На портале электронного правительства было обнаружено вредоносное программное обеспечение "семейство Razy", передает BaigeNews.kz со ссылкой на пресс-службу АО "Национальный инфокоммуникационный Холдинг "Зерде".
Сообщается, что образцы семейства Razy, представляют собой троян-загрузчик, который маскируется под офисный документ (word, excel и Adobe PDF) для заражения пользователей. Зачастую злоумышленники распространяют Razy используя способ, при котором вредоносное ПО располагается на официальных сайтах, таким образом, злоумышленник добивается эффекта доверия со стороны потенциальной жертвы.
"Отечественная антивирусная компания T&T Security совместно с АО "Холдингом "Зерде" разобрала несколько кейсов, но особенного внимания заслуживают два кейса, которые распространялись методом атаки на водопое (watering hole attack) через портал электронного правительства eGOV. Злоумышленники получили доступ к загрузке файлов на сайт и опубликовали под видом офисных документов вредоносное программное обеспечение. Нужно отметить, что первый документ представляет собой постановление районного акимата, а второй документ представляет собой финансовую сводку по бюджету акимата. Это означает, что злоумышленники занимаются поиском подходящих для жертвы документов и последующим его встраиванием в конечный вредоносный файл", - говорится в сообщении.
В компании отметили, что на момент публикации центр управления данных ВПО (C&C сервер) уже был отключен, то есть на данный момент эти объекты не могут загрузить дополнительный вредоносный функционал.
"Команда T&T Security совместно с сотрудниками АО "Национальный инфокоммуникационный Холдинг "Зерде" оперативно отработали по данным инцидентам с целью локализации и блокировки данного вредоносного контента используя систему tLab. Система tLab успешно обнаруживает и блокирует угрозу, работает по принципу нулевого доверия опираясь на глубокий поведенческий анализ, а высокая пропускная способность позволяет анализировать десятки тысяч файлов в день без фильтров и белых списков, что эффективно блокирует подобные угрозы даже использующих "атаку на водопое", - добавили в "Зерде".
Подробно об анализе угрозы "атака на водопое" можно узнать по ссылке
https://tntsecure.kz/ru/article_7.html.