[Перевод] Преступников обнаружили с помощью службы ATP в Защитнике Windows

Все блоги / Про интернет 1 февраля 2017 438

Когда в декабре 2016 года немецкий промышленный конгломерат сообщил, что в начале года подвергся атаке, оказалось, что за взломом данных стояла профессиональная преступная группа, занимающаяся промышленным шпионажем. По данным немецкой прессы, атака осуществлялась на базе внедряемого файла из семейства Winnti, который обеспечивал злоумышленникам постоянный доступ к сети конгломерата с февраля 2016 года.

Под катом мы рассмотрим внедренный вредоносный файл Winnti в том виде, в котором он использовался двумя известными преступными группами BARIUM и LEAD. Мы посмотрим, как они внедряли файл в различные системы, а также узнаем, с помощью каких методов исследователи Microsoft его отслеживали.

Читать дальше →

Источник: Хабрахабр

Оцените публикацию

предыдущая статья

следующая статья

Похожие публикации

Служба Advanced Threat Protection в Защитнике Windows

В начале февраля мы рассказывали вам про обнаружение преступников с помощью службы ATP в Защитнике Windows. В комментариях появились различные вопросы, относительно работы службы, поэтому мы решили поделиться подробным описанием её функционала. Читать дальше →

подробнее »

13 февраля 2017

Higaisa или Winnti? Как мы определяли принадлежность бэкдоров

В ходе мониторинга угроз ИБ в мае 2020 года эксперты Positive Technologies обнаружили несколько новых образцов вредоносного ПО (ВПО). На первый взгляд их следовало отнести к группе Higaisa, однако подробный анализ показал, что связывать эти вредоносы следует с группой Winnti (также известной как

подробнее »

19 января 2021

Форум avast! подвергся взлому

Как сообщается в блоге avast!, их форум подвергся взлому. Злоумышленникам стали доступны имена пользователей, электронные адреса, логины и пароли (в зашифрованном виде). Атака затронула только форум поддержки, лицензии и финансовые данные не были затронуты. Читать дальше →

подробнее »

27 мая 2014

[Перевод] PowerWare или PoshCoder? Сравнение и дешифрование

PowerWare загружается, с помощью Microsoft Word, документом с макрос-включениями и распространяется с помощью фишинговой спам-рассылки. Вредоносный документ пытается убедить пользователя включить макросы, сообщая им, что файл защищен Microsoft Office. Это, конечно же фарс. Как только макрос

подробнее »

26 апреля 2016

DRAMA: Новая атака позволяет похищать данные из не подключенных к сети виртуальных машин

На проходившей с 1 по 4 ноября в Лондоне конференции Black Hat Europe австрийские исследователи представили новую атаку, использующую особенности реализации взаимодействия CPU с DRAM. Метод позволяет злоумышленникам с помощью JavaScript красть чувствительную информацию прямо из виртуальных машин.

подробнее »

10 ноября 2016

XSS-уязвимость нулевого дня позволяет похищать учетные данные пользователей Cisco ASA

В начале февраля 2016 года в сеть попала информация о критической уязвимости межсетевых экранов Cisco ASA, которая позволяет злоумышленникам осуществлять удаленное выполнение кода. Спустя несколько дней после ее исправления, в этом продукте была обнаружена еще одна серьезная ошибка безопасности. 17

подробнее »

19 февраля 2016