«Волки надели кольца» — разбор способа доставки бэкдора RingSpy и варианты его детектирования

Операция выполнена!

info@vsetut.pro

Стать автором

Вернуться

«Волки надели кольца» — разбор способа доставки бэкдора RingSpy и варианты его детектирования

09.01.2025 12:28:13 | Хабр

Хабы: Блог компании R-Vision, Информационная безопасность, IT-компании, IT-инфраструктура, Мессенджеры

Привет, Хабр!

Меня зовут Илья Ефимов, я аналитик-исследователь угроз кибербезопасности в компании R-Vision. Сегодня я расскажу про вредоносное ПО RingSpy, которое использует группировка Mysterious Werewolf. В этой статье мы подробно разберём один из способов его установки на компьютер жертвы.

RingSpy — это программа для удаленного доступа, которая позволяет скачивать файлы и выполнять различные команды атакующих (С2). Она пришла на смену другому инструменту — агенту Athena фреймворка Mythic. RingSpy управляется через бот в мессенджере Telegram, что делает его идеальным для скрытой атаки и контроля над скомпрометированными системами. А основной «фишкой» способа доставки бэкдора стала эксплуатация уязвимости CVE‑2023‑38831 в WinRAR.

Наши коллеги уже подготовили отчет о функционале этого бэкдора. Я же хочу разобрать один из способов его внедрения в скомпрометированную систему и рассмотреть, как его можно обнаружить с помощью R-Vision SIEM.

Поймать волка

Подробнее

Читайте также

Учёный предупредил о новых мощных вспышках на Солнце в 2025 году
09.01.2025 12:28:12 | ferra.ru

Автоматизация: Есть ли шанс у Maestro для тестирования мобильных приложений?
09.01.2025 12:27:08 | Хабр

Авторизация в PostgreSQL через доменные группы
09.01.2025 12:25:06 | Хабр

Инновационная Столица-2024: ИЦ рассказал о вызовах и достижениях в работе над проектами по цифровизации
09.01.2025 12:14:33 | Хабр

[Перевод] Curve V1: Принцип работы модели StableSwap
09.01.2025 12:07:08 | Хабр

К вопросу выбора основных проектных параметров ракет носителей
09.01.2025 12:00:10 | Хабр

Сингапур возглавил рейтинг стран, паспорта которых дают больше возможностей для поездок без виз
09.01.2025 11:59:00 | vc.ru

Как патентные тролли судились с отечественными компаниями в 2024 году
09.01.2025 11:58:21 | Хабр

Делаем быстрый, качественный и доступный синтез на языках России — нужно ваше участие
09.01.2025 11:46:43 | Хабр

3D-сканирование яхт для изготовления индивидуальных аксессуаров с помощью автономного устройства EinScan Libre
09.01.2025 11:43:45 | Хабр

MacPaw представила Eney — ИИ-помощника, использующего Mac за вас
09.01.2025 11:32:22 | ferra.ru

IT-руководитель стал ИБ-руководителем. Как так вышло и что делать?
09.01.2025 11:25:41 | Хабр

Подинтерфейсная настройка dhcp на роутере Eltex NTP-RG-1402G
09.01.2025 11:16:15 | Хабр

DIY LED Cube. Часть 2: превращаем Arduino Nano в ESP32 (а что, так можно было?)
09.01.2025 11:15:13 | Хабр

Пентагон внёс китайскую медиакорпорацию Tencent в «чёрный» список
09.01.2025 11:15:00 | ferra.ru

В Новосибирске построят центр по разработке беспилотников
09.01.2025 10:55:50 | it-world

Ужесточение наказания за регистрацию ИП на подставных лиц
09.01.2025 10:43:30 | it-world

Не успели ожить на праздниках? Держитесь, мы с вами
09.01.2025 10:40:17 | Хабр

Хакеры выпустили новое ПО для взлома «читалок» Amazon Kindle
09.01.2025 10:30:00 | ferra.ru

10 плагинов в Figma, которые спасают от рутинной работы
09.01.2025 10:24:21 | Хабр

Сравнение GPT-4o mini и GigaChat Max между собой в качестве инструментов для обучения разработке компьютерных игр
09.01.2025 10:16:08 | Хабр

Гайд XCOM-SHOP по топовым видеокартам на начало 2025 года: производители и актуальные модели
09.01.2025 10:15:00 | Хабр

Госдума защитит россиян от нежелательного контента
09.01.2025 10:06:12 | it-world

Как это было: часть 2, переезд из ЦОДа в ЦОД
09.01.2025 10:00:39 | Хабр

В Китае воссоздали лица древних гоминид, живших около 1 млн лет назад
09.01.2025 09:45:00 | ferra.ru

Как распознавать и решать рабочие конфликты до того, как они станут проблемой
09.01.2025 09:42:37 | Хабр

RAG в действии: актуальные инструменты и возможности их применения
09.01.2025 09:39:21 | Хабр

Crowbar circuit: надежная DIY-защита для цепи питания 12 В. Как это работает?
09.01.2025 09:37:48 | Хабр

Лицензии связи в России с 1991 по 2024
09.01.2025 09:37:47 | Хабр

Sankey-диаграммируем личные финансы
09.01.2025 09:36:12 | Хабр

Коммерческий проект: механика обрезки кустов
09.01.2025 09:35:47 | Хабр

Совместные конфиденциальные вычисления: как это работает
09.01.2025 09:19:57 | Хабр

Как потерять здоровье в IT. И вернуть его обратно
09.01.2025 09:16:32 | Хабр

Диодный сатуратор. Создаём чётные ламповые гармоники
09.01.2025 09:01:22 | Хабр

SQL HowTo: «экспоненциальная» рекурсия (Advent of Code 2024, Day 7: Bridge Repair)
09.01.2025 09:00:08 | Хабр

Смотреть все

НОВОСТИ

Названы десять поломок, которые водители готовы починить сами
28.03.2026 14:30:00 | За рулем

Появилась информация, что США готовятся к наземной операции в Иране
07.03.2026 14:12:58 | Life.ru

Полиция разыскивает причастных к стрельбе во дворе многоэтажки в Махачкале
07.03.2026 14:11:57 | Life.ru

В Иркутске задержали подозреваемого в краже из церкви ювелирных изделий
07.03.2026 14:08:36 | ТАСС

Садкова рассказала, что подошла не в лучшей форме к финалу Гран-при России
07.03.2026 14:07:34 | ТАСС

ЦАХАЛ: попытка спецназа найти штурмана Арада в Ливане обошлась без потерь
07.03.2026 14:06:00 | ТАСС

ТАСС: Стаханове в ЛНР при взорве машины пострадал человек
07.03.2026 14:05:29 | ТАСС

Россиянам назвали главные ошибки, из-за которых быстро гибнут цветы
07.03.2026 14:04:51 | Life.ru

Журова рассказала о зависти иностранцев к россиянам
07.03.2026 14:04:33 | Lenta.ru

Al Hadath: в ходе операции ЦАХАЛ в районе Наби-Шит погибли не менее 29 ливанцев
07.03.2026 14:03:14 | ТАСС

ВС РФ нанесли удар по Днестровской ГАЭС в Черновицкой области
07.03.2026 14:01:50 | Life.ru

В Рязанской области полностью восстановили движение поездов
07.03.2026 14:01:21 | ТАСС

Названа самая модная вещь в гардеробе на осень и зиму у россиян
07.03.2026 14:01:19 | Lenta.ru

Меркель призвала Европу восстановить прямой диалог с Россией
07.03.2026 14:00:28 | ТАСС

Женская сборная России по футболу вылетела из Дубая
07.03.2026 13:59:47 | ТАСС

Орбан ответил на угрозу Зеленского о разговоре с ВСУ
07.03.2026 13:59:14 | РБК

В Херсонской области при атаке ВСУ погиб мирный житель
07.03.2026 13:58:52 | ТАСС

Blizzard изменит систему прокачки в дополнении Diablo 4: Lord of Hatred
07.03.2026 13:58:02 | PlayGround.ru

Blizzard запускает выходные двойного опыта в Overwatch на весь март
07.03.2026 13:57:23 | PlayGround.ru

Депутат Новиков: Куба как и Иран находится под прицелом США и НАТО
07.03.2026 13:57:16 | ТАСС

Иран анонсировал новую волну атак после извинений президента Пезешкиана
07.03.2026 13:57:00 | РБК

Лариса Долина споет на корпоративе с банкирами
07.03.2026 13:56:39 | Lenta.ru

Bungie изменит микротранзакции в Marathon после критики игроков
07.03.2026 13:56:18 | PlayGround.ru

Пляжи Шри-Ланки залило мазутом от взорванного после удара Ирана танкера
07.03.2026 13:56:06 | Life.ru

В Мурманске сгорел жилой дом
07.03.2026 13:55:58 | ТАСС

Иран провел новые атаки на американские и израильские базы
07.03.2026 13:55:03 | Lenta.ru

США надеются получить контроль над запасами нефти Ирана
07.03.2026 13:54:16 | ТАСС

Посольство РФ сообщило об отсутствии пострадавших россиян в Иране
07.03.2026 13:52:54 | Life.ru

Актриса из «Склифосовского» погибла вместе с дочерью в автокатастрофе
07.03.2026 13:52:17 | Lenta.ru

Saint Laurent зарегистрировал в России товарный знак
07.03.2026 13:51:12 | Коммерсантъ

Эксперт назвала пять скрытых причин, почему опытных специалистов не берут на работу
07.03.2026 13:51:06 | Life.ru

В Москве приступили к сложному этапу строительства путепровода через МЦД-2
07.03.2026 13:50:31 | ТАСС

Google выпустит совершенно новую Aluminium OS уже в этом году
07.03.2026 13:49:00 | iXBT.com

NYT: цены на бензин в США выросли до рекордного с 2024 года уровня
07.03.2026 13:46:20 | ТАСС

Тренер рассказал, какие травмы получила столкнувшаяся с собакой лыжница
07.03.2026 13:45:47 | РБК

Все новости

ВСЕ НОВОСТИ

ПИШИТЕ

Техническая поддержка проекта ВсеТут

info@vsetut.pro

Copyright © 2026 - vsetut.pro