​​Уже годик минул с момента вскрытия атаки неизведанной APT на компанию SolarWinds и соответствующих обвинений в адрес "русских хакеров", а какой-либо внятной аргументации в пользу этой связи никто так и не привел. Ну вот нет ничего.

Свое мнение касательно этой истории мы неоднократно транслировали и наиболее полно отразили здесь.

Тем временем тема хакерской группы Nobelium, которую Microsoft называют исполнителем атаки на SolarWinds и связывают с российскими разведчиками (тысячи их!), опять всплывает в трендах инфосек новостей.

(В рот нам ноги, как вспоминаем "атрибуцию фишинговой кампании Nobelium" от американцев из Volexity, вот прямо головой бьемся о стену. Железные докозательства - использование документа-приманки на тему американских выборов и Cobalt Strike. Кокаинум, чтоб его! А корейские слова в коде и время компиляции - это ложный флаг!)

Во-первых, французский CERT со ссылкой на французское же Агентство национальной кибербезопасности (ANSSI) сообщил, что Nobelium с февраля этого года осуществляет широкую фишинговую кампанию, направленную на различные иностранные организации с использованием заранее подломанных французских НКО. И обратно - французские учреждения были целями для фишинга со стороны скомпрометированных иностранных почтовых серверов.

Во-вторых, Mandiant описывают новую кибершпионскую кампанию , которую они связывают с Nobelium. Эти, правда, поумнее - они везде подчеркивают "предполагаемый" характер связи APT с Россией, а в конце отчета ставят дисклеймер об "отсутствии достаточных доказательств".

Cherche le Nobellium, пилят.

Индийская IT компания Zoho предупреждает своих клиентов о новой уязвимости нулевого дня и призывает срочно обновить сервера ManageEngine, так как в настоящее время бага активно эксплуатируется злоумышленниками в атаках.

Уязвимость CVE-2021-44515, затрагивает продукт Zoho ManageEngine Desktop Central - решение для управления сетью организации и устройствами сотрудников. Масштаб угроз внушительный, так как по заявлению Zoho, продукт используется более чем в 40 тыс. крупных компаниях по всему миру. В настоящее время в сети около 3100 серверов Zoho ManageEngine Desktop Central, готовых к эксплуатации.

В рекомендациях по безопасности компания заявила, что исправила ошибку, которая позволяла хакерам обходить аутентификацию и запускать вредоносный код на серверах Desktop Central.

Пока индийский разработчик не раскрывает инциденты, связанные с использования данной ошибки, но как известно, ранее в дикой природе использовались две другие уязвимости программных компонентов Zoho, а именно в ADSelfService Plus (CVE-2021-40539) и ServiceDesk Plus (CVE-2021-44077) причем не абы кем, а Китайскими APT.

По данным Palo Alto Networks, под ударом находились несколько организаций оборонного сектора США. Считается, что целью этих атак являлся кибершпионаж и кража данных.

В настоящее время не подтверждено, что за использованием третьей уязвимости стоят одни и те же группы, но компаниям следует проявить бдительность и как можно скорее обновить свои серверы Zoho.

Microsoft заявила, что ее юридическая служба успешно добилась очередного судебнего ордера на арест 42 доменов, используемых китайской APT в недавних кибероперациях, направленных против организаций в США и 28 других странах.

Nickel или известная группа как APT15, Ke3Chang, Mirage или Vixen Panda орудует уже с 2012 года и имеет на своем счету огромное количество операций против широкого круга целей.

Microsoft заявиляют, что домены использовались для сбора разведданных от правительственных структур, аналитических центров и правозащитных организаций. Контроль над вредоносными веб-сайтами и перенаправление трафика с этих ресурсов на защищенные серверы Microsoft поможет защитить существующих и потенциальных будущих жертв, а также получить больше свежений о деятельности Nickel.

Вряд ли это помешает Nickel продолжить другие хакерские операции, но микромягкие считают, что они таким образом удалили ключевую часть инфраструктуры, на которую злоумышленники полагалась в последней волне атак.

Согласно техническому отчету, который фигурировал в судебном иске, потерпевшие от деятельности APT были взломаны с использованием скомпрометированных VPN или украденных учетных данных, полученных в результате целевых фишинговых кампаний, что согласуется с аналогичными отраслевыми отчетами, подробно описывающими тактику работы китайскими шпионскими группировками.

По словам производителя ОС, попытки эксплуатации были нацелены на системы Microsoft Exchange и SharePoint, а также на Pulse Secure VPN.

Лучше бы с таким же рвением рапортовали о закрытии дыр, которые Microsoft все никак не могут исправить, выпуская один патч за другим, а то и вовсе ничего не выпуская.

Google выпустила обновления безопасности для Chrome, исправив в общей сложности 20 уязвимостей. При этом 16 из них были обнаружены сторонними специалистами по программе вознаграждений.

Из 16 ошибок 15 имеют высокий уровень серьезности, почти все они явились своего рода результатом исправления других недостатков в различных компонентах браузера.

Наиболее серьезная из проблем касается компонента веб-приложений. CVE-2021-4052 раскрыл Вэй Юань из MoyunSec VLab, заработав 15 000 долларов. Следующая CVE-2021-4053 в компоненте пользовательского интерфейса Chrome принесла исследователю 10 000. А 5000 и 1000 долларов по bug bounty были выплачены за обнаружение CVE-2021-4054 и CVE-2021-4055, связанных переполнением буфера в расширениях и недостатками автозаполнения.

Остальные награды не раскрываются, но известно, что вознаграждения ушли за выявление 5 уязвимостей использования после освобождения, исправленными в компонентах: API, инструменты разработчика, захват экрана, автозаполнение и оконный менеджер. Другие баги также включают переполнение буфера кучи (в ANGLE и BFCache), путаницу типов (в загрузчике и V8), недостаточную проверку данных в загрузчике и целочисленное опустошение в ANGLE.

Google также решил проблему низкой степени серьезности CVE-2021-4068, описанную как «недостаточная проверка ненадежного ввода на странице новой вкладки», которая принесла исследователю (пусть даже символическое, но) вознаграждение в размере 500 зеленых своему автору.

Обновленная версия Chrome 96.0.4664.93 доступна для пользователей ОС Windows, Mac и Linux, и ждет ваших кликов.

​​Сбербанк заявил о кадровой катастрофе в сфере информационной безопасности.

​​Похоже, что Google сегодня в ударе.

Вслед за Microsoft и Facebook компания на основании поданного судебного иска нанесла разрушительный удар по инфраструктуре ботнета Glupteba, который до настоящего времени насчитывал более миллиона зараженных хостов.

Glupteba - модульный malware с поддержкой блокчейна, который нацелен на устройства Windows по всему миру, включая США, Индию, Бразилию и страны Юго-Восточной Азии. Ботнет использует механизм резервного копирования цепочки биткойнов для повышения устойчивости, если основные серверы C2 перестают отвечать.

Malware нацелен исключительно на системы Windows и распространяется преимущественно посредством схем с оплатой за установку (PPI) для заражения своих пользователей, а также трафик, приобретаемый из TDS, маскируясь под пиратский софт и развлекательный контент.

После заражения хоста Glupteba загружает различные модули, которые могут выполнять специализированные задачи: добыча криптовалюты, кража учетных данных и файлов cookie, развёртывание прокси-серверов в системах Windows и устройствах IoT, которые впоследствии продаются как «резидентные прокси». Один из модулей Glupteba использовался для заражения маршрутизаторов MikroTik во внутренних сетях, в том числе в ходе сборки ботнета Meris, ставшего источником недавних резонансных масштабных DDoS-атак.

Glupteba долгие годы оставался незамеченным для большинства фирм и является одним из старейших вредоносных ботнетов, впервые попав в поле зрения инфосек экспертов еще в 2011, когда был упомянут в отчете ESET.

Результатом крестового похода Google Threat Analysis Group стало удаление более 63 миллионов используемых для распространения вредоносного ПО файлов Google Docs, бан 1183 учетных записей, 870 рекламных кабинетов и 908 облачных аккаунтов. При поддержке хостинг-операторов, в том числе Cloudflare, IT-гигант смог перехватить управление ключевой инфраструктурой управления и контроля (C2) Glupteba.

Кроме того, жертвами меча корпорации станут в самое ближайшее время стоявшие за атаками Glupteba 17 хакеров, в том числе 2 россиянина: Дмитрий Старовиков и Александр Филиппов, которых Google упоминает в судебных документах в качестве создателей ботнета.

Хакеры развернули несколько сервисов (dont.farm, awmproxy, extracard, AWMProxy.net, vd.net, abm.net) для реализации украденных через ботнет учетных данных к аккаунтам Google и Facebook, данных кредитных карт, а также доступ к виртуальным машинам и прокси, которые использовались в других преступных схемах: незаконной добыче криптовалюты, компьютерном мошенничестве, нарушении прав на товарный знак, показ вредоносной рекламы и др.

Вместе с тем, децентрализованный характер блокчейна, вероятно, позволит ботнету в скором времени восстановиться после контратаки Google, используя закодированный в цепочке блоков биткойнов резервный механизм управления и контроля, которым непременно воспользуются операторы Glupteba, следующие передовым практикам мире организованной киберпреступности.

Но как бы не сложилась судьба вредоносного ПО, а уголовная перспектива для создателей ботнета все же маячит на горизонте, ведь после удовлетворения гражданского иска Google по линии Интерпола и спецслужб последует уголовное дело со всеми вытекающими.

​​- Партнёрский пост -

🔥 Впервые с момента создания Python EH 🔥

Получи бесплатный ознакомительный доступ на 14 дней к первым урокам курса.

Курс «Python для пентестера» это:

✔️ 27 подробных уроков
✔️ 11 часов видео
✔️ 197 выпускников курса

Узнать подробнее о курсе http://python-eh.ru/

Ты сможешь:

1. Эффективно использовать базы данных и сеть Интернет;
2. Получать данные от сайтов в автоматическом режиме;
3. С нуля писать прикладные программы на Python.

Запишись на пробные уроки

#Вау! #Python

Если вы являетесь пользователем производителя QNAP и Ваш девайс торчит в Интернет, то спешим предупредить о продолжающихся атаках, нацеленных на устройства NAS (сетевые хранилища), с использованием вредоносных программ для добычи криптовалюты.

Как заявил производитель, криптомайнер, развернутый на взломанном устройстве, создаст новый процесс с именем oom_reaper, который будет майнить биткоин. Во время работы малварь может занимать до 50% всех ресурсов ЦП и имитировать процесс ядра с PID выше 1000.

Профилактики ради, клиентам, подозревающим, что их NAS заражен майнером, рекомендуется для начала перезагрузить устройство, что возможно удалит вредоносное ПО. Далее QNAP рекомендует принять следующие меры:

- Обновить QTS или QuTS hero до последней версии.
- Установить и обновить Malware Remover до последней версии.
- Поменять и использовать более надежные пароли для учетных записей администратора и других пользователей.
- Обновить все установленные приложения до последних версий.
- Не подключать NAS к Интернету, ну а если все же это необходимо, и не использовать номера портов по умолчанию 443 и 8080.

Инциденты с QNAP давно не ноу-хау, так как устройства NAS являются привлекательной целью для злоумышленников и это не первый раз, когда сетевые хранилища производителя использовались для майнинга криптовалют.

Про атаки с ransomware и не напоминаем, коих и так было достаточно за последнее время.

Собственно, чтобы не доводить дело до печали, клиентам QNAP, которые хотят защитить свои NAS-устройства от атак, рекомендуется следовать рекомендациям производителя.

​​Накануне новогодних Google спешать порадовать подарочками пользователей Android, выпустив исправления 46 уязвимостей, некоторые из которых критические.

Самая серьезная из решаемых проблем - это ошибка утечки информации в Media, которая может привести к удаленному раскрытию информации без необходимости повышения привилегий.

Фактически, в этом месяце в компоненте Media framework были устранены два недостатка, связанные с раскрытием информации (CVE-2021-0967 и CVE-2021-0964).

Исправления также содержит патчи для 3 уязвимостей в Framework (2 повышения привилегий и 1 раскрытие информации, все с высокой степенью серьезности) и 10 баг в безопасности в системе (по 2 критических - удаленное выполнение кода и повышение привилегий, 6 с высокой степенью серьезности).

Бюллетень безопасности Google для Android за декабрь 2021 года содержит подробную информацию о 31 ошибке, большая часть которых затрагивает компоненты с закрытым исходным кодом Qualcomm.

Патча безопасности от 2021-12-05 устраняет в целом 1 уязвимость в Media framework, 3 - в компонентах ядра, 2 - в компонентах MediaTek, 3 - в компонентах Qualcomm и 22 - в компонентах с закрытым исходным кодом Qualcomm (включая 3 - критические).

Отдельно для Google-устройств Pixel устранено 85 дополнительных уязвимостей безопасности, почти все из них имеют средний уровень серьезности. К ним относятся 19 ошибок в Framework, 9 - в среде Media, 1 - в обмене сообщениями, 29 - в системе, 7 - в компонентах ядра, 19 - в пикселях и 1 - в компонентах Qualcomm.

Google, прям, на коне: и хакеров побороли и дыры в продуктах залатали.

​​​​Производитель решений для сетевой безопасности SonicWall настоятельно призывает клиентов обновить свои устройства серии SMA 100 до последней версии.

Дело в том, что исследователями по безопасности Джейком Бейнсом (Rapid7) и Ричардом Уорреном (NCC Group) обнаружены уязвимости, которые могут быть использованы потенциальным злоумышленником для получения полного удаленного контроля над уязвимой системой.

Угроза нависла над продуктами SMA 200, 210, 400, 410 и 500v под управлением версий 9.0.0.11-31sv, 10.2.0.8-37sv, 10.2.1.1-19sv, 10.2.1.2-24sv, а также более ранних версий.

Речь идет о восьми уязвимостях:

- CVE-2021-20038 (CVSS: 9,8) - уязвимость переполнения буфера на основе стека в переменных среды модуля mod_cgi;
- CVE-2021-20039 (CVSS: 7,2) - уязвимость внедрения аутентифицированных команд от имени пользователя root;
- CVE-2021-20040 (CVSS: 6.5) - уязвимость, связанная с неаутентифицированным обходом пути загрузки файлов;
- CVE-2021-20041 (CVSS: 7,5) - уязвимость неаутентифицированного "истощения" ЦП;
- CVE-2021-20042 (CVSS: 6,3) - уязвимость проверки подлинности Confused Deputy;
- CVE-2021-20043 (CVSS: 8,8) - уязвимость getBookmarks, связанная с переполнением буфера;
- CVE-2021-20044 (CVSS: 7,2) - уязвимость RCE после аутентификации;
- CVE-2021-20045 (CVSS: 9,4) - уязвимость выполнения неаутентифицированным пользователем кода в качестве пользователя nobody.

Успешная эксплуатация дыр может позволить злоумышленнику выполнять произвольный код, загружать специально созданную полезную нагрузку, изменять или удалять файлы, расположенные в определенных каталогах, удаленно перезагружать систему, обходить правила брандмауэра и даже использовать весь ЦП устройства, потенциально вызывая отказ обслуживания (DoS).

Пока в дикой природе фактов использования уязвимостей пока еще не установлено, но тем не менее пользователям настоятельно рекомендуется обновиться, ведь мы же все помним, как в последнее время продукты SonicWall не раз становились мишенью для хакеров.

​🔎 OSINT. Поиск геолокации нашей цели.

🖖🏻 Приветствую тебя user_name.

• Многие популярные социальные сети, мессенджеры, сервисы, заботятся о том, что бы при загрузке любых файлов, из них удалялись метаданные. И когда ты планируешь скачать фотографию или видео того или иного человека \ объекта, то ты можешь не обнаружить там никакой полезной информации.

• Сегодня я поделюсь с тобой подборкой статей, с помощью которых ты научишься определять геолокацию цели, будь то человек или другой объект. Это очень полезный материал для специалистов в области #OSINT и Социальных Инженеров:

• Определение местоположения по фотографии.
• Определение местоположения по фотографии. Обратный поиск изображений.
• Используем тень для определения местоположения военной базы США.
• Извлечь, исследовать, проверить.
• Как природа может раскрывать секреты геолокации.
• GeoTips: советы по поиску геолокации в странах мира.

Перевод статей от @cybred:
• Определяем дату сделанного снимка.
• Как определить геолокацию фотографии по отражению в стекле.
• Как определить местоположение по фотографиям, сделанным на природе.
• Используем Солнце и тени для определения геолокации по фотографии.

Инструменты:
• Набор погодных карт.
• Поиск информации о погоде в разное время по городу, почтовому индексу или коду аэропорта.
• Спутниковые снимки, аэрофотоснимки, снимки с беспилотников и многое другое.
• Необычный сервис для поиска кратчайшего маршрута от точки А до точки Б.
• Карта для отслеживания самолетов в реальном времени.
• Онлайн транспортир.

• Полное руководство по OSINT с использованием Maltego.
• Что такое Maltego и зачем оно вообще нужно;
• Интерфейс и базовое устройство;
• Maltego и OSINT в Facebook;
• Maltego и OSINT в ВК, Instagram, LinkedIN и других соцсетях;
• Применение системы распознавания лиц для OSINT в Maltego;
• Поиск информации с применением геолокации.

‼️ Дополнительную информацию ты можешь найти по хештегам #OSINT и #СИ. Твой S.E.

​​В ходе очередной чистки библиотек JavaScript группа безопасности Node Package Manager удалила 17 вредоносных npm-пакетов, которые содержали вредоносный код для сбора и кражи токенов доступа Discord и переменных среды с компьютеров пользователей.

На этот раз обнаружившим библиотеки исследователям из компании JFrog удалось сработать достаточно оперативно и избежать широкого распространения вредоносных пакетов среди разработчиков, как это было не так давно с PyPI: пакеты успели набрать по несколько тысяч загрузок.

И не зря, ведь в случае загрузки любой из этих библиотек - вредоносный код закружает ПО и отправляет данные злоумышленникам, предоставляя возможность захватить учетную запись Discord зараженного разработчика. Кроме того, один из пакетов инициировал PirateStealer, с помощью которого из приложений и учетных записей Discord извлекаются помимо прочего данные платежных карт, личная информация и пр.

Другие библиотки также включали функцию сбора переменных данных с информацией о пользователе и ОС, ключах API и учетных данных для входа. И наконец, 17-й пакет доставлял RAT, открывающий злоумышленнику полный контроль над компьютером разработчика.

В совокупности труды JFrog, DevOps и Sonatype на поприще борьбы с десятками вредоносных библиотек, загруженных в репозитории пакетов npm (JavaScript) и PyPI (Python) указывают на растущую популярность среди хакеров атак, нацеленных на кражу токенов Discord. Несмотря на выводы авторитетных RiskIQ, Check Point, Sophos и Zscaler и фактически запущенный конвейер по созданию вредоносных библиотек, npm и PyPI уже который год не меняют своих подходов к проверкам загрузок пакетов в репозитории.

Тем временем предприимчивые хакеры видят определённую в этом перспективу, которая позволяет им масштабировать уровень своих вредоносных кампаний.

Если в вашей организации есть MikroTik, то у вас, вероятно, есть проблемы.

Специалистами Eclypsium выявлено более 300 000 устройств MikroTik, уязвимых для ошибок удаленного взлома. Самое парадоксальное, что баги давно исправлены популярным поставщиком сетевого оборудования.

В отчете компании по информационной безопасности говорится, что наибольшее число уязвимых устройств находятся в Китае, Бразилии, России, Италии, Индонезии, США.

Печальный факт, что MikroTik является популярной целью у злоумышленников и активно ими используются начиная от DDoS-атак и заканчивая туннелированем трафика. 

Ну еще бы, у вендора более двух миллионов девайсов развернуто по всему миру, что создает огромную поверхность для воздействия у хакерского контингента.

Как мы помним недавние сообщения о новом ботнете Mēris, который организовал рекордную распределенную DDoS-атаку на Яндекс, использовал как раз сетевые устройства Mikrotik в качестве вектора атаки и устраненную на данный момент уязвимость системы безопасности в операционной системе (CVE-2018-14847).

А вот еще четыре уязвимости, обнаруженные за последние три года, которые могут позволить полностью захватить ваш MikroTik, если вы до сих пор не воспользовались рекомендациями по безопасности производителя:

• CVE-2019-3977 (CVSS: 7,5) - недостаточная проверка происхождения пакета обновления, что позволяет сбросить все имена пользователей и пароли.
• CVE-2019-3978 (CVSS: 7,5) - уязвимость, связанная с возможностью отправлять DNS-запросы, что приводит к заражению кеша.
• CVE-2018-14847 (CVSS: 9,1) - уязвимость, связанная с обходом каталогов в интерфейсе WinBox.
• CVE-2018-7445 (CVSS: 9,8) - уязвимость переполнения буфера SMB.

Кроме того, исследователи Eclypsium обнаружили, что более 20 000 незащищенных устройств MikroTik запускали скрипты майнинга криптовалюты на веб-страницах, которые посещали пользователи.

Не будите лихо пока оно тихо, регулярно проведите ревизию своих сетей и не пренебрегайте рекомендациями производителей.

Merry Christmas!!!

В библиотеке log4j под Apache ночью вдруг нашлась 0-day уязвимость, приводящая к удаленному выполнению кода (RCE). К этому всему удовольствию прилагается рабочий PoC, опубликованный на GitHub.

На момент появления PoC у дырки не было даже CVE (сейчас уже есть - CVE-2021-44228). Известно, что уязвимость работает на куче сервисов, к примеру - Steam, iCloud и пр.

Эксплойту подвержены версии Apache log4j вплоть до 2.14.1. Сканирование сети на предмет уязвимых серверов уже идет (странно было бы ожидать другого при наличии рабочего PoC).

В качестве меры смягчения сначала предлагалось обновить log4j до версии 2.15.0-rc1, но буквально в течение нескольких часов был найден способ обхода исправления, поэтому теперь рекомендуют обновлять до 2.15.0-rc2. Кроме того, некоторые инфосек эксперты рекомендуют установить log4j2.formatMsgNoLookups в значение true.

Также LunaSec со ссылкой на китайцев говорят, что эксплойт не работает на версиях JDK выше 6u211, 7u201, 8u191 и 11.0.1.

Ну а вишенка на этом рождественском торте - эксплойт работает на всех версиях Minecraft начиная с 1.8.8.

Apache Foundation пьют валерьянку и молчат.

Merry Christmas, дорогие наши, Merry Christmas!!!

Вслед за Chrome обновления безопасности для браузера Firefox и почтового клиента Thunderbird выпустила Mozilla.

В общем исправлено 13 уязвимостей, в том числе 6 с высоким степенью серьезности (некоторые из этих патчей также были включены в Firefox ESR 91.4 и Thunderbird 91.4.0).

В случае эксплуатации ошибок безопасности злоумышленнику вполне будет под силу выполнить произвольный код в контексте уязвимого приложения, что потенциально может привести к полной компрометации системы.

Одна из критических уязвимостей может привести к тому, что целевой URL-адрес будет открыт во время навигации при выполнении асинхронных функций (CVE-2021-43536), другая проблема - переполнение буфера кучи, вызванное некорректным преобразованием размеров из 64-битных в 32-битные целые числа (CVE-2021-43537).

Mozilla также исправила потенциальную атаку спуфинга, при которой уведомление о полноэкранном режиме и блокировке указателя отсутствовало при запросе обоих (CVE-2021-43538) и использования после освобождения, вызванного некорректной работой активных указателей (CVE-2021-43539).

Производитель браузера также выпустил исправления для ошибок безопасности памяти с высокой степенью серьезности, которые были обнаружены в предыдущих итерациях его приложений, а также исправления для нескольких уязвимостей средней и низкой степени серьезности. Пропатченная версия Firefox 95 получила новую технологию RLBox, предназначенную для улучшения защиты от веб-атак путем изолирования потенциально проблемных подкомпонентов в песочнице.

Критичность некоторых из дыр побудило даже Агентство кибербезопасности и безопасности инфраструктуры США (CISA) напомнить пользователям о необходимости обновлений в Firefox, Firefox ESR и Thunderbird. Рекомендуем прислушаться.

В полку вымогателей пополнение.

Исследователи безопасности из Recorded Future и MalwareHunterTeam представили профессиональный ransomware картель с большим набором настраиваемых функций, позволяющих атаковать широкий спектр корпоративных сред. Знакомьтесь, ALPHV (или BlackCat)!

BlackCat - первая профессиональная группа программ-вымогателей, использующая профессиональный штамм на языке программирования Rust и насчитывающая к настоящему времени не менее 10 жертв в США, Австралии и Индии.

По мнению исследователей, автором ALPHV (BlackCat) может быть один из участников печально известной REvil.

Следуя модели REvil, с начала декабря новая программа как услуга под названием ALPHV продвигается на XSS и Exploit, предлагая сотрудничество и участие в купаных атаках с целью получения выкупа. По итогу аффилированным лицам выдают образцы ALPHV (BlackCat) с возможностью шифрования данных в системах Windows, Linux и VMWare eSXI, обещая комиссионные в зависимости от размера выкупа. Например, при выплате выкупа до 1,5 миллиона долларов партнерская программа зарабатывает 80%, 85% - до 3 миллионов и 90% выплат более 3 миллионов.

Установить начальный вектор входа BlackCat пока не удалось, дальнейшая схема работы вымогателей мало чем отличается от уже известных групп и включает двойное вымогательство с угрозой утечек похищенных конфиденциальных данных. В качестве дополнительного аргумента злоумышленники угрожают жертвам DDoS до тех пор, пока они не заплатят выкуп. BlackCat имеет несколько сайтов утечек с различными URL-адресами, на каждом из которых публикуются данные одной или двух жертв, что объясняется их обслуживанием филиалами ALPHV.

Программа-вымогатель BlackCat включает в себя множество расширенных функций, которые выделяют ее среди других программ-вымогателей. Ransomware полностью управляется из командной строки и имеет различные настройки, с возможностью использовать разные процедуры шифрования, распространения между компьютерами, уничтожения виртуальных машин и ESXi, а также способна автоматически стирать моментальные снимки ESXi для предотвращения восстановления.

Шифрование может быть реализовано с использованием 2 алгоритмов ChaCha20 или AES, а также в нескольких режимах:
⁃ Full: полное шифрование файлов.
⁃ Fast: шифрование первых N мегабайт.
⁃ DotPattern: шифрование N мегабайт через M шаг.
⁃ Auto: в зависимости от типа и размера файлов выбирается наиболее оптимальная (с точки зрения скорости и стойкости) модель шифрования.
⁃ SmartPattern: шифрование N мегабайт с шагом в процентах (по умолчанию он шифрует 10 мегабайт каждые 10% файла, начиная с заголовка).

BlackCat также использует API диспетчера перезапуска Windows для закрытия процессов или завершения работы служб Windows, сохраняя файл открытым во время шифрования. Заметки о выкупе предварительно настраиваются аффилированным лицом, выполняющим атаку, и различаются для каждой жертвы.

Изменения коснулись и процесса переговоров: разработчики ALPHV ввели токен, который используется для создания ключа доступа, необходимого для входа в переговорный чат на платежном сайте в Tor. Поскольку этот токен не включен в образец вредоносного ПО, при попадании на сайты анализа ВПО исследователи не смогут получать доступ доступ к переговорным чатам, как это было ранее.

Исследователи отмечают, что BlackCat смогли обойти предшественников, в частности BadBeeTeam, BuerLoader и FickerStealer, и создать по-настоящему боевой штамм ransomware в Rust, что значительно усложняет ПО с точки зрения поиска уязвимостей кода, позволяющих обнаружить возможные решения для дешифровки данных. Выводы подтвердил Майкл Гиллеспи, аналитик вредоносных программ в Emsisoft.

Похоже, что на поле зашли новые тяжеловесы.

​​—Партнерский пост—

Group-IB продолжают публиковать свои отчеты в рамках Hi-Tech Crime Trends 2021/22. В прошлый раз было про доступы в скомпрометированные сети, поэтому логичным продолжением стал отчет про ransomware.

Краткой истории становления современного рынка вымогателей касаться не будем, хотя она там тоже есть. Интересны тренды ransomware 2021 года, основанные на анализе партнерских программ (RaaS) и сливных сайтов (DLS) различных группировок.

А они следующие:
- за год появились 34 новых RaaS;
- RaaS и рынок доступов во взломанные сети стали катализатором развития друг для друга;
- количество появившихся за год DLS выросло более чем вдвое - с 13 до 28;
- на DLS были выставлены данные 2 371 компании, ставшей жертвами ransomware. Рост по сравнению с прошлым годом - "скромные" 935%.

Отдельного внимания заслуживает детальный разбор закрытой партнерской программы ransomware Hive (это те самые, которые требовали у MediaMarkt 240 млн. долларов выкупа), включающий скриншоты переписки с жертвами и реверс сэмпла Hive (подробности здесь).

Ботнет Dark Mirai нацелен на RCE в популярном роутере TP-Link.

Порой кажется, что рекомендациями по безопасности пользуются в основном только специалисты по безопасности, да и это далеко не всегда так.

Очередную исправленную производителем багу в маршрутизаторах взяли в оборот небезызвестные ботоводы Dark Mirai (он же MANGA) и используют уязвимость на TP-Link TL-WR840N EU V5, популярном недорогом домашнем маршрутизаторе, выпущенном в 2017 году.

Уязвимость отслеживается как CVE-2021-41653 и вызвана уязвимой переменной host, которую аутентифицированный пользователь может использовать для выполнения команд на устройстве.

Производитель исправил ошибку и выпустил обновление прошивки (TL-WR840N (EU) _V5_211109) еще 12 ноября 2021 года. Однако многие пользователи до сих пор не применили обновление безопасности. На самом деле, ну куда обычному обывателю до его роутера, который приколочен к потолку или стоит в шкафу. Тем не менее...

Ну и снова смехопанорама, когда исследователь, обнаруживший уязвимость, опубликовал эксплойт PoC для RCE, а злоумышленники благополучно использовали багу в своих не самых чистых намерениях.

Согласно отчету исследователей Fortinet, которые следили за деятельностью Dark Mirai, ботнет добавил конкретный RCE в свой арсенал всего через две недели после того, как TP-Link выпустила обновление прошивки.

Аналогичная история приключилась и с ботнетом Moobot, который распространяется через критическую уязвимость CVE-2021-36260 в камерах Hikvision, эксплуатируемую удаленно путем отправки специально созданных сообщений, содержащих вредоносные команды. Еще в сентябре Hikvision исправила ошибку, выпустив обновление прошивки (v 210628), но не все поспешили его применить.

Moobot использует эту уязвимость для компрометации непропатченных устройств и извлечения конфиденциальных данных от жертв. Среди различных полезных нагрузок Fortinet обнаружил загрузчик, замаскированный как macHelper, который выбирает и запускает Moobot с параметром hikivision. Вредоносная программа также блокирует возможность перезагрузки устройства.

Аналитики Fortinet обнаружили общие черты между Moobot и Mirai, например строку данных, используемую в функции генератора случайных буквенно-цифровых строк, использование отдельного загрузчика, разветвление процесса usr/sbin, подмена файла macHelper исполняемым файлом Moobot.

Впервые Moobot был замечен в дикой природе Unit42 еще в феврале 2021 года и до настоящего времени добавляет новые CVE, создавая новый потенциал для таргетинга. Изучая захваченные пакетные данные, Fortinet как раз смогли отследить канал в Телеге, который начал предлагать услуги DDoS в августе прошлого года.

Не будем возвращаться к очередному ликбезу на тему о том, как защитить свой маршрутизатор от Mirai или любого другого ботнета, мы уже неоднократно об этом говорили.

—Партнерский пост—

Сергей Голованов, главный эксперт Лаборатории Касперского, приглашает на открытую запись подкаста «Смени пароль!»

Компания подведет итоги года в инфосеке, раскроет уникальные данные и попробует заглянуть в будущее.

14 декабря, 11:00, онлайн. В прямом эфире можно будет задать вопросы ведущим подкаста. Присоединяйтесь по ссылке!

​​Судная ночь продолжается.

0-day уявимость Log4Shell получила оценку 10/10 по шкале CVSSv3, но в дикой природе, как мы и предполагали, оказалась куда более серьезной, чем предполагалось изначально, ведь на практике эксплуатация, как выяснили LunaSec, не требует серьезных технических навыков и укладывается в одну строчку кода.

Кроме того, CVE-2021-44228 затрагивает почти все корпоративные продукты Apache Software Foundation и присутствует фактически во всех основных корпоративных приложениях и серверах на основе Java. Apple, Amazon, Twitter, Cloudflare, Steam, Tencent, Baidu, DIDI, JD, NetEase и тысячи других компаний потенциально уязвимы для атак Log4Shell.

Все настолько плохо, что даже выпущенное Apache Software Foundation экстренное обновление безопасности никак не повлияло на ситуацию. К настоящему времени злоумышленники уже массово сканят сеть в надежде на LogJam.

Тем не менее, на помощь пришли частные специалисты: Cybereason представили вакцину Logout4Shell для удаленного устранения Log4Shell. Сценарий позволяет удаленно произвести настройку сервера LDAP на основе Java, по сути эксплуатируя уязвимый сервер и реализуя полезную нагрузку, которая отключает параметр trustURLCodebase на удаленном сервере Log4j. Все бы ничего, если Logout4Shell сам по себе не был бы подвержен злоупотреблениям, но, в бою все средства хороши, по мнению его авторов.

А тем временем, в полях хакеры всех мастей отрабатывают дыру вдоль и поперёк.

По данным Netlab 360, на уязвимые устройства грузят вредоносное ПО Mirai, Muhstik и Kinsing, ля развертывания криптомайнеров и выполнения крупномасштабных DDoS-атак. Microsoft 365 Defender Threat Intelligence фиксируют использование уязвимости Log4j для внедрения имплантата Cobalt Strike. Не менее активны и те, кто предпринимает попытки использования эксплойтов Log4Shell для эксфильтрации данных с сервера, включая имя хоста, имя пользователя в службе Log4j, наименование и номер версии ОС и др.

Но, пожалуй, реальные сливки снимались гораздо ранее, чем уязвимость была раскрыта публично 10 декабря. Впервые обнаружить уявимость в дикой природе удалось Cloudflare еще 1 декабря, а на следующий день об активности злоумышленников также упоминается в отчете Cisco Talos, что было до декабря - обнаружиться позже, равно и то, насколько все печально сейчас.

Ну, а пока, дорогие наши, Merry Christmas!!!

В результате атаки у шведского автопроизводителя Volvo украли передовые разработки.

Как и любая известная корпорация с доходами в миллиарды долларов, Volvo до последнего момента отрицала инцидент и ссылалась на потенциальную кибератаку. Однако после того, как данные просочились в сеть производитель сделал соответствующее официальное заявление, отметив, что инцидент может повлиять на работу компании.

Volvo Cars стало известно о незаконном доступе к одному из файловых репозиториев третьей стороной. На данный момент расследование подтверждают, что во время вторжения была украдена ограниченная часть научно-исследовательских работ. Что конкретно утекло не сообщается, но, как и известно, Volvo сейчас активно участвует в разработке передовых электромобилей.

25 ноября хакерская группа Snatch опубликовала запись с указанием Volvo Cars в качестве одной из своих жертв, а 30 ноября были преданы огласке образцы файлов из сети Volvo. Хакеры заявили, что не будут настаивать на переговорах, а вместо этого пообещали утечку данных, если Volvo не сможет разумно и всесторонне защитить от утечки.

Как правило, официальное признание обычно означает, что компания отказалась взаимодействовать с хакерами и готова смириться с последствиями утечки. Если бы не один нюанс 👇