ESET Research обнаруживает атаки на сайты на Ближнем Востоке со ссылками на шпионские программы Candiru
БРАТИСЛАВА, МОНРЕАЛЬ — 16 ноября 2021 года — Исследователи ESET обнаружили атаки на стратегический веб-компрометацию ("водопой") против известных веб-сайтов на Ближнем Востоке с особым упором на Йемен. Атаки связаны с Candiru, компанией, которая продает правительственным учреждениям самые современные наступательные программные средства и сопутствующие услуги. Пострадавшие веб-сайты принадлежат средствам массовой информации в Великобритании, Йемене и Саудовской Аравии, а также Хезболле; правительственным учреждениям в Иране (Министерству иностранных дел), Сирии (включая Министерство энергетики) и Йемене (включая Министерства внутренних дел и финансов); поставщикам интернет-услуг в Йемене и Сирии; и компаниям аэрокосмической и военной техники в Италии и Южной Африке. Злоумышленники также создали веб-сайт, имитирующий медицинскую выставку в Германии.
-ESET раскрывает исследование кампании стратегических веб-компромиссов, нацеленных на сайты средств массовой информации, правительства, интернет-провайдеров и компаний аэрокосмической/военной техники, со ссылками на Ближний Восток и уделением особого внимания Йемену и окружающему конфликту.
-Цели расположены на Ближнем Востоке: Иран, Саудовская Аравия, Сирия, Йемен; в Европе: Италия, Великобритания; и в Южной Африке. Злоумышленники также создали веб-сайт, имитирующий медицинскую выставку в Германии.
-Компания имеет тесные связи с Кандиру, израильской шпионской фирмой, недавно внесенной в черный список Министерством торговли США, которая продает современные программные средства и услуги для правительственных учреждений.
Атака на водопой компрометирует веб-сайты, которые, вероятно, будут посещаться заинтересованными лицами, тем самым открывая дверь для заражения компьютера посетителя веб-сайта. В этой кампании конкретные посетители этих веб-сайтов, вероятно, подверглись атаке с помощью эксплойта браузера. Однако исследователи ESET не смогли получить ни эксплойт, ни конечную полезную нагрузку. Это показывает, что участники угроз решили сузить фокус своих операций и не хотят сжигать свои эксплойты нулевого дня, демонстрируя, насколько целенаправленной является эта кампания. Скомпрометированные веб-сайты используются только в качестве отправной точки для достижения конечных целей.
“Еще в 2018 году мы разработали индивидуальную внутреннюю систему для обнаружения водопоев на популярных веб-сайтах. 11 июля 2020 года наша система уведомила нас о том, что веб-сайт посольства Ирана в Абу-Даби был заражен вредоносным кодом JavaScript. Наше любопытство было вызвано громким характером целевого веб-сайта, и в последующие недели мы заметили, что другие веб-сайты, связанные с Ближним Востоком, также были нацелены”, - говорит исследователь ESET Матье Фау, который раскрыл кампании "водопоя".
“Группа угроз затихла до января 2021 года, когда мы наблюдали новую волну компромиссов. Эта вторая волна продолжалась до августа 2021 года, когда все веб – сайты были снова очищены, как это было в 2020 году-вероятно, самими преступниками”, - добавляет он.
“Злоумышленники также имитировали веб-сайт, принадлежащий Всемирному форуму медицины, на выставке MEDICA, проходившей в Дюссельдорфе, Германия. Операторы клонировали исходный веб - сайт и добавили небольшой фрагмент кода JavaScript. Вполне вероятно, что злоумышленники не смогли скомпрометировать законный веб-сайт и были вынуждены создать поддельный, чтобы внедрить свой вредоносный код”, - говорит Фау.
Во время кампании 2020 года вредоносная программа проверила операционную систему и веб-браузер. Поскольку процесс отбора был основан на компьютерном программном обеспечении, кампания не была нацелена на мобильные устройства. Во второй волне, чтобы быть немного скрытнее, злоумышленники начали изменять скрипты, которые уже были на скомпрометированных сайтах.
“В блоге о Кандиру, опубликованном Citizen Lab в Университете Торонто, в разделе под названием "Кластер, связанный с Саудовской Аравией?" упоминается документ о подводной охоте, который был загружен в VirusTotal и несколько доменов, которыми управляли злоумышленники. Доменные имена являются вариациями подлинных сокращений URL-адресов и веб-сайтов для веб-аналитики, что является тем же методом, который используется для доменов, которые были замечены в атаках на водопой”, - объясняет Фау, связывая атаки с Кандиру.
Таким образом, существует значительная вероятность того, что операторы поливочных кампаний являются клиентами Candiru. Создатели документов и операторы водопоев также потенциально одинаковы. Candiru-частная израильская шпионская компания, которая недавно была добавлена в список организаций Министерства торговли США. Это может помешать любой американской организации вести бизнес с Candiru без предварительного получения лицензии Министерства торговли.
ESET прекратила наблюдать активность в этой операции в конце июля 2021 года, вскоре после публикации блогов Citizen Lab, Google и Microsoft, в которых подробно описывалась деятельность Кандиру. Операторы, похоже, делают паузу, вероятно, для того, чтобы перестроиться и сделать свою кампанию более скрытной. ESET Research ожидает их возвращения в ближайшие месяцы.
Для получения более подробной технической информации об этих атаках на веб-сайты на Ближнем Востоке читайте в блоге “Стратегический веб-компромисс на Ближнем Востоке с щепоткой Кандиру” о безопасности в WeLiveSecurity. Обязательно следуйте ESET Research в Twitter для получения последних новостей от ESET Research.
Большинство российских предприятий обеспокоено возможностью раскрытия секретных сведений вследствие внедрения искусственного интеллекта. Глава технологического подразделения Content AI Сергей Юдин поделился своим мнением с изданием «Российская газета», раскрыв причины, по которым публичные нейросети представляют собой потенциальный источник серьёзных утечек информации, и предложил рекомендации по осторожному внедрению ИИ-технологий внутри корпораций
Отечественные компании «Базальт СПО», создающая системное программное обеспечение, и VINTEO, разрабатывающая профессиональные инструменты видеоконференций, объявили о подтвержденной совместимости операционных систем «Альт» с клиентским приложением VINTEO Desktop.
Специалисты обеих организаций провели ряд тестирований, по итогам которых была удостоверена полная совместимость и бесперебойная работа приложения VINTEO Desktop на операционных системах «Альт Рабочая станция» версий 10 и 11. Подтверждение результатов зафиксировано соответствующими двусторонними сертификатами.
Фирма «ИнтерТраст», создатель корпоративной системы электронного документооборота CompanyMedia, совместно с российским производителем операционных систем «Базальт СПО» завершила тестирование и подтвердила полное соответствие и стабильность функционирования СЭД CompanyMedia на операционных системах линейки «Альт». Полученный сертификат №0312/25 от 16 октября 2025 года подтверждает успешность проведенных испытаний специалистами «ИнтерТраст». Итоги проверок зафиксированы в специальном двустороннем протоколе
При исследовании определенной партнерской сети эксперты компании «Доктор Веб» выявили оригинальное вредоносное программное обеспечение типа кликер, обозначенное как Trojan.ChimeraWire. Это приложение функционирует на устройствах с установленной операционной системой Windows и создано на базе открытых проектов zlsgo и Rod, предназначенных для автоматизации взаимодействия с веб-ресурсами и приложениями.
Программное обеспечение позволяет автоматически распознавать текст в сканированных документах, значительно сокращая сроки их подготовки и размещения в ведущем региональном цифровом архиве
С 3 по 5 октября 2025 года в городе Переславль-Залесский прошла XXI конференция разработчиков свободного программного обеспечения. Мероприятие посетило свыше 2 тысяч участников, присутствовавших лично и подключившихся удаленно. Организацию события взяли на себя компания «Базальт СПО» и Институт программных систем имени А.К. Айламазяна Российской академии наук (ИПС РАН)
В июле 2025 года в компанию «Доктор Веб» обратился клиент из государственного сектора Российской Федерации с подозрением о возможной компрометации внутренней сети. Гипотеза возникла в связи с тем, что клиент зафиксировал рассылку нежелательных сообщений с одного из корпоративных почтовых ящиков. Проведенное нашей антивирусной лабораторией расследование инцидента показало, что учреждение подверглось целевой атаке со стороны хакерской группировки, которую специалисты «Доктор Веб» идентифицировали как Cavalry Werewolf. Одной из целей кампании был сбор конфиденциальной информации и данных о конфигурации сети
«Доктор Веб» представляет обновленную версию Dr.Web vxCube. Основное изменение — наложение отчета песочницы на Enterprise-матрицу MITRE ATT&CK, что позволяет объединить результаты анализа с базой знаний о тактиках и техниках атакующих. Результат: более точная оценка вредоносности исследуемых образцов и выстраивание хронологии атаки. Матрица MITRE ATT&CK в формате базы знаний описывает тактики и техники киберпреступников, атакующих информационные системы, — это позволяет специалистам по информационной безопасности получать готовые данные для повышения эффективности защиты инфраструктуры
Согласно статистике детектирований антивируса Dr.Web, в III квартале 2025 года общее число обнаруженных угроз снизилось на 4,23% по сравнению со II кварталом. При этом количество уникальных угроз увеличилось на 2,17%. Чаще всего на защищаемых устройствах обнаруживалось нежелательное рекламное ПО, рекламные трояны и вредоносные скрипты. В почтовом трафике преобладали вредоносные скрипты, бэкдоры, и различные троянские программы, такие как загрузчики, дропперы и похитители паролей
Ваши контактные данные не публикуются на сайте.