•  ИНФОРМАЦИОННАЯ  БЕЗОПАСНОСТЬ  ГОСУДАРСТВЕННОГО  СЕКТОРА  ЭКОНОМИКИ,  БИЗНЕСА,  ЧАСТНОЙ  ЖИЗНИ  ГРАЖДАН  РОССИЙСКОЙ  ФЕДЕРАЦИИ
  • Новости
  • ESET раскрывает EmissarySoldier: группа LuckyMouse APT взломала правительственные сети и частные компании (телекоммуникационные компании, СМИ и банки) в Центральной Азии и на Ближнем Востоке
  1. Главная
  2. Новости
  3. ESET раскрывает EmissarySoldier: группа LuckyMouse APT взломала правительственные сети и частные компании (телекоммуникационные компании, СМИ и банки) в Центральной Азии и на Ближнем Востоке
ESET раскрывает EmissarySoldier: группа LuckyMouse APT взломала правительственные сети и частные компании (телекоммуникационные компании, СМИ и банки) в Центральной Азии и на Ближнем Востоке
29 апреля 2021

ESET раскрывает EmissarySoldier: группа LuckyMouse APT взломала правительственные сети и частные компании (телекоммуникационные компании, СМИ и банки) в Центральной Азии и на Ближнем Востоке

Исследование, представленное в отраслевом отчете ESET о работе правительства, согласовано с перспективами Европейской комиссии, ЦЕРН и Европола, представленных на виртуальной конференции ESET в рамках Европейского дня кибербезопасности 28 апреля.

БРАТИСЛАВА - стратегия кибербезопасности Европейского Союза и всех правительств во всем мире. бросили вызов не только его переходу к «цифровым по умолчанию», но и пандемии COVID-19, массовому переходу на работу из дома и угрозам, таким как кибершпионаж, программы-вымогатели и атаки на цепочки поставок. Прежде всего, самый серьезный вызов и противник, разделяемый всеми правительствами, - это группы постоянной постоянной угрозы (APT). 
Группы APT с использованием усовершенствованных инструментов
Отраслевой отчет ESETна правительстве исследует угрозу, создаваемую участниками APT, и подчеркивает ее сложный характер, эксклюзивно рассматривая EmissarySoldier, вредоносную кампанию, которую провела группа LuckyMouse APT с использованием своего инструментария SysUpdate для взлома компьютеров, на некоторых из которых было запущено популярное приложение Microsoft SharePoint. 
Это погружение в LuckyMouse исследует его относительно неизвестный инструментарий SysUpdate, первые образцы которого были обнаружены в 2018 году. С тех пор инструментарий прошел различные стадии разработки. Текущий метод работы LuckyMouse заключается в установке имплантатов с помощью так называемой модели трезубца, в которой используются три компонента: законное приложение, уязвимое для перехвата DLL, настраиваемая DLL, загружающая полезные данные, и необработанные двоичные полезные данные в кодировке Shikata Ga Nai. 

Поскольку модульная архитектура SysUpdate позволяет операторам по своему усмотрению ограничивать раскрытие вредоносных артефактов, исследователи ESET не извлекали никаких вредоносных модулей и ожидают, что это будет постоянной проблемой в будущих анализах. Тем не менее, LuckyMouse увеличила свою активность в 2020 году, по-видимому, проходя процесс переоснащения, в ходе которого различные функции постепенно интегрировались в набор инструментов SysUpdate

Обзор модели трезубца

Поскольку модульная архитектура SysUpdate позволяет операторам по своему усмотрению ограничивать раскрытие вредоносных артефактов, исследователи ESET не извлекали никаких вредоносных модулей и ожидают, что это будет постоянной проблемой в будущих анализах. Тем не менее, LuckyMouse увеличила свою активность в 2020 году, по-видимому, проходя процесс переоснащения, в ходе которого различные функции постепенно интегрировались в набор инструментов SysUpdate. 
Развитие инструментов, используемых APT-группами, такими как LuckyMouse, вызывает серьезную озабоченность, поскольку на правительства возложена ответственность за обеспечение стабильности для граждан, деловой среды и взаимодействия с другими национальными государствами. Эти задачи управления находятся под угрозой, поскольку LuckyMouse и другие группы APT, в том числе государственные субъекты и их сотрудники, используют широко распространенные платформы для совместной работы, такие как Microsoft SharePoint и предоставление цифровых услуг по умолчанию. 
Правительство в фокусе
В 2020 и 2021 годах несколько совместных исследовательских проектов ESET достигли зрелости, включая взаимодействие с такими организациями, как Европейская организация ядерных исследований (CERN, Европол и Французское национальное агентство кибербезопасности (ANSSI)). Многие из своих точек зрения поделились виртуальное мероприятие и в отчете подчеркните, что правительства и их ИТ-инфраструктура существуют в качестве целей по умолчанию.

Материал подготовлен  Eset NOD32 




Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь с политикой конфиденциальности

Ваши контактные данные не публикуются на сайте.

Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь с политикой конфиденциальности

Теги:
Новости
Все публикации
Важное
Import_sec-centre.png
Пришлите готовый запрос на E-mail
или заполните форму

Отправить запрос
Тренды

Популярное

08.04.2025

В марте 2025 Интернет Контроль Сервер (ИКС) обновился до версии 12.1

Среди основных обновлений – изменения службы уведомлений, Telegram-бота, VPN, Xauth, а также отказ от службы «Веб-фильтр SkyDNS» и соответствующих категорий и стандартного набора правил

02.04.2025

DLP-система «СёрчИнформ КИБ» защищает файлы в «МойОфис Документы Онлайн»

«МойОфис» и «СёрчИнформ» подтвердили совместимость своих продуктов: решения для совместной работы и хранения документов «МойОфис Документы Онлайн» и DLP-системы для защиты от утечек информации «СёрчИнформ КИБ»

01.04.2025

«Группа Астра» расширила функциональность и повысила уровень безопасности отечественной службы каталога ALD Pro в релизе 2.5.0

«Группа Астра» объявляет о выходе службы каталога ALD Pro 2.5.0. Этот релиз содержит несколько десятков дополнений и улучшений, благодаря которым продукт стал еще более безопасным, надежным, производительным и удобным в использовании

27.03.2025

«Киберпротект» представляет новую версию DLP-системы Кибер Протего 10.5

Компания «Киберпротект» представила обновление Кибер Протего. Начиная с версии 10.5, в российской DLP-системе существенно расширены возможности для Linux-инфраструктур, добавлены новые контролируемые каналы передачи данных, функции контроля рабочего времени

19.03.2025

Вышла новая версия 1.9.14.12 типовой конфигурации «1С:Библиотека электронных документов»

Версия 1.9.14 является развитием редакции 1.9 «1С:Библиотека электронных документов 8», которая предназначена для обеспечения обмена электронными документами в прикладных решениях, разработанных на платформе «1С:Предприятие» версии 8.3.24.1548 и выше

13.02.2025

Три продукта Content AI получили ИИ-маркировку в реестре отечественного ПО

Решение для интеллектуального корпоративного поиска Content AI Intelligent Search, cерверное решение для распознавания и конвертации документов ContentReader® Server и многофункциональный OCR SDK для разработчиков ContentReader® Engine получили официальный статус продуктов с признаками искусственного интеллекта. Это подтвердила экспертиза, проводимая специалистами Минцифры РФ

21.03.2025

Dr.Web Industrial для АСУ ТП сертифицирован ФСТЭК России

ФСТЭК России сертифицировал Dr.Web Industrial для защиты серверов и рабочих станций в промышленных системах управления.

20.03.2025

Количество кластеров под управлением Deckhouse Kubernetes Platform превысило тысячу

Deckhouse Kubernetes Platform (DKP) от компании «Флант» достигла значимого показателя – к началу 2025 года количество кластеров под  управлением платформы превысило 1000, охватывая широкий спектр отраслей: ретейл, промышленность, банкинг, финтех, сырьевые компании, госструктуры, ИТ, медицину, образование, логистику и СМИ. Большой проектный опыт позволил разработчику занять лидирующие позиции по контрибуциям в Kubernetes среди российских компаний и стать отраслевым технологическим стандартом.

24.04.2024

Решение Kaspersky EDR вошло в состав сервиса по защите рабочих станций и серверов от МТС RED SOC

Решение Kaspersky Endpoint Detection and Response вошло в состав технологии защиты рабочих станций и серверов, которая дополнила сервисы центра мониторинга и реагирования на кибератаки МТС RED SOC

Мы используем куки (cookies) с целью повышения удобства вашей работы с сайтом.

Продолжая работу с сайтом, вы соглашаетесь с нашей политикой конфиденциальности.