Российские организации атаковал дизайнерский вредонос AcidBox

Опубликовано at 19:05
249 0

Palo Alto Networks сообщают, что выявили таргетированные атаки на российские организации (правда, с задержкой в годы). Вредонос, который называют AcidBox, использовал эксплоит, ранее связывавшийся с самой загадочной и старой русскоязычной хакерской группой Turla (известной также как Waterbug, Venomous Bear и KRYPTON).

Речь о проблеме CVE-2008-3431, которую первыми начали эксплуатировать Turla, использовании подписанного драйвер VirtualBox (VBoxDrv.sys v1.6.2) для деактивации Driver Signature Enforcement (DSE) и загрузки неподписанных драйверов-пейлоадов.

Вредонос AcidBox достаточно уникален по структуре («дизайнерский вирус»), Он использует некую форму стеганографии и прячет конфиденциальные данные в иконках, злоупотребляет интерфейсом SSP, чтобы надежно закрепиться в системе, хранит свою полезную нагрузку в реестре Windows и не похож ни на какую другую малварь.

Скорее всего данный вирус входит в состав большого авторского набора инструментов, вероятно, принадлежащих некой APT. Подробности неизвестны, а след, ведущий к Turla, весьма эфемерен.

Читайте также на АКБ:

Самые загадочные в мире русские хакеры Turla возобновили атаки

Подписываемся, следим @CyberAgency

Related Post

Китайские мыши-счастливчики взломали дата-центр Центральной Азии

Опубликовано - 15.06.2018 0
Хакерская группировка LuckyMouse, предположительно связанная с китайским правительством, успешно атаковала государственный центр обработки данных в одном из государств Центральной Азии.…

Новый, стандартный, твой: в РФ разработали первый нацстандарт для интернета вещей

Опубликовано - 19.04.2018 0
Фонд РВК опубликовал проект первого нацстандарта, разработанного для IoT-устройств, который должен организовать хаос, царящий сейчас в этой сфере. Стандарт РВК…