Перейти к содержанию

Holy Water APT: опасная вода

KL FC Bot
 Поделиться

Рекомендуемые сообщения

KL FC Bot

KL FC Bot

Опубликовано
Опубликовано

В конце 2019 года наши эксперты обнаружили целевую атаку с применением тактики watering hole. Не задействуя технически сложных уловок и не эксплуатируя уязвимостей, злоумышленники тем не менее как минимум восемь месяцев заражали устройства азиатских пользователей. Из-за тематики сайтов, с которых распространялись вредоносы, атака получила название Holy Water. Интересно, что это вторая обнаруженная нами атака, в которой применяется тактика watering hole, — совсем недавно мы писали про еще одну находку наших исследователей.

Как Holy Water заражала устройства пользователей?

 

По всей видимости, злоумышленникам в какой-то момент удалось скомпрометировать сервер, на котором располагалось несколько сайтов. Это были, в основном, страницы религиозных деятелей, общественных и благотворительных организаций. В код этих страниц операторы атаки встроили вредоносные скрипты, которые и применялись для атаки.
Когда пользователь заходил на зараженную страницу, скрипты при помощи вполне легитимных инструментов собирали о нем данные и отправляли на сторонний сервер для валидации цели. Мы не знаем, чем руководствовались злоумышленники при выборе жертвы, однако в ответ на отосланную информацию сервер иногда присылал команду продолжать атаку.
Продолжение заключалось в трюке, который можно назвать классическим (он применяется уже не первый десяток лет): пользователю предлагали обновить Adobe Flash Player. Причем аргументом служила небезопасность использования устаревшей версии. В случае согласия вместо обновления на его компьютер устанавливался бэкдор Godlike12.
 
Читать далее >>

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • PhernulNathral
      Представляют ли опасность файлы taskhostw.exe находящиеся в папке WinSxS?
      Автор PhernulNathral
      3 файла в этой папке,а 2 файла в папке servicing, одинаковые файлы taskhostw.exe
      CollectionLog-2025.07.28-22.44.zip
    • KL FC Bot
      Что такое SMS-бластер и как защититься от опасных SMS в путешествии | Блог Касперского
      Автор KL FC Bot
      Фальшивые SMS от банков, служб доставки и городских учреждений — излюбленный мошенниками способ выманить финансовые данные и пароли. Эту разновидность фишинга часто называют smishing (SMS phishing). Опасные SMS фильтруют почти все сотовые операторы, и лишь малая часть доходит до получателей. Но мошенники придумали нечто новое. За последний год в Великобритании, Таиланде и Новой Зеландии были задержаны злоумышленники, которые рассылали сообщения, минуя сотового оператора, прямо на телефоны жертв. Эта технология получила название SMS blaster.
      Что такое SMS blaster
      «Бластер» притворяется базовой станцией сотовой сети. Он выглядит, как утыканная антеннами коробка размером с системный блок старого компьютера; мошенники кладут ее в багажник автомобиля или в рюкзак. Включенный «бластер» побуждает все телефоны поблизости подключиться к нему как к самой мощной базовой станции с наилучшим сигналом. Когда это происходит — присылает подключенному телефону фальшивое SMS. В зависимости от модели «бластера» и условий приема, радиус рассылки SMS составляет 500–2000 метров, поэтому злодеи предпочитают проводить свои операции в многолюдных районах. Риск максимален в популярных туристических, торговых и деловых центрах — там и зафиксированы все известные атаки. При этом мошенники не имеют никаких ограничений: не платят за SMS, могут подписывать SMS любым отправителем и включать в него любые ссылки. Злоумышленникам не надо знать номера телефонов жертв — любой телефон получит сообщение, если подключится к их «сотовой вышке».
       
      View the full article
    • KL FC Bot
      CVE-2025-2783 в APT-атаке Operation ForumTroll | Блог Касперского
      Автор KL FC Bot
      Наши технологии для противодействия эксплойтам выявили волну атак с применением ранее неизвестного вредоносного ПО. При тщательном анализе эксперты нашего Глобального центра исследования и анализа угроз (Kaspersky GReAT) пришли к выводу, что мы имеем дело с весьма технически сложной целевой атакой, что позволяет предположить авторство APT-группировки, спонсируемой государством. В атаке использовалась уязвимость нулевого дня в браузере Chrome, о которой мы незамедлительно сообщили в Google, и компания оперативно выпустила закрывающий ее патч.
      В чем суть APT-атаки Operation ForumTroll?
      Атака начинается с фишингового приглашения на научный форум «Примаковские Чтения». В теле письма содержатся ссылки якобы на программу мероприятия и анкету для участников. На самом деле обе ссылки ведут на сайт злоумышленников и если получатель пользуется браузером Google Chrome (или каким-либо другим браузером на движке Chromium), то простой переход по ним приводит к заражению компьютера под управлением Windows. Никаких дополнительных действий от жертвы не требуется.
      Дальше в дело вступает эксплойт для уязвимости CVE-2025-2783, который позволяет обмануть механизмы защиты браузера Google Chrome. О технических деталях говорить пока рано, однако суть уязвимости сводится к логической ошибке на стыке браузера и операционной системы, которая позволяет обойти песочницу браузера.
      Более подробное описание атаки вместе с индикаторами компрометации можно найти на нашем блоге Securelist. После того, как большая часть пользователей браузера установит свежевыпущенный патч, наши исследователи обещают опубликовать там же детальный технический разбор уязвимости.
       
      View the full article
    • Peter15
      Недетектируемые опасные стиллеры.
      Автор Peter15
      Евгений Валентинович! Неужели ваши антивирусные решения и программы других производителей не детектят указанные в статье https://dzen.ru/a/Y_Wf0lsr6iK3hHnh стиллеры? Или это они просто-напросто нагоняют страху? Пишут, что можно даже попасть в тюрьму, если украдут нужные сессии и напишут что-либо от чужого имени...
      Да, и с наступающим!
    • rechiflis
      находит ли kaspersky free ратники или какие-то ещё другие опасные вирусы? (ИМЕННО KASPERSKY FREE)
      Автор rechiflis
      помогите пожалуйста, находит ли именно бесплатный касперский free ратники или вирусы ещё сильнее по вредоносности, заранее спасибо всем, кто ответит
×
×
  • Создать...