Российские организации атаковал дизайнерский вредонос AcidBox

Опубликовано at 19:05
127 0

Palo Alto Networks сообщают, что выявили таргетированные атаки на российские организации (правда, с задержкой в годы). Вредонос, который называют AcidBox, использовал эксплоит, ранее связывавшийся с самой загадочной и старой русскоязычной хакерской группой Turla (известной также как Waterbug, Venomous Bear и KRYPTON).

Речь о проблеме CVE-2008-3431, которую первыми начали эксплуатировать Turla, использовании подписанного драйвер VirtualBox (VBoxDrv.sys v1.6.2) для деактивации Driver Signature Enforcement (DSE) и загрузки неподписанных драйверов-пейлоадов.

Вредонос AcidBox достаточно уникален по структуре («дизайнерский вирус»), Он использует некую форму стеганографии и прячет конфиденциальные данные в иконках, злоупотребляет интерфейсом SSP, чтобы надежно закрепиться в системе, хранит свою полезную нагрузку в реестре Windows и не похож ни на какую другую малварь.

Скорее всего данный вирус входит в состав большого авторского набора инструментов, вероятно, принадлежащих некой APT. Подробности неизвестны, а след, ведущий к Turla, весьма эфемерен.

Читайте также на АКБ:

Самые загадочные в мире русские хакеры Turla возобновили атаки

Подписываемся, следим @CyberAgency

Related Post

Лаборатория Касперского начнет инициативу прозрачности в 2018 году

Опубликовано - 23.10.2017 0
Фирма кибербезопасности «Лаборатория Касперского» начала международную инициативу прозрачности, чтобы вернуть доверие после обвинения в содействии российской разведке и доказать, что…