Вредоносное ПО оставалось незамеченным в течение пяти лет
Вредоносное ПО оставалось незамеченным в течение пяти лет. Фото: СС0
Исследователи из Symantec рассказали, что группа, которую они назвали Lancefly, была замечена при использовании специальной вредоносной программы для атаки на вышеупомянутые организации.
Lancefly использует специальный информационный стиллер под названием Merdoor, который, по словам исследователей, циркулирует как минимум с 2018 года. Исследователи обнаружили его в некоторых кампаниях еще в 2020 и 2021 годах, но для этой конкретной кампании вредоносное ПО используется с середины 2022 г.
Эксперты Symantec утверждают, что злоумышленники не забрасывают Merdoor широкой сетью, а довольно придирчивы к своим целям.
Из сообщения исследователей безопасности:
«Лишь небольшое количество машин заражено».
Merdoor имеет ряд функций, в том числе установку себя в качестве службы, кейлогинг, различные средства связи с сервером C2 (HTTP, HTTPS, DNS и т. д.) и возможность прослушивания команд на локальном порту.
Данные свидетельствуют о том, что Lancefly использует классические методы фишинга для распространения бэкдора на конечные точки. Исследователи заявили, что для этой конкретной кампании вектор заражения не был ясен. В одном случае злоумышленники, похоже, использовали перебор SSH. В другом случае для доступа мог использоваться балансировщик нагрузки.
Из сообщения исследователй безопасности:
«Хотя доказательства наличия любого из этих векторов инфекции не являются окончательными, они, по-видимому, указывают на то, что Lancefly адаптируется, когда речь идет о типах переносчиков инфекции, которые он использует».
Идентичность группы остается загадкой. В своих кампаниях Lancefly использует руткит ZXSHell, который подписан сертификатом «Wemade Entertainment Co. Ltd». Этот сертификат связан с Blackfly (AKA APT41), китайским злоумышленником. Однако эта группа известна тем, что делится своими сертификатами с другими хакерами.
Startpack подготовил список облачных сервисов для хранения паролей. Платные и бесплатные платформы для работы с паролями, необходимыми для доступа к прикладным программам или веб-сервисам. Обязательное шифрование данных защищает критически важную информацию от хищения или повреждения злоумышленниками. Автоматическая сортировка и заполнение полей с паролём облегчает доступ к сервисам. Возможность создания резервных копий базы паролей для сохранения на случай сбоя или ошибки.
Статьи по теме
Комментариев пока не было