Forwarded from ESCalator
В начале июня 2024 года специалисты департамента Threat Intelligence выявили новую цепочку атаки PhaseShifters.
✍️ PhaseShifters (Sticky Werewolf, UAC-0050
В своих атаках группировка использует фишинг: злоумышленники отправляют письма якобы от официальных лиц с просьбой ознакомиться с документом и подписать его. Документ находится во вложении внутри защищенного паролем архива. В качестве ВПО злоумышленники используют Rhadamanthys, DarkTrack RAT, Meta Stealer и другие.
На данный момент мы склоняемся к тому, что UAC-0050 и PhaseShifters — это одна и та же группировка, но убедиться в этом можно будет только после более длительного наблюдения.
Летом этого года обе группировки начали использовать идентичные паттерны в своих атаках. Дошло даже до того, что ВПО группировок располагалось в одном и том же репозитории BitBucket. Это заставило нас углубиться в эту тему.
#TI #Hunt #Malware #APT
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from ESCalator
Стиль гадюки 🐍
Может ли злоумышленник использовать всем известные инструменты и оставаться незамеченным более полутора лет? Наш ответ — да.
В середине октября 2024 года департамент киберразведки экспертного центра безопасности Positive Technologies (PT Expert Security Center) зафиксировал таргетированную рассылку Revenge RAT, нацеленную на сотрудников финансовых подразделений российских компаний.
Особое внимание привлекли необычные африканские названия управляющей инфраструктуры злоумышленников. Углубившись в исследование, мы выявили и отследили новую, ранее не описанную APT-группировку, атакующую российские компании как минимум с мая 2023 года.
В связи с использованием африканских названий, регулярными обновлениями семплов и приманок, «пятнистостью» названий вредоносных файлов и продолжительной скрытностью в киберпространстве мы назвали группировку DarkGaboon — в честь африканской габонской гадюки, которую можно встретить в окрестностях стратовулкана Килиманджаро.
😏 Подробнее о группировке и ее техниках вы можете прочитать в исследовании на нашем сайте.
#TI #APT #Malware
@ptescalator
Может ли злоумышленник использовать всем известные инструменты и оставаться незамеченным более полутора лет? Наш ответ — да.
В середине октября 2024 года департамент киберразведки экспертного центра безопасности Positive Technologies (PT Expert Security Center) зафиксировал таргетированную рассылку Revenge RAT, нацеленную на сотрудников финансовых подразделений российских компаний.
Особое внимание привлекли необычные африканские названия управляющей инфраструктуры злоумышленников. Углубившись в исследование, мы выявили и отследили новую, ранее не описанную APT-группировку, атакующую российские компании как минимум с мая 2023 года.
В связи с использованием африканских названий, регулярными обновлениями семплов и приманок, «пятнистостью» названий вредоносных файлов и продолжительной скрытностью в киберпространстве мы назвали группировку DarkGaboon — в честь африканской габонской гадюки, которую можно встретить в окрестностях стратовулкана Килиманджаро.
#TI #APT #Malware
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from ESCalator
Лох не мамонт, APK не видео 🦣
В конце 2024 — начале 2025 года в сети активно обсуждалась информация о распространении в Telegram вируса Mamont. Этот банковский троян, представляющий собой вредоносный .apk-файл, встречался нам с именами
При установке на телефон — запрашивает разрешение на установку в качестве приложения для СМС по умолчанию. При закрытии скрывает от пользователя свое присутствие в системе, убирая значок из меню на главном экране. При этом в фоновом режиме собирает информацию об установленных приложениях, о сим-картах, СМС-сообщениях, вызовах, а также другие пользовательские данные и отправляет их на управляющий сервер.
🔑 Пути проникновения на ваш Android
Неизвестный отправляет вам в мессенджере файл с расширением .apk и спрашивает, не вы ли изображены на фото или видео. Иногда требует срочно открыть архив с документами, который представляет собой .apk-файл.
Вирус также может попасть на устройство:
• через фишинговые сайты;
• через QR-коды для вступления в закрытые группы, каналы и т. п.;
• под видом легитимных приложений (.apk-файлы не с официальных магазинов);
• при наличии физического доступа у злоумышленника.
🔐 Как не попасться
1️⃣ Будьте более внимательными:
• не переходите по ссылкам из сообщений, не посмотрев, куда они ведут;
• не вводите данные учетной записи на подозрительных ресурсах;
• избегайте сканирования QR-кодов в общественных местах (они могут вести на фишинговые сайты);
• не открывайте файлы из недоверенных источников.
2️⃣ Настройте конфиденциальность в мессенджере. Вы можете запретить приглашать вас в группы и отключить получение СМС-сообщений от незнакомых пользователей («Настройки» → «Конфиденциальность»).
3️⃣ При получении от знакомого голосовых, СМС- и видеосообщений с необычными просьбами свяжитесь с ним через альтернативные каналы (злоумышленники часто используют дипфейки).
4️⃣ Не храните пароли и банковские реквизиты в избранных сообщениях и чатах.
5️⃣ Устанавливайте приложения только из официальных магазинов и с сайтов разработчиков. Проверяйте запрашиваемые разрешения: если приложение требует доступ к данным, не соответствующим его функциональности, это может указывать на вредоносное ПО.
6️⃣ Регулярно проверяйте список установленных приложений — раздел «Приложения» («Установленные файлы» и т. п.) в параметрах устройства. Некоторое вредоносное ПО скрывает себя от пользователя. Можно также использовать средства для мониторинга активности, которые уведомят о подозрительных действиях.
7️⃣ Обращайте внимание на уведомления и поведение устройства. Если приходит много нетипичных уведомлений или устройство сильно нагревается в неактивном состоянии, это может быть признаком того, что оно заражено.
8️⃣ Регулярно обновляйте ОС и приложения. В обновлениях часто содержатся исправления безопасности.
9️⃣ Используйте проверенные антивирусы.
1️⃣ 0️⃣ Для защиты от физического доступа к устройству используйте надежный пароль.
1️⃣ 1️⃣ Регулярно создавайте резервные копии данных и храните их в безопасном месте.
1️⃣ 2️⃣ Для оценки ущерба при заражении мобильного устройства проведите его исследование.
1️⃣ 3️⃣ Постоянно обучайтесь и будьте в курсе новых угроз. Для общей осведомленности можете пройти бесплатные курсы Positive Technologies — «Личная кибербезопасность» и «Базовая кибербезопасность: первое погружение».
💡 Помните, что APK (Android Package Kit) — это формат, используемый в контексте приложений, но никак не для фото- и видеофайлов.
🎁 Бонус: опубликовали IoCs за 2025 год в Telegraph.
#news #tips #malware
@ptescalator
В конце 2024 — начале 2025 года в сети активно обсуждалась информация о распространении в Telegram вируса Mamont. Этот банковский троян, представляющий собой вредоносный .apk-файл, встречался нам с именами
CBO-Information.apk, Фoтoгpaф.apk, Google Video.apk, Video.apk, Видео.apk, Фото.apk, Photo.apk, Докyмент <Количество штук>.apk и т. п.При установке на телефон — запрашивает разрешение на установку в качестве приложения для СМС по умолчанию. При закрытии скрывает от пользователя свое присутствие в системе, убирая значок из меню на главном экране. При этом в фоновом режиме собирает информацию об установленных приложениях, о сим-картах, СМС-сообщениях, вызовах, а также другие пользовательские данные и отправляет их на управляющий сервер.
Неизвестный отправляет вам в мессенджере файл с расширением .apk и спрашивает, не вы ли изображены на фото или видео. Иногда требует срочно открыть архив с документами, который представляет собой .apk-файл.
Вирус также может попасть на устройство:
• через фишинговые сайты;
• через QR-коды для вступления в закрытые группы, каналы и т. п.;
• под видом легитимных приложений (.apk-файлы не с официальных магазинов);
• при наличии физического доступа у злоумышленника.
🔐 Как не попасться
• не переходите по ссылкам из сообщений, не посмотрев, куда они ведут;
• не вводите данные учетной записи на подозрительных ресурсах;
• избегайте сканирования QR-кодов в общественных местах (они могут вести на фишинговые сайты);
• не открывайте файлы из недоверенных источников.
💡 Помните, что APK (Android Package Kit) — это формат, используемый в контексте приложений, но никак не для фото- и видеофайлов.
🎁 Бонус: опубликовали IoCs за 2025 год в Telegraph.
#news #tips #malware
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from ESCalator
Desert Dexter — группировка, атакующая жителей арабских государств 👽
Cпециалисты группы киберразведки TI-департамента PT ESC обнаружили вредоносную кампанию, нацеленную на жителей стран Ближнего Востока и Северной Африки, активную с сентября 2024 года.
👾 В качестве ВПО выступает AsyncRAT, использующий модифицированный модуль IdSender, который собирает информацию о наличии в браузерах расширений для двухфакторной аутентификации, расширений криптокошельков, а также о наличии ПО для работы с ними.
Для распространения AsyncRAT злоумышленники создают поддельные новостные группы в социальных сетях и публикуют посты с рекламой. Эти посты содержат ссылки на файлообменник или Telegram-канал, где и располагается вредонос.
🔍 В ходе исследования мы обнаружили около 900 потенциальных жертв, большая часть которых — обычные пользователи.
Подробное изучение инцидентов и пострадавших показало, что наиболее атакуемыми странами являются Египет 🇪🇬, Катар 🇶🇦, Ливия 🇱🇾, ОАЭ 🇦🇪, Саудовская Аравия 🇸🇦 и Турция 🇹🇷. Мы назвали группировку Desert Dexter, в честь одного из подозреваемых.
👤 Мы также выяснили, что злоумышленники создают временные аккаунты и новостные каналы в «лицекниге»* и обходят правила фильтрации рекламы. Подобная атака была описана в 2019 году экспертами Check Point, но сейчас наблюдается изменение некоторых ее техник.
🐃 Подробнее о том, какую цепочку атаки подготовила Desert Dexter, читайте в исследовании на нашем сайте.
*Принадлежит Meta, которая признана экстремистской организацией и запрещена в России.
#TI #APT #malware
@ptescalator
Cпециалисты группы киберразведки TI-департамента PT ESC обнаружили вредоносную кампанию, нацеленную на жителей стран Ближнего Востока и Северной Африки, активную с сентября 2024 года.
👾 В качестве ВПО выступает AsyncRAT, использующий модифицированный модуль IdSender, который собирает информацию о наличии в браузерах расширений для двухфакторной аутентификации, расширений криптокошельков, а также о наличии ПО для работы с ними.
Для распространения AsyncRAT злоумышленники создают поддельные новостные группы в социальных сетях и публикуют посты с рекламой. Эти посты содержат ссылки на файлообменник или Telegram-канал, где и располагается вредонос.
Подробное изучение инцидентов и пострадавших показало, что наиболее атакуемыми странами являются Египет 🇪🇬, Катар 🇶🇦, Ливия 🇱🇾, ОАЭ 🇦🇪, Саудовская Аравия 🇸🇦 и Турция 🇹🇷. Мы назвали группировку Desert Dexter, в честь одного из подозреваемых.
👤 Мы также выяснили, что злоумышленники создают временные аккаунты и новостные каналы в «лицекниге»* и обходят правила фильтрации рекламы. Подобная атака была описана в 2019 году экспертами Check Point, но сейчас наблюдается изменение некоторых ее техник.
🐃 Подробнее о том, какую цепочку атаки подготовила Desert Dexter, читайте в исследовании на нашем сайте.
*Принадлежит Meta, которая признана экстремистской организацией и запрещена в России.
#TI #APT #malware
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM