Простой способ обойти блокировки – купи VPN через Телеграмм-бот: |
Хакеры разработали собственное вредоносное ПО на основе SapphireStealer с открытым исходным кодом.
Компания BI.ZONE предупредила об активности хакерской группировки Sapphire Werewolf, которая проводит кибератаки против российских организаций с начала марта 2024 года. За этот период злоумышленники инициировали более 300 атак, нацеленных на кражу данных в сферах образования, IT, оборонно-промышленного комплекса и аэрокосмической отрасли.
Для проникновения в корпоративные сети хакеры рассылали жертвам фишинговые письма со ссылками, созданными с помощью сервиса-сокращателя T.LY. Эти ссылки вели на вредоносные файлы, замаскированные под псевдоофициальные документы. При их открытии на зараженных компьютерах устанавливалась вредоносная программа-стилер Amethyst для кражи данных.
Для повышения достоверности атаки параллельно с загрузкой вредоносного ПО открывались отвлекающие легитимные документы, например, постановление, листовка ЦИК или указ Президента РФ. Сервис-сокращатель T.LY использовался для придания ссылкам на вредонос правдоподобного вида.
В России и ищешь VPN? Покупай через Телеграмм-бот: |
Все вредоносные файлы, использованные злоумышленниками в рамках кампании, имели схожие функциональные особенности.
После открытия жертвой вредоносного файла осуществляется создание папки %AppData%MicrosoftEdgeUpdate, после чего из ресурса Resources.MicrosoftEdgeUpdate в нее записывается файл MicrosoftEdgeUpdate.exe.
Для обеспечения персистентности в скомпрометированной системе осуществляется создание задачи в планировщике с помощью встроенной в исполняемый файл библиотеки FunnyCat.Microsoft.Win32.TaskScheduler.dll. Это легитимная библиотека, позволяющая создавать задачи в планировщике без непосредственного выполнения schtasks. Имя, описание и путь к исполняемому файлу в задаче маскируются под легитимную задачу MicrosoftEdgeUpdateTaskMachineCore. Созданная задача выполняется каждые 60 минут после запуска.
Стилер осуществлял сбор следующих файлов:
- файлы конфигурации мессенджера Telegram из %AppData%Telegram Desktoptdata;
- базы данных паролей, куки, истории браузера, популярных сайтов, сохраненных страниц и конфигурации из следующих браузеров: Chrome, Opera, Yandex, Brave, Orbitum, Atom, Kometa, Edge Chromium, Torch, Amigo, CocCoc, Comodo Dragon, Epic Privacy Browser, Elements Browser, CentBrowser, 360 Chrome, 360 Browser;
- файлы, являющиеся журналами использования PowerShell и находящиеся в %AppData%MicrosoftWindowsPowerShellPSReadLine;
- файлы конфигурации FileZilla и SSH.
Больше индикаторов компрометации, а также детальное описание тактик, техник и процедур данного кластера активности доступно на портале компании .
Кодовое слово дня — безопасность.
Узнай больше — подпишись на нас!
Надежный VPN сервис — это виртуальная частная сеть, которая обеспечивает высокую степень защиты и конфиденциальности при использовании интернета. Термин "надежный" относится к нескольким ключевым аспектам, которые делают VPN сервис безопасным и эффективным для пользователей.
Надежный VPN защищает ваши личные данные от слежки со стороны хакеров, интернет-провайдеров и государственных органов.
Использование надежного VPN помогает скрыть ваш IP-адрес и обеспечивает анонимность при серфинге в интернете.
Надежный VPN сервис — это важный инструмент для обеспечения безопасности, конфиденциальности и анонимности в интернете. Выбор надежного VPN поможет вам защитить свои данные, обойти блокировки и улучшить свой опыт онлайн-серфинга.
Добавить комментарий
Для отправки комментария вам необходимо авторизоваться.