Похоже, французская IT-компания отличилась по итогам года не в лучшую сторону, ведь вместо подарков Inetum Group получили ransomware.
Inetum - это международная компания в сфере цифровых услуг и решений для бизнеса. Компания представлена в 26 странах, с общим штатам около 27 000 сотрудников. В 2020 году выручка конгломерата составила 1,966 млрд. евро.
Атака состоялась 19 декабря, вторжение повлияло на операционную деятельность компании во Франции. Официальное заявление Inetum Group по поводу атаки вымогателей вышло на следующий день, согласно которому в результате инцидента ни одна из основных инфраструктур, ориентированных на клиентов Inetum, не пострадала.
Среагировавшем на инцидент, компания изолировала все серверы в скомпрометированном периметре, а клиентские VPN были отключены. Как показало первичное расследование, Inetum Group совместно с ANSSI (Французское агентство по сетевой и информационной безопасности) уже идентифицировали конкретного актора, а опровергли слухи о возможном задействовании хакерами Log4Shell.
По данным LeMagIt, компания пострадала от вымогателей BlackCat (или ALPHV), работающих по схеме RaaS и впервые замеченные исследователями из Recorded Future и MalwareHunterTeam, о которых мы делали подробный разбор в начале декабря.
На текущий момент BlackCat охватили не так много целей, в основном атаковали корпоративный сектор в США, Австралии и Индии, теперь и Европа подтянулась. Учитывая, что BlackCat являются выходцами из REvil, можем уверенно сказать, что подарочки и сюрпризы еще впереди.
Inetum - это международная компания в сфере цифровых услуг и решений для бизнеса. Компания представлена в 26 странах, с общим штатам около 27 000 сотрудников. В 2020 году выручка конгломерата составила 1,966 млрд. евро.
Атака состоялась 19 декабря, вторжение повлияло на операционную деятельность компании во Франции. Официальное заявление Inetum Group по поводу атаки вымогателей вышло на следующий день, согласно которому в результате инцидента ни одна из основных инфраструктур, ориентированных на клиентов Inetum, не пострадала.
Среагировавшем на инцидент, компания изолировала все серверы в скомпрометированном периметре, а клиентские VPN были отключены. Как показало первичное расследование, Inetum Group совместно с ANSSI (Французское агентство по сетевой и информационной безопасности) уже идентифицировали конкретного актора, а опровергли слухи о возможном задействовании хакерами Log4Shell.
По данным LeMagIt, компания пострадала от вымогателей BlackCat (или ALPHV), работающих по схеме RaaS и впервые замеченные исследователями из Recorded Future и MalwareHunterTeam, о которых мы делали подробный разбор в начале декабря.
На текущий момент BlackCat охватили не так много целей, в основном атаковали корпоративный сектор в США, Австралии и Индии, теперь и Европа подтянулась. Учитывая, что BlackCat являются выходцами из REvil, можем уверенно сказать, что подарочки и сюрпризы еще впереди.
Inetum
Cyberattack on Inetum in France
Press Release
Forwarded from SecurityLab.ru
Итоги года от Александра Антипова: 5 трендов кибербезопасности, топ-3 уязвимостей, конкурсы.
В предновогоднем выпуске «Security-новостей» главред SecurityLab.ru Александр Антипов представил 5 самых актуальных трендов информационной безопасности в уходящем году, три главные уязвимости по версии белых хакеров PT SWARM и рассказал о выходе Positive Technologies на биржу. А еще Дед Мороз информационной безопасности обещал подарки победителям новогодних конкурсов.
https://youtu.be/RYsZ4AvA_Uw
В предновогоднем выпуске «Security-новостей» главред SecurityLab.ru Александр Антипов представил 5 самых актуальных трендов информационной безопасности в уходящем году, три главные уязвимости по версии белых хакеров PT SWARM и рассказал о выходе Positive Technologies на биржу. А еще Дед Мороз информационной безопасности обещал подарки победителям новогодних конкурсов.
https://youtu.be/RYsZ4AvA_Uw
YouTube
Итоги 2021: 5 трендов кибербезопасности, топ-3 уязвимостей, конкурсы. Security-новости #44 | 12+
💰📊👉 Новости об инвестициях в кибербезопасность предоставлены каналом It’s positive investing - https://news.1rj.ru/str/positive_investing
0:00 Новогодний выпуск жарких новостей 🎄
ИБ тренды 2021 года
1:00 Совершенствование дипфейк технологий
3:31 Рост числа атак при…
0:00 Новогодний выпуск жарких новостей 🎄
ИБ тренды 2021 года
1:00 Совершенствование дипфейк технологий
3:31 Рост числа атак при…
На горизонте нарисовались новые дерзкие вымогатели Rook. Без особых манер хакеры публично заявили о своих аппетитах, сообщив о намерении срубить много бабла.
По началу казалось, что на поле вышли клоуны и смелые сообщения группы в даркнете вызывали усмешки, однако после первых публикаций на DLS стало понятно, что парни вовсе не шутили.
А вот исследователи из SentinelLabs добавили вымогателям еще больше репутации, обнаружив сходство кода с авторитетными на поле ransomware вымогателями Babuk.
Как выяснили SentinelLabs в ходе изучения нового штамма, Rook обычно доставляется через Cobalt Strike. Первоначальным вектором заражения выступают фишинговые письма и торренты.
Полезная нагрузка упакована UPX или другими шифрами, чтобы помочь избежать обнаружения. При выполнении вредоносное ПО завершить процессы, связанные с программным обеспечением безопасности или другим приложением, которые могут помешать процессу шифрования. Rook также использует vssadmin.exe для удаления теневых копий томов для предотвращения восстановления файлов.
В некоторых случаях вступает в игру драйвер kph.sys от Process Hacker, что необходимо для отключения локальных решений по безопасности при определенных условиях. Кроме того, выявленные и изученные образцы не реализуют никаких механизмов стойкости.
Вместе с тем, SentinelLabs обнаружил многочисленные сходства кода между Rook и Babuk, полный исходный код которого был слить на одном из русскоязычных форумах в сентябре 2021 года.
Например, Rook использует одни и те же команды API EnumDependentServicesA для получения имени и статуса каждой запущенной службы и функций для их завершения. Используя OpenSCManagerA API, код получает Service Control Manager, получает дескриптор, а затем перечисляет все службы в системе.
Список блокируемых процессов и служб Windows также схожи у обоих программ-вымогателей, в том числе Steam, Microsoft Office и Outlook, Mozilla Firefox и Thunderbird.
Кроме того, используется один и тот же механизм удаления теневых копий томов. И Rook, и Babuk используют функции CreateToolhelp32Snapshot, Process32FirstW, Process32NextW, OpenProcess и TerminateProcess для составления перечня запущенных процессов и блокирования любых найденных из жестко запрограммированного списка.
Все это указывает на то, что в основу Rook был положен код Babuk, а в случае, если к новому RaaS подтянутся квалифицированные операторы - Rook может повторить и даже превзойти своего сенсея, ведь уже на раннем этапе ещё 30 ноября вымогатели положили сходу банк - Kazkh.
По началу казалось, что на поле вышли клоуны и смелые сообщения группы в даркнете вызывали усмешки, однако после первых публикаций на DLS стало понятно, что парни вовсе не шутили.
А вот исследователи из SentinelLabs добавили вымогателям еще больше репутации, обнаружив сходство кода с авторитетными на поле ransomware вымогателями Babuk.
Как выяснили SentinelLabs в ходе изучения нового штамма, Rook обычно доставляется через Cobalt Strike. Первоначальным вектором заражения выступают фишинговые письма и торренты.
Полезная нагрузка упакована UPX или другими шифрами, чтобы помочь избежать обнаружения. При выполнении вредоносное ПО завершить процессы, связанные с программным обеспечением безопасности или другим приложением, которые могут помешать процессу шифрования. Rook также использует vssadmin.exe для удаления теневых копий томов для предотвращения восстановления файлов.
В некоторых случаях вступает в игру драйвер kph.sys от Process Hacker, что необходимо для отключения локальных решений по безопасности при определенных условиях. Кроме того, выявленные и изученные образцы не реализуют никаких механизмов стойкости.
Вместе с тем, SentinelLabs обнаружил многочисленные сходства кода между Rook и Babuk, полный исходный код которого был слить на одном из русскоязычных форумах в сентябре 2021 года.
Например, Rook использует одни и те же команды API EnumDependentServicesA для получения имени и статуса каждой запущенной службы и функций для их завершения. Используя OpenSCManagerA API, код получает Service Control Manager, получает дескриптор, а затем перечисляет все службы в системе.
Список блокируемых процессов и служб Windows также схожи у обоих программ-вымогателей, в том числе Steam, Microsoft Office и Outlook, Mozilla Firefox и Thunderbird.
Кроме того, используется один и тот же механизм удаления теневых копий томов. И Rook, и Babuk используют функции CreateToolhelp32Snapshot, Process32FirstW, Process32NextW, OpenProcess и TerminateProcess для составления перечня запущенных процессов и блокирования любых найденных из жестко запрограммированного списка.
Все это указывает на то, что в основу Rook был положен код Babuk, а в случае, если к новому RaaS подтянутся квалифицированные операторы - Rook может повторить и даже превзойти своего сенсея, ведь уже на раннем этапе ещё 30 ноября вымогатели положили сходу банк - Kazkh.
SentinelOne
New Rook Ransomware Feeds Off the Code of Babuk
Scavenging code leaked from Babuk, Rook's first victim was a bank and the theft of 1123 GB of data. Learn more about this new ransomware operator.
Vektor Security Channel - канал Дмитрия Момота (aka VektorT13). Он рассказывает про уникализацию, антидетекты, методики отслеживания, анти-фрод системы, отпечатки браузера, железа и операционной системы.
А еще у них отличный чат по мультиаккаунтингу.
А еще у них отличный чат по мультиаккаунтингу.
Telegram
Vektor T13 Security Channel
Канал посвящен технологиям уникализации и отслеживания пользователей, а также методам защиты от них. Support @VektorT13
Наш сайт https://detect.expert/
Наш сайт https://detect.expert/
Команда исследователей из Университета Стоуни-Брук и Palo Alto Networks обнаружили более 1200 фишинговых инструментов в дикой природе, которые за последние три года стали неотъемлемой частью арсенала современной киберпреступной экосистемы.
Известные также как наборы фишинговых инструментов MitM (Man-in-the-Middle) позволяют хакерам перехватывать и обходить двухфакторную аутентификацию (2FA) в ходе своих атак.
Дело в том, что крупный бизнес и многие технологические компании стали учитывать Bad Practice и уделять больше внимания безопасности, внедряя функции 2FA по умолчанию в свои продукты и системы.
В ответ на новые вызовы даркнет стал предлагать своим участникам новые инструменты. Примерно с 2017 года появились инфотеллеры, позволяющие украсть cookie аутентификации с заражённых хостов после завершения процесса 2FA.
Однако другим более популярным способом получения файлов аутентификации стал фишинг в моменте передачи трафика.
Для этого хакеры в течение последнего времени активно старые наборы инструментов для фишинга, добавляя функционал для обхода 2FA, полагаясь на фишинг в реальном времени и обратные прокси.
В первом случае используется фишинговая веб-панель, куда пользователь вводит свои учетные данные и код 2FA (полученный по электронной почте, SMS или приложению аутентификации), а оператор использует их для аутентификации на реальном сайте.
Технология применяется для быстрых атак, когда злоумышленнику не требуется долгих активных сессий и нет необходимости контроля файлов cookie аутентификации. К примеру, списания средств с систем онлайн-банкинга.
Но для более скрытного и стабильного доступа, в том числе атак на электронную почту или аккаунт соцсети, требуются cookie. И для этого современные преступники взяли на вооружение наборы фишинговых инструментов MitM, адаптированные в качестве обратных прокси, реализуя прохождение трафика между жертвой, фишинговым сайтом и реальным сервисом.
Поскольку весь трафик проходит через систему обратного прокси, злоумышленник получает необходимые файлы cookie аутентификации, которые он может впоследствии отработать самостоятельно или перепродать. При этом многие инструменты основаны на известных в инфосек Evilginx, Muraena и Modlishka.
Исследователи проанализировали 13 версий этих трех фишинговых наборов MitM и создали своеобразные фингерпринты, которые легли в основу инструмента PHOCA, который мог бы определить, использует ли фишинговый сайт обратный прокси - явный признак того, что злоумышленник пытался обойти 2FA и собрать файлы cookie аутентификации, а не только учетные данные.
Посредством PHOCA они просканили известные фишинговые URL-адреса в период с марта 2020 года по март 2021 года, и обнаружили, что 1220 из этих сайтов используют наборы фишинговых инструментов MitM. Ранее в период 2018-2019 гг. показатель не превышал 200, по данным RiskIQ.
Такая популярность MitM фишинга обусловлена не только растущим спросом, а, прежде всего, доступностью технологии. Большинство из приблуд бесплатны для скачивания, просты в экспликации, и имеют даже инструкции. Кроме того, хакеры практикуют совместные атаки и кооперацию.
Новый тренд указывает на дальнейшее эволюционирование современных фишинговых операций, которые по факту нивелируют усилия сообщества по переходу на 2FA.
Печальные, но достаточно значимые выводы. Настоятельно рекомендуем ознакомиться с полной версией отчета.
Известные также как наборы фишинговых инструментов MitM (Man-in-the-Middle) позволяют хакерам перехватывать и обходить двухфакторную аутентификацию (2FA) в ходе своих атак.
Дело в том, что крупный бизнес и многие технологические компании стали учитывать Bad Practice и уделять больше внимания безопасности, внедряя функции 2FA по умолчанию в свои продукты и системы.
В ответ на новые вызовы даркнет стал предлагать своим участникам новые инструменты. Примерно с 2017 года появились инфотеллеры, позволяющие украсть cookie аутентификации с заражённых хостов после завершения процесса 2FA.
Однако другим более популярным способом получения файлов аутентификации стал фишинг в моменте передачи трафика.
Для этого хакеры в течение последнего времени активно старые наборы инструментов для фишинга, добавляя функционал для обхода 2FA, полагаясь на фишинг в реальном времени и обратные прокси.
В первом случае используется фишинговая веб-панель, куда пользователь вводит свои учетные данные и код 2FA (полученный по электронной почте, SMS или приложению аутентификации), а оператор использует их для аутентификации на реальном сайте.
Технология применяется для быстрых атак, когда злоумышленнику не требуется долгих активных сессий и нет необходимости контроля файлов cookie аутентификации. К примеру, списания средств с систем онлайн-банкинга.
Но для более скрытного и стабильного доступа, в том числе атак на электронную почту или аккаунт соцсети, требуются cookie. И для этого современные преступники взяли на вооружение наборы фишинговых инструментов MitM, адаптированные в качестве обратных прокси, реализуя прохождение трафика между жертвой, фишинговым сайтом и реальным сервисом.
Поскольку весь трафик проходит через систему обратного прокси, злоумышленник получает необходимые файлы cookie аутентификации, которые он может впоследствии отработать самостоятельно или перепродать. При этом многие инструменты основаны на известных в инфосек Evilginx, Muraena и Modlishka.
Исследователи проанализировали 13 версий этих трех фишинговых наборов MitM и создали своеобразные фингерпринты, которые легли в основу инструмента PHOCA, который мог бы определить, использует ли фишинговый сайт обратный прокси - явный признак того, что злоумышленник пытался обойти 2FA и собрать файлы cookie аутентификации, а не только учетные данные.
Посредством PHOCA они просканили известные фишинговые URL-адреса в период с марта 2020 года по март 2021 года, и обнаружили, что 1220 из этих сайтов используют наборы фишинговых инструментов MitM. Ранее в период 2018-2019 гг. показатель не превышал 200, по данным RiskIQ.
Такая популярность MitM фишинга обусловлена не только растущим спросом, а, прежде всего, доступностью технологии. Большинство из приблуд бесплатны для скачивания, просты в экспликации, и имеют даже инструкции. Кроме того, хакеры практикуют совместные атаки и кооперацию.
Новый тренд указывает на дальнейшее эволюционирование современных фишинговых операций, которые по факту нивелируют усилия сообщества по переходу на 2FA.
Печальные, но достаточно значимые выводы. Настоятельно рекомендуем ознакомиться с полной версией отчета.
Предлагаем вам сегодня на вечер несколько статей для чтения:
Ловушка для хакера: проверяем не читает ли кто-то ваши переписки (а если читают - пробиваем, кто это делает) 👉 https://news.1rj.ru/str/cyberyozh_official/736
Как VPN-провайдеры работают с логами. Реальные кейсы выдачи данных "по запросу" (крайне неприятная информация, но лучше это знать). 👉 https://news.1rj.ru/str/cyberyozh_official/737
Три ошибки Рассела Кнаггса, или 20 лет тюрьмы за неотправленное письмо (захватывающая дух статья про деанонимизацию и арест наркоторговца). 👉 https://news.1rj.ru/str/cyberyozh_official/738
Ловушка для хакера: проверяем не читает ли кто-то ваши переписки (а если читают - пробиваем, кто это делает) 👉 https://news.1rj.ru/str/cyberyozh_official/736
Как VPN-провайдеры работают с логами. Реальные кейсы выдачи данных "по запросу" (крайне неприятная информация, но лучше это знать). 👉 https://news.1rj.ru/str/cyberyozh_official/737
Три ошибки Рассела Кнаггса, или 20 лет тюрьмы за неотправленное письмо (захватывающая дух статья про деанонимизацию и арест наркоторговца). 👉 https://news.1rj.ru/str/cyberyozh_official/738
Apache Software Foundation выпустили срочные исправления для серьёзных CVE-2021-44790 и CVE-2021-44224 во флагманском продукте Apache HTTP Server, в том числе связанным с удаленным выполнением кода и получить контроль над скомпрометированной системой.
Ошибка CVE-2021-44790 позволяет посредством определённого запроса вызывать переполнение буфера в многокомпонентном парсере mod_lua в Apache HTTP Server 2.4.51 и более ранних версий. Исследователи из Apache Software Foundation не обнаружили эксплойта для уязвимости, но допустили потенциальную возможность его создания.
Другая CVE-2021-44224 может позволить направлять запросы на конечную точку Unix Domain Socket, вызывая подделку запросов на стороне сервера. Ошибка связана с разыменованием NULL или SSRF в конфигурациях прямого прокси в Apache HTTP Server 2.4.51 и более ранних версиях.
Учитывая значительное доминирование HTTP-сервера Apache в сети и начавшуюся активную эксплуатацию другой CVE-2021-40438 подделки запросов на стороне сервера SSRF в дикой природе, применить патч для кроссплатформенного веб-сервера следует незамедлительно, о чем также озаботилось CISA, спешно добавив новые баги в свой каталог эксплуатируемых CVE.
Ошибка CVE-2021-44790 позволяет посредством определённого запроса вызывать переполнение буфера в многокомпонентном парсере mod_lua в Apache HTTP Server 2.4.51 и более ранних версий. Исследователи из Apache Software Foundation не обнаружили эксплойта для уязвимости, но допустили потенциальную возможность его создания.
Другая CVE-2021-44224 может позволить направлять запросы на конечную точку Unix Domain Socket, вызывая подделку запросов на стороне сервера. Ошибка связана с разыменованием NULL или SSRF в конфигурациях прямого прокси в Apache HTTP Server 2.4.51 и более ранних версиях.
Учитывая значительное доминирование HTTP-сервера Apache в сети и начавшуюся активную эксплуатацию другой CVE-2021-40438 подделки запросов на стороне сервера SSRF в дикой природе, применить патч для кроссплатформенного веб-сервера следует незамедлительно, о чем также озаботилось CISA, спешно добавив новые баги в свой каталог эксплуатируемых CVE.
httpd.apache.org
Apache HTTP Server 2.4 vulnerabilities - The Apache HTTP Server Project
Не успели пользователи QNAP обновиться и выдохнуть, как попали под очередную волну атак программ-вымогателей ech0raix, нацеленных на устройства сетевого хранения (NAS).
Специалистам и службе поддержки QNAP вместо подготовки к Новому году пришлось разгребать многочисленные жалобы от пользователей с сообщениями о взломах своих устройств буквально за несколько дней до американского Рождества.
Атаки усилились с 20 декабря и, к сожалению, праздник стал далеко не для всех счастливым, так как операторы ransomware ech0raix стали требовать увеличения выкупа от 0,024 (1200$) до 0,06 биткойнов (3000$). Возможно, кому-то повезло чуть больше и его зашифровали старой версией ech0raix (до 17 июля 2019 г.), так как существует бесплатный дешифратор для заблокированных файлов. Ну, а тем, кому нет, придется обезжириваться или откатываться до заводских настроек.
В настоящее время неясно, как было скомпрометировано большинство устройств QNAP. Некоторые пользователи считают, что злоумышленники использовали уязвимость в программном обеспечении Photo Station, чтобы взломать их, а другие считают, что виной всему использование слабых паролей. В случае успешного доступа сначала хакеры создают пользователя в группе администраторов, а затем используют его для шифрования содержимого NAS.
Вымогатель eCh0raix написан на языке программирования Go и использует шифрование AES для шифрования файлов. Вредоносный код добавляет расширение encrypt к именам зашифрованных документов.
Мы уже писали, что NAS-серверы являются привлекательной целью и угрозам подвержены преимущественно плохо защищенные или уязвимые устройства QNAP, так как злоумышленники используют известные баги (например, последнюю уязвимость нулевого дня Roon Server) или проводят атаки методом грубой силы. Как говорится в народе - тупо, но сытно.
Специалистам и службе поддержки QNAP вместо подготовки к Новому году пришлось разгребать многочисленные жалобы от пользователей с сообщениями о взломах своих устройств буквально за несколько дней до американского Рождества.
Атаки усилились с 20 декабря и, к сожалению, праздник стал далеко не для всех счастливым, так как операторы ransomware ech0raix стали требовать увеличения выкупа от 0,024 (1200$) до 0,06 биткойнов (3000$). Возможно, кому-то повезло чуть больше и его зашифровали старой версией ech0raix (до 17 июля 2019 г.), так как существует бесплатный дешифратор для заблокированных файлов. Ну, а тем, кому нет, придется обезжириваться или откатываться до заводских настроек.
В настоящее время неясно, как было скомпрометировано большинство устройств QNAP. Некоторые пользователи считают, что злоумышленники использовали уязвимость в программном обеспечении Photo Station, чтобы взломать их, а другие считают, что виной всему использование слабых паролей. В случае успешного доступа сначала хакеры создают пользователя в группе администраторов, а затем используют его для шифрования содержимого NAS.
Вымогатель eCh0raix написан на языке программирования Go и использует шифрование AES для шифрования файлов. Вредоносный код добавляет расширение encrypt к именам зашифрованных документов.
Мы уже писали, что NAS-серверы являются привлекательной целью и угрозам подвержены преимущественно плохо защищенные или уязвимые устройства QNAP, так как злоумышленники используют известные баги (например, последнюю уязвимость нулевого дня Roon Server) или проводят атаки методом грубой силы. Как говорится в народе - тупо, но сытно.
И чего только не найдёшь в сети.
Вот, к примеру, Website Planet по случайке нашли Amazon S3 bucket, принадлежащее логистическому гиганту DW Morgan.
Мало того, что нашли, но еще и глянули чего там интересного, ведь содержимое просто болталось в незащищенном виде.
Утечка содержала более 100 ГБ финансовых, транспортных, личных и конфиденциальных данных или более 2,5 млн. файлов в отношении поставок, сотрудников и клиентов DW Morgan по всему миру, в том числе и весьма крупных - к примеру, Cisco и Ericsson, а также других завсегдатаев Fortune 500.
Утекло буквально все: логистика, телефоне номера, платежные реквизиты, счета, накладные, планы и соглашения, характер и перечень грузов и др.
После уведомления DW Morgan 12 ноября, ситуация была исправлена в течение 4 дней, но никто не может с точностью гарантировать, что данные не стали достоянием других серферов сети, особенно скилованных в определенной сфере.
Вот, к примеру, Website Planet по случайке нашли Amazon S3 bucket, принадлежащее логистическому гиганту DW Morgan.
Мало того, что нашли, но еще и глянули чего там интересного, ведь содержимое просто болталось в незащищенном виде.
Утечка содержала более 100 ГБ финансовых, транспортных, личных и конфиденциальных данных или более 2,5 млн. файлов в отношении поставок, сотрудников и клиентов DW Morgan по всему миру, в том числе и весьма крупных - к примеру, Cisco и Ericsson, а также других завсегдатаев Fortune 500.
Утекло буквально все: логистика, телефоне номера, платежные реквизиты, счета, накладные, планы и соглашения, характер и перечень грузов и др.
После уведомления DW Morgan 12 ноября, ситуация была исправлена в течение 4 дней, но никто не может с точностью гарантировать, что данные не стали достоянием других серферов сети, особенно скилованных в определенной сфере.
Website Planet
Report: US Logistics Company Exposes Fortune 500 Clients
Company name and location: D.W. Morgan, headquartered in the USA Size (in GB and amount of records): 100+ GB of data, over 2.5 million files
В полку борцов за конфиденциальность прибавляется.
Мы уже как-то рассказывали историю про то, как разработчикам богоспасаемого браузера Brave удалось сдержать свои обещания и запустить свой собственный «антитрекинговый» поисковик.
Теперь же разработчики поисковика DuckDuckGo намерены создать собственный браузер, делая ставку на конфиденциальность по умолчанию, что должно, по мнению автора инициативы Габриэля Вайнберга, стать безопасной альтернативой конкурентам Google Chrome и Microsoft Edge на основе Chromium.
Главный девиз многообещающего проекта: «Никаких сложных настроек, никаких вводящих в заблуждение предупреждений, никаких уровней защиты конфиденциальности - надежная защита конфиденциальности, которая установлена по умолчанию».
По словам разработчиков, в отличие от Chromium с открытым исходным кодом, компания намерена положить в основу своего браузера движок рендеринга от ОС, что позволит им «убрать много ненужного мусора, который за долгие годы накопился в основных браузерах».
Компания не предоставила никаких технических подробностей о новом браузере и не сообщила, когда он будет доступен, но мы будем следить за его реализацией.
Мы уже как-то рассказывали историю про то, как разработчикам богоспасаемого браузера Brave удалось сдержать свои обещания и запустить свой собственный «антитрекинговый» поисковик.
Теперь же разработчики поисковика DuckDuckGo намерены создать собственный браузер, делая ставку на конфиденциальность по умолчанию, что должно, по мнению автора инициативы Габриэля Вайнберга, стать безопасной альтернативой конкурентам Google Chrome и Microsoft Edge на основе Chromium.
Главный девиз многообещающего проекта: «Никаких сложных настроек, никаких вводящих в заблуждение предупреждений, никаких уровней защиты конфиденциальности - надежная защита конфиденциальности, которая установлена по умолчанию».
По словам разработчиков, в отличие от Chromium с открытым исходным кодом, компания намерена положить в основу своего браузера движок рендеринга от ОС, что позволит им «убрать много ненужного мусора, который за долгие годы накопился в основных браузерах».
Компания не предоставила никаких технических подробностей о новом браузере и не сообщила, когда он будет доступен, но мы будем следить за его реализацией.
Spread Privacy
DuckDuckGo in 2021: Building the Privacy Super App
We spent 2021 strengthening our all-in-one privacy solution and helping people take back their privacy with one easy download.
Forwarded from S.E.Reborn
log4j-honeypot-flask
Internal network honeypot for detecting if an attacker or insider threat scans your network for log4j CVE-2021-44228
https://github.com/BinaryDefense/log4j-honeypot-flask
#honeypot #log4j
Internal network honeypot for detecting if an attacker or insider threat scans your network for log4j CVE-2021-44228
https://github.com/BinaryDefense/log4j-honeypot-flask
#honeypot #log4j
GitHub
GitHub - BinaryDefense/log4j-honeypot-flask: Internal network honeypot for detecting if an attacker or insider threat scans your…
Internal network honeypot for detecting if an attacker or insider threat scans your network for log4j CVE-2021-44228 - BinaryDefense/log4j-honeypot-flask
В последние дни Норвегия становится полигоном для хакеров, серия мощных кибератак продолжает сотрясать государственный и частный сектор страны.
Крупнейшая норвежская медиакомпания Amedia приостановила работу во вторник, после разрушительной кибератаки на центральную инфраструктуру. Amedia является издателем более 90 газет и другой периодики с общей аудиторией более 2,5 миллионов читателей.
Инцидент существенным образом повлиял на выпуск и печать, а также рекламный блок компании, в результате чего рекламодатели не могут размещать свои объявления, а клиенты - управлять своими подписками.
До сих пор остается невыясненным, попали ли хакерам конфиденциальные сведения в отношении клиентов Amedia, в частности, система подписки потенциально содержит данные об именах, адресах, номерах телефонов и историю подписок клиентов. Но, конечно же, представители компании заверяют, что такие данные, как пароли, история чтения и финансовая информация, не пострадали.
Учитывая, что компания сообщила о проведении восстановительных работ - значит, за атакой стояла одна из групп ransomware.
За эти дни в руках вымогателей 21 декабря также побывала Nortura (один из крупнейших производителей продуктов питания в стране) с потерями в работе нескольких своих заводов, а также региональная администрация большой части северной Норвегии - Nordland fylkeskommune (муниципалитет Нурланда), которая зафиксировала сбои в работе муниципальных служб, в том числе школ и поликлиник.
Неужели подъехали подарочки, Merry Christmas!
Крупнейшая норвежская медиакомпания Amedia приостановила работу во вторник, после разрушительной кибератаки на центральную инфраструктуру. Amedia является издателем более 90 газет и другой периодики с общей аудиторией более 2,5 миллионов читателей.
Инцидент существенным образом повлиял на выпуск и печать, а также рекламный блок компании, в результате чего рекламодатели не могут размещать свои объявления, а клиенты - управлять своими подписками.
До сих пор остается невыясненным, попали ли хакерам конфиденциальные сведения в отношении клиентов Amedia, в частности, система подписки потенциально содержит данные об именах, адресах, номерах телефонов и историю подписок клиентов. Но, конечно же, представители компании заверяют, что такие данные, как пароли, история чтения и финансовая информация, не пострадали.
Учитывая, что компания сообщила о проведении восстановительных работ - значит, за атакой стояла одна из групп ransomware.
За эти дни в руках вымогателей 21 декабря также побывала Nortura (один из крупнейших производителей продуктов питания в стране) с потерями в работе нескольких своих заводов, а также региональная администрация большой части северной Норвегии - Nordland fylkeskommune (муниципалитет Нурланда), которая зафиксировала сбои в работе муниципальных служб, в том числе школ и поликлиник.
Неужели подъехали подарочки, Merry Christmas!
www.amedia.no
Amedia utsatt for et alvorlig dataangrep
Natt til tirsdag 28. desember ble flere av Amedias sentrale datasystemer satt ut av drift. Produksjonen av nettavis går som normalt, men ingen papiraviser blir publisert onsdag. Det er fordi systemer for publisering av papiravis, annonser og abonnementshåndtering…
Apache продолжает в ускоренном режиме образцово-показательно лепить заплатки на Log4j, выпустив новую версию 2.17.1, в которой была исправлена (уже запутались по счету) обнаруженная уязвимость удаленного выполнения кода (RCE) - CVE-2021-44832.
В реальности это уже пятая найденная за месяц CVE, после того как положившая начало Log4Shell - CVE-2021-44228 начала массово эксплуатироваться хакерами.
Пятая уязвимость RCE была обнаружена в 2.17.0 и получила оценку 6,6 по шкале CVSS, связана с отсутствием дополнительных элементов управления доступом JDNI в log4j.
JDBC Appender использует JndiManager при доступе к JNDI, который контролируется через системное свойство. Злоумышленник с разрешением на изменение файла конфигурации ведения журнала может создать вредоносную конфигурацию, используя JDBC Appender с источником данных, ссылающимся на JNDI URI, который, свою очередь, может выполнять удаленный код.
Новую лагу обнаружил Исследователь Янив Низрий из Checkmarx, вызвав бурю обсуждений в Twitter. Однако публично CVE была раскрыта существенно позже Марком Роджерсом, вице-президентом по кибербезопасности Okta, который как раз и пояснил, что использование ошибки зависит от нестандартной настройки log4j, когда конфигурация загружается с удаленного сервера. В целом, это позволило избежать преждевременного раскрытия как это было в ситуации с Log4Shell.
В очередной раз, рекомендуем как можно скорее перейти на последнюю версию 2.17.1 (для Java 8).
Но, к сожалению, патчи уже не окажут существенного влияния на ситуацию с Log4Shell, жертвы которой к настоящему могут даже и не догадываться о своей компрометации: до поры – до времени.
В реальности это уже пятая найденная за месяц CVE, после того как положившая начало Log4Shell - CVE-2021-44228 начала массово эксплуатироваться хакерами.
Пятая уязвимость RCE была обнаружена в 2.17.0 и получила оценку 6,6 по шкале CVSS, связана с отсутствием дополнительных элементов управления доступом JDNI в log4j.
JDBC Appender использует JndiManager при доступе к JNDI, который контролируется через системное свойство. Злоумышленник с разрешением на изменение файла конфигурации ведения журнала может создать вредоносную конфигурацию, используя JDBC Appender с источником данных, ссылающимся на JNDI URI, который, свою очередь, может выполнять удаленный код.
Новую лагу обнаружил Исследователь Янив Низрий из Checkmarx, вызвав бурю обсуждений в Twitter. Однако публично CVE была раскрыта существенно позже Марком Роджерсом, вице-президентом по кибербезопасности Okta, который как раз и пояснил, что использование ошибки зависит от нестандартной настройки log4j, когда конфигурация загружается с удаленного сервера. В целом, это позволило избежать преждевременного раскрытия как это было в ситуации с Log4Shell.
В очередной раз, рекомендуем как можно скорее перейти на последнюю версию 2.17.1 (для Java 8).
Но, к сожалению, патчи уже не окажут существенного влияния на ситуацию с Log4Shell, жертвы которой к настоящему могут даже и не догадываться о своей компрометации: до поры – до времени.
Checkmarx
CVE-2021-44832 - Apache Log4j 2.17.0 Arbitrary Code Execution via JDBCAppender DataSource Element
Being extremely focused and dedicated researchers, we wanted to do a security audit ourselves on the log4j package in the hope of finding something interesting. And after a week of reviewing the code and testing, we encountered a new undiscovered deserialization…
Представители хакерского андеграунда из Поднебесной не перестают мстить своим обидчикам за былые времена, а именно, связанная с Китаем хакерская группировка BlackTech штурмует японские компании, используя новое вредоносное ПО, которое отслеживается как Flagpro.
По словам исследователей из NTT Security, китайская APT проводила атаки с использованием Flagpro на несколько компаний в сфере обороны, СМИ и связи Японии. Согласно их отчету, Flagpro используется BlackTech как минимум с октября 2020 года. Самый последний образец, проанализированный исследователями, датируется июлем 2021 года.
Flagpro, как правило, использовался в качестве полезной нагрузки первого уровня для разведывательных целей, но он также загружал и запускал вредоносное ПО второго уровня.
Вектор атаки классический и начинался с фишинговых сообщений, которые были созданы для целевой организации, сами же сообщения разумеется маскировались под электронные письма от делового партнера.
В сообщениях используется защищенное паролем вложение, как правило это ZIP или RAR архив, где пароль записан в теле электронного письма. А вот архив уже заряжен документом Microsoft Excel (.XLSM) с макросом, при выполнении которого создается исполняемый файл в каталоге запуска Flagpro.
Малварь взаимодействует с C2 и получает команды для выполнения, в том числе для загрузки и выполнения вредоносного ПО второго уровня. Команды от C2 кодируются с помощью Base64. В NTT Security сообщили, что злоумышленники сначала проверяют окружение цели, подходит ли она для запуска вредоносного ПО второй стадии или нет. Если они решат атаковать, то будет загружен и запущен другой образец вредоносного ПО.
Исследователи NTT также определили новую версию вредоносного ПО, получившего название Flagpro v2.0, которое может автоматически закрывать диалоговые окна, относящиеся к установлению внешних подключений, дабы снизить риск того, что пользователь обнаружит внешнее подключение вредоносным ПО.
Активность BlackTech была впервые подробно описана TrendMicro в 2017 году, где говорилось, что группа ориентирована на цели в Тайване, Японии и Гонконге с таргетом на кражу технологий.
Недавно BlackTech начала использовать другие штаммы вредоносных программ, известные как SelfMake Loader и Spider RAT, а это означает, что APT активно занимается разработкой новых вредоносных программ, что в свою очередь делает интересным наблюдение за последующими атаками BlackTech.
По словам исследователей из NTT Security, китайская APT проводила атаки с использованием Flagpro на несколько компаний в сфере обороны, СМИ и связи Японии. Согласно их отчету, Flagpro используется BlackTech как минимум с октября 2020 года. Самый последний образец, проанализированный исследователями, датируется июлем 2021 года.
Flagpro, как правило, использовался в качестве полезной нагрузки первого уровня для разведывательных целей, но он также загружал и запускал вредоносное ПО второго уровня.
Вектор атаки классический и начинался с фишинговых сообщений, которые были созданы для целевой организации, сами же сообщения разумеется маскировались под электронные письма от делового партнера.
В сообщениях используется защищенное паролем вложение, как правило это ZIP или RAR архив, где пароль записан в теле электронного письма. А вот архив уже заряжен документом Microsoft Excel (.XLSM) с макросом, при выполнении которого создается исполняемый файл в каталоге запуска Flagpro.
Малварь взаимодействует с C2 и получает команды для выполнения, в том числе для загрузки и выполнения вредоносного ПО второго уровня. Команды от C2 кодируются с помощью Base64. В NTT Security сообщили, что злоумышленники сначала проверяют окружение цели, подходит ли она для запуска вредоносного ПО второй стадии или нет. Если они решат атаковать, то будет загружен и запущен другой образец вредоносного ПО.
Исследователи NTT также определили новую версию вредоносного ПО, получившего название Flagpro v2.0, которое может автоматически закрывать диалоговые окна, относящиеся к установлению внешних подключений, дабы снизить риск того, что пользователь обнаружит внешнее подключение вредоносным ПО.
Активность BlackTech была впервые подробно описана TrendMicro в 2017 году, где говорилось, что группа ориентирована на цели в Тайване, Японии и Гонконге с таргетом на кражу технологий.
Недавно BlackTech начала использовать другие штаммы вредоносных программ, известные как SelfMake Loader и Spider RAT, а это означает, что APT активно занимается разработкой новых вредоносных программ, что в свою очередь делает интересным наблюдение за последующими атаками BlackTech.
Forwarded from Social Engineering
🔖 S.E.Заметка. AD. PowerView.
• PowerView 2.0 tricks.
• PowerView 3.0 tricks.
#AD, #Заметка. Твой S.E.
🖖🏻 Приветствую тебя user_name.• В среде Active Directory часто используются сетевые папки и файловые серверы. Эти команды отобразят список общих ресурсов на локальном хосте, список сетевых ПК и список шар на удаленном компьютере:
• net share
• net view
• net view COMPUTER_NAME /all
• Но что если политика безопасности запрещает использовать сетевые команды? В этом случае нас выручит wmic. Список общих ресурсов на локальном хосте и список общих ресурсов на удаленном компьютере можно посмотреть с помощью команд:• wmic share get /format:list
• wmic /node: COMPUTER_NAME share get
• Полезный инструмент для поиска данных — PowerView. Он автоматически может обнаружить сетевые ресурсы и файловые серверы с помощью команд Find-DomainShare и Get-DomainFileServer.
• К слову, у нас в облаке есть отличный #CheatSheet для PowerView и дополнительный полезный материал:• PowerView 2.0 tricks.
• PowerView 3.0 tricks.
#AD, #Заметка. Твой S.E.
Банда вымогателей AvosLocker, о которой мы не так давно писали удивили своими принципами, когда предоставили дешифратор после того, как узнали, что случайно зашифровали полицейское управление в США.
Дешифратор в полицейское управление передали бесплатно, но предоставить список украденных файлов или информацию о том, как они взломали сеть департамента ребята отказались.
Один из участников операции AvosLocker поделился, что у банды нет политики в отношении того, на кого они нацелены, но они обычно избегают шифрования государственных учреждений и больниц.
Думали толи от страха, толи от морально этических норм, но, когда их спросили, намеренно ли они избегают нападений на государственные учреждения ребята пояснили, что это больше потому, что деньги налогоплательщиков, как правило, трудно получить.
В этом году международные правоохранительные операции уже сковали деятельность не одной группы, когда были арестованы представители банд REvil, Egregor, Netwalker и Clop.
AvosLocker заявили, что даже с этими арестами и усилением давления они не беспокоятся о международных правоохранительных органах, так как находятся в не их юрисдикции.
Дешифратор в полицейское управление передали бесплатно, но предоставить список украденных файлов или информацию о том, как они взломали сеть департамента ребята отказались.
Один из участников операции AvosLocker поделился, что у банды нет политики в отношении того, на кого они нацелены, но они обычно избегают шифрования государственных учреждений и больниц.
Думали толи от страха, толи от морально этических норм, но, когда их спросили, намеренно ли они избегают нападений на государственные учреждения ребята пояснили, что это больше потому, что деньги налогоплательщиков, как правило, трудно получить.
В этом году международные правоохранительные операции уже сковали деятельность не одной группы, когда были арестованы представители банд REvil, Egregor, Netwalker и Clop.
AvosLocker заявили, что даже с этими арестами и усилением давления они не беспокоятся о международных правоохранительных органах, так как находятся в не их юрисдикции.
Похоже, что Rook держат свое слово, причем достаточно четко.
Несмотря на короткий VICTIM-лист, вымогатели решили сделать ставку на его «качественную» составляющую. И одна из последних жертв тому подтверждение - пошифровали промышленного гиганта DENSO.
На минуту, это одна из крупнейших машиностроительных корпораций в мире. Основана в 1949 году. Входит в список Forbes Global 2000, штаб-квартира расположена в городе Кария (префектура Айти). По состоянию только на 2013 год оборот DENSO Corporation составлял 38,1 млрд долл., активы — 43,2 млрд долл., рыночная стоимость — 34,9 млрд долл., прибыль — 1,1 млрд долл., в компании работало более 126 тыс. сотрудников. Да и объем угрожаемой утечки внушителен – 1,1 Тб.
Как мы прогнозировали: похоже, что Rook начинают собирать вокруг себя серьезный костяк операторов.
Несмотря на короткий VICTIM-лист, вымогатели решили сделать ставку на его «качественную» составляющую. И одна из последних жертв тому подтверждение - пошифровали промышленного гиганта DENSO.
На минуту, это одна из крупнейших машиностроительных корпораций в мире. Основана в 1949 году. Входит в список Forbes Global 2000, штаб-квартира расположена в городе Кария (префектура Айти). По состоянию только на 2013 год оборот DENSO Corporation составлял 38,1 млрд долл., активы — 43,2 млрд долл., рыночная стоимость — 34,9 млрд долл., прибыль — 1,1 млрд долл., в компании работало более 126 тыс. сотрудников. Да и объем угрожаемой утечки внушителен – 1,1 Тб.
Как мы прогнозировали: похоже, что Rook начинают собирать вокруг себя серьезный костяк операторов.
Twitter
DarkTracer : DarkWeb Criminal Intelligence
[ALERT] ROOK gang has announced "DENSO" on the victim list.
Пора бы отправить терминатора из будущего, который должен пофиксить Log4Shell еще на стадии разработки. Но кроме шуток, в реальности проблема приобретает более глубинные очертания.
Команда Falcon OverWatch компании CrowdStrike обнаружила, что связанная с КНР АРТ Aquatic Panda вовсю использует уязвимости Log4Shell для компрометации крупных научных учреждений. Aquatic Panda активна как минимум с мая 2020 года и занимающаяся сбором разведданных и промышленным шпионажем, нацелена на организации в государственном, телекоммуникационном и технологическом секторах. Набор инструментов группы включает, среди прочего, Cobalt Strike, загрузчик FishMaster и njRAT.
На текущий момент АРТ вооружились модифицированной версией эксплойта Log4j для получения первоначального доступа, а затем выполняют различные постэксплуатационные операции, включая разведку и сбор учетных данных.
Как заметили исследователи, Aquatic Panda нацеливались на VMware Horizon одного клиента с дырой в Log4j через Apache Tomcat. Хакеры проводили разведку хоста, уровня привилегий, выполняли команды PowerShell для извлечения вредоносного ПО и трех файлов VBS, которые, как предполагается, представляют собой обратную оболочку. После чего хакеры Aquatic Panda собирали учетные данные, выполняя дампы памяти и эксфильтруя их путем сжатия.
Если раньше мы ни дня без ransomware не могли обойтись, то в следующем году нам предстоит узнать все 50 оттенков Log4Shell.
Команда Falcon OverWatch компании CrowdStrike обнаружила, что связанная с КНР АРТ Aquatic Panda вовсю использует уязвимости Log4Shell для компрометации крупных научных учреждений. Aquatic Panda активна как минимум с мая 2020 года и занимающаяся сбором разведданных и промышленным шпионажем, нацелена на организации в государственном, телекоммуникационном и технологическом секторах. Набор инструментов группы включает, среди прочего, Cobalt Strike, загрузчик FishMaster и njRAT.
На текущий момент АРТ вооружились модифицированной версией эксплойта Log4j для получения первоначального доступа, а затем выполняют различные постэксплуатационные операции, включая разведку и сбор учетных данных.
Как заметили исследователи, Aquatic Panda нацеливались на VMware Horizon одного клиента с дырой в Log4j через Apache Tomcat. Хакеры проводили разведку хоста, уровня привилегий, выполняли команды PowerShell для извлечения вредоносного ПО и трех файлов VBS, которые, как предполагается, представляют собой обратную оболочку. После чего хакеры Aquatic Panda собирали учетные данные, выполняя дампы памяти и эксфильтруя их путем сжатия.
Если раньше мы ни дня без ransomware не могли обойтись, то в следующем году нам предстоит узнать все 50 оттенков Log4Shell.
crowdstrike.com
AQUATIC PANDA in Possession of Log4Shell Exploit Tools | CrowdStrike
CrowdStrike Falcon® OverWatch exposes AQUATIC PANDA in possession of Log4Shell exploit tools during hands-on intrusion attempt. Learn about the process here.
Дорогие подписчики!
Поздравляем Вас с наступающим 2022 годом!
Прошедший год был нелегким, хотя и в нем случилось много хорошего. К примеру - наша аудитория перевалила за 20 тыс. И мы очень рады тому, что такое количество людей интересует инфосек. Значит информационная безопасность будет более безопасной с точки зрения безопасности!
Наступающий Новый Год, надеемся, будет более счастливым и продуктивным. Омикрон станет живой вакциной от других ковидных штаммов, все мессенджеры выложат свои сырцы в открытый доступ, на уровне ООН запретят снимать браузерные fingerprints, а наш канал перевалит за 100к аудитории.
Но даже если из всего этого сбудется только первый пункт, то мы уже будем очень рады! Поэтому всех с наступающим праздником, ура, ура, ура, пей, гуляй, люби инфосек!!!
Мы с вами увидимся уже по окончании праздников, поскольку тоже хотим пить и гулять (а инфосек мы и так любим).
А в качестве новогоднего подарка под инфобезопасную елочку мы кладем вам последний в этом году пост, который (неожыданно!) посвящен одному из инструментов самой загадочной APT в мире (ну, только не для нас, конечно) Equation, являющейся штатным подразделением американского АНБ.
Спасибо за это исследователям из израильской Check Point.
С Новым Годом!
Поздравляем Вас с наступающим 2022 годом!
Прошедший год был нелегким, хотя и в нем случилось много хорошего. К примеру - наша аудитория перевалила за 20 тыс. И мы очень рады тому, что такое количество людей интересует инфосек. Значит информационная безопасность будет более безопасной с точки зрения безопасности!
Наступающий Новый Год, надеемся, будет более счастливым и продуктивным. Омикрон станет живой вакциной от других ковидных штаммов, все мессенджеры выложат свои сырцы в открытый доступ, на уровне ООН запретят снимать браузерные fingerprints, а наш канал перевалит за 100к аудитории.
Но даже если из всего этого сбудется только первый пункт, то мы уже будем очень рады! Поэтому всех с наступающим праздником, ура, ура, ура, пей, гуляй, люби инфосек!!!
Мы с вами увидимся уже по окончании праздников, поскольку тоже хотим пить и гулять (а инфосек мы и так любим).
А в качестве новогоднего подарка под инфобезопасную елочку мы кладем вам последний в этом году пост, который (неожыданно!) посвящен одному из инструментов самой загадочной APT в мире (ну, только не для нас, конечно) Equation, являющейся штатным подразделением американского АНБ.
Спасибо за это исследователям из израильской Check Point.
С Новым Годом!
Давным-давно, в 2020 году мы делали обзор на APT Equation, которая является подразделением Управления по компьютерным сетевым операциям (CNO) АНБ США.
(по приведенной выше ссылке вы найдете только вторую и последующие части обзора, потому что мы криворукие и случайно стерли первый пост, но у нас все ходы записаны и мы сразу после новогодних праздников его восстановим)
Эта хакерская группа, имхо, является самой боеспособной в нашем рукаве галактики Млечный путь, что объясняется не только хорошими скилами и хорошим финансированием, но и безусловным использованием всех имеющихся административных рычагов для внедрения в различное ПО приватных 0-day уязвимостей (только для использования сертифицированными сотрудниками АНБ).
Если кто-то из подписчиков сомневается, что такое может быть - вот вам документальное подтверждение внедрения АНБой бэкдора в операционную систему ScreenOS брандмауэра Juniper Netscreen, который был обнаружен в 2015 году. Да ни от кого-нибудь, а от самых, что ни на есть, американских сенаторов.
Но вернемся к Equation. В начале уходящего года израильтяне из Check Point обнаружили, что китайские хакеры из APT 31 aka Zirconium (мы писали про нее, например, здесь) активно использовали эксплойт Jian, который является ни чем иным как клоном принадлежащего АНБ эксплойта EpMe, утекшего в составе слива Lost in Translation. Самое интересное - китайцы эксплуатировали Jian еще за два с лишним года до того, как хакеры из Shadow Brokers организовали Lost in Translation информацией о боевых инструментах американских государственных хакеров. То есть либо Zirconium самостоятельно нашли вшитую АНБшниками уязвимость, либо свистнули ее у Equation, либо (что крайне маловероятно) Equation наоборот утащили эксплойт у китайцев.
Впечатлившись неожиданной находкой Check Point решили как следует исследовать фреймворк DanderSpritz, принадлежащий Equation и слитый в составе Lost in Translation, который использовался для постэксплуатации после развертывания импланта PeddleCheap. А точнее не весь фреймворк, а один из его компонентов - DoubleFeature, разработанный для логирования и создания отчетов о вредоносных инструментах, которые могут быть использованы в скомпрометированной системе.
По результатам этого масштабного исследования DoubleFeature и других вредоносных инструментов Equation израильские эксперты выпустили большой и интересный отчет.
Не будем лишать вас удовольствие самим ознакомиться с результатами работы исследователей из Check Point. Да и селедка мерзнет без шубы, пора бежать.
See U
(по приведенной выше ссылке вы найдете только вторую и последующие части обзора, потому что мы криворукие и случайно стерли первый пост, но у нас все ходы записаны и мы сразу после новогодних праздников его восстановим)
Эта хакерская группа, имхо, является самой боеспособной в нашем рукаве галактики Млечный путь, что объясняется не только хорошими скилами и хорошим финансированием, но и безусловным использованием всех имеющихся административных рычагов для внедрения в различное ПО приватных 0-day уязвимостей (только для использования сертифицированными сотрудниками АНБ).
Если кто-то из подписчиков сомневается, что такое может быть - вот вам документальное подтверждение внедрения АНБой бэкдора в операционную систему ScreenOS брандмауэра Juniper Netscreen, который был обнаружен в 2015 году. Да ни от кого-нибудь, а от самых, что ни на есть, американских сенаторов.
Но вернемся к Equation. В начале уходящего года израильтяне из Check Point обнаружили, что китайские хакеры из APT 31 aka Zirconium (мы писали про нее, например, здесь) активно использовали эксплойт Jian, который является ни чем иным как клоном принадлежащего АНБ эксплойта EpMe, утекшего в составе слива Lost in Translation. Самое интересное - китайцы эксплуатировали Jian еще за два с лишним года до того, как хакеры из Shadow Brokers организовали Lost in Translation информацией о боевых инструментах американских государственных хакеров. То есть либо Zirconium самостоятельно нашли вшитую АНБшниками уязвимость, либо свистнули ее у Equation, либо (что крайне маловероятно) Equation наоборот утащили эксплойт у китайцев.
Впечатлившись неожиданной находкой Check Point решили как следует исследовать фреймворк DanderSpritz, принадлежащий Equation и слитый в составе Lost in Translation, который использовался для постэксплуатации после развертывания импланта PeddleCheap. А точнее не весь фреймворк, а один из его компонентов - DoubleFeature, разработанный для логирования и создания отчетов о вредоносных инструментах, которые могут быть использованы в скомпрометированной системе.
По результатам этого масштабного исследования DoubleFeature и других вредоносных инструментов Equation израильские эксперты выпустили большой и интересный отчет.
Не будем лишать вас удовольствие самим ознакомиться с результатами работы исследователей из Check Point. Да и селедка мерзнет без шубы, пора бежать.
See U
Check Point Research
A Deep Dive into DoubleFeature, Equation Group's Post-Exploitation Dashboard - Check Point Research
Earlier this year, Check Point Research published the story of “Jian” — an exploit used by Chinese threat actor APT31 which was “heavily inspired by” an almost-identical exploit used by the Equation Group, made publicly known by the Shadow Brokers leak. The…