🚘Хакеры в авто чаще всего атакуют телематику и системы для доступа без ключа
🥷 Автомобильные хакеры по всему миру чаще всего атакуют телематические сервисы, позволяющие удаленно проводить мониторинг транспортных средств, и системы бесключевого доступа к ним, рассказал РИА Новости глава АО "ГЛОНАСС" Алексей Райкевич.
"Основным направлением кибератак для миллионов автомобилей в мире являются телематические сервисы (35%), позволяющие удаленно проводить мониторинг транспортных средств. Далее следуют системы бесключевого доступа (21%), электронный блок управления (14%), API-интерфейсы (12%)", - отметил он.
👆Менее уязвимы мультимедиа-системы, мобильные приложения, зарядная инфраструктура (8%, 6% и 4% соответственно).
✋ @Russian_OSINT
"Основным направлением кибератак для миллионов автомобилей в мире являются телематические сервисы (35%), позволяющие удаленно проводить мониторинг транспортных средств. Далее следуют системы бесключевого доступа (21%), электронный блок управления (14%), API-интерфейсы (12%)", - отметил он.
👆Менее уязвимы мультимедиа-системы, мобильные приложения, зарядная инфраструктура (8%, 6% и 4% соответственно).
Please open Telegram to view this post
VIEW IN TELEGRAM
Госкорпорации вводят запрет на использование iPhone в служебных целях, об этом сообщил Mash вчера.
Один из замгендиректоров по безопасности ссылается на приказ первого замминистра промышленности и призывает незамедлительно избавиться от американских айфонов и айпадов. Сотрудникам якобы это не нравится, так как они тратили деньги на телефоны и теперь не могут пользоваться ими большую часть дня, вынуждены покупать устройства на андроиде за свой счёт. Одна из версий — последствия публикации о взломе и прослушке американскими спецслужбами айфонов российских дипломатов.
В «Ростехе» подтвердили РБК подлинность документа. «Действительно, вводится полный запрет на использование в работе техники американского производителя», — сообщил представитель госкорпорации. Там отметили, что пока запрет касается только компании «Швабе».
Please open Telegram to view this post
VIEW IN TELEGRAM
На примере Threads* можно посмотреть количество трекеров и список выдаваемых разрешений (отчёт свежий от 11 июля 2023). Exodus насчитал 38 разрешений и 2 явных трекера (их может быть больше).
— ACCESS_FINE_LOCATION
— CAMERA
— GET_ACCOUNTS / READ_CONTACTS
— INTERNET
— READ_EXTERNAL_STORAGE
— WRITE_EXTERNAL_STORAGE
— RECORD_AUDIO
— AD_ID (рекламный идентификатор)
— USE_BIOMETRIC (биометрия)
— MANAGE_OWN_CALLS
— ACCESS_MEDIA_LOCATION
— И многое другое....
👆Примечательно, что по мере выхода обновлений — количество выдаваемых разрешений становится больше (36=>38). Threads* себе не ставил, не заинтересовал.
* Деятельность Meta (соцсети Facebook, Instagram, Threads) запрещена в России как экстремистская.
✋ @Russian_OSINT
— ACCESS_FINE_LOCATION
— CAMERA
— GET_ACCOUNTS / READ_CONTACTS
— INTERNET
— READ_EXTERNAL_STORAGE
— WRITE_EXTERNAL_STORAGE
— RECORD_AUDIO
— AD_ID (рекламный идентификатор)
— USE_BIOMETRIC (биометрия)
— MANAGE_OWN_CALLS
— ACCESS_MEDIA_LOCATION
— И многое другое....
👆Примечательно, что по мере выхода обновлений — количество выдаваемых разрешений становится больше (36=>38). Threads* себе не ставил, не заинтересовал.
* Деятельность Meta (соцсети Facebook, Instagram, Threads) запрещена в России как экстремистская.
Please open Telegram to view this post
VIEW IN TELEGRAM
"По результатам предварительного расследования, официальные лица считают, что она была единственным сотрудником кабинета министров, который успешно подвергся хакерской атаке", - сообщает NYT.
👆"Обвиняя Китай в хакерских атаках, США намерены отвлечь внимание мирового сообщества от собственных действий в киберпространстве", - заявил на брифинге официальный представитель МИД КНР Ван Вэньбинь.
Please open Telegram to view this post
VIEW IN TELEGRAM
В Следственном комитете России подтвердили задержание Паршина в ответ на соответствующий запрос "Интерфакса.
"Заместитель министра цифрового развития, связи и массовых коммуникаций Максим Паршин задержан следственными органами Следственного комитета России. Он подозревается в совершении коррупционного преступления", - заявила агентству официальный представитель СКР Светлана Петренко.
Газета "Коммерсантъ" сообщает, что "Паршин был взят с поличным при получении взятки".
👆«В связи с проводящимся в отношении замглавы Минцифры Максима Паршина расследованием министерство оказывает все необходимое содействие правоохранительным органам»,— сообщили «Ъ» в Минцифры.
Please open Telegram to view this post
VIEW IN TELEGRAM
Fobes пишет, что Налоговая вправе автоматически списать в бюджет деньги с виртуального кошелька гражданина после отправки уведомления о необходимости заплатить налоги. Нюансы работы нового механизма расчетов с государством, Единого налогового счета (ЕНС), разъяснил Forbes представитель Федеральной налоговой службы (ФНС).
Этот механизм — сервисное решение, отмечает ФНС. Если раньше, получив уведомление в личном кабинете на сайте ФНС или заказным письмом, плательщик должен был сам переводить деньги через сайт или банк, то теперь налоговое списание произойдет автоматически. Таким образом, будет реализован «проактивный порядок» уплаты налогов, отмечает ФНС.
Please open Telegram to view this post
VIEW IN TELEGRAM
🇮🇳🤖 Индийский разработчик уволил 90% своей команды техподдержки и заменил людей "ИИ-скайнетом"
Индийский стартап Dukaan, предлагающий платформу для быстрого развёртывания интернет-магазинов, сократил 90% персонала в отделе техподдержке, отдав предпочтение чат-боту с искусственным интеллектом.
Основатель компании Шах (Shah) похвастался в Twitter следующими результатами:
— Раньше время ответа клиентам было около 1 мин 44 сек => стало МГНОВЕННО!
— Время разрешения проблем сократилось с 2 часов 13 минут до 3 минут 12 секунд.
— Затраты снижены примерно на 85%
🧐 "Жестко? Да. Необходимо? Абсолютно", — сообщил радостный индус.
👆"Если это не попытка попиариться на ровном месте, то нас простых людей ждут тёмные века с этим вашим долбанным ИИ", — 🤬комментируют новость пользователи в сети.
✋ @Russian_OSINT
Индийский стартап Dukaan, предлагающий платформу для быстрого развёртывания интернет-магазинов, сократил 90% персонала в отделе техподдержке, отдав предпочтение чат-боту с искусственным интеллектом.
Основатель компании Шах (Shah) похвастался в Twitter следующими результатами:
— Раньше время ответа клиентам было около 1 мин 44 сек => стало МГНОВЕННО!
— Время разрешения проблем сократилось с 2 часов 13 минут до 3 минут 12 секунд.
— Затраты снижены примерно на 85%
👆"Если это не попытка попиариться на ровном месте, то нас простых людей ждут тёмные века с этим вашим долбанным ИИ", — 🤬комментируют новость пользователи в сети.
Please open Telegram to view this post
VIEW IN TELEGRAM
Предприниматель Маск решил бросить вызов OpenAI, занявшись разработкой ИИ, который поможет человечеству понять "природу Вселенной" и постичь глубинные смыслы мироздания. Согласно информации на сайте компании, в штат "
👆Консультирует проект директор Центра безопасности ИИ Дэн Хендрикс. Ранее он поддержал открытое письмо о необходимости затормозить развитие ИИ на полгода.
Please open Telegram to view this post
VIEW IN TELEGRAM
💊😥В Приморье приостановили отпуск льготных лекарств из-за 🥷 взлома электронной системы выдачи
Выдачу льготных лекарств через электронную систему нуждающимся приостановили в Приморье после хакерской атаки.
"Сегодня на информационную систему регионального склада льготного отпуска лекарств "АО"Фармация" была совершена хакерская атака...Временно отпуск льготных лекарственных препаратов приостановлен. Приносим вам свои извинения. Минздрав совместно с правоохранительными органами приложит все усилия для скорейшего восстановления системы и обеспечения лекарствами льготников Приморья. О восстановлении работы системы мы сообщим дополнительно", - сообщается в Telegram-канале министра здравоохранения Приморского края Анастасии Худченко.
✋ @Russian_OSINT
Выдачу льготных лекарств через электронную систему нуждающимся приостановили в Приморье после хакерской атаки.
"Сегодня на информационную систему регионального склада льготного отпуска лекарств "АО"Фармация" была совершена хакерская атака...Временно отпуск льготных лекарственных препаратов приостановлен. Приносим вам свои извинения. Минздрав совместно с правоохранительными органами приложит все усилия для скорейшего восстановления системы и обеспечения лекарствами льготников Приморья. О восстановлении работы системы мы сообщим дополнительно", - сообщается в Telegram-канале министра здравоохранения Приморского края Анастасии Худченко.
Please open Telegram to view this post
VIEW IN TELEGRAM
Организация экономического сотрудничества и развития (ОЭСР, блок из 38 членов куда входят "развитые страны") прогнозирует, что в ближайшие 10 лет человечество ждут глобальные перемены и сокращение рабочих мест из-за стремительного развития ИИ.
"В ходе грядущей революции искусственного интеллекта" около 27% рабочих мест могут быть автоматизированы или отданы на откуп ИИ.
"Трое из пяти работников опасаются, что в ближайшие 10 лет они могут потерять работу из-за искусственного интеллекта — такие цифры показал прошлогодний опрос ОЭСР. В опросе приняли участие 5300 сотрудников из 2000 компаний, работающих в сфере производства и финансов, в семи странах ОЭСР", — сообщает Reuters.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🎣 📱 Во втором квартале количество фишинговых атак на Telegram выросло на 39%
Мошенники модернизировали популярную схему кражи аккаунтов в Telegram. Теперь они добавляют потенциальную жертву в специальный канал, где размещают объявление от имени 👩🦰некой женщины, которая просит помочь ребенку выиграть путевку в детский лагерь. Согласно легенде, у ее хороших знакомых дочка попала в финал конкурса рисунков и нужно проголосовать за работу, чтобы девочка смогла выиграть поездку в лагерь, для этого ей необходимо 500 голосов. Как только человек переходит по ссылке, его просят ввести номер телефона и код доступа для авторизации, после чего данные оказываются у злоумышленников.
📊По данным «Лаборатории Касперского», количество фишинговых атак на Telegram во II квартале выросло на 39%. А всего с начала года было выявлено 4132 сайта, через которые мошенники похищали данные пользователей мессенджера, отметили в компании Bi. ZONE.
👆Это может быть связано с тем, что многие юзеры находятся в отпусках и становятся менее бдительными.
✋ @Russian_OSINT
Мошенники модернизировали популярную схему кражи аккаунтов в Telegram. Теперь они добавляют потенциальную жертву в специальный канал, где размещают объявление от имени 👩🦰некой женщины, которая просит помочь ребенку выиграть путевку в детский лагерь. Согласно легенде, у ее хороших знакомых дочка попала в финал конкурса рисунков и нужно проголосовать за работу, чтобы девочка смогла выиграть поездку в лагерь, для этого ей необходимо 500 голосов. Как только человек переходит по ссылке, его просят ввести номер телефона и код доступа для авторизации, после чего данные оказываются у злоумышленников.
📊По данным «Лаборатории Касперского», количество фишинговых атак на Telegram во II квартале выросло на 39%. А всего с начала года было выявлено 4132 сайта, через которые мошенники похищали данные пользователей мессенджера, отметили в компании Bi. ZONE.
👆Это может быть связано с тем, что многие юзеры находятся в отпусках и становятся менее бдительными.
Please open Telegram to view this post
VIEW IN TELEGRAM
👆В декабре 2022 года номера +888 продавались по 266 рублей (2 TON по текущему курсу)
Please open Telegram to view this post
VIEW IN TELEGRAM
"Если бы я мог поставить на паузу ИИ или сверхинтеллект, то я бы это сделал. Но, похоже, это нереально", - сообщил Маск во время интервью.
"Для нас важно беспокоиться о будущем Терминаторе, чтобы избежать...будущее Терминатора", — намекнул на последствия Илон Маск, имея в виду фильм Джеймса Кэмерона.
В ходе беседы с участием Маска обсуждались темы про существование инопланетян.
"Вы смотрите на ночное небо и видите все эти звезды. Мне интересно, а что там происходит, есть ли там инопланетные цивилизации? Есть ли там жизнь? И надеюсь, что однажды мы это узнаем", - задаётся вопросами миллиардер.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Созданный для обеспечения безопасности плагин All-In-One Security (AIOS) для WordPress сам оказался предвестником опасности для своих пользователей.
AIOS был разработан для предотвращения брутфорса, предупреждения при использовании дефолтных кред администратора, пресечения бот-атак и устранения спама в комментариях, но как выяснилось плагин, который используется более чем на миллионе сайтов WordPress, регистрирует пароли в виде открытого текста при попытке входа в базу данных.
О проблеме сообщил бдительный пользователь c0ntr07, который судя по комментариям на форуме был в шоке, что плагин безопасности выдает такую базовую ошибку security 101, не говоря уже о несоответствии целому пулу стандартов NIST 800-63-3, ISO27000, CIS, HIPAA, GDPR.
Уязвимости подвержена версия 5.1.9 AIOS и на этой неделе разработчики из Updraft, поддерживающие плагин, выпустили версии 5.2.0 для устранения проблемы и удаления зарегистрированных паролей из базы данных.
Рекомендуется немедленно обновиться до версии 5.2.0, дабы обезопасить свои ресурсы.
Учитывая, что еще не далее, чем вчера почти никто из пользователей не обновился до последней версии сотни тысяч пользователей находятся под угрозой, а злоумышленники на 99.9% штудируют сеть в поисках учеток скомпрометированных ресурсов.
AIOS был разработан для предотвращения брутфорса, предупреждения при использовании дефолтных кред администратора, пресечения бот-атак и устранения спама в комментариях, но как выяснилось плагин, который используется более чем на миллионе сайтов WordPress, регистрирует пароли в виде открытого текста при попытке входа в базу данных.
О проблеме сообщил бдительный пользователь c0ntr07, который судя по комментариям на форуме был в шоке, что плагин безопасности выдает такую базовую ошибку security 101, не говоря уже о несоответствии целому пулу стандартов NIST 800-63-3, ISO27000, CIS, HIPAA, GDPR.
Уязвимости подвержена версия 5.1.9 AIOS и на этой неделе разработчики из Updraft, поддерживающие плагин, выпустили версии 5.2.0 для устранения проблемы и удаления зарегистрированных паролей из базы данных.
Рекомендуется немедленно обновиться до версии 5.2.0, дабы обезопасить свои ресурсы.
Учитывая, что еще не далее, чем вчера почти никто из пользователей не обновился до последней версии сотни тысяч пользователей находятся под угрозой, а злоумышленники на 99.9% штудируют сеть в поисках учеток скомпрометированных ресурсов.
Techzine Global
WordPress security plugin AIOS saved passwords as plain text
The WordPress security plugin All-In-One Security (AIOS) created a security flaw of its own accord. Because of a bug, the tool collected passwords and
🇬🇧👮В Лондоне судят 18-летнего хакера Ариона Куртажа из группировки Lapsus$
Рейтер пишет, что в Лондоне проходят слушания по делу 18-летнего подростка из группировки Lapsus$, которого подозревают во взломе Uber, Revolut и Rockstar Games.
Арион Куртадж атаковал Revolut и Uber в сентябре 2022 г., получив доступ к информации 5 тыс. клиентов Revolut и нанёс ущерб Uber на сумму около 3 млн. долл.
Хакер вместе с другим 17-летним подростком (имя которого не раскрывается) зарансомил крупнейшего британского провайдера BT Group и оператора мобильной связи EE, требуя выкуп в размере 4 млн. долл.
По мнению прокуроров, данная парочка является "ключевыми игроками" в Lapsus$. Предположительно, они могли быть причастны ко взлому производителя чипов Nvidia Corp в феврале 2022 года. Тогда хакеры вымогали деньги за "неразглашение данных".
👆Психиатрическое обследование Ариона Куртаджа показало, что "вымогатель" физически не сможет предстать перед судом. Его обвиняют в 12 преступлениях, включая три случая вымогательства, два случая мошенничества и шесть обвинений в неправомерном использовании компьютера.
По слухам в сети, у парня аутизм.
✋ @Russian_OSINT
Рейтер пишет, что в Лондоне проходят слушания по делу 18-летнего подростка из группировки Lapsus$, которого подозревают во взломе Uber, Revolut и Rockstar Games.
Арион Куртадж атаковал Revolut и Uber в сентябре 2022 г., получив доступ к информации 5 тыс. клиентов Revolut и нанёс ущерб Uber на сумму около 3 млн. долл.
Хакер вместе с другим 17-летним подростком (имя которого не раскрывается) зарансомил крупнейшего британского провайдера BT Group и оператора мобильной связи EE, требуя выкуп в размере 4 млн. долл.
По мнению прокуроров, данная парочка является "ключевыми игроками" в Lapsus$. Предположительно, они могли быть причастны ко взлому производителя чипов Nvidia Corp в феврале 2022 года. Тогда хакеры вымогали деньги за "неразглашение данных".
👆Психиатрическое обследование Ариона Куртаджа показало, что "вымогатель" физически не сможет предстать перед судом. Его обвиняют в 12 преступлениях, включая три случая вымогательства, два случая мошенничества и шесть обвинений в неправомерном использовании компьютера.
По слухам в сети, у парня аутизм.
Please open Telegram to view this post
VIEW IN TELEGRAM
https://gs.statcounter.com/os-market-share/desktop/worldwide
Please open Telegram to view this post
VIEW IN TELEGRAM
Компания SlashNext обнаружила на подпольных форумах новый киберпреступный инструмент на основе ИИ под названием WormGPT, который рекламируется для проведения сложных фишинговых атак.
🏴☠️Разработчик вредоносной программы назвал ее "самым большим врагом известного ChatGPT", который "позволяет делать всевозможные незаконные вещи".
Тот факт, что WormGPT выдаёт ответы вне какой-либо этики — подчеркивает угрозу, исходящую от генеративного ИИ. Даже начинающие киберпреступники смогут быстро и масштабно проводить атаки, не имея на это технических возможностей, сообщают эксперты.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🇮🇱Армия обороны Израиля использует 🤖 ИИ для нанесения авиаударов
По словам официальных лиц, военные израильской армии начали использовать систему рекомендаций на основе искусственного интеллекта для нанесения авиаударов, которая способна обрабатывать огромные массивы данных и выбирать оптимальные цели, об этом пишет JapanTimes со ссылкой на Bloomberg.
Как сообщает представитель ЦАХАЛа, ИИ-системы находятся под контролем людей-операторов, именно они проверяют и утверждают отдельные цели. Технология до сих пор не регулируется ни на международном, ни на государственном уровне. Сторонники технологии утверждают, что усовершенствованные алгоритмы могут превзойти возможности человека, помогая военным минимизировать потери, в то время как критики предупреждают о потенциально опасных последствиях использования автономных систем.
🧠 "При внедрении подобных решений в контуры информационных управляющих боевых систем командование может столкнуться с отсутствием возможности верификации аутентичности и обоснованности рекомендаций ИИ, воспринимая этот инструмент на веру", — комментирует военный эксперт Александр Степанов развитие современных ИИ-технологий.
✋ @Russian_OSINT
По словам официальных лиц, военные израильской армии начали использовать систему рекомендаций на основе искусственного интеллекта для нанесения авиаударов, которая способна обрабатывать огромные массивы данных и выбирать оптимальные цели, об этом пишет JapanTimes со ссылкой на Bloomberg.
Как сообщает представитель ЦАХАЛа, ИИ-системы находятся под контролем людей-операторов, именно они проверяют и утверждают отдельные цели. Технология до сих пор не регулируется ни на международном, ни на государственном уровне. Сторонники технологии утверждают, что усовершенствованные алгоритмы могут превзойти возможности человека, помогая военным минимизировать потери, в то время как критики предупреждают о потенциально опасных последствиях использования автономных систем.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Ресерчеры F.A.C.C.T. продолжают расчехлять новые кампании RedCurl, специализирующейся на коммерческом шпионаже и краже корпоративной документации.
Новые активности обнаружены в рамках реагирования на инцидент еще в ноябре 2022 года и были направлены на один из российских банков, на оторый киберпреступники нацеливались дважды.
Первый раз RedCurl атаковала с помощью таргетированных фишинговых рассылок от имени крупного российского маркетплейса, а затем - через компанию-подрядчика. Причем последняя увенчалась успехом.
RedCurl попала на карандаш еще в конце 2019 года и, предположительно, состояла из русскоговорящих хакеров.
Группа активна, как минимум, с 2018 года и привлекла внимание экспертов тем, что проводила тщательно спланированные атаки на частные компании из различных отраслей, используя уникальный инструментарий.
За последние четыре с половиной года RedCurl провела не менее 34 атак на компании из Великобритании, Германии, Канады, Норвегии, Украины, Австралии.
Больше половины атак - 20: пришлись на Россию.
Среди жертв были строительные, финансовые, консалтинговые компании, ритейлеры, банки, страховые, юридические организации.
С момента заражения до кражи данных RedCurl проводит в сети жертвы от 2 до 6 месяцев.
Новое исследование F.A.С.С.T. раскрывает атаки RedCurl, в предпринимавшиеся в ноябре 2022 и в мае 2023 года.
В качестве первоначального вектора проникновения в инфраструктуру использовались фишинговые письма с вредоносным ПО под видом предложений с рекламой корпоративных скидок, но безуспешно благодаря средствам защиты.
Потерпев неудачу RedCurl переключились на подрядчика банка, использовав тактику Supply Chain.
Получив доступ к компьютеру его сотрудника, предположительно, через фишинговую рассылку, хакеры смогли проникнуть на общий сетевой диск с документами клиента, что позволило попасть в инфраструктуру банка.
Из иструментария RedCurl использовался загрузчик для первого этапа заражения под названием RedCurl.SimpleDownloader, специально созданный под новую кампанию с использованием бренда маркетплейса.
По мнению F.A.C.C.T., это новый полноценный инструмент группировки, который будет модифицироваться и применяться в других атаках RedCurl.
На следующем этапе кампании использовался модернизированный загрузчик RedCurl.Downloader для подгрузки RedCurl.Extractor.
Эта ПО предназначена для установки агента RedCurl.FSABIN, который, в свою очередь, предоставляет злоумышленнику удаленный контроль над зараженной машиной.
И без того достаточно уникальное для русскоязычной киберкриминальной среды инструменты и методы RedCurl продолжают развиваться и модернизироваться, образуя единую длинную цепочку, что несет ощутимые риски для компаний.
Полный разбор новых атак, индикаторы компрометации и MITRE ATT&CK - представлены в отчете.
Новые активности обнаружены в рамках реагирования на инцидент еще в ноябре 2022 года и были направлены на один из российских банков, на оторый киберпреступники нацеливались дважды.
Первый раз RedCurl атаковала с помощью таргетированных фишинговых рассылок от имени крупного российского маркетплейса, а затем - через компанию-подрядчика. Причем последняя увенчалась успехом.
RedCurl попала на карандаш еще в конце 2019 года и, предположительно, состояла из русскоговорящих хакеров.
Группа активна, как минимум, с 2018 года и привлекла внимание экспертов тем, что проводила тщательно спланированные атаки на частные компании из различных отраслей, используя уникальный инструментарий.
За последние четыре с половиной года RedCurl провела не менее 34 атак на компании из Великобритании, Германии, Канады, Норвегии, Украины, Австралии.
Больше половины атак - 20: пришлись на Россию.
Среди жертв были строительные, финансовые, консалтинговые компании, ритейлеры, банки, страховые, юридические организации.
С момента заражения до кражи данных RedCurl проводит в сети жертвы от 2 до 6 месяцев.
Новое исследование F.A.С.С.T. раскрывает атаки RedCurl, в предпринимавшиеся в ноябре 2022 и в мае 2023 года.
В качестве первоначального вектора проникновения в инфраструктуру использовались фишинговые письма с вредоносным ПО под видом предложений с рекламой корпоративных скидок, но безуспешно благодаря средствам защиты.
Потерпев неудачу RedCurl переключились на подрядчика банка, использовав тактику Supply Chain.
Получив доступ к компьютеру его сотрудника, предположительно, через фишинговую рассылку, хакеры смогли проникнуть на общий сетевой диск с документами клиента, что позволило попасть в инфраструктуру банка.
Из иструментария RedCurl использовался загрузчик для первого этапа заражения под названием RedCurl.SimpleDownloader, специально созданный под новую кампанию с использованием бренда маркетплейса.
По мнению F.A.C.C.T., это новый полноценный инструмент группировки, который будет модифицироваться и применяться в других атаках RedCurl.
На следующем этапе кампании использовался модернизированный загрузчик RedCurl.Downloader для подгрузки RedCurl.Extractor.
Эта ПО предназначена для установки агента RedCurl.FSABIN, который, в свою очередь, предоставляет злоумышленнику удаленный контроль над зараженной машиной.
И без того достаточно уникальное для русскоязычной киберкриминальной среды инструменты и методы RedCurl продолжают развиваться и модернизироваться, образуя единую длинную цепочку, что несет ощутимые риски для компаний.
Полный разбор новых атак, индикаторы компрометации и MITRE ATT&CK - представлены в отчете.