• Добро пожаловать в Пиратскую Бухту! Чтобы получить полный доступ к форуму пройдите регистрацию!
  • Гость, стой!

    В бухте очень не любят флуд и сообщения без смысловой нагрузки!
    Чтобы не получить бан, изучи правила форума!

    Если хотите поблагодарить автора темы, или оценить реплику пользователя, для этого есть кнопки: "Like" и "Дать на чай".

Новости В киберпространстве появился новый игрок - группировка Clasiopa

Пригоршня

Штурман
Бродяга
Регистрация
26.10.16
Сообщения
2,233
Онлайн
38д 4ч 33м
Сделки
251
Нарушения
0 / 0
Montserrat Semi-Bold.png

Исследователи кибербезопасности из ИБ-компании Symantec сообщают, что организации по исследованию материалов в Азии стали мишенью ранее неизвестной группировки, отслеживаемой экспертами как Clasiopa.

Происхождение хакерской группы и ее принадлежность в настоящее время неизвестны, но есть намеки на то, что киберпреступники могут иметь связи с Индией. Такой вывод сделан, исходя из ссылок на «SAPTARISHI-ATHARVAN-101» (Saptarishi - провидец из индуистской литературы, Atharvan - священник, соавтор части религиозных писаний индусов) в бэкдоре и использование пароля «iloveindea1998^_^» для вредоносного ZIP-архива.

«Хотя эти детали могут свидетельствовать о том, что группа базируется в Индии, также вполне вероятно, что информация была подброшена как ложный флаг, а пароль, в частности, кажется слишком очевидной подсказкой», — говорится в отчете Symantec.
Также неясны точные средства начального доступа, хотя есть подозрения, что хакеры проводят брутфорс-атаки на серверы, подключенные к Интернету. Некоторые из ключевых признаков вторжений включают очистку системного монитора и журналов событий, а также развертывание нескольких бэкдоров, таких как Atharvan и модифицированная версия Lilith RAT с открытым исходным кодом, для кражи конфиденциальной информации.

Кроме того, Atharvan может связываться с жестко запрограммированным адресом сервера управления и контроля (C2, C&C) для извлечения и запуска произвольных исполняемых файлов на зараженном хосте. Адреса C&C-серверов относятся к Amazon AWS в Южной Корее, который не является обычным местом для С2-инфраструктуры.

Судя по используемым инструментам и тактике, основной мотив группы заключается в получении постоянного доступа к устройствам без обнаружения, а также в краже информации.
 
Сверху