Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Новости проекта

Отраслевые новости

Угрозы

Преступления

Наказания

Партнеры


Журнал "Information Security"

Каталог "IT-Security"

Рекламодателям

Сотрудничество


Материалы

Форум

ITSec Weekly

Календарь

Публикации

Подписка

Контакты

Ссылки

Партнеры

Мероприятия

 
    Хакеры атакуют организации в Италии

Хакеры атакуют организации в Италии


16.06.2017

Хакеры атакуют организации в Италии

Специалист компании Yoroi Марко Рамилли (Marco Ramilli) описал многоэтапную атаку, направленную на итальянские организации. В рамках вредоносной кампании злоумышленники рассылают электронные письма на итальянском языке с загрузчиком, замаскированным под бланк заказа (ordine_065.js).

 Данный загрузчик загружает и исполняет PE-файл, содержащий ряд компонентов, основными из которых являются три модуля - Anti Module, Service и RunPe. IP-адрес ресурса (31.148.99.254), с которого загружается файл, предположительно принадлежит расположенной в Украине компании, специализирующейся на предоставлении облачных услуг.

 Как выяснил исследователь, компонент Anti Module отвечает за использование различных техник уклонения от обнаружения. Он проводит проверки на предмет нахождения на виртуальной машине и при обнаружении инструментов SanBoxie, Fiddler и Wireshark меняет собственное поведение. Второй модуль пытается деактивировать различные функции Windows, например, Контроль учетных записей, Интерпретатор команд, Планировщик задач и т.д. Наконец, модуль RunPe расшифровывает и исполняет дополнительную полезную нагрузку.

 Эксперт не указывает, о каком вредоносном ПО идет речь или для чего оно предназначено. По его словам, интересен тот факт, что злоумышленники используют различные методы для маскировки источника атаки. Например, в коде встречаются строки как на русском языке, так и иероглифы, однако их наличие отнюдь не говорит о том, что атака - совместная операция хакеров из РФ и Китая. Более подробный технический анализ представлен в блоге исследователя.

Securitylab


Добавить комментарий

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код:









Реклама на сайте

ПОИСК

СВЕЖИЙ НОМЕР
ПОДПИСКА НА НОВОСТИ

 

 

 

 

Рейтинг@Mail.ru

Яндекс цитирования

Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Бесплатная подписка | Форум | Контакты | Ссылки | О чем этот сайт

Copyright © 2003-2013, ООО "Гротек"
Использование материалов сайта возможно при указании активной гиперссылки на главную страницу этого сайта. Ссылка должна выглядеть так: Itsec.Ru.