Российские организации атаковал дизайнерский вредонос AcidBox

Опубликовано at 19:05
109 0

Palo Alto Networks сообщают, что выявили таргетированные атаки на российские организации (правда, с задержкой в годы). Вредонос, который называют AcidBox, использовал эксплоит, ранее связывавшийся с самой загадочной и старой русскоязычной хакерской группой Turla (известной также как Waterbug, Venomous Bear и KRYPTON).

Речь о проблеме CVE-2008-3431, которую первыми начали эксплуатировать Turla, использовании подписанного драйвер VirtualBox (VBoxDrv.sys v1.6.2) для деактивации Driver Signature Enforcement (DSE) и загрузки неподписанных драйверов-пейлоадов.

Вредонос AcidBox достаточно уникален по структуре («дизайнерский вирус»), Он использует некую форму стеганографии и прячет конфиденциальные данные в иконках, злоупотребляет интерфейсом SSP, чтобы надежно закрепиться в системе, хранит свою полезную нагрузку в реестре Windows и не похож ни на какую другую малварь.

Скорее всего данный вирус входит в состав большого авторского набора инструментов, вероятно, принадлежащих некой APT. Подробности неизвестны, а след, ведущий к Turla, весьма эфемерен.

Читайте также на АКБ:

Самые загадочные в мире русские хакеры Turla возобновили атаки

Подписываемся, следим @CyberAgency

Related Post

Сенаторы задумались о создании детской киберполиции

Опубликовано - 31.03.2017 0
Для борьбы с киберпреступлениями против детей необходимо создать специальную межведомственную группу, в которую должны войти медицинские специалисты, представители правоохранительных органов…