ESET Research обнаружила, что Lazarus атакует грузовую компанию в Южной Африке с помощью нового бэкдора
Исследователи ESET обнаружили ранее недокументированный бэкдор, использованный для атаки на логистическую компанию в Южной Африке, которую они назвали Vyveva.
БРАТИСЛАВА. Исследователи ESET обнаружили ранее недокументированный бэкдор, использованный для атаки на логистическую компанию в Южной Африке, которую они назвали Vyveva. Они приписали вредоносное ПО печально известной группе Lazarus из-за общего сходства с предыдущими операциями и образцами группы. Бэкдор включает в себя несколько возможностей кибершпионажа, таких как эксфильтрация файлов и сбор информации о целевом компьютере и его дисках. Он связывается со своим сервером Command & Control (C&C) через анонимную сеть Tor.
Телеметрия ESET для Вивевой предполагает целевое развертывание, поскольку исследователи ESET обнаружили только две машины-жертвы, обе из которых являются серверами, принадлежащими вышеупомянутой южноафриканской логистической компании. Согласно расследованию ESET, Vyveva используется по крайней мере с декабря 2018 года.
«Vyveva имеет несколько общих черт кода со старыми образцами Lazarus, которые обнаруживаются с помощью технологии ESET. Однако на этом сходство не заканчивается: использование поддельного протокола TLS в сетевом взаимодействии, цепочки выполнения командной строки и методы использования шифрования и служб Tor указывают на Lazarus. Следовательно, мы можем с большой уверенностью отнести Vyveva к этой группе APT,- говорит исследователь ESET Филип Юрчацко, который анализировал обнаруженный арсенал Lazarus.
Бэкдор выполняет команды, выдаваемые злоумышленниками, например операции с файлами и процессами, а также сбор информации. Существует также менее распространенная команда для временной метки файла, которая позволяет копировать временные метки из «донорского» файла в целевой файл или использовать случайную дату.
Vyveva использует библиотеку Tor для связи с C&C сервером. Он связывается с C&C с трехминутными интервалами, отправляя информацию о зараженном компьютере и его дисках до получения команд. «Однако особый интерес представляют сторожевые таймеры бэкдора, используемые для мониторинга вновь подключенных и отключенных дисков, а также сторожевые таймеры сеансов, отслеживающие количество активных сеансов, например, вошедших в систему пользователей. Эти компоненты могут инициировать соединение с C&C сервером вне обычного, предварительно сконфигурированного трехминутного интервала », - поясняет Юрчацко.
Дополнительные технические подробности о Вивевой читайте в блоге (Вы) в темноте? Следите за Vyveva, последним дополнением к набору инструментов Lazarus на WeLiveSecurity. Обязательно следите за обновлениями ESET Research в Твиттере, чтобы быть в курсе последних новостей ESET Research.
Российский поставщик интеллектуальных решений на базе искусственного интеллекта для обработки документов Content AI и лидирующая российская консалтинговая фирма в области услуг по управлению документами «ЕСМ-Консалтинг» сообщили о полном техническом согласовании своих ключевых решений: ContentCapture, Content AI Intelligent Search и архивной системы М1:Архив. Синергия этих технологий позволила создать единую непрерывную цепочку операций — начиная от поступления документа и заканчивая быстрым извлечением необходимой информации
Российская организация «Базальт СПО», занимающаяся разработкой операционных систем серии «Альт», подписала договор о партнерстве с Российским университетом дружбы народов (РУДН) в рамках образовательной инициативы «Альт Академия». Основная задача соглашения заключается в подготовке студентов и молодых профессионалов для эффективного использования российских программных решений и продвижении отечественных технологий среди молодого поколения ИТ-специалистов
Российские специалисты по информационным технологиям из группы компаний «КОРУС Консалтинг» и фирмы «Базальт СПО» доказали совместимость своей продукции — платформ no- и low-code для управления корпоративными данными «Авандок» и серверной версии операционной системы «Альт» 11-го поколения. После завершения тестирования стороны подписали специальный документ, подтверждающий взаимную совместимость продуктов
«Доктор Веб» анонсировал значительное обновление серверной части продуктов Dr.Web Enterprise Security Suite и Dr.Web Industrial версии 13.0.1.202511120, которое станет доступным для скачивания начиная с 15 декабря 2025 года. Основное нововведение заключается в расширении функционала модуля «Контроль приложений», позволяющего значительно повысить уровень защиты конечных пользователей.
На факультете вычислительной математики и кибернетики (ВМК) МГУ имени М.В. Ломоносова начала функционировать лаборатория свободного программного обеспечения, созданная при содействии компании «Базальт СПО». Студенты получают возможность реализовывать образовательные и научные проекты, связанные с созданием прикладного и кроссплатформенного программного обеспечения, а также заниматься сборкой образов операционных систем на основе платформы «Альт» для различных нужд.
Группа Arenadata проинформировала о выпуске обновлений для системы управления базами данных Arenadata QuickMarts (ADQM) и дополнительного модуля ADQM Control, которые теперь совместимы с российской операционной системой «Альт СП» (версия 10), разработанной компанией «Базальт СПО». Такое решение принято в рамках общей стратегии адаптации продуктовых предложений под требования современных заказчиков бизнеса.
Компания «Базальт СПО» презентовала свежую версию приложения WineHelper, предназначенную для удобной инсталляции и функционирования программ Windows в операционных системах серии «Альт». Среди нововведений — удобный графический интерфейс, поддержка альтернативных методов установки и скачивания приложений, а также встроенный инструмент для создания резервных копий установленных программ
Вышло обновление серверов Dr.Web Enterprise Security Suite и Dr.Web Industrial. Новая версия включает улучшения стабильности и новые инструменты централизованного управления действиями при обнаружении угроз на устройствах под управлением Android. Для получения всех преимуществ и корректной работы системы пользователям рекомендуется обновить серверы до актуальной версии
Ваши контактные данные не публикуются на сайте.