Данные клиентов и моделей с популярного веб-сайта для взрослых StripChat просочились в сеть. Кластер базы данных ElasticSearch был доступен в сети без аутентификации.
Утечка была обнаружена Бобом Дьяченко 5 ноября, а ранее 4 ноября база данных попала в индексы поисковых систем. Обнаруженная база содержит множество ссылок на Stripchat и состоит из почти 200 миллионов записей.
Достоянием общественности стали такие сведения, как:
⁃ 65 миллионов записей пользователей ресурса (имя, адрес электронной почты, IP-адрес, данные интернет-провайдера, баланс, дата создания учетной записи, дата последнего входа в систему, статус учетной записи);
⁃ 421 тысяча записей (имя пользователя, пол, идентификатор студии, статус, прайс за раздевание);
⁃ 719 тысяч сообщений чата модерации, отправленных моделям, включая как личные, так и общедоступные сообщения (каждая из записей при этом содержит идентификатор пользователя зрителя, отправившего сообщение);
⁃ 134 миллионов записей транзакций с информацией о токенах и гонорарах, выплачиваемых моделям, включая частные платежи.
Эксперт неоднократно сигнализировал админам сайта о нарушениях безопасности, но закрыть проблему удалось лишь после публичной огласки инцидента. При этом StripChat до сих пор не сознается в том, что допустили утечку, как бы не заметили.
Зато можем быть точно уверены, что утечку StripChat заметили другие и для каждой записи в базе найдут достойное применение.
Утечка была обнаружена Бобом Дьяченко 5 ноября, а ранее 4 ноября база данных попала в индексы поисковых систем. Обнаруженная база содержит множество ссылок на Stripchat и состоит из почти 200 миллионов записей.
Достоянием общественности стали такие сведения, как:
⁃ 65 миллионов записей пользователей ресурса (имя, адрес электронной почты, IP-адрес, данные интернет-провайдера, баланс, дата создания учетной записи, дата последнего входа в систему, статус учетной записи);
⁃ 421 тысяча записей (имя пользователя, пол, идентификатор студии, статус, прайс за раздевание);
⁃ 719 тысяч сообщений чата модерации, отправленных моделям, включая как личные, так и общедоступные сообщения (каждая из записей при этом содержит идентификатор пользователя зрителя, отправившего сообщение);
⁃ 134 миллионов записей транзакций с информацией о токенах и гонорарах, выплачиваемых моделям, включая частные платежи.
Эксперт неоднократно сигнализировал админам сайта о нарушениях безопасности, но закрыть проблему удалось лишь после публичной огласки инцидента. При этом StripChat до сих пор не сознается в том, что допустили утечку, как бы не заметили.
Зато можем быть точно уверены, что утечку StripChat заметили другие и для каждой записи в базе найдут достойное применение.
mr.d0x в Twitter пишет, что если переименовать procdump в dump64 и закинуть в папку Visual Studio, то можно преспокойно сдампить LSASS мимо Microsoft Defender.
NTLM-хэши ннада?
Вывода ровно два:
1. Смешно.
2. Не пользуйтесь Defender. Это кака.
NTLM-хэши ннада?
Вывода ровно два:
1. Смешно.
2. Не пользуйтесь Defender. Это кака.
X (formerly Twitter)
mr.d0x (@mrd0x) on X
If you rename procdump.exe to dump64.exe and place it in the "C:\Program Files (x86)\Microsoft Visual Studio\*" folder, you can bypass Defender and dump LSASS.
Forwarded from Эксплойт | Live
Мониторинговая группа NewsGuard выяснила, что Facebook и Instagram не препятствовали распространению дезинформации и скептических взглядов на Covid-19 и вакцинацию.
Сообщения публиковались в 20 страницах и группах, которые набрали почти 400 тысяч подписчиков.
Управляющий директор NewsGuard в Великобритании Алекс Кардиер считает, что Facebook и Instagram не смогли защитить своих пользователей от дезинформации о вакцинах, несмотря на "неоднократные" предупреждения.
"Вирусные и вызывающие разногласия источники дезинформации продолжают развиваться и расти, несмотря на наши предупреждения и очевидную опасность для пользователей", — отметил он.
Сообщения публиковались в 20 страницах и группах, которые набрали почти 400 тысяч подписчиков.
Управляющий директор NewsGuard в Великобритании Алекс Кардиер считает, что Facebook и Instagram не смогли защитить своих пользователей от дезинформации о вакцинах, несмотря на "неоднократные" предупреждения.
"Вирусные и вызывающие разногласия источники дезинформации продолжают развиваться и расти, несмотря на наши предупреждения и очевидную опасность для пользователей", — отметил он.
В мае мы писали о том, как Google удалось реализовать новый вектор атаки под названием Half-Double.
Речь шла о Rowhammer, который изначально был разработан учеными в 2014 году как некая теория. Смысл ее заключался в том, что при современной плотности ячеек памяти электрические помехи могут передаваться между ячейками. Производя серию быстрых циклов записи строки памяти можно изменять информацию, содержащуюся в соседних ячейках, а также эксфильтрировать ее. Впоследствии было разработано множество реализаций Rowhammer, в том числе удаленных, как для ПК, так и для мобильных устройств.
Усилия же производителей по защите модулей памяти привели к тому, что был создан комплекс аппаратных и программных мер по противодействию Rowhammer, который получил название Target Row Refresh (TRR).
Тогда исследователи пришли к выводу о том, что исходя из увеличившейся за последние годы плотности размещения ячеек памяти, новый вид атаки способен достигать ячеек, которые находятся на расстоянии двух строк.
Их исследование стало продолжением работы команды ученых из Университета Амстердама, Швейцарской высшей технической школы и компании Qualcomm, которые за год до этого разработали инструмент под названием TRRespass и подтвердили, что TRR, предназначенный для защиты соседних ячеек, не работает.
Принципиально новым вариантом реализации Rowhammer стал Blacksmith, который обходит все существующие TRR в динамических чипах памяти с произвольным доступом (DRAM), используя неоднородные частотные шаблоны доступа. При том, что ячейки на чипах DRAM меньше и ближе друг к другу, что затрудняет предотвращение электрического взаимодействия между ними.
Экспериментируя на 40 модулях DDR4 DIMM производителей Samsung, Micron и SK Hynix, исследователи смогли обойти TRR на всех чипах, запустив в среднем в 87 раз больше битовых переворачиваний в DRAM благодаря генерации шаблонов доступа, которые забивают целевые строки с различными фазами, частотами и амплитудами. Результаты экспериментов исследователи представили в демонстрационном ролике.
Наше мнение относительно Rowhammer остается неизменным: несмотря на то, что атака является чисто теоретической, нельзя исключать появления ее практической реализации со стороны коммерческих хакеров или, что более вероятно, прогосударственных APT, что особенно подчеркивает настоятельную необходимость поиска принципиально новых подходов к TRR.
Речь шла о Rowhammer, который изначально был разработан учеными в 2014 году как некая теория. Смысл ее заключался в том, что при современной плотности ячеек памяти электрические помехи могут передаваться между ячейками. Производя серию быстрых циклов записи строки памяти можно изменять информацию, содержащуюся в соседних ячейках, а также эксфильтрировать ее. Впоследствии было разработано множество реализаций Rowhammer, в том числе удаленных, как для ПК, так и для мобильных устройств.
Усилия же производителей по защите модулей памяти привели к тому, что был создан комплекс аппаратных и программных мер по противодействию Rowhammer, который получил название Target Row Refresh (TRR).
Тогда исследователи пришли к выводу о том, что исходя из увеличившейся за последние годы плотности размещения ячеек памяти, новый вид атаки способен достигать ячеек, которые находятся на расстоянии двух строк.
Их исследование стало продолжением работы команды ученых из Университета Амстердама, Швейцарской высшей технической школы и компании Qualcomm, которые за год до этого разработали инструмент под названием TRRespass и подтвердили, что TRR, предназначенный для защиты соседних ячеек, не работает.
Принципиально новым вариантом реализации Rowhammer стал Blacksmith, который обходит все существующие TRR в динамических чипах памяти с произвольным доступом (DRAM), используя неоднородные частотные шаблоны доступа. При том, что ячейки на чипах DRAM меньше и ближе друг к другу, что затрудняет предотвращение электрического взаимодействия между ними.
Экспериментируя на 40 модулях DDR4 DIMM производителей Samsung, Micron и SK Hynix, исследователи смогли обойти TRR на всех чипах, запустив в среднем в 87 раз больше битовых переворачиваний в DRAM благодаря генерации шаблонов доступа, которые забивают целевые строки с различными фазами, частотами и амплитудами. Результаты экспериментов исследователи представили в демонстрационном ролике.
Наше мнение относительно Rowhammer остается неизменным: несмотря на то, что атака является чисто теоретической, нельзя исключать появления ее практической реализации со стороны коммерческих хакеров или, что более вероятно, прогосударственных APT, что особенно подчеркивает настоятельную необходимость поиска принципиально новых подходов к TRR.
YouTube
Blacksmith Demo
Demo of the Rowhammer fuzzer "Blacksmith" presented 2021 in our work "Blacksmith: Compromising Target Row Refresh by Rowhammering in the Frequency Domain."
Netgear устранила уязвимость CVE-2021-34991 в своих устройствах для малого или домашнего офиса (SOHO). Проблема была связана с переполнением буфера перед аутентификацией, которая могла быть использованы злоумышленником в локальной сети (LAN) для удаленного выполнения кода с привилегиями root.
Проблема крылась в функциях демона upnpd, связанных с обработкой неаутентифицированных запросов HTTP SUBSCRIBE и UNSUBSCRIBE от клиентов, которые хотят получать обновления при изменении конфигурации сети UPnP.
Об уязвимости предупредили исследователи GRIMM, которым удалось разработать PoC, способный взломать даже полностью пропатченные устройства с установленными конфигурациями по умолчанию.
Под угрозой эксплуатации данной уязвимости находятся маршрутизаторы, модемы и расширители диапазона WiFi. Подробный технический анализ ошибки и список уязвимых устройств опубликован специалистами на гитхаб
Netgear уже объявила о доступности патчей, устраняющих обнаруженную уязвимость и призывает пользователей как можно скорее загрузить и установить исправления.
Проблема крылась в функциях демона upnpd, связанных с обработкой неаутентифицированных запросов HTTP SUBSCRIBE и UNSUBSCRIBE от клиентов, которые хотят получать обновления при изменении конфигурации сети UPnP.
Об уязвимости предупредили исследователи GRIMM, которым удалось разработать PoC, способный взломать даже полностью пропатченные устройства с установленными конфигурациями по умолчанию.
Под угрозой эксплуатации данной уязвимости находятся маршрутизаторы, модемы и расширители диапазона WiFi. Подробный технический анализ ошибки и список уязвимых устройств опубликован специалистами на гитхаб
Netgear уже объявила о доступности патчей, устраняющих обнаруженную уязвимость и призывает пользователей как можно скорее загрузить и установить исправления.
GitHub
NotQuite0DayFriday/2021.11.16-netgear-upnp at trunk · grimm-co/NotQuite0DayFriday
This is a repo which documents real bugs in real software to illustrate trends, learn how to prevent or find them more quickly. - grimm-co/NotQuite0DayFriday
Обнаружена 0-day уязвимость в FatPipe VPN. Найденная бага стала результатом расследования ФБР США, в рамках которого сотрудники ведомства выяснили, что как минимум с мая 2021 года дыра в течение шести месяцев эксплуатировалась неназванной APT.
Уязвимость использовалась как способ взломать компании и получить доступ к их внутренним сетям и позволила хакерской группе использовать функцию загрузки файлов в прошивке устройств FatPipe MPVPN и установить веб-оболочку с корневым доступом. Кроме того, ФБР пришли к выводу, что ошибка также затрагивает и другие продукты, такие как IPVPN и WARP.
Все они представляют собой разные типы серверов виртуальной частной сети (VPN), которые компании традиционно устанавливают по периметру своих корпоративных сетей для предоставления сотрудникам удаленного доступа к внутренним приложениям через Интернет, выступая как гибрид между сетевыми шлюзами и межсетевыми экранами.
Теперь и FatPipe стал частью длинного списка производителей сетевого оборудования, чьи системы использовались для кибер-вторжений, потеснив в нем Cisco, Microsoft, Oracle, F5 Networks, Palo Alto Networks, Fortinet и Citrix.
Впрочем, в атаках на FatPipe нет ничего удивительного, ведь атаки на межсетевые экраны, VPN-серверы, сетевые шлюзы и балансировщики нагрузки стали достаточно популярны среди АРТ в условиях ограничений, введенных из-за пандемии COVID-19 для персонала госсектора и частных компаний.
Но этот случай заметно выделяется в призме прошлых инцидентов прежде всего тем, что обнаруженный 0-day до сих пор не собственного идентификатора CVE, а лишь фигурирует во внутренней рекомендации по безопасности как FPSA006.
Более того, для ошибки 16 ноября выпущены соответствующие исправления, включая индикаторы взлома (IOC) и подписи YARA, а также предупреждения спецслужбы.
Это конечно полезно знать, но в России продукция FatPipe практически не используется.
Уязвимость использовалась как способ взломать компании и получить доступ к их внутренним сетям и позволила хакерской группе использовать функцию загрузки файлов в прошивке устройств FatPipe MPVPN и установить веб-оболочку с корневым доступом. Кроме того, ФБР пришли к выводу, что ошибка также затрагивает и другие продукты, такие как IPVPN и WARP.
Все они представляют собой разные типы серверов виртуальной частной сети (VPN), которые компании традиционно устанавливают по периметру своих корпоративных сетей для предоставления сотрудникам удаленного доступа к внутренним приложениям через Интернет, выступая как гибрид между сетевыми шлюзами и межсетевыми экранами.
Теперь и FatPipe стал частью длинного списка производителей сетевого оборудования, чьи системы использовались для кибер-вторжений, потеснив в нем Cisco, Microsoft, Oracle, F5 Networks, Palo Alto Networks, Fortinet и Citrix.
Впрочем, в атаках на FatPipe нет ничего удивительного, ведь атаки на межсетевые экраны, VPN-серверы, сетевые шлюзы и балансировщики нагрузки стали достаточно популярны среди АРТ в условиях ограничений, введенных из-за пандемии COVID-19 для персонала госсектора и частных компаний.
Но этот случай заметно выделяется в призме прошлых инцидентов прежде всего тем, что обнаруженный 0-day до сих пор не собственного идентификатора CVE, а лишь фигурирует во внутренней рекомендации по безопасности как FPSA006.
Более того, для ошибки 16 ноября выпущены соответствующие исправления, включая индикаторы взлома (IOC) и подписи YARA, а также предупреждения спецслужбы.
Это конечно полезно знать, но в России продукция FatPipe практически не используется.
Похоже, что скандал с израильскими частными разведывательными компаниями продолжается, а точнее обрастает новыми подробностями.
Если ранее медиафокус был направлен на NSO Group, то на этот раз под раздачу попал еще один попавший под американские санкции поставщик шпионского ПО Candiru. Как выяснили ESET, все дело в том, что Candiru были причастны к атакам Watering Hole в отношении ряда высокопоставленных лиц в Великобритании и на Ближнем Востоке.
Для атак на водопой использовались веб-сайты ведущих СМИ, правительственных структур, операторов связи в Великобритании, Йемене и Саудовской Аравии, а также компаниям, занимающимся аэрокосмическими и военными технологиями в Италии и Южной Африке.
Взломы ресурсов проводились последовательно в две волны: первая состоялась в период с марта по август 2020 года, вторая продолжалась в январе - августе 2021 года, после чего вредоносные скрипты были удалены с целевых веб-сайтов.
В рамках первой волны цепочки атак включали внедрение злоумышленником кода JavaScript на веб-сайты с удаленного домена, который предназначен для сбора информации машине-жертве (в том числе его геолокации, сетевых адресах, ОС и другой системной информации), при этом обходя мобильные устройства. Затем использовались уязвимости удаленного выполнения кода браузера, которая позволила злоумышленникам захватить контроль над машинами.
Вторая волна характеризовалась большей скрытностью, поскольку изменения JavaScript вносились в легитимные сценарии WordPress (wp-embed.min.js), вместо добавления вредоносного кода прямо на главную HTML-страницу, используя метод загрузки скрипта с сервера, находящегося под контролем злоумышленника. Помимо снятия фингерпринта злоумышленник вел сбор системных метаданных (в том числе языка по умолчанию, списка шрифтов, поддерживаемых браузером, часовой пояс и список плагинов браузера).
Изучая ТТП APT в ходе второй волны, словацкая инфосек компания связала активность с Karkadann, которая достаточно четко описана специалистами Лаборатории Касперского. Злоумышленник также нацелен на госорганы и новостные агентства на Ближнем Востоке как минимум с октября 2020 года и использовал специально разработанные вредоносные документы со встроенными макросами, которые запускают цепочку заражения, открывая URL-адрес в Internet Explorer, реализуя в конечном счете уязвимость повышения привилегий. ЛК, в свою очередь, обнаружили свойство с кампанией Piwiks.
Вместе с тем, обнаружить точный эксплойт и окончательную полезную нагрузку, и до конца расчехлить Candiru спецам ESET не удалось. Элементами атрибуции стали сведения о том, что некоторые из командно-управляющие сервера имели схожие домены, которые использовались израильтянами. Но в качестве главного аргумента представлен арсенал Candiru, включающий возможности удаленного выполнения кода на основе браузера.
Ну и вряд ли можно назвать совпадением то, что кампания прекратилась в конце июля 2021 года, что совпало с публикациями об причастности Candiru к атакам на жертв в Армении, в ходе которых использовались 0-day уязвимости в браузере Chrome.
При этом ESET полагают, что несмотря на все обвинения Candiru разрабатываются новые инфраструктурные и тактические решения под дальнейшие кампании.
Если ранее медиафокус был направлен на NSO Group, то на этот раз под раздачу попал еще один попавший под американские санкции поставщик шпионского ПО Candiru. Как выяснили ESET, все дело в том, что Candiru были причастны к атакам Watering Hole в отношении ряда высокопоставленных лиц в Великобритании и на Ближнем Востоке.
Для атак на водопой использовались веб-сайты ведущих СМИ, правительственных структур, операторов связи в Великобритании, Йемене и Саудовской Аравии, а также компаниям, занимающимся аэрокосмическими и военными технологиями в Италии и Южной Африке.
Взломы ресурсов проводились последовательно в две волны: первая состоялась в период с марта по август 2020 года, вторая продолжалась в январе - августе 2021 года, после чего вредоносные скрипты были удалены с целевых веб-сайтов.
В рамках первой волны цепочки атак включали внедрение злоумышленником кода JavaScript на веб-сайты с удаленного домена, который предназначен для сбора информации машине-жертве (в том числе его геолокации, сетевых адресах, ОС и другой системной информации), при этом обходя мобильные устройства. Затем использовались уязвимости удаленного выполнения кода браузера, которая позволила злоумышленникам захватить контроль над машинами.
Вторая волна характеризовалась большей скрытностью, поскольку изменения JavaScript вносились в легитимные сценарии WordPress (wp-embed.min.js), вместо добавления вредоносного кода прямо на главную HTML-страницу, используя метод загрузки скрипта с сервера, находящегося под контролем злоумышленника. Помимо снятия фингерпринта злоумышленник вел сбор системных метаданных (в том числе языка по умолчанию, списка шрифтов, поддерживаемых браузером, часовой пояс и список плагинов браузера).
Изучая ТТП APT в ходе второй волны, словацкая инфосек компания связала активность с Karkadann, которая достаточно четко описана специалистами Лаборатории Касперского. Злоумышленник также нацелен на госорганы и новостные агентства на Ближнем Востоке как минимум с октября 2020 года и использовал специально разработанные вредоносные документы со встроенными макросами, которые запускают цепочку заражения, открывая URL-адрес в Internet Explorer, реализуя в конечном счете уязвимость повышения привилегий. ЛК, в свою очередь, обнаружили свойство с кампанией Piwiks.
Вместе с тем, обнаружить точный эксплойт и окончательную полезную нагрузку, и до конца расчехлить Candiru спецам ESET не удалось. Элементами атрибуции стали сведения о том, что некоторые из командно-управляющие сервера имели схожие домены, которые использовались израильтянами. Но в качестве главного аргумента представлен арсенал Candiru, включающий возможности удаленного выполнения кода на основе браузера.
Ну и вряд ли можно назвать совпадением то, что кампания прекратилась в конце июля 2021 года, что совпало с публикациями об причастности Candiru к атакам на жертв в Армении, в ходе которых использовались 0-day уязвимости в браузере Chrome.
При этом ESET полагают, что несмотря на все обвинения Candiru разрабатываются новые инфраструктурные и тактические решения под дальнейшие кампании.
WeLiveSecurity
Strategic web compromises in the Middle East with a pinch of Candiru
ESET researchers uncover strategic web compromise (aka watering hole) attacks against high-profile websites in the Middle East.
Банды вымогателей в последнее время совсем разбушевались.
Под удар вымогателей Lockbit попала криптовалютная биржа BTC-Alpha. Платформа украинского предпринимателя Виталия Боднара, торгующая с 2016 году и занимающая 14 место в рейтинге по безопасности, оказалась не такой уж и безопасной.
В этом случае Lockbit определенно сыграли на руку своим американским оппонентам, которые рассматривают крипту главным экономическим злом в вопросах организации экономики ransomware.
А вот в руки Everest залетела Police Brazil, именно так хакеры анонсировали свою успешную атаку. Но круче них на этой неделе оказались Moses Staff, которым удалось взломать Unit 8200, элитное подразделение радиоэлектронной разведки Армии обороны Израиля.
Под удар вымогателей Lockbit попала криптовалютная биржа BTC-Alpha. Платформа украинского предпринимателя Виталия Боднара, торгующая с 2016 году и занимающая 14 место в рейтинге по безопасности, оказалась не такой уж и безопасной.
В этом случае Lockbit определенно сыграли на руку своим американским оппонентам, которые рассматривают крипту главным экономическим злом в вопросах организации экономики ransomware.
А вот в руки Everest залетела Police Brazil, именно так хакеры анонсировали свою успешную атаку. Но круче них на этой неделе оказались Moses Staff, которым удалось взломать Unit 8200, элитное подразделение радиоэлектронной разведки Армии обороны Израиля.
Twitter
DarkTracer : DarkWeb Criminal Intelligence
[ALERT] Everest ransomware gang has announced "Police Brazil" on the victim list.
Forwarded from Social Engineering
🔖 S.E. Заметка. #OSINT коллекция от Cyber Detective.
• Коллекция инструментов: https://github.com/cipher387/osint_stuff_tool_collection
• Блог автора в Twitter: @cyb_detective
• Блог в Telegram: @cybdetective
‼️ За 3 года существования S.E., я собрал огромное количество материала на тему #OSINT, так как навыки искать необходимую информацию о цели, очень важны и являются ключевыми при проведении атак с использованием #СИ. Дополнительный материал, ты можешь найти по хештегам в заметке. Твой S.E.
🖖🏻 Приветствую тебя user_name.
• Продолжаем пополнять нашу коллекцию #OSINT ресурсов и инструментов. На этот раз, я поделюсь с тобой не только отличным и сочным репозиторием, но и отличным блогом, в котором ты найдешь много полезной информации. Автор является значимой фигурой в OSINT-сообществе.• Коллекция инструментов: https://github.com/cipher387/osint_stuff_tool_collection
• Блог автора в Twitter: @cyb_detective
• Блог в Telegram: @cybdetective
‼️ За 3 года существования S.E., я собрал огромное количество материала на тему #OSINT, так как навыки искать необходимую информацию о цели, очень важны и являются ключевыми при проведении атак с использованием #СИ. Дополнительный материал, ты можешь найти по хештегам в заметке. Твой S.E.
Минюст США выдвинул обвинения в отношении двух граждан Ирана во вмешательстве в президентские выборы. Согласно официальному заявлению Сейед Мохаммад Хосейн Муса Каземи и Саджад Кашиан были причастны к серии хакерских атак и операциям влияния, проведенной в период с сентября по ноябрь 2020 года. Ранее в октябре 2020 года об атаках хакеров предупреждало Агентство по кибербезопасности и безопасности инфраструктуры США (CISA).
Американским силовикам удалось собрать приличную доказательную базу и улики, согласно которым иранцы предпринимали попытки взлома сайтов в 11 штатах, включая государственные ресурсы для голосования и учета избирателей, в результате которых им удалось поэксплуатировать по крайней мере один неправильно сконфигурированный сайт и украсть сведения о более чем 100 000 избирателей, включая закрытые данные.
Более того, иранских хакеров обвинили в рассылке электронных писем, содержащих сфальсифицированные факты о нарушениях выборных процедур со стороны Демократической партии. Для этих целей хакеры придумали некую гражданскую структуру Proud Boys, от имени которой и отправляли сообщения сенаторам-республиканцам, сторонникам Дональда Трампа, советникам Белого дома и представителям СМИ. В письмах утверждалось, что демократы планировали использовать хакерские методы, почтовые махинации и для накручивания голосов по ряду штатов, даже прилагалось соответствующее фейковое видео.
В октябре 2020 года хакеры разослали письма с угрозами в адрес десятка тысяч зарегистрированных избирателей и демократам, опять же от имени группы ProudBoys. Доходило до угроз физической расправы и других явно недемократических методов.
Сразу по завершении президентской гонки 4 ноября 2020 года хакеры попытались пролезть в сеть американской медиакомпании, используя ранее скомпрометированные учетные данных сотрудников. Сработав на опережение, представители ФБР смогли вовремя пресечь действия нарушителей.
Американским спецслужбам удалось выяснить, что обвиняемые работали и планировали операции под крышей иранской фирме по кибербезопасности под названием Eeleyanet Gostar (ранее Emennet Pasargad). Компания при этом имела подряды от официальных правительственных структур Ирана.
Компания, конечно же, присоединилась уже еще к 4, на которые были наложены санкции со стороны Министерства финансов США. Все они также использовались для проведения аналогичных операций, целью которых были президентские выборы в США 2020 года.
Доска разыскиваемых ФБР и Госдепом США преступников пополнилась именами еще 2 граждан Ирана, за головы которых назначено вознаграждение в размере до 10 миллионов долларов.
Полагаем, на родине иранцы также были не обделены вниманием и получили не менее ценные вознаграждения, в том числе, возможно, и награды. В этом смысле, они определено оправдали себя как реальные ProudBoys.
Американским силовикам удалось собрать приличную доказательную базу и улики, согласно которым иранцы предпринимали попытки взлома сайтов в 11 штатах, включая государственные ресурсы для голосования и учета избирателей, в результате которых им удалось поэксплуатировать по крайней мере один неправильно сконфигурированный сайт и украсть сведения о более чем 100 000 избирателей, включая закрытые данные.
Более того, иранских хакеров обвинили в рассылке электронных писем, содержащих сфальсифицированные факты о нарушениях выборных процедур со стороны Демократической партии. Для этих целей хакеры придумали некую гражданскую структуру Proud Boys, от имени которой и отправляли сообщения сенаторам-республиканцам, сторонникам Дональда Трампа, советникам Белого дома и представителям СМИ. В письмах утверждалось, что демократы планировали использовать хакерские методы, почтовые махинации и для накручивания голосов по ряду штатов, даже прилагалось соответствующее фейковое видео.
В октябре 2020 года хакеры разослали письма с угрозами в адрес десятка тысяч зарегистрированных избирателей и демократам, опять же от имени группы ProudBoys. Доходило до угроз физической расправы и других явно недемократических методов.
Сразу по завершении президентской гонки 4 ноября 2020 года хакеры попытались пролезть в сеть американской медиакомпании, используя ранее скомпрометированные учетные данных сотрудников. Сработав на опережение, представители ФБР смогли вовремя пресечь действия нарушителей.
Американским спецслужбам удалось выяснить, что обвиняемые работали и планировали операции под крышей иранской фирме по кибербезопасности под названием Eeleyanet Gostar (ранее Emennet Pasargad). Компания при этом имела подряды от официальных правительственных структур Ирана.
Компания, конечно же, присоединилась уже еще к 4, на которые были наложены санкции со стороны Министерства финансов США. Все они также использовались для проведения аналогичных операций, целью которых были президентские выборы в США 2020 года.
Доска разыскиваемых ФБР и Госдепом США преступников пополнилась именами еще 2 граждан Ирана, за головы которых назначено вознаграждение в размере до 10 миллионов долларов.
Полагаем, на родине иранцы также были не обделены вниманием и получили не менее ценные вознаграждения, в том числе, возможно, и награды. В этом смысле, они определено оправдали себя как реальные ProudBoys.
www.documentcloud.org
Kazemi indictment
Популярность ransomware с каждым годом только растет и их благосостояние тоже. Такими темпами доходы банд-вымогателей скоро начнут публиковать в списках Forbes наряду с действующими бизнесменами построившими свою финансовую независимость в легальном правовом поле.
Специалисты швейцарской компании Prodaft подготовили отчет в котором посчитали сколько заработали операторы программы-вымогателя Conti от атак и последующих выкупов с июля 2021 года. Доход банды составил не менее 25,5 миллионов долларов причем это достаточно скромная оценка, учитывая, что далеко не все официально заявляют об инцидентах. Разумеется, за свою историю начиная с августа 2020 года банда заработала значительно больше.
Компания совместно с фирмой Elliptic, занимающейся анализом блокчейнов, отследили более 500 биткойнов, которые собрали за последние пять месяцев по 113 криптоадресам злоумышленников и выявили кошелек для консолидации прибыли банды. Также исследователи заметили, как банда распределяла прибыль среди своих партнеров, осуществляющих проникновение в компани и устанавку вымогателя. Примечательный момент заключался в том, что специалистами был выявлен один кластер, который получал платежи от Conti и группировки DarkSide, что может указывать на то, что одно физическое лицо работало в качестве аффилированного партнера для обеих групп.
Prodaft указывает, что банда Conti сама управляет своим кошельком, а ее партнеры обычно отмывают свою прибыль через теневые площадки, кошельки с повышенной конфиденциальностью, такие как Wasabi, а также через русскоязычный даркмаркет Hydra.
Предыдущие исследования и оценки прибыли других банд вымогателей также впечатляют, но мастодонтом на сегодняшний день по "официальной" статистике являются Conti:
- Ryuk (Conti) - 150 миллионов долларов.
- REvil - 123 миллиона долларов в 2020 году
- Darkside - 90 миллионов долларов с октября 2020 года по май 2021 года.
- Maze/Egregor - 75 миллионов долларов
- Netwalker - 25 миллионов долларов с марта по июль 2020 года.
После прекращения деятельности таких банд как Avaddon, REvil, Darkside и BlackMatter, банда Conti вместе с группой LockBit на сегодняшний день являются наиболее активными и вызывают соответствующую тревогу у агентств и служб по кибербезопасности США. При этом CISA уже предупреждала о повышенной в последнее время активности хакерских группировок.
Поэтому инфосек компании и правительственные органы по киберзащите в ружье, так как Conti такими темпами вероятно стремятся в ближайшем будущем стать анонимными миллиардерами.
Специалисты швейцарской компании Prodaft подготовили отчет в котором посчитали сколько заработали операторы программы-вымогателя Conti от атак и последующих выкупов с июля 2021 года. Доход банды составил не менее 25,5 миллионов долларов причем это достаточно скромная оценка, учитывая, что далеко не все официально заявляют об инцидентах. Разумеется, за свою историю начиная с августа 2020 года банда заработала значительно больше.
Компания совместно с фирмой Elliptic, занимающейся анализом блокчейнов, отследили более 500 биткойнов, которые собрали за последние пять месяцев по 113 криптоадресам злоумышленников и выявили кошелек для консолидации прибыли банды. Также исследователи заметили, как банда распределяла прибыль среди своих партнеров, осуществляющих проникновение в компани и устанавку вымогателя. Примечательный момент заключался в том, что специалистами был выявлен один кластер, который получал платежи от Conti и группировки DarkSide, что может указывать на то, что одно физическое лицо работало в качестве аффилированного партнера для обеих групп.
Prodaft указывает, что банда Conti сама управляет своим кошельком, а ее партнеры обычно отмывают свою прибыль через теневые площадки, кошельки с повышенной конфиденциальностью, такие как Wasabi, а также через русскоязычный даркмаркет Hydra.
Предыдущие исследования и оценки прибыли других банд вымогателей также впечатляют, но мастодонтом на сегодняшний день по "официальной" статистике являются Conti:
- Ryuk (Conti) - 150 миллионов долларов.
- REvil - 123 миллиона долларов в 2020 году
- Darkside - 90 миллионов долларов с октября 2020 года по май 2021 года.
- Maze/Egregor - 75 миллионов долларов
- Netwalker - 25 миллионов долларов с марта по июль 2020 года.
После прекращения деятельности таких банд как Avaddon, REvil, Darkside и BlackMatter, банда Conti вместе с группой LockBit на сегодняшний день являются наиболее активными и вызывают соответствующую тревогу у агентств и служб по кибербезопасности США. При этом CISA уже предупреждала о повышенной в последнее время активности хакерских группировок.
Поэтому инфосек компании и правительственные органы по киберзащите в ружье, так как Conti такими темпами вероятно стремятся в ближайшем будущем стать анонимными миллиардерами.
Уже давно не радовали вас вестями о бойцах цифрового чучхе. Но в этом нам подсобили Proofpoint, выкатив расследование, посвященное деятельности в 2021 году АРТ, которую компания отслеживает как TA406 и полностью атрибутируют с Kimsuky. Кроме того, группировке приписали и другие активности, которые отлёживались как отдельные TA408 и TA427.
АРТ, по данным исследователей, занимается распространением вредоносных программ, фишингом, сбором разведданных и кражей криптовалюты, работая примерно с 9 утра до 5 вечера (KST), семь дней в неделю. География действий АРТ достаточно широка и включает Северную Америку, Россию, Китай, Южную Корею, Японию, Германию, Францию, Великобританию, Южную Африку, Индию и другие страны.
В целом Proofpoint сообщают, что следы TA406 фиксируются с 2018 года и указывают на специализации АРТ на шпионаже, мошенничестве с целью получения денег и вымогательстве.
При этом в 2021 году северокорейцы были в основном сфокусированы на сборе учетных данных и нацеливались на организации в таких секторах, как образование, госсектор, СМИ и наука, а также ряд отраслей промышленности.
В течение первых шести месяцев текущего года, Proofpoint наблюдали еженедельные атаки на ученых, журналистов, экспертов в области внешней политики, а также неправительственные организации, особенно те, которые связаны с деятельностью на Корейском полуострове.
Для этого АРТ распространяли ВПО через фишинговые электронные письма со ссылками на архивы 7z, которые содержали EXE-файл с двойным расширением, который визуально выглядел как файл HTML.
Позже в марте 2021 года Kimsuky переориентировались на высокопоставленных должностных лиц в различных госучреждениях, консалтинговых фирмах, военных и силовиков. АРТ также интересовали сотрудники экономических и финансовых организаций. В ходе атак актор начал развертывание специального ВПО под названием FatBoy, которое помещалось в виде HTML-вложения на диск жертвы.
FatBoy - вредоносное ПО первого уровня, предназначенное для загрузки CAB-файла с C2 каждые 20 минут. CAB-файл содержит пакетный сценарий (ball.bat), который выполняет сценарий VBS, предназначенный для выполнения разведки и извлечения информации через запросы HTTP POST. В дальнейшем подгружался YoreKey, пользовательский кейлоггер для Windows, маскирующийся под MetaTrader 4 Manager, платформу электронной торговли.
Proofpoint отмечает, что в кампаниях 2021 года АРТ взяла на вооружение целый арсенал вредоносного ПО для кражи информации, включая
семейства malware помимо озвученных также: Amadey, Android Moez, BabyShark, CARROTBAT/CARROTBALL, KONNI, SANNY, NavRAT и QuasarRAT.
В фишинговых письмах обычно использовали тематики по ядерной безопасности, политике и внешней политике Кореи. Письма отправлялись с взломанных веб-сайтов от имени фальшивых пользователей: к примеру, от редактора Global Asia, профессора Университета Йонсей и советника президента Мун Чжэ Ина.
Приманки в письмах, как правило, представляли собой файлы PDF, для просмотра которых от получателя требуется войти на хостинговую платформу, используя свои личные или корпоративные учетные данные.
Особый интерес представляет то, что при проведении фишинговых кампаний обычно не создавали сложных целевых страниц для имитации известного сервера. Вместо этого они использовали базовую HTTP-аутентификацию, которая отображает диалоговое окно браузера с запросом учетных данных пользователя.
Помимо сугубо политических интересов, северокорейскую АРТ интересовали варианты заработка. Для чего ими участвовали в финансово мотивированных атаках, целью которых была крипта. Хакерам удалось украсть, согласно выводам Proofpoint, не менее 3,77 биткойнов на сумму примерно 222 000 долларов. В реальности значительно больше, конечно же.
Proofpoint резюмировали свои изыскания банальным выводом, утверждая, что АРТ продолжит свою активность в отношении представляющих для КНДР корпоративных целей, прежде всего в сфере вооружении и ядерных исследований.
Добавим: они будут делать все это безусловно, но с особым изыском.
АРТ, по данным исследователей, занимается распространением вредоносных программ, фишингом, сбором разведданных и кражей криптовалюты, работая примерно с 9 утра до 5 вечера (KST), семь дней в неделю. География действий АРТ достаточно широка и включает Северную Америку, Россию, Китай, Южную Корею, Японию, Германию, Францию, Великобританию, Южную Африку, Индию и другие страны.
В целом Proofpoint сообщают, что следы TA406 фиксируются с 2018 года и указывают на специализации АРТ на шпионаже, мошенничестве с целью получения денег и вымогательстве.
При этом в 2021 году северокорейцы были в основном сфокусированы на сборе учетных данных и нацеливались на организации в таких секторах, как образование, госсектор, СМИ и наука, а также ряд отраслей промышленности.
В течение первых шести месяцев текущего года, Proofpoint наблюдали еженедельные атаки на ученых, журналистов, экспертов в области внешней политики, а также неправительственные организации, особенно те, которые связаны с деятельностью на Корейском полуострове.
Для этого АРТ распространяли ВПО через фишинговые электронные письма со ссылками на архивы 7z, которые содержали EXE-файл с двойным расширением, который визуально выглядел как файл HTML.
Позже в марте 2021 года Kimsuky переориентировались на высокопоставленных должностных лиц в различных госучреждениях, консалтинговых фирмах, военных и силовиков. АРТ также интересовали сотрудники экономических и финансовых организаций. В ходе атак актор начал развертывание специального ВПО под названием FatBoy, которое помещалось в виде HTML-вложения на диск жертвы.
FatBoy - вредоносное ПО первого уровня, предназначенное для загрузки CAB-файла с C2 каждые 20 минут. CAB-файл содержит пакетный сценарий (ball.bat), который выполняет сценарий VBS, предназначенный для выполнения разведки и извлечения информации через запросы HTTP POST. В дальнейшем подгружался YoreKey, пользовательский кейлоггер для Windows, маскирующийся под MetaTrader 4 Manager, платформу электронной торговли.
Proofpoint отмечает, что в кампаниях 2021 года АРТ взяла на вооружение целый арсенал вредоносного ПО для кражи информации, включая
семейства malware помимо озвученных также: Amadey, Android Moez, BabyShark, CARROTBAT/CARROTBALL, KONNI, SANNY, NavRAT и QuasarRAT.
В фишинговых письмах обычно использовали тематики по ядерной безопасности, политике и внешней политике Кореи. Письма отправлялись с взломанных веб-сайтов от имени фальшивых пользователей: к примеру, от редактора Global Asia, профессора Университета Йонсей и советника президента Мун Чжэ Ина.
Приманки в письмах, как правило, представляли собой файлы PDF, для просмотра которых от получателя требуется войти на хостинговую платформу, используя свои личные или корпоративные учетные данные.
Особый интерес представляет то, что при проведении фишинговых кампаний обычно не создавали сложных целевых страниц для имитации известного сервера. Вместо этого они использовали базовую HTTP-аутентификацию, которая отображает диалоговое окно браузера с запросом учетных данных пользователя.
Помимо сугубо политических интересов, северокорейскую АРТ интересовали варианты заработка. Для чего ими участвовали в финансово мотивированных атаках, целью которых была крипта. Хакерам удалось украсть, согласно выводам Proofpoint, не менее 3,77 биткойнов на сумму примерно 222 000 долларов. В реальности значительно больше, конечно же.
Proofpoint резюмировали свои изыскания банальным выводом, утверждая, что АРТ продолжит свою активность в отношении представляющих для КНДР корпоративных целей, прежде всего в сфере вооружении и ядерных исследований.
Добавим: они будут делать все это безусловно, но с особым изыском.
Proofpoint
Triple Threat: North Korea Aligned TA406 Scams, Spies, and Steals | Proofpoint US
In this report, we describe in detail many of the campaigns and behaviors associated with an actor operating on behalf of the North Korean government: TA406. We begin by explaining how TA406 is associated with the actor name Kimsuky, which is broadly tracked…
Как мы уже отмечали совсем недавно, атаки на цепочки поставок становятся все больше востребованы со стороны АРТ.
Свои опасения относительно иранских хакерских групп высказали Microsoft Threat Intelligence Center (MSTIC) и Microsoft Digital Security Unit (DSU), поводом стала серия дерзких кибератак на компании в Индии и Израиле, которые реализуют ПО для управления бизнесом и интеграции миллионам глобальных организаций, подобно SolarWinds, для компрометации последующих клиентов.
Microsoft зафиксировали значительный рост числа таких атак: отправлено 1788 уведомлений в адрес около в 40 IT-компаний (80% всех уведомлений), попавших под иранский таргетинг. Для сравнения в 2020 году их было всего 48. В сферу заинтересованности хакеров попали организации в сфере обороны, энергетики и юстиции.
Все это логично, ведь Индия и другие страны становятся крупными центрами IT-услуг, что сделало их весьма привлекательными целями для прогосударственных АРТ, нацеленных на их клиентов из государственного и частного секторов по всему миру, активность фиксируется начиная с середины августа 2021 года.
В качестве одного из доводов Microsoft приводит инцидент, произошедший в июле 2021 года, когда специалистам удалось обнаружить иранскую АРТ DEV-0228, скомпрометировавшую израильскую софтверную компанию-поставщика ПО для бизнеса. Закрепившись, хакеры предприняли ряд атак на ее клиентов в оборонном, энергетическом и юридическом секторах Израиля.
В другом случае несколько месяцев спустя АРТ DEV-0056 взломала учетные записи электронной почты бахрейнского интегратора, занимавшегося господрядами.
Аналогичная участь постигла госкомпанию на Ближнем Востоке, которая предоставляет информационные и коммуникационные технологии для оборонного и транспортного секторов. DEV-0056 сохранял активность до октября.
Что сказать? Иранцы, определено в тренде.
Свои опасения относительно иранских хакерских групп высказали Microsoft Threat Intelligence Center (MSTIC) и Microsoft Digital Security Unit (DSU), поводом стала серия дерзких кибератак на компании в Индии и Израиле, которые реализуют ПО для управления бизнесом и интеграции миллионам глобальных организаций, подобно SolarWinds, для компрометации последующих клиентов.
Microsoft зафиксировали значительный рост числа таких атак: отправлено 1788 уведомлений в адрес около в 40 IT-компаний (80% всех уведомлений), попавших под иранский таргетинг. Для сравнения в 2020 году их было всего 48. В сферу заинтересованности хакеров попали организации в сфере обороны, энергетики и юстиции.
Все это логично, ведь Индия и другие страны становятся крупными центрами IT-услуг, что сделало их весьма привлекательными целями для прогосударственных АРТ, нацеленных на их клиентов из государственного и частного секторов по всему миру, активность фиксируется начиная с середины августа 2021 года.
В качестве одного из доводов Microsoft приводит инцидент, произошедший в июле 2021 года, когда специалистам удалось обнаружить иранскую АРТ DEV-0228, скомпрометировавшую израильскую софтверную компанию-поставщика ПО для бизнеса. Закрепившись, хакеры предприняли ряд атак на ее клиентов в оборонном, энергетическом и юридическом секторах Израиля.
В другом случае несколько месяцев спустя АРТ DEV-0056 взломала учетные записи электронной почты бахрейнского интегратора, занимавшегося господрядами.
Аналогичная участь постигла госкомпанию на Ближнем Востоке, которая предоставляет информационные и коммуникационные технологии для оборонного и транспортного секторов. DEV-0056 сохранял активность до октября.
Что сказать? Иранцы, определено в тренде.
Microsoft Security Blog
Iranian targeting of IT sector on the rise | Microsoft Security Blog
Microsoft has observed multiple Iranian threat actors targeting the IT services sector in attacks that aim to steal sign-in credentials belonging to downstream customer networks to enable further attacks.
Forwarded from Social Engineering
🎉 3 года Social Engineering.
• https://news.1rj.ru/str/Social_engineering/1
🖖🏻 Приветствую тебя user_name.• Сегодня исполняется 3 года нашему проекту. За это время, я смог собрать десятки тысяч единомышленников и опубликовать сотни статей, основная часть которых, относится к теме канала — Социальной Инженерии. Спасибо всем кто развивается вместе со мной, всем кто читает канал, предоставляет отзывы и указывает на недостатки. Искренне Вам благодарен 🖤
• https://news.1rj.ru/str/Social_engineering/1
Поздравляем уважаемых коллег https://news.1rj.ru/str/Social_engineering и желаем дальнейшего роста!
Telegram
Social Engineering
Делаем уникальные знания доступными.
Вакансии - @infosec_work
Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot
Сотрудничество — @SEAdm1n
РКН: https://vk.cc/cN3VwI
Вакансии - @infosec_work
Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot
Сотрудничество — @SEAdm1n
РКН: https://vk.cc/cN3VwI
Conti взломали и отлеживали в течение месяца. Специалистам швейцарской компании Prodaft удалось определить реальный IP-адрес одного из своих наиболее уязвимых серверов, а затем получить консольный доступ к уязвимой системе.
Речь идет о т.н. платежным портале или сайте восстановления, который используется жертвой и вымогателями для ведения переговоров о выкупе. Ресурс был размещен на украинском хостере ITL LLC с IP 217.12.204.135. Кроме того, исследователям удалось задетектить ОС сервера Conti и его htpasswd, который содержал хешированную версию пароля сервера.
За время контроля Prodaft снифила весь сетевой трафик, фиксируя как подключения жертв и посредников, но и IP-адреса SSH-соединений админов. По заявлениям компании, все IP-адреса принадлежали выходным узлам Tor.
Через несколько часов после выхода отчета Prodaft скомпрометированные ресурсы были отключены вымогателями. При том, что clearweb и Tor домены сайта утечки продолжали светиться онлайн. Такое поведение Conti не осталось незамеченным со стороны многих исследователей, в том числе MalwareHunterTeam, которые характеризовали инфраструктуру вымогателей как, более менее стабильную и профессионально управляемую.
После исправления дыр, Conti запустили пропеченную версию своего ресурса в пятницу вечером, то есть хакерам потребовалось около суток на исправление. Столь печальное событие для вымогателей не осталось без комментариев, раздосадованные злоумышленники обрушились критическим отзывом на действия Prodaft: «Похоже, европейцы также решили отказаться от своих манер и пойти на полную, просто пытаясь взломать наши системы».
Компания Prodaft, конечно же, ответила на заявление хакеров тем, что информация со всеми выводами передана в правоохранительные органы. Безусловно, надо полагать, что Prodaft и не предпринимали бы действия, без согласования своей операции со своими кураторами из национальных или вовсе зарубежных спецслужб.
Это обстоятельство, как мы полагаем, должно сгладить негативные оценки коллег по инфосек цеху, обвинивших швейцарцев фактически в пособничестве Conti, ресурсы которой теперь стали более защищены. В целом же, ситуация указывает на то, что скоро список обезвреженных банд вымогателей совсем скоро может пополниться новым наименованием.
Речь идет о т.н. платежным портале или сайте восстановления, который используется жертвой и вымогателями для ведения переговоров о выкупе. Ресурс был размещен на украинском хостере ITL LLC с IP 217.12.204.135. Кроме того, исследователям удалось задетектить ОС сервера Conti и его htpasswd, который содержал хешированную версию пароля сервера.
За время контроля Prodaft снифила весь сетевой трафик, фиксируя как подключения жертв и посредников, но и IP-адреса SSH-соединений админов. По заявлениям компании, все IP-адреса принадлежали выходным узлам Tor.
Через несколько часов после выхода отчета Prodaft скомпрометированные ресурсы были отключены вымогателями. При том, что clearweb и Tor домены сайта утечки продолжали светиться онлайн. Такое поведение Conti не осталось незамеченным со стороны многих исследователей, в том числе MalwareHunterTeam, которые характеризовали инфраструктуру вымогателей как, более менее стабильную и профессионально управляемую.
После исправления дыр, Conti запустили пропеченную версию своего ресурса в пятницу вечером, то есть хакерам потребовалось около суток на исправление. Столь печальное событие для вымогателей не осталось без комментариев, раздосадованные злоумышленники обрушились критическим отзывом на действия Prodaft: «Похоже, европейцы также решили отказаться от своих манер и пойти на полную, просто пытаясь взломать наши системы».
Компания Prodaft, конечно же, ответила на заявление хакеров тем, что информация со всеми выводами передана в правоохранительные органы. Безусловно, надо полагать, что Prodaft и не предпринимали бы действия, без согласования своей операции со своими кураторами из национальных или вовсе зарубежных спецслужб.
Это обстоятельство, как мы полагаем, должно сгладить негативные оценки коллег по инфосек цеху, обвинивших швейцарцев фактически в пособничестве Conti, ресурсы которой теперь стали более защищены. В целом же, ситуация указывает на то, что скоро список обезвреженных банд вымогателей совсем скоро может пополниться новым наименованием.
PRODAFT
PRODAFT – Cyber Threat Intelligence and Risk Intelligence
Explore advanced cybersecurity solutions, providing proactive defense against emerging threats. Learn more about our tailored intelligence, and cybercrime investigation solutions.
Пацан к успеху шел, не получилось, не фартануло...
Канадский подросток был арестован по обвинению в хищении криптовалюты на сумму около 36,5 миллионов долларов. Схема конечно не новая, да и схемой сложно назвать. Подросток применил SIM Swapping, то есть замену SIM-карты через оператора связи, тем самым успешно преодолел второй фактор и благополучно опустошил криптовалютный портфель американского гражданина.
Об аресте сообщили канадские полицейские из Гамильтона. Операция по разоблачению злоумышленника проводилась совместно с ФБР и специальной группой по борьбе с электронными преступлениями Секретной службы США, которая началась еще в марте 2020 года.
Потерпевший явно был не самый подкованный в инфобезе, когда использовал SIM, как второй фактор, но вероятно далеко не самый простой человек, раз разработкой занялись представители из Секретной службы США.
Можно сказать парень спалился почти случайно, так как полиция выявила, что часть украденной криптовалюты была использована для покупки имени пользователя в игровом комьюнити. Анализ соответствующей транзакции, позволил правоохранителям разоблачить владельца аккаунта с редким username.
Тем, не менее парень прославился и помимо уникальности среди игроманов, завоевал репутацию в средt хакерского анедграунда единолично украв достаточно внушительную сумму крипты.
Канадский подросток был арестован по обвинению в хищении криптовалюты на сумму около 36,5 миллионов долларов. Схема конечно не новая, да и схемой сложно назвать. Подросток применил SIM Swapping, то есть замену SIM-карты через оператора связи, тем самым успешно преодолел второй фактор и благополучно опустошил криптовалютный портфель американского гражданина.
Об аресте сообщили канадские полицейские из Гамильтона. Операция по разоблачению злоумышленника проводилась совместно с ФБР и специальной группой по борьбе с электронными преступлениями Секретной службы США, которая началась еще в марте 2020 года.
Потерпевший явно был не самый подкованный в инфобезе, когда использовал SIM, как второй фактор, но вероятно далеко не самый простой человек, раз разработкой занялись представители из Секретной службы США.
Можно сказать парень спалился почти случайно, так как полиция выявила, что часть украденной криптовалюты была использована для покупки имени пользователя в игровом комьюнити. Анализ соответствующей транзакции, позволил правоохранителям разоблачить владельца аккаунта с редким username.
Тем, не менее парень прославился и помимо уникальности среди игроманов, завоевал репутацию в средt хакерского анедграунда единолично украв достаточно внушительную сумму крипты.
Специалисты JFrog обнаружили 11 вредоносных пакетов Python в репозитории Python Package Index (PyPI), предназначенных для проведения атак на зависимости, потенциально реализуя возможности похищать токены доступа Discord, пароли и творить прочие пакости.
В списке таких пакетов оказались: importantpackage, pptest, ipboards, owlmoon, DiscordSafety, trrfab, 10Cent10, 10Cent11, yandex-yt, yiffparty.
К примеру, пакеты importantpackage, 10Cent10 и 10Cent11 позволили исследователям запилить бэкдор на взломанную машину, выкрасть данные в ходе манипуляций с TLS CDN, используя Fastly CDN, чтобы замаскировать связь с сервером C2 под соединения с pypi.org. Такой HTTPS-запрос на pypi.python.org фактически неотличим от реального, однако позже перенаправляется CDN как HTTP-запрос к серверу C2: psec forward io global prod fastly net, и наоборот, обеспечивая двустороннюю связь.
С помощью пакетов ipboards и trrfab авторы исследования смогли извлекать конфиденциальную информацию с помощью методики путаницы зависимостей, ведь этот метод гарантирует загрузку и установку вредоносного модуля целевым диспетчером пакетов.
Кроме того, пакеты ipboards и pptest содержали баги для кражи данных путем DNS-туннелирования. Причем, это первый случай, когда этот метод был использован вредоносным pac в ПО, загруженном в PyPI.
Наглядное продолжение набирающего популярность типа атак, которые мы совсем недавно разбирали.
В списке таких пакетов оказались: importantpackage, pptest, ipboards, owlmoon, DiscordSafety, trrfab, 10Cent10, 10Cent11, yandex-yt, yiffparty.
К примеру, пакеты importantpackage, 10Cent10 и 10Cent11 позволили исследователям запилить бэкдор на взломанную машину, выкрасть данные в ходе манипуляций с TLS CDN, используя Fastly CDN, чтобы замаскировать связь с сервером C2 под соединения с pypi.org. Такой HTTPS-запрос на pypi.python.org фактически неотличим от реального, однако позже перенаправляется CDN как HTTP-запрос к серверу C2: psec forward io global prod fastly net, и наоборот, обеспечивая двустороннюю связь.
С помощью пакетов ipboards и trrfab авторы исследования смогли извлекать конфиденциальную информацию с помощью методики путаницы зависимостей, ведь этот метод гарантирует загрузку и установку вредоносного модуля целевым диспетчером пакетов.
Кроме того, пакеты ipboards и pptest содержали баги для кражи данных путем DNS-туннелирования. Причем, это первый случай, когда этот метод был использован вредоносным pac в ПО, загруженном в PyPI.
Наглядное продолжение набирающего популярность типа атак, которые мы совсем недавно разбирали.
JFrog
Python Malware Imitates Signed PyPI Traffic in Novel Exfiltration Technique
Software supply chain security threat: automated scanning of Python packages in the PyPI repository uncovered stealthy malware and more. Find out about our latest findings.
Несмотря на все известные трудности, с которыми пришлось столкнуться Group-IB @group_ib в последнее время, компания продолжает расследования, что определенно не может не радовать. В поле зрения экспертов попали новые атаки группировки RedCurl, специализирующейся на кибершпионаже в корпоративном секторе.
Спустя семь месяцев с начала 2021 года RedCurl провели 4 атаки (в общем этой группе атрибутируют 30 нападений за период с 2018 года), две из них были направлены на российскую оптовую компанию.
В целом Group-IB идентифицировала 14 организаций-жертв в разных странах и отраслях. Среди жертв были компании в области строительства, финансов, консалтинга, розничной торговли, страхования и права, расположенные в Великобритании, Германии, Канаде, Норвегии, России и Украине.
За время перерыва, RedCurl переоснастили свой хакерских арсенал. Группа добавила новый инструмент разведки, код которого имеет много общего с модулем FirstStageAgent (Group-IB назвал инструмент FSABIN), а также загрузчик PowerShell для этого инструмента. Цепочка kill chain для «нулевого пациента» (между получением фишингового письма и запуском модуля, ответственного за его выполнение) выросла с трех до пяти этапов.
Перед атакой RedCurl тщательно исследует свою жертву по открытым источникам. Впоследствии конструирует целевые фишинговые письма, якобы исходящие от отдела кадров организации-жертвы. После закрепления на хосте в сети жертвы RedCurl проводит анализ инфраструктуры, собирая имена и версии систем, список сетевых и логических дисков, а также список паролей. При этом информация о зараженном устройстве хранилась в отдельном файле на стороне сервера с корректировкой по часовому поясу Минска (UTC + 3).
Отличительной чертой АРТ являются долгосрочные операции: от заражения «нулевого пациента» до кражи данных могут пройти месяцы. Кроме того, группа не использует популярные постэксплуатационные инструменты, такие как CobaltStrike и Meterpreter, а также традиционные схемы удаленного управления и монетизации (шифрование, вывод денежных средств или получение выкупа).
Вместо этого применяются инструменты собственной разработки и некоторые общедоступные программы для получения начального доступа, достижения устойчивости, горизонтального перемещения и извлечения конфиденциальной документации.
Group-IB отмечают, что хакеры сосредоточены на получении корпоративной информации следующего содержания: деловая электронная почта, служебная переписка, юридические документы, бухгалтерские файлы, судебные записи и другие внутренние сведения. В некоторых случаях жертвы RedCurl даже не догадывается о своей компрометации.
Корпоративный кибершпионаж остается редким и во многом уникальным явлением, которое, по мнению специалистов, перетекает в новую тенденцию в сфере киберпреступности. Мы же настоятельно рекомендуем специалистам ИБ ознакомиться с отчетом Group-IB о деятельности RedCurl, особенно что касается индикаторов взлома.
Спустя семь месяцев с начала 2021 года RedCurl провели 4 атаки (в общем этой группе атрибутируют 30 нападений за период с 2018 года), две из них были направлены на российскую оптовую компанию.
В целом Group-IB идентифицировала 14 организаций-жертв в разных странах и отраслях. Среди жертв были компании в области строительства, финансов, консалтинга, розничной торговли, страхования и права, расположенные в Великобритании, Германии, Канаде, Норвегии, России и Украине.
За время перерыва, RedCurl переоснастили свой хакерских арсенал. Группа добавила новый инструмент разведки, код которого имеет много общего с модулем FirstStageAgent (Group-IB назвал инструмент FSABIN), а также загрузчик PowerShell для этого инструмента. Цепочка kill chain для «нулевого пациента» (между получением фишингового письма и запуском модуля, ответственного за его выполнение) выросла с трех до пяти этапов.
Перед атакой RedCurl тщательно исследует свою жертву по открытым источникам. Впоследствии конструирует целевые фишинговые письма, якобы исходящие от отдела кадров организации-жертвы. После закрепления на хосте в сети жертвы RedCurl проводит анализ инфраструктуры, собирая имена и версии систем, список сетевых и логических дисков, а также список паролей. При этом информация о зараженном устройстве хранилась в отдельном файле на стороне сервера с корректировкой по часовому поясу Минска (UTC + 3).
Отличительной чертой АРТ являются долгосрочные операции: от заражения «нулевого пациента» до кражи данных могут пройти месяцы. Кроме того, группа не использует популярные постэксплуатационные инструменты, такие как CobaltStrike и Meterpreter, а также традиционные схемы удаленного управления и монетизации (шифрование, вывод денежных средств или получение выкупа).
Вместо этого применяются инструменты собственной разработки и некоторые общедоступные программы для получения начального доступа, достижения устойчивости, горизонтального перемещения и извлечения конфиденциальной документации.
Group-IB отмечают, что хакеры сосредоточены на получении корпоративной информации следующего содержания: деловая электронная почта, служебная переписка, юридические документы, бухгалтерские файлы, судебные записи и другие внутренние сведения. В некоторых случаях жертвы RedCurl даже не догадывается о своей компрометации.
Корпоративный кибершпионаж остается редким и во многом уникальным явлением, которое, по мнению специалистов, перетекает в новую тенденцию в сфере киберпреступности. Мы же настоятельно рекомендуем специалистам ИБ ознакомиться с отчетом Group-IB о деятельности RedCurl, особенно что касается индикаторов взлома.
Group-IB
The awakening: Group-IB uncovers new corporate espionage attacks by RedCurl
Group-IB, one of the leading solution providers dedicated to detecting and preventing cyberattacks, identifying online fraud, investigating high-tech crimes, and intellectual property protection, detected new attacks by RedCurl, a corporate cyber espionage…
Поставщик решений для менеджеров паролей Nordpass опубликовал рейтинг 200 самых слабых паролей по итогам 2020 года. Список паролей был составлен при поддержке независимых исследователей, специализирующихся на анализе утечки данных.
Вниманию спецов были представлены 275 699 516 паролей, которые оказались раскрыты при утечках данных в 2020 году. Выяснилось, что только 44% из них были уникальными. Отчет показывает, что повсеместно продолжают использоваться слабые пароли.
Традиционно лидерами верхних строчек по-прежнему являются: 123456, 123456789, 12345, qwerty и «пароль» (password). Далее по уровню сложности следуют пароли, в качестве которых выбрались собственные имена, наименования автомобилей, городов и прочих ассоциированных с пользователем наименований.
Но вот, что точно не укладывается в уме так это: Марина, занимающая 41 место в рейтинге среди пользователей из России, который сразу следует за Samsung (40-ая позиция). При этом 46 место взял Nikita, который смог на одну позицию подняться выше Stalker. А вот Sergey и Andrey разделили 51 и 58 места.
69 место у Adidas, Spartak смог занять 77 позицию, а lokomotiv - на 100 ниже (177 место). 82 и 94 позиции взяли vkontakte и rambler (yandex и mail в рейтинг предпочтений не попали). И, наконец, нижнюю строчку антирейтинга взяла комбинация 123321, не сложная, но вместе с тем.
Поэтому как бы не был хорош ваш пароль, а второй фактор все же лучше.
Вниманию спецов были представлены 275 699 516 паролей, которые оказались раскрыты при утечках данных в 2020 году. Выяснилось, что только 44% из них были уникальными. Отчет показывает, что повсеместно продолжают использоваться слабые пароли.
Традиционно лидерами верхних строчек по-прежнему являются: 123456, 123456789, 12345, qwerty и «пароль» (password). Далее по уровню сложности следуют пароли, в качестве которых выбрались собственные имена, наименования автомобилей, городов и прочих ассоциированных с пользователем наименований.
Но вот, что точно не укладывается в уме так это: Марина, занимающая 41 место в рейтинге среди пользователей из России, который сразу следует за Samsung (40-ая позиция). При этом 46 место взял Nikita, который смог на одну позицию подняться выше Stalker. А вот Sergey и Andrey разделили 51 и 58 места.
69 место у Adidas, Spartak смог занять 77 позицию, а lokomotiv - на 100 ниже (177 место). 82 и 94 позиции взяли vkontakte и rambler (yandex и mail в рейтинг предпочтений не попали). И, наконец, нижнюю строчку антирейтинга взяла комбинация 123321, не сложная, но вместе с тем.
Поэтому как бы не был хорош ваш пароль, а второй фактор все же лучше.
NordPass
Top 200 Most Common Passwords
For the seventh year in a row, NordPass presents its list of the top 200 most common passwords. Discover how common password trends differ across generations of users.
Forwarded from SecurityLab.ru
Этичные хакеры спасли $27 млрд, прорыв deepfake технологий. Security-новости #40
Александр Антипов в очередном Youtube ролике рассказывает о главных новостях из мира IT, актуальных угрозах и событиях прошедших за последнюю неделю. Узнай первым как выжить в цифровом кошмаре! А также еженедельные конкурсы с крутыми призами для подписчиков нашего канала!
https://www.youtube.com/watch?v=NwmPZghRrcU
Александр Антипов в очередном Youtube ролике рассказывает о главных новостях из мира IT, актуальных угрозах и событиях прошедших за последнюю неделю. Узнай первым как выжить в цифровом кошмаре! А также еженедельные конкурсы с крутыми призами для подписчиков нашего канала!
https://www.youtube.com/watch?v=NwmPZghRrcU
YouTube
Этичные хакеры спасли $27 млрд, прорыв deepfake технологий. Security-новости #40 | 12+
💰📊👉 Новости об инвестициях в кибербезопасность предоставлены каналом It’s positive investing - https://news.1rj.ru/str/positive_investing
0:00 Здравствуйте с вами Александр Антипов, ваш бессменный ведущий самых жарких новостей по информационной безопасности
0:55…
0:00 Здравствуйте с вами Александр Антипов, ваш бессменный ведущий самых жарких новостей по информационной безопасности
0:55…