SprySOCKS вышел на Windows: ESET обнаружил WIN_DRV и WIN_PLUS с драйверным стелсом

Коллеги, хочу обратить внимание: в сфере кибербезопасности найдены Windows‑варианты бэкдора SprySOCKS.
ESET зафиксировал WIN_DRV и WIN_PLUS: C2 по TCP/UDP/WebSocket и >30 команд для съёма данных, управления процессами и файлами.
WIN_DRV использует kernel‑драйверы (RawWNPF, DriverLoader) для сокрытия соединений, процессов и реестра и диверсии TCP через случайный порт.
WIN_PLUS стартует через Print Spooler (print processor) с инъекцией в svchost. Оба варианта обнаружены в атаках 2023–2024 на госорганизации.
Почему важно: Windows‑порт и драйверный стелс осложняют обнаружение — проверяйте патчи, мониторьте драйверы и целостность.
Как Вы планируете усилить защиту от подобных цепочек?
#кибербезопасность #APT #ESET #стелс


Последние комментарии
Комментариев пока нет.