©
P-Reliz.ru - агрегатор пресс-релизов

Хакеры использовали антивирус для внедрения вредоносных компонентов через легитимные утилиты Windows

Киберпреступники Earth Preta (также известные как Mustang Panda) эксплуатируют новую технику обхода антивирусной защиты в Windows-системах для последующего перехвата управления заражёнными системами. Аналитик лаборатории исследований кибербезопасности компании «Газинформсервис» Ирина Дмитриева рассказала об эффективной защите от подобной атаки.

Эксперты Trend Micro обнаружили, что хакеры используют легитимный инструмент Windows под названием Microsoft Application Virtualization Injector («MAVInject.exe») для внедрения вредоносного кода в процесс «waitfor.exe», если на устройстве обнаружена работа антивируса ESET.

Атака начинается с загрузки нескольких файлов, включая легитимные исполняемые файлы, вредоносные компоненты и подставной PDF-документ, предназначенный для отвлечения внимания жертвы. В ходе атаки используется Setup Factory — инструмент для создания установщиков Windows, что помогает скрыть вредоносный код и обеспечить его незаметное выполнение.

«Злоумышленники эксплуатируют встроенные компоненты Windows для скрытого внедрения вредоносной нагрузки, реализуя цепочку техник, описанных в матрице MITRE ATT&CK. Последовательность действий не уникальна. Зачастую на этапе запуска обфусцированных вредоносных приложений антивирусные средства не способны детектировать первичные угрозы и подвергаются манипуляциям со стороны хакеров. Не допустить подобные угрозы поможет комплексная защита инфраструктуры, которую сможет обеспечить внедрение GSOC. Проактивный поиск угроз и автоматизированный анализ активности на каждом устройстве в сочетании с инструментами поведенческого анализа и высококлассной экспертизы аналитиков SOC обеспечивают гарантированное выявление атаки на первых этапах», — говорит эксперт «Газинформсервиса» Ирина Дмитриева.

*Trend Micro — международная компания в области кибербезопасности, специализирующаяся на защите от вредоносного программного обеспечения, угроз в интернете и прочих кибератак.

ООО «Газинформсервис» — отечественный разработчик программных и программно-аппаратных средств обеспечения информационной безопасности и комплексной инженерно-технической охраны. Компания специализируется на создании систем обеспечения информационной безопасности объектов и ИБ-систем для корпораций энергетической и транспортной отраслей, органов государственной власти, промышленных предприятий, а также учреждений финансового сектора и телекоммуникационных компаний.

P-Reliz.ru - аггрегатор пресс-релизов

Другие пресс-релизы ООО "Газинформсервис"


Боги не на стороне пользователей: шифровальщик Anubis эволюционировал в уничтожитель данных

Шифровальщик Anubis обновился, добавив функцию вайпера – полного уничтожения файлов жертвы. Даже выплата выкупа не гарантирует восстановление данных. Как отмечает Сергей Полунин, руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис», Anubis демонстрирует новый тренд: киберпреступники не ограничиваются одним типом атаки, а комбинируют их, дополняя шифрование полным уничтожением информации. Появление в даркнете конструкторов вредоносного ПО усиливает эту тенденцию.


Атака на Nobitex: угроза политически мотивированного хакинга растёт

В ночь на 18 июня 2025 года иранская криптовалютная биржа Nobitex подверглась разрушительной кибератаке, за которой стоит группировка хакеров Predatory Sparrow. Руководитель GSOC компании «Газинформсервис» Александр Михайлов предупредил, что за подобными атаками не всегда стоят финансовые мотивы — данный случай демонстрирует политическую мотивацию.


Фотографии за 30 лет в никуда: киберэксперт о рисках облачного хранения данных

Интеграция OneDrive в Windows 10 и 11 привела к росту популярности Microsoft 365 и к увеличению количества пользователей, хранящих данные в облаке. Однако недавно достоянием общественности стал серьёзный случай потери данных: пользователь потерял фотографии за 30 лет из-за блокировки учётной записи OneDrive. Как объясняет Александр Катасонов, инженер-аналитик компании «Газинформсервис», полная зависимость от облачных сервисов, таких как OneDrive, чревата серьёзными рисками.


Киберэксперт Жданухин: обновления недостаточно для полной безопасности сервиса «Яндекс Телемост»

Критическая уязвимость CVE-2024-12168 в Windows-версии «Яндекс Телемоста» вновь подчёркивает важность многоуровневой защиты, предупреждает Андрей Жданухин, руководитель группы аналитики L1 GSOC компании «Газинформсервис».


Опасная комбинация: социальная инженерия и технические уязвимости снова на вооружении хакеров

Хакерская АРТ-группировка Team46 (TaxOff) использует уязвимость нулевого дня в Google Chrome (CVE-2025-2783) для проведения изощрённой фишинговой кампании. Александр Катасонов, инженер-аналитик компании «Газинформсервис», отмечает, что расследованная атака — это яркий пример того, как APT-группы комбинируют социальную инженерию и технические уязвимости для достижения своих целей.


Киберэксперт Дмитриева: новая фишинговая атака через GitHub маскируется под ИИ-генератор SoraAI

Используя ажиотаж вокруг новой ИИ-модели Sora от компании OpenAI, киберпреступники распространяют фишинговый сервис генерации видео через GitHub, предупреждает Ирина Дмитриева, киберэксперт компании «Газинформсервис». Злоумышленники маскируют вредоносный файл 'SoraAI.lnk' под легальный дистрибутив. Конечная цель – кража данных, включая учётные данные браузера, конфигурации системы и личных файлов, что может привести к целенаправленным атакам.


От дипфейков до взлома IoT: какие прогнозы ИБ-экспертов сбываются в 2025 году

В прошлом году эксперты в рамках проекта «ИБ-пророк. Когда сходятся звёзды: прогнозы лидеров инфобеза»* предсказывали появление новых схем мошенничества, включая голосовые дипфейки, — и теперь эти прогнозы сбываются. Злоумышленники звонят россиянам под видом соцопросов, чтобы записать их голос и создать поддельные аудио. Но это лишь один из сценариев. Какие ещё угрозы предвидели специалисты?