➡️Интересные исследования APT и новости ИБ за неделю
👀 Интересная
разновидность ViperSoftX: распознаёт изображения на компьютере при помощи опенсорсной OCR Tesseract, отправляет атакующим всё, похожее на пароли, ключи криптокошельков и другую подобную информацию.
🥸 Новая уязвимость протокола 802.11:
SSID confusion позволяет при определённых условиях обходить VPN.
😶 Вторая часть подробного отчёта про
APT Earth Hundun. — разбор механик работы имплантов Deuterbear и Waterbear. Напомним, что целью обычно являются правительственные, технологические и исследовательские организации в АТР.
Продолжая путешествие по Азии, прикоснёмся и к китайскому инфосеку — разбору кампаний
APT-C-08 (гугл-перевод), атакующих примерно тот же круг жертв.
🔄 Анализ нового
ВПО Gomir, атакующего Linux-системы и применяемого APT Kimsuky/Springail. Имплант является развитием более старого Gobear.
🗿 А в России нашёлся загрузчик
PhantomDL, доставляющий ВПО группировки PhantomCore. Как и предполагалось, первоначальное заражение идёт через целевой фишинг и RAR/ZIP архивы, эксплуатирующие CVE-2023-38831.
Майнинг крипты на серверах по-прежнему в моде: ещё одна цепочка атак с
применением Log4shell и установкой XMrig.
⛔️ Интересные инструменты Turla:
LunarWeb ведет коммуникации с C2 при помощи невинно выглядящих https-запросов и стеганографии, а LunarMail устанавливается как дополнение к Outlook и связывается с C2 по e-mail 🐦.
🎁 Целая группа отчётов, посвященная вредоносному спаму и распространяемым через него инструментам:
- приманки в виде документов на подпись
(DocuSign)
-
RemcosRAT распространяется через вредоносный архив, эксплуатирующий легитимный бинарник GotoMeeting для запуска
- ещё RemcosRAT, но завёрнутый
в MaaS PrivateLoader.
-
Agent Tesla
-
Sugar Gh0stRAT
-
Vidar infostealer, умело замаскированный под юридические письма о нарушении авторских прав
Много атак различных коммерческих RAT на
пользователей Foxit PDF reader: в неудачно сделанных предупреждениях безопасности слишком легко кликнуть на «разрешить» и таким образом запустить ВПО с удалённого сервера.
🍏 Apple
отчиталась о том, что в 2023 году предотвратила мошеннических транзакций в App Store на $1,8 млрд. Заблокировано 374 млн. мошеннических аккаунтов. В общем, в огороженном саду довольно неспокойно.
#новости #APT
@П2Т