Операция TA505, часть четвертая. Близнецы
Продолжаем рассказывать о деятельности хакерской группировки TA505. Всем известная фраза «новое — это хорошо забытое старое» как нельзя лучше подходит в качестве эпиграфа к очередной главе повествования о группе TA505. Правда, в этот раз «старое» не столько «забыто», сколько переработано и улучшено.
В начале сентября мы обнаружили несколько вредоносных загрузчиков, упакованных специальным PE-пакером группы, о котором мы писали ранее. На первый взгляд они были похожи на хорошо известные стейджеры бэкдора FlawedAmmyy. Но более глубокий анализ показал, что это не так. Не самые передовые техники написания кода вывели нас на кардинально противоположные полезные нагрузки по качеству исполнения.
В этой статье мы подробнее рассмотрим найденные инструменты и проведем параллели с тем, что уже известно. Читать дальше →
Источник: Хабрахабр
Похожие новости
- Поговорим о планировании внедрения DevSecOps
- Реверс — это сканворд. Как я впервые нормально понял Ghidra
- Хайстекс Акура 4.5: Свобода миграции без API, нативный бэкап PostgreSQL и защита от шифровальщиков на уровне S3
- Разработка под Kubernetes: локально всё работает, в проде — нет. Кейс с Tetragon и eBPF
- Налоги, Telegram и абсурд происходящего
- Как стать автором патента на изобретение и получить его за 2,5 месяца
- Сеть, в которой живут агенты: кто нажал Enter и как это проверить
- Не только про производительность — как балансировщик нагрузки обеспечивает отказоустойчивость
- Инсайдер в системе: как аппаратная блокировка перезаписи защищает данные от собственных сотрудников
- ИИ против ИИ: кто победит в кибербезопасности