С января по ноябрь 2021 года было атаковано более 35000 устройств в 195 странах, включая АСУ ТП (ICS) и правительственный сектор, с помощью нового шпионского ПО PseudoManuscrypt.
Вредоносную активность обнаружили специалисты Лаборатории Касперского, назвавший новое шпионское ПО PseudoManuscrypt из-за его сходства с Manuscrypt, которое использовалось связанной с Северной Кореей АРТ Lazarus для атак на объекты в оборонной сфере.
С другой стороны, вредоносное ПО использует протокол KCP для подключения к своему серверу управления и контроля, который на практике редко встречался, только разве что связанной с Китаем группой угроз APT41 в своих атаках на промышленные организации.
Кроме того, образцы вредоносного ПО также содержат комментарии, исполненные на китайском языке, выявлены подключения к облачному хранилищу китайской компании Baidu, а китайский указывается malware в качестве предпочтительного языка при подключении к C2.
PseudoManuscrypt поддерживает широкий спектр шпионских функций: крадет учетные данные VPN, перехватывает нажатия клавиш, захватывает содержимое экрана, записывает звук с микрофона, а также копирует данные из буфера обмена и журнала событий ОС.
Распространяется через дистрибутивы пиратского ПО, включая архивы, относящиеся к программному обеспечению ICS, которые, вероятно, реализовывались по схеме Malware-as-a-Service (MaaS). В некоторых случаях malware доставлялось ботнетом Glupteba.
Эксперты выявили, что не менее 7,2% всех систем, пораженных вредоносным ПО PseudoManuscrypt, являются частью систем управления производством (ICS) в сфере машиностроения, автоматизаций зданий, энергетики, промышленности, строительстве, ЖКХ и водоснабжения. В числе целей также фигурировали военно-промышленные предприятия и НИИ. При этом во многих случаях злоумышленников интересовали хосты, используемые для моделирования и инженерных изысканий, что навело исследователей на мысль о возможном промышленном шпионаже.
В тоже время слишком широкая таргеттированность атак не свойственна прогосударственным АРТ. Почти треть устройств, не использующих АСУ ТП, на которые нацелена эта кампания, приходится на Россию (10,1%), Индию (10%) и Бразилию (9,3%), а случае с АСУ ТП - наибольший процент целевых показателей наблюдался в Индии, Вьетнаме и России.
До настоящего времени атрибутировать PseudoManuscrypt с Lazarus или другой АРТ исследователи Лаборатории однозначно не смогли, поскольку в совокупности изученные данные не укладываются в какие-либо известные схемы, равно как и понять, преследует ли кампания финансовую выгоду или реализуется в национальных интересах какого-либо государства.
Но всяко лучше атрибуции на «кофейной гуще», которая все чаще пронизывает отчеты уважаемых инфосек компании в угоду политическим тренда, впрочем, мы уже не раз об этом писали.
Вредоносную активность обнаружили специалисты Лаборатории Касперского, назвавший новое шпионское ПО PseudoManuscrypt из-за его сходства с Manuscrypt, которое использовалось связанной с Северной Кореей АРТ Lazarus для атак на объекты в оборонной сфере.
С другой стороны, вредоносное ПО использует протокол KCP для подключения к своему серверу управления и контроля, который на практике редко встречался, только разве что связанной с Китаем группой угроз APT41 в своих атаках на промышленные организации.
Кроме того, образцы вредоносного ПО также содержат комментарии, исполненные на китайском языке, выявлены подключения к облачному хранилищу китайской компании Baidu, а китайский указывается malware в качестве предпочтительного языка при подключении к C2.
PseudoManuscrypt поддерживает широкий спектр шпионских функций: крадет учетные данные VPN, перехватывает нажатия клавиш, захватывает содержимое экрана, записывает звук с микрофона, а также копирует данные из буфера обмена и журнала событий ОС.
Распространяется через дистрибутивы пиратского ПО, включая архивы, относящиеся к программному обеспечению ICS, которые, вероятно, реализовывались по схеме Malware-as-a-Service (MaaS). В некоторых случаях malware доставлялось ботнетом Glupteba.
Эксперты выявили, что не менее 7,2% всех систем, пораженных вредоносным ПО PseudoManuscrypt, являются частью систем управления производством (ICS) в сфере машиностроения, автоматизаций зданий, энергетики, промышленности, строительстве, ЖКХ и водоснабжения. В числе целей также фигурировали военно-промышленные предприятия и НИИ. При этом во многих случаях злоумышленников интересовали хосты, используемые для моделирования и инженерных изысканий, что навело исследователей на мысль о возможном промышленном шпионаже.
В тоже время слишком широкая таргеттированность атак не свойственна прогосударственным АРТ. Почти треть устройств, не использующих АСУ ТП, на которые нацелена эта кампания, приходится на Россию (10,1%), Индию (10%) и Бразилию (9,3%), а случае с АСУ ТП - наибольший процент целевых показателей наблюдался в Индии, Вьетнаме и России.
До настоящего времени атрибутировать PseudoManuscrypt с Lazarus или другой АРТ исследователи Лаборатории однозначно не смогли, поскольку в совокупности изученные данные не укладываются в какие-либо известные схемы, равно как и понять, преследует ли кампания финансовую выгоду или реализуется в национальных интересах какого-либо государства.
Но всяко лучше атрибуции на «кофейной гуще», которая все чаще пронизывает отчеты уважаемых инфосек компании в угоду политическим тренда, впрочем, мы уже не раз об этом писали.
Kaspersky ICS CERT | Kaspersky Industrial Control Systems Cyber Emergency Response Team
PseudoManuscrypt: a mass-scale spyware attack campaign | Kaspersky ICS CERT
Kaspersky products blocked PseudoManuscrypt on more than 35,000 computers in 195 countries of the world. Targets of attacks include a significant number of industrial and government organizations, including enterprises in the military-industrial complex and…
Непотопляемая банда вымогателей Clop продолжает злодействовать и в этот раз слила в сеть конфиденциальные данные полиции Великобритании.
Инцидент произошел еще в октябре, когда операторы ransomware получили доступ к данным, IT-компании Dacoll, содержащим личную информацию и записи 13 миллионов человек, а также конфиденциальные сведения некоторых британских департаментов полиции.
Очевидно, что переговоры по поводу выкупа зашли в тупик и Dacoll отказались платить. Тогда хакеры решили обнародовать данные из Национального компьютера полиции (PNC), содержащие информацию национальной системы автоматического распознавания номеров (ANPR), видеозаписи правонарушений и изображения лиц водителей.
Dacoll подтверждает утечку данных, сумму выкупа не называет и платить не намерена, несмотря на то что преступники продолжают угрозы дальнейшего распространения конфиденциальных сведений.
Британские СМИ отмечают, что одна из дочерних компаний Dacoll, NDI Technologies, оказывает «критически важные» услуги для более чем 90% правоохранительных структур Великобритании, предоставляя сотрудникам полиции удаленный доступ к PNC. Dacoll в свою очередь говорит, что работа информационных систем функционирует в штатном режиме, а инцидент был ограничен внутренней сетью и не связан ни с одной из сетей или услуг других клиентов.
В расследовании инцидента правоохранительным органам оказывает поддержку Национальный центр кибербезопасности Великобритании (NCSC). Посмотрим, насколько успешно будет проводиться расследование, так как уже какой раз предполагаемые участники банды Clop были арестованы в ходе международных правоохранительных операциях, проводимых Интерполом. Видимо название банды выбрано не просто так, их давят, а они не истребляются или ловят совсем не тех.
Инцидент произошел еще в октябре, когда операторы ransomware получили доступ к данным, IT-компании Dacoll, содержащим личную информацию и записи 13 миллионов человек, а также конфиденциальные сведения некоторых британских департаментов полиции.
Очевидно, что переговоры по поводу выкупа зашли в тупик и Dacoll отказались платить. Тогда хакеры решили обнародовать данные из Национального компьютера полиции (PNC), содержащие информацию национальной системы автоматического распознавания номеров (ANPR), видеозаписи правонарушений и изображения лиц водителей.
Dacoll подтверждает утечку данных, сумму выкупа не называет и платить не намерена, несмотря на то что преступники продолжают угрозы дальнейшего распространения конфиденциальных сведений.
Британские СМИ отмечают, что одна из дочерних компаний Dacoll, NDI Technologies, оказывает «критически важные» услуги для более чем 90% правоохранительных структур Великобритании, предоставляя сотрудникам полиции удаленный доступ к PNC. Dacoll в свою очередь говорит, что работа информационных систем функционирует в штатном режиме, а инцидент был ограничен внутренней сетью и не связан ни с одной из сетей или услуг других клиентов.
В расследовании инцидента правоохранительным органам оказывает поддержку Национальный центр кибербезопасности Великобритании (NCSC). Посмотрим, насколько успешно будет проводиться расследование, так как уже какой раз предполагаемые участники банды Clop были арестованы в ходе международных правоохранительных операциях, проводимых Интерполом. Видимо название банды выбрано не просто так, их давят, а они не истребляются или ловят совсем не тех.
Еще раз Merry Christmas!
Log4shell все никак не отступит. Казалось бы с тех пор, как на прошлой неделе началась длинная эпопея с критическими 0-day в log4j, для многих версия 2.16 на какое-то мгновение показалась выходом из сложной ситуации. Но, как выяснилось, она включала ранее необнаруженные баги предыдущей версии и собственные новые, которые исправили с выходом версии 2.17.0.
Дело в том, что предпоследняя версия ПО содержала уязвимость отказа в обслуживании (DoS), которой был присвоен CVE-2021-45105. Ошибка была обнаружена сразу после того, как 2.15.0 был признан уязвимым к незначительной уязвимости DoS (CVE-2021-45046). Позже уровень был повышен Apache с низкого (3,7) до критического (9,0) после того, как новые обходы позволили красть данные из уязвимых систем.
После публичного обсуждения проблемы в течение трех дней Apache присвоил новую CVE и выпустил новую пропеченную версию log4j 2.17.0.
CVE-2021-45105 получивший «высокий» (7,5) балл по шкале CVSS, существует, поскольку log4j 2.16 не всегда защищает от неконтролируемой рекурсии при самореференциальном поиске JNDI, который, казалось бы, был полностью отключен в версии 2.16, но оставался возможным при определенных обстоятельствах и приводил к ошибке StackOverflowError. Версия доступна на крупнейшем Java-репозитории - Maven Central. Выпуск 2.12.3 также на подходе для тех, кто находится в версиях ветки 2.12.x.
Абстрагируясь от очередной уязвимости, по данным Google, более 35 000 пакетов Java содержат уязвимости log4j, составляющих более 8% репозитория Maven Central. Большая часть из пакетов заимствуют баги log4j «косвенно» по принципу транзитивной зависимости. Кроме того, из 35 863 идентифицированных Google пакетов, около 7000 заимствовали log4j напрямую. Учитывая показатели зависимостей, исследователи Google прогнозируют, что устранение недостатков log4j затянется на годы.
Тем временем, в нынешних условиях следует выполнить обновление до последних версий log4j и продолжать мониторить Apache на предмет обновлений.
Log4shell все никак не отступит. Казалось бы с тех пор, как на прошлой неделе началась длинная эпопея с критическими 0-day в log4j, для многих версия 2.16 на какое-то мгновение показалась выходом из сложной ситуации. Но, как выяснилось, она включала ранее необнаруженные баги предыдущей версии и собственные новые, которые исправили с выходом версии 2.17.0.
Дело в том, что предпоследняя версия ПО содержала уязвимость отказа в обслуживании (DoS), которой был присвоен CVE-2021-45105. Ошибка была обнаружена сразу после того, как 2.15.0 был признан уязвимым к незначительной уязвимости DoS (CVE-2021-45046). Позже уровень был повышен Apache с низкого (3,7) до критического (9,0) после того, как новые обходы позволили красть данные из уязвимых систем.
После публичного обсуждения проблемы в течение трех дней Apache присвоил новую CVE и выпустил новую пропеченную версию log4j 2.17.0.
CVE-2021-45105 получивший «высокий» (7,5) балл по шкале CVSS, существует, поскольку log4j 2.16 не всегда защищает от неконтролируемой рекурсии при самореференциальном поиске JNDI, который, казалось бы, был полностью отключен в версии 2.16, но оставался возможным при определенных обстоятельствах и приводил к ошибке StackOverflowError. Версия доступна на крупнейшем Java-репозитории - Maven Central. Выпуск 2.12.3 также на подходе для тех, кто находится в версиях ветки 2.12.x.
Абстрагируясь от очередной уязвимости, по данным Google, более 35 000 пакетов Java содержат уязвимости log4j, составляющих более 8% репозитория Maven Central. Большая часть из пакетов заимствуют баги log4j «косвенно» по принципу транзитивной зависимости. Кроме того, из 35 863 идентифицированных Google пакетов, около 7000 заимствовали log4j напрямую. Учитывая показатели зависимостей, исследователи Google прогнозируют, что устранение недостатков log4j затянется на годы.
Тем временем, в нынешних условиях следует выполнить обновление до последних версий log4j и продолжать мониторить Apache на предмет обновлений.
Googleblog
Understanding the Impact of Apache Log4j Vulnerability
Posted by James Wetter and Nicky Ringland, Open Source Insights Team Editors Note: The below numbers were calculated based on both log4j-co...
Специалисты из лаборатории Citizen Lab совместно с Facebook Meta выявили еще одного игрока в частном секторе разработки шпионского ПО для мобильных устройств.
В поле зрения попала небольшая компания Cytrox из крошечной Македонии в качестве производителя высококачественных эксплойтов для iPhone. В подробном техническом отчете Citizen Lab заявляет, что Cytrox причастна к разработке вредоносного ПО для перехвата сообщений на iPhone, которое было установлено на мобильные телефоны двум достаточно известным египтянам.
Вредоносная программа под названием Predator была способна заразить последнюю на тот момент версию iOS (14.6) за один клик по ссылке, отправленной через WhatsApp.
Одной из жертв слежки оказался изгнанный египетский политик Айман Нур, на айфоне которого было обнаружено две различные шпионские программы, управляемыми двумя разными правительственными субъектами APT. Citizen Lab приписывает эту атаку правительству Египта, которое является клиентом Cytrox. Помимо Predator Cytrox, телефон был заражен скандально известным шпионским ПО Pegasus от NSO Group.
В своем разоблачении Citizen Lab проследила корпоративную историю Cytrox. Компания была создана в 2017 году, как стартап некого Иво Малинковски - гражданина Северной Македонии, который объединил компанию с Intellexa и публично продавал инструменты для цифровой криминалистической экспертизы.
Специалисты по безопасности в Meta, связывают Cytrox вместе с компаниями Cobwebs Technologies, Cognate, Black Cupe, Bluehawk CI, BellTroX и двумя неизвестными китайскими организациями, специализирующихся на подобном ремесле. По мнению экспертов эти компании занимаются разведкой и разработкой вредоносного ПО в интересах правительств и правоохранительных органов ряда стран. Целями Cytrox и его клиентов были политики и журналисты со всего мира, в том числе в Египте и Армении.
Полный цикл шпионского романа из уст исследователей Citizen Lab определенно стоит вашего внимания.
В поле зрения попала небольшая компания Cytrox из крошечной Македонии в качестве производителя высококачественных эксплойтов для iPhone. В подробном техническом отчете Citizen Lab заявляет, что Cytrox причастна к разработке вредоносного ПО для перехвата сообщений на iPhone, которое было установлено на мобильные телефоны двум достаточно известным египтянам.
Вредоносная программа под названием Predator была способна заразить последнюю на тот момент версию iOS (14.6) за один клик по ссылке, отправленной через WhatsApp.
Одной из жертв слежки оказался изгнанный египетский политик Айман Нур, на айфоне которого было обнаружено две различные шпионские программы, управляемыми двумя разными правительственными субъектами APT. Citizen Lab приписывает эту атаку правительству Египта, которое является клиентом Cytrox. Помимо Predator Cytrox, телефон был заражен скандально известным шпионским ПО Pegasus от NSO Group.
В своем разоблачении Citizen Lab проследила корпоративную историю Cytrox. Компания была создана в 2017 году, как стартап некого Иво Малинковски - гражданина Северной Македонии, который объединил компанию с Intellexa и публично продавал инструменты для цифровой криминалистической экспертизы.
Специалисты по безопасности в Meta, связывают Cytrox вместе с компаниями Cobwebs Technologies, Cognate, Black Cupe, Bluehawk CI, BellTroX и двумя неизвестными китайскими организациями, специализирующихся на подобном ремесле. По мнению экспертов эти компании занимаются разведкой и разработкой вредоносного ПО в интересах правительств и правоохранительных органов ряда стран. Целями Cytrox и его клиентов были политики и журналисты со всего мира, в том числе в Египте и Армении.
Полный цикл шпионского романа из уст исследователей Citizen Lab определенно стоит вашего внимания.
The Citizen Lab
Pegasus vs. Predator
Two Egyptians—exiled politician Ayman Nour and the host of a popular news program (who wishes to remain anonymous)—were hacked with Predator spyware, built and sold by the previously little-known mercenary spyware developer Cytrox. The phone of Ayman Nour…
Коварные хакеры из неназванной АРТ на днях препарировали и блокнули по итогу внутреннюю сеть федерального правительства США, точнее одного из его подразделений. Разбирались специалисты Avast.
Исследователи не стали называть ни конкретного актора, ни жертву атаки, но несмотря на это, жертва все же стала известна - Комиссия США по международной религиозной свободе (USCIRF).
Орган занимается мониторингом за соблюдением прав на свободу религии и убеждений за рубежом, консультируя по этим вопросам высшее руководство страны: Президента, Госсекретаря и конгрессменов. Стало быть, решают, кого похлопать по плечу, а на кого наложить санкции, определяя таким образом политику США в отношении нарушений прав человека.
Исследователи Avast обнаружили в сети следы двух вредоносных файлов, которые фактически предоставили злоумышленникам полный контроль над внутренними системами, перехватив фактически весь локальный сетевой трафик в этой организации. А значит, хакерам удалось провентилировать достаточно многие вопросы и изучить всю внутреннюю кухню USCIRF.
Как выяснилось, злоумышленники настолько виртуозно все сделали, что даже могут запускать код по своему выбору в контексте операционной системы на зараженных системах. Учитывая, что чешских специалистов так и не подпустили (по крайней мере, официально) к более предметным деталям инцидента, кроме двух файлов публике более не представлено никакой информации.
Первый файл маскируется под oci.dll и использует программу WinDivert для перехвата всех сетевых пакетов. Это позволяет злоумышленнику загрузить и запустить любой вредоносный код в зараженной системе. Основная задача этого загрузчика может заключаться в использовании привилегированных локальных прав для преодоления межсетевых экранов и мониторинга сети.
Второй файл также маскируется под oci.dll, он меняет первый загрузчик oci.dll и, вероятно, представляет собой другой, более поздний этап той же атаки. Его назначение - расшифровать и запустить в памяти файл SecurityHealthServer.dll.
Это показывает в целом на то, что атака проводилась как минимум в два этапа, о чем свидетельствуют две разные версии oci.dll, которые нашли исследователи.
Вместе с тем, это не помешало Avast признать атаку классической операцией типа APT и заметить и без того тонкую связь с отчетом Operation Red Signature от 2018 года, представленного компанией Trend Micro, поскольку вторая версия oci.dll имеет несколько общих маркеров и копирует функционал с rcview40u.dll, который использовался в той операции. Конечно же, на официальную атрибуцию не натянуть, но пальцем все же тыкнуть на потенциальных КНДР и КНР можно.
Учитывая, что USCIRF определенно играет одну из ключевых ролей, в том числе и в разжиганий религиозных конфликтов на территории КНР, напрашивается вывод о геополитических разборках руками АРТ, как это было, когда команда Insikt Group выявила киберкампанию, проводимую китайским актором против Ватикана и Католической епархии Гонконга, накануне предстоящих межгосударственных переговоров.
Исследователи не стали называть ни конкретного актора, ни жертву атаки, но несмотря на это, жертва все же стала известна - Комиссия США по международной религиозной свободе (USCIRF).
Орган занимается мониторингом за соблюдением прав на свободу религии и убеждений за рубежом, консультируя по этим вопросам высшее руководство страны: Президента, Госсекретаря и конгрессменов. Стало быть, решают, кого похлопать по плечу, а на кого наложить санкции, определяя таким образом политику США в отношении нарушений прав человека.
Исследователи Avast обнаружили в сети следы двух вредоносных файлов, которые фактически предоставили злоумышленникам полный контроль над внутренними системами, перехватив фактически весь локальный сетевой трафик в этой организации. А значит, хакерам удалось провентилировать достаточно многие вопросы и изучить всю внутреннюю кухню USCIRF.
Как выяснилось, злоумышленники настолько виртуозно все сделали, что даже могут запускать код по своему выбору в контексте операционной системы на зараженных системах. Учитывая, что чешских специалистов так и не подпустили (по крайней мере, официально) к более предметным деталям инцидента, кроме двух файлов публике более не представлено никакой информации.
Первый файл маскируется под oci.dll и использует программу WinDivert для перехвата всех сетевых пакетов. Это позволяет злоумышленнику загрузить и запустить любой вредоносный код в зараженной системе. Основная задача этого загрузчика может заключаться в использовании привилегированных локальных прав для преодоления межсетевых экранов и мониторинга сети.
Второй файл также маскируется под oci.dll, он меняет первый загрузчик oci.dll и, вероятно, представляет собой другой, более поздний этап той же атаки. Его назначение - расшифровать и запустить в памяти файл SecurityHealthServer.dll.
Это показывает в целом на то, что атака проводилась как минимум в два этапа, о чем свидетельствуют две разные версии oci.dll, которые нашли исследователи.
Вместе с тем, это не помешало Avast признать атаку классической операцией типа APT и заметить и без того тонкую связь с отчетом Operation Red Signature от 2018 года, представленного компанией Trend Micro, поскольку вторая версия oci.dll имеет несколько общих маркеров и копирует функционал с rcview40u.dll, который использовался в той операции. Конечно же, на официальную атрибуцию не натянуть, но пальцем все же тыкнуть на потенциальных КНДР и КНР можно.
Учитывая, что USCIRF определенно играет одну из ключевых ролей, в том числе и в разжиганий религиозных конфликтов на территории КНР, напрашивается вывод о геополитических разборках руками АРТ, как это было, когда команда Insikt Group выявила киберкампанию, проводимую китайским актором против Ватикана и Католической епархии Гонконга, накануне предстоящих межгосударственных переговоров.
Avast Threat Labs
Avast Finds Backdoor on US Government Commission Network - Avast Threat Labs
Avast has found a targeted attack on a small US federal government commission. Despite the fact that they did not cooperate with us, we were able to analyze two files involved in this attack.
Forwarded from SecurityLab.ru
В этом спецвыпуске мы посетили Positive Launch Day 2021.
Мероприятие было посвящено запуску инновационного решения от компании Positive Technologies — PT XDR.
Решение предназначено для обнаружения киберугроз и реагирования на них и помогает кратно ускорить реагирование на атаки.
https://www.youtube.com/watch?v=z3wChv7ycgg
Мероприятие было посвящено запуску инновационного решения от компании Positive Technologies — PT XDR.
Решение предназначено для обнаружения киберугроз и реагирования на них и помогает кратно ускорить реагирование на атаки.
https://www.youtube.com/watch?v=z3wChv7ycgg
YouTube
Спецвыпуск! PT XDR | 12+
💰📊👉 Новости об инвестициях в кибербезопасность предоставлены каналом It’s positive investing - https://news.1rj.ru/str/positive_investing
В этом спецвыпуске мы посетили Positive Launch Day 2021.
Мероприятие было посвящено запуску инновационного решения от компании…
В этом спецвыпуске мы посетили Positive Launch Day 2021.
Мероприятие было посвящено запуску инновационного решения от компании…
Очередная классика жанра, когда приборы, созданные для того, чтобы сделать жизнь более безопасной сами подвержены угрозам безопасности.
В этот раз угроза коснулась продукции для обнаружения металлов, небезызвестной компании Garrett из Техаса. Как оказалось ее арочные металлодетекторы GARRETT, которые продаются более чем в 100 странах мира подвержены потенциально серьезным уязвимостям и могут быть использованы для взлома устройств, а также изменения их конфигурации.
Металлодетекторы компании, которые видел почти каждый используются на стадионах, площадках для проведения мероприятий, школах, зданиях судов, больницах, тюрьмах и правительственных организациях почти во всей Европе, на Ближнем Востоке и в Австралии
Об угрозах безопасности сообщили специалисты из Cisco Talos, когда один из исследователей обнаружил несколько уязвимостей в модуле Garrett iC, который обеспечивает проводное или беспроводное сетевое соединение с PD 6500i - многозонными проходными металлодетекторами компании.
Так как поставщик выпустил исправления еще 13 декабря, Talos раскрыл информацию о семи уязвимостях, обнаруженных в модуле iC, пяти из которым был присвоен критический рейтинг серьезности.
Три баги в безопасности можно использовать без аутентификации, отправив на устройство специально созданный пакет, позволяющий злоумышленнику выполнить произвольный код. В Talos пояснили, что после эксплуатации уязвимостей злоумышленник может манипулировать этим модулем, чтобы удаленно отслеживать статистику, например, сработала ли тревога или сколько посетителей прошло, а также вносить изменения в конфигурацию металлодетектора, например изменять уровень чувствительности, что потенциально представляет угрозу безопасности для контролеров, которые полагаются на эти устройства.
Еще три недостатка позволяют аутентифицированному злоумышленнику читать, записывать или удалять файлы с устройства, а последняя бага может быть использована для взлома сеанса аутентифицированного пользователя.
Учитывая, что такие устройства преимущественно не подключены к интернету, соответственно для эксплуатации уязвимости злоумышленнику потребуется доступ к локальной сети.
В этот раз угроза коснулась продукции для обнаружения металлов, небезызвестной компании Garrett из Техаса. Как оказалось ее арочные металлодетекторы GARRETT, которые продаются более чем в 100 странах мира подвержены потенциально серьезным уязвимостям и могут быть использованы для взлома устройств, а также изменения их конфигурации.
Металлодетекторы компании, которые видел почти каждый используются на стадионах, площадках для проведения мероприятий, школах, зданиях судов, больницах, тюрьмах и правительственных организациях почти во всей Европе, на Ближнем Востоке и в Австралии
Об угрозах безопасности сообщили специалисты из Cisco Talos, когда один из исследователей обнаружил несколько уязвимостей в модуле Garrett iC, который обеспечивает проводное или беспроводное сетевое соединение с PD 6500i - многозонными проходными металлодетекторами компании.
Так как поставщик выпустил исправления еще 13 декабря, Talos раскрыл информацию о семи уязвимостях, обнаруженных в модуле iC, пяти из которым был присвоен критический рейтинг серьезности.
Три баги в безопасности можно использовать без аутентификации, отправив на устройство специально созданный пакет, позволяющий злоумышленнику выполнить произвольный код. В Talos пояснили, что после эксплуатации уязвимостей злоумышленник может манипулировать этим модулем, чтобы удаленно отслеживать статистику, например, сработала ли тревога или сколько посетителей прошло, а также вносить изменения в конфигурацию металлодетектора, например изменять уровень чувствительности, что потенциально представляет угрозу безопасности для контролеров, которые полагаются на эти устройства.
Еще три недостатка позволяют аутентифицированному злоумышленнику читать, записывать или удалять файлы с устройства, а последняя бага может быть использована для взлома сеанса аутентифицированного пользователя.
Учитывая, что такие устройства преимущественно не подключены к интернету, соответственно для эксплуатации уязвимости злоумышленнику потребуется доступ к локальной сети.
Вышедший в свет PoC для CVE-2021-42287 и CVE-2021-42278 вызывает большую обеспокоенность у разработчиков и клиентов Microsoft.
Дело в том, что исправленные ноябрьским Patch Tuesday ошибки Active Directory позволяют злоумышленникам получать административные привилегии и захватывать домены Windows.
Microsoft настоятельно предупреждает пользователей о необходимости незамедлительного решения обоих уязвимостей в кратчайшие сроки. IT-гигант также разработал отдельное руководство и предупреждение по эти проблемам.
Уязвимость CVE-2021-42278 с настройками по умолчанию дает обычному пользователю разрешение на изменение учетной записи компьютера (до 10 машин), и как его владелец, он также имеет права редактировать его атрибут sAMAccountName.
Вторая ошибка CVE-2021-42287 представляет собой уязвимость обхода безопасности, которая затрагивает сертификат атрибута привилегий Kerberos (PAC) и позволяет потенциальным злоумышленникам выдавать себя за контроллеры домена. Уязвимость приводит к тому, что центр распространения ключей (KDC) создает билеты службы с более высокими уровнями привилегий, чем у учетной записи домена. Это достигается тем, что KDC не может определить, для какой учетной записи предназначен билет службы с более высокими привилегиями.
Объединив обе уязвимости, злоумышленник может создать прямой путь к пользователю с правами администратора домена в среде Active Directory, где баги не пропатчены. По итогу атака позволяет злоумышленникам легко повысить свои привилегии до привилегий администратора домена, как только они скомпрометируют обычного пользователя.
Как всегда, мы настоятельно рекомендуем как можно скорее развернуть последние исправления на контроллерах домена и не испытывать судьбу.
Дело в том, что исправленные ноябрьским Patch Tuesday ошибки Active Directory позволяют злоумышленникам получать административные привилегии и захватывать домены Windows.
Microsoft настоятельно предупреждает пользователей о необходимости незамедлительного решения обоих уязвимостей в кратчайшие сроки. IT-гигант также разработал отдельное руководство и предупреждение по эти проблемам.
Уязвимость CVE-2021-42278 с настройками по умолчанию дает обычному пользователю разрешение на изменение учетной записи компьютера (до 10 машин), и как его владелец, он также имеет права редактировать его атрибут sAMAccountName.
Вторая ошибка CVE-2021-42287 представляет собой уязвимость обхода безопасности, которая затрагивает сертификат атрибута привилегий Kerberos (PAC) и позволяет потенциальным злоумышленникам выдавать себя за контроллеры домена. Уязвимость приводит к тому, что центр распространения ключей (KDC) создает билеты службы с более высокими уровнями привилегий, чем у учетной записи домена. Это достигается тем, что KDC не может определить, для какой учетной записи предназначен билет службы с более высокими привилегиями.
Объединив обе уязвимости, злоумышленник может создать прямой путь к пользователю с правами администратора домена в среде Active Directory, где баги не пропатчены. По итогу атака позволяет злоумышленникам легко повысить свои привилегии до привилегий администратора домена, как только они скомпрометируют обычного пользователя.
Как всегда, мы настоятельно рекомендуем как можно скорее развернуть последние исправления на контроллерах домена и не испытывать судьбу.
TECHCOMMUNITY.MICROSOFT.COM
SAM Name impersonation | Microsoft Community Hub
During the November security update cycle, Microsoft released a patch for two new vulnerabilities, CVE-2021-42287 and CVE-2021-42278. Both vulnerabilities...
Как мы и предполагали, по прошествии определенного времени после хаоса, возникшего в сфере инфосек после обнаружения в начале декабря уязвимостей Log4j, начинают всплывать реальные последствия киберпандемии.
Log4Shell начал активно использоваться для заражения устройств Windows трояном Dridex и Linux с помощью Meterpreter. Хакеры используют вариант эксплойта Log4j RMI (Remote Method Invocation), чтобы заставить уязвимые устройства загружать и выполнять Java с удаленного сервера, управляемого злоумышленником.
Malware представляет собой банковский троян, изначально разработанный для кражи учетных данных клиентов онлайн-банкинга, а впоследствии вобравший в себя функции загрузчика различных модулей, в том числе для развертывания полезных нагрузок, распространения на другие устройства, слежения и др. вредоносных функций, самые болезненные из которых - вновь ransomware. На памяти BitPaymer, DoppelPaymer и Evil Corp уже встречались в связке с Dridex.
И без этого Log4Shell уже вовсю вошел в арсенал вымогателей, отличись Conti, которые наряду с Lockbit опустились в рейтинге ransomware, заняв строчки ниже более активных вымогателей PYSA, согласно последнему отчету ФБР США и данным NCC Group, но тем не менее отметились в квесте Log4Jam. В реальности Log4Shell станет настоящей находкой и реальным шансом на успех для новой банды вымогателей Everest, которые вместо слива украденных данных продают доступ к корпоративной сети жертвы другим злоумышленникам, в случае неполучения выкупа.
И вот, как мы и предполагали, очередной жертвой стали бельгийские военные заявили, которые на протяжении недели пытаются восстановить свою инфраструктуру после разрушительной атаки. Пока неизвестен виновник инцидента и то, какие конкретно системы и как глубоко пострадали, однако точно понятно, что что злоумышленники использовали уязвимости в Log4j.
Еще раз отметим, что DLS для всех жертв ransomware вполне может не хватить, успевайте обновиться и просканить системы на предмет компрометации, дабы не занять места с ними по соседству.
Log4Shell начал активно использоваться для заражения устройств Windows трояном Dridex и Linux с помощью Meterpreter. Хакеры используют вариант эксплойта Log4j RMI (Remote Method Invocation), чтобы заставить уязвимые устройства загружать и выполнять Java с удаленного сервера, управляемого злоумышленником.
Malware представляет собой банковский троян, изначально разработанный для кражи учетных данных клиентов онлайн-банкинга, а впоследствии вобравший в себя функции загрузчика различных модулей, в том числе для развертывания полезных нагрузок, распространения на другие устройства, слежения и др. вредоносных функций, самые болезненные из которых - вновь ransomware. На памяти BitPaymer, DoppelPaymer и Evil Corp уже встречались в связке с Dridex.
И без этого Log4Shell уже вовсю вошел в арсенал вымогателей, отличись Conti, которые наряду с Lockbit опустились в рейтинге ransomware, заняв строчки ниже более активных вымогателей PYSA, согласно последнему отчету ФБР США и данным NCC Group, но тем не менее отметились в квесте Log4Jam. В реальности Log4Shell станет настоящей находкой и реальным шансом на успех для новой банды вымогателей Everest, которые вместо слива украденных данных продают доступ к корпоративной сети жертвы другим злоумышленникам, в случае неполучения выкупа.
И вот, как мы и предполагали, очередной жертвой стали бельгийские военные заявили, которые на протяжении недели пытаются восстановить свою инфраструктуру после разрушительной атаки. Пока неизвестен виновник инцидента и то, какие конкретно системы и как глубоко пострадали, однако точно понятно, что что злоумышленники использовали уязвимости в Log4j.
Еще раз отметим, что DLS для всех жертв ransomware вполне может не хватить, успевайте обновиться и просканить системы на предмет компрометации, дабы не занять места с ними по соседству.
Twitter
Cryptolaemus
We have verified distribution of #Dridex 22203 on Windows via #Log4j #Log4Shell. Class > MSHTA > VBS > rundll32. Class: virustotal.com/gui/url/d13029… Payload URLs: urlhaus.abuse.ch/browse/tag/222… DLL sample: bazaar.abuse.ch/sample/ee14add… HTA > DLL run:…
Под ширмой истерии вокруг Log4Shell тлеет и периодически разгорается настоящая кибервойна, ну вы помните.
На этот раз иранской хакерской группе SharpBoys удалось взломать ряд крупных израильских сайтов и опубликовать личную информацию о более чем четырех миллионах израильтян, в том числе и достаточно высокопоставленных и известных персон.
На этот раз иранской хакерской группе SharpBoys удалось взломать ряд крупных израильских сайтов и опубликовать личную информацию о более чем четырех миллионах израильтян, в том числе и достаточно высокопоставленных и известных персон.
- Партнёрский пост -
Крутая карьерная возможность для высококлассного пентестера – ищет команда ИБ «Лаборатории Касперского».
Вы будете проводить сканирование уязвимостей, оценивать их критичность, придумывать планы по устранению новых и развивать внутренние системы автоматизированного контроля. Скучно не будет.
Что нужно у(и)меть:
- Высшее техническое образование, разговорный английский
- Опыт в области практического анализа защищенности и тестирования на проникновение от 5 лет
- Опыт выявления и эксплуатации уязвимостей Web и сетевых приложениях
- Знание и опыт применения методик анализа защищенности (PTES, MITRE ATT&CK, OWASP)
- Знание скриптовых языков программирования (для автоматизации рутины, написания Proof of Concept).
За это вас ждет клевый офис и спортзал, щедрая страховка и постоянное обучение, вкусный кофе и крутая команда!
Откликаться тут: https://hh.ru/vacancy/50586314
Крутая карьерная возможность для высококлассного пентестера – ищет команда ИБ «Лаборатории Касперского».
Вы будете проводить сканирование уязвимостей, оценивать их критичность, придумывать планы по устранению новых и развивать внутренние системы автоматизированного контроля. Скучно не будет.
Что нужно у(и)меть:
- Высшее техническое образование, разговорный английский
- Опыт в области практического анализа защищенности и тестирования на проникновение от 5 лет
- Опыт выявления и эксплуатации уязвимостей Web и сетевых приложениях
- Знание и опыт применения методик анализа защищенности (PTES, MITRE ATT&CK, OWASP)
- Знание скриптовых языков программирования (для автоматизации рутины, написания Proof of Concept).
За это вас ждет клевый офис и спортзал, щедрая страховка и постоянное обучение, вкусный кофе и крутая команда!
Откликаться тут: https://hh.ru/vacancy/50586314
hh.ru
Вакансия Эксперт по тестированию на проникновение в Москве, работа в компании Лаборатория Касперского (вакансия в архиве c 27 января…
Зарплата: не указана. Москва. Требуемый опыт: 3–6 лет. Полная занятость. Дата публикации: 20.12.2021.
Уголок политинформаци.
Associated Press сообщает, что Citizen Lab, ранее неоднократно публиковавшие данные о неправомерном использовании спецслужбами различных стран кибершпионского ПО Pegasus от израильской NSO Group, обвинила польские власти в слежке за двумя критиками польско-качиньского режыма - адвокатом Романом Гертых и прокурором Евой Врзосек - в самый канун парламентских выборов 2019 года. Само собой с использованием этого самого Pegasus.
Журналисты называли этот прецедент "эрозией демократии". Официальный представитель польских спецслужб Станислав Зарын опроверг обвинения и назвал их необоснованными.
Напомним, что летом Citizen Lab обвинили власти Венгрии во взломе, по меньшей мере, десяти местных оппозиционеров с помощью ПО от NSO Group.
К чему мы все это - нет никакой разницы между режимами "демократическими" и "недемократическими". Каждая власть применяет все доступные ей средства, чтобы остаться властью. Каждая власть транслирует только ту точку зрения, которая выгодна ей. В том числе и в области информационной безопасности.
Поэтому когда в следующий раз прочитаете про то, что "наблюдается активное использование Log4Shell прогосударственными хакерами из Китая, Ирана, России, КНДР (и немножечко из Турции)", то имейте в виду, что это не значит, что британские или израильские APT ее не используют. Еще как используют, просто про это не напишут "принципиальные" инфосек эксперты и журналисты.
Что же касается американских спецслужб, то тут - да, они действительно сейчас Log4Shell не эксплуатируют. Потому что они ее сами в Apache и засунули, к гадалке не ходи.
Dixi, kurwa.
Associated Press сообщает, что Citizen Lab, ранее неоднократно публиковавшие данные о неправомерном использовании спецслужбами различных стран кибершпионского ПО Pegasus от израильской NSO Group, обвинила польские власти в слежке за двумя критиками польско-качиньского режыма - адвокатом Романом Гертых и прокурором Евой Врзосек - в самый канун парламентских выборов 2019 года. Само собой с использованием этого самого Pegasus.
Журналисты называли этот прецедент "эрозией демократии". Официальный представитель польских спецслужб Станислав Зарын опроверг обвинения и назвал их необоснованными.
Напомним, что летом Citizen Lab обвинили власти Венгрии во взломе, по меньшей мере, десяти местных оппозиционеров с помощью ПО от NSO Group.
К чему мы все это - нет никакой разницы между режимами "демократическими" и "недемократическими". Каждая власть применяет все доступные ей средства, чтобы остаться властью. Каждая власть транслирует только ту точку зрения, которая выгодна ей. В том числе и в области информационной безопасности.
Поэтому когда в следующий раз прочитаете про то, что "наблюдается активное использование Log4Shell прогосударственными хакерами из Китая, Ирана, России, КНДР (и немножечко из Турции)", то имейте в виду, что это не значит, что британские или израильские APT ее не используют. Еще как используют, просто про это не напишут "принципиальные" инфосек эксперты и журналисты.
Что же касается американских спецслужб, то тут - да, они действительно сейчас Log4Shell не эксплуатируют. Потому что они ее сами в Apache и засунули, к гадалке не ходи.
Dixi, kurwa.
AP NEWS
AP Exclusive: Polish opposition duo hacked with NSO spyware
WARSAW, Poland (AP) — The aggressive cellphone break-ins of a high-profile lawyer representing top Polish opposition figures came in the final weeks of pivotal 2019 parliamentary elections. Two years later, a prosecutor challenging attempts by the populist…
Порция дыр в очередном продукте от Microsoft.
Специалистами по кибербезопасности из Positive Security обнаружены критические уязвимости в популярной платформе бизнес-коммуникаций Microsoft Teams. Речь идет о четырех недостатках безопасности, которые могут быть использованы злоумышленником для подделки предварительного просмотра ссылок, утечки IP-адресов, доступа к внутренним службам, а также DoS приложений.
По непонятным причинам из четырех уязвимостей Microsoft устранила только одну, которая приводит к утечке IP-адресов с девайсов под управлением Android, при этом софтверный гигант отмечает, что исправление ошибки отказа в обслуживании (DoS) будет рассмотрено в будущей версии продукта.
Главный же недостаток связан с уязвимостью подделки запросов на стороне сервера (SSRF), которая может быть использована для получения информации из локальной сети Microsoft.
Также не менее критичная ошибка обнаружена в функции предварительного просмотра ссылок, которые в свою очередь могут быть изменены так, чтобы указывать на любой URL, при этом изображение предварительного просмотра и описание основной ссылки остаются неизменными, что позволяет злоумышленникам скрывать вредоносные ссылки и проводить более качественные фишинговые атаки.
Пусть обнаруженные уязвимости имеют ограниченное влияние, тем не менее эпично наблюдать, когда такие простые векторы атак не тестировались разработчиками раньше, и что у Microsoft нет желания или ресурсов для защиты своих пользователей от них.
Специалистами по кибербезопасности из Positive Security обнаружены критические уязвимости в популярной платформе бизнес-коммуникаций Microsoft Teams. Речь идет о четырех недостатках безопасности, которые могут быть использованы злоумышленником для подделки предварительного просмотра ссылок, утечки IP-адресов, доступа к внутренним службам, а также DoS приложений.
По непонятным причинам из четырех уязвимостей Microsoft устранила только одну, которая приводит к утечке IP-адресов с девайсов под управлением Android, при этом софтверный гигант отмечает, что исправление ошибки отказа в обслуживании (DoS) будет рассмотрено в будущей версии продукта.
Главный же недостаток связан с уязвимостью подделки запросов на стороне сервера (SSRF), которая может быть использована для получения информации из локальной сети Microsoft.
Также не менее критичная ошибка обнаружена в функции предварительного просмотра ссылок, которые в свою очередь могут быть изменены так, чтобы указывать на любой URL, при этом изображение предварительного просмотра и описание основной ссылки остаются неизменными, что позволяет злоумышленникам скрывать вредоносные ссылки и проводить более качественные фишинговые атаки.
Пусть обнаруженные уязвимости имеют ограниченное влияние, тем не менее эпично наблюдать, когда такие простые векторы атак не тестировались разработчиками раньше, и что у Microsoft нет желания или ресурсов для защиты своих пользователей от них.
positive.security
MS Teams: 1 feature, 4 vulnerabilities | Positive Security
Microsoft Team's link preview feature is susceptible to spoofing and vulnerable to Server-Side Request Forgery. Team's Android users can be DoS'ed and, in the past, their IP address could be leaked.
К 2025 году в сети будут функционировать более 40 миллиардов IoT-устройств, которые потенциально в совокупности будут представлять серьезный инструмент для майнинга криптовалют и организации масштабных DDoS-атак.
К таким и не только выводам пришли исследователи из NIST и Университета Флориды по итогам 3-х летнего эксперимента с расстановкой Honeypot, имитирующих различные типы устройств Интернета вещей, в различных локациях и форматах. Благодаря кластеризации сгенерированных в ходе исследований данных специалисты получили четкое представление о том, почему хакеры нацелены на те или иные устройства.
Устройства IoT - это динамично развивающийся рынок, который охватывает в себя такие популярные у пользователей устройства, как камеры, освещение, дверные звонки, интеллектуальные телевизоры, датчики движения, динамики, термостаты и многое другое.
Исследовательская экосистема из Honeypot включала инфраструктуру из серверов, систем сбора, проверки и анализа данных, включая Cowrie, Dionaea, KFSensor и HoneyCamera, которые представляют собой готовые эмуляторы приманок для Интернета вещей, которые отображались в Censys и Shodan как реальные устройства.
При этом применялись 3 основных типа приманок: HoneyShell (эмуляция Busybox), HoneyWindowsBox (эмуляция устройств Интернета вещей под управлением Windows) и HoneyCamera (эмуляция различных IP-камер Hikvision, D-Link и других устройств). Все Honeypot реагировали соответствующим образом на трафик злоумышленников и их атаки, что позволило исследователям обнаружить реакцию акторов на изменения конфигураций защиты IoT, происходившие в момент их обращзений.
В ходе эксперимента было зафиксировано и проанализировано более 22,6 миллионов обращений, подавляющее большинство из которых было нацелено на HoneyShell. При этом злоумышленники в целом демонстрировали схожие модели атак.
Например, большинство акторов инициировали такие команды, как masscan для поиска открытых портов и /etc/init.d/iptables stop для отключения межсетевых экранов, а также free-m, lspci grep VGA и cat/proc/cpuinfo для сбора информации о спецификации целевого устройства. И почти миллион раз хакеры проверяли комбинацию аутентификационных данных «admin/1234».
87% всех атак имели цель проверки этой комбинации, в то время как 314 112 (13%) обращений были связаны с выполнением иных команд внутри приманки.
Исследователи обнаружили, что атаки на HoneyShell и HoneyCamera имели конечной целью организацию DDoS, были рекрутированы в ботнет Mirai или использовались в качестве майнера крипты. Последняя схема была свойственна в основном HoneyWindowsBox, словившую вирусы, дропперы и трояны.
Намеренно оставив уязвимость раскрытия учетных данных в HoneyCamera, исследователи обнаружили, что 29 злоумышленников эксплуатировали багу вручную.
Многих негативных сценариев в случае атак на IoT-устройства можно избежать, если соблюдать определённые условия их использования: менять дефолтные учетные данные, выделить IoT в отдельную сеть, закрыть ее брандмауэрами или VPN и своевременно обновлять прошивку.
К таким и не только выводам пришли исследователи из NIST и Университета Флориды по итогам 3-х летнего эксперимента с расстановкой Honeypot, имитирующих различные типы устройств Интернета вещей, в различных локациях и форматах. Благодаря кластеризации сгенерированных в ходе исследований данных специалисты получили четкое представление о том, почему хакеры нацелены на те или иные устройства.
Устройства IoT - это динамично развивающийся рынок, который охватывает в себя такие популярные у пользователей устройства, как камеры, освещение, дверные звонки, интеллектуальные телевизоры, датчики движения, динамики, термостаты и многое другое.
Исследовательская экосистема из Honeypot включала инфраструктуру из серверов, систем сбора, проверки и анализа данных, включая Cowrie, Dionaea, KFSensor и HoneyCamera, которые представляют собой готовые эмуляторы приманок для Интернета вещей, которые отображались в Censys и Shodan как реальные устройства.
При этом применялись 3 основных типа приманок: HoneyShell (эмуляция Busybox), HoneyWindowsBox (эмуляция устройств Интернета вещей под управлением Windows) и HoneyCamera (эмуляция различных IP-камер Hikvision, D-Link и других устройств). Все Honeypot реагировали соответствующим образом на трафик злоумышленников и их атаки, что позволило исследователям обнаружить реакцию акторов на изменения конфигураций защиты IoT, происходившие в момент их обращзений.
В ходе эксперимента было зафиксировано и проанализировано более 22,6 миллионов обращений, подавляющее большинство из которых было нацелено на HoneyShell. При этом злоумышленники в целом демонстрировали схожие модели атак.
Например, большинство акторов инициировали такие команды, как masscan для поиска открытых портов и /etc/init.d/iptables stop для отключения межсетевых экранов, а также free-m, lspci grep VGA и cat/proc/cpuinfo для сбора информации о спецификации целевого устройства. И почти миллион раз хакеры проверяли комбинацию аутентификационных данных «admin/1234».
87% всех атак имели цель проверки этой комбинации, в то время как 314 112 (13%) обращений были связаны с выполнением иных команд внутри приманки.
Исследователи обнаружили, что атаки на HoneyShell и HoneyCamera имели конечной целью организацию DDoS, были рекрутированы в ботнет Mirai или использовались в качестве майнера крипты. Последняя схема была свойственна в основном HoneyWindowsBox, словившую вирусы, дропперы и трояны.
Намеренно оставив уязвимость раскрытия учетных данных в HoneyCamera, исследователи обнаружили, что 29 злоумышленников эксплуатировали багу вручную.
Многих негативных сценариев в случае атак на IoT-устройства можно избежать, если соблюдать определённые условия их использования: менять дефолтные учетные данные, выделить IoT в отдельную сеть, закрыть ее брандмауэрами или VPN и своевременно обновлять прошивку.
- Партнерский пост -
В пятом (и завершающем) отчете исследования Hi-Tech Crime Trends 2021/2022 аналитики CERT-GIB и Group-IB Digital Risk Protection раскрыли современные тенденции фишинга и мошенничества, разобрали преступные схемы, инструменты и инфраструктуру злоумышленников.
По данным Group-IB, в условиях продолжающейся пандемии коронавируса 74,5% всех кибератак за изученный период приходились именно на скам и фишинг, в то время как оставшиеся 25,5% перекрывали высокотехнологичные преступления. Потери пользователей, по оценкам экспертов Group-IB, могут составлять до $80 млн в месяц.
Только силами Group-IB инициирована блокировка более 14 000 фишинговых ресурсов, расположенных на 12 000 уникальных доменов. При этом 20% фишинга было реализовано посредством взломанных легитимных ресурсов.
Все более популярный среди хакеров фишинг показывает рост на 18% по сравнению с предыдущим аналогичным периодом.
Во многом такая негативная тенденция складывается благодаря распространению партнерской модели Phishing-as-a-Service. Схема базируется на выгодных (а иногда даже бесплатных) предложениях покупки или аренды готовых фишинговых сайтов/скриптов, фишинговых панелей и решений для быстрой монетизации краденых данных. Конечно, не обходится без кидалова, когда соискатели быстрых заработков сами становятся жертвами мошенников.
Предпочтения при этом злоумышленники отдавали популярным среди пользователей онлайн-сервисам (25%) и социальным сетям (22,6%), доступ в которые многие современные юзеры используют для аутентификации и на других площадках.
Грибам также удалось отследить одну из самых масштабных, длительных и технически продвинутых гибридных кампаний в мире - Classiscam («Мамонт» или «Курьер» в России). На конец 2021 года по этой схеме работают до 70 активных партнерских программ, а под атакой оказался 71 международный бренд из 36 стран.
При этом отработанные техники Classiscam по факту позволили хакерам возродить старые схемы с кражей денежных средств под видом приглашения на свидание. Грибы обнаружили более 700 доменов фейковых сайтов театров, стендап-шоу, ресторанов, кинотеатров.
Самое печальное, что порог входа в фишинг начал снижаться. Популярность партнерки Scam-as-a-Service привела к масштабированию мошеннических схем на международный уровень и пополнению рядов хакеров новичками-новобранцами, не обладающими особыми навыками для проведения скам-атак. От воркеров (т. е. исполнителей) требуется лишь направлять новых жертв на уже созданные мошеннические ресурсы и откатывать процент разработчикам инструментов для скама.
Растет и число жертв таргетированного мошенничества, когда для каждого конкретного пользователя генерируется отдельная ссылка. Такая схема замечена более чем в 100 странах мира, а в качестве приманки используются более 120 брендов.
В рамках масштабирования преступного бизнеса злоумышленники продвигают фишинговые ресурсы при помощи QR-кодов, СМС, рекламы в поисковых системах. В целях конспирации используют легитимные сервисы с функцией рассылки по почте (Google Forms, Jivo, Wordpress и другие), а также техники iframe для подгрузки фишингового контента со стороннего ресурса.
Оптимизм внушает то, что в первом полугодии 2021 года по сравнению со вторым полугодием 2020-го использование русских хостингов для фишинга уменьшилось в 7 раз, что свидетельствует об эффективности мер по блокировке фишинговых ресурсов.
В общем, пятый отчет не должен пройти незамеченным, в особенности он актуален для ритейлеров и участников рынка Е-Commerce. Скачать можно здесь
В пятом (и завершающем) отчете исследования Hi-Tech Crime Trends 2021/2022 аналитики CERT-GIB и Group-IB Digital Risk Protection раскрыли современные тенденции фишинга и мошенничества, разобрали преступные схемы, инструменты и инфраструктуру злоумышленников.
По данным Group-IB, в условиях продолжающейся пандемии коронавируса 74,5% всех кибератак за изученный период приходились именно на скам и фишинг, в то время как оставшиеся 25,5% перекрывали высокотехнологичные преступления. Потери пользователей, по оценкам экспертов Group-IB, могут составлять до $80 млн в месяц.
Только силами Group-IB инициирована блокировка более 14 000 фишинговых ресурсов, расположенных на 12 000 уникальных доменов. При этом 20% фишинга было реализовано посредством взломанных легитимных ресурсов.
Все более популярный среди хакеров фишинг показывает рост на 18% по сравнению с предыдущим аналогичным периодом.
Во многом такая негативная тенденция складывается благодаря распространению партнерской модели Phishing-as-a-Service. Схема базируется на выгодных (а иногда даже бесплатных) предложениях покупки или аренды готовых фишинговых сайтов/скриптов, фишинговых панелей и решений для быстрой монетизации краденых данных. Конечно, не обходится без кидалова, когда соискатели быстрых заработков сами становятся жертвами мошенников.
Предпочтения при этом злоумышленники отдавали популярным среди пользователей онлайн-сервисам (25%) и социальным сетям (22,6%), доступ в которые многие современные юзеры используют для аутентификации и на других площадках.
Грибам также удалось отследить одну из самых масштабных, длительных и технически продвинутых гибридных кампаний в мире - Classiscam («Мамонт» или «Курьер» в России). На конец 2021 года по этой схеме работают до 70 активных партнерских программ, а под атакой оказался 71 международный бренд из 36 стран.
При этом отработанные техники Classiscam по факту позволили хакерам возродить старые схемы с кражей денежных средств под видом приглашения на свидание. Грибы обнаружили более 700 доменов фейковых сайтов театров, стендап-шоу, ресторанов, кинотеатров.
Самое печальное, что порог входа в фишинг начал снижаться. Популярность партнерки Scam-as-a-Service привела к масштабированию мошеннических схем на международный уровень и пополнению рядов хакеров новичками-новобранцами, не обладающими особыми навыками для проведения скам-атак. От воркеров (т. е. исполнителей) требуется лишь направлять новых жертв на уже созданные мошеннические ресурсы и откатывать процент разработчикам инструментов для скама.
Растет и число жертв таргетированного мошенничества, когда для каждого конкретного пользователя генерируется отдельная ссылка. Такая схема замечена более чем в 100 странах мира, а в качестве приманки используются более 120 брендов.
В рамках масштабирования преступного бизнеса злоумышленники продвигают фишинговые ресурсы при помощи QR-кодов, СМС, рекламы в поисковых системах. В целях конспирации используют легитимные сервисы с функцией рассылки по почте (Google Forms, Jivo, Wordpress и другие), а также техники iframe для подгрузки фишингового контента со стороннего ресурса.
Оптимизм внушает то, что в первом полугодии 2021 года по сравнению со вторым полугодием 2020-го использование русских хостингов для фишинга уменьшилось в 7 раз, что свидетельствует об эффективности мер по блокировке фишинговых ресурсов.
В общем, пятый отчет не должен пройти незамеченным, в особенности он актуален для ритейлеров и участников рынка Е-Commerce. Скачать можно здесь
Group-IB
Research Hub
Deep dives on previously unknown APTs, insights into the most recent cybersecurity trends and technologies, and predictions and recommendations that can help shape your security strategy.
В службе приложений Microsoft Azure была обнаружена уязвимость безопасности, в результате которой исходный код клиентских приложений, написанных на Java, Node, PHP, Python и Ruby, был открыт как минимум четыре года.
Об уязвимости под кодовым названием NotLegit сообщили исследователи из Wiz еще в октябре 2021 года, а в ноябре софтверным гигантом уже были приняты меры для исправления ошибки раскрытия информации.
В Microsoft заявили, что риску подверглась крайне ограниченная группа клиентов, а именно те, кто развернули код в App Service Linux через локальный Git только после того, как файлы были созданы в корневом каталоге приложения.
Собственно небезопасное поведение в службе приложений Azure возникает по умолчанию, когда для развертывания используется метод Local Git, в результате которого отрабатывается сценарий, где репозиторий Git создается в общедоступном каталоге (home/site /wwwroot).
По сути все, что нужно было сделать злоумышленнику - это получить каталог /.git из целевого приложения и получить его исходный код. Использовалась ли бага в дикой природе доподлинно не известно, но как мы знаем Интернет постоянно сканируют, в том числе и в поисках открытых папок Git, из которых можно собирать сведения или иную интеллектуальную собственность.
Кроме того, часто бывает, когда исходники содержат пароли и токены доступа, утечка которых может быть использована для более изощренных атак.
Об уязвимости под кодовым названием NotLegit сообщили исследователи из Wiz еще в октябре 2021 года, а в ноябре софтверным гигантом уже были приняты меры для исправления ошибки раскрытия информации.
В Microsoft заявили, что риску подверглась крайне ограниченная группа клиентов, а именно те, кто развернули код в App Service Linux через локальный Git только после того, как файлы были созданы в корневом каталоге приложения.
Собственно небезопасное поведение в службе приложений Azure возникает по умолчанию, когда для развертывания используется метод Local Git, в результате которого отрабатывается сценарий, где репозиторий Git создается в общедоступном каталоге (home/site /wwwroot).
По сути все, что нужно было сделать злоумышленнику - это получить каталог /.git из целевого приложения и получить его исходный код. Использовалась ли бага в дикой природе доподлинно не известно, но как мы знаем Интернет постоянно сканируют, в том числе и в поисках открытых папок Git, из которых можно собирать сведения или иную интеллектуальную собственность.
Кроме того, часто бывает, когда исходники содержат пароли и токены доступа, утечка которых может быть использована для более изощренных атак.
wiz.io
NotLegit: Azure App Service vulnerability exposed hundreds of source code repositories | Wiz Blog
Read about the NotLegit vulnerability discovered by the Wiz Research Team, where the Azure App Service exposed hundreds of source code repositories.
Forwarded from Social Engineering
💬 true story... Social Engineering.
Вопрос не в том «Взломают Вас или нет?», а «Насколько быстро Вы сможете обнаружить, что Вас уже взломали?!»
• Основатель компании The Security Awareness Уинн Швартау занимается аудитом более 25 лет. К нему обычно приходят за экспертной оценкой уже проведенных мероприятий по усилению безопасности. Однажды его попросили сделать это для крупного финансового учреждения в Нью-Йорке. Дело в том, что сотрудников банка только что напугали предыдущие аудиторы, которые нашли тонну проблем. Целый месяц весь персонал инструктировали на интенсивных тренингах. Сотрудники стали настоящими параноиками: не открывают подозрительных писем, не переходят по фишинговым ссылкам, не подбирают флешки, не разглашают ничего по телефону и строго следуют должностным инструкциям.
• «Да это же идеальные жертвы!» — подумал Швартау и принялся за работу. Он скопировал с сайта компании образец шапки делового письма, там же взял часть адресов обычной почты сотрудников, а остальные узнал из справочников. Вместе с помощниками Швартау составил примерно 1200 персонально адресованных бумажных писем, напечатал их на самодельных бланках проверяемой организации и отправил старым дедовским способом.
• В каждом письме говорилось, что недавно репутация их компании сильно пострадала из-за действий отдельных сотрудников, пренебрегавших элементарными мерами безопасности. Руководство не может допустить новых проколов, поэтому идет на беспрецедентные меры.
• Далее для усыпления бдительности следовал детальный план с обилием технических терминов, которые офисный сотрудник вряд ли сможет понять. Затем шла стандартная просьба информировать обо всех подозрительных действиях. В заключение письма говорилось, что с ИТ-отделом и службой безопасности теперь требуется общаться только посредством физической почты, так как это единственный канал связи, недоступный хакерам.
• P.S: указанный адрес не принадлежит компании, чтобы эти письма никто не мог вычислить и перехватить. «Мы будем помещать их в надежно охраняемый почтовый ящик, доступ к которому будет только у руководства и службы безопасности" — говорилось в письме. — "Прямо сейчас вам надлежит прислать свои учетные данные, чтобы мы проверили их вручную и завершили обновление системы». 30% сотрудников ответили на следующий же день, указав в письме все свои данные. Ни один тренинг не помог им понять, что и в 21 веке хакер может отправить письмо на бумаге.
• Вывод: Как бы долго и тщательно организация ни тренировала людей, какие бы административные и технические меры в ней ни принимались, она никогда не достигнет 100% защищенности. Любые высокие показатели безопасности — лишь временный эффект. Люди делают определенные выводы, становятся осторожнее, но не могут эффективно сопротивляться свойствам своей натуры. Каждый раз, сталкиваясь с необходимостью принять безотлагательное решение, испытывая жажду легкой наживы или страх чего угодно, они делают уязвимыми себя и свою компанию. Твой S.E. #СИ #Пентест #Взлом.
Вопрос не в том «Взломают Вас или нет?», а «Насколько быстро Вы сможете обнаружить, что Вас уже взломали?!»
🖖🏻 Приветствую тебя user_name.• Бывает, что одну фирму нанимают проверить качество работы другой. Когда речь идет о социальной инженерии, это особенно актуальная практика.
• Основатель компании The Security Awareness Уинн Швартау занимается аудитом более 25 лет. К нему обычно приходят за экспертной оценкой уже проведенных мероприятий по усилению безопасности. Однажды его попросили сделать это для крупного финансового учреждения в Нью-Йорке. Дело в том, что сотрудников банка только что напугали предыдущие аудиторы, которые нашли тонну проблем. Целый месяц весь персонал инструктировали на интенсивных тренингах. Сотрудники стали настоящими параноиками: не открывают подозрительных писем, не переходят по фишинговым ссылкам, не подбирают флешки, не разглашают ничего по телефону и строго следуют должностным инструкциям.
• «Да это же идеальные жертвы!» — подумал Швартау и принялся за работу. Он скопировал с сайта компании образец шапки делового письма, там же взял часть адресов обычной почты сотрудников, а остальные узнал из справочников. Вместе с помощниками Швартау составил примерно 1200 персонально адресованных бумажных писем, напечатал их на самодельных бланках проверяемой организации и отправил старым дедовским способом.
• В каждом письме говорилось, что недавно репутация их компании сильно пострадала из-за действий отдельных сотрудников, пренебрегавших элементарными мерами безопасности. Руководство не может допустить новых проколов, поэтому идет на беспрецедентные меры.
• Далее для усыпления бдительности следовал детальный план с обилием технических терминов, которые офисный сотрудник вряд ли сможет понять. Затем шла стандартная просьба информировать обо всех подозрительных действиях. В заключение письма говорилось, что с ИТ-отделом и службой безопасности теперь требуется общаться только посредством физической почты, так как это единственный канал связи, недоступный хакерам.
• P.S: указанный адрес не принадлежит компании, чтобы эти письма никто не мог вычислить и перехватить. «Мы будем помещать их в надежно охраняемый почтовый ящик, доступ к которому будет только у руководства и службы безопасности" — говорилось в письме. — "Прямо сейчас вам надлежит прислать свои учетные данные, чтобы мы проверили их вручную и завершили обновление системы». 30% сотрудников ответили на следующий же день, указав в письме все свои данные. Ни один тренинг не помог им понять, что и в 21 веке хакер может отправить письмо на бумаге.
• Вывод: Как бы долго и тщательно организация ни тренировала людей, какие бы административные и технические меры в ней ни принимались, она никогда не достигнет 100% защищенности. Любые высокие показатели безопасности — лишь временный эффект. Люди делают определенные выводы, становятся осторожнее, но не могут эффективно сопротивляться свойствам своей натуры. Каждый раз, сталкиваясь с необходимостью принять безотлагательное решение, испытывая жажду легкой наживы или страх чего угодно, они делают уязвимыми себя и свою компанию. Твой S.E. #СИ #Пентест #Взлом.
Сравнивая математику инцидентов, связанных с утечкой данных 4 млн. (о котором мы писали еще позавчера) и 637 тыс. пользователей, можно ошибиться, ведь слитые в сеть данные на 637 138 граждан Албании затрагивают по факту более 22% всего населения страны.
Премьер-министр страны Эди Рама подтвердил инцидент и официально принес извинения за утечку, в результате которой была раскрыта личная информация граждан, включая также имена, номера удостоверений личности, зарплаты, должности и имена работодателей.
Файл в формате Excel начал распространяться с выходных в WhatsApp и Telegram, в том числе на теневых площадках со скамом. После его изучения, стало понятно, что это налоговые отчеты переданные бизнесом в правительство Албании за январь 2021 года. Расследование указывает на то, что данные были украдены не в результате внешней атаки, а скорее один из сотрудников Налогового управления или Института социального страхования.
Но гражданам Албании удивляться нечему, ведь незадолго до выборов в апреле этого года был другой инцидент с утечкой сведений в отношении более чем 910 тыс. лиц. По слухам, эти сведения были базой избирателей, которая перекочевала таким образом в адрес правящей Социалистической партии, и понятно для каких целей.
Наметившаяся отставка, отправленные на растерзание онлайн-мошенникам албанцы и медиахардкор - вот и все бонусы отчаянной борьбы за власть, в которой все средства оказались хороши. Очков не прибавило никому, только что разве - хакерам.
Премьер-министр страны Эди Рама подтвердил инцидент и официально принес извинения за утечку, в результате которой была раскрыта личная информация граждан, включая также имена, номера удостоверений личности, зарплаты, должности и имена работодателей.
Файл в формате Excel начал распространяться с выходных в WhatsApp и Telegram, в том числе на теневых площадках со скамом. После его изучения, стало понятно, что это налоговые отчеты переданные бизнесом в правительство Албании за январь 2021 года. Расследование указывает на то, что данные были украдены не в результате внешней атаки, а скорее один из сотрудников Налогового управления или Института социального страхования.
Но гражданам Албании удивляться нечему, ведь незадолго до выборов в апреле этого года был другой инцидент с утечкой сведений в отношении более чем 910 тыс. лиц. По слухам, эти сведения были базой избирателей, которая перекочевала таким образом в адрес правящей Социалистической партии, и понятно для каких целей.
Наметившаяся отставка, отправленные на растерзание онлайн-мошенникам албанцы и медиахардкор - вот и все бонусы отчаянной борьбы за власть, в которой все средства оказались хороши. Очков не прибавило никому, только что разве - хакерам.
Balkan Insight
Albanian Prosecutors Probe Huge Suspected Leak of Personal Data
Prosecutors in Tirana said they are trying to verify the facts about a list allegedly detailing the salaries of around 630,000 Albanians that is being circulated online.
Вслед за коллегами из REvil, BlackMatter и Snatch вымогатели AvosLocker стали перезагружать скомпрометированные системы Windows в безопасном режиме в ходе своих последних атак.
Дело в том, что такая тактика значительно упрощает шифрование файлов жертв, ведь безопасный режим позволяет отключить большинство инструментов безопасности. Благодаря этому простому, но эффективному приему даже самые защищенные машины могут стать беззащитными перед ransomware.
И практика показывает, что новый подход оказался весьма рентабельным, поскольку количество жертв группы прилично растет.
Согласно отчету SophosLabs, операторы AvosLocker используют PDQ Deploy, легальный инструмент развертывания для автоматизации управления исправлениями, чтобы разместить несколько пакетных сценариев Windows на целевой машине, это помогает им подготовить основу для атаки.
Сценарии изменяют или удаляют ключи реестра, принадлежащие определенным инструментам безопасности, включая Защитник Windows, Carbon Black, Trend Micro, Symantec, Bitdefender и Cylance, создавая новую учетную запись пользователя на скомпрометированной машине newadmin и добавляя ее в группу пользователей Администраторы.
Затем они настраивают эту учетную запись для автоматического входа в систему при перезагрузке системы в безопасном режиме с подключением к сети и отключают разделы реестра диалогового окна Правовое уведомление, которые могут помешать автоматическому входу.
После чего скрипты выполняют команду перезагрузки, которая переводит компьютер в безопасный режим. После включения полезная нагрузка программы-вымогателя запускается из контроллера домена. Если автоматический процесс выполнения полезной нагрузки завершается неудачно, актор может запустить его вручную с помощью AnyDesk.
Особенностью является также и то, что в процессе заражения создается ключ RunOnce в реестре, который безфайлово выполняет полезную нагрузку вымогателя.
Чтобы избежать произвольных команд перезагрузки на машинах, рекомендуем убедиться, что инструменты безопасности могут обнаруживать и предотвращать добавление подозрительных ключей реестра.
При этом ни одно предупреждение не должно рассматриваться как низкоприоритетное, поскольку небольшая и, казалось бы, безобидная мелочь может быть ключевым звеном в цепочке заражения ransomware.
Дело в том, что такая тактика значительно упрощает шифрование файлов жертв, ведь безопасный режим позволяет отключить большинство инструментов безопасности. Благодаря этому простому, но эффективному приему даже самые защищенные машины могут стать беззащитными перед ransomware.
И практика показывает, что новый подход оказался весьма рентабельным, поскольку количество жертв группы прилично растет.
Согласно отчету SophosLabs, операторы AvosLocker используют PDQ Deploy, легальный инструмент развертывания для автоматизации управления исправлениями, чтобы разместить несколько пакетных сценариев Windows на целевой машине, это помогает им подготовить основу для атаки.
Сценарии изменяют или удаляют ключи реестра, принадлежащие определенным инструментам безопасности, включая Защитник Windows, Carbon Black, Trend Micro, Symantec, Bitdefender и Cylance, создавая новую учетную запись пользователя на скомпрометированной машине newadmin и добавляя ее в группу пользователей Администраторы.
Затем они настраивают эту учетную запись для автоматического входа в систему при перезагрузке системы в безопасном режиме с подключением к сети и отключают разделы реестра диалогового окна Правовое уведомление, которые могут помешать автоматическому входу.
После чего скрипты выполняют команду перезагрузки, которая переводит компьютер в безопасный режим. После включения полезная нагрузка программы-вымогателя запускается из контроллера домена. Если автоматический процесс выполнения полезной нагрузки завершается неудачно, актор может запустить его вручную с помощью AnyDesk.
Особенностью является также и то, что в процессе заражения создается ключ RunOnce в реестре, который безфайлово выполняет полезную нагрузку вымогателя.
Чтобы избежать произвольных команд перезагрузки на машинах, рекомендуем убедиться, что инструменты безопасности могут обнаруживать и предотвращать добавление подозрительных ключей реестра.
При этом ни одно предупреждение не должно рассматриваться как низкоприоритетное, поскольку небольшая и, казалось бы, безобидная мелочь может быть ключевым звеном в цепочке заражения ransomware.
Sophos News
Avos Locker remotely accesses boxes, even running in Safe Mode
Infections involving this relatively new ransomware-as-a-service spiked in November and December
Исследователи компании Elastic задетектили вредоносную кампанию, которая использует действующий сертификат подписи кода для маскировки вредоносного кода под легитимные исполняемые файлы в системах Windows.
Одна из полезных нагрузок, которую исследователи назвали Stealthy BLISTER, действует как загрузчик для других вредоносных программ и, по-видимому, представляет собой новую угрозу с низким уровнем обнаружения.
Не менее трех месяцев, начиная с 15 сентября, длилась кампания по распространению вредоносного ПО Blister. Злоумышленники использовали сертификат подписи кода, действующий с 23 августа, который был выпущен поставщиком цифровой идентификации Sectigo для компании Blist LLC на адрес электронной почты Mail.Ru (Привет, Вконтакте!).
Что же сказать: старый добрый прием с кражей уже выпущенных сертификатов, только в современных реалиях краду возможность выпуска и запрашивают действительный сертификат за спиной у компании (или вовсе на подставную).
Исследователи Elastic обнаружили подписанные и неподписанные версии Blister, и обе они имели низкий уровень обнаружения согласно VirusTotal. Для сокрытия кампании, хакеры использовали несколько методов.
Один из них заключался в том, чтобы встроить Blister в легитимную библиотеку (например, colorui.dll), после чего вредоносная программа запускалась с повышенными привилегиями с помощью команды rundll32. Наличие действующего сертификата и выполнение с админскими правами администратора позволяло Blister четко обходить решения безопасности.
Для сокрытия кода начальной загрузки Blister применяется сильная обсуфакция. В течение десяти минут код остается бездействующим, вероятно, избегая анализа песочницы, после чего расшифровывает встроенные полезные данные, которые обеспечивают удаленный доступ и разрешают боковое перемещение: Cobalt Strike и BitRAT - оба общеизвестны.
Вредоносная программа также обеспечивает свою стабильность с помощью одной копии в папке ProgramData, и второй - под именем rundll32.exe, а также запускается при каждой загрузке как дочерний элемент explorer.exe.
Безусловно, Sectigo своевременно сообщили о злоупотреблении сертификатом, но это как мы понимаем расходники. Несмотря на то, что цель обнаруженных атак остается неясной до настоящего времени, тем не менее, Elastic создали правило Yara для выявления активности Blister и предоставили индикаторы компрометации. На заметку.
Одна из полезных нагрузок, которую исследователи назвали Stealthy BLISTER, действует как загрузчик для других вредоносных программ и, по-видимому, представляет собой новую угрозу с низким уровнем обнаружения.
Не менее трех месяцев, начиная с 15 сентября, длилась кампания по распространению вредоносного ПО Blister. Злоумышленники использовали сертификат подписи кода, действующий с 23 августа, который был выпущен поставщиком цифровой идентификации Sectigo для компании Blist LLC на адрес электронной почты Mail.Ru (Привет, Вконтакте!).
Что же сказать: старый добрый прием с кражей уже выпущенных сертификатов, только в современных реалиях краду возможность выпуска и запрашивают действительный сертификат за спиной у компании (или вовсе на подставную).
Исследователи Elastic обнаружили подписанные и неподписанные версии Blister, и обе они имели низкий уровень обнаружения согласно VirusTotal. Для сокрытия кампании, хакеры использовали несколько методов.
Один из них заключался в том, чтобы встроить Blister в легитимную библиотеку (например, colorui.dll), после чего вредоносная программа запускалась с повышенными привилегиями с помощью команды rundll32. Наличие действующего сертификата и выполнение с админскими правами администратора позволяло Blister четко обходить решения безопасности.
Для сокрытия кода начальной загрузки Blister применяется сильная обсуфакция. В течение десяти минут код остается бездействующим, вероятно, избегая анализа песочницы, после чего расшифровывает встроенные полезные данные, которые обеспечивают удаленный доступ и разрешают боковое перемещение: Cobalt Strike и BitRAT - оба общеизвестны.
Вредоносная программа также обеспечивает свою стабильность с помощью одной копии в папке ProgramData, и второй - под именем rundll32.exe, а также запускается при каждой загрузке как дочерний элемент explorer.exe.
Безусловно, Sectigo своевременно сообщили о злоупотреблении сертификатом, но это как мы понимаем расходники. Несмотря на то, что цель обнаруженных атак остается неясной до настоящего времени, тем не менее, Elastic создали правило Yara для выявления активности Blister и предоставили индикаторы компрометации. На заметку.
www.elastic.co
Elastic Security uncovers BLISTER malware campaign — Elastic Security Labs
Elastic Security has identified active intrusions leveraging the newly identified BLISTER malware loader utilizing valid code-signing certificates to evade detection. We are providing detection guidance for security teams to protect themselves.
- Партнёрский пост -
👨🏻💻 Все ваши данные могут быть украдены через роутер — пароли, email, залив фото и контактов в облако, данные банковских карт.
📶 Wi-Fi как и любое другое подключение к Сети, несет в себе угрозы.
@NeKaspersky опубликовал главные уязвимости роутеров и чёткие шаги — как защитить свои данные и роутер.
Осталось мест 57/100!!
Ссылка 👇🏻 на вступление
👨🏻💻 Все ваши данные могут быть украдены через роутер — пароли, email, залив фото и контактов в облако, данные банковских карт.
📶 Wi-Fi как и любое другое подключение к Сети, несет в себе угрозы.
@NeKaspersky опубликовал главные уязвимости роутеров и чёткие шаги — как защитить свои данные и роутер.
Осталось мест 57/100!!
Ссылка 👇🏻 на вступление