- 9,682
- 18
- 8 Ноя 2022
Обновления Windows позволили злоумышленникам незаметно проникнуть на компьютер и шпионить за жертвой.
Исследователи безопасности из ИБ-компании ESET Для просмотра ссылки Войдиили Зарегистрируйся , что китайская APT-группировка Evasive Panda перехватывает каналы обновления китайских приложений для доставки шпионских программ отдельным лицам в Китае и Нигерии.
По данным ESET, при выполнении автоматических обновлений легитимный программный компонент загружал установщики бэкдора MgBot с легитимных URL-адресов и IP-адресов. Модульное вредоносное ПО позволяет Evasive Panda шпионить за жертвами и расширять свои возможности на ходу.
Модульное вредоносное ПО MgBot может предоставить злоумышленникам значительный объем информации о скомпрометированной машине. Модули MgBot выполняют следующие действия:
Активность была приписана группе Evasive Panda (BRONZE HIGHLAND, Daggerfly), поскольку исследователи никогда не наблюдали других злоумышленников, использующих бэкдор MgBot. Атаки Для просмотра ссылки Войдиили Зарегистрируйся , и их основной целью является кража учетных и конфиденциальных данных для шпионажа. Большинство жертв являются членами международных неправительственных организаций.
Использование каналов обновления ПО — это хитрый и умный метод обхода обнаружения традиционными средствами безопасности. После доставки вредоносного ПО через обновление оно может работать в фоновом режиме незамеченным, а киберпреступники могут извлечь конфиденциальную информацию с устройства жертвы.
По словам экспертов, вредоносное ПО MgBot было специально настроено для каждой жертвы, что свидетельствует о высокой степени сложности и изощрённости атак Evasive Panda. Такой тип вредоносного ПО трудно обнаружить, а также сложно построить надёжную защиту от него, поэтому для отдельных лиц и организаций крайне важно применять рекомендуемые меры кибербезопасности.
Исследователи безопасности из ИБ-компании ESET Для просмотра ссылки Войди
По данным ESET, при выполнении автоматических обновлений легитимный программный компонент загружал установщики бэкдора MgBot с легитимных URL-адресов и IP-адресов. Модульное вредоносное ПО позволяет Evasive Panda шпионить за жертвами и расширять свои возможности на ходу.
Модульное вредоносное ПО MgBot может предоставить злоумышленникам значительный объем информации о скомпрометированной машине. Модули MgBot выполняют следующие действия:
- сбор данных браузера;
- регистрация нажатий клавиш (кейлоггинг);
- захват снимков экрана;
- запись звука;
- перечисление каталогов Active Directory (Active Directory Enumeration).
Активность была приписана группе Evasive Panda (BRONZE HIGHLAND, Daggerfly), поскольку исследователи никогда не наблюдали других злоумышленников, использующих бэкдор MgBot. Атаки Для просмотра ссылки Войди
Использование каналов обновления ПО — это хитрый и умный метод обхода обнаружения традиционными средствами безопасности. После доставки вредоносного ПО через обновление оно может работать в фоновом режиме незамеченным, а киберпреступники могут извлечь конфиденциальную информацию с устройства жертвы.
По словам экспертов, вредоносное ПО MgBot было специально настроено для каждой жертвы, что свидетельствует о высокой степени сложности и изощрённости атак Evasive Panda. Такой тип вредоносного ПО трудно обнаружить, а также сложно построить надёжную защиту от него, поэтому для отдельных лиц и организаций крайне важно применять рекомендуемые меры кибербезопасности.
- Источник новости
- www.securitylab.ru
