрина фотографий, а потенциальная заготовка для чужих ИИ-фантазий.

RSS: Новости на портале Anti-Malware.ru