Вчера вечером стало известно, что Роскомнадзор разработал порядок ведения реестра каналов с аудиторией более 10 тыс человек. Согласно проекту, авторы каналов должны будут предоставить в ведомство:
💠 Наименование и указатель персональной страницы в соцсети
💠 Информацию о владельце аккаунта или публичного канала (ФИО, данные ИП или ООО)
💠 Номера телефонов или адреса электронных почт владельцев канала, страницы или ее авторов
💠 IP-адрес компьютера, с которого пользователь соцсети, а также администратор зарегистрировались в соцсети. Кроме того, необходимы будут IP-адреса компьютеров, с которых была создана страница и осуществляется ее ведение.
- отмечается в документе, пишет RG.
========
🤷♂️ Решил cейчас утром зайти ознакомиться и увидел следующее:
https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=150487#
✋ @Russian_OSINT
Информация может быть передана в Роскомнадзор с использованием формы, размещенной по адресу www.530-fz.rkn.gov.ru, электронной почте 530-fz@rkn.gov.ru.
"Сведения также могут быть направлены в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций с использованием информационной программы для электронных вычислительных машин, предназначенной для упрощения и оптимизации взаимодействия владельца социальной сети и Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций"
- отмечается в документе, пишет RG.
========
https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=150487#
🛑 Кажется что-то пошло не так! Страница, которую вы запрашиваете, не существует. Возможно она устарела, была удалена, или был введен неверный адрес в адресной строке.
Please open Telegram to view this post
VIEW IN TELEGRAM
В новом посте Павел Дуров сообщил новые подробности своего задержания:
1️⃣ Будучи гражданином 🇫🇷Франции, я был частым гостем во французском консульстве в Дубае. Некоторое время назад, когда меня попросили, я лично помог им создать горячую линию с помощью Telegram для
2️⃣ Установить правильный баланс между конфиденциальностью и безопасностью непросто. Необходимо согласовать законы о конфиденциальности с требованиями правоохранительных органов, а местные законы - с законами ЕС.
3️⃣ Утверждения некоторых СМИ о том, что Telegram - это некий анархический рай, абсолютно не соответствуют действительности.
4️⃣
@isiswatch
@stopCA
5️⃣ Резкое увеличение числа пользователей Telegram до 950 миллионов вызвало проблемы роста, что облегчило
Я надеюсь, что августовские события приведут к тому, что Telegram - и вся индустрия социальных сетей в целом - станут безопаснее и сильнее.
Please open Telegram to view this post
VIEW IN TELEGRAM
3
https://sobrief.com
Удобно слушать 🔊аудио.
Please open Telegram to view this post
VIEW IN TELEGRAM
Если обратить внимание на обновленный раздел FAQ в Telegram - https://telegram.org/faq, то оттуда исчезла следующая формулировка, где сказано про "Q: There's illegal content on Telegram. How do I take it down?":
♋️ All Telegram chats and group chats are private amongst their participants. We do not process any requests related to them.
♋️ Все чаты Telegram и групповые чаты являются приватными для их участников. Мы не обрабатываем никакие запросы, связанные с ними.
- в архиве формулировка есть. Сравнить два файла в
Please open Telegram to view this post
VIEW IN TELEGRAM
Еще статистики в ленту:
"За последние три года похищено и выведено за границу более 350 млрд рублей. Вчера представитель Сбербанка называл цифру в 250 млрд за один, но это с учетом латентной преступности, поэтому она может быть выше. Это прогнозная цифра. Официально зарегистрировано 350 млрд рублей, это государственная статистика"
- рассказал замначальника следственного департамента ведомства Данил Филиппов на сессии "Цифровой суверенитет и безопасность граждан: правовые модели".
Please open Telegram to view this post
VIEW IN TELEGRAM
Как пишет ТАСС, по данным вице-президента "Ростелекома" Игоря Ляпунова, около 30-40% иностранного программного обеспечения на объектах критической инфраструктуры, а также зарубежных средств защиты информации, пока не замещено на 🇷🇺отечественные решения.
Ляпунов отметил, что вновь создаваемые и вводимые в строй объекты КИИ с новыми информационными системами строятся уже на российском ПО, оборудовании и средствах защиты информации.
"Но остается огромный "хвост" в виде старых систем с зарубежным ПО, которые все еще работают. Исторически, безусловно, что-то будет выводиться из эксплуатации, это горизонт 3-4 лет. Моя оценка - 30-40% пока не замещено"
Please open Telegram to view this post
VIEW IN TELEGRAM
🇺🇸Власти США просят американский Big Tech помочь обойти "онлайн-цензуру" в 🇷🇺России и 🇮🇷Иране
Белый дом созвал встречу с представителями Amazon, Alphabet's (Google), Microsoft и Cloudflare, чтобы попросить👹 американских технологических гигантов предоставить "больше цифровой пропускной способности для финансируемых правительством инструментов обхода интернет-цензуры".
- утверждает президент организации Лора Каннингем OTF, чей сайт пёстро раскрашен в голубой и желтый.
↘️ Примечательно, что рост финансирования в продвижение VPN со стороны 🇺🇸США через Open Technology Fund увеличился с 5 млн до 30 млн с 2022 по 2024 (эксклюзивные данные Reuters). Вероятно увеличение финансирования продолжится.
OTF является своего рода инструментом властей США для популяризации VPN-технологий в якобы "тоталитарных странах" для "борьбы с цензурой" под лозунгом заботы.
На деле получается интересная картина, как в том фильме - "это теперь наша🐄 корова и мы ее 🇺🇸 доим". Не трудно догадаться, что под видом "обхода цензуры" будут применяться собственные технологии 🚠 слежки и мониторинга трафика.
=====
🤔 Не рекомендация и не просьба, но лучше держаться подальше от различного рода непонятных паблик🛡 VPN, особенно бесплатных.
✋ @Russian_OSINT
Белый дом созвал встречу с представителями Amazon, Alphabet's (Google), Microsoft и Cloudflare, чтобы попросить
"За последние несколько лет мы наблюдали взрывной рост спроса на VPN, в основном за счет пользователей из России и Ирана. В течение десяти лет мы регулярно поддерживали около девяти миллионов пользователей VPN ежемесячно, а теперь это число увеличилось более чем в четыре раза"
- утверждает президент организации Лора Каннингем OTF, чей сайт пёстро раскрашен в голубой и желтый.
OTF является своего рода инструментом властей США для популяризации VPN-технологий в якобы "тоталитарных странах" для "борьбы с цензурой" под лозунгом заботы.
На деле получается интересная картина, как в том фильме - "это теперь наша
=====
🤔 Не рекомендация и не просьба, но лучше держаться подальше от различного рода непонятных паблик
Please open Telegram to view this post
VIEW IN TELEGRAM
8
Дуров сообщил, что Telegram удалил функцию 📍 "Люди рядом" из-за ее непопулярности.
Вместо нее будет запущена функция "Бизнес рядом", где будут отображаться проверенные компании. Функцию использовали менее чем 0,1 % пользователей + головная боль с ботами и мошенниками.
👀 https://github.com/tejado/telegram-nearby-map
👀 https://github.com/Alb-310/Geogramint
и другие...
🤖После свежих обнов Telegram снова не показывает количество пользователей в ботах.
✋ @Russian_OSINT
Вместо нее будет запущена функция "Бизнес рядом", где будут отображаться проверенные компании. Функцию использовали менее чем 0,1 % пользователей + головная боль с ботами и мошенниками.
🤖После свежих обнов Telegram снова не показывает количество пользователей в ботах.
Please open Telegram to view this post
VIEW IN TELEGRAM
3
Работать он будет по той же схеме, которая реализована для реестра ОРИ - https://97-fz.rkn.gov.ru/organizer-dissemination/viewregistry/.
https://news.1rj.ru/str/webstrangler/3683
Please open Telegram to view this post
VIEW IN TELEGRAM
6
🙂Сказ о том, как подписчики из 🇧🇩 Бангладеша полюбили российский ИБ
Поведаю о забавном случае. С апреля 2024 периодически наблюдался 🆙аномальный прирост просмотров англоязычной аудитории на канале. За последние годы всегда была разная динамика в зависимости от хайповости новостей, даже в рассылку разных буржуйских ИБ-департаментов залетал канал, но в тот удивительный месяц произошло действительно что-то странное.
♋️ В ЧС по самым скромным подсчетам улетело за неделю более 4000 человек из стран Азии, Африки, Австралии и Северной Америки. Огромное количество людей попыталось подписаться из Бангладеша. Десятки новоиспеченных любителей российского ИБ писали на 🐯 бенгальском по 3-5 сообщений в 4 ночи с целью добиться сиюминутного внимания и получить ответ на такие насущные вопросы, как - "I am coming to you from Bangladesh want to work as telegram bottom agent. Can you help?" или "How find news russia security shield industry statistic".
🕵️Вооружившись переводчиком и знанием английского, пришлось пообщаться с новоиспеченными, чтобы выяснить кто это ваш "telegram bottom agent" и с чем его едят.
Оказывается💻 Cybersecurity Department некого приложения Reddy сделал рассылку среди подписчиков, куда каким-то 🤷♂️макаром залетел мой пост - https://news.1rj.ru/str/Russian_OSINT/3997 про Telegram RCE.
🧟♂️ После чего хлынул поток людей из самых разных стран со сказочными просьбами - обеспечить персональную киберзащиту, здесь и сейчас помочь настроить 2FA, взломать социальную сеть девушки, стать агентом [неизвестно чего], примкнуть к ставочникам, помочь заработать на арбитраже, где найти статистику о состоянии российского ИБ и так далее...
Настроил фильтры, постепенно все сошло на нет. Но понять что произошло захотелось.
💡 Наконец-то сегодня получил ответ от Reddy с прояснением ситуации:
✋ Буду скучать по ночным дифирамбам на бенгальском.
✋ @Russian_OSINT
Поведаю о забавном случае. С апреля 2024 периодически наблюдался 🆙аномальный прирост просмотров англоязычной аудитории на канале. За последние годы всегда была разная динамика в зависимости от хайповости новостей, даже в рассылку разных буржуйских ИБ-департаментов залетал канал, но в тот удивительный месяц произошло действительно что-то странное.
🕵️Вооружившись переводчиком и знанием английского, пришлось пообщаться с новоиспеченными, чтобы выяснить кто это ваш "telegram bottom agent" и с чем его едят.
Оказывается
Настроил фильтры, постепенно все сошло на нет. Но понять что произошло захотелось.
Good day.
This case does not directly relate to the Reddy application and reddy support team, but we have some information about it:
The partner company's security service sent out a mailing in which they recommended protecting their users' accounts with two-factor protection. Somehow, your bot's contact got into this mailing.
Reddy support cannot influence this situation in any way, but we have information that the partner company informed all its users that they should no longer write to you. There is no guarantee that all users received this notification, so you may still receive messages from users for some time.
Please open Telegram to view this post
VIEW IN TELEGRAM
4
В идеале лучше всего установить на
Please open Telegram to view this post
VIEW IN TELEGRAM
8
Сегодня ряд каналов по SMM тематике написали, что Google перестал регистрировать аккаунты с использованием российских номеров.
📱Попробовал только что зарегиться на одном из своих телефонов с +7********* - действительно вылетает "Этот номер нельзя использовать для подтверждения". Причем это не виртуальный, а самый обычный на ФИО. 🤔Однако.
Please open Telegram to view this post
VIEW IN TELEGRAM
monerobull: Chainalysis пытается удалить это видео из интернета после того, как сообщество Monero заметило его и попыталось понять какие трюки они используют [Chainalysis] (Подсказка: использование собственной ноды + FCMP ломают 100% их возможности для отслеживания).
Juha Kallio: Не могли бы вы объяснить непосвященным, что такое FCMP?
monerobull: Сейчас при отправке монет вы по сути говорите: «Эти 16 человек могли бы совершить эту транзакцию». С FCMP вы говорите: «Это 100 000 000 человек могли бы совершить эту транзакцию».
monerobull: Речь идёт про людей, использующих gui wallet [monero] в простом режиме, нода moneroworld, очевидно, также была скомпрометирована некоторое время назад ~4 года. Это могла быть DNS-атака или moneroworld случайно указал на взломанные узлы.
monerobull: Известно, что использование собственного узла/доверенного узла намного безопаснее, но теперь у нас есть доказательства того, что Chainanalysis использует
MoneyMagician: Увеличьте белый квадрат. Похоже что
https://rutube.ru/video/da5077525b77ba983993fa29eb9d9589/
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❌ Популярный конструктор сайтов Wix прекращает оказывать услуги резидентам в России
Базирующийся в 🇮🇱Тель-Авив стартап Wix[.]com принял решение не оказывать услуги резидентам РФ:
- сообщила компания.
В соответствии с новыми правилами Wix ограничат доступ к своим сервисам для жителей России с 12 сентября 2024 года, и заблокируют аккаунты.
Wix cоветует перенести свой домен к другому регистратору доменов или на другой хостинг.
🛡 @Russian_OSINT
Базирующийся в 🇮🇱Тель-Авив стартап Wix[.]com принял решение не оказывать услуги резидентам РФ:
В связи с новыми правилами Wix больше не сможет оказывать услуги резидентам России. Это изменение вступает в силу 12 сентября 2024 года. Ниже вы найдете актуальную информацию, а также какие действия вам необходимо предпринять, если это изменение коснется вас.
- сообщила компания.
В соответствии с новыми правилами Wix ограничат доступ к своим сервисам для жителей России с 12 сентября 2024 года, и заблокируют аккаунты.
Могу ли я использовать Wix, если у меня бесплатный аккаунт?
Нет, в связи с новыми правилами мы обязаны заблокировать и ограничить доступ ко всем аккаунтам Wix, как бесплатным, так и премиум-аккаунтам.
Будет ли мой сайт доступен к просмотру онлайн после блокировки моего аккаунта Wix?
Нет. После блокировки аккаунта Wix все сайты, принадлежащие владельцу аккаунта, будут сняты с публикации. Это применимо как к бесплатным, так и к премиум-аккаунтам.
Wix cоветует перенести свой домен к другому регистратору доменов или на другой хостинг.
Please open Telegram to view this post
VIEW IN TELEGRAM
🛰 Обучение ИИ на солнечной энергии и ЦОДы в космосе?
Случайно в новостной ленте на глаза попался PDF - "Why we should train 🤖 AI in space". Любопытные факты приводятся в исследовании.
👨🔬Ученые-исследователи убеждены в том, что необходимо перенести обучение ИИ в космос, так как:
1️⃣ Перенос вычислительных мощностей в космос позволит существенно сократить операционные расходы за счет использования солнечной энергии (фактор мощности > 95% против 24% у наземных солнечных ферм). В космосе также отпадает необходимость в сложных системах охлаждения — пассивное излучение тепла в глубокий космос (-270°C) является естественным и энергоэффективным методом охлаждения.
2️⃣ В документе приводится расчет, согласно которому эксплуатация 40-мегаваттного космического ЦОД на протяжении 10 лет обойдется в $8,2 млн, в то время как наземный центр — в $167 млн.
3️⃣ В отличие от наземных ЦОД, которые сталкиваются с физическими и правовыми ограничениями при увеличении мощности до гигантских масштабов (до 1 ГВт и выше), космические центры могут быть масштабированы почти бесконечно. Например, для обучения будущих версий GPT-6 или Llama 5 потребуются вычислительные мощности до 5 ГВт, что превысит мощности крупнейших электростанций на Земле.
4️⃣ Основные вызовы для реализации космических ЦОД связаны с радиационной защитой и поддержанием систем охлаждения на протяжении длительного времени. Тем не менее, по мнению авторов, эти задачи решаемы благодаря прогрессу в разработке новых материалов и технологий.
5️⃣ Благодаря развитию тяжелых ракет-носителей, таких как Starship, стоимость запусков значительно снизилась. Теперь запуск одного ЦОД мощностью 40 МВт в космос обойдется в $5 млн, что делает такие проекты экономически оправданными.
👆🤔Сложно судить о достоверности подсчётов. Здесь лучше к профильным экспертам. Но сама концепция ИИ в космосе звучит забавно.
🛡 @Russian_OSINT
Случайно в новостной ленте на глаза попался PDF - "Why we should train 🤖 AI in space". Любопытные факты приводятся в исследовании.
👨🔬Ученые-исследователи убеждены в том, что необходимо перенести обучение ИИ в космос, так как:
1️⃣ Перенос вычислительных мощностей в космос позволит существенно сократить операционные расходы за счет использования солнечной энергии (фактор мощности > 95% против 24% у наземных солнечных ферм). В космосе также отпадает необходимость в сложных системах охлаждения — пассивное излучение тепла в глубокий космос (-270°C) является естественным и энергоэффективным методом охлаждения.
2️⃣ В документе приводится расчет, согласно которому эксплуатация 40-мегаваттного космического ЦОД на протяжении 10 лет обойдется в $8,2 млн, в то время как наземный центр — в $167 млн.
3️⃣ В отличие от наземных ЦОД, которые сталкиваются с физическими и правовыми ограничениями при увеличении мощности до гигантских масштабов (до 1 ГВт и выше), космические центры могут быть масштабированы почти бесконечно. Например, для обучения будущих версий GPT-6 или Llama 5 потребуются вычислительные мощности до 5 ГВт, что превысит мощности крупнейших электростанций на Земле.
4️⃣ Основные вызовы для реализации космических ЦОД связаны с радиационной защитой и поддержанием систем охлаждения на протяжении длительного времени. Тем не менее, по мнению авторов, эти задачи решаемы благодаря прогрессу в разработке новых материалов и технологий.
5️⃣ Благодаря развитию тяжелых ракет-носителей, таких как Starship, стоимость запусков значительно снизилась. Теперь запуск одного ЦОД мощностью 40 МВт в космос обойдется в $5 млн, что делает такие проекты экономически оправданными.
👆🤔Сложно судить о достоверности подсчётов. Здесь лучше к профильным экспертам. Но сама концепция ИИ в космосе звучит забавно.
Please open Telegram to view this post
VIEW IN TELEGRAM
2
🇦🇺Meta* без согласия австралийцев собирала данные для обучения ИИ с 2007 года
Компания Meta* замечена в том, что собирала публичные данные австралийцев, не предоставляя возможности выбора отказаться от сбора данных. Техногигант регулярно🧹 пылесосил публичные фотографии, сообщения и другие данные австралийских пользователей на своих платформах для обучения ИИ-моделей.
Об этом стало известно на заседании парламентского комитета. Директор по глобальной политике конфиденциальности Meta* Мелинда Клейбо официально подтвердила, что с 2007 года все фотографии и все тексты каждого публичного поста австралийцев на платформах Instagram* и Facebook* были использованы для обучения ИИ.
По логике корпорации: если пользователь не перевел свои посты в режим 🔐"приватности", то компания имеет право собирать всё что угодно.
*Деятельность Meta (соцсети Facebook, Instagram, Threads) запрещена в России как 🏴☠️ экстремистская.
🛡 @Russian_OSINT
Компания Meta* замечена в том, что собирала публичные данные австралийцев, не предоставляя возможности выбора отказаться от сбора данных. Техногигант регулярно
Об этом стало известно на заседании парламентского комитета. Директор по глобальной политике конфиденциальности Meta* Мелинда Клейбо официально подтвердила, что с 2007 года все фотографии и все тексты каждого публичного поста австралийцев на платформах Instagram* и Facebook* были использованы для обучения ИИ.
В ЕС и США пользователи получили право на отказ от использования их данных для обучения ИИ, что связано с действующими там строгими законами о конфиденциальности. В Австралии подобная опция не предусмотрена, так как местные законы этого не требуют.
По логике корпорации: если пользователь не перевел свои посты в режим 🔐"приватности", то компания имеет право собирать всё что угодно.
*Деятельность Meta (соцсети Facebook, Instagram, Threads) запрещена в России как 🏴☠️ экстремистская.
Please open Telegram to view this post
VIEW IN TELEGRAM
«Почта России» сообщила TAdviser о запуске масштабного проекта в области импортозамещения программного обеспечения. Компания рассчитывает постепенно заменить иностранную операционную систему Microsoft Windows на отечественную ОС «Альт» на 130 000 рабочих мест. Полная реализация импортозамещения, по оценкам «Почты», займёт 3 года.
«У проекта самая широкая географическая распределённость в стране, что делает его уникальным по сложности и инновационности. Это амбициозная и значимая инициатива, которая не только способствует снижению зависимости от зарубежных технологий, но и поддерживает развитие отечественного ПО»
— заявил генеральный директор «Почты России» Михаил Волков.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Исследователи из Лаборатории Касперского продолжают кучно бомбить все новыми исследованиями, сообщая об обнаружении ранее неизвестного бэкдора Loki, который использовался в серии целевых атак в июле.
Проанализировав вредоносный файл, исследователи смогли определить, что Loki - это, по всей видимости, модифицированная версия агента Mythic Agent, фреймворка Red Team с открытым исходным кодом.
Обнаруженный ЛК агент Loki - это совместимая с Mythic версия агента для другого фреймворка, Havoc.
Модификация Loki унаследовала различные методы от Havoc для усложнения анализа агента, такие как шифрование его образа памяти, косвенный вызов функций API системы, поиск функций API по хэшам и многое другое.
Однако, в отличие от агента для Havoc, Loki был разделен на загрузчик и DLL, где реализована основная функциональность вредоносного ПО.
Обе версии агента используют алгоритм хеширования djb2 для сокрытия функций и команд API с небольшими различиями.
После выполнения загрузчик Loki формирует пакет с информацией о зараженной системе (версия ОС, внутренний IP, имя пользователя, архитектура процессора, путь к текущему процессу и его идентификатор) и отправляет его в зашифрованном виде на С2 https://y[.]nsitelecom[.]ru/certcenter.
В ответ сервер отправляет DLL, которую загрузчик помещает в память зараженного устройства - обработка команд и дальнейшее общение с сервером С2 происходит внутри этой библиотеки.
Замеченные версии используют одинаковые алгоритмы шифрования данных: сначала собранная информация шифруется алгоритмом AES, затем кодируется с помощью base64.
Каждый экземпляр вредоносного ПО имеет уникальный UUID.
В результате первого запроса к C2 возвращается полезная нагрузка в виде DLL с двумя экспортированными функциями: стандартной точкой входа DllMain и функцией Start, которую загрузчик вызывает для передачи дальнейшего управления библиотеке.
Проведя детальный анализ, исследователям удалось обнаружить около 15 версий загрузчика и два активных C2, и в конечном итоге получить образец основного модуля из майской версии.
Основной модуль, как и загрузчик, основан на версии агента Havoc, но список поддерживаемых команд частично заимствован из других агентов Mythic.
Он не хранится в виде простого текста в DLL, вместо этого в коде библиотеки указывается ряд хэшей. Когда с сервера поступает команда, ее имя хэшируется и сравнивается с хэшем, хранящимся в DLL.
Сам агент не поддерживает туннелирование трафика, поэтому для доступа к частным сегментам сети злоумышленники используют сторонние общедоступные утилиты: ngrok и gTunnel.
Как отмечают в ЛК, с этой угрозой уже столкнулись более десятка российских компаний из разных отраслей, включая машиностроение и здравоохранение, однако число потенциальных жертв может быть больше.
В виду недостаточности данных отнести Loki к какой-либо группе не удалось, индикаторы компрометации - в отчете.
Проанализировав вредоносный файл, исследователи смогли определить, что Loki - это, по всей видимости, модифицированная версия агента Mythic Agent, фреймворка Red Team с открытым исходным кодом.
Обнаруженный ЛК агент Loki - это совместимая с Mythic версия агента для другого фреймворка, Havoc.
Модификация Loki унаследовала различные методы от Havoc для усложнения анализа агента, такие как шифрование его образа памяти, косвенный вызов функций API системы, поиск функций API по хэшам и многое другое.
Однако, в отличие от агента для Havoc, Loki был разделен на загрузчик и DLL, где реализована основная функциональность вредоносного ПО.
Обе версии агента используют алгоритм хеширования djb2 для сокрытия функций и команд API с небольшими различиями.
После выполнения загрузчик Loki формирует пакет с информацией о зараженной системе (версия ОС, внутренний IP, имя пользователя, архитектура процессора, путь к текущему процессу и его идентификатор) и отправляет его в зашифрованном виде на С2 https://y[.]nsitelecom[.]ru/certcenter.
В ответ сервер отправляет DLL, которую загрузчик помещает в память зараженного устройства - обработка команд и дальнейшее общение с сервером С2 происходит внутри этой библиотеки.
Замеченные версии используют одинаковые алгоритмы шифрования данных: сначала собранная информация шифруется алгоритмом AES, затем кодируется с помощью base64.
Каждый экземпляр вредоносного ПО имеет уникальный UUID.
В результате первого запроса к C2 возвращается полезная нагрузка в виде DLL с двумя экспортированными функциями: стандартной точкой входа DllMain и функцией Start, которую загрузчик вызывает для передачи дальнейшего управления библиотеке.
Проведя детальный анализ, исследователям удалось обнаружить около 15 версий загрузчика и два активных C2, и в конечном итоге получить образец основного модуля из майской версии.
Основной модуль, как и загрузчик, основан на версии агента Havoc, но список поддерживаемых команд частично заимствован из других агентов Mythic.
Он не хранится в виде простого текста в DLL, вместо этого в коде библиотеки указывается ряд хэшей. Когда с сервера поступает команда, ее имя хэшируется и сравнивается с хэшем, хранящимся в DLL.
Сам агент не поддерживает туннелирование трафика, поэтому для доступа к частным сегментам сети злоумышленники используют сторонние общедоступные утилиты: ngrok и gTunnel.
Как отмечают в ЛК, с этой угрозой уже столкнулись более десятка российских компаний из разных отраслей, включая машиностроение и здравоохранение, однако число потенциальных жертв может быть больше.
В виду недостаточности данных отнести Loki к какой-либо группе не удалось, индикаторы компрометации - в отчете.
Securelist
A new version of the Loki backdoor for the Mythic framework attacks Russian companies
Kaspersky experts have discovered a new version of the Loki agent for the open-source Mythic framework, which uses DLLs to attack Russian companies.
https://whatsapp.checkleaked.cc
Please open Telegram to view this post
VIEW IN TELEGRAM
2