Российские организации атаковал дизайнерский вредонос AcidBox

Опубликовано at 19:05
212 0

Palo Alto Networks сообщают, что выявили таргетированные атаки на российские организации (правда, с задержкой в годы). Вредонос, который называют AcidBox, использовал эксплоит, ранее связывавшийся с самой загадочной и старой русскоязычной хакерской группой Turla (известной также как Waterbug, Venomous Bear и KRYPTON).

Речь о проблеме CVE-2008-3431, которую первыми начали эксплуатировать Turla, использовании подписанного драйвер VirtualBox (VBoxDrv.sys v1.6.2) для деактивации Driver Signature Enforcement (DSE) и загрузки неподписанных драйверов-пейлоадов.

Вредонос AcidBox достаточно уникален по структуре («дизайнерский вирус»), Он использует некую форму стеганографии и прячет конфиденциальные данные в иконках, злоупотребляет интерфейсом SSP, чтобы надежно закрепиться в системе, хранит свою полезную нагрузку в реестре Windows и не похож ни на какую другую малварь.

Скорее всего данный вирус входит в состав большого авторского набора инструментов, вероятно, принадлежащих некой APT. Подробности неизвестны, а след, ведущий к Turla, весьма эфемерен.

Читайте также на АКБ:

Самые загадочные в мире русские хакеры Turla возобновили атаки

Подписываемся, следим @CyberAgency

Related Post

Как Евросоюз собирается бороться с российскими хакерами

Опубликовано - 19.01.2018 0
Европарламент опубликовал документ об укреплении кибербезопасности на территории Евросоюза. Как сообщают СМИ, ЕС пытается ограничить доступ так называемым «прокремлевским игрокам»,…