Перейти к содержанию

«Лаборатория Касперского» обнаружила миникибершпиона


Рекомендуемые сообщения

«Лаборатория Касперского» объявила об обнаружении miniFlame – небольшой и очень гибкой вредоносной программы, предназначенной для кражи данных и управления зараженными системами в ходе точечных атак, проводимых с целью кибершпионажа.

 

Программа miniFlame, известная также как SPE, была обнаружена экспертами «Лаборатории Касперского» в июле 2012 года и первоначально была идентифицирована как модуль вредоносной программы Flame. В сентябре 2012 года, после изучения серверов управления Flame, стало ясно, что модуль miniFlame является интероперабельным и может применяться одновременно и в качестве автономной вредоносной программы, и в качестве плагина для вредоносных программ Flame и Gauss.

 

Обнаружение

 

miniFlame был обнаружен в ходе детального анализа вредоносных программ Flame и Gauss. В июле 2012 года эксперты «Лаборатории Касперского» выявили дополнительный модуль Gauss под кодовым названием «John» и обнаружили ссылки на аналогичный модуль в конфигурационных файлах Flame. Последующий анализ серверов управления Flame, осуществленный в сентябре 2012 года, позволил прийти к заключению, что вновь обнаруженный модуль является в действительности отдельной вредоносной программой, несмотря на то, что он может работать совместно как с Gauss, так с Flame. На серверах управления Flame программа miniFlame значилась под кодовым названием SPE.

 

«Лаборатория Касперского» обнаружила шесть различных вариантов miniFlame, причем все датируются 2010-2011 годами. В то же время, анализ miniFlame указывает на еще более раннюю дату начала разработки – не позднее 2007 года. Возможность использования miniFlame в качестве плагина как к Flame, так и к Gauss ясно указывает на взаимодействие между группами разработчиков, ответственных за создание этих вредоносных программ. Поскольку связь между Flame и Stuxnet/Duqu уже установлена, можно сделать вывод, что все эти программы созданы на одной и той же «фабрике кибероружия».

 

Функционал

 

Учитывая подтвержденную взаимосвязь между miniFlame, Flame, и Gauss, вероятно, что miniFlame устанавливался на компьютерах, уже зараженных Flame или Gauss. Проникнув в систему, miniFlame выполняет функции бэкдора, позволяя оператору вредоносной программы получить с зараженной машины любой файл. В число дополнительных возможностей, связанных с кражей данных, входит создание снимков экрана зараженного компьютера при работе в отдельных программах и приложениях, таких как браузеры, программы Microsoft Office, Adobe Reader, сервисы мгновенного обмена сообщениями и FTP-клиенты. miniFlame передает украденные данные, соединившись со своим сервером управления (который может быть выделенным или общим с Flame). Кроме того, по запросу оператора сервера управления miniFlame на зараженную систему может быть загружен дополнительный модуль для кражи данных, заражающий USB-накопители и использующий их для хранения данных, собранных на зараженных машинах, в отсутствие интернет-соединения.

 

«miniFlame представляет собой инструмент для проведения высокоточных атак. Вероятнее всего, это кибероружие с четко обозначенными целями, применяемое в ходе того, что можно назвать второй волной кибератаки, – комментирует главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев. – Вначале используется Flame или Gauss для заражения как можно большего числа жертв и сбора значительного объема информации. После этого собранные данные анализируются, определяются и идентифицируются потенциально интересные жертвы, и уже на их компьютерах устанавливается miniFlame для осуществления углубленной слежки и кибершпионажа. Обнаружение miniFlame дало нам дополнительные доказательства взаимодействия между создателями наиболее примечательных вредоносных программ, применяемых в качестве кибероружия: Stuxnet, Duqu, Flame и Gauss».

 

Основные результаты исследования

 

miniFlame, известный также как SPE, основан на той же архитектурной платформе, что и Flame. Он способен функционировать как самостоятельная программа для осуществления кибершпионажа или в качестве компонента, входящего в состав как Flame, так и Gauss.

 

Этот инструмент кибершпионажа выполняет функции бэкдора, обеспечивая возможность кражи данных и непосредственного управления зараженными системами.

Судя по всему, разработка miniFlame началась еще в 2007 году и продолжалась до конца 2011 года. Скорее всего было создано большое число модификаций программы. На сегодняшний день «Лаборатории Касперского» удалось выявить шесть вариантов, принадлежащих двум основным поколениям: 4.x and 5.x.

 

В отличие от Flame и Gauss, на счету которых большое число заражений, количество систем, зараженных miniFlame, значительно меньше. Исходя из имеющихся у «Лаборатории Касперского» данных, число заражений находится в диапазоне от 10 до 20 машин; при этом общее число зараженных miniFlame компьютеров по всему миру оценивается в 50-60 машин.

 

Малое число компьютеров, зараженных miniFlame, в сочетании с функционалом кражи данных и гибкими возможностями применения свидетельствует о том, что вредоносная программа использовалась лишь для узкоцелевых операций, связанных с кибершпионажем и, вероятно, развертывалась на машинах, уже зараженных Flame или Gauss.

 

Дополнительную информацию о miniFlame можно найти на сайте: http://www.securelist.com/ru/blog/20776425...is_i_ego_druzya.

 

Источник: http://www.kaspersky.ru/news?id=207733870

Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты

Судя по всему, разработка miniFlame началась еще в 2007 году и продолжалась до конца 2011 года.

Ого!Что так долго?

Скорее всего было создано большое число модификаций программы. На сегодняшний день «Лаборатории Касперского» удалось выявить шесть вариантов, принадлежащих двум основным поколениям: 4.x and 5.x.

Много модификаций-это плохо,это лишняя работа экспертам.Сейчас,если появится толковый вирус,то все кому не лень перепишут его.

Ссылка на комментарий
Поделиться на другие сайты

Когда-то у нас была портативная версия AVZ под названием "miniAVZ". Теперь - кибершпион под названием "miniFlame".

 

Неужели... Flame написал Олег Зайцев? :lol:

 

:)

Ссылка на комментарий
Поделиться на другие сайты

Ужас а я второй месяц без антивируса

 

Как говорит Касперский (не, дословно) Предназначен он, в основном, для "нужных" людей..

 

Ваш компьютер скорее всего не "нужен" miniFlame :lol:

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      Игра Battle City, более известная как танчики, — символ давно ушедшей эпохи. Около 30 лет назад геймеры вставляли картридж в приставку, садились за пузатые телевизоры и пачками уничтожали вражеские танки до тех пор, пока кто-нибудь им не скажет про «кинескоп, который вот-вот должен сесть».
      Сегодня мир совсем другой, а танчики по-прежнему популярны. Дело в том, что современные аналоги предлагают геймерам не только поиграть, но и заработать NFT-токены. Злоумышленники тоже кое-что предлагают: сложную атаку для любителей криптовалютных игр.
      Бэкдор и эксплойт уязвимости нулевого дня в Google Chrome
      Эта история началась в феврале 2024 года, когда наше защитное решение обнаружило проникновение бэкдора Manuscrypt на компьютер пользователя из России. Такой бэкдор нам давно известен, его различные версии используют члены группировки APT Lazarus как минимум с 2013 года. Но что особенного в этой истории, если мы прекрасно знаем основной инструмент и методы работы злоумышленников?
      Дело в том, что эти хакеры обычно нацелены на крупные организации: банки, IT-компании, университеты и даже правительственные организации. Теперь руки Lazarus дотянулись до физических лиц — бэкдор на компьютере частного пользователя! Киберпреступники заманили жертву на сайт игры и получили полный доступ к ее компьютеру. Злоумышленникам удалось это сделать благодаря трем составляющим:
      невероятному желанию жертвы сыграть в любимые танчики в новой оболочке; уязвимости нулевого дня в Google Chrome; наличию эксплойта, позволявшего удаленно выполнить код в процессе Google Chrome. Для тех, кто переживает: компания Google выпустила обновление браузера, заблокировала сайт танчиков и поблагодарила исследователей безопасности «Лаборатории Касперского». Но на всякий случай: наши продукты детектируют и бэкдор Manuscrypt, и эксплойт. Подробности этой истории мы раскрыли в блоге Securelist.
       
      View the full article
    • Fara
      От Fara
      Стал постоянно перезагружаться компьютер, последние два дня. При самостоятельном разборе причины, обнаружен пользователь john. Изначально думал что дело в маломощном блоке питания, потом то что драйвер видеокарта  не корректно обновился. Если на компьютере захожу на сайт Касперского или этот форум, сразу перегрузка. Удалял драйвер видеокарты компьютер перезагрузился и восстановил все назад.
    • ise29
      От ise29
      Дней 7 назад обнаружил, что во первых запуск пк сильно замедлился, очень долго в биосе грузится, потом экран "добро пожаловать" тоже около 30 сек (раньше запускался в сумме за секунд 10). Во вторых после прогрузки все висит достаточно долгое время. Открыв диспетчер я обнаружил, что мой локальный диск в сотне перманентно. Если открываю диспетчер - нагрузка на диск падает до нуля и остается такой, все работает нормально дальше, проблем не замечал в работе пк. Так же заметил в диспетчере кучу svchost.exe, штук 30 запущенных. Запущены в том числе и от самого пользователя, не только от системы нетворка и локал сервиса.
      При сканировании пк DR WEB'ом локального диска С он обнаружил Trojan.MulDrop22.16822 в файле svchost.exe. Насколько я понимаю это просто вспомогательный файл для других вирусов, очень хотелось бы от них избавиться, если они есть. Днем ранее была попытка взлома стим-аккаунта. Есть подозрения на клиппер или еще что. 
      Защитник видоус ничего не находит. 
      CollectionLog-2024.11.21-15.24.zip
    • Elly
      От Elly
      Друзья!
       
      «Лабораторией Касперского» разработано множество защитных решений для домашних пользователей. Предлагаем вам поучаствовать в викторине, ответить на двадцать сложных вопросов о защитных решениях «Лаборатории Касперского», особенностях их функционирования, свойствах и узнать для себя что-то новенькое. При поиске ответов рекомендуется использовать в качестве достоверных источников информации только официальные сайты «Лаборатории Касперского». Каждый вопрос относится к актуальной версии соответствующей программы, если в самом вопросе не указано иное.
       
      НАГРАЖДЕНИЕ
      Без ошибок — 2 000 баллов Одна ошибка — 1700 баллов Две ошибки — 1200 баллов Баллами можно оплатить лицензии и сувениры в магазине Клуба. 
       
      ПРАВИЛА ПРОВЕДЕНИЯ

      Викторина проводится до 20:00 09 ноября 2024 года (время московское).
      Правильные ответы будут опубликованы не позднее 10 дней с момента окончания викторины. Публичное обсуждение вопросов и ответов викторины запрещено. Итоги будут подведены в течение десяти дней с момента публикации правильных ответов. Баллы будут начислены в течение двадцати дней с момента опубликования итогов викторины.

      Все вопросы, связанные с корректностью проведения викторины, необходимо отправлять пользователю@Mrak (пользователей @andrew75, @oit и @Ellyвключать в копию адресатов) через систему личных сообщений с подробным описанием ситуации. Ответ будет дан коллегиальным решением организаторов викторины и дальнейшего обсуждения не предполагает.
      Вопросы по начислению баллов направлять пользователю@Ellyчерез систему личных сообщений.

      Вопросы по викторине принимаются только через личные сообщения в течение срока проведения викторины и не позднее трёх дней после публикации ответов (время московское). Ответы направляются представителем от организаторов викторины через личные сообщения в рамках созданной переписки.

      Администрация, официально уведомив, может в любой момент внести изменения в правила викторины, перезапустить или вовсе прекратить её проведение, а также отказать участнику в получении приза, применить иные меры (вплоть до блокировки аккаунта) в случае выявления фактов его недобросовестного участия в ней и/или нарушения правил викторины, передачи ответов на викторину иным участникам. При ответе на вопросы викторины запрещается использовать анонимайзеры и другие технические средства для намеренного сокрытия реального IP-адреса.

      Вопросы по начислению баллов, принимаются в течение 30 дней с момента подведения итогов викторины. Викторина является собственностью клуба «Лаборатории Касперского», её использование на сторонних ресурсах без разрешения администрации клуба запрещено.

      Участие в викторине означает безоговорочное согласие с настоящими правилами. Для перехода к вопросам викторины нажмите ЗДЕСЬ.
    • Depos1t
      От Depos1t
      Добрый день, пользователи сайта и простые обыватели сети интернет. Хотел решить проблему с подключением Discord и друг скинул прогу которая должна была решить вопрос, но при ее запуске на компе появился троян. Сам Касперский не справляется с его удалением, каждый раз предлагает лечить но при новом запуске опять та же проблема. Прошу, помогите доверчивому пользователю сети интернет избавиться от этой "бяки" без потери файлов и переустановки ОС, заранее благодарен за помощь. Ниже прикрепил скрин того, что касперский обнаружил вирус

×
×
  • Создать...