Вчера мы писали, что владельцы ransomware Babuk угрожают выкинуть в паблик 250 Гб украденной у Управления полиции Вашингтона информации если представители последнего не выйдут с вымогателями на связь.
Видимо, полицейские так и не решились на контакт с хакерами, поэтому они выкинули как последнее китайское предупреждение пять файлов, содержащих личные данные офицеров полиции, включающие их домашние адреса и телефоны.
Следующим, по всей видимости, будут сведения о полицейских информаторах внутри организованной преступности, о чем вымогатели предупреждали ранее. По нашему мнению - дело крайне нехорошее даже для владельцев ransomware, поскольку может угрожать жизни людей.
Видимо, полицейские так и не решились на контакт с хакерами, поэтому они выкинули как последнее китайское предупреждение пять файлов, содержащих личные данные офицеров полиции, включающие их домашние адреса и телефоны.
Следующим, по всей видимости, будут сведения о полицейских информаторах внутри организованной преступности, о чем вымогатели предупреждали ранее. По нашему мнению - дело крайне нехорошее даже для владельцев ransomware, поскольку может угрожать жизни людей.
Евгений Валентинович (tm) разбушевался.
Сначала он нагнул компанию Apple на 12 млн. долларов через ФАС, а теперь решил пройтись по национальным американским шпионам.
Вчера Касперские опубликовали отчет про тренды в активности APT за первый квартал 2021 года. Рекомендуем всем ознакомится, интересные вещи пишут.
Но особенно интересным нам показалось новое упоминание одной из самых таинственных APT - группы Lamberts aka Longhorn, являющейся штатным подразделением американского Центрального разведывательного управления.
По информации Лаборатории Касперского, в феврале 2019 года они, в числе других антивирусных компаний, получили набор образцов вредоносов, большинство из которых были связаны с известными APT.
Некоторые из образцов, которые не получили атрибутирования с конкретными хакерскими группами, привлекли внимание исследователей красотой кода. Вредоносы были скомпилированы в 2014 году и примерно тогда же использовались в атаках.
Хотя конкретных пересечений с известными образцами малвари Касперские не получили, стиль и методы кодирования позволили отнести их к авторству Lamberts. Поэтому исследователи назвали найденный модульный вредонос Purple Lambert, по функционалу он представляет собой RAT (более подробную информацию Касперские обещают в подписочной версии отчета, постараемся добыть и посмотреть).
Обнаруженные образцы Purple Lambert в дикой природе замечены не были.
APT Lamberts - скилованые ЦРУшные хакеры, существование которых было подтверждено Wikileaks в ходе слива информации Vault 7. Информации об их атаках крайне мало, данные давали только Касперские, китайцы из Qihoo 360 и, как не странно, американская Symantec.
Надо бы про них обзор написать.
Сначала он нагнул компанию Apple на 12 млн. долларов через ФАС, а теперь решил пройтись по национальным американским шпионам.
Вчера Касперские опубликовали отчет про тренды в активности APT за первый квартал 2021 года. Рекомендуем всем ознакомится, интересные вещи пишут.
Но особенно интересным нам показалось новое упоминание одной из самых таинственных APT - группы Lamberts aka Longhorn, являющейся штатным подразделением американского Центрального разведывательного управления.
По информации Лаборатории Касперского, в феврале 2019 года они, в числе других антивирусных компаний, получили набор образцов вредоносов, большинство из которых были связаны с известными APT.
Некоторые из образцов, которые не получили атрибутирования с конкретными хакерскими группами, привлекли внимание исследователей красотой кода. Вредоносы были скомпилированы в 2014 году и примерно тогда же использовались в атаках.
Хотя конкретных пересечений с известными образцами малвари Касперские не получили, стиль и методы кодирования позволили отнести их к авторству Lamberts. Поэтому исследователи назвали найденный модульный вредонос Purple Lambert, по функционалу он представляет собой RAT (более подробную информацию Касперские обещают в подписочной версии отчета, постараемся добыть и посмотреть).
Обнаруженные образцы Purple Lambert в дикой природе замечены не были.
APT Lamberts - скилованые ЦРУшные хакеры, существование которых было подтверждено Wikileaks в ходе слива информации Vault 7. Информации об их атаках крайне мало, данные давали только Касперские, китайцы из Qihoo 360 и, как не странно, американская Symantec.
Надо бы про них обзор написать.
Securelist
APT trends report Q1 2021
This report highlights significant events related to advanced persistent threat (APT) activity observed in Q1 2021. The summaries are based on our threat intelligence research and provide a representative snapshot of what we have published and discussed in…
Веселая неделя выдалась у американской репрессивной машины. Не успели еще полицейские Вашингтона разобраться с утечками, организуемыми владельцами ransomware Babuk, как другие вымогатели начали сливать инфу правоохранителей США в сеть.
Как пишет The Record, банда, стоящая за ransomware DoppelPaymer (считается, что это российская Evil Corp), 10 апреля взломала сеть офиса прокурора штата Иллинойс. 21 апреля вымогатели взяли на себя ответственность за атаку и в качестве доказательства слили несколько украденных файлов в паблик.
Поскольку дальнейшие переговоры с офисом прокурора зашли в тупик, то хакеры выкинули на своем сайте утечек большое количество слитой в процессе атаки конфиденциальной информации, включая материалы судебных дел, в том числе не публиковавшиеся в рамках слушаний документы. Кроме того, там содержатся данные в отношении американских заключенных, их дел и жалоб.
Напомним, что ранее DoppelPaymer успешно ломали Foxconn, Pemex, KIA Motors America и многие другие компании, а также сеть Университетской больницы в Дюссельдорфе (UKD), в результате чего погиб не получивший своевременной неотложной помощи пациент.
Кстати, неожиданно для себя обнаружили, что часть сообщества называет этот штамм ransomware DoppelPaymer, а часть - DopplePaymer. Причем оба варианта написания присутствуют и на сайте утечек этого вымогателя. Хотя, как мы понимаем, название было образовано от немецкого Doppelganger, "темный двойник".
Как пишет The Record, банда, стоящая за ransomware DoppelPaymer (считается, что это российская Evil Corp), 10 апреля взломала сеть офиса прокурора штата Иллинойс. 21 апреля вымогатели взяли на себя ответственность за атаку и в качестве доказательства слили несколько украденных файлов в паблик.
Поскольку дальнейшие переговоры с офисом прокурора зашли в тупик, то хакеры выкинули на своем сайте утечек большое количество слитой в процессе атаки конфиденциальной информации, включая материалы судебных дел, в том числе не публиковавшиеся в рамках слушаний документы. Кроме того, там содержатся данные в отношении американских заключенных, их дел и жалоб.
Напомним, что ранее DoppelPaymer успешно ломали Foxconn, Pemex, KIA Motors America и многие другие компании, а также сеть Университетской больницы в Дюссельдорфе (UKD), в результате чего погиб не получивший своевременной неотложной помощи пациент.
Кстати, неожиданно для себя обнаружили, что часть сообщества называет этот штамм ransomware DoppelPaymer, а часть - DopplePaymer. Причем оба варианта написания присутствуют и на сайте утечек этого вымогателя. Хотя, как мы понимаем, название было образовано от немецкого Doppelganger, "темный двойник".
Румынская инфосек компания Bitdefender опубликовала отчет об операциях кибершпионажа, которые проводила китайская APT Naikon с июня 2019 по март 2021 года.
В качестве целей выступали военные учреждения стран Юго-Восточной Азии. Основными задачами хакеров было закрепление в скомпрометированной сети, дальнейший сбор конфиденциальной информации и ее отправка на управляющие центры. Для этого злоумышленники использовали два авторских бэкдора - RainyDay и Nabulae, оба обладают функционалом полноценных RAT.
APT Naikon aka Lotus Panda - это довольно старая хакерская группа, которая, как считается, работает на Второй департамент технической разведки НОАК (Unit 78020). Основное направление атак - страны Юго-Восточной Азии, включая Филиппины, Малайзию, Индонезию, Сингапур и Таиланд. В 2015 году китайцы в рамках кибероперации CameraShy
Naikon имеет множественные пересечения с китайской APT Cycldek, она же Hellsing и Goblin Panda, которые позволяют делать выводы о том, что с большой долей вероятности это разные подразделения одной и той же хакерской группы. Так и в этот раз - некоторые выявленные исследователями Bitdefender TTPs, применявшиеся Naikon, схожи с техниками, которые Cycldek использовала в начале апреля для развертывания своего FoundCore RAT при атаке на вьетнамские военные и правительственные организации.
В качестве целей выступали военные учреждения стран Юго-Восточной Азии. Основными задачами хакеров было закрепление в скомпрометированной сети, дальнейший сбор конфиденциальной информации и ее отправка на управляющие центры. Для этого злоумышленники использовали два авторских бэкдора - RainyDay и Nabulae, оба обладают функционалом полноценных RAT.
APT Naikon aka Lotus Panda - это довольно старая хакерская группа, которая, как считается, работает на Второй департамент технической разведки НОАК (Unit 78020). Основное направление атак - страны Юго-Восточной Азии, включая Филиппины, Малайзию, Индонезию, Сингапур и Таиланд. В 2015 году китайцы в рамках кибероперации CameraShy
Naikon имеет множественные пересечения с китайской APT Cycldek, она же Hellsing и Goblin Panda, которые позволяют делать выводы о том, что с большой долей вероятности это разные подразделения одной и той же хакерской группы. Так и в этот раз - некоторые выявленные исследователями Bitdefender TTPs, применявшиеся Naikon, схожи с техниками, которые Cycldek использовала в начале апреля для развертывания своего FoundCore RAT при атаке на вьетнамские военные и правительственные организации.
Bitdefender Labs
New Nebulae Backdoor Linked with the NAIKON Group
DLL hijacking is a malware execution technique that hardly needs any
introduction.
introduction.
Неприятная новость из медицинской отрасли.
Шведская компания Elekta, поставщик медицинского оборудования, используемого в онкологии и радиологии, на неделе сообщила, что 20 апреля стала жертвой кибератаки на облачное хранилище данных, в результате которой пострадали клиенты компании из США.
Подробности не сообщаются, но судя по всему это была атака оператора ransomware.
И хотя шведы, как многие в таких случаях, говорят о минимальном ущербе, по информации журнала HIPAA, по крайней мере один медицинский центр Yale New Haven Health из Коннектикута был вынужден более чем на неделю отключить свое радиологическое оборудование, которое использовалось для лучевой терапии онкобольным пациентам. Они были переведены для продолжения лечения в другие медицинские учреждения.
Имел ли какие-то последствия для больных перерыв в лучевой терапии - не сообщается. Но от самого факта подобного происшествия мы испытываем идиосинкразию.
Какого рожна оборудование для лучевой терапии критически зависит от работоспособности облачного хранилища? Почему имея такую уязвимую архитектуру компания Elekta не уделила, очевидно, должного внимания вопросам информационной безопасности? И когда уже переведутся слепошарые вымогатели, которые не в состоянии понять потенциальные последствия от своей атаки?
На этом фоне целевая группа экспертов по ransomware Института безопасности и технологий (IST) разработала многостраничный документ по противодействию атакам ransomware, в котором дала список из 48 конкретных мероприятий. В их числе:
- санкции против стран, на территории которых находятся владельцы ransomware (мы об этом еще осенью предупреждали, отключат SWIFT - передавайте привет Evil Corp);
- создание в США специализированных рабочих групп по борьбе с ransomware и наделение их особыми международными полномочиями;
- обязательство организаций сообщать о фактах атаки ransomware и всем, что с ними связано;
- значительное усиление контроля над рынком криптовалют, которые являются основным расчетным средством между вымогателями и жертвой и пр.
Поможет ли - неясно. Но очевидно, что значимость ransomware выходит на новый уровень, а меры по борьбе с хакерами могут зацепить нас всех.
Шведская компания Elekta, поставщик медицинского оборудования, используемого в онкологии и радиологии, на неделе сообщила, что 20 апреля стала жертвой кибератаки на облачное хранилище данных, в результате которой пострадали клиенты компании из США.
Подробности не сообщаются, но судя по всему это была атака оператора ransomware.
И хотя шведы, как многие в таких случаях, говорят о минимальном ущербе, по информации журнала HIPAA, по крайней мере один медицинский центр Yale New Haven Health из Коннектикута был вынужден более чем на неделю отключить свое радиологическое оборудование, которое использовалось для лучевой терапии онкобольным пациентам. Они были переведены для продолжения лечения в другие медицинские учреждения.
Имел ли какие-то последствия для больных перерыв в лучевой терапии - не сообщается. Но от самого факта подобного происшествия мы испытываем идиосинкразию.
Какого рожна оборудование для лучевой терапии критически зависит от работоспособности облачного хранилища? Почему имея такую уязвимую архитектуру компания Elekta не уделила, очевидно, должного внимания вопросам информационной безопасности? И когда уже переведутся слепошарые вымогатели, которые не в состоянии понять потенциальные последствия от своей атаки?
На этом фоне целевая группа экспертов по ransomware Института безопасности и технологий (IST) разработала многостраничный документ по противодействию атакам ransomware, в котором дала список из 48 конкретных мероприятий. В их числе:
- санкции против стран, на территории которых находятся владельцы ransomware (мы об этом еще осенью предупреждали, отключат SWIFT - передавайте привет Evil Corp);
- создание в США специализированных рабочих групп по борьбе с ransomware и наделение их особыми международными полномочиями;
- обязательство организаций сообщать о фактах атаки ransomware и всем, что с ними связано;
- значительное усиление контроля над рынком криптовалют, которые являются основным расчетным средством между вымогателями и жертвой и пр.
Поможет ли - неясно. Но очевидно, что значимость ransomware выходит на новый уровень, а меры по борьбе с хакерами могут зацепить нас всех.
Не успели мы порадоваться по поводу того, что Лаборатория Касперского дерзко раскрыла принадлежащий ЦРУ вредонос, как последовало вот это разъяснение от одного из ресерчеров ЛК.
Нет, если подходить скрупулезно, то вынуждены согласиться, что Касперские никогда напрямую не атрибутировали Lamberts как подразделение ЦРУ. И все же чувствуем некоторое разочарование.
Что ж ты, фраер, сдал назад (с)
Нет, если подходить скрупулезно, то вынуждены согласиться, что Касперские никогда напрямую не атрибутировали Lamberts как подразделение ЦРУ. И все же чувствуем некоторое разочарование.
Что ж ты, фраер, сдал назад (с)
Twitter
Ivan Kwiatkowski
For the record, this is a clear misrepresentation of my teammates' research. 1) We did *not* attribute these samples to any organization. 2) Lambert is *not* an internal name for the CIA. If you're going to attribute attacks, do it in your own name.twitt…
В конце января в VPN-решениях компании SonicWall была обнаружена 0-day уязвимость, через которую, в числе прочих, взломали и саму SonicWall.
Теперь же FireEye сообщает, что указанная уязвимость, которая получила CVE-2021-20016, использовалась хакерской группой, обозначаемой как UNC2447, для проведения атак ransomware.
По данным FireEye, UNC2447 была впервые замечена в ноябре 2020 года, когда она использовала новый дроппер WarPrism. Похоже, что это типичный оператор ransomware, работающий с владельцами различных штаммов вымогателей.
В январе и феврале 2021 года исследователи обнаружили, что ряд их клиентов был атакован новым ransomware FiveHands ( переделка известного DeathRansom), который развертывался в скомпрометированной сети с помощью вредоноса SombRAT. Точкой компрометации сетей служило ПО от SonicWall. В ходе расследования одной из атак удалось обнаружить образцы WarPrism, а также профили имплантов Cobalt Strike, аналогичные использовавшимся UNC2447. Таким образом, FireEye связала все эти атаки с хакерской группой.
Самое интересное, что UNC2447 использовали уязвимость в VPN от SonicWall еще до выпуска разработчиком исправлений, то есть они не могли получить данные о CVE-2021-20016 путем реинжиниринга соответствующего патча.
Примечательно, что за несколько дней до появления первых сведений об этой уязвимости в январе этого года с журналистами BleepingComputer связался анонимный хакер и сообщил, что у него есть информация о 0-day уязвимости известного производителя брэндмауэров, про которую этот производитель молчит и не информирует своих клиентов, подвергающихся атакам с использованием этой и других ошибок. Судя по всему речь шла именно о SonicWall.
Если дела действительно обстоят таким образом, то это означает, что SonicWall косвенно несет ответственность за понесенный компаниями ущерб в ходе атак ransomware FiveHands. Потому что не сообщила известную ей информацию о наличии дырки в своих продуктах.
Теперь же FireEye сообщает, что указанная уязвимость, которая получила CVE-2021-20016, использовалась хакерской группой, обозначаемой как UNC2447, для проведения атак ransomware.
По данным FireEye, UNC2447 была впервые замечена в ноябре 2020 года, когда она использовала новый дроппер WarPrism. Похоже, что это типичный оператор ransomware, работающий с владельцами различных штаммов вымогателей.
В январе и феврале 2021 года исследователи обнаружили, что ряд их клиентов был атакован новым ransomware FiveHands ( переделка известного DeathRansom), который развертывался в скомпрометированной сети с помощью вредоноса SombRAT. Точкой компрометации сетей служило ПО от SonicWall. В ходе расследования одной из атак удалось обнаружить образцы WarPrism, а также профили имплантов Cobalt Strike, аналогичные использовавшимся UNC2447. Таким образом, FireEye связала все эти атаки с хакерской группой.
Самое интересное, что UNC2447 использовали уязвимость в VPN от SonicWall еще до выпуска разработчиком исправлений, то есть они не могли получить данные о CVE-2021-20016 путем реинжиниринга соответствующего патча.
Примечательно, что за несколько дней до появления первых сведений об этой уязвимости в январе этого года с журналистами BleepingComputer связался анонимный хакер и сообщил, что у него есть информация о 0-day уязвимости известного производителя брэндмауэров, про которую этот производитель молчит и не информирует своих клиентов, подвергающихся атакам с использованием этой и других ошибок. Судя по всему речь шла именно о SonicWall.
Если дела действительно обстоят таким образом, то это означает, что SonicWall косвенно несет ответственность за понесенный компаниями ущерб в ходе атак ransomware FiveHands. Потому что не сообщила известную ей информацию о наличии дырки в своих продуктах.
Mandiant
UNC2447 SOMBRAT and FIVEHANDS Ransomware: A Sophisticated Financial Threat | Mandiant
Оператор ransomware REvil успешно атаковал суд бразильского штата Рио-Гранди-ду-Сул (TJRS). Штат, надо сказать, немаленький - население под 12 млн. жителей.
Атака произошла 28 апреля, когда сотрудники суда обнаружили, что все их документы зашифрованы, а на рабочих столах их компьютеров появились заметки о выкупе. Вскоре после этого техническая поддержка предупредила работников о том, что надо воздержаться от входа в сервисы TJRS.
Как сообщают журналисты BleepingComputer, вымогатели потребовали выкуп в размере 5 млн. долларов. При этом, по их словам, "IT-персонал суда пережил приступ истерического стресса".
Чтобы не переживать такие приступы, очевидно, надо должным образом следить за состоянием информационной безопасности вверенных IT-систем.
А мы вспомним, что в ноябре прошлого года оператор ransomware RansomExx бомбанул ресурсы Верховного суда Бразилии, в результате чего две с половиной недели электронные сервисы суда не функционировали.
Атака произошла 28 апреля, когда сотрудники суда обнаружили, что все их документы зашифрованы, а на рабочих столах их компьютеров появились заметки о выкупе. Вскоре после этого техническая поддержка предупредила работников о том, что надо воздержаться от входа в сервисы TJRS.
Как сообщают журналисты BleepingComputer, вымогатели потребовали выкуп в размере 5 млн. долларов. При этом, по их словам, "IT-персонал суда пережил приступ истерического стресса".
Чтобы не переживать такие приступы, очевидно, надо должным образом следить за состоянием информационной безопасности вверенных IT-систем.
А мы вспомним, что в ноябре прошлого года оператор ransomware RansomExx бомбанул ресурсы Верховного суда Бразилии, в результате чего две с половиной недели электронные сервисы суда не функционировали.
BleepingComputer
Brazil's Rio Grande do Sul court system hit by REvil ransomware
Brazil's Tribunal de Justiça do Estado do Rio Grande do Sul was hit with an REvil ransomware attack yesterday that encrypted employee's files and forced the courts to shut down their network.
Дорогие друзья!
Поздравляем всех с наступающими (по крайней мере в России) первомайскими праздниками! Желаем как следуют отдохнуть!
Но мы от вас на 10 дней не пропадаем, ждите на следующей неделе новых постов. Тем более новости подъехали, что китайцы КБ Рубин атакуют, в Твиттере что-то страшное вангуют через 5 дней, так что будет о чем писать.
See U!
Поздравляем всех с наступающими (по крайней мере в России) первомайскими праздниками! Желаем как следуют отдохнуть!
Но мы от вас на 10 дней не пропадаем, ждите на следующей неделе новых постов. Тем более новости подъехали, что китайцы КБ Рубин атакуют, в Твиттере что-то страшное вангуют через 5 дней, так что будет о чем писать.
See U!
А пока мы отдыхали Apple выпустили срочные обновления для macOS, iOS и iPadOS, а также watchOS. И это несмотря на то, что большие апдейты в виде macOS 11.3 Big Sur и iOS 14.5 вышли только неделю назад.
Обновления исправляют уязвимости CVE-2021-30665 и CVE-2021-30663 в браузерном движке Webkit (если мы не ошибаемся, количество обнаруженных в этом движке с начала года 0-day дырок приближается к десятку), которые позволяют осуществить хакеру удаленное выполнение кода (RCE) на атакованном устройстве при посещении пользователем вредоносного сайта.
Первая уязвимость была обнаружена исследователями из китайской Qihoo 360, вторая - анонимным ресерчером.
Apple отмечает, что обе уязвимости моги использоваться в дикой природе. А значит нет повода забить и не обновлять свои яблочные устройства прямо сейчас. Тем более когда речь идет об RCE.
Обновления исправляют уязвимости CVE-2021-30665 и CVE-2021-30663 в браузерном движке Webkit (если мы не ошибаемся, количество обнаруженных в этом движке с начала года 0-day дырок приближается к десятку), которые позволяют осуществить хакеру удаленное выполнение кода (RCE) на атакованном устройстве при посещении пользователем вредоносного сайта.
Первая уязвимость была обнаружена исследователями из китайской Qihoo 360, вторая - анонимным ресерчером.
Apple отмечает, что обе уязвимости моги использоваться в дикой природе. А значит нет повода забить и не обновлять свои яблочные устройства прямо сейчас. Тем более когда речь идет об RCE.
Apple Support
Apple security releases
This document lists security updates and Rapid Security Responses for Apple software.
Гендир Positive Technologies дал интервью РБК по поводу введенных против компании американских санкций. И мы вновь разочарованы.
"В качестве ответной реакции на введение санкций компания "будет становиться еще более прозрачной и открытой", а также разговаривать с официальными лицами в США" - вот что заявляет нам господин Максимов.
О чем Позитивы собираются разговаривать с "официальными лицами в США"?! Убеждать их в том, что они не ENFER (кодовое обозначение российской инфосек компании, работающей с российскими госорганами, из отчета Atlantic Council)? Так Зеттер уже сделала соответствующий слив со ссылкой на "анонимные источники из спецслужб".
Можно, конечно, попросить еще больше санкций. Потому что все остальное вряд ли будут слушать.
Совершенно беззубое поведение российских инфосек вендоров просто поражает. Сначала Касперские, которым США просто растоптали весь бизнес в Северной Америке, боятся, что все подумают о том, что они атрибутируют хакерскую группу Lamberts как принадлежащую ЦРУ. Теперь Позитивы после объявления необоснованных (ну вот по честному, так же) санкций планируют "становиться еще более прозрачной и открытой компанией". Не говоря уже о Сачкове, который в погоне за признанием Group-IB сингапурской компанией разве что пластическую операцию по сужению глаз еще не сделал.
При этом противоположная сторона подобных вещей не делает от слова совсем. FireEye никогда не открещивалась от своего ЦРУшного (через In-Q-Tel) происхождения. Альперович со своей CrowdStrike ничуть не стеснялся атрибутировать атаки на сервера американской Демпартии в 2016 году как дело рук российской разведки, хотя никаких четких TTPs не было.
Господа, мы всех вас ценим и любим, вот честно. И всегда будем поддерживать в подобных ситуациях. Но отрастите себе уже тестикулы, господа.
"В качестве ответной реакции на введение санкций компания "будет становиться еще более прозрачной и открытой", а также разговаривать с официальными лицами в США" - вот что заявляет нам господин Максимов.
О чем Позитивы собираются разговаривать с "официальными лицами в США"?! Убеждать их в том, что они не ENFER (кодовое обозначение российской инфосек компании, работающей с российскими госорганами, из отчета Atlantic Council)? Так Зеттер уже сделала соответствующий слив со ссылкой на "анонимные источники из спецслужб".
Можно, конечно, попросить еще больше санкций. Потому что все остальное вряд ли будут слушать.
Совершенно беззубое поведение российских инфосек вендоров просто поражает. Сначала Касперские, которым США просто растоптали весь бизнес в Северной Америке, боятся, что все подумают о том, что они атрибутируют хакерскую группу Lamberts как принадлежащую ЦРУ. Теперь Позитивы после объявления необоснованных (ну вот по честному, так же) санкций планируют "становиться еще более прозрачной и открытой компанией". Не говоря уже о Сачкове, который в погоне за признанием Group-IB сингапурской компанией разве что пластическую операцию по сужению глаз еще не сделал.
При этом противоположная сторона подобных вещей не делает от слова совсем. FireEye никогда не открещивалась от своего ЦРУшного (через In-Q-Tel) происхождения. Альперович со своей CrowdStrike ничуть не стеснялся атрибутировать атаки на сервера американской Демпартии в 2016 году как дело рук российской разведки, хотя никаких четких TTPs не было.
Господа, мы всех вас ценим и любим, вот честно. И всегда будем поддерживать в подобных ситуациях. Но отрастите себе уже тестикулы, господа.
РБК
Глава Positive Technologies рассказал о влиянии санкций США на бизнес
Юрий Максимов считает ошибкой введение санкций США против компании, хотя судиться с властями не намерен. Тем не менее группа готовилась к «постепенному воздействию на индустрию» еще с 2014 года
Как мы писали, прямо перед праздниками появилась информация о том, что китайская APT атаковала ЦКБ Рубин. Но мы тогда уже были настроены постоять в знаменитых предпервомайских пробках, а потому не стали рассматривать этот материал сразу. Исправляемся.
30 апреля американская инфосек компания Cybereason выпустила отчет, в котором описала результаты отслеживания циркулирующего в дикой природе вредоноса RoyalRoad aka 8.t Dropper.
8.t Dropper, доставляемый в документе RTF, используется китайскими APT для дальнейшего подтягивания полезной нагрузки в виде различного рода троянов удаленного доступа (RAT). Впервые он был замечен в 2018 году и использовался китайской группой 1937CN, ответственной, в свою очередь, за взломы вьетнамских аэропортов в 2016 году. Они тогда перехватили управление информационными табло и системами оповещения аэропортов и рассказывали на английском языке какие вьетнамцы редиски из-за территориального спора в Южно-Китайском море.
Но вернемся в настоящее. Cybereason обнаружили свежий образец 8.t Dropper. Судя по всему, в качестве источника данных послужил Virus Total, в который неосмотрительные сисадмины льют все подряд. В качестве фишинговой приманки использовалось письмо генеральному директору ЦКБ Рубин Игорю Вильниту от имени АО "Концерн "МПО - Гидроприбор". Сама приманка составлена грамотно, правда адрес отправителя находится на mail .ru (хотя это как раз неудивительно, там большинство входящих в Гидроприбор компаний официальную электронную почту на Mail ru держат).
В качестве документа RTF, содержащего дропер, прилагаются "Основные результаты эскизного проектирования АНПА" (расшифровывается как автономный необитаемый подводный аппарат). И вот изображения аппарата (прилепим его в конце поста) из этого документа мы в сети не нашли, точнее нашли, но только размещенное после публикации отчета Cybereason.
С большой долей вероятности хакеры заранее распотрошили Концерн Гидроприбор, либо какое-то еще учреждение, чтобы добыть правдоподобно выглядящую фишинговую приманку. Тут бы ФСБ возбудиться, особенно ЦИБу, но они там Twitter тормозят, упираясь в пол ногами, им не до китайских хакеров.
В качестве полезной нагрузки 8.t Dropper доставлял недокументированный ранее авторский бэкдор PortDoor, который представляет собой полноценный кибершпионский RAT. Из интересного - шифрование собранных данных в AES перед отправкой на С2.
Атрибуция, проведенная исследователями, указывает на китайские APT - используемая в приманке кодировка ранее была замечена у APT Tonto и APT TA428. Первая группа, как считается, работает под крышей Технического разведывательного Департамента НОАК (Unit 65017) в китайском городе Шэньян и в 2018 году уже была замечена в фишинговых атаках на Концерн Автоматика, входящий в Ростех.
ЦКБ Рубин - это расположенное в Санкт-Петербурге инженерное бюро, которое является головным в части проектирования российских подводных лодок.
Как мы уже не раз говорили в отношении наших соседей из Китая - дружба дружбой, а табачок врозь. Никогда не стоит забывать об этом нашим коллегам из государственных учреждений, обеспечивающих информационную безопасность.
30 апреля американская инфосек компания Cybereason выпустила отчет, в котором описала результаты отслеживания циркулирующего в дикой природе вредоноса RoyalRoad aka 8.t Dropper.
8.t Dropper, доставляемый в документе RTF, используется китайскими APT для дальнейшего подтягивания полезной нагрузки в виде различного рода троянов удаленного доступа (RAT). Впервые он был замечен в 2018 году и использовался китайской группой 1937CN, ответственной, в свою очередь, за взломы вьетнамских аэропортов в 2016 году. Они тогда перехватили управление информационными табло и системами оповещения аэропортов и рассказывали на английском языке какие вьетнамцы редиски из-за территориального спора в Южно-Китайском море.
Но вернемся в настоящее. Cybereason обнаружили свежий образец 8.t Dropper. Судя по всему, в качестве источника данных послужил Virus Total, в который неосмотрительные сисадмины льют все подряд. В качестве фишинговой приманки использовалось письмо генеральному директору ЦКБ Рубин Игорю Вильниту от имени АО "Концерн "МПО - Гидроприбор". Сама приманка составлена грамотно, правда адрес отправителя находится на mail .ru (хотя это как раз неудивительно, там большинство входящих в Гидроприбор компаний официальную электронную почту на Mail ru держат).
В качестве документа RTF, содержащего дропер, прилагаются "Основные результаты эскизного проектирования АНПА" (расшифровывается как автономный необитаемый подводный аппарат). И вот изображения аппарата (прилепим его в конце поста) из этого документа мы в сети не нашли, точнее нашли, но только размещенное после публикации отчета Cybereason.
С большой долей вероятности хакеры заранее распотрошили Концерн Гидроприбор, либо какое-то еще учреждение, чтобы добыть правдоподобно выглядящую фишинговую приманку. Тут бы ФСБ возбудиться, особенно ЦИБу, но они там Twitter тормозят, упираясь в пол ногами, им не до китайских хакеров.
В качестве полезной нагрузки 8.t Dropper доставлял недокументированный ранее авторский бэкдор PortDoor, который представляет собой полноценный кибершпионский RAT. Из интересного - шифрование собранных данных в AES перед отправкой на С2.
Атрибуция, проведенная исследователями, указывает на китайские APT - используемая в приманке кодировка ранее была замечена у APT Tonto и APT TA428. Первая группа, как считается, работает под крышей Технического разведывательного Департамента НОАК (Unit 65017) в китайском городе Шэньян и в 2018 году уже была замечена в фишинговых атаках на Концерн Автоматика, входящий в Ростех.
ЦКБ Рубин - это расположенное в Санкт-Петербурге инженерное бюро, которое является головным в части проектирования российских подводных лодок.
Как мы уже не раз говорили в отношении наших соседей из Китая - дружба дружбой, а табачок врозь. Никогда не стоит забывать об этом нашим коллегам из государственных учреждений, обеспечивающих информационную безопасность.
Forwarded from SecurityLab.ru (SecurityLab news)
В результате масштабного расследования сотрудникам правоохранительных органов Германии удалось отключить
одну из крупнейших в даркнете online-платформ с детской порнографией. Платформа Boystown была активна как минимум с июня 2019 года и насчитывала более 400 тыс. подписчиков.
https://www.securitylab.ru/news/519697.php
одну из крупнейших в даркнете online-платформ с детской порнографией. Платформа Boystown была активна как минимум с июня 2019 года и насчитывала более 400 тыс. подписчиков.
https://www.securitylab.ru/news/519697.php
t.me
Правоохранители закрыли одну из крупнейших online-платформ с детской порнографией
Платформа Boystown была активна как минимум с июня 2019 года и насчитывала более 400 тыс. подписчиков.
Invanti, разработчик Pulse Secure VPN, выпустили таки обновление безопасности, которое закрывает критическую уязвимость CVE-2021-22893 (оценка критичности по CVSS - 10 из 10).
Ошибка позволяла пользователю, не прошедшему аутентификацию, осуществить удаленное выполнение кода (RCE) - страшный сон любого инфобезопасника.
0-day уязвимость, эксплуатируемая в дикой природе, была обнаружена в апреле американскими исследователями из FireEye. Тогда было заявлено, что эта дырка, в сочетании с ранее известными CVE-2019-11510, CVE-2020-8243 и CVE-2020-8260, использовалась двумя акторами для атак на оборонные, промышленные и финансовые организации в США и Европе. Один из них с большой долей вероятности был атрибутирован как китайская APT 5 aka Keyhole Panda, ранее уже использовавшая ошибки в VPN сервисах Fortinet и Pulse Secure для проведения своих атак.
Если вы используете Pulse Secure VPN - самое время обновиться.
Ошибка позволяла пользователю, не прошедшему аутентификацию, осуществить удаленное выполнение кода (RCE) - страшный сон любого инфобезопасника.
0-day уязвимость, эксплуатируемая в дикой природе, была обнаружена в апреле американскими исследователями из FireEye. Тогда было заявлено, что эта дырка, в сочетании с ранее известными CVE-2019-11510, CVE-2020-8243 и CVE-2020-8260, использовалась двумя акторами для атак на оборонные, промышленные и финансовые организации в США и Европе. Один из них с большой долей вероятности был атрибутирован как китайская APT 5 aka Keyhole Panda, ранее уже использовавшая ошибки в VPN сервисах Fortinet и Pulse Secure для проведения своих атак.
Если вы используете Pulse Secure VPN - самое время обновиться.
Telegram
SecAtor
Специалисты Pulse Secure подтвердили доводы FireEye об атаках с использованием уязвимостей в оборудовании Pulse Secure VPN, которые они задетектили еще августе 2020, когда злоумышленникам удалось закрепиться в сетях оборонных подрядчиков США и европейских…
Signal красиво нагнул Facebook.
Администрация мессенджера хотела закупить многовариантную таргетированную рекламу в Instagram, чтобы продемонстрировать насколько большой объем персонифицированной информации о пользователях собирает Facebook и его дочерние компании. В рекламе просто отображалась бы собранная о пользователе информация, которая используется рекламными платформами.
Естественно, что Цукерберг воскликнул "Нет! Я на это пойти не могу!", после чего рекламный аккаунт Signal был забанен.
На самом деле это великолепно спланированная провокация со стороны Signal, после начала которой Facebook попал в цугцванг - положение в шахматной партии, когда любой ход ведет к ухудшению ситуации.
Pure pwned!
Администрация мессенджера хотела закупить многовариантную таргетированную рекламу в Instagram, чтобы продемонстрировать насколько большой объем персонифицированной информации о пользователях собирает Facebook и его дочерние компании. В рекламе просто отображалась бы собранная о пользователе информация, которая используется рекламными платформами.
Естественно, что Цукерберг воскликнул "Нет! Я на это пойти не могу!", после чего рекламный аккаунт Signal был забанен.
На самом деле это великолепно спланированная провокация со стороны Signal, после начала которой Facebook попал в цугцванг - положение в шахматной партии, когда любой ход ведет к ухудшению ситуации.
Pure pwned!
Мы никак не можем сформировать свое отношение к инфосек компании Qualys. С одной стороны, ребята весьма скилованые и способны раскапывать древние уязвимости, на которые никто не обращал внимание многие годы, к примеру Baron Samedit.
С другой - они постоянно сами становятся жертвами хакеров. То Sunburst на свой SolarWinds Orion подцепят, то оператор ransomware Cl0p на них набежит и ограбит корованы.
К счастью в этот раз Qualys проявили себя со своей хорошей стороны и раскопали целую 21 уязвимость в опенсорсном почтовом севере Exim, который в настоящее время является самым распространенным в Интернет.
Набор уязвимостей получил название 21Nails, 10 из входящих в него ошибок могут эксплуатироваться удаленно. По итогу с использованием этих дырок хакер может полностью захватить контроль над сервером Exim и, в том числе, получить доступ к проходящему через него почтовому трафику.
А теперь наберите побольше воздуха... приготовились?! Ну?! Уязвимостям из набора 21Nails подвержены ВСЕ версии Exim, выпущенные за последние 17 лет (sic!), вплоть до 4.94.2, в которой они были исправлены намедни.
Qualys заявили, что эксплойты уязвимостей из 21Nails они публиковать не будут, но, с другой стороны, имеющихся технических заметок вполне достаточно квалифицированному хакеру для их собственной разработки.
Поэтому помним про золотые 72 часа и срочно обновляем свои Exim, если таковые имеются в использовании.
С другой - они постоянно сами становятся жертвами хакеров. То Sunburst на свой SolarWinds Orion подцепят, то оператор ransomware Cl0p на них набежит и ограбит корованы.
К счастью в этот раз Qualys проявили себя со своей хорошей стороны и раскопали целую 21 уязвимость в опенсорсном почтовом севере Exim, который в настоящее время является самым распространенным в Интернет.
Набор уязвимостей получил название 21Nails, 10 из входящих в него ошибок могут эксплуатироваться удаленно. По итогу с использованием этих дырок хакер может полностью захватить контроль над сервером Exim и, в том числе, получить доступ к проходящему через него почтовому трафику.
А теперь наберите побольше воздуха... приготовились?! Ну?! Уязвимостям из набора 21Nails подвержены ВСЕ версии Exim, выпущенные за последние 17 лет (sic!), вплоть до 4.94.2, в которой они были исправлены намедни.
Qualys заявили, что эксплойты уязвимостей из 21Nails они публиковать не будут, но, с другой стороны, имеющихся технических заметок вполне достаточно квалифицированному хакеру для их собственной разработки.
Поэтому помним про золотые 72 часа и срочно обновляем свои Exim, если таковые имеются в использовании.
www.exim.org
Exim Internet Mailer
Exim is a message transfer agent (MTA) developed at the University of Cambridge for use on Unix systems connected to the Internet.
Вчера вечером государственный провайдер Бельгии Belnet подвергся массированной DDoS-атаке, в результате которой практически лег.
Самое неприятное для бельгийцев то, что на Belnet завязаны все правительственные учреждения. В результате атаки более 200 государственных сервисов, например налоговый портал или сервис резервирования вакцин от COVID-19, были выведены из строя. Сессии Парламента и других госорганов также были отложены из-за невозможности удаленного подключения.
Некоторые бельгийские политики говорят о совпадении момента атаки с временем начала слушаний в бельгийском Парламенте в отношении уйгурских исправительно-трудовых лагерей в Китае.
А всего-то навсего полтора миллиарда неравнодушных китайских пользователей решили ознакомится с трансляцией слушаний...
Самое неприятное для бельгийцев то, что на Belnet завязаны все правительственные учреждения. В результате атаки более 200 государственных сервисов, например налоговый портал или сервис резервирования вакцин от COVID-19, были выведены из строя. Сессии Парламента и других госорганов также были отложены из-за невозможности удаленного подключения.
Некоторые бельгийские политики говорят о совпадении момента атаки с временем начала слушаний в бельгийском Парламенте в отношении уйгурских исправительно-трудовых лагерей в Китае.
А всего-то навсего полтора миллиарда неравнодушных китайских пользователей решили ознакомится с трансляцией слушаний...
Twitter
Doug Madory
Belnet (AS2611) was under DDoS attack today. Belnet is a govt-funded ISP that serves the Belgian parliament as well as other govt and educational entities. Graphic based on @kentikinc data showing surge in traffic earlier today.
Forwarded from Эксплойт | Live
Google заблокировал издателя игр из-за «подозрительной активности» и не смог его разблокировать
Когда разработчик написал в службу поддержки Google, ему сказали, что ничего не могут сделать.
Один из сотрудников техподдержки рассказал, что пару месяцев назад он заблокировал доступ к своей учётной записи и так и не смог его восстановить.
Изучив ситуацию, разработчик нашёл решение и поделился им с техподдержкой:
1. Нужно было нажать F12 на странице ввода электронной почты
2. Выбрать приложение, кликнуть на файлы cookie и выбрать пункт «Очистить»
В конце диалога издатель игр пошутил, что он, кажется, «стал новым сотрудником техподдержки Google».
Когда разработчик написал в службу поддержки Google, ему сказали, что ничего не могут сделать.
Один из сотрудников техподдержки рассказал, что пару месяцев назад он заблокировал доступ к своей учётной записи и так и не смог его восстановить.
Изучив ситуацию, разработчик нашёл решение и поделился им с техподдержкой:
1. Нужно было нажать F12 на странице ввода электронной почты
2. Выбрать приложение, кликнуть на файлы cookie и выбрать пункт «Очистить»
В конце диалога издатель игр пошутил, что он, кажется, «стал новым сотрудником техподдержки Google».