Авторитетные Check Point раскрыли фишку нового вредоносного ПО XLoader, заточенного под системы macOS.
Оказалось, что его кодовая база совпадает с Formbook, функционал которого позволял собирать учетные данные из различных веб-браузеров, скриншотить экраны, логировать нажатия клавиш, разворачивать полезные нагрузки в системах под управлением ОС Windows. Наследник перенял весь арсенал и способен также собирать учетные данные для входа в систему яблочника.
Такая роскошь доступна в Darknet за 49 долларов США, ровно за такой прайс операторы предлагают лицензию. И ровно поэтому ПО приобрело высокую популярность среди хакеров, которым с его помощью удалось с начала 2021 инфицировать системы в 69 странах, причем 53% случаев заражения были зарегистрированы только в США, затем уже - в КНР, Мексике, Германии и Франции. Для доставки обычно использовались рассылки электронных писем с вредоносными файлами Microsoft Office.
Не менее востребованным, как отмечают Check Point, был Formbook, продажи которого стартовали в январе 2016 года и прекратились в октябре 2017, успев стать третьим среди самых распространяемых штаммов ВПО, заразив 4% организаций по всему миру. Вскоре продажи модернизированного ПО возобновились на том же форуме под брендом XLoader в феврале 2020 года.
XLoader фактически сокращает существовавший до настоящего времени разрыв на рынке malware, адаптированного под MacOS и Windows системы. Можно считать, что яблочники лишились своего негласного привилегированного положения среди юзеров.
Оказалось, что его кодовая база совпадает с Formbook, функционал которого позволял собирать учетные данные из различных веб-браузеров, скриншотить экраны, логировать нажатия клавиш, разворачивать полезные нагрузки в системах под управлением ОС Windows. Наследник перенял весь арсенал и способен также собирать учетные данные для входа в систему яблочника.
Такая роскошь доступна в Darknet за 49 долларов США, ровно за такой прайс операторы предлагают лицензию. И ровно поэтому ПО приобрело высокую популярность среди хакеров, которым с его помощью удалось с начала 2021 инфицировать системы в 69 странах, причем 53% случаев заражения были зарегистрированы только в США, затем уже - в КНР, Мексике, Германии и Франции. Для доставки обычно использовались рассылки электронных писем с вредоносными файлами Microsoft Office.
Не менее востребованным, как отмечают Check Point, был Formbook, продажи которого стартовали в январе 2016 года и прекратились в октябре 2017, успев стать третьим среди самых распространяемых штаммов ВПО, заразив 4% организаций по всему миру. Вскоре продажи модернизированного ПО возобновились на том же форуме под брендом XLoader в феврале 2020 года.
XLoader фактически сокращает существовавший до настоящего времени разрыв на рынке malware, адаптированного под MacOS и Windows системы. Можно считать, что яблочники лишились своего негласного привилегированного положения среди юзеров.
Check Point Research
Top prevalent malware with a thousand campaigns migrates to macOS - Check Point Research
As reported by Check Point in December 2020, Formbook Info Stealer affected 4% of organizations worldwide and made it to the top 3 list of the most prevalent malware. Now it received a second birth under the name of XLoader, migrated to macOS and is able…
Набирает обороты скандал вокруг израильской компании NSO Group, реализующей на рынок лицензируемые технологии для шпионажа, в фокус общественности попало ПО Pegasus.
В Индии по этому поводу разразился настоящий «Уотергейт», а во Франции на расследование инцидента брошены все силы спецслужб.
Ситуация со слитым списком целевых номеров жертв ровным счетом такая же, которая ожидает клиентов заблокированного «Глаза бога»: дозировано будут придаваться огласке сведения об объектах и заказчиках наблюдения. При этом следует понимать, что пока одни наблюдают за другими админы палят и тех и других.
В случае с Pegasus портянку с номерами выкатили одномоментно: в списке потенциальных объектов слежки были действующие президенты Эммануэль Макрон (Франция), Бархам Салех (Ирак) и Сирил Рамафоса (ЮАР), среди нынешних премьеров - Имран Хан (Пакистан), Мустафа Мадбули (Египет) и Саад ад-Дин аль-Усмани (Марокко), бывшие и действующие министры, политики, политтехнологи, журналисты и даже монарх - король Марокко Мухаммед VI. Кроме того, под колпак попал даже основатель Telegram Павел Дуров.
Нового в этой истории нет, NSO Group далеко не единственная в Израиле, а тем более в мире - компания, которая разрабатывает технологий для шпионажа и электронной разведки. Вопрос в другом, умелая игра в демократию и права человека - отличный инструмент для давления на «попутавших берега» вендоров.
Хочешь следить за президентами и тем более из числа первой лиги - спроси сначала разрешения у дяди Сэма. А если забыл - тебе напомнят.
В Индии по этому поводу разразился настоящий «Уотергейт», а во Франции на расследование инцидента брошены все силы спецслужб.
Ситуация со слитым списком целевых номеров жертв ровным счетом такая же, которая ожидает клиентов заблокированного «Глаза бога»: дозировано будут придаваться огласке сведения об объектах и заказчиках наблюдения. При этом следует понимать, что пока одни наблюдают за другими админы палят и тех и других.
В случае с Pegasus портянку с номерами выкатили одномоментно: в списке потенциальных объектов слежки были действующие президенты Эммануэль Макрон (Франция), Бархам Салех (Ирак) и Сирил Рамафоса (ЮАР), среди нынешних премьеров - Имран Хан (Пакистан), Мустафа Мадбули (Египет) и Саад ад-Дин аль-Усмани (Марокко), бывшие и действующие министры, политики, политтехнологи, журналисты и даже монарх - король Марокко Мухаммед VI. Кроме того, под колпак попал даже основатель Telegram Павел Дуров.
Нового в этой истории нет, NSO Group далеко не единственная в Израиле, а тем более в мире - компания, которая разрабатывает технологий для шпионажа и электронной разведки. Вопрос в другом, умелая игра в демократию и права человека - отличный инструмент для давления на «попутавших берега» вендоров.
Хочешь следить за президентами и тем более из числа первой лиги - спроси сначала разрешения у дяди Сэма. А если забыл - тебе напомнят.
Foreign Policy
India’s Watergate Moment
A journalist hacked by Pegasus says he will survive, but Indian democracy may not.
Microsoft выкатили временное решение для ошибки CVE-2021-36934, известной как SeriousSAM, которая затрагивает все версии Windows 10, выпущенные за последние 2,5 года.
Об уязвимости стало известно на прошлой неделе, когда в результате тестирования Windows 11 исследователь Jonas Lyk обратил внимание на то, что конфиденциальные файлы конфигурации SAM, SECURITY и SYSTEM были доступны в резервных копиях, созданных Shadow Volume Copy.
Ошибка затрагивает базу данных диспетчера учетных записей безопасности во всех версиях Windows 10,начиная с v 1809. Доступ к файлу конфигурации Security Account Manager дает злоумышленникам возможность украсть хешированные пароли, взломать хэши в автономном режиме и захватить учетные записи. Другие файлы конфигурации, хранящиеся в папках SYSTEM и SECURITY, также могут содержать критичные данные, в том числе ключи шифрования DPAPI и сведения об учетной записи компьютера, используемые для присоединения компьютеров к Active Directory. По итогу уязвимость может позволить локальному злоумышленнику запустить свой собственный код с системными привилегиями.
Несмотря на всю серьезность в Microsoft скептически отнеслись к CVE, отметив, что злоумышленник должен прежде получить возможность выполнять код в целевой системе, чтобы воспользоваться этой уязвимостью.
Тем не менее, для купирования угроз они предлагают ограничить доступ к содержимому % windir% \ system32 \ config и удалить все точки восстановления системы и теневые тома, которые существовали до вводимого ограничения доступа.
Об уязвимости стало известно на прошлой неделе, когда в результате тестирования Windows 11 исследователь Jonas Lyk обратил внимание на то, что конфиденциальные файлы конфигурации SAM, SECURITY и SYSTEM были доступны в резервных копиях, созданных Shadow Volume Copy.
Ошибка затрагивает базу данных диспетчера учетных записей безопасности во всех версиях Windows 10,начиная с v 1809. Доступ к файлу конфигурации Security Account Manager дает злоумышленникам возможность украсть хешированные пароли, взломать хэши в автономном режиме и захватить учетные записи. Другие файлы конфигурации, хранящиеся в папках SYSTEM и SECURITY, также могут содержать критичные данные, в том числе ключи шифрования DPAPI и сведения об учетной записи компьютера, используемые для присоединения компьютеров к Active Directory. По итогу уязвимость может позволить локальному злоумышленнику запустить свой собственный код с системными привилегиями.
Несмотря на всю серьезность в Microsoft скептически отнеслись к CVE, отметив, что злоумышленник должен прежде получить возможность выполнять код в целевой системе, чтобы воспользоваться этой уязвимостью.
Тем не менее, для купирования угроз они предлагают ограничить доступ к содержимому % windir% \ system32 \ config и удалить все точки восстановления системы и теневые тома, которые существовали до вводимого ограничения доступа.
Twitter
Jonas L
yarh- for some reason on win11 the SAM file now is READ for users. So if you have shadowvolumes enabled you can read the sam file like this: I dont know the full extent of the issue yet, but its too many to not be a problem I think.
Работа над ошибками коснулась и Linux. Выпущен патч для двух уязвимостей файловой системы Linux, который дает даже непривилегированному пользователю привилегии root в Ubuntu 20.04, Ubuntu 20.10, Ubuntu 21.04, Debian 11 и Fedora 34 Workstation. Другие сборки Linux, вероятно, также уязвимы для атак.
Ошибку файловой системы ядра совсем недавно обнаружила команда Qualys Research. Дыра в безопасности Linux была названа Sequoia и обозначена как CVE-2021-33909. Ранее они же выявили и уязаимость (CVE-2021-33910) отказа в обслуживании при исчерпании стека в systemd.
Достаточно оперативно Эрик Сандин, ведущий разработчик файловой системы Red Hat, предложил решение, а Грег Кроа-Хартман, разработчик ядра Linux, воплотил его, выпустив исправление Linux 5.13.4. Так что вперед: оно доступно для большинства дистрибутивов Linux с 3.16 по 5.13.x.
Кроме того, если вы не можете обновить ядро, вы все равно можете смягчить проблему, установив / proc / sys / kernel / unprivileged_userns_clone на 0 и / proc / sys / kernel / unprivileged_bpf_disabled равным 1. Но если вы не хотите превращать свою систему в лейку - все же лучше прикрыть дыру в безопасности, обновив ядро.
Ошибку файловой системы ядра совсем недавно обнаружила команда Qualys Research. Дыра в безопасности Linux была названа Sequoia и обозначена как CVE-2021-33909. Ранее они же выявили и уязаимость (CVE-2021-33910) отказа в обслуживании при исчерпании стека в systemd.
Достаточно оперативно Эрик Сандин, ведущий разработчик файловой системы Red Hat, предложил решение, а Грег Кроа-Хартман, разработчик ядра Linux, воплотил его, выпустив исправление Linux 5.13.4. Так что вперед: оно доступно для большинства дистрибутивов Linux с 3.16 по 5.13.x.
Кроме того, если вы не можете обновить ядро, вы все равно можете смягчить проблему, установив / proc / sys / kernel / unprivileged_userns_clone на 0 и / proc / sys / kernel / unprivileged_bpf_disabled равным 1. Но если вы не хотите превращать свою систему в лейку - все же лучше прикрыть дыру в безопасности, обновив ядро.
Qualys
Sequoia: A Local Privilege Escalation Vulnerability in Linux’s Filesystem Layer (CVE-2021-33909) | Qualys
The Qualys Research Team has discovered a size_t-to-int type conversion vulnerability in the Linux Kernel’s filesystem layer affecting most Linux operating systems. Any unprivileged user can gain root…
Везде уже распиарили новость о том, что спустя почти три недели Kaseya после проваленных переговоров и безуспешных попыток получить ключ дешифрования, наконец-то достали универсальный дешифратор вымогателя REvil для разблокировки систем и помощи пострадавшим клиентам в восстановлении их данных.
Жертвы вели торги с представителем REvil, прогнув вымогателей до 50 млн. зелёных, однако после таинственного исчезновения хакеров возможности разрулить инцидент были исчерпаны. Critical Insight сообщали, что один из ее клиентов приобретал у REvil ключ, но в процессе работ пришли к выводу о его бесполезности.
Легитимность и эффективность вновь полученного Kaseya ключа подтвердили даже в Emsisoft, привлеченной разработчиком для помощи клиентам в восстановлении и устранении последствий инцидента.
Сейчас главный вопрос, который интересует весь инфосек - откуда взялся дешифратор, ведь Kaseya скупо назвала источник «доверенной третьей стороной».
Быть может, именно на такой мажорной ноте заканчивался тот самый разговор, ну вы понимаете, о чем это мы.
Жертвы вели торги с представителем REvil, прогнув вымогателей до 50 млн. зелёных, однако после таинственного исчезновения хакеров возможности разрулить инцидент были исчерпаны. Critical Insight сообщали, что один из ее клиентов приобретал у REvil ключ, но в процессе работ пришли к выводу о его бесполезности.
Легитимность и эффективность вновь полученного Kaseya ключа подтвердили даже в Emsisoft, привлеченной разработчиком для помощи клиентам в восстановлении и устранении последствий инцидента.
Сейчас главный вопрос, который интересует весь инфосек - откуда взялся дешифратор, ведь Kaseya скупо назвала источник «доверенной третьей стороной».
Быть может, именно на такой мажорной ноте заканчивался тот самый разговор, ну вы понимаете, о чем это мы.
Telegram
SecAtor
Сегодня взбудораженные поклонники инфосека пытаются понять, что же случилось на самом деле: сразу после телефонного разговора лидеров РФ и США веб-сайты и сервера банды вымогателей REvil странным образом закрылись.
По сведениям Аль Смита из Tor Project…
По сведениям Аль Смита из Tor Project…
Составлен новый список наиболее распространенных и опасных уязвимостей программного обеспечения за 2019-2020 гг.
Над списком трудились лучшие аналитики MITER, выдав ТОП-25 самых опасных ошибок, влияющих на код, архитектуру, реализацию или дизайн программного решения, потенциально подвергая системы, на которых оно работает, атакам. Аналитика охватывает примерно 27000 CVE, объединённых в Национальную базу данных уязвимостей (NVD).
В основе рейтинга формула расчета, основанная на оценке частоты CVE, степени ее влияния на защищённость и практики ее применения. Именно такой подход, по мнению исследователей, дает объективный взгляд на реальный ландшафт угроз.
Приведенный MITER рейтинг, безусловно, должен стать настольной книгой спеца инфосек.
Нынешний анализ особенно полезен, если учесть, что прошлую оценку проводили только в 2019 году CISA совместно с ФБР, опубликовав список из 10 наиболее часто используемых уязвимостей системы безопасности в 2016-2019 гг.
Над списком трудились лучшие аналитики MITER, выдав ТОП-25 самых опасных ошибок, влияющих на код, архитектуру, реализацию или дизайн программного решения, потенциально подвергая системы, на которых оно работает, атакам. Аналитика охватывает примерно 27000 CVE, объединённых в Национальную базу данных уязвимостей (NVD).
В основе рейтинга формула расчета, основанная на оценке частоты CVE, степени ее влияния на защищённость и практики ее применения. Именно такой подход, по мнению исследователей, дает объективный взгляд на реальный ландшафт угроз.
Приведенный MITER рейтинг, безусловно, должен стать настольной книгой спеца инфосек.
Нынешний анализ особенно полезен, если учесть, что прошлую оценку проводили только в 2019 году CISA совместно с ФБР, опубликовав список из 10 наиболее часто используемых уязвимостей системы безопасности в 2016-2019 гг.
cwe.mitre.org
CWE -
2021 CWE Top 25 Most Dangerous Software Weaknesses
2021 CWE Top 25 Most Dangerous Software Weaknesses
Common Weakness Enumeration (CWE) is a list of software and hardware weaknesses.
Начинаем новую неделю новостями deep state.
Американский журналист-консерватор Такер Карлсон ранее обвинил АНБ в том, что агентство перехватывало его сообщения и пыталось использовать полученные данные для давления на его программу. Карлсон является одним из наиболее известных телеведущих, работающим на прореспубликанском канале Fox News. Соответственно он неоднократно обвинял Демпартию США в нечестной игре, в том числе на выборах американского Президента.
По результатам нападок на журналиста в АНБ последовал запрос Конгресса, на который Агентство ответило, что не занимается слежкой за гражданами США.
Позже, правда, в АНБ сказали, что Карлсон таки был упомянут в сообщениях неких третьих лиц, видимо неграждан Америки, а вот эти сообщения они уже перехватили. Правда кто журналиста упоминал, электронные шпионы сказать отказались.
Мы же напомним про программу PRISM, информацию о существовании которой слил 8 лет назад товарищ Сноуден, перед тем как смазать лыжи и рвануть в сторону Белокаменной. Именно в рамках этой программы "не следящее за американскими гражданами" АНБ собирало весь трафик, до которого только могло дотянуться, в том числе проходящий по территории Америки.
Но это нам только показалось - просто свет Венеры отразился от верхних слоев атмосферы и вызвал взрыв болотного газа.
Американский журналист-консерватор Такер Карлсон ранее обвинил АНБ в том, что агентство перехватывало его сообщения и пыталось использовать полученные данные для давления на его программу. Карлсон является одним из наиболее известных телеведущих, работающим на прореспубликанском канале Fox News. Соответственно он неоднократно обвинял Демпартию США в нечестной игре, в том числе на выборах американского Президента.
По результатам нападок на журналиста в АНБ последовал запрос Конгресса, на который Агентство ответило, что не занимается слежкой за гражданами США.
Позже, правда, в АНБ сказали, что Карлсон таки был упомянут в сообщениях неких третьих лиц, видимо неграждан Америки, а вот эти сообщения они уже перехватили. Правда кто журналиста упоминал, электронные шпионы сказать отказались.
Мы же напомним про программу PRISM, информацию о существовании которой слил 8 лет назад товарищ Сноуден, перед тем как смазать лыжи и рвануть в сторону Белокаменной. Именно в рамках этой программы "не следящее за американскими гражданами" АНБ собирало весь трафик, до которого только могло дотянуться, в том числе проходящий по территории Америки.
Но это нам только показалось - просто свет Венеры отразился от верхних слоев атмосферы и вызвал взрыв болотного газа.
therecord.media
NSA review finds that Tucker Carlson’s communications were not targeted
The NSA has found no evidence to support Tucker Carlson’s accusations that the agency had been spying on him in an effort to knock his show off the air, two people familiar with the matter told The Record.
Telegram опасносте!
Исследователи из японской Trend Micro (мы все помним, что она не совсем японская, но суть не в этом) обнаружили новый функционал вредоноса XCSSET для macOS Big Sur, направленный на кражу Telegram-аккаунтов.
Как мы уже писали эта малварь была найдена в августе прошлого года теми же Trend Micro и активно использовала две 0-day уязвимости в macOS. Судя по функционалу она не принадлежала к кибершпионскому арсеналу, а являлась чисто коммерческой малварью, распространяющейся внутри скомпрометированных проектов Xcode.
В мае года текущего исследователи из Jamf обнаружили, что XCSSET активно использовал 0-day уязвимость CVE-2021-30657 в Big Sur для того, чтобы делать скриншоты и записывать экран в macOS.
И вот теперь слово снова взяли японские эксперты. Новый функционал XCSSET позволяет вредоносу собирать и отправлять на C2 данные нескольких приложений, среди которых Telegram, Chrome, Opera, Skype и др.
Что касается конкретно Telegram - фактически XCSSET крадет данные активной сессии, что позволит злоумышленнику зайти под ней со своей машины, просто скопировав соответствующую папку.
Будьте осторожны.
Исследователи из японской Trend Micro (мы все помним, что она не совсем японская, но суть не в этом) обнаружили новый функционал вредоноса XCSSET для macOS Big Sur, направленный на кражу Telegram-аккаунтов.
Как мы уже писали эта малварь была найдена в августе прошлого года теми же Trend Micro и активно использовала две 0-day уязвимости в macOS. Судя по функционалу она не принадлежала к кибершпионскому арсеналу, а являлась чисто коммерческой малварью, распространяющейся внутри скомпрометированных проектов Xcode.
В мае года текущего исследователи из Jamf обнаружили, что XCSSET активно использовал 0-day уязвимость CVE-2021-30657 в Big Sur для того, чтобы делать скриншоты и записывать экран в macOS.
И вот теперь слово снова взяли японские эксперты. Новый функционал XCSSET позволяет вредоносу собирать и отправлять на C2 данные нескольких приложений, среди которых Telegram, Chrome, Opera, Skype и др.
Что касается конкретно Telegram - фактически XCSSET крадет данные активной сессии, что позволит злоумышленнику зайти под ней со своей машины, просто скопировав соответствующую папку.
Будьте осторожны.
Trend Micro
Updated XCSSET Malware Targets Telegram, Other Apps
In our last update on the XCSSET campaign, we updated some of its features targeting latest macOS 11 (Big Sur). Since then, the campaign added more features to its toolset, which we have continually monitored. We have also discovered the mechanism used to…
По наводке Лукацкого посмотрели интересный материал - сколько получают в США специалисты по информационной безопасности.
Деньги, конечно, не космические. Но явно выше средней (ок, медианной) зарплаты по США.
Обратили внимание на зарплаты руководителей. Директор ИБ (аналог руководителя группы или направления ИБ) - средняя зарплата 170 тыс. долларов, CISO - средняя зарплата 188 тыс. долларов (в год, естественно). Мы понимаем, что прямое сравнение с российскими реалиями неуместно и тем не менее разница более чем ощутимая.
Поэтому когда мы слышим удивленные рассуждения о том, что очередная российская компания, да еще и обремененная КИИ или персданными, ищет руководителя ИБ для выстраивания с нуля этой самой ИБ на зарплату 200 тыс. рублей и почему-то месяцами не может его найти, мы лишь привычно закатываем глаза к потолку.
Вспоминается анекдот про мертвую старушку в борделе за 2 доллара...
Деньги, конечно, не космические. Но явно выше средней (ок, медианной) зарплаты по США.
Обратили внимание на зарплаты руководителей. Директор ИБ (аналог руководителя группы или направления ИБ) - средняя зарплата 170 тыс. долларов, CISO - средняя зарплата 188 тыс. долларов (в год, естественно). Мы понимаем, что прямое сравнение с российскими реалиями неуместно и тем не менее разница более чем ощутимая.
Поэтому когда мы слышим удивленные рассуждения о том, что очередная российская компания, да еще и обремененная КИИ или персданными, ищет руководителя ИБ для выстраивания с нуля этой самой ИБ на зарплату 200 тыс. рублей и почему-то месяцами не может его найти, мы лишь привычно закатываем глаза к потолку.
Вспоминается анекдот про мертвую старушку в борделе за 2 доллара...
CSO
Cybersecurity salaries: What 8 top security jobs pay
IT security is of major concern to all organizations, and they're willing to pay to get top talent. Are you being paid what you are worth? Take a minute to check.
Вчерашнее обновление iOS, iPadOS и MacOS, как оказалось, исправляет очередную 0-day уязвимость CVE-2021-30807 в расширении ядра IOMobileFramebuffer.
Ошибка приводит, как в последнее время заведено, к удаленному выполнению кода (RCE), да еще с привилегиями ядра. Но самое опасное в том, что, по заявлению Apple, "согласно одному из отчетов уязвимость может активно эксплуатироваться в дикой природе". Правда более никаких данных об этой эксплуатации не приводится.
Между тем в сети появились технические подробности новой ошибки, так что эксплойт, наверняка, уже где-то гуляет. Кроме того, некоторые исследователи высказали предположение, что CVE-2021-30807 могла быть использована кибершпионским ПО Pegasus от израильской NSO Group, что не лишено основания.
Но самое важное во всем этом - побыстрее обновить свои яблочные устройства. Вы же не хотите, чтобы Ицхак Моисеевич читал ваши сообщения сидя в офисе в Герцлии, не так ли?
Ошибка приводит, как в последнее время заведено, к удаленному выполнению кода (RCE), да еще с привилегиями ядра. Но самое опасное в том, что, по заявлению Apple, "согласно одному из отчетов уязвимость может активно эксплуатироваться в дикой природе". Правда более никаких данных об этой эксплуатации не приводится.
Между тем в сети появились технические подробности новой ошибки, так что эксплойт, наверняка, уже где-то гуляет. Кроме того, некоторые исследователи высказали предположение, что CVE-2021-30807 могла быть использована кибершпионским ПО Pegasus от израильской NSO Group, что не лишено основания.
Но самое важное во всем этом - побыстрее обновить свои яблочные устройства. Вы же не хотите, чтобы Ицхак Моисеевич читал ваши сообщения сидя в офисе в Герцлии, не так ли?
Загадочная история компании Kaseya продолжается.
Как мы писали на прошлой неделе, представители Kaseya заявили, что получили универсальный дешифратор, который позволит расшифровать данные всех ее клиентов, ставших жертвами ransomware REvil. Источником дешифратора Kaseya называет "доверенную третью сторону".
Само собой, поползли слухи, что компания таки заплатила втихаря через посредника выкуп в 50 млн. долларов, чтобы получить дешифратор.
Однако вчера представители Kaseya прямо заявили, что не платили никакого выкупа ни напрямую, ни через посредника. При этом, по слухам, компания заставляет своих клиентов, которые хотят воспользоваться дешифратором, подписать некий NDA.
С учетом того, что 13 июля сразу после разговора товарища Путина с товарищем Байденом инфраструктура REvil отключилась, то можно сделать определенные предположения о том, какого типа учреждение послужило источником универсального дешифратора.
А может все это нам просто чудится. И ̶б̶а̶б̶к̶а̶ Kaseya врет.
Как мы писали на прошлой неделе, представители Kaseya заявили, что получили универсальный дешифратор, который позволит расшифровать данные всех ее клиентов, ставших жертвами ransomware REvil. Источником дешифратора Kaseya называет "доверенную третью сторону".
Само собой, поползли слухи, что компания таки заплатила втихаря через посредника выкуп в 50 млн. долларов, чтобы получить дешифратор.
Однако вчера представители Kaseya прямо заявили, что не платили никакого выкупа ни напрямую, ни через посредника. При этом, по слухам, компания заставляет своих клиентов, которые хотят воспользоваться дешифратором, подписать некий NDA.
С учетом того, что 13 июля сразу после разговора товарища Путина с товарищем Байденом инфраструктура REvil отключилась, то можно сделать определенные предположения о том, какого типа учреждение послужило источником универсального дешифратора.
А может все это нам просто чудится. И ̶б̶а̶б̶к̶а̶ Kaseya врет.
Telegram
SecAtor
Везде уже распиарили новость о том, что спустя почти три недели Kaseya после проваленных переговоров и безуспешных попыток получить ключ дешифрования, наконец-то достали универсальный дешифратор вымогателя REvil для разблокировки систем и помощи пострадавшим…
Британская NCC Group опубликовала данные в отношении выявленной уязвимости CVE-2021-36380 в малоизвестном приложении Sunhillo SureLine производства американской компании Sunhillo.
Выявленная ошибка позволила бы злоумышленнику осуществить модный в этом сезоне RCE с правами root. То есть фактически взять под полный контроль целевую систему. Ну выявили и выявили, казалось бы...
Но дело осложняется тем, что малоизвестное приложение Sunhillo SureLine - это система наблюдения за воздушными судами, которая используется авиаиндустрией по всему миру, в том числе вооруженными силами США. А сама компания Sunhillo - признанный лидер в этой области.
Очередная дырка в OT. И хрен кто про нее узнает, а следовательно не будет резонанса, а значит и старания производителей соблюсти стандарты безопасной разработки будут на уровне плинтуса. Пока не случится "Крепкий орешек - 2". Правда без крепкого орешка.
Выявленная ошибка позволила бы злоумышленнику осуществить модный в этом сезоне RCE с правами root. То есть фактически взять под полный контроль целевую систему. Ну выявили и выявили, казалось бы...
Но дело осложняется тем, что малоизвестное приложение Sunhillo SureLine - это система наблюдения за воздушными судами, которая используется авиаиндустрией по всему миру, в том числе вооруженными силами США. А сама компания Sunhillo - признанный лидер в этой области.
Очередная дырка в OT. И хрен кто про нее узнает, а следовательно не будет резонанса, а значит и старания производителей соблюсти стандарты безопасной разработки будут на уровне плинтуса. Пока не случится "Крепкий орешек - 2". Правда без крепкого орешка.
Nccgroup
Cyber Security Research
Cutting-edge cyber security research from NCC Group. Find public reports, technical advisories, analyses, & other novel insights from our global experts.
Рабочий день в европейской части России подошел к концу и все хотят холодного пива (ну или Апероль Шприц, нопремер).
Мы тоже хотим, поэтому в этот раз дадим ссылкой.
Если вкратце - Cisco Talos нашли целых три уязвимости в популярной PDF-читалке Foxit Reader. Все три приводят к удаленному выполнению кода. Производитель их уже исправил в версии 11.0.0.49893. Если ваша версия более ранняя - срочно обновляйтесь.
Мы тоже хотим, поэтому в этот раз дадим ссылкой.
Если вкратце - Cisco Talos нашли целых три уязвимости в популярной PDF-читалке Foxit Reader. Все три приводят к удаленному выполнению кода. Производитель их уже исправил в версии 11.0.0.49893. Если ваша версия более ранняя - срочно обновляйтесь.
Cisco Talos Blog
Vulnerability Spotlight: Use-after-free in Google Chrome could lead to code execution
Marcin Towalski of Cisco Talos discovered this vulnerability.
Cisco Talos recently discovered an exploitable use-after-free vulnerability in Google Chrome.
Google Chrome is a cross-platform web browser — and Chromium is the open-source version of the browser…
Cisco Talos recently discovered an exploitable use-after-free vulnerability in Google Chrome.
Google Chrome is a cross-platform web browser — and Chromium is the open-source version of the browser…
Forwarded from SecurityLab.ru (Pipiggi)
Канадский производитель VPN-сервиса Windscribe не использовал шифрование для защиты своих VPN-серверов, недавно изъятых Службой безопасности Украины (СБУ). Именно благодаря отсутствию шифрования СБУ удалось подделать серверы Windscribe, перехватывать и расшифровывать проходящий через них трафик.
Ранее в этом месяце компания Windscribe сообщила , что два ее сервера, расположенные на территории Украины, были изъяты в рамках расследования инцидента, имевшего место год назад. Серверы, на которых было запущено ПО OpenVPN, были сконфигурированы таким образом, чтобы использовать устаревшие настройки, признанные уязвимыми еще в 2018 году (уязвимость позволяла третьим сторонам расшифровывать данные).
https://www.securitylab.ru/news/522744.php
Ранее в этом месяце компания Windscribe сообщила , что два ее сервера, расположенные на территории Украины, были изъяты в рамках расследования инцидента, имевшего место год назад. Серверы, на которых было запущено ПО OpenVPN, были сконфигурированы таким образом, чтобы использовать устаревшие настройки, признанные уязвимыми еще в 2018 году (уязвимость позволяла третьим сторонам расшифровывать данные).
https://www.securitylab.ru/news/522744.php
SecurityLab.ru
VPN-сервис Windscribe не использовал шифрование для своих VPN-серверов, изъятых СБУ
Благодаря отсутствию шифрования СБУ удалось подделать серверы Windscribe, перехватывать и расшифровывать трафик.
Bleeping Computer со ссылкой на MalwareHunterTeam и персонального врага владельцев ransomware Виталя Кремеза пишет, что новая версия работающего по схеме RaaS вымогателя LockBit содержит в себе функцию использования групповых политик Active Directory для шифрования сразу всего домена.
При запуске на контроллере домена вредонос создает несколько групповых политик, отключающих антивирусную защиту и автоматизирующих запуск ransomware на каждом отдельном хосте с обходом UAC.
Как говорит Кремез (а мы ему доверяем) - это первый образец вымогателя,который использует групповые политики для автоматизации процесса шифрования сети жертвы.
LockBit - вымогатель достаточно старый и известный, появился осенью 2019 года. В прошлом году некоторое время входил в т.н. Maze Cartel, вымогательский картель, организованный владельцами самого крупного на тот момент ransomware Maze. Из громких взломов - атака на крупнейшее информационное агентство Индии PTI и швейцарского производителя вертолетов Kopter Group AG. А месяц назад мы даже давали ссылку на отчет Prodaft Threat Intelligence, в котором подробно рассматривалась деятельность владельцев LockBit и их взаимодействие с операторами.
При запуске на контроллере домена вредонос создает несколько групповых политик, отключающих антивирусную защиту и автоматизирующих запуск ransomware на каждом отдельном хосте с обходом UAC.
Как говорит Кремез (а мы ему доверяем) - это первый образец вымогателя,который использует групповые политики для автоматизации процесса шифрования сети жертвы.
LockBit - вымогатель достаточно старый и известный, появился осенью 2019 года. В прошлом году некоторое время входил в т.н. Maze Cartel, вымогательский картель, организованный владельцами самого крупного на тот момент ransomware Maze. Из громких взломов - атака на крупнейшее информационное агентство Индии PTI и швейцарского производителя вертолетов Kopter Group AG. А месяц назад мы даже давали ссылку на отчет Prodaft Threat Intelligence, в котором подробно рассматривалась деятельность владельцев LockBit и их взаимодействие с операторами.
BleepingComputer
LockBit ransomware now encrypts Windows domains using group policies
An new version of the LockBit 2.0 ransomware has been found that automates the encryption of a Windows domain using Active Directory group policies.
И опять про ransomware.
Американская инфорсек компания Recorded Future посредством своего медиарупора TheRecord доводит до широкой инфосек общественности информацию о новом штамме ransomware, который называется BlackMatter.
С прошлой недели новая банда осуществляет набор партнеров для сотрудничества по схеме Ransomware-as-a-Service (RaaS) на известных хакерских форумах. При этом, поскольку и Exploit и XSS запретили прямую рекламу вымогателей после лучей добра, вызванных реакцией американского правительства на последние атаки ransomware, BlackMatter размещает объявления о найме т.н. "initial access brokers", то бишь товарищей, уже имеющих первичный доступ к скомпрометированным сетям.
Интересуют вымогателей исключительно корпоративные сети компаний, имеющих годовой revenue от 100 млн. долларов. Локация жертв - США, Великобритания, Канада или Австралия. Особо указаны исключения в виде медицинских организаций и государственных учреждений. Цена за доступ - от 3 до 100 тысяч долларов.
Также BlackMatter создали в даркнете сайт для утечек (на данный момент пуст). На сайте указан более широкий список запрещенных целей - больницы, объекты критической инфраструктуры, нефтегазовая промышленность, включая трубопроводы (привет Colonial Pipeline), оборонка, НКО и госорганы.
Эксперты Recorded Future полагают, что новый вымогатель может являться реинкарнацией банды Darkside, которую за взлом этого самого трубопровода Colonial Pipeline весной уконтропупили.
Мы же заметим, что вымогатели сделали выводы из последних анальных огораживаний, которые последовали за атаками на некошерные цели. Будь-то объект цепочки поставок, крупный трубопровод или поставщик мяса, от функционирования которого зависит будут ли подданые Ее Величества кушать мсяо или не будут. Поэтому теперь никаких операторов, никакого раздела выкупа - купили доступ и сами атаковали. Штат потребуется более серьезный, да и конспиративность в связи с этим пострадает, зато Байден не обидится и прибылью делиться не надо.
Эволюция ransomware в естественной среде.
Американская инфорсек компания Recorded Future посредством своего медиарупора TheRecord доводит до широкой инфосек общественности информацию о новом штамме ransomware, который называется BlackMatter.
С прошлой недели новая банда осуществляет набор партнеров для сотрудничества по схеме Ransomware-as-a-Service (RaaS) на известных хакерских форумах. При этом, поскольку и Exploit и XSS запретили прямую рекламу вымогателей после лучей добра, вызванных реакцией американского правительства на последние атаки ransomware, BlackMatter размещает объявления о найме т.н. "initial access brokers", то бишь товарищей, уже имеющих первичный доступ к скомпрометированным сетям.
Интересуют вымогателей исключительно корпоративные сети компаний, имеющих годовой revenue от 100 млн. долларов. Локация жертв - США, Великобритания, Канада или Австралия. Особо указаны исключения в виде медицинских организаций и государственных учреждений. Цена за доступ - от 3 до 100 тысяч долларов.
Также BlackMatter создали в даркнете сайт для утечек (на данный момент пуст). На сайте указан более широкий список запрещенных целей - больницы, объекты критической инфраструктуры, нефтегазовая промышленность, включая трубопроводы (привет Colonial Pipeline), оборонка, НКО и госорганы.
Эксперты Recorded Future полагают, что новый вымогатель может являться реинкарнацией банды Darkside, которую за взлом этого самого трубопровода Colonial Pipeline весной уконтропупили.
Мы же заметим, что вымогатели сделали выводы из последних анальных огораживаний, которые последовали за атаками на некошерные цели. Будь-то объект цепочки поставок, крупный трубопровод или поставщик мяса, от функционирования которого зависит будут ли подданые Ее Величества кушать мсяо или не будут. Поэтому теперь никаких операторов, никакого раздела выкупа - купили доступ и сами атаковали. Штат потребуется более серьезный, да и конспиративность в связи с этим пострадает, зато Байден не обидится и прибылью делиться не надо.
Эволюция ransomware в естественной среде.
The Record
BlackMatter ransomware targets companies with revenue of $100 million and more
A new ransomware gang launched into operation this week, claiming to combine the best features of the now-defunct DarkSide and REvil ransomware groups, Recorded Future analysts have discovered.
И в продолжение предыдущего поста - а Байден таки обиделся. Хотя скорее всего у дедушки чайник свистит с переливами да перезвонами.
Вчера на ̶б̶л̶а̶г̶о̶т̶в̶о̶р̶и̶т̶е̶л̶ь̶н̶о̶м̶ ̶у̶ж̶и̶н̶е̶ рабочем совещании в офисе Директора национальной разведки США он заявил, что, по его мнению, "более вероятно, что поскольку мы собираемся закончить - ок, ЕСЛИ мы закончим войной, такими большими пострелушками с мировой державой, - то это скорее всего будет последствием серьезного киберинцидента. И вероятность этого растет по экспоненте".
Ну и контекст понятен - ransomware, Путин, Китай and so on.
По случаю купим билет на какую-нибудь планету, хоть на Транай.
Вчера на ̶б̶л̶а̶г̶о̶т̶в̶о̶р̶и̶т̶е̶л̶ь̶н̶о̶м̶ ̶у̶ж̶и̶н̶е̶ рабочем совещании в офисе Директора национальной разведки США он заявил, что, по его мнению, "более вероятно, что поскольку мы собираемся закончить - ок, ЕСЛИ мы закончим войной, такими большими пострелушками с мировой державой, - то это скорее всего будет последствием серьезного киберинцидента. И вероятность этого растет по экспоненте".
Ну и контекст понятен - ransomware, Путин, Китай and so on.
По случаю купим билет на какую-нибудь планету, хоть на Транай.
The White House
Remarks by President Biden at the Office of the Director of National Intelligence
National Counterterrorism CenterLiberty Crossing Intelligence CampusMcLean, Virginia THE PRESIDENT: It’s an honor to be here. I guess you all
Империалистические CISA (Американское агентство кибербезопасности), NCSC (Национальный центр кибербезопаности Великобритании), ACSC (аналог предыдущего учреждения из Австралии) и ФБР выпустили совместный информационный материал, в котором перечислили 30 основных уязвимостей, использовавшихся в 2020-2021 годах киберпреступниками для компрометации корпоративных сетей. В списке дырки и в Citrix, и в Pulse Secure VPN, и в продуктах Microsoft и в другом ПО.
Это, конечно, не откровения инопланетного разума, но, как показывает практика, именно такие достаточно простые документы, структурирующие известные проблемы безопасности, являются основным подспорьем долгой и беспроблемной жизни информационной инфраструктуры.
Поэтому пользуйтесь на здоровье.
Жалко, что наши кибертанковые войска, тот же скрепный ЦИБ, подобными материалами нас радуют крайне редко, если вообще радуют.
(Кстате, вы помните шутку про то, что если автомобиль Иж оставить в глухом лесу в тихую безлунную ночь, то можно услышать, как он гниет? Мы тоже помним)
Это, конечно, не откровения инопланетного разума, но, как показывает практика, именно такие достаточно простые документы, структурирующие известные проблемы безопасности, являются основным подспорьем долгой и беспроблемной жизни информационной инфраструктуры.
Поэтому пользуйтесь на здоровье.
Жалко, что наши кибертанковые войска, тот же скрепный ЦИБ, подобными материалами нас радуют крайне редко, если вообще радуют.
(Кстате, вы помните шутку про то, что если автомобиль Иж оставить в глухом лесу в тихую безлунную ночь, то можно услышать, как он гниет? Мы тоже помним)
Маловато в последнее время информации об активности прогосударственных хакерских групп, которые, как известно, обозначаются как APT. Мы такие материалы любим почитать.
На этой неделе исследователи из команды Unit 42 компании Palo Alto Networks выпустили отчет о киберкампании китайской APT Mustang Panda, в ходе которого использовалась новая версия вредоноса PlugX под названием Thor, а также ставший известным в марте набор уязвимостей в Microsoft Exchange, который получил название ProxyLogon.
Mustang Panda - группа старая и известная. Занимается кибершпионажем, использует, как правило, любимый китайский малварь-набор PlugX, Poison Ivy и Cobalt Strike на закуску. Возможно имеет обособленное подразделение, которое называется RedDelta (по крайней мере TTPs этих двух групп сильно совпадают за небольшим исключением).
И на этом мы закончим про отчет Unit 42, а скажем совершенно про другое.
При написании этого поста, копаясь в старых материалах об активности прогосударственных APT, мы обнаружили интересное совпадение, которое ранее не бросалось нам в глаза. Начнем с ProxyLogon.
Как известно, этот набор эксплойтов четырех уязвимостей в Microsoft Exchange был обнаружен в конце февраля, а 2 марта был исправлен внеочередным патчем. По данным Microsoft, за первичной атакой стоит китайская APT Hafnium, ранее не наблюдавшаяся. По оценке Bloomberg, которая появилась в марте же, количество взломанных Hafnium организаций может приближаться к 60 тыс.
Согласно материалу Volexity, эксплуатация китайскими хакерами ProxyLogon началась 3 января. Таким образом, можно смело утверждать, что работа над поиском уязвимостей велась китайцами как минимум с осени 2020 года.
И вот тут мы обратили внимание на отчет Microsoft от начала февраля, в котором рассказывалось о последствиях взлома компании в ходе кампании Sunburst. Если кто забыл Sunburst - это кибероперация по взлому множества организаций по всему миру через заранее скомпрометированное NMS Orion производства американского разработчика SolarWinds. Именно в этой атаке американское правительство и эксперты с самого начала обвиняли российскую APT, а именно APT 29 aka Cozy Bear, якобы связанную с российской разведкой. Однако более чем за полгода никаких доказательств этого предоставлено не было.
Согласно этому отчету, в результате взлома Microsoft стоящий за атакой Sunburst актор, в числе прочего, выкачал из репозиториев исходные коды некоторых компонентов Azure, Intune и Exchange.
По нашему мнению, это может указывать на то, что за атакой на SolarWinds стояли именно китайские APT, которые получили в ходе нее исходники Exhcange, провели их исследование и обнаружили уязвимости, которые потом легли в основу ProxyLogon. А уже в дальнейшем использовали выявленные ошибки для новой масштабной кибератаки.
Обвинение же российских хакеров в атаке на SolarWinds было ни чем иным как попыткой приходящей к власти администрации Байдена и подконтрольных масс-медиа, традиционно дружными с частью китайской элиты, перевести стрелки на Россию.
Bellingcat, облизывай кеглю.
На этой неделе исследователи из команды Unit 42 компании Palo Alto Networks выпустили отчет о киберкампании китайской APT Mustang Panda, в ходе которого использовалась новая версия вредоноса PlugX под названием Thor, а также ставший известным в марте набор уязвимостей в Microsoft Exchange, который получил название ProxyLogon.
Mustang Panda - группа старая и известная. Занимается кибершпионажем, использует, как правило, любимый китайский малварь-набор PlugX, Poison Ivy и Cobalt Strike на закуску. Возможно имеет обособленное подразделение, которое называется RedDelta (по крайней мере TTPs этих двух групп сильно совпадают за небольшим исключением).
И на этом мы закончим про отчет Unit 42, а скажем совершенно про другое.
При написании этого поста, копаясь в старых материалах об активности прогосударственных APT, мы обнаружили интересное совпадение, которое ранее не бросалось нам в глаза. Начнем с ProxyLogon.
Как известно, этот набор эксплойтов четырех уязвимостей в Microsoft Exchange был обнаружен в конце февраля, а 2 марта был исправлен внеочередным патчем. По данным Microsoft, за первичной атакой стоит китайская APT Hafnium, ранее не наблюдавшаяся. По оценке Bloomberg, которая появилась в марте же, количество взломанных Hafnium организаций может приближаться к 60 тыс.
Согласно материалу Volexity, эксплуатация китайскими хакерами ProxyLogon началась 3 января. Таким образом, можно смело утверждать, что работа над поиском уязвимостей велась китайцами как минимум с осени 2020 года.
И вот тут мы обратили внимание на отчет Microsoft от начала февраля, в котором рассказывалось о последствиях взлома компании в ходе кампании Sunburst. Если кто забыл Sunburst - это кибероперация по взлому множества организаций по всему миру через заранее скомпрометированное NMS Orion производства американского разработчика SolarWinds. Именно в этой атаке американское правительство и эксперты с самого начала обвиняли российскую APT, а именно APT 29 aka Cozy Bear, якобы связанную с российской разведкой. Однако более чем за полгода никаких доказательств этого предоставлено не было.
Согласно этому отчету, в результате взлома Microsoft стоящий за атакой Sunburst актор, в числе прочего, выкачал из репозиториев исходные коды некоторых компонентов Azure, Intune и Exchange.
По нашему мнению, это может указывать на то, что за атакой на SolarWinds стояли именно китайские APT, которые получили в ходе нее исходники Exhcange, провели их исследование и обнаружили уязвимости, которые потом легли в основу ProxyLogon. А уже в дальнейшем использовали выявленные ошибки для новой масштабной кибератаки.
Обвинение же российских хакеров в атаке на SolarWinds было ни чем иным как попыткой приходящей к власти администрации Байдена и подконтрольных масс-медиа, традиционно дружными с частью китайской элиты, перевести стрелки на Россию.
Bellingcat, облизывай кеглю.
Unit 42
THOR: Previously Unseen PlugX Variant Deployed During Microsoft Exchange Server Attacks by PKPLUG Group
We provide a technical overview of the previously unseen PlugX variant THOR, indicators of compromise and a new tool for payload decryption.
После начавшейся силовой зачистки специализирующиеся на европейском рынке хакеры меняют свою тактику и переходят на новое ПО, которое активно распространяется через Google Play под названием Protection Guard, обладателями замечательного софта стали боле чем 5000 пользователей в Италии, Австралии и Испании.
Исследователи ThreatFabric обнаружили ранее недокументированный троян удаленного доступа (RAT) на базе Android под названием Vultur, который использует доступ к экрану Virtual Network Computing (VNC) для кражи паролей к банковским приложениям и криптокошелькам.
Реализованный Vultur вектор, сочетающий запись экрана и кейлоггеры в качестве основной стратегии для автоматического и масштабируемого сбора учетных данных для входа в систему, в дикой природе встречается впервые.
В отличие от традиционных уже банковских троянов MysteryBot , Grandoreiro , Banker.BR и Vizom акторы предпочли долгим разработкам HTML-оверлеев банальную запись экрана, получая в моменте конечный результат. Для взаимодействия со скомпрометированным телефоном в режиме реального времени Vultur использует WebRTC. В целом, разработчики ПО ушли от необходимости регистрировать новое устройство и существенно затруднили свою детекцию.
Более того, Vultur использует ngrok для предоставления доступа к локальным серверам за NAT и межсетевыми экранами в общедоступный Интернет через защищенные туннели, чтобы обеспечить удаленный доступ к серверу VNC, работающему локально на телефоне, а также устанавливает соединения с C2 для получения команд через Firebase Cloud Messaging (FCM), результаты которых, включая извлеченные данные и снимки экрана, затем передаются обратно на сервер. В результате расследования ThreatFabric также выявили частичное совпадение кода Vultur с другим широко известным вредоносным ПО Brunhilda, реализуемом в формате DaaS дроппером.
История Vultur еще раз показывает, как акторы переходят с MaaS на непубличное ПО, адаптированное под преступную специализацию хакеров, а если на жаргоне одного известного рэпера - то: «I bealive forever, I bealive that I can Fly, Я поднял свой левел, пока кто-то не вникал».
Исследователи ThreatFabric обнаружили ранее недокументированный троян удаленного доступа (RAT) на базе Android под названием Vultur, который использует доступ к экрану Virtual Network Computing (VNC) для кражи паролей к банковским приложениям и криптокошелькам.
Реализованный Vultur вектор, сочетающий запись экрана и кейлоггеры в качестве основной стратегии для автоматического и масштабируемого сбора учетных данных для входа в систему, в дикой природе встречается впервые.
В отличие от традиционных уже банковских троянов MysteryBot , Grandoreiro , Banker.BR и Vizom акторы предпочли долгим разработкам HTML-оверлеев банальную запись экрана, получая в моменте конечный результат. Для взаимодействия со скомпрометированным телефоном в режиме реального времени Vultur использует WebRTC. В целом, разработчики ПО ушли от необходимости регистрировать новое устройство и существенно затруднили свою детекцию.
Более того, Vultur использует ngrok для предоставления доступа к локальным серверам за NAT и межсетевыми экранами в общедоступный Интернет через защищенные туннели, чтобы обеспечить удаленный доступ к серверу VNC, работающему локально на телефоне, а также устанавливает соединения с C2 для получения команд через Firebase Cloud Messaging (FCM), результаты которых, включая извлеченные данные и снимки экрана, затем передаются обратно на сервер. В результате расследования ThreatFabric также выявили частичное совпадение кода Vultur с другим широко известным вредоносным ПО Brunhilda, реализуемом в формате DaaS дроппером.
История Vultur еще раз показывает, как акторы переходят с MaaS на непубличное ПО, адаптированное под преступную специализацию хакеров, а если на жаргоне одного известного рэпера - то: «I bealive forever, I bealive that I can Fly, Я поднял свой левел, пока кто-то не вникал».
Threatfabric
Vultur, with a V for VNC
New Android RAT Vultur using keylogging and VNC-based screen recording to target banking apps.