Вредонос GZipDe распространяет бэкдор на базе Metasploit - «Новости»
OpenAI подарила неограниченный доступ к ИИ-генератору видео Sora, но не всем и не навсегда - «Новости сети»
OpenAI подарила неограниченный доступ к ИИ-генератору видео Sora, но не всем и не навсегда - «Новости сети»
Fallout: London получит несколько DLC в 2025 году, а его авторы уже работают над оригинальной игрой на другом движке - «Новости сети»
Fallout: London получит несколько DLC в 2025 году, а его авторы уже работают над оригинальной игрой на другом движке - «Новости сети»
Telegram после обновления стал быстрее разряжать Apple iPhone - «Новости сети»
Telegram после обновления стал быстрее разряжать Apple iPhone - «Новости сети»
Ventiva предлагает ионную систему охлаждения для чипов с TDP до 40 Вт — в ней вообще нет движущихся частей - «Новости сети»
Ventiva предлагает ионную систему охлаждения для чипов с TDP до 40 Вт — в ней вообще нет движущихся частей - «Новости сети»
Саудовская Аравия привлечёт роботов для строительства футуристического мегаполиса в пустыне - «Новости сети»
Саудовская Аравия привлечёт роботов для строительства футуристического мегаполиса в пустыне - «Новости сети»
Подключайте Телеграм-бота от Яндекс Вебмастера — «Блог для вебмастеров»
Подключайте Телеграм-бота от Яндекс Вебмастера — «Блог для вебмастеров»
S.T.A.L.K.E.R. 2: Heart of Chornobyl уже окупилась и взяла курс на новые платформы - «Новости сети»
S.T.A.L.K.E.R. 2: Heart of Chornobyl уже окупилась и взяла курс на новые платформы - «Новости сети»
Половина трафика замедленного YouTube перетекла на отечественные аналоги, заявил глава Минцифры - «Новости сети»
Половина трафика замедленного YouTube перетекла на отечественные аналоги, заявил глава Минцифры - «Новости сети»
Роскомнадзор пообещал не собирать данные о личных устройствах тех, кто посещает заблокированные сайты - «Новости сети»
Роскомнадзор пообещал не собирать данные о личных устройствах тех, кто посещает заблокированные сайты - «Новости сети»
Китай испытал прямоточный воздушно-реактивный двигатель с детонацией для самолётов вдвое быстрее Ту-144 и «Конкорда» - «Новости сети»
Китай испытал прямоточный воздушно-реактивный двигатель с детонацией для самолётов вдвое быстрее Ту-144 и «Конкорда» - «Новости сети»
Новости мира Интернет » Новости » Вредонос GZipDe распространяет бэкдор на базе Metasploit - «Новости»

Аналитики компании AlienVault рассказали об обнаружении малвари GZipDe, очевидно, применяющейся для направленных кибершпионских атак.


Угрозу впервые заметили лишь на прошлой неделе, когда пользователь из Афганистана загрузил на VitusTotal вредоносный документ Word, повествующий о саммите Шанхайской организации сотрудничества (ШОС). Исследователи полагают, что целью неизвестных злоумышленников, вероятно, был сотрудник какого-то посольства в Афганистане, так как сам документ-приманка написан на английском языке.


Вначале атаки GZipDe действует по уже классической схеме: пользователя обманом и хитростью вынуждают открыть документ и включить макросы, после чего происходит исполнение скрипта Visual Basic, PowerShell кода и загрузка исполняемого файла в формате PE32. По завершении этих процедур на машину попадает сам GZipDe.





Согласно данным AlienVault, малварь написана на .NET и использует кастомный метод шифрования для обфускации и уклонения от обнаружения. При этом, в сущности, GZipDe является лишь загрузчиком, то есть его задача – загрузить на машину жертвы некую малварь с удаленного сервера злоумышленников. И хотя сервер, с которого должна была скачиваться эта вторичная угроза, был недоступен, исследователи воспользовались поисковиком Shodan и с его помощью установили, что сервер ранее проходил индексирование, и на нем размещался пейлоад Metasploit.





Исследователи рассказывают, что функциональность Metasploit использовалась злоумышленниками в качестве замены бэкдору. Шеллкод загружал в память DLL целиком, не оставляя практически никаких следов на дисках зараженной машины. «К примеру, он мог собирать данные о системе и связываться с управляющим сервером, ожидая дальнейших команд», — пишут специалисты. Также атакующие могли воспользоваться и любым другим пейлоадом, например, для повышения привилегий и системе или продвижения в локальную сеть.


Эксперты AlienVault отмечают, что преступники не так уж редко используют легитимную функциональность Metasploit в собственных целях. К примеру, к подобной тактике прибегает известная хакерская группировка Turla. Исследователи признают, что это значительно затрудняет установление источников атак и позволяет злоумышленникам тратить куда меньше времени и сил для достижения целей.


Источник новостиgoogle.com

Аналитики компании AlienVault рассказали об обнаружении малвари GZipDe, очевидно, применяющейся для направленных кибершпионских атак. Угрозу впервые заметили лишь на прошлой неделе, когда пользователь из Афганистана загрузил на VitusTotal вредоносный документ Word, повествующий о саммите Шанхайской организации сотрудничества (ШОС). Исследователи полагают, что целью неизвестных злоумышленников, вероятно, был сотрудник какого-то посольства в Афганистане, так как сам документ-приманка написан на английском языке. Вначале атаки GZipDe действует по уже классической схеме: пользователя обманом и хитростью вынуждают открыть документ и включить макросы, после чего происходит исполнение скрипта Visual Basic, PowerShell кода и загрузка исполняемого файла в формате PE32. По завершении этих процедур на машину попадает сам GZipDe. Согласно данным AlienVault, малварь написана на .NET и использует кастомный метод шифрования для обфускации и уклонения от обнаружения. При этом, в сущности, GZipDe является лишь загрузчиком, то есть его задача – загрузить на машину жертвы некую малварь с удаленного сервера злоумышленников. И хотя сервер, с которого должна была скачиваться эта вторичная угроза, был недоступен, исследователи воспользовались поисковиком Shodan и с его помощью установили, что сервер ранее проходил индексирование, и на нем размещался пейлоад Metasploit. Исследователи рассказывают, что функциональность Metasploit использовалась злоумышленниками в качестве замены бэкдору. Шеллкод загружал в память DLL целиком, не оставляя практически никаких следов на дисках зараженной машины. «К примеру, он мог собирать данные о системе и связываться с управляющим сервером, ожидая дальнейших команд», — пишут специалисты. Также атакующие могли воспользоваться и любым другим пейлоадом, например, для повышения привилегий и системе или продвижения в локальную сеть. Эксперты AlienVault отмечают, что преступники не так уж редко используют легитимную функциональность Metasploit в собственных целях. К примеру, к подобной тактике прибегает известная хакерская группировка Turla. Исследователи признают, что это значительно затрудняет установление источников атак и позволяет злоумышленникам тратить куда меньше времени и сил для достижения целей. Источник новости - google.com

Смотрите также

А что там на главной? )))



Комментарии )))