Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

Новая кибергруппировка NGC4020 специализируется на отключении защитных решений при атаках на российские компании

31/01/25

hack167

В одном из недавних случаев киберпреступники атаковали промышленную организацию, используя технику, которая позволяет деактивировать защитные решения независимо от вендора. В ходе расследования выяснилось, что злоумышленники проникли в сеть через уязвимость в программном обеспечении «DameWare Mini Remote Control», предназначенном для удаленного управления компьютерами. Оказалось, что с момента пандемии для некоторых систем организации порт DameWare оставался доступным из внешней сети, чем и воспользовались хакеры, пишут в Securitylab.

После проникновения в систему они загрузили вредоносный файл в директорию агента администрирования антивирусного решения и отключили антивирусное ПО, разработанное «Лабораторией Касперского». Специалисты Solar 4RAYS уведомили вендора о найденной уязвимости, в результате чего механизмы самозащиты продуктов были оперативно доработаны, а затем выпущены соответствующие обновления.

Одной из функций вредоносного ПО оказалось отключение технологии MiniFilter – технологии фильтрации файловой системы в Windows. Компоненты безопасности многих защитных решений используют MiniFilter для сбора информации об операциях в файловой системе, обнаружения необычного поведения, контроля за приложениями и анализа потенциальных угроз. Эту технологию также используют для защиты самого ИБ-продукта от несанкционированного доступа и отключения злоумышленниками.

В ходе подобной атаки вредоносный драйвер создает и регистрирует собственный MiniFilter, находит смещение callback-функции MiniFilter защитного решения и заменяет их фиктивной функцией-заглушкой, таким образом блокируя антивирусу возможность мониторинга. После этого злоумышленники могут загружать любой вредоносный софт на систему, не боясь обнаружение базовыми средствами защиты

Специалисты Solar 4RAYS также сообщили, что подобные техники отключения антивирусных решений встречаются в расследованиях все чаще. В одном из прошлых случаев злоумышленники вывели из строя ИТ-инфраструктуру российской промышленной компании, также предварительно отключив антивирус. Это удалось из-за изъяна при взаимодействии операционной системы Windows с цифровыми подписями драйверов.

В последние месяцы эксперты фиксируют рост атак, в которых применяются методы обхода и отключения средств защиты различных производителей. Они подчеркивают, что особую угрозу представляют действия проукраинских группировок, нацеленных не на «тихий» шпионаж , а на разрушение российской инфраструктуры.

Темы:Угрозыантивирусытактики киберпреступниковSolar 4RAYS
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →
Статьи по темеСтатьи по теме

  • Можно ли обойтись без потокового антивируса в NGFW?
    Василий Севостьянов, начальник отдела технического сопровождения продаж ООО “Доктор Веб"
    NGFW помимо других модулей обработки трафика включают в себя и потоковый антивирус – технологию, спроектированную для эффективного обнаружения и блокирования вирусов и вредоносного программного обеспечения на уровне сетевого трафика
  • Защита конечных точек: начало любой ИБ-стратегии
    Татьяна Белева, менеджер по развитию бизнеса ИБ “Сиссофт”
    Защита конечных точек (Endpoint Security) подразумевает обеспечение безопасности ПК, смартфонов и планшетов, офисной техники и серверов, которые входят в ИТ-ландшафт компании. Являясь точками ввода/вывода данных, все они вызывают повышенный интерес со стороны злоумышленников. Давайте посмотрим, как обстоят дела с защитой конечных точек сегодня.
  • Расширения для браузеров: удобный инструмент или ворота для хакеров?
    Ксения Рысаева, Руководитель группы аналитики Центра противодействия киберугрозам Innostage CyberART
    Расширения для браузеров и недостаточное внимание к ним со стороны администраторов усиливают риски возникновения угроз для компаний

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...