Jli.dll по-новому: как хакеры использовали известную DLL в фишинге якобы от имени Минцифры

В конце мая стало известно о том, что хакеры пытались организовать вредоносную рассылку якобы от Минцифры. Архив из этой рассылки получили для анализа специалисты Solar JSOC CERT. В нем мы обнаружили jli.dll. Эту DLL часто используют злоумышленники для…

, , , , ,
[recovery mode] Поиск вредоносного кода «голыми руками»

Последнее время появилась острая необходимость проверять, что прилетело с очередными обновлениями кода в папку /vendor /venv или любую другую, где лежат исходники внешних зависимостей проекта. (poetry, composer, go install и тд., кто на чем пишет). Ска…

, , , ,
На госорганы Украины произошла кибератака. На почту рассылались письма со ссылкой на скачивание вредоносной программы Cobalt Strike Beacon

Правительственная команда реагирования на компьютерные чрезвычайные события при Госспецсвязи Украины CERT-UA выявила распространение электронных писем якобы от имени государственных органов Украины с призывами скачать обновления для повышения безопасно…

, , , , , , , , ,
По следам TeamBot: как мы столкнулись с новыми функциями знакомого ВПО

В октябре 2021 года к нам в Solar JSOC CERT поступил запрос: одна крупная технологическая компания попросила помочь в расследовании инцидента. В процессе работы мы обнаружили старую знакомую — вредоносную DLL TeamBot (aka TeamSpy, TVSPY, TeamViewerENT,…

, , , , , ,
Экстенсивный подход. Как много техник можно обнаружить в одном образце вредоносного программного обеспечения (ВПО)

— «Прошу расшифровать трафик в адрес …» — описание задачи в трекере.— «Давай, Морти! Приключение на 20 минут. Зашли и вышли.» — ответил голос в голове.Но, как и у героев мультфильма, приключение несколько затянулось. Расшифрованный трафик только привле…

,
Кого только не встретишь в инфраструктуре: с какими семействами ВПО мы чаще всего имели дело в этом году

Годы идут, а ВПО остается основной головной болью кибербезопасников. Мы недавно считали: почти 40% хакерских атак происходит именно с помощью вредоносного ПО. Одни вирусы даже не успевают попасть в ИТ-периметр – их ловят на подлете. Другим же удается с…

, , , , , ,
[Перевод] Бэкдор от монгольского центра сертификации CA MonPass

Мы обнаружили загружаемый с официального сайта MonPass (крупного центра сертификации в Монголии) установщик с бинарными файлами Cobalt Strike (фреймворк, помогающий эксплуатировать уязвимости, закрепиться и продвинуться в целевой системе). Немедленно у…

, , , , , , , ,
Glupteba – скрытая угроза: как мы нашли вредонос, который больше двух лет прятался в инфраструктуре заказчика
 Glupteba – скрытая угроза: как мы нашли вредонос, который больше двух лет прятался в инфраструктуре заказчика
, , , , ,
Сервери Microsoft Exchange знову атакували

Непропатчені сервери Microsoft Exchange зараз активно заражаються  ботнетом Prometei, а їхні ресурси використовуються  для видобутку криптовалюти Monero (XMR). Про це […]

The post Сервери Microsoft Exchange знову атакували first appeared on CyberCalm.

, , , , , , , , , ,
Исследование: какие способы обхода антивирусов используют хакеры

Создание уникального вредоносного ПО требует больших ресурсов, поэтому многие хакерские группировки используют в своих атаках массовое, часто публично доступное ВПО. Широкое использование неизбежно приводит к тому, что такой инструмент попадает на рада…

, , , , , , , , , , , ,