#news Группировка TA505 вернулась и принесла с собой новую RAT-малварь, получившую название FlawedGrace.
TA505 известна бурной деятельностью — они постоянно клепают новую малварь и нередко задают моду. Это те же ребята, что распространяли банковские трояны Dridex и Trick, а также шифровальщики Locky и Jaff. Распространяют всегда очень массово: например, в свежих кампаниях в конце сентября-начале октября фишинговые письма с малварью шли десятками и сотнями тысяч за волну.
Занятная свежая фишка — новые загрузчики, которые написаны на экзотических Rebol и KiXtart.
@tomhunter
TA505 известна бурной деятельностью — они постоянно клепают новую малварь и нередко задают моду. Это те же ребята, что распространяли банковские трояны Dridex и Trick, а также шифровальщики Locky и Jaff. Распространяют всегда очень массово: например, в свежих кампаниях в конце сентября-начале октября фишинговые письма с малварью шли десятками и сотнями тысяч за волну.
Занятная свежая фишка — новые загрузчики, которые написаны на экзотических Rebol и KiXtart.
@tomhunter
#news В Squirrel Engine нашли уязвимость, которая позволяет злоумышленнику выбраться из песочницы SquirrelVM и выполнять произвольный код. Уязвимость закрыли, но стабильного релиза с этим фиксом пока нет.
Squirrel — скриптовый язык, который использует куча игр. Хакер может, например, залить в стимовский воркшоп карту с вредоносным скриптом на Squirrel. Как только владелец частного сервера её установит и запустит игру с ней, зловред сбежит из виртуалки и захватит машину, которая хостит сервер.
@tomhunter
Squirrel — скриптовый язык, который использует куча игр. Хакер может, например, залить в стимовский воркшоп карту с вредоносным скриптом на Squirrel. Как только владелец частного сервера её установит и запустит игру с ней, зловред сбежит из виртуалки и захватит машину, которая хостит сервер.
@tomhunter
#news #decoder Выпущен бесплатный дешифратор вымогателя BlackByte, позволяющий жертвам восстанавливать свои файлы. Дешифратор не остались незамеченным для BlackByte, которые предупредили, что использование дешифратора с неправильным ключом может повредить файлы жертвы. Тем не менее, если вы являетесь жертвой BlackByte и хотите использовать предлагаемый дешифратор, вам нужно будет загрузить исходный код с Github и скомпилировать его самостоятельно.
@tomhunter
@tomhunter
#news Всего за неделю компания Acer подверглась второй кибератаке со стороны хакерской группы «Desorden». Ранее было взломано подразделение Acer Индия, а теперь добрались и до Acer Тайвань. Acer Taiwan отключила уязвимый сервер вскоре после того, как злоумышленники сообщили компании о взломе. Однако хакерская группа заявляет, что другие серверы в Малайзии и Индонезии по-прежнему уязвимы.
@tomhunter
@tomhunter
Хелло... Мы ищем таланты. Если ты молод, энергичен, любишь учиться и хотел бы развиваться в сфере ИБ, то тебе к нам! Пентесты, расследования... будет интересно.
https://spb.hh.ru/employer/4035239
@tomhunter
https://spb.hh.ru/employer/4035239
@tomhunter
#news Google заявляет, что создатели YouTube-каналов все чаще становятся жертвами фишинговых атак с использованием вредоносных программ для кражи паролей и файлов cookie. Вредоносные программы, обнаруженные в атаках, включают такие массовые штаммы, как RedLine, Vidar, Predator The Thief, Nexus stealer, Azorult, Raccoon, Grand Stealer, Vikro Stealer, Masad и Kantal, а также программы с открытым исходным кодом, такие как Sorano и AdamantiumThief. Данное вредоносное ПО используется для кражи учетных данных и файлов cookie браузера, что позволяет злоумышленникам захватывать авторизационные сессии пользователей. Google выявил не менее 1011 доменов, связанных с этими атаками, и примерно 15 000 учетных записей участников, специально созданных для этой кампании.
@tomhunter
@tomhunter
#news янки разработали новую атаку с захватом фингерпринтов и спуфингом в браузере, которая назвали Gummy Browsers. Фингерпринты (т.е. совокупность данных об устройстве и соединении пользователя) представляют собой достаточно ценную историю, хорошо используемую взломов. Атака Gummy Browsers - это процесс получения фингерпринтов у пользователя при посещении веб-сайта, контролируемого злоумышленником, с последующим использованием полученного фингерпринта для взлома веб-сервисов.
@tomhunter
@tomhunter
Угроза очередного глобального локдауна подстегивает злоумышленников к решительным действиям. В период с 18 по 19 октября в зоне .RU было зарегистрировано 30 доменных имен, схожих со словом «госуслуги». Настолько массовой регистрации подобных доменов мы не встречали с весны.
Подобные домены могут быть использованы как для фишинга в отношении пользователей портала, так и для схем, связанных с продажей сертификатов о вакцинации, о чем красноречиво говорят слова covid в ряде доменов.
С учетом складывающейся ситуации можно ожидать дальнейшего роста числа доменов и фишинговых сайтов, эксплуатирующих данную тематику.
Ознакомиться со списком выявленных доменов можно по ссылке: https://pastebin.com/WRC7Cr9S.
Подобные домены могут быть использованы как для фишинга в отношении пользователей портала, так и для схем, связанных с продажей сертификатов о вакцинации, о чем красноречиво говорят слова covid в ряде доменов.
С учетом складывающейся ситуации можно ожидать дальнейшего роста числа доменов и фишинговых сайтов, эксплуатирующих данную тематику.
Ознакомиться со списком выявленных доменов можно по ссылке: https://pastebin.com/WRC7Cr9S.
Pastebin
gosusliga.rudl1-gosuslugi.rugosuslugi-api.rugosuslugicovidnet.rugosuslug - Pastebin.com
Pastebin.com is the number one paste tool since 2002. Pastebin is a website where you can store text online for a set period of time.
#news Из-за ошибки в настройке ElasticSearch (просто доступ к логам не прикрыли, неловко) китайский ВПН-сервис Quickfox де-факто слил данные миллиона с лишним пользователей. Там и имена, и телефонные номера, и информация о прочем установленном на устройстве софте, и иже с ними. В том числе есть настоящие IP пользователей и IP, которые каждому выдал сервис.
Данные, что характерно, даже не зашифрованы. В основном пользователи из США, Японии, Индонезии и Казахстана.
Quickfox — это ВПН, позволяющий открывать за пределами Китая некоторые китайские сайты, доступные только на территории страны.
@tomhunter
Данные, что характерно, даже не зашифрованы. В основном пользователи из США, Японии, Индонезии и Казахстана.
Quickfox — это ВПН, позволяющий открывать за пределами Китая некоторые китайские сайты, доступные только на территории страны.
@tomhunter
#news Количество распределенных атак типа «отказ в обслуживании» (DDoS) на российские компании в текущем году увеличилось в 2,5 раза по сравнению с тем же периодом 2020 года. DDoS-атаки обычно используются для вымогательства жертв с требованием выкупа или для отвлечения ИТ-специалистов, пока хакеры пытаются украсть ценные данные из скомпрометированных систем. Сентябрь 2021 года был записан как худший период для России в новейшей истории DDoS-атак. В сентябре злоумышленники запустили 90% всех DDoS-атак 2021 года.
@tomhunter
@tomhunter
#news Бюро промышленности и безопасности (BIS) Министерства торговли сегодня объявило о новых средствах контроля, которые запретят компаниям США экспортировать и перепродавать программное обеспечение и аппаратные средства, которые могут использоваться для нарушения прав человека. Правила вступят в силу через 90 дней, поэтому ряду правительств нужно или быстро закупиться или задумываться о собственных разработках.
@tomhunter
@tomhunter
#news В npm нашли вредоносные пакеты, втихую майнящие крипту.
Речь об okhsa, klow и klown, опубликованных одним и тем же разработчиком. Пакеты якобы предназначены для того, чтобы вытягивать из HTTP-заголовка информацию о железе пользователя. Правда, автор забыл упомянуть, что заботливо спрятал в них ещё и криптомайнящий код. Автор заблокирован, а библиотеки удалены, но осадочек остался.
Случай, конечно же, далеко не первый и совсем не уникальный. В августе, например, я писал про удаление 8 зловредных библиотек к PyPI. До этого в RubyGems находили пакет, ворующий крипту, а в том же npm — стилер паролей.
@tomhunter
Речь об okhsa, klow и klown, опубликованных одним и тем же разработчиком. Пакеты якобы предназначены для того, чтобы вытягивать из HTTP-заголовка информацию о железе пользователя. Правда, автор забыл упомянуть, что заботливо спрятал в них ещё и криптомайнящий код. Автор заблокирован, а библиотеки удалены, но осадочек остался.
Случай, конечно же, далеко не первый и совсем не уникальный. В августе, например, я писал про удаление 8 зловредных библиотек к PyPI. До этого в RubyGems находили пакет, ворующий крипту, а в том же npm — стилер паролей.
@tomhunter
#news Основатели Bulletproof-хостинга ждут приговора в американском суде. Им грозит максимальное наказание в виде 20 лет тюрьмы. Хостинг использовался для распространения вредоносного ПО (Zeus, SpyEye, Citadel и Blackhole Exploit Kit), которые атаковали американские компании и финансовые учреждения в период с 2009 по 2015 год.
@tomhunter
@tomhunter
#news В настоящее время хакерские группы оптимизируют свою членскую структуру и предоставляют каждому человеку определенные функциональные роли. Одно из самых ярких различий, которое мы видим сегодня, по сравнению с практикой киберпреступности пятилетней давности заключается в том, что крупные банки больше не являются основными объектами атак. Вместо этого хакеры активно атакуют коммерческие организации с помощью программ-вымогателей.
@tomhunter
@tomhunter
#news В начале недели я писал о том, что REvil вынужденно свернулись, потому что кто-то хакнул серверы.
Было очевидно, что с этим почти наверняка связаны правоохранительные органы, у которых REvil давно в печенках сидит. Теперь догадка официально подтвердилась: за взломом стоят ФБР, Кибернетическое командование, Секретная служба США и спецслужбы ещё нескольких стран.
Напомню, что представитель группировки, известный как 0_neday, пожелал всем удачи, откланялся и исчез. Похоже, ему не очень понравилось, что на взломанном сервере специально для него оставили несколько ловушек — увы, их он вовремя заметил.
@tomhunter
Было очевидно, что с этим почти наверняка связаны правоохранительные органы, у которых REvil давно в печенках сидит. Теперь догадка официально подтвердилась: за взломом стоят ФБР, Кибернетическое командование, Секретная служба США и спецслужбы ещё нескольких стран.
Напомню, что представитель группировки, известный как 0_neday, пожелал всем удачи, откланялся и исчез. Похоже, ему не очень понравилось, что на взломанном сервере специально для него оставили несколько ловушек — увы, их он вовремя заметил.
@tomhunter
#news #covid Пишу свой блог на Хабре. Снова ограничения, связанные с распространением COVID-19... Злоумышленники ринулись предлагать фейковые ПЦР-тесты. Как это работает? Во-первых, им потребовалось большое количество доменных имен, использующих определенные термины (госуслуги, ковид, вакцина, пцр, названия лабораторий) или близких к ним. Это нужно для выкладывания онлайн готового теста, на который проверяющий смог бы перейти, считав QR-код. Во-вторых, им потребовался сервис, который позволяет генерировать фейковую справку на бланках ведущих лабораторий, а также отправлять ее на почту, указанную клиентом при регистрации. Вот и вся нехитрая инфраструктура...
Ответственность за продажу и использование поддельных тестов предусмотрена ст. 327 УК РФ. Про беспринципность покупателей таких тестов и их отношение к окружающим не хочется и говорить. А число их растет - загляните в WordStat. Заодно убедитесь, что Яндекс не против наварить деньжат на такой рекламе. От 76.70 руб. за запрос по Москве.
@tomhunter
Ответственность за продажу и использование поддельных тестов предусмотрена ст. 327 УК РФ. Про беспринципность покупателей таких тестов и их отношение к окружающим не хочется и говорить. А число их растет - загляните в WordStat. Заодно убедитесь, что Яндекс не против наварить деньжат на такой рекламе. От 76.70 руб. за запрос по Москве.
@tomhunter
#news Check Point опубликовали большое исследование о безопасности инфраструктуры Discord. Из него можно сделать два вывода: плохой и ещё хуже.
Во-первых, бот-инфраструктура Дискорда крайне уязвима для распространения малвари — вредоносные файлы потенциально может начать рассылать любой бот. Во-вторых, это практически невозможно исправить.
Исследователи нашли несколько гитхаб-репозиториев со зловредными ботами. Они могут, например, делать скриншоты и забирать фото с веб-камеры, скачивать на устройство дополнительные файлы, вписывать бэкдоры в дискордовский index.js, логировать данные с клавиатуры, воровать сохранённые пароли из браузеров и так далее. Проще сказать, чего они не могут, в общем. Всё это делается штатными средствами дискордовского API.
Бонус: файлы при загрузке никак не проверяются, достаточно просто сделать малварь легче 8 МБ.
@tomhunter
Во-первых, бот-инфраструктура Дискорда крайне уязвима для распространения малвари — вредоносные файлы потенциально может начать рассылать любой бот. Во-вторых, это практически невозможно исправить.
Исследователи нашли несколько гитхаб-репозиториев со зловредными ботами. Они могут, например, делать скриншоты и забирать фото с веб-камеры, скачивать на устройство дополнительные файлы, вписывать бэкдоры в дискордовский index.js, логировать данные с клавиатуры, воровать сохранённые пароли из браузеров и так далее. Проще сказать, чего они не могут, в общем. Всё это делается штатными средствами дискордовского API.
Бонус: файлы при загрузке никак не проверяются, достаточно просто сделать малварь легче 8 МБ.
@tomhunter
This media is not supported in your browser
VIEW IN TELEGRAM
#news Биткойны на сумму почти в 7 млн. $ в криптовалютном кошельке, контролируемом операторами вымогателя DarkSide, начали движение. Время начала движения совпадает с уничтожением инфраструктуры вымогателя REvil в результате международной операции правоохранительных органов.
Сейчас биткоины DarkSide проходят через разные кошельки. При этом общая сумма их сократилась с 107,8 BTC до 38,1 BTC. Такое перемещение средств является типичным методом отмывания денег, который затрудняет отслеживание и помогает киберпреступникам конвертировать криптовалюту в фиат. Небольшие суммы денег уже были переведены на известные криптобиржи.
Кстати! Исследовать транзакции DarkSide вы можете самостоятельно, используя мою подборку инструментов.
@tomhunter
Сейчас биткоины DarkSide проходят через разные кошельки. При этом общая сумма их сократилась с 107,8 BTC до 38,1 BTC. Такое перемещение средств является типичным методом отмывания денег, который затрудняет отслеживание и помогает киберпреступникам конвертировать криптовалюту в фиат. Небольшие суммы денег уже были переведены на известные криптобиржи.
Кстати! Исследовать транзакции DarkSide вы можете самостоятельно, используя мою подборку инструментов.
@tomhunter
#news Evil Corp запустила новую программу-вымогатель под названием Macaw Locker, чтобы обойти санкции США, которые не позволяют жертвам выплачивать выкуп. Программа-вымогатель Macaw Locker шифрует файлы жертв и добавляет расширение .macaw к имени файла при проведении атак. При шифровании файлов программа-вымогатель также создает заметки о выкупе в каждой папке с именем macaw_recover.txt. Для каждой атаки записка с требованием выкупа содержит уникальную страницу переговоров жертвы на сайте Tor в Macaw Locker и связанный с ней идентификатор дешифрования или идентификатор кампании. Теперь, когда Macaw Locker был разоблачен как вариант Evil Corp, мы, вероятно, увидим, как злоумышленники снова ребрендируют свои программы-вымогатели.
@tomhunter
@tomhunter
#news Ещё немного про свежие руткиты. Исследователи заметили, что у руткита FiveSys есть цифровая подпись Microsoft, позволяющая ему незаметно проникать в Windows-системы. Он активен уже больше года и целится в китайских геймеров, у которых ворует различные данные.
FiveSys через прокси перенаправляет трафик на зловредные домены под управлением хакеров, а также блокирует загрузку драйверов конкурирующей малвари. Ещё в малварь включили список из 300 с хвостиком случайно генерируемых запасных доменов, чтобы усложнить его выпиливание из системы.
Microsoft ранее вводила крайне строгие требования к своей подписи, чтобы помешать хакерам. Кажется, не очень работает: это далеко не первый обошедший ограничения руткит. Сразу вспоминается июньский Netfilter (Microsoft его называл Retliften), с которым FiveSys объединяет интерес к китайским геймерам. Конечно же, подпись у нового руткита уже забрали, но появление следующего, похоже, только вопрос времени.
@tomhunter
FiveSys через прокси перенаправляет трафик на зловредные домены под управлением хакеров, а также блокирует загрузку драйверов конкурирующей малвари. Ещё в малварь включили список из 300 с хвостиком случайно генерируемых запасных доменов, чтобы усложнить его выпиливание из системы.
Microsoft ранее вводила крайне строгие требования к своей подписи, чтобы помешать хакерам. Кажется, не очень работает: это далеко не первый обошедший ограничения руткит. Сразу вспоминается июньский Netfilter (Microsoft его называл Retliften), с которым FiveSys объединяет интерес к китайским геймерам. Конечно же, подпись у нового руткита уже забрали, но появление следующего, похоже, только вопрос времени.
@tomhunter
#news На днях писал о том, что в трёх npm-библиотеках нашли криптомайнеры. Неприятно, конечно, но могло быть хуже: у них там загрузки всего десятками измерялись.
Теперь установщик майнящего крипту зловреда нашёлся в UAParser.js — библиотеке очень популярной, которую за последнюю неделю скачали 8 миллионов раз. Библиотека нужна в том числе для того, чтобы определять систему и браузер пользователя. Очевидно, для хакеров это очень удобная почва для достраивания малвари.
Патч уже есть. Скомпрометированы версии 0.7.29, 0.8.0 и 1.0.0; их нужно как можно сокрее обновить до 0.7.30, 0.8.1 и 1.0.1 соответственно.
А Гитхаб-тред с деталями можно почитать тут.
@tomhunter
Теперь установщик майнящего крипту зловреда нашёлся в UAParser.js — библиотеке очень популярной, которую за последнюю неделю скачали 8 миллионов раз. Библиотека нужна в том числе для того, чтобы определять систему и браузер пользователя. Очевидно, для хакеров это очень удобная почва для достраивания малвари.
Патч уже есть. Скомпрометированы версии 0.7.29, 0.8.0 и 1.0.0; их нужно как можно сокрее обновить до 0.7.30, 0.8.1 и 1.0.1 соответственно.
А Гитхаб-тред с деталями можно почитать тут.
@tomhunter