itkvariat

    Хакерская группировка Ke3chang освоила новую модификацию бэкдора Okrum




    Международная антивирусная компания ESET обнаружила новую модификацию бэкдора Okrum. Анализ образцов дает основание полагать, что они входят в арсенал хакерской группировки Ke3chang (также известной как APT15).

    Несмотря на техническую простоту Okrum, злоумышленники умеют скрывать его присутствие. Например, загрузчик вредоносной программы спрятан в PNG-файле, а дополнительные зашифрованные файлы не видны пользователю. Операторы бэкдора также скрывают вредоносный трафик с помощью C&C-сервера.  

    «Некоторые вредоносные образцы, использованные против словацких компаний, связывались с доменом, который имитировал словацкий картографический портал», — комментирует эксперт ESET Зузана Хромцова.
    Впервые Okrum был детектирован в декабре 2016 года. В течение 2017 года бэкдор использовался для таргетированных атак на дипломатические миссии и госучреждения в Словакии, Бельгии, Бразилии, Чили и Гватемале. 

    При этом злоумышленники нацеливались на организации, ранее пострадавшие от другого семейства вредоносных программ под названием Ketrican.

    Бэкдор Ketrican был зафиксирован в 2015 году — тогда ESET заметила подозрительную активность в Словакии, Хорватии, Чехии и ряде других стран. Проанализировав образцы вредоносного ПО, эксперты решили, что они входят в набор группировки Ke3chang. В последующие годы ESET фиксировала появление новых версий этого бэкдора.  

    «Мы выяснили, что вредоносные программы Okrum и Ketrican использовались при атаках на одни и те же дипломатические учреждения, — говорит эксперт ESET Зузана Хромцова. — Группировка по-прежнему активна — в марте 2019 года мы зафиксировали очередной образец Ketrican».

    Киберпреступники из Ke3chang активны как минимум с 2010 года. Цель хакеров — шпионаж за дипломатическими организациями в Европе. Подробный отчет о вредоносной активности Ke3chang — по ссылке (pdf).






    Подписывайтесь и читайте новости от ITквариат раньше остальных в нашем Telegram-канале !



    Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!  




    И еще об интересном...
  • Хакерская группировка Buhtrap переключилась на кибершпионаж
  • Новый бэкдор GoBotKR атакует китайских и корейских пользователей торрентов
  • Бэкдор группировки Sednit оказался сложнее, чем думали раньше
  • Раскрыт новый арсенал инструментов хакерской группировки Turla
  • Бэкдор группировки Turla позволяет редактировать письма на серверах Microsoft Exchange
  • 25% обнаружений Win32 / Glupteba приходится на Россию, Украину и Турцию
  • Что случилось в первый день PHDays 8 или "Цифра" наизнанку


  • А что вы думаете? Напишите в комментариях!
    Кликните на изображение чтобы обновить код, если он неразборчив



    В комментариях запрещено использовать ненормативную лексику, оскорблять других пользователей сайта, запрещены активные ссылки на сторонние сайты и реклама в комментариях. Уважаемые читатели! Просим вас, оставляя комментарии, уважать друг друга и не злоупотреблять свободой слова. Пользователи, которые нарушают эти правила грубо или систематически, будут заблокированы.

    Полная версия правил

Самое популярное
    
Проверьте скорость вашего интернета!


Что бывало...
Наши друзья
Сервисный центр Five Service

Магазин кабелей и аксессуаров UGREEN

Самоклейкин

Смарт



Хакерская группировка Ke3chang освоила новую модификацию бэкдора Okrum




Международная антивирусная компания ESET обнаружила новую модификацию бэкдора Okrum. Анализ образцов дает основание полагать, что они входят в арсенал хакерской группировки Ke3chang (также известной как APT15).

Несмотря на техническую простоту Okrum, злоумышленники умеют скрывать его присутствие. Например, загрузчик вредоносной программы спрятан в PNG-файле, а дополнительные зашифрованные файлы не видны пользователю. Операторы бэкдора также скрывают вредоносный трафик с помощью C&C-сервера.  

«Некоторые вредоносные образцы, использованные против словацких компаний, связывались с доменом, который имитировал словацкий картографический портал», — комментирует эксперт ESET Зузана Хромцова.
Впервые Okrum был детектирован в декабре 2016 года. В течение 2017 года бэкдор использовался для таргетированных атак на дипломатические миссии и госучреждения в Словакии, Бельгии, Бразилии, Чили и Гватемале. 

При этом злоумышленники нацеливались на организации, ранее пострадавшие от другого семейства вредоносных программ под названием Ketrican.

Бэкдор Ketrican был зафиксирован в 2015 году — тогда ESET заметила подозрительную активность в Словакии, Хорватии, Чехии и ряде других стран. Проанализировав образцы вредоносного ПО, эксперты решили, что они входят в набор группировки Ke3chang. В последующие годы ESET фиксировала появление новых версий этого бэкдора.  

«Мы выяснили, что вредоносные программы Okrum и Ketrican использовались при атаках на одни и те же дипломатические учреждения, — говорит эксперт ESET Зузана Хромцова. — Группировка по-прежнему активна — в марте 2019 года мы зафиксировали очередной образец Ketrican».

Киберпреступники из Ke3chang активны как минимум с 2010 года. Цель хакеров — шпионаж за дипломатическими организациями в Европе. Подробный отчет о вредоносной активности Ke3chang — по ссылке (pdf).






Подписывайтесь и читайте новости от ITквариат раньше остальных в нашем Telegram-канале !



Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!  




И еще об интересном...
  • Хакерская группировка Buhtrap переключилась на кибершпионаж
  • Новый бэкдор GoBotKR атакует китайских и корейских пользователей торрентов
  • Бэкдор группировки Sednit оказался сложнее, чем думали раньше
  • Раскрыт новый арсенал инструментов хакерской группировки Turla
  • Бэкдор группировки Turla позволяет редактировать письма на серверах Microsoft Exchange
  • 25% обнаружений Win32 / Glupteba приходится на Россию, Украину и Турцию
  • Что случилось в первый день PHDays 8 или "Цифра" наизнанку


  • А что вы думаете? Напишите в комментариях!
    Кликните на изображение чтобы обновить код, если он неразборчив



    В комментариях запрещено использовать ненормативную лексику, оскорблять других пользователей сайта, запрещены активные ссылки на сторонние сайты и реклама в комментариях. Уважаемые читатели! Просим вас, оставляя комментарии, уважать друг друга и не злоупотреблять свободой слова. Пользователи, которые нарушают эти правила грубо или систематически, будут заблокированы.

    Полная версия правил
    ITквариат (АйТиквариат) Powered by © 1996-2024