Аватар сообщества

ГРУППА ПОЗИТИВ [новости]

АКЦИИ РФ

Новости по компании Группы Позитив. Вредоносный сервис

2 262
Новости по компании Группы Позитив. Вредоносный сервис

В ходе расследования атак группировки PhaseShifters на российские компании и государственные учреждения исследователи обнаружили образец криптора, который, как выяснилось, активно использовался другими кибергруппировками, включая TA558 и Blind Eagle. Этот инструмент был предназначен для маскировки вредоносного программного обеспечения, и доступ к нему предоставлялся по подписке (CaaS). Эксперты Positive Technologies впервые обратили внимание на Crypters And Tools в 2024 году, когда расследовали атаки группировки PhaseShifters на отечественные организации. Хакеры использовали этот сервис для создания загрузчиков — специальных программ, которые тайно доставляют на компьютер жертвы вредоносное ПО. Криптор позволяет маскировать опасные файлы и затруднять их анализ с помощью специальных методов шифрования, упаковки и обфускации — намеренного усложнения кода. Изучив связанные с криптором социальные сети, исследователи выяснили, что он существует как минимум с лета 2022 года под разными названиями. Они пришли к выводу, что разработчик вредоносного инструмента, вероятнее всего, находится в Бразилии. На это указывают фрагменты кода на португальском языке, обучающие видео автора, на которых видны его IP-адреса, а также электронные письма о выводе с криптобиржи бразильских реалов и упоминание CPF — аналога индивидуального номера налогоплательщика в Бразилии. Специалист группы киберразведки TI-департамента экспертного центра безопасности Positive Technologies География атак с использованием Crypters And Tools охватывает страны Восточной Европы, Латинской Америки, Россию и США. Например, группировка Blind Eagle использовала схожие техники обфускации и вредоносное ПО в кампаниях 2023–2024 годов, нацеленных на предприятия обрабатывающей промышленности Северной Америки. Всего с момента основания сервиса в 2022 году специалисты Positive Technologies выявили около 3000 файлов, созданных с его помощью. Чтобы получить доступ к Crypters And Tools, необходимо оплатить подписку и войти в панель управления. Далее хакеру нужно указать в специальном поле URL-адрес с вредоносными файлами и настроить ряд параметров. Например, тип загрузчика, способ закрепления в системе, насколько сильно нужно обфусцировать код и под какой легитимный процесс замаскировать свою активность. Исследование рынка киберпреступности, проведенное Positive Technologies, также указывает на рост популярности среди злоумышленников готового вредоносного ПО, такого как Crypters And Tools. Для противодействия подобным угрозам организациям следует использовать современные средства анализа сетевого трафика, защиты конечных точек и обучать сотрудников распознавать попытки атак, основанные на социальной инженерии. Источник: www.group.ptsecurity.com

0 0

Другие новости категории / АКЦИИ РФ