Республика Коми, г. Сыктывкар
ул. Первомайская, 70, офис 448
телефон: (8212) 245-000
25-09-82, 25-09-83
факс: 44-55-62
icq: 292-824-412
Skype: Линия
Безопасности
НовостиБольше
22.08.17
Шпион, который меня любил. Кто за Вами следит?
08.08.17
Обновленный Kaspersky Endpoint Security для бизнеса
21.07.17
Загугленная карьера. Что не стоит гуглить на работе
20.07.17
Что происходит на рынке биометрических технологий
19.07.17
Работает оптимально. ESET NOD32 не загружает систему
18.07.17
Портал гос.услуг может начать заражать посетителей
17.07.17
Уходим с радаров. Cлежка Google и других корпораций
14.07.17
Первопроходец в области квантовых компьютеров
13.07.17
Более миллиона загрузок: очередной Android-троянец
12.07.17
69% компаний не проводят тренинги по кибербезопасности

Новости

Главная Новости
« Назад

ESET 17.05.2017 12:33

2

 

Специалисты ESET выявили новую кибератаку, реализованную группой российских хакеров Sednit. Киберпреступники используют эксплойты к уязвимостям нулевого дня в продуктах Microsoft.



Группа Sednit, также известная как APT28, Fancy Bear и Sofacy, действует как минимум с 2004 года и специализируется на краже конфиденциальной информации. Группе приписывают атаки на Демократическую партию США, парламент Германии, французский телеканал TV5 Monde и допинговое агентство WADA. В октябре 2016 года ESET опубликовала отчетоб инструментах и тактике Sednit. 



В апреле группа вновь напомнила о себе — хакеров обвинили во «вмешательстве в французские выборы», в частности, в атаке на штаб Эммануэля Макрона и Хиллари Клинтон. Одновременно с этим внимание специалистов ESET привлекла фишинговая рассылка с документом под названием Trump’s_Attack_on_Syria_English.docx во вложении.



Фишинговое письмо эксплуатирует тему решения Дональда Трампа о ракетном ударе по Сирии. Документ-приманка содержит копию соответствующей статьи, опубликованной 12 апреля в The California Courier.



Изучив документ, в ESET установили, что он предназначен для загрузки вредоносной программы Seduploader — известного инструмента разведки из арсенала группы Sednit. С этой целью хакеры используют два эксплойта — к уязвимости удаленного выполнения кода в Microsoft Word (CVE-2017-0262) и к уязвимости локального повышения привилегий в Windows (CVE-2017-0263). Данная схема типична для Sednit — использование фишинговой рассылки с вредоносным вложением для установки инструмента первого этапа.

 

Новая атака подтверждает, что кибергруппа Sednit не снижает активности и не меняет привычки — известные методы, повторное использование кода из других вредоносных программ, небольшие ошибки типа опечатки в конфигурации Seduploader (shel вместо shell). Кроме того, хакеры продолжают дорабатывать инструментарий, добавляя новые встроенные функции, в частности, скриншоттер.

 

3

 

После предупреждения Microsoft выпустила обновление безопасности, закрывающее перечисленные уязвимости. ESET напоминает о необходимости своевременно устанавливать все патчи ПО, выпускаемые производителями, и использовать комплексные решения для безопасности.


 
 
Rambler's Top100

partner.gif

logo_w

Аутсорсинг IT в г. Сыктывкаре. Поставка лицензионного программного обеспечения (ПО) в Республике Коми. Поставка и обслуживание компьютеров в г. Сыктывкаре. Администрирование серверов Microsoft.  Антивирусная защита. Сервис. Резервное копирование ценных данных. Лицензия ФСТЭК на деятельность по технической защите конфиденциальной информации 2888 от 17 мая 2016 года. Приведение систем защиты персональных данных (ПДн) в соответствие с законом 152-ФЗ. Защита информации. Консультирование. Создание сайтов.

ООО "Линия Безопасности"
Адрес: Республика Коми, г. Сыктывкар
ул. Первомайская, 70, офис 448

Моб.: +79634880982
Раб.: +7 (8212) 245-000
Факс: +7 (8212) 44-55-62

e-mail: info@seculine.ru
http://www.seculine.ru
Skype: Линия Безопасности