INC.

В первом квартале 2024 года на Филиппинах зафиксирован резкий рост кибератак на фоне обострения напряжённости в Южно-Китайском море, сообщает компания Resecurity. В сравнении с аналогичным периодом прошлого года, число кибератак увеличилось почти на 325%. Отмечается, что активность хактивистских групп и разнообразных кампаний по дезинформации выросла втрое. Во втором квартале 2024 года тенденция продолжилась: с начала апреля Resecurity зафиксировала множество атак, осуществляемых ранее неизвестными группами хакеров. Эти атаки характеризуются смешением идеологических мотивов хактивистов и пропаганды, спонсируемой государствами. Resecurity указывает на группу Mustang Panda, связанную с Китаем, как на одного из активных участников информационной войны в киберпространстве региона. Применение псевдонимов, связанных с хактивизмом, позволяет участникам угроз избегать раскрытия их истинной идентичности, создавая впечатление внутреннего социального конфликта. В рамках анализа деятельности групп угроз, Resecurity выделяет несколько ключевых акторов, ускоряющих свою активность, включая Philippine Exodus Security (PHEDS), Cyber Operation Alliance (COA), Robin Cyber Hood (RCH) и DeathNote Hackers (Philippines). Замечено также сотрудничество некоторых из этих групп с Arab Anonymous и Sylnet Gang-SG. Аналитики считают наблюдаемую активность предварительной подготовкой к более широким вредоносным действиям в регионе, включая кибершпионаж, а также целенаправленные атаки на государственные органы и критически важные объекты инфраструктуры. Среди основных целей атак — Министерство внутренних дел и местного самоуправления, Бюро растениеводства, Национальная полиция Филиппин и Таможенное бюро.

Чилийское подразделение PowerHost, IxMetro, 30 марта стало жертвой кибератаки новой группировки вымогателей SEXi. В результате атаки были зашифрованы серверы VMware ESXi компании и резервные копии данных. PowerHost — это компания, занимающаяся центрами обработки данных, хостингом и межсетевыми соединениями, расположенная в США, Южной Америке и Европе. На некоторых зашифрованных серверах VMware ESXi размещались VPS-сервера клиентов. На данный момент веб-сайты или услуги на VPS-серверах недоступны для клиентов. Компания прилагает усилия по восстановлению терабайтов данных из резервных копий, однако последнее заявление IxMetro свидетельствует о невозможности восстановления серверов, так как резервные копии также были зашифрованы.

Государственный департамент США снова объявил вознаграждение в размере $10 млн за любую информацию, которая поможет идентифицировать членов хакерской группы Blackcat. Эта группировка, специализирующаяся на программах-вымогателях, уже не раз подрывала работу компьютерных систем критически важных инфраструктурных объектов в США и по всему миру. В конце февраля Blackcat произвела масштабное нападение на компанию Change Healthcare — технологическое подразделение гиганта медицинского страхования UnitedHealth Group. Атака привела к сбоям в обработке страховых выплат на сумму свыше $14 млрд, оставив пациентов и врачей без оплаты по страховым случаям. Нарушение работы систем Change Healthcare из-за кибератаки особенно тяжело ударило по центрам общественного здравоохранения, обслуживающим более 30 миллионов малоимущих и незастрахованных пациентов. По сообщениям СМИ, UnitedHealth Group заплатила хакерам $22 млн выкупа за разблокировку систем, однако неясно, выполнила ли группа Blackcat свою часть сделки. Вскоре после атаки хакеры распространили фальшивый пресс-релиз, утверждая, что их операции якобы закрыты правоохранителями, пытаясь ввести людей в заблуждение и убедить в том, что прекращают деятельность.

Подозреваемый в организации многомиллионной схемы криптоджекинга арестован после масштабного расследования, проведенного Европолом при поддержке Национальной полиции Украины. 29-летний гражданин Украины был задержан на этой неделе в городе Николаеве. Его личность не разглашается в интересах следствия. В ходе операции, помимо задержания, были проведены обыски сразу в трех домовладениях подозреваемого. Улики, собранные во время рейдов, помогут следствию в построении обвинения. Стоит отметить, что расследование стало возможным благодаря сотрудничеству Европола с одним из крупных поставщиков облачных услуг. Именно этот провайдер изначально обратился в европейское полицейское ведомство, сообщив о взломе учетных записей своих клиентов. Затем информация была передана украинским властям. По версии следствия, преступник в течение длительного времени незаконно использовал взломанную инфраструктуру целого ряда организаций для майнинга криптовалют. Таким образом ему удалось добыть криптовалюту на сумму более 2 миллионов долларов. При этом компании-жертвы даже не подозревали о взломе, продолжая как ни в чем не бывало оплачивать услугу. Исследования показывают, что криптоджекеры в среднем получают 1 доллар прибыли из каждых 53, потраченных атакованной компанией на облачные услуги. Несмотря на то, что явление криптоджекинга изучается уже несколько лет, успешные кампании по-прежнему приносят злоумышленникам огромные суммы. Например, в 2022 году группировка TeamTNT получила около 8100 долларов в результате своей преступной деятельности. При этом жертвам пришлось оплатить счета на 430 000 долларов. Строго говоря, определение криптоджекинга подразумевает незаконное использование не только облачных ресурсов, но и любых других мощностей, пригодных для майнинга. Однако если преступники хотят получить максимально быстрый результат, они в первую очередь нацелены на облачные сервисы. Этот арест стал возможен благодаря эффективному взаимодействию правоохранительных органов и частного сектора в борьбе с киберпреступностью. Он демонстрирует важность совместной работы для выявления и пресечения подобных преступных схем. Сейчас мужчина ждет суда, о его местонахождении ничего не известно. Следствие собирает последние данные, чтобы принять справедливые меры.

Японский разработчик игр Ateam Entertainment доказал, что простая ошибка конфигурации Google Диска может привести к потенциальному, но маловероятному раскрытию конфиденциальной информации почти миллиона человек в течение 6 лет и 8 месяцев. Японская фирма является создателем мобильных игр и приложений для производительности. В компания Ateam сообщила пользователям своих приложений и сервисов, сотрудникам и деловым партнерам о своей находке 21 ноября 2023 года. По данным компании, с марта 2017 года для экземпляра компании в Google Диске неправильно установлено значение права доступа «Все в интернете: любой пользователь может найти файл в Google и открыть его, не входя в аккаунт Google». Небезопасно настроенный экземпляр Google Диск содержал 1 369 файлов с личной информацией о клиентах Ateam, деловых партнерах Ateam, бывших и нынешних сотрудниках и даже стажерах и людях, подавших заявки на должность в компании. Компания Ateam подтвердила, что данные 935 779 человек были раскрыты, из них 98,9% — клиенты. Данные, предоставляемые неправильной конфигурацией, различаются в зависимости от типа отношений каждого человека с компанией и могут включать следующее: Полные имена; Адрес электронной почты; Телефонные номера; Клиентские номера; Идентификационные номера терминала (устройства). Компания заявляет, что не видела конкретных доказательств того, что злоумышленники украли раскрытую информацию, но призывает людей сохранять бдительность в отношении нежелательных и подозрительных сообщений. Если установить для файла в Google Диске значение «Все в интернете», файл будет доступен для просмотра только тем, у кого есть точный URL-адрес, обычно предназначенный для совместной работы между людьми, работающими с не конфиденциальными данными. Если сотрудник или другой пользователь, у которого есть ссылка, по ошибке опубликует ее публично, она может быть проиндексирована поисковыми системами и стать общедоступной. Хотя маловероятно, что кто-либо самостоятельно нашел открытый URL-адрес Google Диска, это уведомление демонстрирует необходимость того, чтобы компании должным образом защищали свои облачные сервисы, чтобы предотвратить ошибочное раскрытие данных.

ИБ-компания Arctic Wolf обнаружила вымогательскую кампанию группировки CACTUS, эксплуатирующую недавно обнаруженные уязвимости в платформе бизнес-аналитики Qlik Sense для проникновения в целевые среды. Кампания знаменует собой первый задокументированный случай, когда злоумышленники, развернувшие программу-вымогатель CACTUS, использовали уязвимости в Qlik Sense для первоначального доступа. Компания Arctic Wolf, которая реагирует на «несколько случаев» эксплуатации Qlik Sense, отметила, что в атаках, вероятно, используются 3 уязвимости, которые были обнаружены за последние 3 месяца: CVE-2023-41265 (CVSS: 9,9) — уязвимость туннелирования HTTP-запросов (HTTP Request Tunneling), позволяющая удаленному злоумышленнику повысить свои привилегии и отправлять запросы, которые выполняются внутренним сервером, где размещено приложение-репозиторий. CVE-2023-41266 (CVSS: 6,5) — уязвимость обхода пути (Path Traversal), которая позволяет неаутентифицированному удаленному злоумышленнику отправлять HTTP-запросы к неавторизованным конечным точкам; CVE-2023-48365 (CVSS: 9,9) — уязвимость удаленного выполнения кода (Remote Code Execution, RCE) без проверки подлинности, возникающая из-за неправильной проверки заголовков HTTP, позволяющая удаленному злоумышленнику повысить свои привилегии путем туннелирования HTTP-запросов. Стоит отметить, что CVE-2023-48365 является результатом неполного исправления для CVE-2023-41265, который вместе с CVE-2023-41266 был раскрыт Praetorian в конце августа 2023 года. Исправление CVE-2023-48365 было выпущено 20 сентября 2023 г. В атаках, наблюдаемых Arctic Wolf, после успешной эксплуатации недостатков следует злоупотребление сервисом Qlik Sense Scheduler для запуска процессов, предназначенных для загрузки дополнительных инструментов с целью установления постоянства и настройки удаленного управления. Сюда входят ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk и Plink. Также было замечено, что киберпреступники удаляли программное обеспечение Sophos, меняли пароль учетной записи администратора и создавали RDP-туннель через Plink. Цепочки атак завершаются внедрением программы-вымогателя CACTUS, при этом злоумышленники также используют rclone для кражи данных. Ранее группа CACTUS проникала в сети жертв через уязвимости в VPN-оборудовании Fortinet, предварительно шифруя свой файл, чтобы избежать обнаружения. Вымогатели требуют от своих жертв миллионы долларов за расшифровку данных, а также угрожают слить всё в открытый доступ. Что отличает CACTUS от других операций , так это использование шифрования для защиты двоичного файла программы-вымогателя. Злоумышленник использует пакетный скрипт для получения двоичного файла шифровальщика с использованием 7-Zip. Исходный ZIP-архив затем удаляется, а двоичный файл развертывается с определенным флагом, который позволяет ему выполняться. Специалисты полагают, что это делается для предотвращения обнаружения шифровальщика-вымогателя.

Группировка вымогателей ALPHV/BlackCat объявила о взломе сети медицинской компании Henry Schein. По утверждениям злоумышленников, они сумели похитить свыше 35 ТБ данных, среди которых оказались чувствительные данные о заработных платах сотрудниках и акционерах. Henry Schein — поставщик решений в области здравоохранения и компания из списка Fortune 500, имеющая операции и филиалы в 32 странах мира и доход более $12 млрд. в 2022 году. 15 октября компания сообщила, что была вынуждена отключить некоторые системы для локализации кибератаки. Отключение систем привело к сбоям в работе производственных и распределительных отделов. Программное обеспечение для управления медицинской практикой Henry Schein One не пострадало от атаки, но компания проинформировала правоохранительные органы о произошедшем и наняла экспертов в области кибербезопасности для расследования и анализа угрозы. Через неделю после сообщения о кибератаке поставщик медицинских услуг призвал клиентов размещать заказы через представителей в Henry Schein или с помощью специальных телефонных номеров. Почти через 2 недели после атаки группировка BlackCat/ALPHV добавила Henry Schein на свой сайт утечек в темной сети, утверждая, что киберпреступники взломали сеть компании и украли 35 ТБ чувствительных файлов. Группировка заявила, что она снова зашифровала устройства фирмы, как только Henry Schein почти закончила восстановление всех своих систем, поскольку текущие переговоры провалились. Стоит отметить, что запись о взломе Henry Schein на сайте BlackCat была удалена, что указывает на возобновление переговоров компанией или уплату выкупа.

GitHub предупредил о распространении кампании социальной инженерии, нацеленной на личные аккаунты сотрудников технологических фирм в сфере блокчейна, криптовалюты или онлайн-игр. Специалисты агентства CISA приписали эту кампанию северокорейской группировке Jade Sleet (TraderTraitor). Группа в основном нацелена на пользователей, связанных с криптовалютой и другими организациями, связанными с блокчейном, но также нацелена на поставщиков этих фирм. Атака начинается с того, что злоумышленник создает поддельные учетные записи (или захватывает существующие) в GitHub и в различных соцсетях и мессенджерах (LinkedIn*, Slack и Telegram)., выдавая себя за разработчика или рекрутера компании. После установления контакта с жертвой злоумышленник приглашает её для совместной работы над репозиторием GitHub и убеждает цель клонировать и выполнить содержимое. Однако репозиторий GitHub содержит ПО, которое включает вредоносные зависимости npm. Некоторые темы программного обеспечения включают медиаплееры и инструменты для торговли криптовалютой. Затем npm-пакеты загружают и запускают вредоносное ПО на устройстве жертвы. Чтобы избежать проверки пакета на вредоносные функции, киберпреступник публикует пакеты только тогда, когда он приглашает жертву в репозиторий. В некоторых случаях злоумышленник может доставить вредоносное ПО непосредственно в мессенджере, минуя этап приглашения/клонирования репозитория. На данный момент все вредоносные аккаунты отключены. Наблюдаемые полезные нагрузки включают обновленные варианты Manuscrypt для macOS и Windows, специальный троян удаленного доступа (Remote Access Trojan, RAT), который собирает системную информацию, выполняет произвольные команды и загружает дополнительные полезные нагрузки. Ранее использование инструмента Manuscrypt эксперты CISA приписали северокорейской группировке Lazarus.

Специалисты Microsoft обнаружили всплеск атак группировки Midnight Blizzard, сосредоточенных на краже учетных данных. В ходе атак хакеры используют резидентные прокси-сервисы для сокрытия исходного IP-адреса злоумышленников, нацелены на правительства, поставщиков ИТ-услуг, НПО, оборонный и критически важный секторы производства. Midnight Blizzard (Nobelium, APT29, Cozy Bear, Iron Hemlock и The Dukes) привлекла внимание всего мира компрометацией цепочки поставок SolarWinds в декабре 2020 года и продолжает полагаться на незаметные инструменты в своих целевых атаках, направленных на МИДы и дипломатические учреждения по всему миру. В атаках используются различные методы распыления паролей (Password Spraying), брутфорса и кражи токенов. По словам Microsoft, злоумышленник также проводил атаки с повторным воспроизведением сеанса, чтобы получить первоначальный доступ к облачным ресурсам, используя украденные сеансы, которые, вероятно, были приобретены путем незаконной продажи. Эксперты также сообщили, что APT29 использовала резидентные прокси-сервисы для маршрутизации вредоносного трафика в попытке запутать соединения, сделанные с использованием скомпрометированных учетных данных. Хакеры, вероятно, использовали эти IP-адреса в течение очень короткого периода времени, что могло затруднить обнаружение. По данным Центра киберзащиты и противодействия киберугрозам Украины (CERT-UA), в атаках использовались электронные письма с вложениями, использующие многочисленные уязвимости в программном обеспечении веб-почты Roundcube с открытым исходным кодом ( CVE-2020-12641 , CVE-2020-35730 и CVE-2021-44026 ) для проведения разведки и сбора данных.

Исследовательские группы Cisco Talos и Citizen Lab опубликовали технический анализ коммерческого шпионского ПО для Android под названием «Predator» и его загрузчика «Alien». Predator — это коммерческое шпионское ПО для мобильных платформ (iOS и Android), связанное с операциями по шпионажу за журналистами, высокопоставленными европейскими политиками и даже руководителями Meta *. Predator может записывать телефонные звонки, собирать информацию из мессенджеров или даже скрывать приложения и блокировать их запуск на зараженных устройствах Android. Загрузчик Alien В мае 2022 года команда Google TAG раскрыла 5 уязвимостей в Android , которые Predator использовал для выполнения шелл-кода и установки загрузчика Alien на целевое устройство. Alien внедряется в основной процесс Android под названием «zygote64», а затем загружает и активирует дополнительные компоненты шпионского ПО на основе встроенной конфигурации. Alien получает компонент Predator с внешнего адреса и запускает его на устройстве или обновляет существующий модуль на более новую версию, если такая имеется. После этого Alien продолжает работать на устройстве, обеспечивая скрытое взаимодействие между компонентами шпионского ПО, пряча их внутри легитимных системных процессов и получая команды от Predator для выполнения, обходя защиту Android (SELinux). Обход SELinux — это ключевая функция шпионского ПО, отличающая его от инфостилеров и троянов, продаваемых в Telegram по цене $150-300/месяц. Cisco объясняет, что Alien обходит защиту за счет злоупотребления контекстами SELinux, которые определяют, какие пользователи и какой уровень информации разрешен для каждого процесса и объекта в системе, снимая существующие ограничения. Кроме того, Alien прослушивает команды «ioctl» (ввод/вывод) для внутреннего взаимодействия компонентов шпионского ПО, которые SELinux не проверяет. Alien также сохраняет украденные данные и записи в общем пространстве памяти, затем перемещает их в хранилище, в конечном итоге выгружая их через Predator. Этот процесс не вызывает нарушений доступа и остается незамеченным для SELinux. Возможности Predator Predator – это основной модуль шпионского ПО, поступающий на устройство в виде ELF-файла и создающий среду выполнения Python для обеспечения различных функций шпионажа. Функциональность Predator включает: выполнение произвольного кода; запись аудио; подмену сертификатов; скрытие приложений; предотвращение запуска приложений (после перезагрузки); перечисление директорий. Примечательно, что Predator проверяет, работает ли он на Samsung, Huawei, Oppo или Xiaomi. Если да – ВПО рекурсивно перечисляет содержимое директорий, которые хранят пользовательские данные из почтовых приложений, мессенджеров, соцсетей и браузеров. Predator также перечисляет список контактов жертвы и конфиденциальные файлы в папках медиа пользователя, включая аудио, изображения и видео. Predator также подменяет сертификаты для установки пользовательских сертификатов в текущие доверенные центры сертификации пользователей. Это позволяет Predator проводить MiTM-атаки (man-in-the-middle) и шпионить за TLS-зашифрованным сетевым обменом. Cisco отмечает, что Predator осторожно использует эту возможность. ВПО не устанавливает сертификаты на системном уровне, так как это может помешать работе устройства и привлечь внимание пользователя. Пропущенные части Несмотря на такой глубокий анализ компонентов шпионского ПО, исследователи не знают деталей о двух модулях – «tcore» (основной компонент) и «kmem» (механизм повышения привилегий). Оба загружены в среду выполнения Python Predator. Аналитики полагают, «tcore» отслеживает геолокацию цели, делает снимки с камеры или имитирует выключение устройства. В свою очередь, «kmem» предоставляет произвольный доступ на чтение и запись в пространство ядра. Поскольку модули не могут быть извлечены из зараженных устройств, части шпионского ПО Predator всё ещё остаются неизведанными. Predator был разработан компанией Cytrox, которая базируется в Северной Македонии и продает коммерческое шпионское ПО и другие инструменты наблюдения. Компания Cytrox также стоит за другим шпионским ПО под названием Hermit, которое было использовано для взлома смартфонов журналистов и активистов в Индии. Predator не единственное шпионское ПО, которое используется для целенаправленных атак на пользователей с высоким уровнем риска. Другой пример - Pegasus, разработанный израильской компанией NSO Group. Pegasus также может взламывать и отслеживать смартфоны на базе Android и iOS. Pegasus был использован для шпионажа за журналистами, правозащитниками, политиками и бизнесменами в разных странах мира. Apple, один из производителей смартфонов, подвергающихся атакам Predator и Pegasus, запустила новую функцию безопасности под названием «Режим изоляции (Lockdown Mode)» в iOS 16, iPadOS 16 и macOS Ventura. Эта функция блокирует некоторые функции для обеспечения максимальной защиты от «целенаправленных кибератак».

Американский оператор сотовой связи T-Mobile сообщил о новом инциденте безопасности, который стал уже седьмым случаем утечки данных абонентов за последние пять лет. О последнем случае мы писали в январе этого года, тогда утечка затронула 37 миллионов абонентов. Однако на этот раз компания «отделалась малой кровью», ведь пострадали всего 836 абонентов, что поразительно мало на фоне ежедневных новостях о многомиллионных утечках. По словам представителей компании, в марте они обнаружили несанкционированный доступ к своей сети, который начался ещё в конце февраля. Злоумышленники не смогли получить финансовую информацию или историю звонков, но похитили PIN-коды учётных записей и множество других конфиденциальных данных абонентов. «Похищенная информация различалась от клиента к клиенту, но могла включать полное имя, контактную информацию, номер счёта и связанные с ним номера телефонов, PIN-код учётной записи T-Mobile, номер социального страхования, правительственное удостоверение личности, дату рождения, баланс и внутренние коды, которые T-Mobile использует для обслуживания учётных записей клиентов», — пояснил оператор в своём письме . Компания утверждает, что направила письма всем пострадавшим пользователям 28 апреля и автоматически сбросила PIN-коды для их учетных записей. T-Mobile довольно часто сталкивался с компрометацией данных своих абонентов. Первый известный случай произошел в 2018 году, когда два миллиона записей вместе с хешированными паролями оказались в открытом доступе. Год спустя ещё более миллиона клиентов лишились своих данных. В марте и декабре 2020 года произошли еще два нарушения безопасности, а в 2021 году в даркнете были опубликованы 48 миллионов записей клиентов. О шестом случае, произошедшем в январе этого года, мы упомянули в начале новости. Как можно заметить, T-Mobile, по-видимому, не делает никаких выводов из регулярно происходящих киберинцидентов, а общий уровень информационной безопасности компании и используемые защитные методы не представляют для злоумышленников значимого препятствия. Репутация коммуникационного гиганта падает с каждой новой утечкой, разве это не повод сменить текущий подход к безопасности на более эффективный?

Нидерландская футбольная ассоциация стала жертвой кибератаки, в результате которой хакерская группировка Lockbit получила доступ к большому объему данных. Об этом сообщает Sport.pl. Предполагается, что злоумышленники получили доступ к контрактам бывших и настоящих игроков и тренеров, документам по текущим дисциплинарным вопросам, а также к информации о финансовой деятельности ассоциации. На данный момент футбольная ассоциация не приняла решение о том, будет ли она выполнять требования хакеров. Расследование все еще продолжается, и пока оно не завершено, представители ассоциации не будут делать каких-либо заявлений относительно произошедшего. Они также отказываются комментировать вопросы о возможных виновных и их мотивах. Хакерская группа Lockbit уже потребовала выкуп за украденные данные, а в случае отказа обещает опубликовать их в середине следующей недели. Точная сумма выкупа не разглашается, однако, вероятно, она составляет несколько миллионов евро.

Сервис электронной почты компании VK подвёл своеобразные итоги за 2022 год. «Почта Mail.ru» рассказала о работе антифишинг и антиспам систем. По словам компании, жалобы пользователей на спам сократились на 6,5% в 2022 году по сравнению с 2021 годом. Как утверждают разработчики, антиспам система «Почты Mail.ru» использует технологии ИИ, где за распознавание нежелательного контента отвечают «трансформеры» — глубокие модели машинного обучения, содержащие 60 млн параметров.Сисема антиспама ежедневно обучается и в 2022 году блокировала 54,5 млн нежелательных рассылок из 404,5 млн входящих писем в день. Система заблокировала 20 млрд спам-писем. Кроме антиспам системы, в сервисах Mail.ru используются технологии «Лаборатории Касперского», защищающие пользователей от вредоносных вложений в письмах. В 2022 году 500 тысяч писем с вложениями были идентифицированы как вредоносные и заблокированы.

анее незарегистрированная хакерская группировка под названием YoroTrooper нацелилась на правительственные, энергетические и прочие критически важные организации по всей Европе в рамках кампании кибершпионажа, которая ведется как минимум с июня 2022 года. «Информация, украденная в результате успешных компрометаций, включает в себя учётные данные из нескольких приложений, историю браузера, cookie-файлы, системную информацию и снимки экрана», — заявили исследователи Cisco Talos. В число известных целевых стран входят Беларусь, Азербайджан, Таджикистан, Кыргызстан, Туркменистан и другие страны СНГ. Также, по словам исследователей, досталось и правительственным учреждениям Турции. Специалисты полагают, что к атакам причастен русскоязычный злоумышленник из-за шаблонов виктимологии и наличия фрагментов кириллицы в некоторых имплантах. Однако также было обнаружено, что набор для вторжения YoroTrooper демонстрирует тактическое совпадение с командой PoetRAT, которая, как было задокументировано в 2020 году, использовала приманки на тему коронавируса для нанесения ударов по правительственному и энергетическому секторам в Азербайджане. Страну происхождения PoetRAT исследователям Cisco Talos во время прошлого расследования выявить не удалось. Цели YoroTrooper по сбору данных реализуются за счёт сочетания обычных вредоносных программ (Ave Maria, LodaRAT, Meterpreter и Stink) с цепочками заражения, использующими вредоносные ярлыки (.lnk) и документы-приманки, завернутые в «.zip» / «.rar» архивы и распространяемые с помощью целевого фишинга.

В течение последних семи месяцев происходят непрекрающиеся атаки на сеть Tor. Временами усилия атакующих были достаточными, чтобы замедлить работу сети или даже полностью отключить доступ к onion-сервисам для некоторых пользователей, утверждают специалисты проекта. Инфраструктура сервиса уже более полугода подвергается атакам со стороны неизвестных злоумышленников, используя DoS-атаки. Команда Tor Project прилагает усилия, чтобы справиться с этой ситуацией, и кроме того, наняла двух новых разработчиков, специализирующихся в области сетевого ПО. Согласно сообщению в блоге проекта Tor, инфраструктура проекта подверглась серии мощных кибератак и невозможно установить мотивы злоумышленников и принадлежность к хакерской группировке. Также указано, что методы и векторы атак злоумышленников постоянно меняются. Команда Tor пытается адаптировать инфраструктуру сети для работы в сложных условиях. Организация обращается к сообществу с призывом помочь в финансировании развития луковой службы за счет пожертвований. Предлагая бесплатные услуги, проект Tor финансируется за счет пожертвований при поддержке Electronic Frontier Foundation (EFF), различных правительственных учреждений США и частных лиц. Напомню, ранее стало известно, что, несмотря на заявленную анонимность сети, ФБР смогло получить информацию об активности потенциального террориста в сети Tor. При этом спецслужбы категорически отказались раскрывать способ взлома.