Троян FatalRAT атакует энергетику, здравоохранение и логистику
Киберпреступники последовательно атаковали ряд промышленных организаций в Азиатско-Тихоокеанском регионе, распространяя вредоносное ПО FatalRAT. В частности, применяемый сценарий распространения ВПО актуален для промышленных организаций на территории России. Как защититься от нового трояна, рассказала аналитик лаборатории исследований кибербезопасности компании «Газинформсервис» Ирина Дмитриева.
По данным Kaspersky ICS CERT, преступники разработали сложную многоэтапную систему доставки вредоносного ПО, позволяющую обходить защитные механизмы. Для доставки вредоносного кода злоумышленники использовали облачные сервисы, такие как платформа myqcloud и Youdao Cloud Notes.
Жертвами уже стали государственные учреждения и предприятия в сфере производства, строительства, информационных технологий, здравоохранения, энергетики и логистики. В списке затронутых стран — Тайвань, Малайзия, Китай, Япония, Таиланд, Южная Корея, Сингапур, Филиппины, Вьетнам и Гонконг.
Атака начинается с фишингового письма с ZIP-архивом. При открытии файла запускается первый загрузчик, который обращается к облачному сервису для скачивания DLL-библиотеки и конфигуратора FatalRAT. Последний загружает дополнительные данные из облачного сервиса и открывает ложный файл, чтобы жертва не заподозрила неладное.
Основной механизм заражения — подмена DLL-библиотек, позволяющая маскировать вредоносное ПО под легитимные процессы Windows. После успешного выполнения цепочки атакующее ПО загружает FatalRAT с сервера «myqcloud[.]com», скрывая свои следы с помощью поддельного сообщения об ошибке.
ВПО FatalRAT наносит критичный ущерб при попадании на пользовательские устройства. В перечне его функционала: кейлоггер, контроль экрана, удаление пользовательских данных, загрузка удалённого ПО (например, AnyDesk и UltraViewer), файловые операции, управление прокси-сервером и принудительное завершение процессов.
«Для недопущения негативного воздействия со стороны вредоносного ПО важно обеспечить комплексную периметральную защиту инфраструктуры. Как отмечается, многофункциональное ВПО может мимикрировать под легитимные процессы Windows и завершать свою работу при обнаружении анализа собственного исходного кода. В соответствии с этой проблематикой, помимо внедрения СЗИ-решений и запуска курсов повышения осведомлённости сотрудников от фишинговых атак, крайне важно обеспечить мониторинг подозрительной сетевой активности и блокировать загрузки из ненадёжных источников. Меры митигации таких угроз успешно применяются в GSOC. Мониторинг аномальных событий осуществляется аналитиками с экспертизой в области форензики, расследования инцидентов и проактивной разведки угроз», — говорит эксперт компании «Газинформсервис» Ирина Дмитриева.
Смотрите на ТВ-канале «Большой эфир», в социальных сетях и на YouTube-канале компании «Газинформсервис» новый выпуск шоу об информационной безопасности и кулинарии — «Инфобез со вкусом». Гостем проекта стал Владимир Степанов, Первый заместитель Председателя Совета директоров Группы компаний (ГК) «Аквариус».
Программный комплекс Ankey RBI компании «Газинформсервис» включён в реестр российского ПО Минцифры. Новый продукт позволяет безопасно использовать веб-ресурсы путём изоляции браузера от рабочей машины конечного пользователя.«Сегодня как никогда актуально защищаться от угроз, распространяемых по электронной почте, потому что большинство атак начинается с того, что кто-то открыл полученный файл на рабочем компьютере.
Российские компании «Газинформсервис» и «БАРС Груп» успешно завершили тестирование, которое подтвердило полную совместимость системы управления базами данных Jatoba (версия 6.4.1) и системы управления доступом BarsUp.Access Manager (версия 1.2.35). Это решение особенно актуально для государственных учреждений, финансовых организаций и предприятий, работающих с конфиденциальной информацией.
В PHP-фундаменте множества онлайн-ресурсов обнаружен ряд критических уязвимостей, ставящих под угрозу миллионы веб-сайтов, включая бизнес-приложения, интернет-магазины и платёжные системы. Киберэксперт компании «Газинформсервис» Михаил Спицын предупреждает: это открывает возможности для различных атак, от отказа в обслуживании (DoS) до кражи конфиденциальных данных.
В Apache Tomcat обнаружена критическая уязвимость (CVE-2025-24813), позволяющая злоумышленникам получить полный и незащищённый контроль над серверами. Екатерина Едемская, инженер-аналитик компании «Газинформсервис», предупреждает о серьёзности проблемы: злоумышленники могут удалённо выполнять произвольный код без аутентификации.
Группировка Black Basta использует новый инструмент для взлома сетевых устройств — BRUTED. Фреймворк автоматизирует брутфорс-атаки устройства, доступные через интернет, такие как межсетевые экраны и VPN, что позволяет злоумышленникам масштабировать атаки с минимальными усилиями.
Новая атака на цепочку поставок затронула более 100 автосалонов в США, подвергая их клиентов риску заражения вредоносным ПО. Киберэксперт Ирина Дмитриева рассказала, как обеспечить защиту бизнес-клиентов российских организаций в условиях распространения вредоносных закладок на веб-ресурсах.
