24.02.2024

Hack Pub

Новости интересные и малоизвестные из IT индустрии

Sanny потерял C&C управляющие серверы

Эксперты компании FireEye обнаружили новый вариант бэкдора Sanny, замаскированный под doc-файл и предназначенный для использования в целевых атаках против русскоязычных пользователей.

Данный зловред, как и его предыдущая итерация, использует в качестве приманки все тот же русскоязычный документ АСЕАН и проникает в систему через ту же уязвимость CVE-2012-0158. Он по-прежнему направляет украденную у жертвы информацию в C&C хранилище, используя веб-форму корейской доски объявлений nboard.net, но использует при этом другой URL. По-видимому, оператор Sanny решил разнести свои пункты сбора получаемой информации по разным серверам, чтобы уменьшить возможные потери.

FireEye связалась с корейским агентством по информационной безопасности (Korea Information Security Agency, KISA) и с его помощью заблокировала оба C&C сервера, используемых Sanny. В настоящее время при попытке обращения соответствующие адреса выдают ошибку.