Похоже, что скандал с израильскими частными разведывательными компаниями продолжается, а точнее обрастает новыми подробностями.
Если ранее медиафокус был направлен на NSO Group, то на этот раз под раздачу попал еще один попавший под американские санкции поставщик шпионского ПО Candiru. Как выяснили ESET, все дело в том, что Candiru были причастны к атакам Watering Hole в отношении ряда высокопоставленных лиц в Великобритании и на Ближнем Востоке.
Для атак на водопой использовались веб-сайты ведущих СМИ, правительственных структур, операторов связи в Великобритании, Йемене и Саудовской Аравии, а также компаниям, занимающимся аэрокосмическими и военными технологиями в Италии и Южной Африке.
Взломы ресурсов проводились последовательно в две волны: первая состоялась в период с марта по август 2020 года, вторая продолжалась в январе - августе 2021 года, после чего вредоносные скрипты были удалены с целевых веб-сайтов.
В рамках первой волны цепочки атак включали внедрение злоумышленником кода JavaScript на веб-сайты с удаленного домена, который предназначен для сбора информации машине-жертве (в том числе его геолокации, сетевых адресах, ОС и другой системной информации), при этом обходя мобильные устройства. Затем использовались уязвимости удаленного выполнения кода браузера, которая позволила злоумышленникам захватить контроль над машинами.
Вторая волна характеризовалась большей скрытностью, поскольку изменения JavaScript вносились в легитимные сценарии WordPress (wp-embed.min.js), вместо добавления вредоносного кода прямо на главную HTML-страницу, используя метод загрузки скрипта с сервера, находящегося под контролем злоумышленника. Помимо снятия фингерпринта злоумышленник вел сбор системных метаданных (в том числе языка по умолчанию, списка шрифтов, поддерживаемых браузером, часовой пояс и список плагинов браузера).
Изучая ТТП APT в ходе второй волны, словацкая инфосек компания связала активность с Karkadann, которая достаточно четко описана специалистами Лаборатории Касперского. Злоумышленник также нацелен на госорганы и новостные агентства на Ближнем Востоке как минимум с октября 2020 года и использовал специально разработанные вредоносные документы со встроенными макросами, которые запускают цепочку заражения, открывая URL-адрес в Internet Explorer, реализуя в конечном счете уязвимость повышения привилегий. ЛК, в свою очередь, обнаружили свойство с кампанией Piwiks.
Вместе с тем, обнаружить точный эксплойт и окончательную полезную нагрузку, и до конца расчехлить Candiru спецам ESET не удалось. Элементами атрибуции стали сведения о том, что некоторые из командно-управляющие сервера имели схожие домены, которые использовались израильтянами. Но в качестве главного аргумента представлен арсенал Candiru, включающий возможности удаленного выполнения кода на основе браузера.
Ну и вряд ли можно назвать совпадением то, что кампания прекратилась в конце июля 2021 года, что совпало с публикациями об причастности Candiru к атакам на жертв в Армении, в ходе которых использовались 0-day уязвимости в браузере Chrome.
При этом ESET полагают, что несмотря на все обвинения Candiru разрабатываются новые инфраструктурные и тактические решения под дальнейшие кампании.
Если ранее медиафокус был направлен на NSO Group, то на этот раз под раздачу попал еще один попавший под американские санкции поставщик шпионского ПО Candiru. Как выяснили ESET, все дело в том, что Candiru были причастны к атакам Watering Hole в отношении ряда высокопоставленных лиц в Великобритании и на Ближнем Востоке.
Для атак на водопой использовались веб-сайты ведущих СМИ, правительственных структур, операторов связи в Великобритании, Йемене и Саудовской Аравии, а также компаниям, занимающимся аэрокосмическими и военными технологиями в Италии и Южной Африке.
Взломы ресурсов проводились последовательно в две волны: первая состоялась в период с марта по август 2020 года, вторая продолжалась в январе - августе 2021 года, после чего вредоносные скрипты были удалены с целевых веб-сайтов.
В рамках первой волны цепочки атак включали внедрение злоумышленником кода JavaScript на веб-сайты с удаленного домена, который предназначен для сбора информации машине-жертве (в том числе его геолокации, сетевых адресах, ОС и другой системной информации), при этом обходя мобильные устройства. Затем использовались уязвимости удаленного выполнения кода браузера, которая позволила злоумышленникам захватить контроль над машинами.
Вторая волна характеризовалась большей скрытностью, поскольку изменения JavaScript вносились в легитимные сценарии WordPress (wp-embed.min.js), вместо добавления вредоносного кода прямо на главную HTML-страницу, используя метод загрузки скрипта с сервера, находящегося под контролем злоумышленника. Помимо снятия фингерпринта злоумышленник вел сбор системных метаданных (в том числе языка по умолчанию, списка шрифтов, поддерживаемых браузером, часовой пояс и список плагинов браузера).
Изучая ТТП APT в ходе второй волны, словацкая инфосек компания связала активность с Karkadann, которая достаточно четко описана специалистами Лаборатории Касперского. Злоумышленник также нацелен на госорганы и новостные агентства на Ближнем Востоке как минимум с октября 2020 года и использовал специально разработанные вредоносные документы со встроенными макросами, которые запускают цепочку заражения, открывая URL-адрес в Internet Explorer, реализуя в конечном счете уязвимость повышения привилегий. ЛК, в свою очередь, обнаружили свойство с кампанией Piwiks.
Вместе с тем, обнаружить точный эксплойт и окончательную полезную нагрузку, и до конца расчехлить Candiru спецам ESET не удалось. Элементами атрибуции стали сведения о том, что некоторые из командно-управляющие сервера имели схожие домены, которые использовались израильтянами. Но в качестве главного аргумента представлен арсенал Candiru, включающий возможности удаленного выполнения кода на основе браузера.
Ну и вряд ли можно назвать совпадением то, что кампания прекратилась в конце июля 2021 года, что совпало с публикациями об причастности Candiru к атакам на жертв в Армении, в ходе которых использовались 0-day уязвимости в браузере Chrome.
При этом ESET полагают, что несмотря на все обвинения Candiru разрабатываются новые инфраструктурные и тактические решения под дальнейшие кампании.
WeLiveSecurity
Strategic web compromises in the Middle East with a pinch of Candiru
ESET researchers uncover strategic web compromise (aka watering hole) attacks against high-profile websites in the Middle East.
Банды вымогателей в последнее время совсем разбушевались.
Под удар вымогателей Lockbit попала криптовалютная биржа BTC-Alpha. Платформа украинского предпринимателя Виталия Боднара, торгующая с 2016 году и занимающая 14 место в рейтинге по безопасности, оказалась не такой уж и безопасной.
В этом случае Lockbit определенно сыграли на руку своим американским оппонентам, которые рассматривают крипту главным экономическим злом в вопросах организации экономики ransomware.
А вот в руки Everest залетела Police Brazil, именно так хакеры анонсировали свою успешную атаку. Но круче них на этой неделе оказались Moses Staff, которым удалось взломать Unit 8200, элитное подразделение радиоэлектронной разведки Армии обороны Израиля.
Под удар вымогателей Lockbit попала криптовалютная биржа BTC-Alpha. Платформа украинского предпринимателя Виталия Боднара, торгующая с 2016 году и занимающая 14 место в рейтинге по безопасности, оказалась не такой уж и безопасной.
В этом случае Lockbit определенно сыграли на руку своим американским оппонентам, которые рассматривают крипту главным экономическим злом в вопросах организации экономики ransomware.
А вот в руки Everest залетела Police Brazil, именно так хакеры анонсировали свою успешную атаку. Но круче них на этой неделе оказались Moses Staff, которым удалось взломать Unit 8200, элитное подразделение радиоэлектронной разведки Армии обороны Израиля.
Twitter
DarkTracer : DarkWeb Criminal Intelligence
[ALERT] Everest ransomware gang has announced "Police Brazil" on the victim list.
Forwarded from Social Engineering
🔖 S.E. Заметка. #OSINT коллекция от Cyber Detective.
• Коллекция инструментов: https://github.com/cipher387/osint_stuff_tool_collection
• Блог автора в Twitter: @cyb_detective
• Блог в Telegram: @cybdetective
‼️ За 3 года существования S.E., я собрал огромное количество материала на тему #OSINT, так как навыки искать необходимую информацию о цели, очень важны и являются ключевыми при проведении атак с использованием #СИ. Дополнительный материал, ты можешь найти по хештегам в заметке. Твой S.E.
🖖🏻 Приветствую тебя user_name.
• Продолжаем пополнять нашу коллекцию #OSINT ресурсов и инструментов. На этот раз, я поделюсь с тобой не только отличным и сочным репозиторием, но и отличным блогом, в котором ты найдешь много полезной информации. Автор является значимой фигурой в OSINT-сообществе.• Коллекция инструментов: https://github.com/cipher387/osint_stuff_tool_collection
• Блог автора в Twitter: @cyb_detective
• Блог в Telegram: @cybdetective
‼️ За 3 года существования S.E., я собрал огромное количество материала на тему #OSINT, так как навыки искать необходимую информацию о цели, очень важны и являются ключевыми при проведении атак с использованием #СИ. Дополнительный материал, ты можешь найти по хештегам в заметке. Твой S.E.
Минюст США выдвинул обвинения в отношении двух граждан Ирана во вмешательстве в президентские выборы. Согласно официальному заявлению Сейед Мохаммад Хосейн Муса Каземи и Саджад Кашиан были причастны к серии хакерских атак и операциям влияния, проведенной в период с сентября по ноябрь 2020 года. Ранее в октябре 2020 года об атаках хакеров предупреждало Агентство по кибербезопасности и безопасности инфраструктуры США (CISA).
Американским силовикам удалось собрать приличную доказательную базу и улики, согласно которым иранцы предпринимали попытки взлома сайтов в 11 штатах, включая государственные ресурсы для голосования и учета избирателей, в результате которых им удалось поэксплуатировать по крайней мере один неправильно сконфигурированный сайт и украсть сведения о более чем 100 000 избирателей, включая закрытые данные.
Более того, иранских хакеров обвинили в рассылке электронных писем, содержащих сфальсифицированные факты о нарушениях выборных процедур со стороны Демократической партии. Для этих целей хакеры придумали некую гражданскую структуру Proud Boys, от имени которой и отправляли сообщения сенаторам-республиканцам, сторонникам Дональда Трампа, советникам Белого дома и представителям СМИ. В письмах утверждалось, что демократы планировали использовать хакерские методы, почтовые махинации и для накручивания голосов по ряду штатов, даже прилагалось соответствующее фейковое видео.
В октябре 2020 года хакеры разослали письма с угрозами в адрес десятка тысяч зарегистрированных избирателей и демократам, опять же от имени группы ProudBoys. Доходило до угроз физической расправы и других явно недемократических методов.
Сразу по завершении президентской гонки 4 ноября 2020 года хакеры попытались пролезть в сеть американской медиакомпании, используя ранее скомпрометированные учетные данных сотрудников. Сработав на опережение, представители ФБР смогли вовремя пресечь действия нарушителей.
Американским спецслужбам удалось выяснить, что обвиняемые работали и планировали операции под крышей иранской фирме по кибербезопасности под названием Eeleyanet Gostar (ранее Emennet Pasargad). Компания при этом имела подряды от официальных правительственных структур Ирана.
Компания, конечно же, присоединилась уже еще к 4, на которые были наложены санкции со стороны Министерства финансов США. Все они также использовались для проведения аналогичных операций, целью которых были президентские выборы в США 2020 года.
Доска разыскиваемых ФБР и Госдепом США преступников пополнилась именами еще 2 граждан Ирана, за головы которых назначено вознаграждение в размере до 10 миллионов долларов.
Полагаем, на родине иранцы также были не обделены вниманием и получили не менее ценные вознаграждения, в том числе, возможно, и награды. В этом смысле, они определено оправдали себя как реальные ProudBoys.
Американским силовикам удалось собрать приличную доказательную базу и улики, согласно которым иранцы предпринимали попытки взлома сайтов в 11 штатах, включая государственные ресурсы для голосования и учета избирателей, в результате которых им удалось поэксплуатировать по крайней мере один неправильно сконфигурированный сайт и украсть сведения о более чем 100 000 избирателей, включая закрытые данные.
Более того, иранских хакеров обвинили в рассылке электронных писем, содержащих сфальсифицированные факты о нарушениях выборных процедур со стороны Демократической партии. Для этих целей хакеры придумали некую гражданскую структуру Proud Boys, от имени которой и отправляли сообщения сенаторам-республиканцам, сторонникам Дональда Трампа, советникам Белого дома и представителям СМИ. В письмах утверждалось, что демократы планировали использовать хакерские методы, почтовые махинации и для накручивания голосов по ряду штатов, даже прилагалось соответствующее фейковое видео.
В октябре 2020 года хакеры разослали письма с угрозами в адрес десятка тысяч зарегистрированных избирателей и демократам, опять же от имени группы ProudBoys. Доходило до угроз физической расправы и других явно недемократических методов.
Сразу по завершении президентской гонки 4 ноября 2020 года хакеры попытались пролезть в сеть американской медиакомпании, используя ранее скомпрометированные учетные данных сотрудников. Сработав на опережение, представители ФБР смогли вовремя пресечь действия нарушителей.
Американским спецслужбам удалось выяснить, что обвиняемые работали и планировали операции под крышей иранской фирме по кибербезопасности под названием Eeleyanet Gostar (ранее Emennet Pasargad). Компания при этом имела подряды от официальных правительственных структур Ирана.
Компания, конечно же, присоединилась уже еще к 4, на которые были наложены санкции со стороны Министерства финансов США. Все они также использовались для проведения аналогичных операций, целью которых были президентские выборы в США 2020 года.
Доска разыскиваемых ФБР и Госдепом США преступников пополнилась именами еще 2 граждан Ирана, за головы которых назначено вознаграждение в размере до 10 миллионов долларов.
Полагаем, на родине иранцы также были не обделены вниманием и получили не менее ценные вознаграждения, в том числе, возможно, и награды. В этом смысле, они определено оправдали себя как реальные ProudBoys.
www.documentcloud.org
Kazemi indictment
Популярность ransomware с каждым годом только растет и их благосостояние тоже. Такими темпами доходы банд-вымогателей скоро начнут публиковать в списках Forbes наряду с действующими бизнесменами построившими свою финансовую независимость в легальном правовом поле.
Специалисты швейцарской компании Prodaft подготовили отчет в котором посчитали сколько заработали операторы программы-вымогателя Conti от атак и последующих выкупов с июля 2021 года. Доход банды составил не менее 25,5 миллионов долларов причем это достаточно скромная оценка, учитывая, что далеко не все официально заявляют об инцидентах. Разумеется, за свою историю начиная с августа 2020 года банда заработала значительно больше.
Компания совместно с фирмой Elliptic, занимающейся анализом блокчейнов, отследили более 500 биткойнов, которые собрали за последние пять месяцев по 113 криптоадресам злоумышленников и выявили кошелек для консолидации прибыли банды. Также исследователи заметили, как банда распределяла прибыль среди своих партнеров, осуществляющих проникновение в компани и устанавку вымогателя. Примечательный момент заключался в том, что специалистами был выявлен один кластер, который получал платежи от Conti и группировки DarkSide, что может указывать на то, что одно физическое лицо работало в качестве аффилированного партнера для обеих групп.
Prodaft указывает, что банда Conti сама управляет своим кошельком, а ее партнеры обычно отмывают свою прибыль через теневые площадки, кошельки с повышенной конфиденциальностью, такие как Wasabi, а также через русскоязычный даркмаркет Hydra.
Предыдущие исследования и оценки прибыли других банд вымогателей также впечатляют, но мастодонтом на сегодняшний день по "официальной" статистике являются Conti:
- Ryuk (Conti) - 150 миллионов долларов.
- REvil - 123 миллиона долларов в 2020 году
- Darkside - 90 миллионов долларов с октября 2020 года по май 2021 года.
- Maze/Egregor - 75 миллионов долларов
- Netwalker - 25 миллионов долларов с марта по июль 2020 года.
После прекращения деятельности таких банд как Avaddon, REvil, Darkside и BlackMatter, банда Conti вместе с группой LockBit на сегодняшний день являются наиболее активными и вызывают соответствующую тревогу у агентств и служб по кибербезопасности США. При этом CISA уже предупреждала о повышенной в последнее время активности хакерских группировок.
Поэтому инфосек компании и правительственные органы по киберзащите в ружье, так как Conti такими темпами вероятно стремятся в ближайшем будущем стать анонимными миллиардерами.
Специалисты швейцарской компании Prodaft подготовили отчет в котором посчитали сколько заработали операторы программы-вымогателя Conti от атак и последующих выкупов с июля 2021 года. Доход банды составил не менее 25,5 миллионов долларов причем это достаточно скромная оценка, учитывая, что далеко не все официально заявляют об инцидентах. Разумеется, за свою историю начиная с августа 2020 года банда заработала значительно больше.
Компания совместно с фирмой Elliptic, занимающейся анализом блокчейнов, отследили более 500 биткойнов, которые собрали за последние пять месяцев по 113 криптоадресам злоумышленников и выявили кошелек для консолидации прибыли банды. Также исследователи заметили, как банда распределяла прибыль среди своих партнеров, осуществляющих проникновение в компани и устанавку вымогателя. Примечательный момент заключался в том, что специалистами был выявлен один кластер, который получал платежи от Conti и группировки DarkSide, что может указывать на то, что одно физическое лицо работало в качестве аффилированного партнера для обеих групп.
Prodaft указывает, что банда Conti сама управляет своим кошельком, а ее партнеры обычно отмывают свою прибыль через теневые площадки, кошельки с повышенной конфиденциальностью, такие как Wasabi, а также через русскоязычный даркмаркет Hydra.
Предыдущие исследования и оценки прибыли других банд вымогателей также впечатляют, но мастодонтом на сегодняшний день по "официальной" статистике являются Conti:
- Ryuk (Conti) - 150 миллионов долларов.
- REvil - 123 миллиона долларов в 2020 году
- Darkside - 90 миллионов долларов с октября 2020 года по май 2021 года.
- Maze/Egregor - 75 миллионов долларов
- Netwalker - 25 миллионов долларов с марта по июль 2020 года.
После прекращения деятельности таких банд как Avaddon, REvil, Darkside и BlackMatter, банда Conti вместе с группой LockBit на сегодняшний день являются наиболее активными и вызывают соответствующую тревогу у агентств и служб по кибербезопасности США. При этом CISA уже предупреждала о повышенной в последнее время активности хакерских группировок.
Поэтому инфосек компании и правительственные органы по киберзащите в ружье, так как Conti такими темпами вероятно стремятся в ближайшем будущем стать анонимными миллиардерами.
Уже давно не радовали вас вестями о бойцах цифрового чучхе. Но в этом нам подсобили Proofpoint, выкатив расследование, посвященное деятельности в 2021 году АРТ, которую компания отслеживает как TA406 и полностью атрибутируют с Kimsuky. Кроме того, группировке приписали и другие активности, которые отлёживались как отдельные TA408 и TA427.
АРТ, по данным исследователей, занимается распространением вредоносных программ, фишингом, сбором разведданных и кражей криптовалюты, работая примерно с 9 утра до 5 вечера (KST), семь дней в неделю. География действий АРТ достаточно широка и включает Северную Америку, Россию, Китай, Южную Корею, Японию, Германию, Францию, Великобританию, Южную Африку, Индию и другие страны.
В целом Proofpoint сообщают, что следы TA406 фиксируются с 2018 года и указывают на специализации АРТ на шпионаже, мошенничестве с целью получения денег и вымогательстве.
При этом в 2021 году северокорейцы были в основном сфокусированы на сборе учетных данных и нацеливались на организации в таких секторах, как образование, госсектор, СМИ и наука, а также ряд отраслей промышленности.
В течение первых шести месяцев текущего года, Proofpoint наблюдали еженедельные атаки на ученых, журналистов, экспертов в области внешней политики, а также неправительственные организации, особенно те, которые связаны с деятельностью на Корейском полуострове.
Для этого АРТ распространяли ВПО через фишинговые электронные письма со ссылками на архивы 7z, которые содержали EXE-файл с двойным расширением, который визуально выглядел как файл HTML.
Позже в марте 2021 года Kimsuky переориентировались на высокопоставленных должностных лиц в различных госучреждениях, консалтинговых фирмах, военных и силовиков. АРТ также интересовали сотрудники экономических и финансовых организаций. В ходе атак актор начал развертывание специального ВПО под названием FatBoy, которое помещалось в виде HTML-вложения на диск жертвы.
FatBoy - вредоносное ПО первого уровня, предназначенное для загрузки CAB-файла с C2 каждые 20 минут. CAB-файл содержит пакетный сценарий (ball.bat), который выполняет сценарий VBS, предназначенный для выполнения разведки и извлечения информации через запросы HTTP POST. В дальнейшем подгружался YoreKey, пользовательский кейлоггер для Windows, маскирующийся под MetaTrader 4 Manager, платформу электронной торговли.
Proofpoint отмечает, что в кампаниях 2021 года АРТ взяла на вооружение целый арсенал вредоносного ПО для кражи информации, включая
семейства malware помимо озвученных также: Amadey, Android Moez, BabyShark, CARROTBAT/CARROTBALL, KONNI, SANNY, NavRAT и QuasarRAT.
В фишинговых письмах обычно использовали тематики по ядерной безопасности, политике и внешней политике Кореи. Письма отправлялись с взломанных веб-сайтов от имени фальшивых пользователей: к примеру, от редактора Global Asia, профессора Университета Йонсей и советника президента Мун Чжэ Ина.
Приманки в письмах, как правило, представляли собой файлы PDF, для просмотра которых от получателя требуется войти на хостинговую платформу, используя свои личные или корпоративные учетные данные.
Особый интерес представляет то, что при проведении фишинговых кампаний обычно не создавали сложных целевых страниц для имитации известного сервера. Вместо этого они использовали базовую HTTP-аутентификацию, которая отображает диалоговое окно браузера с запросом учетных данных пользователя.
Помимо сугубо политических интересов, северокорейскую АРТ интересовали варианты заработка. Для чего ими участвовали в финансово мотивированных атаках, целью которых была крипта. Хакерам удалось украсть, согласно выводам Proofpoint, не менее 3,77 биткойнов на сумму примерно 222 000 долларов. В реальности значительно больше, конечно же.
Proofpoint резюмировали свои изыскания банальным выводом, утверждая, что АРТ продолжит свою активность в отношении представляющих для КНДР корпоративных целей, прежде всего в сфере вооружении и ядерных исследований.
Добавим: они будут делать все это безусловно, но с особым изыском.
АРТ, по данным исследователей, занимается распространением вредоносных программ, фишингом, сбором разведданных и кражей криптовалюты, работая примерно с 9 утра до 5 вечера (KST), семь дней в неделю. География действий АРТ достаточно широка и включает Северную Америку, Россию, Китай, Южную Корею, Японию, Германию, Францию, Великобританию, Южную Африку, Индию и другие страны.
В целом Proofpoint сообщают, что следы TA406 фиксируются с 2018 года и указывают на специализации АРТ на шпионаже, мошенничестве с целью получения денег и вымогательстве.
При этом в 2021 году северокорейцы были в основном сфокусированы на сборе учетных данных и нацеливались на организации в таких секторах, как образование, госсектор, СМИ и наука, а также ряд отраслей промышленности.
В течение первых шести месяцев текущего года, Proofpoint наблюдали еженедельные атаки на ученых, журналистов, экспертов в области внешней политики, а также неправительственные организации, особенно те, которые связаны с деятельностью на Корейском полуострове.
Для этого АРТ распространяли ВПО через фишинговые электронные письма со ссылками на архивы 7z, которые содержали EXE-файл с двойным расширением, который визуально выглядел как файл HTML.
Позже в марте 2021 года Kimsuky переориентировались на высокопоставленных должностных лиц в различных госучреждениях, консалтинговых фирмах, военных и силовиков. АРТ также интересовали сотрудники экономических и финансовых организаций. В ходе атак актор начал развертывание специального ВПО под названием FatBoy, которое помещалось в виде HTML-вложения на диск жертвы.
FatBoy - вредоносное ПО первого уровня, предназначенное для загрузки CAB-файла с C2 каждые 20 минут. CAB-файл содержит пакетный сценарий (ball.bat), который выполняет сценарий VBS, предназначенный для выполнения разведки и извлечения информации через запросы HTTP POST. В дальнейшем подгружался YoreKey, пользовательский кейлоггер для Windows, маскирующийся под MetaTrader 4 Manager, платформу электронной торговли.
Proofpoint отмечает, что в кампаниях 2021 года АРТ взяла на вооружение целый арсенал вредоносного ПО для кражи информации, включая
семейства malware помимо озвученных также: Amadey, Android Moez, BabyShark, CARROTBAT/CARROTBALL, KONNI, SANNY, NavRAT и QuasarRAT.
В фишинговых письмах обычно использовали тематики по ядерной безопасности, политике и внешней политике Кореи. Письма отправлялись с взломанных веб-сайтов от имени фальшивых пользователей: к примеру, от редактора Global Asia, профессора Университета Йонсей и советника президента Мун Чжэ Ина.
Приманки в письмах, как правило, представляли собой файлы PDF, для просмотра которых от получателя требуется войти на хостинговую платформу, используя свои личные или корпоративные учетные данные.
Особый интерес представляет то, что при проведении фишинговых кампаний обычно не создавали сложных целевых страниц для имитации известного сервера. Вместо этого они использовали базовую HTTP-аутентификацию, которая отображает диалоговое окно браузера с запросом учетных данных пользователя.
Помимо сугубо политических интересов, северокорейскую АРТ интересовали варианты заработка. Для чего ими участвовали в финансово мотивированных атаках, целью которых была крипта. Хакерам удалось украсть, согласно выводам Proofpoint, не менее 3,77 биткойнов на сумму примерно 222 000 долларов. В реальности значительно больше, конечно же.
Proofpoint резюмировали свои изыскания банальным выводом, утверждая, что АРТ продолжит свою активность в отношении представляющих для КНДР корпоративных целей, прежде всего в сфере вооружении и ядерных исследований.
Добавим: они будут делать все это безусловно, но с особым изыском.
Proofpoint
Triple Threat: North Korea Aligned TA406 Scams, Spies, and Steals | Proofpoint US
In this report, we describe in detail many of the campaigns and behaviors associated with an actor operating on behalf of the North Korean government: TA406. We begin by explaining how TA406 is associated with the actor name Kimsuky, which is broadly tracked…
Как мы уже отмечали совсем недавно, атаки на цепочки поставок становятся все больше востребованы со стороны АРТ.
Свои опасения относительно иранских хакерских групп высказали Microsoft Threat Intelligence Center (MSTIC) и Microsoft Digital Security Unit (DSU), поводом стала серия дерзких кибератак на компании в Индии и Израиле, которые реализуют ПО для управления бизнесом и интеграции миллионам глобальных организаций, подобно SolarWinds, для компрометации последующих клиентов.
Microsoft зафиксировали значительный рост числа таких атак: отправлено 1788 уведомлений в адрес около в 40 IT-компаний (80% всех уведомлений), попавших под иранский таргетинг. Для сравнения в 2020 году их было всего 48. В сферу заинтересованности хакеров попали организации в сфере обороны, энергетики и юстиции.
Все это логично, ведь Индия и другие страны становятся крупными центрами IT-услуг, что сделало их весьма привлекательными целями для прогосударственных АРТ, нацеленных на их клиентов из государственного и частного секторов по всему миру, активность фиксируется начиная с середины августа 2021 года.
В качестве одного из доводов Microsoft приводит инцидент, произошедший в июле 2021 года, когда специалистам удалось обнаружить иранскую АРТ DEV-0228, скомпрометировавшую израильскую софтверную компанию-поставщика ПО для бизнеса. Закрепившись, хакеры предприняли ряд атак на ее клиентов в оборонном, энергетическом и юридическом секторах Израиля.
В другом случае несколько месяцев спустя АРТ DEV-0056 взломала учетные записи электронной почты бахрейнского интегратора, занимавшегося господрядами.
Аналогичная участь постигла госкомпанию на Ближнем Востоке, которая предоставляет информационные и коммуникационные технологии для оборонного и транспортного секторов. DEV-0056 сохранял активность до октября.
Что сказать? Иранцы, определено в тренде.
Свои опасения относительно иранских хакерских групп высказали Microsoft Threat Intelligence Center (MSTIC) и Microsoft Digital Security Unit (DSU), поводом стала серия дерзких кибератак на компании в Индии и Израиле, которые реализуют ПО для управления бизнесом и интеграции миллионам глобальных организаций, подобно SolarWinds, для компрометации последующих клиентов.
Microsoft зафиксировали значительный рост числа таких атак: отправлено 1788 уведомлений в адрес около в 40 IT-компаний (80% всех уведомлений), попавших под иранский таргетинг. Для сравнения в 2020 году их было всего 48. В сферу заинтересованности хакеров попали организации в сфере обороны, энергетики и юстиции.
Все это логично, ведь Индия и другие страны становятся крупными центрами IT-услуг, что сделало их весьма привлекательными целями для прогосударственных АРТ, нацеленных на их клиентов из государственного и частного секторов по всему миру, активность фиксируется начиная с середины августа 2021 года.
В качестве одного из доводов Microsoft приводит инцидент, произошедший в июле 2021 года, когда специалистам удалось обнаружить иранскую АРТ DEV-0228, скомпрометировавшую израильскую софтверную компанию-поставщика ПО для бизнеса. Закрепившись, хакеры предприняли ряд атак на ее клиентов в оборонном, энергетическом и юридическом секторах Израиля.
В другом случае несколько месяцев спустя АРТ DEV-0056 взломала учетные записи электронной почты бахрейнского интегратора, занимавшегося господрядами.
Аналогичная участь постигла госкомпанию на Ближнем Востоке, которая предоставляет информационные и коммуникационные технологии для оборонного и транспортного секторов. DEV-0056 сохранял активность до октября.
Что сказать? Иранцы, определено в тренде.
Microsoft Security Blog
Iranian targeting of IT sector on the rise | Microsoft Security Blog
Microsoft has observed multiple Iranian threat actors targeting the IT services sector in attacks that aim to steal sign-in credentials belonging to downstream customer networks to enable further attacks.
Forwarded from Social Engineering
🎉 3 года Social Engineering.
• https://news.1rj.ru/str/Social_engineering/1
🖖🏻 Приветствую тебя user_name.• Сегодня исполняется 3 года нашему проекту. За это время, я смог собрать десятки тысяч единомышленников и опубликовать сотни статей, основная часть которых, относится к теме канала — Социальной Инженерии. Спасибо всем кто развивается вместе со мной, всем кто читает канал, предоставляет отзывы и указывает на недостатки. Искренне Вам благодарен 🖤
• https://news.1rj.ru/str/Social_engineering/1
Поздравляем уважаемых коллег https://news.1rj.ru/str/Social_engineering и желаем дальнейшего роста!
Telegram
Social Engineering
Делаем уникальные знания доступными.
Вакансии - @infosec_work
Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot
Сотрудничество — @SEAdm1n
РКН: https://vk.cc/cN3VwI
Вакансии - @infosec_work
Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot
Сотрудничество — @SEAdm1n
РКН: https://vk.cc/cN3VwI
Conti взломали и отлеживали в течение месяца. Специалистам швейцарской компании Prodaft удалось определить реальный IP-адрес одного из своих наиболее уязвимых серверов, а затем получить консольный доступ к уязвимой системе.
Речь идет о т.н. платежным портале или сайте восстановления, который используется жертвой и вымогателями для ведения переговоров о выкупе. Ресурс был размещен на украинском хостере ITL LLC с IP 217.12.204.135. Кроме того, исследователям удалось задетектить ОС сервера Conti и его htpasswd, который содержал хешированную версию пароля сервера.
За время контроля Prodaft снифила весь сетевой трафик, фиксируя как подключения жертв и посредников, но и IP-адреса SSH-соединений админов. По заявлениям компании, все IP-адреса принадлежали выходным узлам Tor.
Через несколько часов после выхода отчета Prodaft скомпрометированные ресурсы были отключены вымогателями. При том, что clearweb и Tor домены сайта утечки продолжали светиться онлайн. Такое поведение Conti не осталось незамеченным со стороны многих исследователей, в том числе MalwareHunterTeam, которые характеризовали инфраструктуру вымогателей как, более менее стабильную и профессионально управляемую.
После исправления дыр, Conti запустили пропеченную версию своего ресурса в пятницу вечером, то есть хакерам потребовалось около суток на исправление. Столь печальное событие для вымогателей не осталось без комментариев, раздосадованные злоумышленники обрушились критическим отзывом на действия Prodaft: «Похоже, европейцы также решили отказаться от своих манер и пойти на полную, просто пытаясь взломать наши системы».
Компания Prodaft, конечно же, ответила на заявление хакеров тем, что информация со всеми выводами передана в правоохранительные органы. Безусловно, надо полагать, что Prodaft и не предпринимали бы действия, без согласования своей операции со своими кураторами из национальных или вовсе зарубежных спецслужб.
Это обстоятельство, как мы полагаем, должно сгладить негативные оценки коллег по инфосек цеху, обвинивших швейцарцев фактически в пособничестве Conti, ресурсы которой теперь стали более защищены. В целом же, ситуация указывает на то, что скоро список обезвреженных банд вымогателей совсем скоро может пополниться новым наименованием.
Речь идет о т.н. платежным портале или сайте восстановления, который используется жертвой и вымогателями для ведения переговоров о выкупе. Ресурс был размещен на украинском хостере ITL LLC с IP 217.12.204.135. Кроме того, исследователям удалось задетектить ОС сервера Conti и его htpasswd, который содержал хешированную версию пароля сервера.
За время контроля Prodaft снифила весь сетевой трафик, фиксируя как подключения жертв и посредников, но и IP-адреса SSH-соединений админов. По заявлениям компании, все IP-адреса принадлежали выходным узлам Tor.
Через несколько часов после выхода отчета Prodaft скомпрометированные ресурсы были отключены вымогателями. При том, что clearweb и Tor домены сайта утечки продолжали светиться онлайн. Такое поведение Conti не осталось незамеченным со стороны многих исследователей, в том числе MalwareHunterTeam, которые характеризовали инфраструктуру вымогателей как, более менее стабильную и профессионально управляемую.
После исправления дыр, Conti запустили пропеченную версию своего ресурса в пятницу вечером, то есть хакерам потребовалось около суток на исправление. Столь печальное событие для вымогателей не осталось без комментариев, раздосадованные злоумышленники обрушились критическим отзывом на действия Prodaft: «Похоже, европейцы также решили отказаться от своих манер и пойти на полную, просто пытаясь взломать наши системы».
Компания Prodaft, конечно же, ответила на заявление хакеров тем, что информация со всеми выводами передана в правоохранительные органы. Безусловно, надо полагать, что Prodaft и не предпринимали бы действия, без согласования своей операции со своими кураторами из национальных или вовсе зарубежных спецслужб.
Это обстоятельство, как мы полагаем, должно сгладить негативные оценки коллег по инфосек цеху, обвинивших швейцарцев фактически в пособничестве Conti, ресурсы которой теперь стали более защищены. В целом же, ситуация указывает на то, что скоро список обезвреженных банд вымогателей совсем скоро может пополниться новым наименованием.
PRODAFT
PRODAFT – Cyber Threat Intelligence and Risk Intelligence
Explore advanced cybersecurity solutions, providing proactive defense against emerging threats. Learn more about our tailored intelligence, and cybercrime investigation solutions.
Пацан к успеху шел, не получилось, не фартануло...
Канадский подросток был арестован по обвинению в хищении криптовалюты на сумму около 36,5 миллионов долларов. Схема конечно не новая, да и схемой сложно назвать. Подросток применил SIM Swapping, то есть замену SIM-карты через оператора связи, тем самым успешно преодолел второй фактор и благополучно опустошил криптовалютный портфель американского гражданина.
Об аресте сообщили канадские полицейские из Гамильтона. Операция по разоблачению злоумышленника проводилась совместно с ФБР и специальной группой по борьбе с электронными преступлениями Секретной службы США, которая началась еще в марте 2020 года.
Потерпевший явно был не самый подкованный в инфобезе, когда использовал SIM, как второй фактор, но вероятно далеко не самый простой человек, раз разработкой занялись представители из Секретной службы США.
Можно сказать парень спалился почти случайно, так как полиция выявила, что часть украденной криптовалюты была использована для покупки имени пользователя в игровом комьюнити. Анализ соответствующей транзакции, позволил правоохранителям разоблачить владельца аккаунта с редким username.
Тем, не менее парень прославился и помимо уникальности среди игроманов, завоевал репутацию в средt хакерского анедграунда единолично украв достаточно внушительную сумму крипты.
Канадский подросток был арестован по обвинению в хищении криптовалюты на сумму около 36,5 миллионов долларов. Схема конечно не новая, да и схемой сложно назвать. Подросток применил SIM Swapping, то есть замену SIM-карты через оператора связи, тем самым успешно преодолел второй фактор и благополучно опустошил криптовалютный портфель американского гражданина.
Об аресте сообщили канадские полицейские из Гамильтона. Операция по разоблачению злоумышленника проводилась совместно с ФБР и специальной группой по борьбе с электронными преступлениями Секретной службы США, которая началась еще в марте 2020 года.
Потерпевший явно был не самый подкованный в инфобезе, когда использовал SIM, как второй фактор, но вероятно далеко не самый простой человек, раз разработкой занялись представители из Секретной службы США.
Можно сказать парень спалился почти случайно, так как полиция выявила, что часть украденной криптовалюты была использована для покупки имени пользователя в игровом комьюнити. Анализ соответствующей транзакции, позволил правоохранителям разоблачить владельца аккаунта с редким username.
Тем, не менее парень прославился и помимо уникальности среди игроманов, завоевал репутацию в средt хакерского анедграунда единолично украв достаточно внушительную сумму крипты.
Специалисты JFrog обнаружили 11 вредоносных пакетов Python в репозитории Python Package Index (PyPI), предназначенных для проведения атак на зависимости, потенциально реализуя возможности похищать токены доступа Discord, пароли и творить прочие пакости.
В списке таких пакетов оказались: importantpackage, pptest, ipboards, owlmoon, DiscordSafety, trrfab, 10Cent10, 10Cent11, yandex-yt, yiffparty.
К примеру, пакеты importantpackage, 10Cent10 и 10Cent11 позволили исследователям запилить бэкдор на взломанную машину, выкрасть данные в ходе манипуляций с TLS CDN, используя Fastly CDN, чтобы замаскировать связь с сервером C2 под соединения с pypi.org. Такой HTTPS-запрос на pypi.python.org фактически неотличим от реального, однако позже перенаправляется CDN как HTTP-запрос к серверу C2: psec forward io global prod fastly net, и наоборот, обеспечивая двустороннюю связь.
С помощью пакетов ipboards и trrfab авторы исследования смогли извлекать конфиденциальную информацию с помощью методики путаницы зависимостей, ведь этот метод гарантирует загрузку и установку вредоносного модуля целевым диспетчером пакетов.
Кроме того, пакеты ipboards и pptest содержали баги для кражи данных путем DNS-туннелирования. Причем, это первый случай, когда этот метод был использован вредоносным pac в ПО, загруженном в PyPI.
Наглядное продолжение набирающего популярность типа атак, которые мы совсем недавно разбирали.
В списке таких пакетов оказались: importantpackage, pptest, ipboards, owlmoon, DiscordSafety, trrfab, 10Cent10, 10Cent11, yandex-yt, yiffparty.
К примеру, пакеты importantpackage, 10Cent10 и 10Cent11 позволили исследователям запилить бэкдор на взломанную машину, выкрасть данные в ходе манипуляций с TLS CDN, используя Fastly CDN, чтобы замаскировать связь с сервером C2 под соединения с pypi.org. Такой HTTPS-запрос на pypi.python.org фактически неотличим от реального, однако позже перенаправляется CDN как HTTP-запрос к серверу C2: psec forward io global prod fastly net, и наоборот, обеспечивая двустороннюю связь.
С помощью пакетов ipboards и trrfab авторы исследования смогли извлекать конфиденциальную информацию с помощью методики путаницы зависимостей, ведь этот метод гарантирует загрузку и установку вредоносного модуля целевым диспетчером пакетов.
Кроме того, пакеты ipboards и pptest содержали баги для кражи данных путем DNS-туннелирования. Причем, это первый случай, когда этот метод был использован вредоносным pac в ПО, загруженном в PyPI.
Наглядное продолжение набирающего популярность типа атак, которые мы совсем недавно разбирали.
JFrog
Python Malware Imitates Signed PyPI Traffic in Novel Exfiltration Technique
Software supply chain security threat: automated scanning of Python packages in the PyPI repository uncovered stealthy malware and more. Find out about our latest findings.
Несмотря на все известные трудности, с которыми пришлось столкнуться Group-IB @group_ib в последнее время, компания продолжает расследования, что определенно не может не радовать. В поле зрения экспертов попали новые атаки группировки RedCurl, специализирующейся на кибершпионаже в корпоративном секторе.
Спустя семь месяцев с начала 2021 года RedCurl провели 4 атаки (в общем этой группе атрибутируют 30 нападений за период с 2018 года), две из них были направлены на российскую оптовую компанию.
В целом Group-IB идентифицировала 14 организаций-жертв в разных странах и отраслях. Среди жертв были компании в области строительства, финансов, консалтинга, розничной торговли, страхования и права, расположенные в Великобритании, Германии, Канаде, Норвегии, России и Украине.
За время перерыва, RedCurl переоснастили свой хакерских арсенал. Группа добавила новый инструмент разведки, код которого имеет много общего с модулем FirstStageAgent (Group-IB назвал инструмент FSABIN), а также загрузчик PowerShell для этого инструмента. Цепочка kill chain для «нулевого пациента» (между получением фишингового письма и запуском модуля, ответственного за его выполнение) выросла с трех до пяти этапов.
Перед атакой RedCurl тщательно исследует свою жертву по открытым источникам. Впоследствии конструирует целевые фишинговые письма, якобы исходящие от отдела кадров организации-жертвы. После закрепления на хосте в сети жертвы RedCurl проводит анализ инфраструктуры, собирая имена и версии систем, список сетевых и логических дисков, а также список паролей. При этом информация о зараженном устройстве хранилась в отдельном файле на стороне сервера с корректировкой по часовому поясу Минска (UTC + 3).
Отличительной чертой АРТ являются долгосрочные операции: от заражения «нулевого пациента» до кражи данных могут пройти месяцы. Кроме того, группа не использует популярные постэксплуатационные инструменты, такие как CobaltStrike и Meterpreter, а также традиционные схемы удаленного управления и монетизации (шифрование, вывод денежных средств или получение выкупа).
Вместо этого применяются инструменты собственной разработки и некоторые общедоступные программы для получения начального доступа, достижения устойчивости, горизонтального перемещения и извлечения конфиденциальной документации.
Group-IB отмечают, что хакеры сосредоточены на получении корпоративной информации следующего содержания: деловая электронная почта, служебная переписка, юридические документы, бухгалтерские файлы, судебные записи и другие внутренние сведения. В некоторых случаях жертвы RedCurl даже не догадывается о своей компрометации.
Корпоративный кибершпионаж остается редким и во многом уникальным явлением, которое, по мнению специалистов, перетекает в новую тенденцию в сфере киберпреступности. Мы же настоятельно рекомендуем специалистам ИБ ознакомиться с отчетом Group-IB о деятельности RedCurl, особенно что касается индикаторов взлома.
Спустя семь месяцев с начала 2021 года RedCurl провели 4 атаки (в общем этой группе атрибутируют 30 нападений за период с 2018 года), две из них были направлены на российскую оптовую компанию.
В целом Group-IB идентифицировала 14 организаций-жертв в разных странах и отраслях. Среди жертв были компании в области строительства, финансов, консалтинга, розничной торговли, страхования и права, расположенные в Великобритании, Германии, Канаде, Норвегии, России и Украине.
За время перерыва, RedCurl переоснастили свой хакерских арсенал. Группа добавила новый инструмент разведки, код которого имеет много общего с модулем FirstStageAgent (Group-IB назвал инструмент FSABIN), а также загрузчик PowerShell для этого инструмента. Цепочка kill chain для «нулевого пациента» (между получением фишингового письма и запуском модуля, ответственного за его выполнение) выросла с трех до пяти этапов.
Перед атакой RedCurl тщательно исследует свою жертву по открытым источникам. Впоследствии конструирует целевые фишинговые письма, якобы исходящие от отдела кадров организации-жертвы. После закрепления на хосте в сети жертвы RedCurl проводит анализ инфраструктуры, собирая имена и версии систем, список сетевых и логических дисков, а также список паролей. При этом информация о зараженном устройстве хранилась в отдельном файле на стороне сервера с корректировкой по часовому поясу Минска (UTC + 3).
Отличительной чертой АРТ являются долгосрочные операции: от заражения «нулевого пациента» до кражи данных могут пройти месяцы. Кроме того, группа не использует популярные постэксплуатационные инструменты, такие как CobaltStrike и Meterpreter, а также традиционные схемы удаленного управления и монетизации (шифрование, вывод денежных средств или получение выкупа).
Вместо этого применяются инструменты собственной разработки и некоторые общедоступные программы для получения начального доступа, достижения устойчивости, горизонтального перемещения и извлечения конфиденциальной документации.
Group-IB отмечают, что хакеры сосредоточены на получении корпоративной информации следующего содержания: деловая электронная почта, служебная переписка, юридические документы, бухгалтерские файлы, судебные записи и другие внутренние сведения. В некоторых случаях жертвы RedCurl даже не догадывается о своей компрометации.
Корпоративный кибершпионаж остается редким и во многом уникальным явлением, которое, по мнению специалистов, перетекает в новую тенденцию в сфере киберпреступности. Мы же настоятельно рекомендуем специалистам ИБ ознакомиться с отчетом Group-IB о деятельности RedCurl, особенно что касается индикаторов взлома.
Group-IB
The awakening: Group-IB uncovers new corporate espionage attacks by RedCurl
Group-IB, one of the leading solution providers dedicated to detecting and preventing cyberattacks, identifying online fraud, investigating high-tech crimes, and intellectual property protection, detected new attacks by RedCurl, a corporate cyber espionage…
Поставщик решений для менеджеров паролей Nordpass опубликовал рейтинг 200 самых слабых паролей по итогам 2020 года. Список паролей был составлен при поддержке независимых исследователей, специализирующихся на анализе утечки данных.
Вниманию спецов были представлены 275 699 516 паролей, которые оказались раскрыты при утечках данных в 2020 году. Выяснилось, что только 44% из них были уникальными. Отчет показывает, что повсеместно продолжают использоваться слабые пароли.
Традиционно лидерами верхних строчек по-прежнему являются: 123456, 123456789, 12345, qwerty и «пароль» (password). Далее по уровню сложности следуют пароли, в качестве которых выбрались собственные имена, наименования автомобилей, городов и прочих ассоциированных с пользователем наименований.
Но вот, что точно не укладывается в уме так это: Марина, занимающая 41 место в рейтинге среди пользователей из России, который сразу следует за Samsung (40-ая позиция). При этом 46 место взял Nikita, который смог на одну позицию подняться выше Stalker. А вот Sergey и Andrey разделили 51 и 58 места.
69 место у Adidas, Spartak смог занять 77 позицию, а lokomotiv - на 100 ниже (177 место). 82 и 94 позиции взяли vkontakte и rambler (yandex и mail в рейтинг предпочтений не попали). И, наконец, нижнюю строчку антирейтинга взяла комбинация 123321, не сложная, но вместе с тем.
Поэтому как бы не был хорош ваш пароль, а второй фактор все же лучше.
Вниманию спецов были представлены 275 699 516 паролей, которые оказались раскрыты при утечках данных в 2020 году. Выяснилось, что только 44% из них были уникальными. Отчет показывает, что повсеместно продолжают использоваться слабые пароли.
Традиционно лидерами верхних строчек по-прежнему являются: 123456, 123456789, 12345, qwerty и «пароль» (password). Далее по уровню сложности следуют пароли, в качестве которых выбрались собственные имена, наименования автомобилей, городов и прочих ассоциированных с пользователем наименований.
Но вот, что точно не укладывается в уме так это: Марина, занимающая 41 место в рейтинге среди пользователей из России, который сразу следует за Samsung (40-ая позиция). При этом 46 место взял Nikita, который смог на одну позицию подняться выше Stalker. А вот Sergey и Andrey разделили 51 и 58 места.
69 место у Adidas, Spartak смог занять 77 позицию, а lokomotiv - на 100 ниже (177 место). 82 и 94 позиции взяли vkontakte и rambler (yandex и mail в рейтинг предпочтений не попали). И, наконец, нижнюю строчку антирейтинга взяла комбинация 123321, не сложная, но вместе с тем.
Поэтому как бы не был хорош ваш пароль, а второй фактор все же лучше.
NordPass
Top 200 Most Common Passwords
For the seventh year in a row, NordPass presents its list of the top 200 most common passwords. Discover how common password trends differ across generations of users.
Forwarded from SecurityLab.ru
Этичные хакеры спасли $27 млрд, прорыв deepfake технологий. Security-новости #40
Александр Антипов в очередном Youtube ролике рассказывает о главных новостях из мира IT, актуальных угрозах и событиях прошедших за последнюю неделю. Узнай первым как выжить в цифровом кошмаре! А также еженедельные конкурсы с крутыми призами для подписчиков нашего канала!
https://www.youtube.com/watch?v=NwmPZghRrcU
Александр Антипов в очередном Youtube ролике рассказывает о главных новостях из мира IT, актуальных угрозах и событиях прошедших за последнюю неделю. Узнай первым как выжить в цифровом кошмаре! А также еженедельные конкурсы с крутыми призами для подписчиков нашего канала!
https://www.youtube.com/watch?v=NwmPZghRrcU
YouTube
Этичные хакеры спасли $27 млрд, прорыв deepfake технологий. Security-новости #40 | 12+
💰📊👉 Новости об инвестициях в кибербезопасность предоставлены каналом It’s positive investing - https://news.1rj.ru/str/positive_investing
0:00 Здравствуйте с вами Александр Антипов, ваш бессменный ведущий самых жарких новостей по информационной безопасности
0:55…
0:00 Здравствуйте с вами Александр Антипов, ваш бессменный ведущий самых жарких новостей по информационной безопасности
0:55…
Никто даже не удивился и не сомневался.
Исследователю Абдельхамиду Насери удалось успешно применить эксплойт для 0-day уязвимости Windows CVE-2021-41379, которая была исправлена Microsoft в рамках Patch Tuesday.
Все дело в том, что он обнаружил обход исправления, тем самым отрыв по факту более серьезную уязвимость для повышения локальных привилегий, которая дает права администратора во всех поддерживаемых версиях Windows, включая Windows 10, Windows 11 и Windows Server 2022. Бага работает даже если настроить групповые политики таким образом, чтобы «стандартные» пользователи не могли выполнять операции установщика MSI.
Рабочий экспериментальный эксплойт был на днях опубликован на GitHub. На самом деле, со слов исследователя, мир бы не увидел InstallerFileTakeOver, если бы микромягкие не экономили на программе вознаграждений за ошибки.
Драматизма ситуации добавляет и тот факт, что обходного пути для уязвимости нет, а напрямую исправить двоичный файл достаточно оперативно не получится из-за сложности уязвимости, любая попытка приведет к неработоспособности установщика Windows.
Пока же пользователям придется ожидать очередной Patch Tuesday. Но в случае с Microsoft мы бы не питали особых надежд.
Убедиться в том, что эксплойт реально работает можно прямо на видео (тест при этом проводился на полностью обновленной Windows 10 21H1 build 19043.1348)
Исследователю Абдельхамиду Насери удалось успешно применить эксплойт для 0-day уязвимости Windows CVE-2021-41379, которая была исправлена Microsoft в рамках Patch Tuesday.
Все дело в том, что он обнаружил обход исправления, тем самым отрыв по факту более серьезную уязвимость для повышения локальных привилегий, которая дает права администратора во всех поддерживаемых версиях Windows, включая Windows 10, Windows 11 и Windows Server 2022. Бага работает даже если настроить групповые политики таким образом, чтобы «стандартные» пользователи не могли выполнять операции установщика MSI.
Рабочий экспериментальный эксплойт был на днях опубликован на GitHub. На самом деле, со слов исследователя, мир бы не увидел InstallerFileTakeOver, если бы микромягкие не экономили на программе вознаграждений за ошибки.
Драматизма ситуации добавляет и тот факт, что обходного пути для уязвимости нет, а напрямую исправить двоичный файл достаточно оперативно не получится из-за сложности уязвимости, любая попытка приведет к неработоспособности установщика Windows.
Пока же пользователям придется ожидать очередной Patch Tuesday. Но в случае с Microsoft мы бы не питали особых надежд.
Убедиться в том, что эксплойт реально работает можно прямо на видео (тест при этом проводился на полностью обновленной Windows 10 21H1 build 19043.1348)
Vimeo
New Windows zero-day local privilege elevation vulnerability
Demonstration of a new Windows zero-day local privilege elevation vulnerability
Спешим вас обрадовать еще одной неприятностью, связанной с популярным среди хакеров (и в особенности для АРТ) Microsoft Exchange. Но в данной ситуации - все исправимо.
В минувшие выходные исследователем Janggggg был опубликован PoC для уязвимости высокой степени серьезности CVE-2021-42321, которая затрагивает локальные Exchange Server 2016 и Exchange Server 2019 (включая те, которые используются клиентами в гибридном режиме Exchange). Ошибка была пропатчена после выхода Patch Tuesday.
Успешная эксплуатация RCE позволяет авторизованным в Exchange злоумышленникам удаленно выполнять код на уязвимых серверах.
Пока Microsoft трубят о необходимости применения последних обновлений, админы Exchange вовсю наблюдают, как хакеры сканируют уязвимые системы и пытаются взломать их.
Помня о том, как с начала 2021 года Exchange подвергались массовым атакам с использованием уязвимостей ProxyLogon и ProxyShell, рекомендуем поскорее актуализировать состояние Exchange и просмотреть события в журнале на предмет выявления попыток эксплуатации CVE-2021-42321, после чего накатить все предложенные разработчиком патчи.
В минувшие выходные исследователем Janggggg был опубликован PoC для уязвимости высокой степени серьезности CVE-2021-42321, которая затрагивает локальные Exchange Server 2016 и Exchange Server 2019 (включая те, которые используются клиентами в гибридном режиме Exchange). Ошибка была пропатчена после выхода Patch Tuesday.
Успешная эксплуатация RCE позволяет авторизованным в Exchange злоумышленникам удаленно выполнять код на уязвимых серверах.
Пока Microsoft трубят о необходимости применения последних обновлений, админы Exchange вовсю наблюдают, как хакеры сканируют уязвимые системы и пытаются взломать их.
Помня о том, как с начала 2021 года Exchange подвергались массовым атакам с использованием уязвимостей ProxyLogon и ProxyShell, рекомендуем поскорее актуализировать состояние Exchange и просмотреть события в журнале на предмет выявления попыток эксплуатации CVE-2021-42321, после чего накатить все предложенные разработчиком патчи.
Twitter
Kevin Beaumont
Just caught somebody in the wild trying to exploit CVE-2021-42321 to execute code on MailPot, by chaining it with ProxyShell (no, I don't know why either - it doesn't work).
Напряженная ситуация с газом и нехваткой электроэнергии обострилась в результате атаки ransomware, целью вымогателей на этот раз стал Vestas Wind Systems, лидер в производстве ветряных турбин с установленной мощностью 40 000 МВт, реализующий в том числе и их обслуживание на территории США и Канады.
Компания Vestas насчитывает 25 000 сотрудников на производственных предприятиях в 16 странах мира и имеет годовой доход более миллиарда долларов США.
19 ноября инфраструктура компании была пошифрована и отключена, а цеха незначительно замедлили работу. В результате предварительного расследования установлено, что данные были украдены.
Но главное даже не в том, что ветряки как-то медленнее стали крутить киловатт или порушились инвестиционные программы в области возобновляемых источников энергии, а то, что атака была направлена по факту на объекты КИИ. Что в нынешней ситуации является табу.
Зато по реакции властей можно будет оценить реальную роль зеленой энергетики.
Компания Vestas насчитывает 25 000 сотрудников на производственных предприятиях в 16 странах мира и имеет годовой доход более миллиарда долларов США.
19 ноября инфраструктура компании была пошифрована и отключена, а цеха незначительно замедлили работу. В результате предварительного расследования установлено, что данные были украдены.
Но главное даже не в том, что ветряки как-то медленнее стали крутить киловатт или порушились инвестиционные программы в области возобновляемых источников энергии, а то, что атака была направлена по факту на объекты КИИ. Что в нынешней ситуации является табу.
Зато по реакции властей можно будет оценить реальную роль зеленой энергетики.
Зачем ломать сайт, когда можно взломать хостинг, где он находится. Собственно, так и получилось (у кого-то), когда в очередной раз был скомпрометирован крупнейший регистратор доменов и хостер GoDaddy.
По предварительной оценке, злоумышленнику в течение более трех месяцев были доступны данные клиентов примерно 1,2 миллиона пользователей WordPress. О чем компания сообщила в документации SEC и подтвердила, что у миллионов пользователей ее управляемого хостинга WordPress были украдены конфиденциальные данные, включая имена пользователей, пароли баз данных, адреса электронной почты и закрытые ключи SSL.
Пока нет никаких подробностей о взломе, но компания заявила, что ее расследование продолжается и что со всеми потерпевшими клиентами свяжутся напрямую и сообщат конкретные детали. Начальник службы безопасности GoDaddy Деметриус Комес сказал, что компания предпринимает шаги по усилению своей системы безопасности дополнительными уровнями защиты.
Увы это не первый раз, когда GoDaddy уведомляет клиентов об утечке данных. Еще в мае 2020 года компания подтвердила инцидент, в котором были обнаружены учетные данные клинетов веб-хостинга.
И чего уж греха таить, вероятно, все базы ресурсов слиты, бэкдоры установлены, бэклинки проставлены, а кардеры потирают руки перед Black Friday и грядущим Happy New Year.
По предварительной оценке, злоумышленнику в течение более трех месяцев были доступны данные клиентов примерно 1,2 миллиона пользователей WordPress. О чем компания сообщила в документации SEC и подтвердила, что у миллионов пользователей ее управляемого хостинга WordPress были украдены конфиденциальные данные, включая имена пользователей, пароли баз данных, адреса электронной почты и закрытые ключи SSL.
Пока нет никаких подробностей о взломе, но компания заявила, что ее расследование продолжается и что со всеми потерпевшими клиентами свяжутся напрямую и сообщат конкретные детали. Начальник службы безопасности GoDaddy Деметриус Комес сказал, что компания предпринимает шаги по усилению своей системы безопасности дополнительными уровнями защиты.
Увы это не первый раз, когда GoDaddy уведомляет клиентов об утечке данных. Еще в мае 2020 года компания подтвердила инцидент, в котором были обнаружены учетные данные клинетов веб-хостинга.
И чего уж греха таить, вероятно, все базы ресурсов слиты, бэкдоры установлены, бэклинки проставлены, а кардеры потирают руки перед Black Friday и грядущим Happy New Year.
В ходе анализа решений на основе OpenVPN компания Claroty обнаружили серьезные уязвимости выполнения кода: CVE-2020-14498 (CVSS 9.6 - eCatcher HMS Industrial Networks AB), CVE-2021-27406 (CVSS 8.8 - OpenVPN-клиент PerFact), CVE-2021-31338 (CVSS 7.8 - клиент SINEMA RC от Siemens), а также CVE-2021-33526 и CVE-2021-33527 (CVSS 7.8 - MB connect line GmbH mbConnect Dialup).
Решения VPN предназначены для предоставления пользователям средств шифрования трафика, проходящего между их устройствами и конкретной сетью, чтобы гарантировать безопасную передачу потенциально конфиденциальных данных, а OpenVPN является наиболее распространенной реализацией решения VPN.
Как правило, архитектура клиент-сервер VPN включает в себя наличие внешнего интерфейса (приложение с графическим интерфейсом пользователя), серверной части (которая получает команды от внешнего интерфейса) и OpenVPN (служба, управляемая серверной частью и отвечающая за VPN связь).
Выяснилось, что поставщики обычно развертывают VPN как службу с привилегиями SYSTEM, создавая риски для безопасности, поскольку любые удаленные или локальные приложения могут управлять экземпляром OpenVPN для инициирования или завершения защищенного соединения.
Поскольку в большинстве случаев протокол открытого текста используется в выделенном канале сокета, через который интерфейсная часть управляет серверной частью, без какой-либо формы аутентификации, «любой, у кого есть доступ к локальному TCP-порту, к которому конектится серверная часть, потенциально может загрузить конфигурацию OpenVPN и заставить серверную часть создать новый экземпляр OpenVPN с этой конфигурацией.
Злоумышленнику для успешной эксплуатации уязвимости необходимо заставить жертву получить доступ к вредоносному веб-сайту, содержащему встроенный JavaScript, предназначенный для локальной отправки слепого запроса POST локально и ввода команд в серверную часть VPN-клиента. Это классический случай подделки запросов на стороне сервера (SSRF).
Поскольку внутренний сервер будет автоматически анализировать и выполнять любые допустимые команды, ему можно направить команду загрузить файл удаленной конфигурации, содержащий определенные команды, в том числе ведущие к выполнению кода. При этом злоумышленнику не нужно настраивать собственный выделенный сервер OpenVPN, потому что команда директивы up OpenVPN выполняется до того, как происходит соединение с сервером OpenVPN.
Однако для достижения удаленного выполнения кода необходим доступ к SMB-серверу, а это означает, что злоумышленник потенциально должен находиться либо в доменной сети с целевой системой, либо на компьютере жертвы с доступом SMB на внешние сервера.
Решения VPN предназначены для предоставления пользователям средств шифрования трафика, проходящего между их устройствами и конкретной сетью, чтобы гарантировать безопасную передачу потенциально конфиденциальных данных, а OpenVPN является наиболее распространенной реализацией решения VPN.
Как правило, архитектура клиент-сервер VPN включает в себя наличие внешнего интерфейса (приложение с графическим интерфейсом пользователя), серверной части (которая получает команды от внешнего интерфейса) и OpenVPN (служба, управляемая серверной частью и отвечающая за VPN связь).
Выяснилось, что поставщики обычно развертывают VPN как службу с привилегиями SYSTEM, создавая риски для безопасности, поскольку любые удаленные или локальные приложения могут управлять экземпляром OpenVPN для инициирования или завершения защищенного соединения.
Поскольку в большинстве случаев протокол открытого текста используется в выделенном канале сокета, через который интерфейсная часть управляет серверной частью, без какой-либо формы аутентификации, «любой, у кого есть доступ к локальному TCP-порту, к которому конектится серверная часть, потенциально может загрузить конфигурацию OpenVPN и заставить серверную часть создать новый экземпляр OpenVPN с этой конфигурацией.
Злоумышленнику для успешной эксплуатации уязвимости необходимо заставить жертву получить доступ к вредоносному веб-сайту, содержащему встроенный JavaScript, предназначенный для локальной отправки слепого запроса POST локально и ввода команд в серверную часть VPN-клиента. Это классический случай подделки запросов на стороне сервера (SSRF).
Поскольку внутренний сервер будет автоматически анализировать и выполнять любые допустимые команды, ему можно направить команду загрузить файл удаленной конфигурации, содержащий определенные команды, в том числе ведущие к выполнению кода. При этом злоумышленнику не нужно настраивать собственный выделенный сервер OpenVPN, потому что команда директивы up OpenVPN выполняется до того, как происходит соединение с сервером OpenVPN.
Однако для достижения удаленного выполнения кода необходим доступ к SMB-серверу, а это означает, что злоумышленник потенциально должен находиться либо в доменной сети с целевой системой, либо на компьютере жертвы с доступом SMB на внешние сервера.
Claroty
All Roads Lead to OpenVPN: Pwning Industrial Remote Access Clients
Claroty's researchers discovered a new attack concept to target VPNs. Learn more.
Продолжаем внимательно следить за противостоянием Ирана и его геополитических противников в киберпространстве.
Мы уже видели разрушительные атаки на газораспределительную компанию NIOPDC и ж/д-объекты Ирана, после чего проиранская АРТ BlackShadow взломали израильскую хостинговую компанию Cyberserve и выложили в сеть базу данных крупнейшего ЛГБТ-сайта под названием Atraf и видеороликами с сайта с участием VIP-персон страны.
На этот раз Иран получил ответку.
Одна из крупнейших национальных частных авиакомпаний Mahan Air подверглась хакерской атаке. Администрация хоть и признала инцидент, но точно не раскрывает всех возможных ее последствий. Несмотря на отсутствие доступа к веб-сайту перевозчика, все международные и внутренние рейсы выполняются в обычном режиме без изменений и задержек.
Ответственность за атаку взяли хактивисты Hooshyarane Vatan, которые борются за права иранского арабского меньшинства Ахваза и Хузестана. Хакеры утверждают, что украли конфиденциальные документы, раскрывающие схемы работы Mahair Air с КСИР, пригрозив опубликовать все имена, явки, пароли и обещая мощное серьезное разоблачение режима. Они уже анонсировали доказательства того, что авиакомпания тайно перевозила военные грузы на гражданских рейсах.
И их заявления скорее всего являются правдой, ведь Mahan Air уже была добавлена в санкционный список США в 2011 году за поддержку КСИР, а в 2019 году Казначейство США публиковало материалы о перевозке Mahan Air боевиков КСИР, оружия, оборудования и денежных средства в поддержку региональных операций, в том числе в интересах Хезболлы. Кроме того, штаты сообщали, что Mahan Air регулярно доставляла истребители и технику в Сирию, чтобы поддержать режим Асада.
Так что публикация новых данных явно не станет откровением и вряд ли спровоцирует население на бунт, в то время как отсутствие бензина - сможет. Именно поэтому и мобилизованы все силы проиранских АРТ, о чем мы уже упоминали, касаясь отчета Microsoft об их операциях в сфере IT.
Что ж, будем дальше следить за развитием ситуации.
Мы уже видели разрушительные атаки на газораспределительную компанию NIOPDC и ж/д-объекты Ирана, после чего проиранская АРТ BlackShadow взломали израильскую хостинговую компанию Cyberserve и выложили в сеть базу данных крупнейшего ЛГБТ-сайта под названием Atraf и видеороликами с сайта с участием VIP-персон страны.
На этот раз Иран получил ответку.
Одна из крупнейших национальных частных авиакомпаний Mahan Air подверглась хакерской атаке. Администрация хоть и признала инцидент, но точно не раскрывает всех возможных ее последствий. Несмотря на отсутствие доступа к веб-сайту перевозчика, все международные и внутренние рейсы выполняются в обычном режиме без изменений и задержек.
Ответственность за атаку взяли хактивисты Hooshyarane Vatan, которые борются за права иранского арабского меньшинства Ахваза и Хузестана. Хакеры утверждают, что украли конфиденциальные документы, раскрывающие схемы работы Mahair Air с КСИР, пригрозив опубликовать все имена, явки, пароли и обещая мощное серьезное разоблачение режима. Они уже анонсировали доказательства того, что авиакомпания тайно перевозила военные грузы на гражданских рейсах.
И их заявления скорее всего являются правдой, ведь Mahan Air уже была добавлена в санкционный список США в 2011 году за поддержку КСИР, а в 2019 году Казначейство США публиковало материалы о перевозке Mahan Air боевиков КСИР, оружия, оборудования и денежных средства в поддержку региональных операций, в том числе в интересах Хезболлы. Кроме того, штаты сообщали, что Mahan Air регулярно доставляла истребители и технику в Сирию, чтобы поддержать режим Асада.
Так что публикация новых данных явно не станет откровением и вряд ли спровоцирует население на бунт, в то время как отсутствие бензина - сможет. Именно поэтому и мобилизованы все силы проиранских АРТ, о чем мы уже упоминали, касаясь отчета Microsoft об их операциях в сфере IT.
Что ж, будем дальше следить за развитием ситуации.
Twitter
Mahan Air | هواپیمایی ماهان
با سلام در پی انتشار خبر حمله سایبری به سیستم های شرکت هواپیمایی ماهان به اطلاع میرساند با نظر به جایگاه هواپیمایی ماهان در صنعت حمل و نقل هوایی کشور اینگونه حملات به دفعات مختلف و در زمان های گوناگون نسبت به این شرکت انجام یافته تا شاید بتوانند خدشه ای بر…