Хак-группа OldGremlin возобновила свою активность - «Новости» » Самоучитель CSS
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Наш опрос



Наши новости

       
17-08-2024, 00:00
Хак-группа OldGremlin возобновила свою активность - «Новости»
Рейтинг:
Категория: Новости

Вымогательская группировка OldGremlin атаковала российские компании в 2020-2022 годах, и суммы требуемых выкупов исчислялись миллионами, а в 2022 году ценник поднялся до 1 миллиарда рублей. Теперь специалисты FACCT сообщили, что группа снова активна и использует новый инструмент OldGremlin.JsDownloader.


Недавно аналитики компании обнаружили загруженное на платформу AnyRun письмо, которое было отправлено от имени сотрудницы компании «Диадок» с использованием адреса электронной почты - Ольга Макарова . Получателем письма был сотрудник неназванной российской нефтехимической компании.





Письмо было отправлено 12 августа 2024 года и имело тему «Уведомление из Диадок: документы требуют вашего участия». Домен diadok[.]net, с которого было отправлено вредоносное письмо, имитировал оригинальный домен компании «Контур.Диадок» —diadoc[.]ru, что привлекло внимание исследователей, поскольку ранее мимикрия под «Диадок» уже встречалась в атаках OldGremlin.


Аналитики рассказывают, что письмо содержало ссылку (hxxps://diadok[.]net/1ealfus19t) для скачивания файла «счет-фактура.xlsx». После перехода по ссылке загружался архив Счет_фактура_от-09-09-2024[.]zip, содержащий LNK-файл «Счет_фактура_от-09-08-2024.xlsx.lnk». После запуска происходило подключение к WebDav-серверу (46[.]101[.]122[.]204) и на стороне клиента (жертвы) выполнялась команда: 46[.]101[.]122[.]204DavWWWRootnode.exe 46[.]101[.]122[.]204DavWWWRootword.txt. Исследователи отмечают, что и WebDAV ранее так же встречался в атаках OldGremlin.


Загруженный файл node.exe является Node.js интерпретатором версии v0.10.48 и доступен для загрузки с официального сайта Node.js (hxxps://nodejs[.]org/) по ссылке hxxps://nodejs[.]org/dist/v0.10.48/node.exe. И в предыдущих атаках OldGremlin тоже использовали Node.js интерпретаторы.


В конечном итоге на машине жертвы, вместо запуска XLS-приманки и очередного дочернего процесса, происходит запуск jаvascript-сценария (OldGremlin.JsDownloader),  в задачи которого входит загрузка и выполнение произвольных jаvascript-сценариев.


Этот скрипт исполняется в виде анонимной функции. После того как она будет запущена, выполняется подключение к серверу 157[.]230[.]18[.]205:80, после чего на управляющий сервер отправляется случайно сгенерированный набор данных размером 32 байта. Полученным ответом будет подпись отправленного набора данных. Далее выполнится проверка полученной подписи с заданными параметрами публичного ключа.


Если проверка подписи прошла успешно, OldGremlin.JsDownloader будет ожидать данных от своего управляющего сервера. А когда вредоносный загрузчик получит данные от сервера, они будут расшифрованы и переданы в функцию eval(), которая позволяет выполнить произвольный jаvascript-код. Алгоритм шифрования данных — RC4, где ключом является хеш-сумма MD5, полученная от случайно сгенерированного набора байт, который был отправлен на сервер ранее.


Представители «Контур.Диадок» уже предупредили о происходящем пользователей своего сервиса, отправив им предупреждающие письма, а также подготовили официально заявление. Подчеркивается, что «Контур.Диадок» не был задействован в атаке или скомпрометирован, и злоумышленники используют бренд сервиса для рассылки малвари.


Вымогательская группировка OldGremlin атаковала российские компании в 2020-2022 годах, и суммы требуемых выкупов исчислялись миллионами, а в 2022 году ценник поднялся до 1 миллиарда рублей. Теперь специалисты FACCT сообщили, что группа снова активна и использует новый инструмент OldGremlin.JsDownloader. Недавно аналитики компании обнаружили загруженное на платформу AnyRun письмо, которое было отправлено от имени сотрудницы компании «Диадок» с использованием адреса электронной почты - Ольга Макарова . Получателем письма был сотрудник неназванной российской нефтехимической компании. Письмо было отправлено 12 августа 2024 года и имело тему «Уведомление из Диадок: документы требуют вашего участия». Домен diadok_

Теги: Новости, OldGremlin, Вымогательский софт

Просмотров: 60
Комментариев: 0:   17-08-2024, 00:00
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:



Другие новости по теме: