Sofacy использовала в атаках новый зловред Cannon - Proxy-Base Community - Анонимность и безопасность в интернете.
Бесплатные прокси. Количество:
Прокси для пользователей форума (API). Количество:
Купить доступ к прокси-листам (API). Количество:
 



Информация по хайдам / репутации

(РЕКОМЕНДУЮ) №1 >>>DDos Атака<<|>>DDoS Service<<< ДДОС СЕРВИС<<|>>Заказать DDOS
Все инфопродукты и приватная информация бесплатно
Старый 22.11.2018, 20:10   #1 (permalink)
VPN
 
Аватар для Proxy-Base-News
 
Регистрация: 16.09.2015
Сообщений: 1,556
Member ID: 35426

Репутация: 21
Репутация: 21
Сказал(а) спасибо: 0
Поблагодарили 7 раз(а) в 7 сообщениях
Топикстартер (автор темы) По умолчанию Sofacy использовала в атаках новый зловред Cannon

Исследовательская группа Unit*42 компании Palo Alto Networks в конце октября*— начале ноября 2018*года выявила новый RAT. Троян получил название Cannon, в своих атаках его использовала известная русскоязычная APT-группировка Sofacy. Чтобы избежать обнаружения и автоматического анализа в песочнице, преступники прибегли к нераспространенному способу общения зловреда с командным сервером и выполнения команд.

Киберпреступники распространяли троян с помощью фишинговой рассылки. В качестве вложения в письмах содержались документы Microsoft Word. На сей раз в качестве темы спам-кампании злоумышленники использовали крушение Boeing*737 MAX*8 авиакомпании Lion Air. Некоторые из прикрепленных файлов назывались crash list (Lion Air Boeing*737) .docx. По словам экспертов, это первый случай, когда группировка использует в качестве приманки катастрофу.

При попытке открыть документ, Microsoft Word сразу же пытался загрузить с удаленного сервера шаблон, содержащий вредоносный макрос и полезную нагрузку*— троян Cannon. Однако если C&C-сервер недоступен, то установки не происходило и файл оставался безопасным.

Если же сервер был на связи, запускался макрос с функцией AutoClose, при которой выполнение вредоносного кода откладывалось до закрытия файла. Таким образом, если песочница завершала сеанс сканирования, когда документ был открыт, подозрительная активность оставалась незамеченной.

Главная задача Cannon*— передача преступникам информации о системе и скриншота рабочего стола, а также доставка полезной нагрузки через ответный email. По снимку экрана злоумышленники определяли, входит ли жертва в их список целей. В отличие от многих других троянов, общение с командным сервером происходило не через HTTP- или HTTPS-соединение, а по протоколам SMTPS и POP3S.

Благодаря этому в качестве удаленного центра управления выступали адреса легитимного email-сервиса. В случае Cannon*— чешского провайдера Seznam. Еще одной из особенностей работы этого RAT является выполнение команд на основе обработчиков событий и таймеров, что значительно усложняет его обнаружение.

Помимо Cannon в ходе изучения кампании исследователям встретилась и модификация уже известного трояна Zebrocy. Зловред собирал системную информацию и также отправлял злоумышленникам снимок рабочего стола жертвы.

Группировка Sofacy, так же известная как Fancy Bear, APT28, Pawn storm, Sednit и Strontium, действует с 2004*года и атакует в основном государственные, военные и информационные организации по всему миру.

Источник: https://threatpost.ru/sofacy-uses-ne...attacks/29329/
Proxy-Base-News вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Вкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Европейцев атакует новый многофункциональный зловред Proxy-Base-News Новости IT 0 16.11.2018 16:40
Свежий баг MS Word нашел применение в реальных атаках Proxy-Base-News Новости IT 0 13.11.2018 22:20
Группировка Lazarus использовала FASTCash для взлома банкоматов Proxy-Base-News Новости IT 0 10.11.2018 15:30
Группировка APT28 использовала EternalBlue для атак на отели Proxy-Base-News Новости IT 0 10.10.2017 08:00
Low Orbit Ion Cannon ruslan-z Сети LAN, Internet 10 21.08.2011 20:05




DDoS Protected




Мы в твиттере, Proxy-Base.Org Twitter

Proxy-Base Community - Анонимность и безопасность в интернете.
Наши партнеры: CRC Labs, SEO-Crack.Com, Garsuk.Com, SED Team, Skladchik.com, BSS Family

Powered by vBulletin® | Булка сделана в пекарне®
Copyright © 2000 - , Jelsoft Enterprises Ltd. Перевод: zCarot
Вся информация на сайте выложена исключительно в ознакомительных целях.