Jli.dll по-новому: как хакеры использовали известную DLL в фишинге якобы от имени Минцифры

В конце мая стало известно о том, что хакеры пытались организовать вредоносную рассылку якобы от Минцифры. Архив из этой рассылки получили для анализа специалисты Solar JSOC CERT. В нем мы обнаружили jli.dll. Эту DLL часто используют злоумышленники для…

[recovery mode] Поиск вредоносного кода «голыми руками»

Последнее время появилась острая необходимость проверять, что прилетело с очередными обновлениями кода в папку /vendor /venv или любую другую, где лежат исходники внешних зависимостей проекта. (poetry, composer, go install и тд., кто на чем пишет). Ска…

На госорганы Украины произошла кибератака. На почту рассылались письма со ссылкой на скачивание вредоносной программы Cobalt Strike Beacon

Правительственная команда реагирования на компьютерные чрезвычайные события при Госспецсвязи Украины CERT-UA выявила распространение электронных писем якобы от имени государственных органов Украины с призывами скачать обновления для повышения безопасно…

По следам TeamBot: как мы столкнулись с новыми функциями знакомого ВПО

В октябре 2021 года к нам в Solar JSOC CERT поступил запрос: одна крупная технологическая компания попросила помочь в расследовании инцидента. В процессе работы мы обнаружили старую знакомую — вредоносную DLL TeamBot (aka TeamSpy, TVSPY, TeamViewerENT,…

Экстенсивный подход. Как много техник можно обнаружить в одном образце вредоносного программного обеспечения (ВПО)

— «Прошу расшифровать трафик в адрес …» — описание задачи в трекере.— «Давай, Морти! Приключение на 20 минут. Зашли и вышли.» — ответил голос в голове.Но, как и у героев мультфильма, приключение несколько затянулось. Расшифрованный трафик только привле…

Кого только не встретишь в инфраструктуре: с какими семействами ВПО мы чаще всего имели дело в этом году

Годы идут, а ВПО остается основной головной болью кибербезопасников. Мы недавно считали: почти 40% хакерских атак происходит именно с помощью вредоносного ПО. Одни вирусы даже не успевают попасть в ИТ-периметр – их ловят на подлете. Другим же удается с…

[Перевод] Бэкдор от монгольского центра сертификации CA MonPass

Мы обнаружили загружаемый с официального сайта MonPass (крупного центра сертификации в Монголии) установщик с бинарными файлами Cobalt Strike (фреймворк, помогающий эксплуатировать уязвимости, закрепиться и продвинуться в целевой системе). Немедленно у…

Сервери Microsoft Exchange знову атакували

Непропатчені сервери Microsoft Exchange зараз активно заражаються  ботнетом Prometei, а їхні ресурси використовуються  для видобутку криптовалюти Monero (XMR). Про це […]

The post Сервери Microsoft Exchange знову атакували first appeared on CyberCalm.

Исследование: какие способы обхода антивирусов используют хакеры

Создание уникального вредоносного ПО требует больших ресурсов, поэтому многие хакерские группировки используют в своих атаках массовое, часто публично доступное ВПО. Широкое использование неизбежно приводит к тому, что такой инструмент попадает на рада…