СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
18.04.2025
#ИБ#Инфра

Апрельская кибератака: угроза бэкдора для крупных организаций

Апрельская кибератака: угроза бэкдора для крупных организаций

Источник: securelist.ru

В апреле 2025 года стало известно о серьезной кибератаке, в результате которой был обнаружен сложный бэкдор, нацеленный на крупные организации в России. Основное внимание исследователей привлекли государственный, финансовый и промышленный сектора, которые стали жертвами этой продуманной атаки.

Как работает бэкдор

Бэкдор в первую очередь заражает компьютеры, работающие в сетях Vipnet, предназначенных для установления защищенных коммуникаций. Корень проблемы заключается в том, что бэкдор был скрыт в архивах с использованием расширения LZH, при этом имитируя обновления программного обеспечения для платформы Vipnet. Содержимое этих архивов включает:

  • Информационный файл (Action.inf);
  • Легальный исполняемый файл (lumpdiag.exe);
  • Вредоносный исполняемый файл (msinfo32.exe);
  • Зашифрованную полезную информацию с переменными именами файлов.

Механизм проникновения

Файл Action.inf указывает, что при обработке службой обновления Vipnet (ITCSRVUP64.EXE) легитимный исполняемый файл запускается с помощью команды, позволяющей активировать вредоносный компонент. Вредоносный код msinfo32.exe функционирует как загрузчик, извлекая встроенную зашифрованную информацию для загрузки бэкдора в память.

Функциональные возможности бэкдора

Одной из наиболее тревожных особенностей этой угрожающей программы является её способность устанавливать TCP-соединение с сервером управления. Это позволяет злоумышленникам:

  • Красть файлы;
  • Разворачивать дополнительные вредоносные компоненты.

Оценка угрозы

Решения по кибербезопасности, в частности от «Лаборатории Касперского«, классифицировали данный бэкдор как Heur: Trojan.win32.loader.gen, основываясь на его поведении и характеристиках. Это подчеркивает растущую сложность кибератак, особенно тех, которые организуются APT-группами.

Необходимость защиты

Расследование данной атаки подчеркивает, что злоумышленники используют нетрадиционные методы для проникновения в свои цели, что требует надежной многоуровневой стратегии безопасности. Развертывание многоуровневой архитектуры защиты становится критически важным для эффективной защиты организаций от подобных сложных угроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: