Opera уже «не та». Как хакеры прячут свои инструменты за иконками популярных программ
NewsMakerРазбираем анатомию угрозы, которая может поселиться в вашем компьютере.
Группа Sandworm вновь напомнила о себе — на этот раз через сложную схему скрытого доступа к заражённым системам. ИБ-специалисты зафиксировали атаки, где злоумышленники не просто проникают в сеть, а выстраивают внутри неё устойчивую и почти невидимую инфраструктуру для удалённого управления.
Команда 360 обнаружила несколько вредоносных образцов, связанных с APT-C-13, также известной как Sandworm. Атака начинается с целевого письма с архивом, внутри которого находится файл-ярлык, замаскированный под документ. После запуска такой файл разворачивает цепочку компонентов и незаметно запускает основной скрипт. Параллельно открывается приманка в виде обычного PDF, чтобы не вызывать подозрений.
Дальше вредоносный код разворачивает на устройстве сразу две службы — Tor и SSH , тщательно скрывая их под видом легитимных программ вроде Dropbox или Opera GX. Через Tor создаётся скрытый сервис с собственным .onion-адресом, который даёт атакующим прямой доступ к внутренним портам системы, включая удалённый рабочий стол и файловые ресурсы. При этом SSH-сервер работает только локально и принимает соединения исключительно через Tor, что делает его практически невидимым для стандартных средств мониторинга.
Для закрепления в системе используются задания планировщика, которые запускают вредоносные компоненты при каждом входе пользователя. Такие задания скрыты от обычного интерфейса и не ограничены по времени работы. Дополнительно скрипт проверяет среду на наличие признаков виртуальной машины или песочницы — при подозрении на анализ выполнение прекращается.
Отдельное внимание уделено маскировке трафика. Вредоносное ПО применяет протокол obfs4 , который превращает поток Tor в случайный набор данных. Такой подход помогает обходить системы фильтрации и глубокого анализа пакетов, сохраняя стабильную связь с управляющими серверами в даркнете.
Анализ показал, что текущая кампания развивает предыдущие методы Sandworm. Если раньше использовались более простые каналы управления, теперь речь идёт о многослойной схеме с шифрованием, анонимизацией и постоянным доступом к внутренней сети. В результате злоумышленники получают фактически «теневую» точку администрирования внутри инфраструктуры жертвы.
Связь с Sandworm подтверждают характерные техники — маскировка под популярные приложения, использование планировщика задач и сочетание Tor с SSH. Дополнительным фактором стали артефакты, указывающие на восточноевропейское происхождение образцов и их тематическую направленность.
APT-C-13 продолжает эволюционировать, делая упор на скрытность и устойчивость. Новая схема атак усложняет обнаружение и требует более внимательного контроля сетевой активности и поведения системных процессов.
Группа Sandworm вновь напомнила о себе — на этот раз через сложную схему скрытого доступа к заражённым системам. ИБ-специалисты зафиксировали атаки, где злоумышленники не просто проникают в сеть, а выстраивают внутри неё устойчивую и почти невидимую инфраструктуру для удалённого управления.
Команда 360 обнаружила несколько вредоносных образцов, связанных с APT-C-13, также известной как Sandworm. Атака начинается с целевого письма с архивом, внутри которого находится файл-ярлык, замаскированный под документ. После запуска такой файл разворачивает цепочку компонентов и незаметно запускает основной скрипт. Параллельно открывается приманка в виде обычного PDF, чтобы не вызывать подозрений.
Дальше вредоносный код разворачивает на устройстве сразу две службы — Tor и SSH , тщательно скрывая их под видом легитимных программ вроде Dropbox или Opera GX. Через Tor создаётся скрытый сервис с собственным .onion-адресом, который даёт атакующим прямой доступ к внутренним портам системы, включая удалённый рабочий стол и файловые ресурсы. При этом SSH-сервер работает только локально и принимает соединения исключительно через Tor, что делает его практически невидимым для стандартных средств мониторинга.
Для закрепления в системе используются задания планировщика, которые запускают вредоносные компоненты при каждом входе пользователя. Такие задания скрыты от обычного интерфейса и не ограничены по времени работы. Дополнительно скрипт проверяет среду на наличие признаков виртуальной машины или песочницы — при подозрении на анализ выполнение прекращается.
Отдельное внимание уделено маскировке трафика. Вредоносное ПО применяет протокол obfs4 , который превращает поток Tor в случайный набор данных. Такой подход помогает обходить системы фильтрации и глубокого анализа пакетов, сохраняя стабильную связь с управляющими серверами в даркнете.
Анализ показал, что текущая кампания развивает предыдущие методы Sandworm. Если раньше использовались более простые каналы управления, теперь речь идёт о многослойной схеме с шифрованием, анонимизацией и постоянным доступом к внутренней сети. В результате злоумышленники получают фактически «теневую» точку администрирования внутри инфраструктуры жертвы.
Связь с Sandworm подтверждают характерные техники — маскировка под популярные приложения, использование планировщика задач и сочетание Tor с SSH. Дополнительным фактором стали артефакты, указывающие на восточноевропейское происхождение образцов и их тематическую направленность.
APT-C-13 продолжает эволюционировать, делая упор на скрытность и устойчивость. Новая схема атак усложняет обнаружение и требует более внимательного контроля сетевой активности и поведения системных процессов.