На портале электронного правительства было обнаружено вредоносное программное обеспечение, так называемое «семейство Razy», передает Деловой Казахстан.
Образцы семейства Razy, представляют собой троян-загрузчик, который маскируется под офисный документ (word, excel и Adobe PDF) для заражения пользователей.
Зачастую злоумышленники распространяют Razy используя способ при котором вредоносное ПО располагается на официальных сайтах, таким образом, злоумышленник добивается эффекта доверия со стороны потенциальной жертвы.
Отечественная антивирусная компания T&T Security совместно с АО «Холдингом «Зерде» разобрала несколько кейсов, но особенного внимания заслуживают 2 кейса, которые распространялись методом атаки на водопое (watering hole attack) через портал электронного правительства eGOV.
Злоумышленники получили доступ к загрузке файлов на сайт и опубликовали под видом офисных документов вредоносное программное обеспечение. Нужно отметить, что первый документ представляет собой постановление районного акимата, а второй документ представляет собой финансовую сводку по бюджету акимата.
Это означает, что злоумышленники занимаются поиском подходящих для жертвы документов и последующим его встраиванием в конечный вредоносный файл.
Следует отметить, что на момент публикации центр управления данных ВПО (C&C сервер) уже был отключен, то есть на данный момент эти объекты не могут загрузить дополнительный вредоносный функционал.
Команда T&T Security совместно с сотрудниками АО “Национальный инфокоммуникационный Холдинг “Зерде” оперативно отработали по данным инцидентам с целью локализации и блокировки данного вредоносного контента используя систему tLab.
Система tLab успешно обнаруживает и блокирует угрозу, работает по принципу нулевого доверия опираясь на глубокий поведенческий анализ, а высокая пропускная способность позволяет анализировать десятки тысяч файлов в день без фильтров и белых списков, что эффективно блокирует подобные угрозы даже использующих атаку на водопое.
Нужно отметить, что система tLab используется в составе Киберщит РК, а значит можно с уверенностью сказать, что государство готово к отражению подобных угроз, передает пресс служба АО «Холдинга «Зерде»
