Microsoft: Secret Blizzard атакует дипмиссии в РФ, маскируясь под продукты «Лаборатории Касперского» - «Новости» » Интернет технологии
sitename
В России составили протокол из-за умышленного поиска экстремистских материалов - «Новости»
В России составили протокол из-за умышленного поиска экстремистских материалов - «Новости»
 В каталог расширений для VS Code проник написанный ИИ шифровальщик - «Новости»
В каталог расширений для VS Code проник написанный ИИ шифровальщик - «Новости»
 Группировка Cavalry Werewolf атакует российские госучреждения - «Новости»
Группировка Cavalry Werewolf атакует российские госучреждения - «Новости»
 Критическая уязвимость в Cisco UCCX позволяет выполнять команды с правами root - «Новости»
Критическая уязвимость в Cisco UCCX позволяет выполнять команды с правами root - «Новости»
 За год вредоносные приложения для Android скачали из Google Play более 40 млн раз - «Новости»
За год вредоносные приложения для Android скачали из Google Play более 40 млн раз - «Новости»
 Материнская плата для телефонных спамеров показалась на фото — у неё 36 портов USB - «Новости сети»
Материнская плата для телефонных спамеров показалась на фото — у неё 36 портов USB - «Новости сети»
 Xpeng представила самого человекоподобного робота Iron — в мужской и женской версиях - «Новости сети»
Xpeng представила самого человекоподобного робота Iron — в мужской и женской версиях - «Новости сети»
 На задворках Вселенной рекордно полыхнуло — как 10 триллионов Солнц разом - «Новости сети»
На задворках Вселенной рекордно полыхнуло — как 10 триллионов Солнц разом - «Новости сети»
 Свежие драйверы Nvidia сломали старые части Forza — исправлений ждать не стоит - «Новости сети»
Свежие драйверы Nvidia сломали старые части Forza — исправлений ждать не стоит - «Новости сети»
 Благодаря утечке стало известно, какие телефоны Pixel уязвимы для инструментов Cellebrite - «Новости»
Благодаря утечке стало известно, какие телефоны Pixel уязвимы для инструментов Cellebrite - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Microsoft: Secret Blizzard атакует дипмиссии в РФ, маскируясь под продукты «Лаборатории Касперского» - «Новости»

✔Microsoft: Secret Blizzard атакует дипмиссии в РФ, маскируясь под продукты «Лаборатории Касперского» - «Новости»

02 августа 2025 28 Новости / Преимущества стилей / Текст / Самоучитель CSS / Статьи об афоризмах / Изображения / Сайтостроение 0

Компания Microsoft сообщила, что хак-группа Secret Blizzard (она же Turla, Waterbug и Venomous Bear) атакует сотрудников иностранных посольств в Москве. Отчет гласит, что хакеры якобы используют MitM-позицию в сетях интернет-провайдеров и маскируют свою малварь ApolloShadow под антивирус «Лаборатории Касперского».


Исследователи Microsoft Threat Intelligence пишут, что обнаружили эту кампанию в феврале 2025 года, однако она длится как минимум с 2024 года, и хакеры используют доступ к сетям неназванных интернет-провайдеров, чтобы направлять целевых пользователей на вредоносные сайты, которые на первый взгляд выглядят известными и надежными.


Основная цель атакующих — побудить жертву выполнить полезную нагрузку, замаскированную под установщик антивируса «Лаборатории Касперского», а на самом деле представляющую собой малварь ApolloShadow.





«Как только система открывает окно браузера по этому адресу, происходит перенаправление на отдельный домен, контролируемый злоумышленником. Скорее всего, там отображается ошибка проверки сертификата, после чего жертве предлагается скачать и запустить ApolloShadow. После запуска ApolloShadow проверяет уровень привилегий ProcessToken. Если устройство работает не с настройками по умолчанию (без прав администратора), вредоносное ПО отобразит всплывающее окно UAC, чтобы убедить пользователя установить сертификаты из файла с именем CertificateDB.exe. Этот файл маскируется под установщик Kaspersky, он нужен для установки корневых сертификатов и получения повышенных привилегий в системе», — гласит отчет компании.


ApolloShadow внедряет на устройство корневой сертификат, что позволяет Secret Blizzard обмануть скомпрометированную систему, чтобы та распознавала вредоносные сайты как легитимные. В итоге хакеры получают возможность сохранить долгосрочный доступ к машине жертвы и собирать данные, а также работать над дальнейшим развитием атаки.





«Это первый случай, когда Microsoft может подтвердить возможность Secret Blizzard осуществлять шпионаж на уровне интернет-провайдеров, а значит, дипломатический персонал, использующий местных интернет-провайдеров и телекоммуникации, подвергается высокому риску и может стать целью AitM-атак [Adversary-in-the-Middle] Secret Blizzard», — заявляют в Microsoft.


При этом исследователи сообщили СМИ, что они «не имеют представления о характере взаимоотношений между злоумышленниками и интернет-провайдерами».

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Компания Microsoft сообщила, что хак-группа Secret Blizzard (она же Turla, Waterbug и Venomous Bear) атакует сотрудников иностранных посольств в Москве. Отчет гласит, что хакеры якобы используют MitM-позицию в сетях интернет-провайдеров и маскируют свою малварь ApolloShadow под антивирус «Лаборатории Касперского». Исследователи Microsoft Threat Intelligence пишут, что обнаружили эту кампанию в феврале 2025 года, однако она длится как минимум с 2024 года, и хакеры используют доступ к сетям неназванных интернет-провайдеров, чтобы направлять целевых пользователей на вредоносные сайты, которые на первый взгляд выглядят известными и надежными. Основная цель атакующих — побудить жертву выполнить полезную нагрузку, замаскированную под установщик антивируса «Лаборатории Касперского», а на самом деле представляющую собой малварь ApolloShadow. «Как только система открывает окно браузера по этому адресу, происходит перенаправление на отдельный домен, контролируемый злоумышленником. Скорее всего, там отображается ошибка проверки сертификата, после чего жертве предлагается скачать и запустить ApolloShadow. После запуска ApolloShadow проверяет уровень привилегий ProcessToken. Если устройство работает не с настройками по умолчанию (без прав администратора), вредоносное ПО отобразит всплывающее окно UAC, чтобы убедить пользователя установить сертификаты из файла с именем CertificateDB.exe. Этот файл маскируется под установщик Kaspersky, он нужен для установки корневых сертификатов и получения повышенных привилегий в системе», — гласит отчет компании. ApolloShadow внедряет на устройство корневой сертификат, что позволяет Secret Blizzard обмануть скомпрометированную систему, чтобы та распознавала вредоносные сайты как легитимные. В итоге хакеры получают возможность сохранить долгосрочный доступ к машине жертвы и собирать данные, а также работать над дальнейшим развитием атаки. «Это первый случай, когда Microsoft может подтвердить возможность Secret Blizzard осуществлять шпионаж на уровне интернет-провайдеров, а значит, дипломатический персонал, использующий местных интернет-провайдеров и телекоммуникации, подвергается высокому риску и может стать целью AitM-атак _
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: