30 апреля американская инфосек компания Cybereason выпустила отчет, в котором описала результаты отслеживания циркулирующего в дикой природе вредоноса RoyalRoad aka 8.t Dropper. Cybereason обнаружили свежий образец 8.t Dropper. Судя по всему, в качестве источника данных послужил Virus Total, в который неосмотрительные сисадмины льют все подряд. В качестве фишинговой приманки использовалось письмо генеральному директору ЦКБ Рубин Игорю Вильниту от имени АО "Концерн "МПО - Гидроприбор". Сама приманка составлена грамотно, правда адрес отправителя находится на mail .ru (хотя это как раз неудивительно, там большинство входящих в Гидроприбор компаний официальную электронную почту на Mail ru держат). В качестве документа RTF, содержащего дропер, прилагаются "Основные результаты эскизного проектирования АНПА" (расшифровывается как автономный необитаемый подводный аппарат). С большой долей вероятности хакеры заранее распотрошили Концерн Гидроприбор, либо какое-то еще учреждение, чтобы добыть правдоподобно выглядящую фишинговую приманку. Тут бы ФСБ возбудиться, особенно ЦИБу, но они там Twitter тормозят, упираясь в пол ногами, им не до китайских хакеров. Атрибуция, проведенная исследователями, указывает на китайские APT - используемая в приманке кодировка ранее была замечена у APT Tonto и APT TA428. Первая группа, как считается, работает под крышей Технического разведывательного Департамента НОАК (Unit 65017) в китайском городе Шэньян и в 2018 году уже была замечена в фишинговых атаках на Концерн Автоматика, входящий в Ростех.
ЦКБ Рубин - это расположенное в Санкт-Петербурге инженерное бюро, которое является головным в части проектирования российских подводных лодок.
![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png)
timeasmymeasure
no subject
Date: 2021-10-22 09:58 am (UTC)https://www.rbc.ru/technology_and_media/22/10/2021/617249dd9a79470f06e0cd58
https://www.rbc.ru/society/22/10/2021/617234f99a79470ad95a0992
no subject
Date: 2021-10-22 04:28 pm (UTC)Cybereason обнаружили свежий образец 8.t Dropper. Судя по всему, в качестве источника данных послужил Virus Total, в который неосмотрительные сисадмины льют все подряд. В качестве фишинговой приманки использовалось письмо генеральному директору ЦКБ Рубин Игорю Вильниту от имени АО "Концерн "МПО - Гидроприбор". Сама приманка составлена грамотно, правда адрес отправителя находится на mail .ru (хотя это как раз неудивительно, там большинство входящих в Гидроприбор компаний официальную электронную почту на Mail ru держат).
В качестве документа RTF, содержащего дропер, прилагаются "Основные результаты эскизного проектирования АНПА" (расшифровывается как автономный необитаемый подводный аппарат).
С большой долей вероятности хакеры заранее распотрошили Концерн Гидроприбор, либо какое-то еще учреждение, чтобы добыть правдоподобно выглядящую фишинговую приманку. Тут бы ФСБ возбудиться, особенно ЦИБу, но они там Twitter тормозят, упираясь в пол ногами, им не до китайских хакеров.
Атрибуция, проведенная исследователями, указывает на китайские APT - используемая в приманке кодировка ранее была замечена у APT Tonto и APT TA428. Первая группа, как считается, работает под крышей Технического разведывательного Департамента НОАК (Unit 65017) в китайском городе Шэньян и в 2018 году уже была замечена в фишинговых атаках на Концерн Автоматика, входящий в Ростех.
ЦКБ Рубин - это расположенное в Санкт-Петербурге инженерное бюро, которое является головным в части проектирования российских подводных лодок.
no subject
Date: 2021-10-22 08:20 pm (UTC)Всё нахуй пропатчено 3 года назад https://msrc.microsoft.com/update-guide/vulnerability/CVE-2018-0798
Т.е., эти долбоёбы тупо даже не обновляют нихуя