Исследование ESET раскрыло последнюю кампанию BladeHawk: Android-шпионаж против курдов
Злоумышленники распространяли вредоносные приложения через шесть профилей Facebook, которые были удалены после того, как ESET уведомила Facebook
БРАТИСЛАВА, КОШИЦЕ — Исследователи ESET исследовали целенаправленную кампанию мобильного шпионажа против курдской этнической группы. Эта кампания была активной, по крайней мере, с марта 2020 года, распространяя (через специальные профили Facebook) два бэкдора для Android, известные как 888 RAT и SpyNote, замаскированные под законные приложения. Эти профили, по-видимому, предоставляли новости для Android на курдском языке и новости для сторонников курдов. Исследование ESET выявило шесть профилей Facebook, распространяющих шпионские приложения для Android, в рамках этой кампании, проведенной группой BladeHawk. Эти профили распространяли шпионские приложения в общедоступных группах Facebook, большинство из которых были сторонниками Масуда Барзани, бывшего президента Курдистана, автономного региона на севере Ирака. В общей сложности целевые группы Facebook имеют более 11 000 подписчиков.
“Мы сообщили об этих профилях в Facebook, и все они были удалены. Два профиля были нацелены на технических пользователей, в то время как остальные четыре выдавали себя за сторонников курдов”,- говорит исследователь ESET Лукаш Штефанко, который расследовал эту кампанию BladeHawk.
Исследование ESET выявило 28 уникальных постов в Facebook в рамках этой кампании BladeHawk. Каждое из этих сообщений содержало поддельные описания приложений и ссылки, по которым исследователи ESET смогли загрузить 17 уникальных APK. Некоторые веб-ссылки APK указывали непосредственно на вредоносное приложение, в то время как другие указывали на стороннюю службу загрузки top4top.io, который отслеживает количество загрузок файлов. Шпионские приложения были загружены 1418 раз.
Большинство вредоносных сообщений в Facebook привели к загрузке коммерческой мультиплатформенной крысы 888, которая доступна на черном рынке с 2018 года. Android 888 RAT способен выполнять 42 команды, полученные от его сервера управления и управления (C&C). Он может красть и удалять файлы с устройства, делать скриншоты, определять местоположение устройства, подделывать учетные данные Facebook, получать список установленных приложений, красть фотографии пользователей, фотографировать, записывать окружающие аудио и телефонные звонки, совершать звонки, красть SMS-сообщения, красть список контактов устройства и отправлять текстовые сообщения.
Эта шпионская деятельность, обнаруженная ESET Research, напрямую связана с двумя случаями, которые были публично раскрыты в 2020 году. В одном случае Центр разведки угроз Цяньсинь назвал группу, стоящую за атаками, BladeHawk, которую приняла ESET. Обе кампании были распространены через Facebook с использованием вредоносных программ, созданных с помощью коммерческих автоматизированных инструментов (888 RAT и SpyNote), причем все образцы вредоносных программ использовались на одних и тех же серверах C&C. С 2018 года продукты ESET выявили сотни экземпляров устройств Android, на которых был развернут 888 RAT.
Для получения более подробной технической информации о последней кампании BladeHawk читайте сообщение в блоге “Группа BladeHawk: шпионаж Android против курдской этнической группы” на сайте WeLiveSecurity. Обязательно следите за исследованиями ESET в Twitter, чтобы получать последние новости от ESET Research.
Кибер Бэкап Облачный, сервис резервного копирования и восстановления данных (BaaS) от компании «Киберпротект», стал доступен пользователям облачной платформы RCloud by 3data. Решение позволяет организациям любого масштаба — от малых предприятий до крупного бизнеса, обеспечить надёжную защиту данных с минимальными трудозатратами, без капитальных вложений и без необходимости развёртывания собственной инфраструктуры для резервного копирования и хранения резервных копий
Киберпротект расширяет линейку инфраструктурного ПО и представляет новый продукт — Кибер Хранилище — простое в эксплуатации хранилище данных c возможностью неограниченного масштабирования и реализации геораспределенных решений.
Киберпротект сообщает о расширении линейки продуктов для защиты данных пользователей от потери. У Кибер Бэкапа Персонального теперь есть мобильная версия для устройств на базе ОС Android. Мобильное приложение работает в фоновом режиме и обеспечивает сохранность данных на планшете или смартфоне, а также их быстрое восстановление в любой непредвиденной ситуации.
В новой версии песочницы появилось интерактивное взаимодействие в режиме VNC, интеграция с Microsoft AMSI для анализа вредоносных скриптов на PowerShell, расширены возможности статического анализа файлов, а требования к оборудованию теперь могут быть снижены вдвое за счёт использования облачного сервиса репутации индикаторов
«Отечественный софт» - крупнейшее объединение производителей российского программного обеспечения. Это членство открывает новые возможности для продвижения отечественных ИТ-решений и укрепления отраслевого сотрудничества.
Компания Dr.Web представляет новую версию Dr.Web Katana 2.0 — усовершенствованное решение, предназначенное для упреждающей защиты от современных киберугроз. Этот продукт выступает в роли дополнительного антивирусного «щита», усиливая безопасность в сочетании с решениями других вендоров.
К этой дате «Лаборатория Касперского» выпустила ежегодный отчёт о кибератаках с использованием программ-вымогателей. В документе анализируются глобальные тенденции таких атак
Ваши контактные данные не публикуются на сайте.