Вчера Microsoft выпустили октябрьское обновление безопасности для своих продуктов.
Исправлены 87 уязвимостей, из которых 12 - критичные. Среди критичных - ошибки в графических компонентах Windows, Outlook, SharePoint и др., позволяющих хакеру удаленное выполнение кода (RCE).
Наиболее неприятная устраненная уязвимость CVE-2020-16898 - в реализации стека TCP/IP, которая позволяет осуществить RCE направив на целевую машину под управлением Windows специальным образом сформированный пакет IPv6 Router Advertisement.
Как всегда, всем рекомендуем как можно быстрее обновиться, с RCE, сами понимаете, не шутят.
Исправлены 87 уязвимостей, из которых 12 - критичные. Среди критичных - ошибки в графических компонентах Windows, Outlook, SharePoint и др., позволяющих хакеру удаленное выполнение кода (RCE).
Наиболее неприятная устраненная уязвимость CVE-2020-16898 - в реализации стека TCP/IP, которая позволяет осуществить RCE направив на целевую машину под управлением Windows специальным образом сформированный пакет IPv6 Router Advertisement.
Как всегда, всем рекомендуем как можно быстрее обновиться, с RCE, сами понимаете, не шутят.
В начале сентября мы писали про то, что электронная почта Парламента Норвегии была взломана неизвестными хакерами. Злоумышленники скомпрометировали почтовые ящики как депутатов Парламента, так и его сотрудников, откуда затем вытащили различные объемы данных.
Вчера назначали виновных. Угадайте с одного раза кого.
Министр иностранных дел Норвегии заявила, что норвежское правительство считает(!), что за взломом стоит Россия. Генсек НАТО Столтенберг одобряет.
Какие TTPs, вы о чем...
Когда Лавров заявит, что российское правительство считает Британию ответственной за атаку на Яндекс в 2018 году (тем более, что так и есть)?
Вчера назначали виновных. Угадайте с одного раза кого.
Министр иностранных дел Норвегии заявила, что норвежское правительство считает(!), что за взломом стоит Россия. Генсек НАТО Столтенберг одобряет.
Какие TTPs, вы о чем...
Когда Лавров заявит, что российское правительство считает Британию ответственной за атаку на Яндекс в 2018 году (тем более, что так и есть)?
Regjeringen.no
Datainnbruddet i Stortinget
24. august varslet Stortinget om et datainnbrudd i deres e-postsystemer. - Dette er en alvorlig hendelse som rammer vår viktigste demokratiske institusjon. Sikkerhets- og etterretningstjenestene samarbeider tett om den nasjonale håndteringen av hendels...
Microsoft не были бы сами собой, если бы при выкатывании очередного обновления не накосячили. Как обычно, закрыли одну дырку - появилось две новых.
Сегодня мы уже писали про новое обновление безопасности продуктов Microsoft, которое вышло вчера. И в этот раз Microsoft превзошли сами себя, создав не дырку, а дырищу!
Одной из исправленных уязвимостей была CVE-2020-16938, которая заключалась в том, что из-за некорректной обработки ядром Windows объектов в памяти хакер мог получить некую информацию, которую в последующем можно было использовать для компрометации системы. Ошибка важная, но не критичная.
Уязвимость была открыта исследователем Джонасом Л., который впоследствии остался недоволен программой вознаграждения Microsoft, по поводу чего немного поскандалил.
Видимо, оставшись в обиде на мелкомягких, Джонас Л. сразу же после выхода нового апдейта безопасности раскопал, что Microsoft изменили механизм прав доступа к физическим разделам и томам. Да так изменили, что теперь пользователь, не обладающий необходимыми правами, может получить доступ к любым сырым данным на физическом носителе.
Самое опасное, что уязвимость позволяет хакеру получить доступ к NTLM-хэшам паролей, хранящимся в реестре SAM (который по умолчанию не виден даже админу). А уже имея их, запустить любой свой код с правами, например, администратора.
Proof of Concept любой может сделать сам - запускаете 7zip, в адресной строке вводите "\\.\PhysicalDrive0" и - вуаля, вы король физического диска.
Пожалуй, рано мы рекомендовали всем поставить это обновление...
Сегодня мы уже писали про новое обновление безопасности продуктов Microsoft, которое вышло вчера. И в этот раз Microsoft превзошли сами себя, создав не дырку, а дырищу!
Одной из исправленных уязвимостей была CVE-2020-16938, которая заключалась в том, что из-за некорректной обработки ядром Windows объектов в памяти хакер мог получить некую информацию, которую в последующем можно было использовать для компрометации системы. Ошибка важная, но не критичная.
Уязвимость была открыта исследователем Джонасом Л., который впоследствии остался недоволен программой вознаграждения Microsoft, по поводу чего немного поскандалил.
Видимо, оставшись в обиде на мелкомягких, Джонас Л. сразу же после выхода нового апдейта безопасности раскопал, что Microsoft изменили механизм прав доступа к физическим разделам и томам. Да так изменили, что теперь пользователь, не обладающий необходимыми правами, может получить доступ к любым сырым данным на физическом носителе.
Самое опасное, что уязвимость позволяет хакеру получить доступ к NTLM-хэшам паролей, хранящимся в реестре SAM (который по умолчанию не виден даже админу). А уже имея их, запустить любой свой код с правами, например, администратора.
Proof of Concept любой может сделать сам - запускаете 7zip, в адресной строке вводите "\\.\PhysicalDrive0" и - вуаля, вы король физического диска.
Пожалуй, рано мы рекомендовали всем поставить это обновление...
Немецкое НПО Netzpolitik, специализирующееся на защите цифровых прав, сообщило сегодня о том, что по решению немецкой прокуратуры правоохранительные органы провели несколько обысков в Германии и Румынии в офисах компании FinFisher.
FinFisher известна тем, что создает ПО для легального хакинга, производя инструменты для взлома и отслеживания ПК и мобильных устройств и продавая их правоохранительным органам и спецслужбам.
Мы было обрадовались, поскольку к хакерской деятельности со стороны государственных органов (не важно чьих) относимся не особо хорошо, а особо не особо относимся к компаниям, подобным FinFisher, Hacking Team и NSO Group. Но оказалось все не так радужно, в том смысле, что Netzpolitik не против деятельности по продаже инструментов для взлома вообще, а против их продажи "неправильным режимам".
Дело в том, что продукцией FinFisher в 2017 году воспользовались власти Турции. А у турецких властей с немецкими властями не очень. Кроме того, немецкая компания поставила свое ПО в "диктатуры" Эфиопии, Бахрейна и Египта. Поэтому Netzpolitik подало жалобу о нарушении со стороны FinFisher экспортных правил, по результатам рассмотрения которой было возбуждено уголовное дело.
Ну и сами Netzpolitik ребята не простые. Основатель НПО, Маркус Бекедаль, в прошлом - один из основных функционеров движения Зеленая молодежь. Это такое радикальное зеленое движение, которое ратует за всяких трансгендеров, отмену запрета на инцест и пр. Неприятные, в общем, люди.
Так что, похоже, заинтересованные круги немецкого истеблишмента просто решили поставить FinFisher в стойло. Чтобы знали кому бэкдоры продавать.
FinFisher известна тем, что создает ПО для легального хакинга, производя инструменты для взлома и отслеживания ПК и мобильных устройств и продавая их правоохранительным органам и спецслужбам.
Мы было обрадовались, поскольку к хакерской деятельности со стороны государственных органов (не важно чьих) относимся не особо хорошо, а особо не особо относимся к компаниям, подобным FinFisher, Hacking Team и NSO Group. Но оказалось все не так радужно, в том смысле, что Netzpolitik не против деятельности по продаже инструментов для взлома вообще, а против их продажи "неправильным режимам".
Дело в том, что продукцией FinFisher в 2017 году воспользовались власти Турции. А у турецких властей с немецкими властями не очень. Кроме того, немецкая компания поставила свое ПО в "диктатуры" Эфиопии, Бахрейна и Египта. Поэтому Netzpolitik подало жалобу о нарушении со стороны FinFisher экспортных правил, по результатам рассмотрения которой было возбуждено уголовное дело.
Ну и сами Netzpolitik ребята не простые. Основатель НПО, Маркус Бекедаль, в прошлом - один из основных функционеров движения Зеленая молодежь. Это такое радикальное зеленое движение, которое ратует за всяких трансгендеров, отмену запрета на инцест и пр. Неприятные, в общем, люди.
Так что, похоже, заинтересованные круги немецкого истеблишмента просто решили поставить FinFisher в стойло. Чтобы знали кому бэкдоры продавать.
netzpolitik.org
Our Criminal Complaint: German Made State Malware Company FinFisher Raided
The public prosecutor has searched multiple premises of the FinFisher company group in Munich and Romania. They are suspected of having exported state malware without the required authorization. The investigations follow a criminal complaint we filed together…
Инфосек компания Malwarebytes сообщила, что иранская APT Silent Librarian aka Cobalt Dickens в связи с началом учебного года в университетах всего мира организовала очередную фишинговую кампанию, направленную на их сотрудников и студентов.
Цель фишинга - сбор учетных данных, чтобы в дальнейшем получить доступ к внутренним ресурсам и, в конечном счете, украсть интеллектуальную собственность. Старая добрая промышленная разведка.
Всего Malwarebytes вскрыли атаки на несколько десятков университетов из разных стран мира - США, Великобритании, Нидерландов, Австралии, Сингапура и др. Фишинговые сайты, выдаваемые хакерами за легальные точки входа, скрыты за Cloudflare, но исследователям удалось идентифицировать часть вредоносной инфраструктуры, которая оказалась размещена в Иране.
Silent Librarian - это иранская APT, работающая, как считается, на КСИР. Прикрытием группы является вполне легальная компания под названием Mabna Institute. Предположительно хакерская группа активна с 2013 года. Специализация - фишинговые атаки на учебные заведения по всему миру с целью кражи и, в некоторых случаях, последующей перепродажи интеллектуальной собственности.
В марте 2018 года американские власти предъявили обвинения 9 иранским гражданам, имеющим отношение к Mabna Institute, которые, по мнению Департамента юстиции США, были причастны к хакерской деятельности Silent Librarian. Иранцев обвиняли во взломе 320 университетов и 47 коммерческих компаний по всему миру в период с 2013 по 2018 годы. Тем не менее, понятно, что иранцев никто в Иране арестовывать не стал и Silent Librarian свою хакерскую деятельность не прекратили.
Так, уже после предъявления обвинения APT была замечена как минимум в двух фишинговых кампаниях, направленных на университеты, в августе 2018 и июле 2019 годов.
#APT #SilentLibrarian
Цель фишинга - сбор учетных данных, чтобы в дальнейшем получить доступ к внутренним ресурсам и, в конечном счете, украсть интеллектуальную собственность. Старая добрая промышленная разведка.
Всего Malwarebytes вскрыли атаки на несколько десятков университетов из разных стран мира - США, Великобритании, Нидерландов, Австралии, Сингапура и др. Фишинговые сайты, выдаваемые хакерами за легальные точки входа, скрыты за Cloudflare, но исследователям удалось идентифицировать часть вредоносной инфраструктуры, которая оказалась размещена в Иране.
Silent Librarian - это иранская APT, работающая, как считается, на КСИР. Прикрытием группы является вполне легальная компания под названием Mabna Institute. Предположительно хакерская группа активна с 2013 года. Специализация - фишинговые атаки на учебные заведения по всему миру с целью кражи и, в некоторых случаях, последующей перепродажи интеллектуальной собственности.
В марте 2018 года американские власти предъявили обвинения 9 иранским гражданам, имеющим отношение к Mabna Institute, которые, по мнению Департамента юстиции США, были причастны к хакерской деятельности Silent Librarian. Иранцев обвиняли во взломе 320 университетов и 47 коммерческих компаний по всему миру в период с 2013 по 2018 годы. Тем не менее, понятно, что иранцев никто в Иране арестовывать не стал и Silent Librarian свою хакерскую деятельность не прекратили.
Так, уже после предъявления обвинения APT была замечена как минимум в двух фишинговых кампаниях, направленных на университеты, в августе 2018 и июле 2019 годов.
#APT #SilentLibrarian
Malwarebytes
Silent Librarian APT right on schedule for 20/21 academic year | Malwarebytes Labs
As expected, this Iranian APT set up a new campaign to target universities around the world when schools and universities went back.
Как всегда, у BleepnigComputer хороший материал в отношении очередной атаки оператора ransomware.
В этот раз жертвой стала крупнейшая в США сеть книжных магазинов Barnes&Noble, которая кроме 600 офлайн магазинов управляет еще и одной из самых больших электронных площадок по продаже книг Nook Digital.
Начиная с 10 октября пользователи Nook стали сообщать о перебоях в работе сервиса, когда они не могли получить доступ к своей библиотеке. Barnes&Noble в этот момент сообщали, что у них случился "технический сбой" и они работают над его исправлением.
Но вчера вечером представители торговой сети направили своим клиентам уведомление о том, что ресурсы Barnes&Noble были атакованы, в результате чего хакеры получили доступ к некоторым корпоративным системам и личные данные их покупателей могли быть украдены.
Также в одном из сообщений для прессы Barnes&Noble указали, что они задействовали свою систему резервного копирования - верный признак атаки ransomware.
Похоже, что книготорговцы рассчитывали на свои бэкапы, а когда оказалось, что вымогатели таки смогли утащить чувствительную информацию и грозят ее опубликовать, то вместо выплаты выкупа решили уведомить клиентов, чтобы они не сильно огорчались.
Классический "PR с человеческим лицом" по заветам господина ПэЖэ из известного банка, которому недавно сделали циркумцизию (отрезали конец).
Ну и в качестве завершающего штриха - по данным инфосек команды Bad Packets сеть Barnes&Noble имела несколько непропатченных серверов Pulse VPN, уязвимых перед CVE-2019-11510. Которая, как известно, была исправлена еще в январе 2020 года.
Nuff said.
В этот раз жертвой стала крупнейшая в США сеть книжных магазинов Barnes&Noble, которая кроме 600 офлайн магазинов управляет еще и одной из самых больших электронных площадок по продаже книг Nook Digital.
Начиная с 10 октября пользователи Nook стали сообщать о перебоях в работе сервиса, когда они не могли получить доступ к своей библиотеке. Barnes&Noble в этот момент сообщали, что у них случился "технический сбой" и они работают над его исправлением.
Но вчера вечером представители торговой сети направили своим клиентам уведомление о том, что ресурсы Barnes&Noble были атакованы, в результате чего хакеры получили доступ к некоторым корпоративным системам и личные данные их покупателей могли быть украдены.
Также в одном из сообщений для прессы Barnes&Noble указали, что они задействовали свою систему резервного копирования - верный признак атаки ransomware.
Похоже, что книготорговцы рассчитывали на свои бэкапы, а когда оказалось, что вымогатели таки смогли утащить чувствительную информацию и грозят ее опубликовать, то вместо выплаты выкупа решили уведомить клиентов, чтобы они не сильно огорчались.
Классический "PR с человеческим лицом" по заветам господина ПэЖэ из известного банка, которому недавно сделали циркумцизию (отрезали конец).
Ну и в качестве завершающего штриха - по данным инфосек команды Bad Packets сеть Barnes&Noble имела несколько непропатченных серверов Pulse VPN, уязвимых перед CVE-2019-11510. Которая, как известно, была исправлена еще в январе 2020 года.
Nuff said.
BleepingComputer
Barnes & Noble hit by cyberattack that exposed customer data
U.S. Bookstore giant Barnes & Noble has disclosed that they were victims of a cyberattack that may have exposed customers' data.
Завершающая часть нашего обзора про северокорейскую APT Kimsuky. Начало вы можете найти здесь и здесь.
Весной 2018 года южнокорейские инфосек эксперты обнаружили атаку на водопой (Watering Hole, внедрение вредоносного кода на ресурс с целью заражения посещающих его пользователей), целью которой были специализированные сайты, посетителями которых являлись преимущественно сотрудники аналитических центров, связанных с исследованиями на тему Северной Кореи, военного дела, безопасности и дипломатической деятельности. Поскольку ресерчеры из Южной Кореи не обладают большой фантазией, то кибероперацию они назвали Water Tank – совмещение Watering Hole и Think Tank.
Впрочем, конкретных TTPs, указывающих на Kimsuky южнокорецы не нашли и лишь утверждали, что Water Tank — дело рук APT из КНДР.
В начале 2019 года исследователи из южнокорейской антивирусной компании AhnLab обнаружили новую киберкампанию Kimsuky, направленную на заражение посредством фишинга компьютеров сотрудников Министерства объединения. Кампанию назвали Kabar Cobra.
Дальнейшее расследование показало, что также были атакованы военные организации и медиаиндустрия, а еще криптовалютные ресурсы. В качестве приманки использовались документы корейского текстового редактора Hancom Office, поддерживающего хангыль, фонематическое письмо корейского языка.
Ресерчеры нашли достаточное количество TTPs, указывающих на причастность Kimsuky к операции Kabar Cobra. Интересной деталью стало то, что в ходе северокорейские хакеры использовали уязвимости Hancom Office, которые они эксплуатировали еще в 2014 году. Это означало, что Kimsuky были хорошо осведомлены о том, что их цели продолжают использовать устаревшие версии текстового редактора.
В марте 2019 года, спустя год после операции Water Tank, северокорейцы опять развернули свои атаки на водопой и в этот раз экспертам удалось достоверно подтвердить причастность Kimsuky. Целями были опять же южнокорейские сайты, публикующие материалы на тему корейского объединения, а также его политических аспектов.
В ходе заражения целевых машин Kimsuky использовали стеганографию — тело вредоноса загружалось внутри файла изображения. Он собирал и эксфильтрировал файлы HWP (формат Hancom Office), DOC и PDF, а также системную информацию. Доказательством авторства Kimsuky послужили пересечения с ее вредоносной инфраструктурой, выявленной ранее.
Летом 2019 года исследователи южнокорейской команды IssueMakersLab (судя по всему, связана со спецслужбами Южной Кореи), специализирующиеся на расследовании деятельности северокорейских APT, выявили проводимую Kimsuky фишинговую кампанию, направленную на отставных сотрудников южнокорейских государственных, дипломатических и военных структур. Целями были учетные данные почтовых ящиков на Gmail и Naver, ведущего портала Южной Кореи.
Сама идея достаточно интересная, поскольку бывшие сотрудники с точки зрения инфосека защищены гораздо хуже, но в то же время часто привлекаются в качестве экспертов для решения различных текущих государственных вопросов, а также поддерживают контакты с действующими работниками ведомств.
#APT #Kimsuky
Весной 2018 года южнокорейские инфосек эксперты обнаружили атаку на водопой (Watering Hole, внедрение вредоносного кода на ресурс с целью заражения посещающих его пользователей), целью которой были специализированные сайты, посетителями которых являлись преимущественно сотрудники аналитических центров, связанных с исследованиями на тему Северной Кореи, военного дела, безопасности и дипломатической деятельности. Поскольку ресерчеры из Южной Кореи не обладают большой фантазией, то кибероперацию они назвали Water Tank – совмещение Watering Hole и Think Tank.
Впрочем, конкретных TTPs, указывающих на Kimsuky южнокорецы не нашли и лишь утверждали, что Water Tank — дело рук APT из КНДР.
В начале 2019 года исследователи из южнокорейской антивирусной компании AhnLab обнаружили новую киберкампанию Kimsuky, направленную на заражение посредством фишинга компьютеров сотрудников Министерства объединения. Кампанию назвали Kabar Cobra.
Дальнейшее расследование показало, что также были атакованы военные организации и медиаиндустрия, а еще криптовалютные ресурсы. В качестве приманки использовались документы корейского текстового редактора Hancom Office, поддерживающего хангыль, фонематическое письмо корейского языка.
Ресерчеры нашли достаточное количество TTPs, указывающих на причастность Kimsuky к операции Kabar Cobra. Интересной деталью стало то, что в ходе северокорейские хакеры использовали уязвимости Hancom Office, которые они эксплуатировали еще в 2014 году. Это означало, что Kimsuky были хорошо осведомлены о том, что их цели продолжают использовать устаревшие версии текстового редактора.
В марте 2019 года, спустя год после операции Water Tank, северокорейцы опять развернули свои атаки на водопой и в этот раз экспертам удалось достоверно подтвердить причастность Kimsuky. Целями были опять же южнокорейские сайты, публикующие материалы на тему корейского объединения, а также его политических аспектов.
В ходе заражения целевых машин Kimsuky использовали стеганографию — тело вредоноса загружалось внутри файла изображения. Он собирал и эксфильтрировал файлы HWP (формат Hancom Office), DOC и PDF, а также системную информацию. Доказательством авторства Kimsuky послужили пересечения с ее вредоносной инфраструктурой, выявленной ранее.
Летом 2019 года исследователи южнокорейской команды IssueMakersLab (судя по всему, связана со спецслужбами Южной Кореи), специализирующиеся на расследовании деятельности северокорейских APT, выявили проводимую Kimsuky фишинговую кампанию, направленную на отставных сотрудников южнокорейских государственных, дипломатических и военных структур. Целями были учетные данные почтовых ящиков на Gmail и Naver, ведущего портала Южной Кореи.
Сама идея достаточно интересная, поскольку бывшие сотрудники с точки зрения инфосека защищены гораздо хуже, но в то же время часто привлекаются в качестве экспертов для решения различных текущих государственных вопросов, а также поддерживают контакты с действующими работниками ведомств.
#APT #Kimsuky
Telegram
SecAtor
Когда-то давным-давно, несколько месяцев назад, мы написали серию постов про ведущую северокорейскую APT Lazarus и обещали продолжить ее материалами про другую хакерскую группу, работающую на спецслужбы КНДР и носящую название Kimsuky. Однако, тогда не срослось.…
Рассматривать дальнейшие атаки Kimsuky мы, пожалуй, не будем, поскольку они весьма многочисленны и регулярно всплывает информация о новой фишинговой кампании северокорейской APT. Последний пример появился буквально пару дней назад, когда Kimsuky развернули фишинговую атаку на немецкую промышленную компанию Renk AG, которая, в числе прочего, производит трансмиссию для южнокорейской бронетехники. Добавим только, что в 2020 году хакеры активно эксплуатировали тему COVID-19 в своих фишинговых приманках.
Что касается противодействия хакерам из КНДР, то в декабре 2019 года компания Microsoft, называющая эту хакерскую группу Thallium, добилась в суде штата Вирджиния вынесения судебного постановления, согласно которому смогла перехватить контроль над 50 доменами, которые Kimsuky использовали в своих фишинговых атаках.
И еще один любопытный момент. Копаясь в первоисточниках мы нашли упоминание о том, что в апреле 2020 года Kimsuky атаковали российский Ростех. К сожалению, никаких подробностей нам достать не удалось.
#APT #Kimsuky
Что касается противодействия хакерам из КНДР, то в декабре 2019 года компания Microsoft, называющая эту хакерскую группу Thallium, добилась в суде штата Вирджиния вынесения судебного постановления, согласно которому смогла перехватить контроль над 50 доменами, которые Kimsuky использовали в своих фишинговых атаках.
И еще один любопытный момент. Копаясь в первоисточниках мы нашли упоминание о том, что в апреле 2020 года Kimsuky атаковали российский Ростех. К сожалению, никаких подробностей нам достать не удалось.
#APT #Kimsuky
Производитель SonicWall VPN закрыл уязвимость, которая потенциально может привести к удаленному выполнению кода (RCE) и последующей компрометации сети.
Уязвимость CVE-2020-5135, открытая исследователями из Tripwire, заключается в возможности переполнения буфера в процедуре предварительной аутентификации в SonicWall VPN и позволяет хакеру вызвать отказ в обслуживании просто направив специальным образом сформированный HTTP-запрос. Но, что намного опаснее, потенциально уязвимость может привести к RCE, хотя эксплойта пока никто не видел. Ошибка получила оценку 9,4 по шкале критичности.
12 октября производитель выпустил патч, закрывающий уязвимость. Вместе с тем, по состоянию на 13 октября в Интернет светятся почти 800 тысяч уязвимых хостов. Будем надеяться, что это всего лишь потому, что обновление вышло совсем недавно.
С другой стороны, в случае создания эксплойта CVE-2020-5135 эта уязвимость может стать одной из основных точек компрометации корпоративных сетей для последующего развертывания ransomware. Также, как это произошло с Pulse VPN.
Уязвимость CVE-2020-5135, открытая исследователями из Tripwire, заключается в возможности переполнения буфера в процедуре предварительной аутентификации в SonicWall VPN и позволяет хакеру вызвать отказ в обслуживании просто направив специальным образом сформированный HTTP-запрос. Но, что намного опаснее, потенциально уязвимость может привести к RCE, хотя эксплойта пока никто не видел. Ошибка получила оценку 9,4 по шкале критичности.
12 октября производитель выпустил патч, закрывающий уязвимость. Вместе с тем, по состоянию на 13 октября в Интернет светятся почти 800 тысяч уязвимых хостов. Будем надеяться, что это всего лишь потому, что обновление вышло совсем недавно.
С другой стороны, в случае создания эксплойта CVE-2020-5135 эта уязвимость может стать одной из основных точек компрометации корпоративных сетей для последующего развертывания ransomware. Также, как это произошло с Pulse VPN.
Tripwire
SonicWall VPN Portal Critical Flaw (CVE-2020-5135)
Tripwire VERT has identified a stack-based buffer overflow in SonicWall Network Security Appliance (NSA). The flaw can be triggered by an unauthenticated HTTP request involving a custom protocol handler. The vulnerability exists within the HTTP/HTTPS service…
Clearsky выпустили отчет о новой операции QuickSand за авторством иранской APT MuddyWater, о которой исследователи говорят прямо, что она связана с КСИР (Корпус стражей исламской революции). И развернули в нем такую теорию заговоров, что диву даешься.
QuickSand была выявлена в сентябре и нацелена на множество израильских организаций. Хакеры использовали два вектора атаки - банальный фишинг и эксплуатацию CVE-2020-0688, приводящей к RCE уязвимости в Microsoft Exchange, для дальнейшего развертывания полезной нагрузки в атакованной сети.
В обоих случаях злоумышленники в конечном итоге доставляли загрузчик PowGoop.
Обнаруженные исследователями TTPs, такие как сигнатуры управляющих серверов и сходства в коде используемых вредоносов, указывают на причастность MuddyWater к атаке QuickSand. В том числе сходство кода имеется в PowGoop и приписываемом иранской группе вредоносе MoriAgent (тут тоже есть тонкости, но об этом немного позже).
И вот дальше в приличном на первый взгляд расследовании британцев начинается треш и содомия.
Загрузчик PowGoop упоминался Palo Alto Networks как возможно использующийся для доставки в скомпрометированную сеть ransomware Thanos. Это тот самый вымогатель, который должен был заменять MBR требованием о выплате выкупа, но из-за ошибок в коде не смог, - мы писали про это здесь.
Вывод о возможном использовании PowGoop для доставки Thanos ресерчеры из Palo Alto сделали в силу "единственного пересечения кода" - совпадения в имени одной из переменных с загрузчиком LogicalDuckBill, который действительно используется для доставки Thanos.
И на основе одного лишь предположения Palo Alto, что с помощью PowGoop может доставляться ransomware Thanos, которое должно стирать MBR (а на самом деле не стирает), ресерчеры из ClearSky развернули целый геополитический роман о том, как злые иранские хакеры хотят нанести как можно больше ущерба своим израильским визави уничтожая их компьютеры. Разумеется, ни одного упоминания слова "возможно" в части связи PowGoop и Thanos в их отчете нет, только уверенная констатация факта.
Причастны ли к атаке иранцы? С очень большой вероятностью - да. Принадлежит ли им загрузчик PowGoop? Опять же, скорее всего - да. Только причем тут Thanos и уничтожение MBR?
Возможно ClearSky располагает какими-то дополнительными данными, но тогда их надо выкладывать в паблик. А пока мы как обычно спросим - где TTPs?
QuickSand была выявлена в сентябре и нацелена на множество израильских организаций. Хакеры использовали два вектора атаки - банальный фишинг и эксплуатацию CVE-2020-0688, приводящей к RCE уязвимости в Microsoft Exchange, для дальнейшего развертывания полезной нагрузки в атакованной сети.
В обоих случаях злоумышленники в конечном итоге доставляли загрузчик PowGoop.
Обнаруженные исследователями TTPs, такие как сигнатуры управляющих серверов и сходства в коде используемых вредоносов, указывают на причастность MuddyWater к атаке QuickSand. В том числе сходство кода имеется в PowGoop и приписываемом иранской группе вредоносе MoriAgent (тут тоже есть тонкости, но об этом немного позже).
И вот дальше в приличном на первый взгляд расследовании британцев начинается треш и содомия.
Загрузчик PowGoop упоминался Palo Alto Networks как возможно использующийся для доставки в скомпрометированную сеть ransomware Thanos. Это тот самый вымогатель, который должен был заменять MBR требованием о выплате выкупа, но из-за ошибок в коде не смог, - мы писали про это здесь.
Вывод о возможном использовании PowGoop для доставки Thanos ресерчеры из Palo Alto сделали в силу "единственного пересечения кода" - совпадения в имени одной из переменных с загрузчиком LogicalDuckBill, который действительно используется для доставки Thanos.
И на основе одного лишь предположения Palo Alto, что с помощью PowGoop может доставляться ransomware Thanos, которое должно стирать MBR (а на самом деле не стирает), ресерчеры из ClearSky развернули целый геополитический роман о том, как злые иранские хакеры хотят нанести как можно больше ущерба своим израильским визави уничтожая их компьютеры. Разумеется, ни одного упоминания слова "возможно" в части связи PowGoop и Thanos в их отчете нет, только уверенная констатация факта.
Причастны ли к атаке иранцы? С очень большой вероятностью - да. Принадлежит ли им загрузчик PowGoop? Опять же, скорее всего - да. Только причем тут Thanos и уничтожение MBR?
Возможно ClearSky располагает какими-то дополнительными данными, но тогда их надо выкладывать в паблик. А пока мы как обычно спросим - где TTPs?
Telegram
SecAtor
Команда Unit42 вендора Paolo Alto Networks выпустила отчет о новом функционале ransomware Thanos, который должен был бы еще больше напугать жертву, но не работает.
Thanos - это продолжение Quimera Ransomware, которое появилось в октябре 2019 года. Потом…
Thanos - это продолжение Quimera Ransomware, которое появилось в октябре 2019 года. Потом…
Румыны из Biеdefender выложили в открытый доступ дешифратор для ransomware MaMoCrypt.
MaMoCrypt это разновидность вымогателя MZRevenge, который появился в начале 2020 года. Ошибки в реализации алгоритма шифрования MaMoCrypt приводят к тому, что любой файл размером больше 4 Гб будет поврежден при зашифровке и не подлежит восстановлению.
Мы, честно говоря, про это ransomware не слышали, но если вдруг кому-то не повезло попасть под атаку MaMoCrypt - бесплатный дешифратор доступен по приведенной выше ссылке.
MaMoCrypt это разновидность вымогателя MZRevenge, который появился в начале 2020 года. Ошибки в реализации алгоритма шифрования MaMoCrypt приводят к тому, что любой файл размером больше 4 Гб будет поврежден при зашифровке и не подлежит восстановлению.
Мы, честно говоря, про это ransomware не слышали, но если вдруг кому-то не повезло попасть под атаку MaMoCrypt - бесплатный дешифратор доступен по приведенной выше ссылке.
Bitdefender Labs
Daily source of cyber-threat information. Established 2001.
Мама, мы в телевизоре!
По мотивам второй части нашего обзора активности северокорейской APT Kimsuky газета Коммерсант написала статью, снабдив ее комментариями российских инфосек-экспертов, а статья попала в ротацию Яндекс.Новости.
В общем, успех и признание.
Правда, хотим сказать журналистам Коммерсанта, что они могли бы написать нам на электронную почту, а мы бы поделились с ними информацией, в том числе о первоисточнике данных про атаку на Ростех.
А вот он - в приведенной ниже картинке за авторством южнокорейцев из IssueMakersLab. Это вообще основные ребята, которые отслеживают работу хакерских групп из КНДР. Судя по всему, у них работает хороший мониторинг по выявлению фишинговых кампаний северокорейцев.
На схеме видна, кстати, атака на турецкого производителя бронетехники Otokar, про которую мы писали в мае. А также атаки Lazarus на Boeing, Locheed Martin и BAE (про них мы не писали).
Так что всем привет. Будем дальше писать обзоры про APT.
По мотивам второй части нашего обзора активности северокорейской APT Kimsuky газета Коммерсант написала статью, снабдив ее комментариями российских инфосек-экспертов, а статья попала в ротацию Яндекс.Новости.
В общем, успех и признание.
Правда, хотим сказать журналистам Коммерсанта, что они могли бы написать нам на электронную почту, а мы бы поделились с ними информацией, в том числе о первоисточнике данных про атаку на Ростех.
А вот он - в приведенной ниже картинке за авторством южнокорейцев из IssueMakersLab. Это вообще основные ребята, которые отслеживают работу хакерских групп из КНДР. Судя по всему, у них работает хороший мониторинг по выявлению фишинговых кампаний северокорейцев.
На схеме видна, кстати, атака на турецкого производителя бронетехники Otokar, про которую мы писали в мае. А также атаки Lazarus на Boeing, Locheed Martin и BAE (про них мы не писали).
Так что всем привет. Будем дальше писать обзоры про APT.
В пятницу Google опубликовали отчет о DDoS-атаках, происходивших на ресурсы компании в последние годы.
В частности, в отчете говорится о рекордной DDoS-атаке, которая произошла на Google в 2017 году. Мощность атаки составила около 2,54 терабит/с, что более чем в 4 раза превосходит считавшуюся до сих пор рекордной атаку ботнета Mirai в 2016 году.
Атакующие генерили с помощью нескольких сетей более 167 млн. пакетов в секунду, которые направлялись на 180 тысяч открытых CLDAP, DNS и SMTP серверов, чтобы вызывать многократное усиление DDoS-атаки (т.н. амплификация).
За DDoS, по мнению Google, стоит прогосударственная APT. И хотя ее принадлежности американцы не назвали, они указали на то, что часть пакетов в рамках атаки исходила со стороны китайских автономных систем.
В частности, в отчете говорится о рекордной DDoS-атаке, которая произошла на Google в 2017 году. Мощность атаки составила около 2,54 терабит/с, что более чем в 4 раза превосходит считавшуюся до сих пор рекордной атаку ботнета Mirai в 2016 году.
Атакующие генерили с помощью нескольких сетей более 167 млн. пакетов в секунду, которые направлялись на 180 тысяч открытых CLDAP, DNS и SMTP серверов, чтобы вызывать многократное усиление DDoS-атаки (т.н. амплификация).
За DDoS, по мнению Google, стоит прогосударственная APT. И хотя ее принадлежности американцы не назвали, они указали на то, что часть пакетов в рамках атаки исходила со стороны китайских автономных систем.
Google Cloud Blog
Identifying and protecting against the largest DDoS attacks | Google Cloud Blog
How Google prepares for and protects against the largest volumetric DDoS attacks.
Infosecurity Magazine сообщают, что на прошлой неделе Иран подвергся двум масштабным кибератакам, одна из которых была направлена на правительственные учреждения.
Эта атака была нацелена на информационную инфраструктуру иранских портов. Также, по неподтвержденным сообщениям, среди целей была банковская система Ирана. В результате кибератаки некоторые государственные учреждения были вынуждены отключить свои Интернет-сервисы.
Учитывая геополитическую обстановку можно предположить, что за атаками стоял Израиль.
История противостояния в киберпространстве между Ираном и Израилем долгая и богатая.
Напомним, что в апреле инфраструктура компаний, обеспечивающих водоснабжение Израиля, подверглась скоординированной кибератаке, которая могла привести к серьезной нехватке воды и потерям среди гражданского населения.
В ответ 8 мая была совершена кибератака на информационные ресурсы портового города Бендер-Аббас, находящегося на юге Ирана. Спустя два дня произошел инцидент с обстрелом иранским фрегатом Jamaran, базирующимся в Бендер-Аббасе, своего же корабля сопровождения, после чего появилась информация о связи этих двух происшествий.
Через десять дней хакерская группа, называющие себя Хакеры Спасителя, вероятно проиранская, взломала более 1000 израильских сайтов.
А летом израильское Управление по водным ресурсам заявило, что в июне произошли новые кибератаки на систему водоснабжения - первая была нацелена на водные насосы в области Галилея, вторая - на водные насосы в регионального совете Мате-Йехуда.
Обе страны обладают впечатляющими возможностями по проведению киберопераций. И если про иранские APT пишут много и часто, то про израильские хакерские группы известно намного меньше. Но мы знаем как минимум две израильские APT - это Flame, за которой стоит подразделение Unit 8200, отвечающее за радиоэлектронную разведку в Управлении военной разведки израильской армии, и Duqu, которая подчиняется по одним данным Моссаду, по другим - тем же Unit 8200.
Опять же нельзя забывать про впечатляющую операцию Stuxnet, проведенную Unit 8200 при поддержке АНБ.
Эта музыка будет вечной (с)
Эта атака была нацелена на информационную инфраструктуру иранских портов. Также, по неподтвержденным сообщениям, среди целей была банковская система Ирана. В результате кибератаки некоторые государственные учреждения были вынуждены отключить свои Интернет-сервисы.
Учитывая геополитическую обстановку можно предположить, что за атаками стоял Израиль.
История противостояния в киберпространстве между Ираном и Израилем долгая и богатая.
Напомним, что в апреле инфраструктура компаний, обеспечивающих водоснабжение Израиля, подверглась скоординированной кибератаке, которая могла привести к серьезной нехватке воды и потерям среди гражданского населения.
В ответ 8 мая была совершена кибератака на информационные ресурсы портового города Бендер-Аббас, находящегося на юге Ирана. Спустя два дня произошел инцидент с обстрелом иранским фрегатом Jamaran, базирующимся в Бендер-Аббасе, своего же корабля сопровождения, после чего появилась информация о связи этих двух происшествий.
Через десять дней хакерская группа, называющие себя Хакеры Спасителя, вероятно проиранская, взломала более 1000 израильских сайтов.
А летом израильское Управление по водным ресурсам заявило, что в июне произошли новые кибератаки на систему водоснабжения - первая была нацелена на водные насосы в области Галилея, вторая - на водные насосы в регионального совете Мате-Йехуда.
Обе страны обладают впечатляющими возможностями по проведению киберопераций. И если про иранские APT пишут много и часто, то про израильские хакерские группы известно намного меньше. Но мы знаем как минимум две израильские APT - это Flame, за которой стоит подразделение Unit 8200, отвечающее за радиоэлектронную разведку в Управлении военной разведки израильской армии, и Duqu, которая подчиняется по одним данным Моссаду, по другим - тем же Unit 8200.
Опять же нельзя забывать про впечатляющую операцию Stuxnet, проведенную Unit 8200 при поддержке АНБ.
Эта музыка будет вечной (с)
Infosecurity Magazine
Iran Reports Two Major Cyber-Attacks
Iran’s ports and government institutions targeted in large-scale cyber-attacks
Ровно неделю назад Microsoft объявили, что в составе большой коалиции с ESET, NTT, Symantec и рядом других команд "нанесли решающий удар" по одному из самых известных ботнетов Trickbot. Мы писали об этом здесь.
Мы тогда высказали мнение, что несмотря на то, что урон ботнету достаточно велик, создатели и операторы TrickBot смогут возобновить свою деятельность через некоторое время. И оказались правы.
CrowdStrike выпустили отчет об активности группы Wizard Spider, стоящей за TrickBot. Что же предприняли российские (а группа - российская) хакеры чтобы восстановить свои мощности?
Во-первых, они задействовали вредоносную инфраструктуру другой российской коммерческой хакерской группы Mummy Spider, являющейся автором вредоноса Emotet. Теперь на зараженные Emotet хосты загружается Trickbot.
Во-вторых, Wizard Spider расширили фишинговую кампанию по распространению другого вредоноса BazarLoader, использующегося, в числе прочего, для последующей доставки ransomware Ryuk и Conti.
Таким образом, по мнению исследователей CrowdStrike активность Wizard Spider быстро вернулась к прежнему уровню. Поскольку основной целью Microsoft сотоварищи было снижение уровня распространения именно вымогателей Ryuk и Conti, которые доставлялись посредством Trickbot, то можно сказать, что "масштабная операция" не принесла каких-либо серьезных успехов.
Мы тогда высказали мнение, что несмотря на то, что урон ботнету достаточно велик, создатели и операторы TrickBot смогут возобновить свою деятельность через некоторое время. И оказались правы.
CrowdStrike выпустили отчет об активности группы Wizard Spider, стоящей за TrickBot. Что же предприняли российские (а группа - российская) хакеры чтобы восстановить свои мощности?
Во-первых, они задействовали вредоносную инфраструктуру другой российской коммерческой хакерской группы Mummy Spider, являющейся автором вредоноса Emotet. Теперь на зараженные Emotet хосты загружается Trickbot.
Во-вторых, Wizard Spider расширили фишинговую кампанию по распространению другого вредоноса BazarLoader, использующегося, в числе прочего, для последующей доставки ransomware Ryuk и Conti.
Таким образом, по мнению исследователей CrowdStrike активность Wizard Spider быстро вернулась к прежнему уровню. Поскольку основной целью Microsoft сотоварищи было снижение уровня распространения именно вымогателей Ryuk и Conti, которые доставлялись посредством Trickbot, то можно сказать, что "масштабная операция" не принесла каких-либо серьезных успехов.
crowdstrike.com
Wizard Spider Modifies and Expands Toolset [Adversary Update]
The CrowdStrike Intelligence team shares its analysis of key observations from WIZARD SPIDER's BazarLoader, Conti and Ryuk operations over recent months.
Полагаем большинство эту новость уже видело - вчера Министерство юстиции США заочно предъявило обвинение шестерым гражданам России, которых американцы подозревают в проведении кибератак в составе APT Sandworm aka BlackEnergy aka Voodoo Bear по заказу в/ч 74455, она же Главный центр специальных технологий ГРУ.
В числе обвиняемых - Юрий Андриенко, Сергей Детистов, Павел Фролов, Анатолий Ковалев, Артем Очиченко и Петр Плискин.
Обвиняют их в атаках на инфраструктуру Украины в 2015-2016 годах, на французские выборы в 2017 году, в распространении ransomware NotPetya, в атаках на Олимпийские игры в Пченчхане, в атаках на ОЗХО и британскую Лабораторию оборонной науки и технологии в 2018 году и, наконец, в атаках на грузинские ресурсы в 2018 и 2019 годах.
Мы ознакомились с обвинительным заключением и имеем сказать следующее.
На первый взгляд обвинение выглядит правдоподобно. Описание последовательности действий фигурантов при организации той или иной атаки достаточно подробные. Но, честно говоря, эти подробности-то нас и смущают.
Потому что фразы типа "такого-то числа имярек отправил 8 фишинговых писем, а через 2 дня завел фейковый электронный адрес" означают что либо лица, ведущие расследование, полностью распотрошили ресурсы атакующих, откуда взяли все логи, либо в фактаже имеется достаточное количество фантазии.
Разбирать можно долго по каждому пункту обвинений, но скажем только, что дефейс грузинских сайтов, на которые загрузили картинки с изображением Саакашвили и подписью "i'll be back", с нашей точки зрения все-таки мало похоже на операцию спецслужб, о чем мы уже писали.
И, да, в атаках на ОЗХО в апреле 2018 года европейцы еще летом успели обвинить членов APT Sandworm и даже ввели в их отношении санкции. Правда их фамилии - Минин, Моренец, Серебряков и Сотников. У кого-то, похоже, пчелы неправильные.
В числе обвиняемых - Юрий Андриенко, Сергей Детистов, Павел Фролов, Анатолий Ковалев, Артем Очиченко и Петр Плискин.
Обвиняют их в атаках на инфраструктуру Украины в 2015-2016 годах, на французские выборы в 2017 году, в распространении ransomware NotPetya, в атаках на Олимпийские игры в Пченчхане, в атаках на ОЗХО и британскую Лабораторию оборонной науки и технологии в 2018 году и, наконец, в атаках на грузинские ресурсы в 2018 и 2019 годах.
Мы ознакомились с обвинительным заключением и имеем сказать следующее.
На первый взгляд обвинение выглядит правдоподобно. Описание последовательности действий фигурантов при организации той или иной атаки достаточно подробные. Но, честно говоря, эти подробности-то нас и смущают.
Потому что фразы типа "такого-то числа имярек отправил 8 фишинговых писем, а через 2 дня завел фейковый электронный адрес" означают что либо лица, ведущие расследование, полностью распотрошили ресурсы атакующих, откуда взяли все логи, либо в фактаже имеется достаточное количество фантазии.
Разбирать можно долго по каждому пункту обвинений, но скажем только, что дефейс грузинских сайтов, на которые загрузили картинки с изображением Саакашвили и подписью "i'll be back", с нашей точки зрения все-таки мало похоже на операцию спецслужб, о чем мы уже писали.
И, да, в атаках на ОЗХО в апреле 2018 года европейцы еще летом успели обвинить членов APT Sandworm и даже ввели в их отношении санкции. Правда их фамилии - Минин, Моренец, Серебряков и Сотников. У кого-то, похоже, пчелы неправильные.
Давно мы не писали инсайдов по российской инфосек отрасли и вот решили реабилитироваться и дать сразу несколько.
Во-первых, в отраслевых изданиях вчера появилась новость о том, что вице-президент InfoWatch Рустэм Хайретдинов перешел на должность директора по росту в компании BI. ZONE. Вместе с ним InfoWatch покинули еще двое топ-менеджеров - Елена Сучкова и Константин Левин.
Мы можем дополнить следующим. По нашей информации, InfoWatch закрывает все свои иностранные представительства - это раз. А два - уход сразу трех топов, среди которых Хайретдинов, стоявший у истоков проекта Лаборатории Касперского, который в последующем превратился в компанию InfoWatch, свидетельствует, что детище Натальи Ивановны Касперской с большой долей вероятности идет ко дну.
Во-вторых, продолжая тему перемещения топ-менеджеров из-под людей с фамилией Касперские. Летом Лабораторию Касперского покинула Людмила Смирнова, занимавшая должность финансового директора. И вряд ли бы мы обратили на это внимание, если бы не тот факт, что Смирнова ушла не куда-нибудь, а в Вымпелком, который, если быть честным, сам находится на последнем издыхании. То есть один из ведущих топов убегает из "успешной" компании в компанию, находящуюся при смерти. Видимо, у Евгения Валентиновича (tm) далеко не все гладко, несмотря на заявляемые перемоги.
В-третьих, наш любимый Илья Константинович Сачков тоже выкидывает коленца. Как нам пишут, у Ильи осенняя депрессия, усугубляемая потерей ряда ключевых клиентов. В связи с этим он погрузился в созерцание себя и практически забил на бизнес, что, разумеется, не самым хорошим образом сказывается на делах Group-IB. По слухам, если все и дальше пойдет подобным образом, топоменеджеропад ожидает и самого меткого стрелка российского инфосека.
Ну и в-четвертых, мы не могли забыть про Positive Technologies. Поговаривают, что выпуск летом облигаций на Московской бирже (кстати, вроде бы как неплохо котируются) явился первым шагом по формированию "фондовой истории" в долгосрочной стратегии по подготовке к IPO. Причем IPO планируется именно на MOEX, а не где-нибудь в Сингапуре. Что, в общем-то, логично, учитывая близость Positive Technologies к некоторым "номерным" Центрам ФСБ.
Во-первых, в отраслевых изданиях вчера появилась новость о том, что вице-президент InfoWatch Рустэм Хайретдинов перешел на должность директора по росту в компании BI. ZONE. Вместе с ним InfoWatch покинули еще двое топ-менеджеров - Елена Сучкова и Константин Левин.
Мы можем дополнить следующим. По нашей информации, InfoWatch закрывает все свои иностранные представительства - это раз. А два - уход сразу трех топов, среди которых Хайретдинов, стоявший у истоков проекта Лаборатории Касперского, который в последующем превратился в компанию InfoWatch, свидетельствует, что детище Натальи Ивановны Касперской с большой долей вероятности идет ко дну.
Во-вторых, продолжая тему перемещения топ-менеджеров из-под людей с фамилией Касперские. Летом Лабораторию Касперского покинула Людмила Смирнова, занимавшая должность финансового директора. И вряд ли бы мы обратили на это внимание, если бы не тот факт, что Смирнова ушла не куда-нибудь, а в Вымпелком, который, если быть честным, сам находится на последнем издыхании. То есть один из ведущих топов убегает из "успешной" компании в компанию, находящуюся при смерти. Видимо, у Евгения Валентиновича (tm) далеко не все гладко, несмотря на заявляемые перемоги.
В-третьих, наш любимый Илья Константинович Сачков тоже выкидывает коленца. Как нам пишут, у Ильи осенняя депрессия, усугубляемая потерей ряда ключевых клиентов. В связи с этим он погрузился в созерцание себя и практически забил на бизнес, что, разумеется, не самым хорошим образом сказывается на делах Group-IB. По слухам, если все и дальше пойдет подобным образом, топоменеджеропад ожидает и самого меткого стрелка российского инфосека.
Ну и в-четвертых, мы не могли забыть про Positive Technologies. Поговаривают, что выпуск летом облигаций на Московской бирже (кстати, вроде бы как неплохо котируются) явился первым шагом по формированию "фондовой истории" в долгосрочной стратегии по подготовке к IPO. Причем IPO планируется именно на MOEX, а не где-нибудь в Сингапуре. Что, в общем-то, логично, учитывая близость Positive Technologies к некоторым "номерным" Центрам ФСБ.