Исследователи обнаружили новый образец вредоносного ПО, способный скрыться от более чем 50 антивирусных продуктов (открывается в новой вкладке), доступных в настоящее время на рынке.
Вредоносная программа была обнаружена исследователями кибербезопасности из Unit 42, группы анализа угроз Palo Alto Networks. Команда впервые обнаружила штамм в мае, когда обнаружила, что он был создан с использованием инструмента Brute Ratel (BRC4).
Разработчики BRC4 утверждают, что они даже перепроектировали популярные антивирусные продукты, чтобы гарантировать, что их инструмент не будет обнаружен.
Качество дизайна и скорость, с которой он был распространен на терминалы жертв, убедили следователей в том, что за кампанией стоит спонсируемый государством субъект.
русские методы
Хотя инструмент сам по себе опасен, исследователей больше интересовал путь его распространения, который указывает на то, что в нем участвует спонсируемый государством субъект.
Вредоносное ПО распространяется в виде поддельного документа CV. Резюме — это файл ISO, который при подключении к виртуальному диску отображает что-то вроде документа Microsoft Word.
Хотя исследователи пока не могут точно определить, кто стоит за BRC4, они подозревают, что базирующаяся в России APT29 (также известная как Cozy Bear) использовала ISO в качестве оружия в прошлом.
Еще одна подсказка, указывающая на то, что в игре участвует спонсируемый государством актер, — это скорость, с которой добывался BRC4. ISO был создан в тот же день, когда была выпущена последняя версия BRC4.
«Анализ двух образцов, описанных в этом блоге, а также усовершенствованная обработка, используемая для упаковки этих полезных нагрузок, ясно показывает, что злоумышленники начали использовать эту возможность», — написал Unit 42 в своем блоге.
«Мы считаем крайне важным, чтобы все поставщики систем безопасности создали средства защиты для обнаружения BRC4 и чтобы все организации предприняли активные шаги для защиты от этого инструмента».
Через: Реестр (откроется в новой вкладке)
