•  ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ ДЛЯ ГОСУДАРСТВЕННОГО СЕКТОРА ЭКОНОМИКИ, ЧАСТНОГО БИЗНЕСА, ГРАЖДАН РОССИЙСКОЙ ФЕДЕРАЦИИ  
  • Новости
  • «Лаборатория Касперского» обнаружила распространение вредоносного ПО через подмену обновлений при передаче по сети
  1. Главная
  2. Новости
  3. «Лаборатория Касперского» обнаружила распространение вредоносного ПО через подмену обновлений при передаче по сети
«Лаборатория Касперского» обнаружила распространение вредоносного ПО через подмену обновлений при передаче по сети
3 июня 2022

«Лаборатория Касперского» обнаружила распространение вредоносного ПО через подмену обновлений при передаче по сети

Исследователи «Лаборатории Касперского» обнаружили, что для распространения зловреда WinDealer китайскоговорящая кибергруппа LuoYu способна проводить атаки типа «человек на стороне» (man-on-the-side). 

Это доступные немногим наиболее ресурсным злоумышленникам атаки, в ходе которых вредоносное ПО внедряется в легитимный сетевой трафик жертвы. Основные цели кампании — иностранные дипломатические организации, члены академического сообщества, а также оборонные, логистические и телекоммуникационные компании на территории Китая. Также оказались затронуты Германия, Австрия, США, Чехия, Россия и Индия.

Атака man-on-the-side строится следующим образом: злоумышленник видит запросы на подключение к определённому ресурсу в сети. Это происходит путём перехвата данных или благодаря стратегическому положению в сети интернет-провайдера. Затем он отвечает жертве быстрее, чем легитимный сервер, и оправляет заражённую версию запрошенного файла. Даже если атакующие не добиваются успеха с первого раза, они повторяют свои попытки, пока не заразят большинство устройств, загрузив на них шпионское приложение. С его помощью можно просматривать любые файлы, хранящиеся на устройстве, и скачивать их, а также выполнять поиск по ключевым словам.

Помимо этого способа распространения у WinDealer есть ещё одна интересная особенность. Часто вредоносное ПО содержит жёстко прописанный командный сервер. Если ИБ-специалист получил адрес такого сервера, то он может заблокировать его и нейтрализовать угрозу. WinDealer же использует алгоритм генерации IP-адресов и затем из 48 тысяч адресов выбирает, с каким он будет работать в качестве сервера. Очевидно, что операторы не могут контролировать такое число серверов. Вероятно, злоумышленники либо могут перехватывать трафик к сгенерированным IP-адресам (а это опять с большой вероятностью означает стратегическое положение на сети провайдера) или же на самом деле контролируют только несколько адресов и ждут, пока зловред постучится на них. В первом случае способ защиты от атак этого типа — маршрутизировать трафик через другую сеть. Это можно сделать с помощью VPN, но такой путь возможен не всегда.

«В 2019 году эта группа распространяла зловред через зараженные веб-сайты. Можно сказать, что к 2021 году они вступили в клуб тех немногих, кому доступно манипулирование сетевым трафиком до жертв. Помимо заражённых дистрибутивов легитимных программ на это указывает и выбор сетевого адреса контрольного сервера из огромного количества сгенерированных вариантов, — комментирует Денис Легезо, ведущий эксперт по кибербезопасности «Лаборатории Касперского». — С точки зрения защиты пользователям стоит иметь в виду, что внедрение в HTTPS-трафик значительно сложнее и если к сети оператора доверия нет, а вариант с VPN по какой-то причине недоступен, то хотя бы не стоит загружать скрипты и программы по нешифрованному протоколу HTTP. Перед скачиванием дистрибутивов проверьте, что сайт отдаёт шифрованно не только страницы, но и файлы».

Чтобы защититься от такой сложной угрозы, как WinDealer, «Лаборатория Касперского» также рекомендует компаниям:

-проводить аудит кибербезопасности сетей и устранять все обнаруженные уязвимости;

-использовать EDR-решение и продукт для борьбы со сложными целевыми атаками, а также обеспечить сотрудникам центра мониторинга (SOC) доступ к самой свежей аналитике и регулярно повышать их квалификацию с помощью профессиональных тренингов. Эти возможности доступны в рамках пакета Kaspersky Expert Security;

-применять решения для защиты конечных устройств и специализированные сервисы для защиты от наиболее продвинутых атак. Сервис Kaspersky Managed Detection and Response позволяет распознать и остановить атаку на ранних стадиях, до того как злоумышленники достигнут своих целей;

-отслеживать появление новых угроз, например на Threat Intelligence Resource Hub, который предоставляет бесплатный доступ к постоянно обновляемой информации из глобальных источников.

Материал подготовлен  АО "Лаборатория Касперского"




Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь с политикой конфиденциальности

Ваши контактные данные не публикуются на сайте.

Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь с политикой конфиденциальности

Теги:
Новости
Все публикации
Важное
webcity24_import_sm.png
Пришлите готовый запрос на E-mail
или заполните форму

Отправить запрос
Тренды

Популярное

01.10.2025

В Kaspersky Digital Footprint Intelligence появился непрерывный мониторинг поверхности атаки

Новый модуль предназначен для контроля за внешним периметром организации, мониторинга доступных узлов, сервисов на них и связанных с ними уязвимостей, а также недостатков защиты, которыми могут воспользоваться злоумышленники

12.08.2025

Антивирус Dr.Web Light для Android обновлен до версии 12.2.6

В продукт добавлена поддержка Android OS версии 16, вместе с тем в нем обновлено антивирусное ядро, улучшена эффективность обнаружения угроз и увеличена скорость сканирования

08.08.2025

Решение для управления виртуальными рабочими столами HOSTVM VDI совместимо с ОС «Альт Виртуализация» 10

Компании HOSTVM и «Базальт СПО» объявляют о совместимости своих продуктов

22.07.2025

«Альт Рабочая станция» 11.0 — лауреат премии «Инновация года 2025» от CNews

«Базальт СПО» награждена премией «Инновация года 2025» CNews за разработку операционной системы «Альт Рабочая станция» 11.0 с графической оболочкой GNOME

17.07.2025

Киберпротект — обладатель премии «Киберпросвет»

Компания удостоилась награды в номинации «А это интересно! — за самое увлекательное расследование или кейс в области информационной безопасности»

23.06.2025

Подтверждена совместимость Кибер Бэкапа и программного комплекса Синоникс

Компании «Киберпротект» и «Айти Бастион» подтвердили совместимость своих решений, что позволяет выполнять резервное копирование и восстановление данных программного комплекса Синоникс 1.5.33 с помощью системы резервного копирования Кибер Бэкап 17.2.

16.07.2025

Почта России станет полигоном для отработки лучших практик построения киберустойчивости

Участники инициативы: «Лаборатория Касперского», ГК «Солар» и Positive Technologies

23.06.2025

«Лаборатория Касперского» выходит на рынок eSIM и запускает Kaspersky eSIM Store

Пользователи смогут получить доступ к интернету в командировках и во время отдыха за рубежом без больших расходов на связь и необходимости покупать физическую SIM-карту

Мы используем куки (cookies) с целью повышения удобства вашей работы с сайтом.

Продолжая работу с сайтом, вы соглашаетесь с нашей политикой конфиденциальности.