Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Группировка Scaly Wolf вернулась к атаке на машиностроение в России (http://txgate.io:443/showthread.php?t=51302672)

Artifact 08-14-2025 11:26 AM
<div id="post_message_809447">

В «Доктор Веб» рассказали о новой целевой атаке на российскую компанию из машиностроительного сектора, которая уже попадала в поле зрения киберпреступников два года назад. Судя по всему, злоумышленники не оставили попыток заполучить корпоративные секреты предприятия и вернулись с обновленным набором инструментов.<br/>
<br/>
В конце июня 2025 года специалисты компании начали расследование после того, как на одном из компьютеров предприятия антивирус стал регулярно детектировать угрозу.<br/>
<br/>
Выяснилось, что это не ложные тревоги, а признаки активной атаки. Первый взлом произошёл ещё 12 мая — на компьютере, где не был установлен Dr.Web. Оттуда вредонос распространился на другие машины.<br/>
<br/>
Киберпреступники использовали фишинговые письма с PDF-приманками и архивами, в которых исполняемые файлы были замаскированы под документы.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://dl4.joxi.net/drive/2025/08/14/0048/3474/3202450/50/2ea77ac137.jpg"/><br/>
<br/>
Ключевым элементом атаки стал загрузчик Trojan.Updatar.1, который подтягивал другие модули бэкдора. В ходе расследования специалисты обнаружили, что злоумышленники применяли обфускацию на основе списка популярных паролей <a href="https://www.anti-malware.ru/news/2022-10-21-114534/39772" target="_blank">RockYou.txt</a>, чтобы усложнить анализ кода.<br/>
<br/>
Дальше в ход пошли утилиты Meterpreter из <a href="https://www.anti-malware.ru/news/2019-08-29-111332/30598" target="_blank">Metasploit</a>, инструменты для кражи учётных данных и туннелирования трафика, а также стандартные программы для удалённого администрирования, которые часто не блокируются антивирусом по умолчанию.<br/>
<br/>
На некоторых компьютерах Dr.Web успешно блокировал попытки загрузки вредоносных компонентов, но атакующие продолжали пробовать новые варианты — вплоть до применения RemCom для отключения встроенной защиты Windows и поиска признаков наличия Dr.Web.<br/>
<br/>
По <a href="https://news.drweb.ru/show/?i=15046&amp;c=5" target="_blank">данным </a>«Доктор Веб», за атакой стоит<a href="https://www.anti-malware.ru/news/2024-01-31-111332/42713" target="_blank"> группировка Scaly Wolf</a>, уже знакомая <a href="https://www.anti-malware.ru/news/2024-04-23-114534/43230" target="_blank">по прошлой кампании</a> против этого же предприятия. На этот раз она отказалась от троянов по модели MaaS, но активно использовала собственный модульный бэкдор, утилиты с открытым исходным кодом и поддельные системные уведомления для введения пользователей в заблуждение.<br/>
<br/>
Эксперты напоминают: даже установленный антивирус — не панацея. Настройки защиты нужно адаптировать под корпоративную среду, регулярно обновлять системы и приложения, а также уделять внимание выявлению и блокировке нестандартных инструментов администрирования, которые могут использоваться в атаках.<br/>
<br/>
<a href="https://www.anti-malware.ru/news/2025-08-13-111332/46984" target="_blank">@ Anti-Malware </a>
</div>


All times are GMT. The time now is 08:45 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.