В ходе постоянного отслеживания угроз ИБ утром 3 октября в одном из Telegram-чатов мы заметили промелькнувший файл со злободневным названием Povestka_26-09-2022.wsf. Беглый осмотр содержимого привлек наше внимание, и мы решили разобрать его подробней. И, как оказалось, не зря.

https://habr.com/ru/post/692546/?utm_source=habrahabr&utm_medium=rss&utm_campaign=692546

В апреле 2022 года мы выявили атаку на ряд российских организаций сферы медиа и ТЭК. В атаках злоумышленники использовали вредоносный документ с именем «список.docx», извлекающий из себя вредоносную нагрузку, упакованную VMProtect.

Мы проанализировали пакет сетевой коммуникации и выяснили, что он идентичен тому, который мы рассматривали в отчете по исследованию инструментов группировки APT31, что позволило предположить, что и эти инструменты могут принадлежать этой же группировке.

Кроме того, мы выявили две новых разновидности вредоносного ПО, которые назвали YaRAT (потому что оно обладает функциональностью RAT и в качестве контрольного сервера использует Яндекс.Диск) и Stealer0x3401 (по константе, используемой при обфускации ключа шифрования).

Подробности нашего исследования читайте под катом.

https://habr.com/ru/post/680430/?utm_source=habrahabr&utm_medium=rss&utm_campaign=680430

Летом 2021 года мы, специалисты экспертного центра безопасности Positive Technologies, выявили ранее неизвестную APT-группировку, которая действует по меньшей мере с 2017 года. Главные цели Space Pirates (именно так мы решили назвать группу киберпреступников) — шпионаж и кража конфиденциальных данных. Как показало наше исследование, впервые мы встретили Space Pirates еще в конце 2019 года, когда в рамках мониторинга угроз ИБ обнаружили фишинговое письмо с ранее неизвестным вредоносным ПО, направленное в адрес одного российского авиационно-космического предприятия.

Кто на прицеле у новой хакерской группировки, какие утилиты она использует в атаках и как ее активность связана с уже известными APT-группами, читайте под катом.

https://habr.com/ru/post/668522/?utm_source=habrahabr&utm_medium=rss&utm_campaign=668522

Привет, Хабр! На связи Антон Белоусов и Алексей Вишняков, и мы продолжаем вместе с вами изучать буткиты — наиболее опасный класс вредоносного ПО. Гонка вооружений между разработчиками решений в области ИБ и вирусописателями не останавливается ни на секунду: первые активно внедряют новые механизмы противодействия киберугрозам, а вторые — инструменты их обхода. Как раз с точки зрения безопасности нас заинтересовал современный стандарт предзагрузки операционных систем UEFI. Поэтому в этом посте мы решили:

• разобраться, чем загрузка в режиме UEFI отличается от загрузки в режиме Legacy BIOS;

• рассказать о новых экземплярах буткитов, нацеленных на компрометацию UEFI;

• выяснить, похожи ли они на своих предшественников (обширную группу так называемых legacy-буткитов мы подробно изучили в прошлый раз);

• рассмотреть используемые злоумышленниками техники и слабые места систем на платформе UEFI.

https://habr.com/ru/post/668154/?utm_source=habrahabr&utm_medium=rss&utm_campaign=668154