Невозможно отучить людей изучать самые ненужные предметы.
Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3
Надо знать обо всем понемножку, но все о немногом.
Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы
Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)
Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода
Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5
Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости
Справочник от А до Я
HTML, CSS, JavaScript
Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы
Помогли мы вам |
Компания Prevailion предупредила, что русскоязычная хак-группа TA505 (она же Evil Corp) стала активно использовать легитимные инструменты (в дополнение к малвари) для атак на немецкие компании. Напомню, что эту группировка в первую очередь известна благодаря использованию трояна Dridex и вымогателя Locky, но также применяет множество других вредоносных программ, включая BackNet, Cobalt Strike, ServHelper, Bart, FlawedAmmyy, SDBbot RAT, DoppelPaymer и так далее.
Исследователи из Prevailion обнаружили, что с лета 2019 года TA505 проводит кампанию, ориентированную на немецкие фирмы. Хакеры рассылают своим целям письма с фальшивыми резюме для приема на работу. В этих письмах содержится вредоносное вложение, предназначенное для кражи учетных данных и данных кредитных карт.
Но если в 2019 году злоумышленники использовали для шифрования файлов потерпевших доступный на рынке вымогатель, то в более недавних операциях они перешли на коммерческий инструмент для удаленного администрирования NetSupport, размещенный в Google Drive.
Эксперты предупреждают, что посредством использования таких легитимных инструментов, которые вряд ли получится обнаружить традиционным защитными решениями, злоумышленники могут выполнять широкий спектр действий, в том числе похищать файлы, делать скриншоты и записывать звук.
Так, на начальном этапе атаки код из вредоносного резюме запускает скрипт для извлечения дополнительных пейлоадов и сбора данных о компьютере жертвы (список установленных программ, имя компьютера, домена и так далее). Затем малварь пытается собрать сохраненные учетные данные из браузеров и почтовых клиентов, файлы cookie и данные кредитных карт.
Украденные учетные данные архивируются и отправляются на управляющий сервер злоумышленников, а затем создается запланированное задание, а BAT-файл удаляет все следы атаки.
Исследователи отмечают, что летом 2019 года атаки также имели вымогательский компонент: диски на локальных машинах шифровались с использованием открытого ключа GPG, теневые копии удалялись, а некоторые данные переправлялись на адрес zalock[@]airmail.cc.
Для новых же атак используется загрузчик (по-видимому, rekt), который был разработан для связи с Google Drive и загрузки дополнительных файлов. Пейлоад второго этапа атаки был идентифицирован как коммерческое приложение NetSupport для удаленной работы.
Некоторые из обнаруженных вариантов rekt датированы апрелем 2019 года. Также исследователи выявили образцы, подписанные цифровой подписью, которая использовалась и для подписи двух троянов FlawwedAmmy. Их тоже ранее связывали с TA505, так что исследователи уверенно заявляют, что за обнаруженными атаками стоит именно названная хак-группа.
|
|