Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Новый вид вредоносного ПО DownEx атакует правительственные учреждения Казахстана и Афганистана (http://txgate.io:443/showthread.php?t=10083)

Artifact 01-05-2025 02:09 AM

Атаки приписали российским хакерам, которые пытаются шпионить за госслужащими этих стран.
Исследователи безопасности ИБ-компании Bitdefender Labs обнаружили новую кампанию , нацеленную на правительственные учреждения в Казахстане и Афганистане. В атаках используется новый вид вредоносного ПО, получившего название DownEx. Эксперты полагают, что за атакой стоят российские правительственные хакеры.
Атака была впервые замечена в конце 2022 года, когда хакеры разослали электронные письма с документами, связанными с дипломатической деятельностью. Вложения в письмах представляли собой исполняемые файлы, маскирующиеся под документы Microsoft Word.
При запуске эти файлы извлекали два других файла: один – документ-приманка для жертвы, другой – HTA-файл со встроенным кодом VBScript. Этот код устанавливал связь с сервером управления и контроля (C2) и доставлял полезную нагрузку второго этапа. Исследователи Bitdefender не смогли получить второй этап атаки, но предположили, что он содержал скрытый модуль для установки постоянного доступа к зараженной системе.
https://www.securitylab.ru/upload/me...e72q3z3a7x.png
Документ-приманка
Кроме того, хакеры использовали несколько собственных инструментов, в том числе два инструмента на C/C++, предназначенных для перечисления всех ресурсов в сети, скрипт на Python для установления непрерывной связи с C2-сервером и получения команд от него, а также вредоносное ПО на C++ (diagsvc.exe или DownEx), которое использовалось для эксфильтрации данных.
https://www.securitylab.ru/upload/me...9yladig6er.png
Цепочка атак
Исследователи не смогли точно определить, кто стоит за этой атакой, но нашли несколько улик, указывающих на российское происхождение. Одна из них - использование взломанной версии Microsoft Office 2016, популярной в русскоязычных странах. Еще одна - использование одного и того же скрытого модуля, написанного на двух языках - такую практику ранее наблюдали у группы APT28, которая использовала свой скрытый модуль Zebrocy .
Эта атака является еще одним примером того, как кибербезопасность становится все более актуальной темой для правительств и организаций по всему миру. Вредоносное ПО DownEx представляет собой новую угрозу, которая может быть использована для шпионажа и саботажа. Исследователи Bitdefender рекомендуют быть бдительными и использовать надежные антивирусные решения для защиты своих систем от подобных атак.


All times are GMT. The time now is 08:13 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.