Forwarded from SecAtor
Наверное прозвучит забавно и не так пафосно как мы привыкли. Но! Нигерийские хакеры … Да, да и такие есть, ведут активную противоправную деятельность в многолетних атаках в сфере авиации и транспорта организаций Северной Америки, Европы и Ближнего Востока.
О детальности злоумышленников поведали исследователи из Proofpoint, которые глубоко изучили формы и методы группировки TA2541 за несколько лет. По мнению экспертов хакеры нацелены исключительно на аэрокосмическую, авиационную, оборонную, производственную и транспортную отрасли. Группа активна как минимум с 2017 года и использует темы, связанные с авиацией, транспортом и путешествиями, для заражения целей различными троянами удаленного доступа (RAT).
Нигерийские хакеры с течением времени демонстрируют последовательные TTP, как правило, отправляя фишинговые электронные письма, содержащие вложения Word с поддержкой макросов, для развертывания вредоносных полезных нагрузок. У них есть тактика и они ее придерживаются и видимо тактика работает раз группа ведет себя аналогично на протяжении 5 лет.
Однако в недавних атаках группа начала часто использовать ссылки в облачных сервисах, включая Google Drive, OneDrive, GitHub, Pastetext и Sharetext. Недавно обнаруженные URL-адреса Google Drive привели к вредоносному файлу VBS, предназначенному для получения полезной нагрузки с других платформ.
Также в атаках используются сценарии PowerShell и инструментарии управления Windows (WMI) для запроса продуктов безопасности, которые злоумышленник пытается отключить. TA2541 также собирает системную информацию перед установкой RAT и во время атаки обычно отправляет более 10 000 сообщений за раз.
Группа оценивается специалистами как слабо квалифицированная из-за того, что ей используются публичные семейства популярных вредоносных программ 2017 года. Но в последнее время злоумышленники предпочитают AsyncRAT, NetWire, Parallax и WSH RAT наряду с Revenge RAT, vjw0rm, Luminosity Link, njRAT и другими популярными сборками.
Тем не менее Proofpoint подчеркивает, что все вредоносные программы, используемые в кампаниях нигерийских хакеров, могут использоваться для сбора информации и конечная цель злоумышленника на данный момент остается неизвестной.
О детальности злоумышленников поведали исследователи из Proofpoint, которые глубоко изучили формы и методы группировки TA2541 за несколько лет. По мнению экспертов хакеры нацелены исключительно на аэрокосмическую, авиационную, оборонную, производственную и транспортную отрасли. Группа активна как минимум с 2017 года и использует темы, связанные с авиацией, транспортом и путешествиями, для заражения целей различными троянами удаленного доступа (RAT).
Нигерийские хакеры с течением времени демонстрируют последовательные TTP, как правило, отправляя фишинговые электронные письма, содержащие вложения Word с поддержкой макросов, для развертывания вредоносных полезных нагрузок. У них есть тактика и они ее придерживаются и видимо тактика работает раз группа ведет себя аналогично на протяжении 5 лет.
Однако в недавних атаках группа начала часто использовать ссылки в облачных сервисах, включая Google Drive, OneDrive, GitHub, Pastetext и Sharetext. Недавно обнаруженные URL-адреса Google Drive привели к вредоносному файлу VBS, предназначенному для получения полезной нагрузки с других платформ.
Также в атаках используются сценарии PowerShell и инструментарии управления Windows (WMI) для запроса продуктов безопасности, которые злоумышленник пытается отключить. TA2541 также собирает системную информацию перед установкой RAT и во время атаки обычно отправляет более 10 000 сообщений за раз.
Группа оценивается специалистами как слабо квалифицированная из-за того, что ей используются публичные семейства популярных вредоносных программ 2017 года. Но в последнее время злоумышленники предпочитают AsyncRAT, NetWire, Parallax и WSH RAT наряду с Revenge RAT, vjw0rm, Luminosity Link, njRAT и другими популярными сборками.
Тем не менее Proofpoint подчеркивает, что все вредоносные программы, используемые в кампаниях нигерийских хакеров, могут использоваться для сбора информации и конечная цель злоумышленника на данный момент остается неизвестной.
ИБ специалист Дэн Петро из компании Bishop Fox поделился open-source тулзой под названием Unredacter, которая позволяет депикселизировать "защищенный" текст на картинке. 🙂 Это когда авторы пытаются скрыть содержимое изображения при помощи наложения пикселей поверх текста. Потестил, работает, но сразу скажу разобраться получится не у всех.
Если текст или кусок информации на изображении необходимо надежно скрыть, то лучший способ обычным мазком в paint закрасить содержимое. Именно поэтому текст в важных документах закрашивают ⬛️ чёрным цветом без всяких размытий и пикселизаций, но при этом можно забыть о красоте картинки.
https://github.com/bishopfox/unredacter
Если текст или кусок информации на изображении необходимо надежно скрыть, то лучший способ обычным мазком в paint закрасить содержимое. Именно поэтому текст в важных документах закрашивают ⬛️ чёрным цветом без всяких размытий и пикселизаций, но при этом можно забыть о красоте картинки.
https://github.com/bishopfox/unredacter
Хакерская группа Moses Staff предположительно связанная с Ираном (но это не точно) продолжает наступательные атаки на Израильские организации. Moses Staff известна в первую очередь тем, что недавно нашумела в СМИ выложив в сеть некоторые сведения о "Подразделении 8200" радиоэлектронной разведки Израиля.
В феврале 2022 группа хакеров продолжила атаки и использовала троян удаленного доступа под названием «StrifeWater», который маскируется под приложение Windows Calculator. Подробно RAT разобрали ИБ специалисты Cybereason тут. Хакеры на своём сайте заявляют об успешных взломах: 172 серверов, 257 сайтов и получению доступа к 34 ТB цифровых данных.
🇮🇱Последние в списке жертв на сайте Moses Staff фигурируют Rafael Advanced Defense Systems, израильская компания, входящая в четвёрку крупнейших израильских фирм-экспортёров вооружений. Примечательно, что израильский гигант называет себя на русском языке лидером в сфере кибербезопасности. Rafael прокомментировали изданию Jerusalem Post утечку Moses Staff, высказав мнение, что она не представляет никакой ценности:
Rafael itself said, “This is an isolated incident involving unclassified information on the company’s external network.”
Moses Staff до недавнего времени часто выкладывали утечки в своих Telegram каналах, но один из последних постов с нелестным комментарием в адрес Павла Дурова окончательно разрушил планы хакеров. Все каналы удалены.
В феврале 2022 группа хакеров продолжила атаки и использовала троян удаленного доступа под названием «StrifeWater», который маскируется под приложение Windows Calculator. Подробно RAT разобрали ИБ специалисты Cybereason тут. Хакеры на своём сайте заявляют об успешных взломах: 172 серверов, 257 сайтов и получению доступа к 34 ТB цифровых данных.
🇮🇱Последние в списке жертв на сайте Moses Staff фигурируют Rafael Advanced Defense Systems, израильская компания, входящая в четвёрку крупнейших израильских фирм-экспортёров вооружений. Примечательно, что израильский гигант называет себя на русском языке лидером в сфере кибербезопасности. Rafael прокомментировали изданию Jerusalem Post утечку Moses Staff, высказав мнение, что она не представляет никакой ценности:
Rafael itself said, “This is an isolated incident involving unclassified information on the company’s external network.”
Moses Staff до недавнего времени часто выкладывали утечки в своих Telegram каналах, но один из последних постов с нелестным комментарием в адрес Павла Дурова окончательно разрушил планы хакеров. Все каналы удалены.
⚠️ Друзья, возникли технические проблемы с ботом @russian_osint_bot с начала месяца, не все сообщения доходили. Кто писал, но не получил ответа, убедительная просьба продублировать сообщения. Постараюсь всем ответить в ближайшее время!
«Когда я делал доклад в феврале 2003 года, то опирался на самую лучшую информацию, которую мне предоставило ЦРУ. Мы ее тщательно изучили и рассмотрели источники данных по мобильным лабораториям производства ОМУ, базирующимся на грузовиках и в поездах. К сожалению, со временем выяснилось, что источники были неточными и неверными, а в ряде случаев преднамеренно вводили в заблуждение. Я этим глубоко разочарован и сожалею об этом» - бывший госсекретарь США Колин Пауэлл о вторжении в Ирак
Вместо написания обвинительных постов в Twitter о DDoS атрибуции лучше бы время тратилось на переговоры и мирное урегулирование ситуации.
Вместо написания обвинительных постов в Twitter о DDoS атрибуции лучше бы время тратилось на переговоры и мирное урегулирование ситуации.
👍2
Рынок акций РФ вписал в свою историю новый "черный понедельник". Непростые времена наступили😏будем надеяться до конца на разрешение всех вопросов мирным путём🙏
🎥 Один из лучших способов улучшить качество видео за $200
Хочу поделиться с вами небольшим секретом (открыл для себя недавно) - как заметно улучшить качество видео, даже если оно записано в очень плохом качестве. Есть множество костыльных методов с помощью бесплатных программ, но пожалуй лучшим решением для вас будет Topaz Video Enhance. Это топ. Софт позволяет даже из непригодного видео с помощью нейронной сделать конфету. Так, например, даже старые фильмы иногда небольшие студии переделывают в качество HD или 4k.
У софта вижу два минуса: кусачий ценник в 200 долларов и требовательность к хорошему железу (в идеале RTX). С другой стороны, один раз закупился и всё. Обновы прилетают часто.
💎 Картинку на оф.сайте подгоняют идеальную для покупателя, поэтому решил показать как есть для вас в боевых условиях на одном из популярных роликов на Reddit с полётом Апача в Сирии. Результат заметен невооруженным взглядом Scale: x4 (увеличение разрешения) и Artemis Low quality. Из видео 136х240 получили 540х960.
Бесплатные решения в альтернативу тестил, но ничего приличного по схожему функционалу и качеству не нашел. Осинтерам и журналистам на заметку, поможет при работе с видеоматериалами. Доброй ночи!
Хочу поделиться с вами небольшим секретом (открыл для себя недавно) - как заметно улучшить качество видео, даже если оно записано в очень плохом качестве. Есть множество костыльных методов с помощью бесплатных программ, но пожалуй лучшим решением для вас будет Topaz Video Enhance. Это топ. Софт позволяет даже из непригодного видео с помощью нейронной сделать конфету. Так, например, даже старые фильмы иногда небольшие студии переделывают в качество HD или 4k.
У софта вижу два минуса: кусачий ценник в 200 долларов и требовательность к хорошему железу (в идеале RTX). С другой стороны, один раз закупился и всё. Обновы прилетают часто.
💎 Картинку на оф.сайте подгоняют идеальную для покупателя, поэтому решил показать как есть для вас в боевых условиях на одном из популярных роликов на Reddit с полётом Апача в Сирии. Результат заметен невооруженным взглядом Scale: x4 (увеличение разрешения) и Artemis Low quality. Из видео 136х240 получили 540х960.
Бесплатные решения в альтернативу тестил, но ничего приличного по схожему функционалу и качеству не нашел. Осинтерам и журналистам на заметку, поможет при работе с видеоматериалами. Доброй ночи!
🕵🏼Одна из лучших бесплатных коллекций OSINT инструментов (85 штук). Много open-source решений.
https://inventory.raw.pm/tools.html#noscript-tools-osint
https://inventory.raw.pm/tools.html#noscript-tools-osint
Бывший Facebook "приземляется" в России) политика политикой, а деньги зарабатывать корпорациям хочется.
https://news.1rj.ru/str/rkn_tg/187
https://news.1rj.ru/str/rkn_tg/187
👮Киберполиция Украины задержала группу лиц обманувших 70 000 граждан с помощью фишинга
Организатор причастен к схеме создания и администрирования более 40 фишинговых веб-ресурсов для получения банковских карт граждан. Для присвоения денег потерпевших организатор привлек трех граждан, выполнявших роль так называемых дропов. От каждой мошеннической операции они получали процент «прибыли».
За совершенное фигурантам грозит до восьми лет заключения. По предварительным данным, ущерб от деятельности преступников превышает 176 000 долларов.
На ноутбуке одного из задержанных криминалисты обнаружили установленную Windows 10. Если отследить тенденцию последних публичных арестов записанных на камеру, то можно заметить, что большинство задержанных не используют на своих ноутбуках GNU/Linux. В моде Windows и macOS.
https://youtu.be/-CNVFBzObcQ
Организатор причастен к схеме создания и администрирования более 40 фишинговых веб-ресурсов для получения банковских карт граждан. Для присвоения денег потерпевших организатор привлек трех граждан, выполнявших роль так называемых дропов. От каждой мошеннической операции они получали процент «прибыли».
За совершенное фигурантам грозит до восьми лет заключения. По предварительным данным, ущерб от деятельности преступников превышает 176 000 долларов.
На ноутбуке одного из задержанных криминалисты обнаружили установленную Windows 10. Если отследить тенденцию последних публичных арестов записанных на камеру, то можно заметить, что большинство задержанных не используют на своих ноутбуках GNU/Linux. В моде Windows и macOS.
https://youtu.be/-CNVFBzObcQ
23 февраля 2022 года Роскомнадзор направил руководству компании Google LLC письмо с требованием в максимально короткие сроки снять все ограничения с YouTube-канала «Денис Пушилин», принадлежащего главе Донецкой Народной Республики Д.В. Пушилину.
В связи с регулярными фактами блокировок со стороны западных интренет-сервисов Роскомнадзор призывает пользователей создавать аккаунты на российских ресурсах и использовать российские социальные сети.
Непонятно как дальше будет развиваться история с YouTube
https://news.1rj.ru/str/rkn_tg/188
В связи с регулярными фактами блокировок со стороны западных интренет-сервисов Роскомнадзор призывает пользователей создавать аккаунты на российских ресурсах и использовать российские социальные сети.
Непонятно как дальше будет развиваться история с YouTube
https://news.1rj.ru/str/rkn_tg/188
Forwarded from SecAtor
Вымогатели DeadBolt после фиаско с атакой на сетевые хранилища NAS от производителя QNAP нацелились на устройства ASUSTOR.
Вымогатели разводят производителя по той же схеме, предлагая мастер-ключ и детали 0-day за 50 биткойнов (на сумму 1,9 миллиона долларов или информацию об уязвимости за 7,5 биткойнов (на сумму 290 000 долларов). С рядовых клиентов, чьи файлы оказались зашифрованы, DeadBolt требуют выкуп в размере 1150 долларов США в биткойнах.
В ходе шифрования файлов ransomware переименовывает файлы на устройствах ASUSTOR, добавляя к ним расширение deadbolt, а при входе в систему отображается записка о выкупе. При этом DeadBolt отмечают, что другого способа связаться с ними, кроме как произвести платеж в биткойнах, нет.
ASUSTOR не объяснил, как шифруются устройства NAS, пострадавшие их владельцы считают, что это уязвимость в медиасервере PLEX или EZ Connect, которая позволяет получить доступ к их устройствам.
До сих пор непонятен перечень уязвимого для DeadBolt оборудования Неясно, но согласно поступающим отчетам, модели AS6602T, AS-6210T-4K, AS5304T, AS6102T и AS5304T пока что не подвергались атакам.
Возможности восстановить файлы после атак ransomware DeadBolt в настоящее время отсутствуют: единственный способ восстановить файлы — это восстановить их из резервных копий или заплатить выкуп. ASUSTOR намерены выпустить прошивку для восстановления, чтобы пользователи снова могли использовать свои устройства NAS, однако это не поможет восстановить зашифрованные файлы.
При этом производитель настоятельно рекомендует пользователям сделать резервную копию файлов index.cgi и ВСЕ ВАШИ ФАЙЛЫ БЫЛИ ЗАБЛОКИРОВАНЫ DEADBOLT.html перед запуском программного обеспечения для восстановления, поскольку после обновления они будут стёрты.
Эти файлы содержат информацию, необходимую для уплаты выкупа и получения ключа дешифрования, который владельцы затем могут использовать с дешифратором Emsisoft для DeadBolt.
Основываясь на анализе ransomware, специалисты выяснили, что DeadBolt - это вредоносное ПО для Linux, которое использует шаблон для заметки о выкупе, который можно заменить на любого поставщика: «This is not a personal attack. You have been targeted because of the inadequate security provided by your vendor ({VENDOR NAME})».
Следовательно, в ближайшем будущем нас ожидают новые атаки, но уже на других производителей NAS и их владельцев.
Вымогатели разводят производителя по той же схеме, предлагая мастер-ключ и детали 0-day за 50 биткойнов (на сумму 1,9 миллиона долларов или информацию об уязвимости за 7,5 биткойнов (на сумму 290 000 долларов). С рядовых клиентов, чьи файлы оказались зашифрованы, DeadBolt требуют выкуп в размере 1150 долларов США в биткойнах.
В ходе шифрования файлов ransomware переименовывает файлы на устройствах ASUSTOR, добавляя к ним расширение deadbolt, а при входе в систему отображается записка о выкупе. При этом DeadBolt отмечают, что другого способа связаться с ними, кроме как произвести платеж в биткойнах, нет.
ASUSTOR не объяснил, как шифруются устройства NAS, пострадавшие их владельцы считают, что это уязвимость в медиасервере PLEX или EZ Connect, которая позволяет получить доступ к их устройствам.
До сих пор непонятен перечень уязвимого для DeadBolt оборудования Неясно, но согласно поступающим отчетам, модели AS6602T, AS-6210T-4K, AS5304T, AS6102T и AS5304T пока что не подвергались атакам.
Возможности восстановить файлы после атак ransomware DeadBolt в настоящее время отсутствуют: единственный способ восстановить файлы — это восстановить их из резервных копий или заплатить выкуп. ASUSTOR намерены выпустить прошивку для восстановления, чтобы пользователи снова могли использовать свои устройства NAS, однако это не поможет восстановить зашифрованные файлы.
При этом производитель настоятельно рекомендует пользователям сделать резервную копию файлов index.cgi и ВСЕ ВАШИ ФАЙЛЫ БЫЛИ ЗАБЛОКИРОВАНЫ DEADBOLT.html перед запуском программного обеспечения для восстановления, поскольку после обновления они будут стёрты.
Эти файлы содержат информацию, необходимую для уплаты выкупа и получения ключа дешифрования, который владельцы затем могут использовать с дешифратором Emsisoft для DeadBolt.
Основываясь на анализе ransomware, специалисты выяснили, что DeadBolt - это вредоносное ПО для Linux, которое использует шаблон для заметки о выкупе, который можно заменить на любого поставщика: «This is not a personal attack. You have been targeted because of the inadequate security provided by your vendor ({VENDOR NAME})».
Следовательно, в ближайшем будущем нас ожидают новые атаки, но уже на других производителей NAS и их владельцев.
Reddit
From the asustor community on Reddit: Ransomware Attack - Megathread
Explore this post and more from the asustor community