Национальные проекты. Дискуссионный клуб. Кредитные рейтинги. Продажа бизнеса. Спецпроекты СПб. Проверка контрагентов. РБК Библиотека. РБК Компании. Экономика образования Феномен черного. Скрыть баннеры. Ваше местоположение? Весь мир. Санкт-Петербург и область. Вологодская область. Например, среди утилит, которые киберпреступники часто загружали на компьютеры жертв, был файл winrs.

Обвиняемую в шпионаже Цуркан освободили из-под стражи :: Общество :: РБК

Это сжатый упаковщиком UPX бинарный файл, содержащий подлинную утилиту dnsquery. MD5 распакованного файла: c0c03bebeff5fca. В нескольких случаях мы столкнулись с интересной заменой бэкдора на вредоносную программу из другого семейства, родственного данному. Расшифрованный конфигурационный блок eb6bdbcef.

Замечание: командные серверы www. Эти пакеты верхнего уровня используются для развертывания как обновленных версий бэкдоров Epic, так и бэкдоров Turla системы Carbon на компьютерах пользователей, отобранных злоумышленниками на роль жертв.


  1. Мобильный и планшетный шпион.
  2. Amazon Fire 7 Руководство пользователя планшета!
  3. Как отправить войска в атаку/шпионаж/подкрепление?.
  4. WhatsApp Chat История Android на iPhone.
  5. Потерянные мобильные места без регистрации?
  6. Чоп, WhatsApp другой номер?

Фактически, это означает, что кампании Epic и Turla составляют единое целое. По сути, система Carbon — это расширяемая платформа, очень похожая на другие платформы для проведения атак, таких как Tilded или Flame. Плагины для системы Carbon легко распознать, поскольку в них всегда есть как минимум две экспортируемые функции со следующими именами:.

Плагин системы Carbon с характерными экспортируемыми функциями. Похоже, что несколько бэкдоров Epic тоже создавались в расчете на использование в качестве плагинов для системы Carbon — для их запуска на компьютерах жертв, на которых не развернута система Carbon, необходим специализированный загрузчик. Некоторые из модулей содержат объекты, свидетельствующие о том, что в настоящее время используется версия 3. Такое же авторство имеют еще несколько модулей Turla.

Внутреннее имя, используемое бэкдором, — Zagruzchik. Есть и другие признаки, свидетельствующие о том, что английский язык — не родной для злоумышленников:. Как правило, организаторы кампании Epic используют для размещения своих прокси-серверов взломанные серверы, управление которыми осуществляется через PHP-вебшелл, защищенный паролем; проверка которого осуществляется путем сопоставления MD5-хешей:.

Project Stargate - Spies Who Could See The Future - Espionage Stories Ep#47

В феврале года мы видели, что злоумышленники, стоящие за бэкдором Miniduke , применяют на взломанных серверах тот же бэкдор, однако с гораздо более надежным паролем. Интересно, что вебшелл также использует кодовую страницу , созданную для отображения кириллических символов. Отметим, что этим связь между Turla и Miniduke не ограничивается, однако этот вопрос мы оставим для будущего постинга.

Читайте также

На некоторых из командных серверов, задействованных в атаках Epic, нам удалось обнаружить подробные статистические данные по жертвам атак, которые сохранялись злоумышленниками для целей отладки. На диаграмме ниже показаны 20 стран, наиболее пострадавших от атак, на основе данных о географическом распределении IP-адресов жертв:. Исходя из общедоступной информации об IP-адресах, можно выделить следующие категории жертв атак Epic:.

Когда компания G-Data опубликовала свой отчет по Turla, было доступно очень мало информации о том, каким образом в ходе данной вредоносной кампании происходит заражение жертв. Осуществленный нами анализ позволяет сделать вывод, что мы имеем дело со сложной, многоэтапной схемой заражения, в рамках которой компьютеры жертв сначала заражаются вредоносной программой Epic Turla.

Эта программа используется для того, чтобы закрепиться в системе и оценить, действительно ли жертва занимает высокое положение и представляет интерес для злоумышленников. Если интерес присутствует, то программа заменяется на систему Turla Carbon. Это говорит о том, что кампания по-прежнему находится в активной фазе. Generic HackTool.

Кампания Epic Turla

Ваш e-mail не будет опубликован. Save my name, email, and website in this browser for the next time I comment. Сообщите мне, когда появятся новые комментарии. В году мы обнаружили, что группировка Lazarus запустила атаки на оборонную промышленность с использованием вредоносных программ ThreatNeedle, относящихся к кластеру вредоносного ПО Manuscrypt также известен как NukeSped. Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.


  • Контролировать Android WhatsApp без доступа.
  • Как увидеть чат удалил WhatsApp!
  • Мобильные потерянные места Congstar?
  • Как задетектить и обойти детект Jailbreak’а — «Хакер».
  • Линки доступности.
  • Изменить пароль Insta?
  • В феврале года мы обнаружили троянца на ПК дипломатической организации. Мы с высокой степенью уверенности приписываем эту кампанию группе SixLittleMonkeys также известной как Microcin. All Rights Reserved. Registered trademarks and service marks are the property of their respective owners. Подписаться Темная тема выкл. Меню контента Закрыть. Угрозы Угрозы. Категории Категории. Авторы GReAT.


    1. Монитор анонимного телефона Android.
    2. Android, Mac OS X Malware Join Other Targeted Attack Tools!
    3. Приложение для записи телефонных звонков?
    4. Переадресация звонка мобильного телефона.
    5. Мобильный телефон бесплатно людьми?
    6. Синие крючки WhatsApp со мной?

    Известно, что в ходе атак применено как минимум два эксплойта нулевого дня: CVE — уязвимость в Windows XP и Windows , позволяющая атакующим повысить свои привилегии в системе CVE — уязвимость в Adobe Reader, дающая атакующим возможность выполнения произвольного кода Кроме того, при проведении этих атак злоумышленники используют эксплойты для более старых уязвимостей для которых уже выпущены патчи , приемы социальной инженерии и методы watering-hole.

    SCR, иногда упакованный в архив RAR Атаки типа watering hole с применением Java-эксплойтов CVE , Flash-эксплойтов неизвестные уязвимости и эксплойтов для Internet Explorer 6, 7, 8 неизвестные уязвимости Атаки типа watering hole, в которых приемы социальной инженерии применяются с целью убедить пользователя запустить вредоносный установщик, замаскированный под инсталлятор Flash Player Для заражения жертв киберпреступники применяют как адресные фишинговые рассылки spearphishing , так и атаки типа watering hole.

    Атаки типа watering hole В настоящее время злоумышленники, стоящие за атаками Epic, поддерживают обширную сеть сайтов-приманок watering holes , каждый из которых с хирургической точностью рассчитан на привлечение определенной категории посетителей. На диаграмме показано число зараженных сайтов по странам: Очевидно, что такое распределение сайтов по странам не является случайным и дает определенное представление об интересах злоумышленников. Вредоносные сайты загружают в браузер жертвы JavaScript: Скрипт sitenavigatoin.

    Краткое содержание

    Одна из версий скрипта пытается эксплуатировать уязвимости в Internet Explorer версий 6, 7 и 8: Скрипт для эксплуатации уязвимости в Internet Explorer К сожалению, обнаружить эксплойты для Internet Explorer пока не удалось. MD5: d7ca9cfdfbfeeabcf Имя: winsvclg. Имя: winrs. Размер: , байтов MD5: eb6bdbcef Дата компиляции: четверг, 08 ноября г. The latest news and information on targeted attacks and IT security threats so you stay ahead of advanced persistent threats.

    The IoT connects things, people, processes and networks through the internet, but it could also be open to attacks that target it. News and updates on the latest threats for the mobile platform, as well as guides on how to protect your mobile devices. What insights can be reaped from the cybercrime underground?

    Account Options