Передача выполнения кода в файловых ассоциациях / Латентный бэкдор от Toddy-кошек

Новый выпуск Breaking Malware на SecLab с Алексеем Вишняковым. 00:00 Приветствие 0:27 Передача выполнения кода в файловых ассоциациях с применением уязвимости нулевого дня CVE-2023-38831 в архиваторе WinRAR. Когда жертва открывает вредоносный ZIP архив, она видит в нём файл и одноимённый каталог. Сам документ – безобиден. А вот в упомянутом каталоге как раз и содержится вредоносное содержимое, развивающее атаку. Наша песочница PT Sandbox (https://clck.ru/33gG9K) умеет справляться с техникой DLL SideLoading, используемой в такой атаке. 3:00 Атака APT-группировки ToddyCat на телеком-индустрию с использованием пассивных бэкдоров под ОС Windows. Бэкдор ждёт коммуникации по заданному открытому порту и принесёт команду к действию. Специалисты нашли версии бэкдоров для двух сетевых протоколов транспортного уровня: TCP и UDP. Детктировать подобное ВПО может анализато сетевого тарфика PT NAD (https://clck.ru/32LMcG) 4:00 Android малварь SpyNote, удалить которую можно только сбросом телефона к заводским настройкам 7:49 StripedFly использовали эксплойт EternalBlue для распространения своего майнера. 9:50 Яблоки червивыми не бывают 10:54 Апэтэ на конэ