Цивилизация
В новой атаке хакеров SilverFox были обнаружены компоненты вредоносного программного обеспечения под названием Winos 4.0, а также техники, которые ранее были замечены за другой группировкой – APT41 (Winnti). Об этом «Газете.Ru» сообщили в пресс-службе компании «Гарда», специалисты которой и обнаружили упомянутую атаку. Как SilverFox, так и Winnti некоторыми исследователями угроз информационной безопасности связываются с китайским правительством.
Winos 4.0 представляет собой комплексный инструмент, предназначенный для шпионажа, удаленного управления и проведения атак на пользователей. Вредонос распространяется через целевые фишинговые письма с использованием социальной инженерии, включая QR-коды. Первичный этап атаки — самораспаковывающийся архив WinRAR SFX, который дропает следующий модуль. Закрепление в системе происходит через планировщик задач (AtLogOn).
Основной модуль загружается с командного сервера (CC) после первичного обращения. Примечательно, что для связи с CC, помимо модифицированного протокола, впервые в Winos 4.0 зафиксировано использование еще одного протокола, который ранее считался визитной карточкой APT41.
В атаке SilverFox применялись различные техники сокрытия. Например, загрузка кода напрямую в память процесса, а также обфускация строк и импортов.
«Новая атака Winos 4.0 демонстрирует продуманную многоступенчатую схему: социальная инженерия для входа, упаковка и этапный дроппинг, укрепление присутствия через скрипты и задания, а также попытки скрыть свое поведение в атакуемой сети и процессах», – сказала старший аналитик сетевой безопасности группы компаний «Гарда» Евгения Устинова.
Название или сфера деятельности предприятия, которое подверглось атаке SilverFox, не раскрываются.
Ранее российский госсектор предупредили о новой хакерской группировке.