Forwarded from SecAtor
Исследователи из Лаборатории Касперского сообщают об активизации атак на российские организации с использованием PhantomDL и DarkWatchman RAT.
В начале июля специалисты заметили две волны целевых почтовых рассылок с вредоносными архивами внутри, которые были адресованы российским организациям, в основном производственной, государственной, финансовой и энергетической отраслей.
Первая волна прошла пятого июля и затронула около 400 пользователей, вторая, более массовая, десятого июля, охватив свыше 550 пользователей.
Причем некоторые письма представляли собой ответ на реальную переписку с контрагентами целевых организаций, что указывает на задействование взломанных почтовых адресов этих контрагентов или ранее украденную переписку.
В качестве полезной нагрузки атакующие распространяли RAR-архив с паролем, который мог находиться во вложении или скачиваться по ссылке на Google Диск в теле письма.
Внутри архива находился документ-приманка, а также одноименная папка, содержащая исполняемый файл, обычно с двойным расширением (например, «Счет-Фактура.pdf .exe»).
Такая структура архива может использоваться для попыток эксплуатации уязвимости CVE-2023-38831, получившей широкое распространение среди злоумышленников.
В случае успешной атаки на устройство жертвы устанавливалось специфичное вредоносное ПО Backdoor.Win64.PhantomDL, написанное на Go и сильно обфусцированное.
PhantomDL впервые был замечен в марте 2024 года, а предшествовал ему PhantomRAT, написанный на .NET. По сути это то же ПО, только на другом языке.
Так же как и его предшественник, PhantomDL применяется в основном для установки и запуска различных утилит категории HackTool и ПО для удаленного администрирования. В данном случае - rsockstun и ngrok для туннелирования трафика, sshpass для доступа к компьютеру по SSH и др.
В отличие от предыдущих версий, использовавших протокол HTTP, коммуникация с С2 в текущей версии бэкдора осуществляется по протоколу RSocket.
Стоит отметить, что аналогичные по оформлению, целям, названиям и формату вложений рассылки наблюдались и ранее с конца апреля по начало июня, однако в них распространялось другое вредоносное ПО - DarkWatchman RAT, которое предоставляет злоумышленникам удаленный доступ к зараженной системе.
По результата анализа применявшегося вредоносного ПО, IoC и TTPs исследователи полагают, что за атаками PhantomDL стоит хакерская группировка, известная как Head Mare.
В начале июля специалисты заметили две волны целевых почтовых рассылок с вредоносными архивами внутри, которые были адресованы российским организациям, в основном производственной, государственной, финансовой и энергетической отраслей.
Первая волна прошла пятого июля и затронула около 400 пользователей, вторая, более массовая, десятого июля, охватив свыше 550 пользователей.
Причем некоторые письма представляли собой ответ на реальную переписку с контрагентами целевых организаций, что указывает на задействование взломанных почтовых адресов этих контрагентов или ранее украденную переписку.
В качестве полезной нагрузки атакующие распространяли RAR-архив с паролем, который мог находиться во вложении или скачиваться по ссылке на Google Диск в теле письма.
Внутри архива находился документ-приманка, а также одноименная папка, содержащая исполняемый файл, обычно с двойным расширением (например, «Счет-Фактура.pdf .exe»).
Такая структура архива может использоваться для попыток эксплуатации уязвимости CVE-2023-38831, получившей широкое распространение среди злоумышленников.
В случае успешной атаки на устройство жертвы устанавливалось специфичное вредоносное ПО Backdoor.Win64.PhantomDL, написанное на Go и сильно обфусцированное.
PhantomDL впервые был замечен в марте 2024 года, а предшествовал ему PhantomRAT, написанный на .NET. По сути это то же ПО, только на другом языке.
Так же как и его предшественник, PhantomDL применяется в основном для установки и запуска различных утилит категории HackTool и ПО для удаленного администрирования. В данном случае - rsockstun и ngrok для туннелирования трафика, sshpass для доступа к компьютеру по SSH и др.
В отличие от предыдущих версий, использовавших протокол HTTP, коммуникация с С2 в текущей версии бэкдора осуществляется по протоколу RSocket.
Стоит отметить, что аналогичные по оформлению, целям, названиям и формату вложений рассылки наблюдались и ранее с конца апреля по начало июня, однако в них распространялось другое вредоносное ПО - DarkWatchman RAT, которое предоставляет злоумышленникам удаленный доступ к зараженной системе.
По результата анализа применявшегося вредоносного ПО, IoC и TTPs исследователи полагают, что за атаками PhantomDL стоит хакерская группировка, известная как Head Mare.
securelist.ru
Целевые атаки на российский бизнес: PhantomDL и DarkWatchman RAT
Разбираем вредоносные кампании, нацеленные на российские организации и распространяющие вредоносное ПО PhantomDL и DarkWatchman RAT.
👆Новое совместное детище🦆 xAI и 🖥 Nvidia.
Речь идет о создании нового ИИ-суперкластера👁 "Мемфис" с 100 000 графическими ускорителями 🖥 H100s.
Ранее сообщалось, что🪟 Microsoft и 👩💻 OpenAI планируют построить дата-центр с ИИ-суперкомпьютером Stargate за $100 млрд.
✋ @Russian_OSINT
Речь идет о создании нового ИИ-суперкластера
Ранее сообщалось, что
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🇮🇱🎖 🇵🇸 ХАМАС получил подробную информацию о тысячах израильских солдат и их семьях благодаря OSINT
Международной исследовательской группе, в которую вошли ZEIT, ZDF, Austrian Standard и израильская ежедневная газета Ha'aretz, стало известно, что ХАМАС недавно удалось собрать очень подробные детальные досье на более чем 2000 военнослужащих израильской армии, включая высокопоставленных военных: ФИО, дата рождения, номера телефонов, адреса электронной почты, профили в социальных сетях, пароли, номера кредитных карт и банковские реквизиты.
- пишет Zeit.
Исследователи проанализировали большой массив данных и отметили, что всего в отчётах фигурирует порядка 211 000 человек (родственники, ближайшее окружение). Израильские источники безопасности подтвердили подлинность этих досье.
👀 + 🥷 Утверждается, что досье на военнослужащих были собраны в результате возможного взлома различных гражданских систем: сервера учебного заведения Atid College и страховой компании Shirbit, утечки из приложения Elector.
Другая часть данных была собрана из открытых источников (OSINT), включая социальные сети, публичные базы данных и предыдущие утечки. Инструменты профилирования позволили объединить всю информацию воедино.
- cообщает Haaretz. OSINT стал неотъемлемой частью компиляции данных для создания досье.
🇮🇱 По заявлению израильских властей, утечка не представляет значительной угрозы, но эксперты считают, что данные могут быть использованы для💻 целенаправленных атак и 🧠 сбора дополнительной разведывательной информации. Делаются предположения о том, что военнослужащие могут стать мишенями для физического насилия, преследования или мести, а также попыток вербовки.
✋ @Russian_OSINT
Международной исследовательской группе, в которую вошли ZEIT, ZDF, Austrian Standard и израильская ежедневная газета Ha'aretz, стало известно, что ХАМАС недавно удалось собрать очень подробные детальные досье на более чем 2000 военнослужащих израильской армии, включая высокопоставленных военных: ФИО, дата рождения, номера телефонов, адреса электронной почты, профили в социальных сетях, пароли, номера кредитных карт и банковские реквизиты.
У ХАМАСа особая склонность к бюрократии: коллекция состоит из более чем 2 000 PDF-файлов, все они имеют идентичный дизайн, страницы оливково-зеленые, с логотипом "Бригад Кассама"... Досье составлено по образцу, как это делается в государственных органах или в отделах кадров крупных компаний. За основными личными данными следует более подробная информация: во многих случаях указывается цвет волос и рост, данные банковского счета или последние четыре цифры кредитной карты. А еще через несколько страниц - информация о родственниках и знакомых.
- пишет Zeit.
Исследователи проанализировали большой массив данных и отметили, что всего в отчётах фигурирует порядка 211 000 человек (родственники, ближайшее окружение). Израильские источники безопасности подтвердили подлинность этих досье.
Другая часть данных была собрана из открытых источников (OSINT), включая социальные сети, публичные базы данных и предыдущие утечки. Инструменты профилирования позволили объединить всю информацию воедино.
Они [досье] были подготовлены с помощью автоматического инструмента, известного как "profiler", который позволяет собирать, перекрестно сопоставлять и объединять разведданные из открытых источников (OSINT) для создания подробного "профиля" в разведывательных целях. Таким образом, была собрана конфиденциальная личная информация о тысячах людей, которые служат или служили на различных базах ВВС.
- cообщает Haaretz. OSINT стал неотъемлемой частью компиляции данных для создания досье.
🇮🇱 По заявлению израильских властей, утечка не представляет значительной угрозы, но эксперты считают, что данные могут быть использованы для
Please open Telegram to view this post
VIEW IN TELEGRAM
В первом полугодии 2024 года специалисты BI. ZONE TDR зафиксировали почти на 40% больше киберинцидентов, чем год назад.
Больше всего инцидентов было зафиксировано в промышленности (38%), IT‑отрасли (27%) и финансовой сфере (15%), однако в подавляющем большинстве случаев злоумышленников удается остановить прежде, чем они успеют нанести ущерб. Как и в 2023 году, нередко встречаются атаки через подрядчиков, а фишинг и использование легитимных учетных записей остаются в топе наиболее популярных методов для получения первичного доступа к инфраструктуре.
https://bi.zone/news/predstavlyaem-analiticheskiy-otchet-po-ugrozam-i-kiberintsidentam-za-i-polugodie-2024-goda/
Please open Telegram to view this post
VIEW IN TELEGRAM
🌐 Стартап в области кибербезопасности Wiz отклонил сделку с Google на $23 миллиарда
Wiz прекратил переговоры с материнской компанией Google Alphabet.
Ранее стало известно, что Google планировал совершить одну из крупнейших сделок по приобретению компании по кибербезопасности за 23 миллиарда долларов.
👆Компания Wiz была основана в 2020 году четырьмя бывшими израильскими военными, которые до этого были соучредителями компании Adallom, занимающейся облачной кибербезопасностью, которую Microsoft впоследствии приобрела за 320 миллионов долларов.
✋ @Russian_OSINT
Wiz прекратил переговоры с материнской компанией Google Alphabet.
Ранее стало известно, что Google планировал совершить одну из крупнейших сделок по приобретению компании по кибербезопасности за 23 миллиарда долларов.
👆Компания Wiz была основана в 2020 году четырьмя бывшими израильскими военными, которые до этого были соучредителями компании Adallom, занимающейся облачной кибербезопасностью, которую Microsoft впоследствии приобрела за 320 миллионов долларов.
✋ @Russian_OSINT
Forwarded from Поисковик ЗВИ
Strategic Cyberspace Operations Primer 2023.pdf
3.2 MB
🇺🇸 Обновленный учебник по стратегическим кибероперациям (Strategic Cyberspace Operations Primer) для слушателей военного колледжа сухопутных войск США.
Описаны этапы разработки, планирования и проведения операций в киберпространстве боевыми командованиями, объединенными оперативными группами и функциональными компонентами объединенных командований ВС США.
Содержит обзоры действующих концептуальных, доктринальных и руководящих документов в области киберпространства, представлена организация киберподразделений вооруженных сил и других американских ведомств.
@poisk_mil
Описаны этапы разработки, планирования и проведения операций в киберпространстве боевыми командованиями, объединенными оперативными группами и функциональными компонентами объединенных командований ВС США.
Содержит обзоры действующих концептуальных, доктринальных и руководящих документов в области киберпространства, представлена организация киберподразделений вооруженных сил и других американских ведомств.
@poisk_mil
Please open Telegram to view this post
VIEW IN TELEGRAM
"Есть мысль прийти к искусственному интеллекту, обработке информации с помощью нейросетей"
- сообщает ТАСС, ссылаясь на представителя Центрального конструкторского бюро аппаратостроения (входит в холдинг "Высокоточные комплексы" госкорпорации "Ростех") на вопрос о планах по модернизации системы.
👆Утверждается, что Система будет способна отслеживать одновременно до 20 летательных аппаратов, в том числе малоразмерных беспилотников, определяя их тип, высоту полета и расстояние до них. Она состоит из радиолокационных станций с неподвижной фазированной антенной решеткой и автоматизированным рабочим местом. Может быть установлена на транспортных средствах, вышках и крышах зданий.
Please open Telegram to view this post
VIEW IN TELEGRAM
🇬🇧👮 Британская полиция арестовала 🥷 17-летнего подростка, подозреваемого в кибератаках на MGM Resorts
В Великобритании задержан 17-летний хакер, который предположительно является участником группы киберпреступников из "Scattered Spider", совершивших в прошлом году серию разрушительных ransomware-атак на MGM Resorts с целью выкупа. Тогда часть западных СМИ и блогеров поспешили обвинить во всем мифических "русских хакеров" якобы связанных с 🐈⬛ALPHV/BlackCat.
Известно, что задержан был подозреваемый в Уолсолле (Англия) в ходе совместной операции полиции Уэст-Мидлендса и ФБР.
👆Совсем недавно другого британца с говорящей фамилиейисконно русского происхождения Бьюкенен 🇺🇸 ФБР и 🇪🇸👮полиция арестовали в Испании в связи с причастностью к кибератаке на MGM Resorts.
✋ @Russian_OSINT
В Великобритании задержан 17-летний хакер, который предположительно является участником группы киберпреступников из "Scattered Spider", совершивших в прошлом году серию разрушительных ransomware-атак на MGM Resorts с целью выкупа. Тогда часть западных СМИ и блогеров поспешили обвинить во всем мифических "русских хакеров" якобы связанных с 🐈⬛ALPHV/BlackCat.
Известно, что задержан был подозреваемый в Уолсолле (Англия) в ходе совместной операции полиции Уэст-Мидлендса и ФБР.
"Эти кибергруппы атаковали известные организации и других многочисленных жертв с помощью программ-вымогателей по всему миру, вымогая у них значительные суммы денег.- сообщила Хинеш Мехта, руководитель отдела по борьбе с киберпреступлениями.
👆Совсем недавно другого британца с говорящей фамилией
Please open Telegram to view this post
VIEW IN TELEGRAM
Не успела выйти новость о появлении новой LLM
🚨 Никаких новых обновлений системы безопасности не было внедрено. Это было проще простого. Та же архитектура, что и в предыдущем случае.
- утверждает исследователь, публикуя jailbreak prompts.
Meta* признана
Please open Telegram to view this post
VIEW IN TELEGRAM
🦅 Techcrunch пишет, что CrowdStrike предлагают комплементарную подарочную карту Uber Eats на $10 cвоим клиентам в качестве извинения за ⚠️ глобальный сбой.
👍 Другим предложили кофе и снеки ночью.
✋ @Russian_OSINT
"Приносим извинения за причиненные неудобства", - говорилось в письме, согласно скриншоту, которым поделился источник. Такое же письмо было опубликовано на сайте X другим человеком. "Чтобы выразить нашу благодарность, ваша следующая☕️ чашка кофе или🍟 поздний ночной перекус - за наш счет!"
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Порвали два трояна
😞 Сколько людей убивает ransomware?
К сожалению, по этому вопросу набралось достаточно информации, чтобы от изолированных случаев перейти к анализу статистики. Новая научная работа демонстрирует, что при серьёзных кибератаках на больницы смертность среди пациентов растёт примерно на 20%. После некоторых особо масштабных атак смертность росла на 36-55%.
В наибольшей степени страдают пациенты, которые уже проходили лечение к моменту начала кибератаки, потому что новых пациентов как правило обследуют и лечат уже с учётом недоступности некоторых компьютерных систем.
Ключевыми механизмами, снижающими результативность лечения и приводящими к смертям, являются отсутствие доступа к электронным картам пациентов (EHR) и дефицит информации о лекарствах, назначениях и аллергиях, а также невозможность оперативно провести лучевую диагностику и быстро обработать результаты анализов.
Ещё один важный фактор — невозможность принять нового пациента в критическом состоянии, который может просто не дожить до момента, когда скорая помощь привезёт его в другую больницу.
Кажется, киберустойчивость больниц пора выделять в отдельную дисциплину.
#статистика #ransomware @П2Т
К сожалению, по этому вопросу набралось достаточно информации, чтобы от изолированных случаев перейти к анализу статистики. Новая научная работа демонстрирует, что при серьёзных кибератаках на больницы смертность среди пациентов растёт примерно на 20%. После некоторых особо масштабных атак смертность росла на 36-55%.
В наибольшей степени страдают пациенты, которые уже проходили лечение к моменту начала кибератаки, потому что новых пациентов как правило обследуют и лечат уже с учётом недоступности некоторых компьютерных систем.
Ключевыми механизмами, снижающими результативность лечения и приводящими к смертям, являются отсутствие доступа к электронным картам пациентов (EHR) и дефицит информации о лекарствах, назначениях и аллергиях, а также невозможность оперативно провести лучевую диагностику и быстро обработать результаты анализов.
Ещё один важный фактор — невозможность принять нового пациента в критическом состоянии, который может просто не дожить до момента, когда скорая помощь привезёт его в другую больницу.
Кажется, киберустойчивость больниц пора выделять в отдельную дисциплину.
#статистика #ransomware @П2Т
Как сообщает РБК, «Известия» узнали, что Петр Врублевский подозревается в совершении нескольких преступлений. Первое дело — о вымогательстве. Так, в мае 2022 года по этому делу были задержаны боец MMA Асхаб Магомедов и его знакомый. Обоих обвинили в вымогательстве 600 тыс. руб. Врублевского считают соучастником этого дела, однако с января 2022 года он находился в Швейцарии, отмечает газета.
"Петр Павлович Врублевский, 20.12.2004. Разыскивается по статье УК", - следует из базы розыска МВД РФ.
Please open Telegram to view this post
VIEW IN TELEGRAM
💡Такие мероприятия могут проводиться для того, чтобы подозреваемый не мог скрыть какие-либо следы cвоей деятельности, предупредить сообщников через интернет или вовремя среагировать на оперативные действия правоохранительных органов с помощью
"NEO может работать в потенциально опасной среде, предоставляя видео- и аудиоинформацию офицерам перед входом и позволить им общаться с теми, кто находится в этой среде", - сказал Хаффман, согласно стенограмме. NEO оснащен бортовым компьютером и антенной решеткой, которые позволят офицерам использовать атаки - "отказ в обслуживании" (DoS), чтобы отключить устройства "Интернета вещей".
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔻Ранее сообщалось, что бывший зампред правительства России Виктор Илюшин потерял почти 13 млн рублей, когда хотел отредактировать статью в Википедии про себя.
Please open Telegram to view this post
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
По заявлению компании, новая функция должна облегчить поиск ответов в интернете, сводя к минимуму количество попыток и времени, затрачиваемых на получение релевантных результатов.
Утверждается, что SearchGPT будет предоставлять актуальную информацию напрямую из интернета, сопровождая ответы ссылками на источники.
Please open Telegram to view this post
VIEW IN TELEGRAM
2024 _Parametrix Analysis_Crowdstrike.pdf
3.8 MB
🦅 Нашел в китайском чате по тематике ИБ - исследование страховщиков 📄 Parametrix: CrowdStrike's Impact on the Fortune 500, которые попытались оценить недавний ущерб от деятельности Crowdstrike в отношении ТОП-500 компаний из списка Fortune 500.
▶️ Около 25% компаний из списка Fortune 500 столкнулись напрямую с проблемами из-за перебоя, вызванного обновлением CrowdStrike.
▶️ Наибольшие потери понес сектор здравоохранения, за ним следуют банковский сектор и авиакомпании.
▶️ По оценкам Parametrix, общие совокупные потери компаний из списка Fortune 500 составляют $5,4 миллиарда, за исключением Microsoft, по понятным причинам.
▶️ Согласно отчету, оценка застрахованных потерь составляет от 10% до 20% от общих финансовых потерь.
✋ @Russian_OSINT
Please open Telegram to view this post
VIEW IN TELEGRAM