БРАТИСЛАВА, КОШИЦЕ — Исследователи ESET исследовали целенаправленную кампанию мобильного шпионажа против курдской этнической группы. Эта кампания была активной, по крайней мере, с марта 2020 года, распространяя (через специальные профили Facebook) два бэкдора для Android, известные как 888 RAT и SpyNote, замаскированные под законные приложения. Эти профили, по-видимому, предоставляли новости для Android на курдском языке и новости для сторонников курдов. Исследование ESET выявило шесть профилей Facebook, распространяющих шпионские приложения для Android, в рамках этой кампании, проведенной группой BladeHawk. Эти профили распространяли шпионские приложения в общедоступных группах Facebook, большинство из которых были сторонниками Масуда Барзани, бывшего президента Курдистана, автономного региона на севере Ирака. В общей сложности целевые группы Facebook имеют более 11 000 подписчиков.
“Мы сообщили об этих профилях в Facebook, и все они были удалены. Два профиля были нацелены на технических пользователей, в то время как остальные четыре выдавали себя за сторонников курдов”, - говорит исследователь ESET Лукаш Штефанко, который расследовал эту кампанию BladeHawk.
Исследование ESET выявило 28 уникальных постов в Facebook в рамках этой кампании BladeHawk. Каждое из этих сообщений содержало поддельные описания приложений и ссылки, по которым исследователи ESET смогли загрузить 17 уникальных APK. Некоторые веб-ссылки APK указывали непосредственно на вредоносное приложение, в то время как другие указывали на стороннюю службу загрузки top4top.io, который отслеживает количество загрузок файлов. Шпионские приложения были загружены 1418 раз.
Большинство вредоносных сообщений в Facebook привели к загрузке коммерческой мультиплатформенной крысы 888, которая доступна на черном рынке с 2018 года. Android 888 RAT способен выполнять 42 команды, полученные от его сервера управления и управления (C&C). Он может красть и удалять файлы с устройства, делать скриншоты, определять местоположение устройства, подделывать учетные данные Facebook, получать список установленных приложений, красть фотографии пользователей, фотографировать, записывать окружающие аудио и телефонные звонки, совершать звонки, красть SMS-сообщения, красть список контактов устройства и отправлять текстовые сообщения.
Эта шпионская деятельность, обнаруженная ESET Research, напрямую связана с двумя случаями, которые были публично раскрыты в 2020 году. В одном случае Центр разведки угроз Цяньсинь назвал группу, стоящую за атаками, BladeHawk, которую приняла ESET. Обе кампании были распространены через Facebook с использованием вредоносных программ, созданных с помощью коммерческих автоматизированных инструментов (888 RAT и SpyNote), причем все образцы вредоносных программ использовались на одних и тех же серверах C&C. С 2018 года продукты ESET выявили сотни экземпляров устройств Android, на которых был развернут 888 RAT.
Для получения более подробной технической информации о последней кампании BladeHawk читайте сообщение в блоге “Группа BladeHawk: шпионаж Android против курдской этнической группы” на сайте WeLiveSecurity. Обязательно следите за исследованиями ESET в Twitter, чтобы получать последние новости от ESET Research.
Антивирусная лаборатория «Доктор Веб» обнаружила семейство вредоносных программ Trojan.Scavenger, с помощью которых злоумышленники похищают конфиденциальные данные из криптокошельков и менеджеров паролей у пользователей ОС Windows
«Доктор Веб» сообщает о предстоящем обновлении песочницы Dr.Web vxCube. Изменения касаются обеих версий: облачной и локальной (on-premise).
Производитель серверного оборудования OpenYard и российский разработчик операционных систем «Базальт СПО» успешно провели тестирование ОС «Альт Сервер» на серверах компании OpenYard
«Базальт СПО» выпустила серверную операционную систему на Одиннадцатой платформе (p11 Salvia). Основные изменения коснулись установки и настройки. Впервые в одном образе доступны две редакции — «Альт Сервер» и «Альт Домен». В новом приложении «Альт Компоненты» автоматизирована установка инструментов для различных способов использования сервера.
Кибер Бэкап Облачный, сервис резервного копирования и восстановления данных (BaaS) от компании «Киберпротект», стал доступен пользователям облачной платформы RCloud by 3data. Решение позволяет организациям любого масштаба — от малых предприятий до крупного бизнеса, обеспечить надёжную защиту данных с минимальными трудозатратами, без капитальных вложений и без необходимости развёртывания собственной инфраструктуры для резервного копирования и хранения резервных копий
Киберпротект расширяет линейку инфраструктурного ПО и представляет новый продукт — Кибер Хранилище — простое в эксплуатации хранилище данных c возможностью неограниченного масштабирования и реализации геораспределенных решений.
Киберпротект сообщает о расширении линейки продуктов для защиты данных пользователей от потери. У Кибер Бэкапа Персонального теперь есть мобильная версия для устройств на базе ОС Android. Мобильное приложение работает в фоновом режиме и обеспечивает сохранность данных на планшете или смартфоне, а также их быстрое восстановление в любой непредвиденной ситуации.
Награды получили решения компании для защиты частных пользователей, малого бизнеса и крупных компаний
В новой версии песочницы появилось интерактивное взаимодействие в режиме VNC, интеграция с Microsoft AMSI для анализа вредоносных скриптов на PowerShell, расширены возможности статического анализа файлов, а требования к оборудованию теперь могут быть снижены вдвое за счёт использования облачного сервиса репутации индикаторов
Ваши контактные данные не публикуются на сайте.