Предлагаем ознакомиться с Symantec Threat Landscape Bulletin, чтобы узнать подробнее о новостях из мира кибербезопасности за 26 августа 2025.
Всплеск скоординированных сканирований серверов аутентификации Microsoft RDP
Обнаружен значительный рост скоординированных сканирований, направленных конкретно на серверы аутентификации Microsoft Remote Desktop Protocol (RDP) и интерфейсы Remote Desktop Web Access (RD Web Access). Этот всплеск вредоносных сканирований, о котором сообщают исследователи в области безопасности, указывает на активную фазу разведки со стороны злоумышленников, ищущих уязвимые системы RDP. Цель этих сканирований, вероятно, заключается в выявлении точек входа для потенциальных атак методом перебора или использования известных уязвимостей в RDP.
Согласно отчетам, сканирование в основном осуществляется с примерно 2000 IP-адресов, расположенных в Бразилии. Злоумышленники, стоящие за сканированием, по-видимому, пытаются обнаружить незащищенные порты RDP и идентифицировать шлюзы RDP в организациях в США.
Особое внимание к серверам аутентификации свидетельствует о том, что злоумышленники стремятся получить несанкционированный доступ к корпоративным сетям и конфиденциальным данным. RDP привлекателен для злоумышленников, поскольку он широко используется, и после получения доступа к RDP они могут выполнять различные вредоносные действия, включая развертывание программ-вымогателей, похищение данных или установку постоянных бэкдоров.
Время проведения этих сканирований совпадает с началом учебного года в США, что позволяет предположить, что злоумышленники могут быть особенно заинтересованы в атаках на образовательный сектор.
Предыдущие исследования показали, что значительный рост числа сканирований сетей часто является предвестником атак, использующих новые уязвимости. Эксперты по безопасности призывают организации немедленно пересмотреть свои настройки RDP. Ключевые рекомендации включают обеспечение того, чтобы RDP не был напрямую подключен к Интернету, использование надежных уникальных паролей, включение многофакторной аутентификации (MFA) для всех подключений RDP и установку последних патчей безопасности для всех компонентов, связанных с RDP.
Новое вредоносное ПО для Android, маскирующееся под инструмент безопасности, нацелено на российские компании
Исследователи в области безопасности обнаружили новое сложное шпионское ПО для Android, распространяемое с января 2025 года, которое для проникновения в устройства маскируется под легитимные приложения безопасности российского правоохранительного органа ФСБ или Центрального банка Российской Федерации.
Это вредоносное ПО было в первую очередь нацелено на российские компании посредством фишинговых кампаний или поддельных магазинов приложений, используя методы социальной инженерии, чтобы представить себя как надежное решение для обеспечения безопасности. После установки оно запрашивает широкий доступ к функциям устройства и коммуникациям, а затем выполняет свои задачи по краже конфиденциальных данных. Он обладает широким набором функций, предназначенных для шпионажа и слежки, и собирает такие данные, как местоположение, аудиозаписи, изображения, SMS и журналы вызовов. Он также может регистрировать нажатия клавиш и получать доступ к камере и микрофону, чтобы в режиме реального времени подслушивать жертв.
Во время выполнения приложение показывает поддельные сканирования, в ходе которых на зараженном устройстве обнаруживаются вымышленные угрозы. Оно также связывается с командно-контрольным сервером (C&C) для получения команд и вывода украденных данных.
Читайте Symantec Protection Bulletin, чтобы узнать больше о том, как продукты Symantec защищают вас от угроз.
