Этот необнаруживаемый набор вредоносных программ объединяет большое количество

Исследователи обнаружили новый образец вредоносного ПО, способный скрыться от более чем 50 антивирусных продуктов (открывается в новой вкладке), доступных в настоящее время на рынке.

Вредоносная программа была обнаружена исследователями кибербезопасности из Unit 42, группы анализа угроз Palo Alto Networks. Команда впервые обнаружила штамм в мае, когда обнаружила, что он был создан с использованием инструмента Brute Ratel (BRC4).

Разработчики BRC4 утверждают, что они даже перепроектировали популярные антивирусные продукты, чтобы гарантировать, что их инструмент не будет обнаружен.

Качество дизайна и скорость, с которой он был распространен на терминалы жертв, убедили следователей в том, что за кампанией стоит спонсируемый государством субъект.

русские методы

Хотя инструмент сам по себе опасен, исследователей больше интересовал путь его распространения, который указывает на то, что в нем участвует спонсируемый государством субъект.

Вредоносное ПО распространяется в виде поддельного документа CV. Резюме — это файл ISO, который при подключении к виртуальному диску отображает что-то вроде документа Microsoft Word.

Хотя исследователи пока не могут точно определить, кто стоит за BRC4, они подозревают, что базирующаяся в России APT29 (также известная как Cozy Bear) использовала ISO в качестве оружия в прошлом.

Еще одна подсказка, указывающая на то, что в игре участвует спонсируемый государством актер, — это скорость, с которой добывался BRC4. ISO был создан в тот же день, когда была выпущена последняя версия BRC4.

«Анализ двух образцов, описанных в этом блоге, а также усовершенствованная обработка, используемая для упаковки этих полезных нагрузок, ясно показывает, что злоумышленники начали использовать эту возможность», — написал Unit 42 в своем блоге.

«Мы считаем крайне важным, чтобы все поставщики систем безопасности создали средства защиты для обнаружения BRC4 и чтобы все организации предприняли активные шаги для защиты от этого инструмента».

Через: Реестр (откроется в новой вкладке)

Поделиться