Исследователи безопасности из ИБ-компании Symantec Corporation – крупнейший производитель программного обеспечения в области информационной безопасности и антивирусов. В 1982 году Гари Хендрикс создал корпорацию Symantec за счет средств, выделенных по гранту Национального научного фонда США. Первый продукт — был выпущен компанией в 1985 году. Это была программа Q&A, которая использовалась для управления базами данных, содержащая текстовый редактор.
Примерно две третьих прибыли компания получает от продаж программного обеспечения, предназначенного для компаний и крупных корпораций. Symantec укрепила свои позиции среди других производителей программного обеспечения после приобретения компании VERITAS Software в 2004 году, что позволило Symantec разрабатывать программы для обеспечения информационной безопасности для всех основных платформ.
» data-html=»true» data-original-title=»Symantec»>Symantec заявили, что китайская APT-группа Blackfly (APT41, Winnti Group, Bronze Atlas) проводит шпионскую кампанию против двух дочерних компаний азиатского конгломерата, которые работают в секторе материалов и композитов.
Эксперты предполагают, что эта атака является частью более крупной продолжающейся шпионской кампании, направленной на кражу интеллектуальной собственности организаций в Азии.
Согласно отчету компании , последняя активность Blackfly наблюдалась в конце 2022 года и начале 2023 года. В своих атаках группа использует инструменты с открытым исходным кодом.
- Руткит Backdoor.Winnkit;
- Средство создания дампа учетных данных «lsass.exe» в C:\windows\temp\1.bin;
- Инструмент для создания снимков экрана;
- Инструмент для подмены процессов (Process Hollowing (подмена, опустошение процесса) — создание процесса в состоянии ожидания с последующей удаления его из память и замены образа процесса образом, который нужно скрыть.
» data-html=»true» data-original-title=»Process Hollowing»>Process Hollowing). Внедряет шелл-код в «C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted». Шелл-код представляет собой простое сообщение «Hello World»;
Blackfly — одна из старейших известных китайских APT-групп, активная как минимум с 2010 года. Ранние атаки отличались использованием PlugX , Backdoor.Winnti и семейства вредоносных программ Shadowpad .
Первоначально группа сделала себе имя благодаря атакам на индустрию компьютерных игр . Впоследствии он расширился до более широкого круга целей, включая организации в полупроводниковой промышленности, телекоммуникациях, производстве материалов, фармацевтике, СМИ и рекламе, гостиничном бизнесе, природных ресурсах, финансовых технологиях и пищевой промышленности.