Исследователи из Splunk установили, сколько времени требуется различным штаммам ransomware для шифрования файлов на скомпрометированных системах.
В основу исследования были взяты 10 основных семейств ransomware, среди которых: Avaddon, Babuk, BlackMatter, Conti, DarkSide, LockBit, Maze, Mespinoza (PYSA), REvil и Ryuk. Шифровался подопытный массив из 98 561 файла общим размером около 53 Гб. Для чистоты эксперимента файлы хранились на четырех хостах — двух под управлением Windows 10 и двух под управлением Windows Server 2019.
Исследователи из Splunk провели 400 тестов шифрования с использованием различных инструментов, таких как собственное ведение журналов Windows, статистика Windows Perfmon, Microsoft Sysmon, Zeek и stoQ.
Замеры проходили по 10 образцам каждого семейства вредоносного ПО. Исследователи измерили время, которое потребовалось каждому образцу для шифрования 100 000 файлов, а в качестве итогового показателя того или иного штамма использовали усредненное значение. Помимо скорости и продолжительности шифрования, исследователи также изучали, как программа-вымогатель использует системные ресурсы.
Результаты показали, что LockBit стал самым быстрым со значением в 5 минут 50 секунд, за ним следует Babuk, у которого 6 минут 34 секунды. Avaddon достиг в среднем чуть более 13 минут, REvil зашифровал файлы примерно за 24 минуты, а BlackMatter и Darkside завершили шифрование за 45 минут. Conti зашифровал файлы менее чем за час, а Maze и Mespinoza показали самый худший результат - почти 2 часа. Среднее время по всем штаммам составило 43 минуты. Кстати, самый быстрый вариант LockBit шифровал 25 000 файлов в минуту.
Таким образом, после того, как процесс шифрования запущен у специалистов по ИБ есть не так много времени для реагирования, что указывает, по мнению Splunk, на чрезвычайную сложность реального противодействия угрозам ransomware. Кроме того, критические данные уже на начальном этапе могут оказаться зашифрованы.
С другой стороны, время является важным фактором обнаружения атак, это не единственным: существуют также периоды разведки, горизонтальное перемещение, кражу учетных данных, повышение привилегий, эксфильтрацию данных, отключение теневых копий и многое другое.
Анализ также показал, что объем памяти устройства, по-видимому, не оказывает существенного влияния на процесс. Однако скорость диска может привести к более быстрому шифрованию, но это реализуемо, если вредоносное ПО также может в полной мере использовать возможности ЦП.
Некоторые из штаммов были весьма эффективны, в то время как другие, как правило, использовали значительный объем ресурса процессора наряду с очень высокой скоростью доступа к диску.
При этом какой-либо прямой корреляции между использованием системных ресурсов и скоростью шифрования не обнаружено. Исследователи также отметили, что некоторые образцы ransomware работали хуже или даже аварийно завершали работу при развертывании на более быстрых тестовых системах.
В целом результаты Splunk демонстрируют, что необходимо сместить акцент с реагирования на инциденты на предотвращение заражения ransomware.
В основу исследования были взяты 10 основных семейств ransomware, среди которых: Avaddon, Babuk, BlackMatter, Conti, DarkSide, LockBit, Maze, Mespinoza (PYSA), REvil и Ryuk. Шифровался подопытный массив из 98 561 файла общим размером около 53 Гб. Для чистоты эксперимента файлы хранились на четырех хостах — двух под управлением Windows 10 и двух под управлением Windows Server 2019.
Исследователи из Splunk провели 400 тестов шифрования с использованием различных инструментов, таких как собственное ведение журналов Windows, статистика Windows Perfmon, Microsoft Sysmon, Zeek и stoQ.
Замеры проходили по 10 образцам каждого семейства вредоносного ПО. Исследователи измерили время, которое потребовалось каждому образцу для шифрования 100 000 файлов, а в качестве итогового показателя того или иного штамма использовали усредненное значение. Помимо скорости и продолжительности шифрования, исследователи также изучали, как программа-вымогатель использует системные ресурсы.
Результаты показали, что LockBit стал самым быстрым со значением в 5 минут 50 секунд, за ним следует Babuk, у которого 6 минут 34 секунды. Avaddon достиг в среднем чуть более 13 минут, REvil зашифровал файлы примерно за 24 минуты, а BlackMatter и Darkside завершили шифрование за 45 минут. Conti зашифровал файлы менее чем за час, а Maze и Mespinoza показали самый худший результат - почти 2 часа. Среднее время по всем штаммам составило 43 минуты. Кстати, самый быстрый вариант LockBit шифровал 25 000 файлов в минуту.
Таким образом, после того, как процесс шифрования запущен у специалистов по ИБ есть не так много времени для реагирования, что указывает, по мнению Splunk, на чрезвычайную сложность реального противодействия угрозам ransomware. Кроме того, критические данные уже на начальном этапе могут оказаться зашифрованы.
С другой стороны, время является важным фактором обнаружения атак, это не единственным: существуют также периоды разведки, горизонтальное перемещение, кражу учетных данных, повышение привилегий, эксфильтрацию данных, отключение теневых копий и многое другое.
Анализ также показал, что объем памяти устройства, по-видимому, не оказывает существенного влияния на процесс. Однако скорость диска может привести к более быстрому шифрованию, но это реализуемо, если вредоносное ПО также может в полной мере использовать возможности ЦП.
Некоторые из штаммов были весьма эффективны, в то время как другие, как правило, использовали значительный объем ресурса процессора наряду с очень высокой скоростью доступа к диску.
При этом какой-либо прямой корреляции между использованием системных ресурсов и скоростью шифрования не обнаружено. Исследователи также отметили, что некоторые образцы ransomware работали хуже или даже аварийно завершали работу при развертывании на более быстрых тестовых системах.
В целом результаты Splunk демонстрируют, что необходимо сместить акцент с реагирования на инциденты на предотвращение заражения ransomware.
Под занавес 2021 года специалисты из Volexity обнаружили вариант вредоносного ПО для macOS, известный как Gimmick и не абы кого, а китайской APT, отслеживаемой как Storm Cloud.
Storm Cloud известны тем, что занимаются целевым кибершпионажем против организаций в Азии. В своих атаках группировка полагается на встроенные утилиты, вредоносное ПО и инструменты с открытым исходным кодом. Gimmick — это семейство кроссплатформенных вредоносных программ, использующих общедоступные облачные сервисы для управления и контроля (C&C) и предоставляющих злоумышленникам широкий спектр возможностей.
Вариант вредоносного ПО, был обнаружен специалистами на MacBook Pro с macOS 11.6 (Big Sur), который в основном написан на Objective C, в то время как, ранее наблюдаемые версии для Windows были построены на .NET и Delphi. Однако все варианты имеют одинаковую архитектуру C&C, поведение и пути к файлам. По словам исследователей, Gimmick был настроен для связи исключительно с его C&C-сервером на базе Google Диска и работал только в рабочие дни, чтобы слиться с сетевым трафиком целевой организации.
Вредоносная программа может получать команды C&C для сбора системной информации, загрузки или скачивания файлов, а также для выполнения команд терминала и дополнительных инструкций. Анализ зловреда показал, что его работа очень асинхронна и что злоумышленники поддерживают каталог Google Диска для каждого из зараженных хостов.
Исследователи отмечают, что Gimmick представляет собой сложное семейство вредоносных программ, в том числе из-за его асинхронной структуры, а его миграция на macOS предполагает, что Storm Cloud является хорошо обеспеченным соответствующими ресурсами и единственным действующим субъектом угроз, использующим эту малварь.
На прошлой неделе Apple выпустила новые сигнатуры для XProtect и MRT, чтобы защитить компьютеры Mac от Gimmick.
Storm Cloud известны тем, что занимаются целевым кибершпионажем против организаций в Азии. В своих атаках группировка полагается на встроенные утилиты, вредоносное ПО и инструменты с открытым исходным кодом. Gimmick — это семейство кроссплатформенных вредоносных программ, использующих общедоступные облачные сервисы для управления и контроля (C&C) и предоставляющих злоумышленникам широкий спектр возможностей.
Вариант вредоносного ПО, был обнаружен специалистами на MacBook Pro с macOS 11.6 (Big Sur), который в основном написан на Objective C, в то время как, ранее наблюдаемые версии для Windows были построены на .NET и Delphi. Однако все варианты имеют одинаковую архитектуру C&C, поведение и пути к файлам. По словам исследователей, Gimmick был настроен для связи исключительно с его C&C-сервером на базе Google Диска и работал только в рабочие дни, чтобы слиться с сетевым трафиком целевой организации.
Вредоносная программа может получать команды C&C для сбора системной информации, загрузки или скачивания файлов, а также для выполнения команд терминала и дополнительных инструкций. Анализ зловреда показал, что его работа очень асинхронна и что злоумышленники поддерживают каталог Google Диска для каждого из зараженных хостов.
Исследователи отмечают, что Gimmick представляет собой сложное семейство вредоносных программ, в том числе из-за его асинхронной структуры, а его миграция на macOS предполагает, что Storm Cloud является хорошо обеспеченным соответствующими ресурсами и единственным действующим субъектом угроз, использующим эту малварь.
На прошлой неделе Apple выпустила новые сигнатуры для XProtect и MRT, чтобы защитить компьютеры Mac от Gimmick.
Volexity
Storm Cloud on the Horizon: GIMMICK Malware Strikes at macOS
In late 2021, Volexity discovered an intrusion in an environment monitored as part of its Network Security Monitoring service. Volexity detected a system running frp, otherwise known as fast reverse […]
В последний день лета 2021 года мы написали большой пост про выявленные критические уязвимости в промышленной системе управления энергопотреблением DIAEnergy от тайваньской компании Delta Electronics. Была дана комплексная оценка критичности этих дырок - 9.8.
Процитируем сами себя - "DIAEnergy - это промышленная система управления энергопотреблением (IEMS), которая используется крупными промышленными компаниями для визуализации и оптимизации энергопотребления производственных процессов, особенно оборудования с высоким потреблением. Потенциально хакер может манипулировать данными системы и влиять на энергопотоки, направленные на те или иные участки производства".
Теперь тема всплыла снова. Уже с учетом новых реалий. Пристегнитесь.
Как сообщают Security Week, за последний год в DIAEnergy были выявлены целых 30 уязвимостей, 22 из которых - критические. Часть из них была устранена производителем в обновлении 1.8, выпущенном в сентябре прошлого года.
Однако бОльшая часть дырок закрыта в свежем обновлении 1.08.02.004. И все бы хорошо, но есть одна особенность - это обновление не распространяется публично. По крайней мере до 30 июня 2022 года. Для того, чтобы устранить уязвимости в DIAEnergy, необходимо сделать персональный запрос в службу поддержки Delta Electronics, а уже они решат - присылать обновление или нет. Про последствия, полагаем, рассказывать не надо.
Напомним, что Тайвань присоединился к санкциям против России, что вполне может быть заявлено Delta Electronics как основание для отказа в предоставление апдейта. Другой потенциальный "потерпевший" - Китай, с котором у Тайваня вот-вот начнутся взрослые разборки.
Мы не знаем, используется ли DIAEnergy китайскими компаниями, а вот то, что этот продукт был представлен дистрибьюторами Delta Electronics на российском рынке - это совершенно точно. Находится простым поиском в Яндексе за одну минуту.
#АСУТП #ICS
Процитируем сами себя - "DIAEnergy - это промышленная система управления энергопотреблением (IEMS), которая используется крупными промышленными компаниями для визуализации и оптимизации энергопотребления производственных процессов, особенно оборудования с высоким потреблением. Потенциально хакер может манипулировать данными системы и влиять на энергопотоки, направленные на те или иные участки производства".
Теперь тема всплыла снова. Уже с учетом новых реалий. Пристегнитесь.
Как сообщают Security Week, за последний год в DIAEnergy были выявлены целых 30 уязвимостей, 22 из которых - критические. Часть из них была устранена производителем в обновлении 1.8, выпущенном в сентябре прошлого года.
Однако бОльшая часть дырок закрыта в свежем обновлении 1.08.02.004. И все бы хорошо, но есть одна особенность - это обновление не распространяется публично. По крайней мере до 30 июня 2022 года. Для того, чтобы устранить уязвимости в DIAEnergy, необходимо сделать персональный запрос в службу поддержки Delta Electronics, а уже они решат - присылать обновление или нет. Про последствия, полагаем, рассказывать не надо.
Напомним, что Тайвань присоединился к санкциям против России, что вполне может быть заявлено Delta Electronics как основание для отказа в предоставление апдейта. Другой потенциальный "потерпевший" - Китай, с котором у Тайваня вот-вот начнутся взрослые разборки.
Мы не знаем, используется ли DIAEnergy китайскими компаниями, а вот то, что этот продукт был представлен дистрибьюторами Delta Electronics на российском рынке - это совершенно точно. Находится простым поиском в Яндексе за одну минуту.
#АСУТП #ICS
Telegram
SecAtor
Новые критические уязвимости в ICS (Industrial Control Systems, АСУ ТП) - все как мы любим. Да какие дырки!
Сначала про восемь новых уязвимостей в промышленной системе управления энергопотреблением DIAEnergy от компании Delta Electronics сообщило в конце…
Сначала про восемь новых уязвимостей в промышленной системе управления энергопотреблением DIAEnergy от компании Delta Electronics сообщило в конце…
Выявлены критические уязвимости, которые могут быть использованы для удаленного взлома контроллеров SCADA российской компании Текон Автоматика, которые широко используется организациями в России.
Текон Автоматика - крупный поставщик оборудования и программного обеспечения для диспетчеризации лифтов и зданий, учета воды и тепла, и в целом для сред SCADA. Согласно телеметрии Shodan, в сети доступно более 117 потенциально уязвимых контроллеров Tekon.
Уязвимости в безопасности обнаружил исследователь Хосе Бертин, чем и поделился в с воем блоге. Исследователь представил PoC, который позволил ему получить привилегии суперпользователя и получить полный контроль над целевым устройством, что, как мы все понимаем, может привести к серьезным нарушениям.
Эксперт обнаружил учетные данные по умолчанию (учетные данные по умолчанию — admin:secret) в руководствах по прошивке и программному обеспечению для своих моделей контроллеров зданий.
Что более важно, все эти устройства могут быть отключены одновременно и удаленно. Бертин отметил, что злоумышленник при реализации атаки может выполнить самые радикальные действия, например отключить устройство или внедрить бэкдор.
Устройства могут быть взломаны из-за использования учетных данных по умолчанию, которые обеспечивают доступ с правами администратора к пользовательскому интерфейсу контроллера Tekon. Однако исследователь утверждает, что нашел способ выполнять код с привилегиями суперпользователя, злоупотребляя функцией, которая позволяет пользователям добавлять плагины. Они представляют собой сценарии LUA, которые можно добавить в специальный раздел пользовательского интерфейса.
Бертен признался, что не связывался с производителем, прежде чем обнародовать результаты своих исследований, но насколько нам известно, Текон уже в курсе проблемы пост-аутентификации RCE на основе вредоносного сценария подключаемого модуля LUA в контроллерах SCADA.
Будем надеется на скорую реакцию как производителя, так и его клиентов, особенно принимая во внимание текущую обстановку в сфере инфосека.
#АСУТП #ICS
Текон Автоматика - крупный поставщик оборудования и программного обеспечения для диспетчеризации лифтов и зданий, учета воды и тепла, и в целом для сред SCADA. Согласно телеметрии Shodan, в сети доступно более 117 потенциально уязвимых контроллеров Tekon.
Уязвимости в безопасности обнаружил исследователь Хосе Бертин, чем и поделился в с воем блоге. Исследователь представил PoC, который позволил ему получить привилегии суперпользователя и получить полный контроль над целевым устройством, что, как мы все понимаем, может привести к серьезным нарушениям.
Эксперт обнаружил учетные данные по умолчанию (учетные данные по умолчанию — admin:secret) в руководствах по прошивке и программному обеспечению для своих моделей контроллеров зданий.
Что более важно, все эти устройства могут быть отключены одновременно и удаленно. Бертин отметил, что злоумышленник при реализации атаки может выполнить самые радикальные действия, например отключить устройство или внедрить бэкдор.
Устройства могут быть взломаны из-за использования учетных данных по умолчанию, которые обеспечивают доступ с правами администратора к пользовательскому интерфейсу контроллера Tekon. Однако исследователь утверждает, что нашел способ выполнять код с привилегиями суперпользователя, злоупотребляя функцией, которая позволяет пользователям добавлять плагины. Они представляют собой сценарии LUA, которые можно добавить в специальный раздел пользовательского интерфейса.
Бертен признался, что не связывался с производителем, прежде чем обнародовать результаты своих исследований, но насколько нам известно, Текон уже в курсе проблемы пост-аутентификации RCE на основе вредоносного сценария подключаемого модуля LUA в контроллерах SCADA.
Будем надеется на скорую реакцию как производителя, так и его клиентов, особенно принимая во внимание текущую обстановку в сфере инфосека.
#АСУТП #ICS
Medium
Post auth RCE based in malicious LUA plugin noscript upload SCADA controllers located in Russia
Hello World
Пацан к успеху шел, не получилось, не фартануло.
Полиция Лондона арестовала семь участников хакерской группы Lapsus$ (также известной как DEV-0537). За последние месяцы Lapsus$ отметились весьма дерзкими и громкими атаками на крупные компаний, среди которых оказались IT-гиганты Microsoft, Nvidia, Samsung и Ubisoft.
Общими усилиями групп исследователей и во многом благодаря самим подельникам задержанных из киберподполья правоохранителям удалось отдеанонить хакеров, которые к этому времени заработали почти $14 млн в биткоинах, ставших в итоге «яблоком раздора» группы.
Bloomberg сообщило, что лидером хакерской группы Lapsus$ был обыкновенный 16-летний подросток из Оксфорда, проживающий в Лондоне, остальные участники также молодежь в возрасте от 16 до 21 года.
Лидер сообщества, известный в даркнете как White или Breachbase, страдает аутизмом и посещает специальную образовательную школу в Оксфорде. По словам отца мальчика, до недавних пор ему ничего не было известно о занятии сына.
Личная информация подростка-хакера из Англии, в том числе его адрес и информация о его родителях, была размещена в Интернет конкурирующими хакерами. Но, как стало известно, Unit 221B отслеживали юного хакера почти год, и им удалось связать его с деятельностью Lapsus$ и другими взломами. Команде удалось узнать настоящее имя мальчика в середине прошлого года, еще до того, как его данные были слиты в сеть недоброжелателями.
Мотивы атак Lapsus$ до сих пор неясны до конца, но судя по мощной пиар-кампании, организованной хакерами, можно предположить, что группа была мотивирована деньгами и известностью. В отличие от большинства других групп DEV-0537, похоже, не заметали следы.
Сразу после арестов, хакеры опубликовали сообщение у себя в канале: «У нескольких наших участников отпуск до 30.03.2022. Мы можем какое-то время помолчать. Спасибо, что поняли нас. Мы постараемся слить материал как можно скорее».
Однако, по мнению ресерчеров, это вовсе не знаменует заката Lapsus$. Предполагается, что в Великобритании проживали далеко не все члены группировки — часть из них находится в Южной Америке, в том числе, по данным следствия, еще одним членом Lapsus$ является подросток из Бразилии.
Во всяком случае, подписота на канале растет, а в чат добавляются всё новые модеры.
Полиция Лондона арестовала семь участников хакерской группы Lapsus$ (также известной как DEV-0537). За последние месяцы Lapsus$ отметились весьма дерзкими и громкими атаками на крупные компаний, среди которых оказались IT-гиганты Microsoft, Nvidia, Samsung и Ubisoft.
Общими усилиями групп исследователей и во многом благодаря самим подельникам задержанных из киберподполья правоохранителям удалось отдеанонить хакеров, которые к этому времени заработали почти $14 млн в биткоинах, ставших в итоге «яблоком раздора» группы.
Bloomberg сообщило, что лидером хакерской группы Lapsus$ был обыкновенный 16-летний подросток из Оксфорда, проживающий в Лондоне, остальные участники также молодежь в возрасте от 16 до 21 года.
Лидер сообщества, известный в даркнете как White или Breachbase, страдает аутизмом и посещает специальную образовательную школу в Оксфорде. По словам отца мальчика, до недавних пор ему ничего не было известно о занятии сына.
Личная информация подростка-хакера из Англии, в том числе его адрес и информация о его родителях, была размещена в Интернет конкурирующими хакерами. Но, как стало известно, Unit 221B отслеживали юного хакера почти год, и им удалось связать его с деятельностью Lapsus$ и другими взломами. Команде удалось узнать настоящее имя мальчика в середине прошлого года, еще до того, как его данные были слиты в сеть недоброжелателями.
Мотивы атак Lapsus$ до сих пор неясны до конца, но судя по мощной пиар-кампании, организованной хакерами, можно предположить, что группа была мотивирована деньгами и известностью. В отличие от большинства других групп DEV-0537, похоже, не заметали следы.
Сразу после арестов, хакеры опубликовали сообщение у себя в канале: «У нескольких наших участников отпуск до 30.03.2022. Мы можем какое-то время помолчать. Спасибо, что поняли нас. Мы постараемся слить материал как можно скорее».
Однако, по мнению ресерчеров, это вовсе не знаменует заката Lapsus$. Предполагается, что в Великобритании проживали далеко не все члены группировки — часть из них находится в Южной Америке, в том числе, по данным следствия, еще одним членом Lapsus$ является подросток из Бразилии.
Во всяком случае, подписота на канале растет, а в чат добавляются всё новые модеры.
Bbc
Lapsus$: Oxford teen accused of being multi-millionaire cyber-criminal
Police say they've arrested seven teenagers as part of their investigation into a hacking group.
И полная изоляция от остального мира им не преграда, когда речь идет о северокорейских хакерах, более известных как Lazarus Group.
В этот раз хакеры использовали уязвимость нулевого дня для удаленного выполнения кода в веб-браузере Google Chrome еще за месяц до того, как стало доступно исправление. Злоумышленники эксплуатировали 0-day на сотнях целей в США пытаясь заразить компьютеры людей, работающих в самых разных отраслях, включая СМИ, ИТ, криптовалюты и финансовые компании.
Группа анализа угроз Google (TAG) заявила, что уязвимость, отслеживаемая как CVE-2022-0609, была использована двумя отдельными северокорейскими хакерскими группами. Обе группы развернули один и тот же набор эксплойтов на веб-сайтах, которые либо принадлежали законным организациям и были взломаны, либо были созданы специально для доставки вредоносного кода ничего не подозревающим посетителям.
Одна группа работала в рамках операции под названием Dream Job и охватила более 250 человек, работающих в 10 различных компаниях. А другая группа, известная уже как AppleJeus, нацелилась на 85 пользователей.
Как заверяют эксперты, эти группы работают на одну и ту же организацию с общей цепочкой поставок, отсюда и использование одного и того же набора эксплойтов, но каждая из них работает с разным набором задач и использует разные методы. Также, исследователь группы анализа угроз Google Адам Вайдеманн считает, что возможно другие злоумышленники, поддерживаемые правительством Северной Кореи, тоже имеют доступ к тому же набору эксплойтов.
Операция Dream Job проводится по крайней мере с июня 2020 года, о чем когда-то говорили специалисты их ClearSky, которые наблюдали за группой, нацеленной на оборонные и государственные компании. Тогда злоумышленники были нацелены на конкретных сотрудников организаций с поддельными предложениями «работы мечты» (откуда собственно и название) в таких компаниях, как Boeing, McDonnell Douglas и BAE.
Хакеры придумали сложную, но очень интересную схему социальной инженерии, в которой использовались фиктивные профили LinkedIn, электронные письма, сообщения WhatsApp и телефонные звонки. Цель кампании состояла в том, чтобы украсть деньги и собрать разведданные.
Как и в предыдущей кампании хакеры зарегистрировали новые домены и скомпрометировали пару легитимных. Кроме того, исследователи обнаружили доказательства того, что злоумышленников интересовали не только пользователи Google Chrome, они также проверяли пользователей Safari на macOS и Firefox, направляя их на конкретные ссылки с известными серверами эксплуатации.
Однако во время анализа наблюдаемые URL-адреса не возвращали никакого ответа. Вероятно в загашнике у Lazarus Group еще осталась пара пасхалок для последующих атак.
В этот раз хакеры использовали уязвимость нулевого дня для удаленного выполнения кода в веб-браузере Google Chrome еще за месяц до того, как стало доступно исправление. Злоумышленники эксплуатировали 0-day на сотнях целей в США пытаясь заразить компьютеры людей, работающих в самых разных отраслях, включая СМИ, ИТ, криптовалюты и финансовые компании.
Группа анализа угроз Google (TAG) заявила, что уязвимость, отслеживаемая как CVE-2022-0609, была использована двумя отдельными северокорейскими хакерскими группами. Обе группы развернули один и тот же набор эксплойтов на веб-сайтах, которые либо принадлежали законным организациям и были взломаны, либо были созданы специально для доставки вредоносного кода ничего не подозревающим посетителям.
Одна группа работала в рамках операции под названием Dream Job и охватила более 250 человек, работающих в 10 различных компаниях. А другая группа, известная уже как AppleJeus, нацелилась на 85 пользователей.
Как заверяют эксперты, эти группы работают на одну и ту же организацию с общей цепочкой поставок, отсюда и использование одного и того же набора эксплойтов, но каждая из них работает с разным набором задач и использует разные методы. Также, исследователь группы анализа угроз Google Адам Вайдеманн считает, что возможно другие злоумышленники, поддерживаемые правительством Северной Кореи, тоже имеют доступ к тому же набору эксплойтов.
Операция Dream Job проводится по крайней мере с июня 2020 года, о чем когда-то говорили специалисты их ClearSky, которые наблюдали за группой, нацеленной на оборонные и государственные компании. Тогда злоумышленники были нацелены на конкретных сотрудников организаций с поддельными предложениями «работы мечты» (откуда собственно и название) в таких компаниях, как Boeing, McDonnell Douglas и BAE.
Хакеры придумали сложную, но очень интересную схему социальной инженерии, в которой использовались фиктивные профили LinkedIn, электронные письма, сообщения WhatsApp и телефонные звонки. Цель кампании состояла в том, чтобы украсть деньги и собрать разведданные.
Как и в предыдущей кампании хакеры зарегистрировали новые домены и скомпрометировали пару легитимных. Кроме того, исследователи обнаружили доказательства того, что злоумышленников интересовали не только пользователи Google Chrome, они также проверяли пользователей Safari на macOS и Firefox, направляя их на конкретные ссылки с известными серверами эксплуатации.
Однако во время анализа наблюдаемые URL-адреса не возвращали никакого ответа. Вероятно в загашнике у Lazarus Group еще осталась пара пасхалок для последующих атак.
Один из самых распространенных среди хакеров приемов при фишинговых атаках — создание поддельной официальной страницы известного бренда, а поскольку создавать их приходится пачками - на помощь им приходят фишинговые наборы, которые состоят из готовых шаблонов и скриптов для быстрого и массового создания фишинговых страниц. Разработчики также снабжают свои продукты инструкциями для неопытных злоумышленников.
Каждый такой набор состоит из двух компонентов: HTML-страница с фишинговой формой ввода данных и сопутствующим контентом (стилем, изображениями, скриптами и другими мультимедийными компонентами), а также фишинговый скрипт, который отправляет злоумышленникам данные о входе жертвы на поддельную страницу. Существуют также расширенные фишинговые пакеты, которые также включают центр управления с пользовательским интерфейсом.
Обнаруженные специалистами Лаборатории Касперского в 2021 году фишинговые наборы чаще всего создавали копии Facebook, голландской банковской группы ING, немецкого банка Sparkasse, а также Adidas и Amazon.
Как выяснили исследователи современные наборы для фишинга реализуются в даркнете в виде готовых пакетов и включают несколько сложных систем для защиты от антифишинговых решений, что позволяет избегать попадания в соответствующие базы и оставаться в рабочем состоянии значительно дольше.
Некоторые из обнаруженных фишинговых наборов использовали геоблокировку, другие добавляют различные параметры обфускации для сгенерированных страниц. Специалисты Лаборатории Касперского смогли обнаружить и раскрыть основные методы:
⁃ Шифр Цезаря: замена каждого символа в тексте на фиксированное количество позиций дальше по алфавиту, чтобы содержимое не имело смысла. При загрузке страницы сдвиг возвращается и отображаются правильные символы.
⁃ Кодировка источника страницы: кодирования текста или HTML-кода страницы с использованием алгоритма AES или base64, контент декодируется в браузере при загрузке страницы.
⁃ Невидимые HTML-теги: на страницу добавляется множество HTML-тегов, которые невидимы при отображении страницы в браузере и служат только безобидным «шумом», скрывающим вредоносные части.
⁃ Нарезка струн: разрезание строк на перестраиваемые группы символов и обращение к ним по их номеру в кодовой таблице, при загрузке страницы строки снова собираются.
⁃ Рандомизированные атрибуты HTML: добавление большого количества рандомизированных значений атрибутов тегов для эффективного отключения инструментов защиты от фишинга.
Некоторые из вышеперечисленных приемов используются также и в интересах разработчиков пакетов, с целью получения данных, которые их клиенты смогли собрать с помощью их продукта.
Наборы для фишинга можно приобрести на даркнет-форумах или через приватные чаты в Telegram. Цены зависят от уровня сложности и качества конкретного комплекта и варьируются от 50 до 900 долларов США. Наборы для фишинга также продаются как часть пакета Фишинг как услуга (PHaaS) и в последнее время становится все более популярным. Пакеты состоят из широкого спектра специализированных мошеннических услуг: от создания поддельных веб-сайтов, выдающих себя за популярный бренд, до запуска целевой кампании по краже данных.
Лаборатории в 2021 году удалось обнаружить 469 отдельных наборов для фишинга, поддерживающих не менее 1,2 миллиона фишинговых веб-сайтов. URL при этом чаще всего распространялись по электронной почте, мгновенным сообщениям, сообщениям на форумах и даже видео на YouTube.
Как отмечают специалисты, количество более сложных фишинговых наборов, включающих функции защиты от ботов, обнаружения и геоблокировки, будет и впредь только увеличиваться.
Каждый такой набор состоит из двух компонентов: HTML-страница с фишинговой формой ввода данных и сопутствующим контентом (стилем, изображениями, скриптами и другими мультимедийными компонентами), а также фишинговый скрипт, который отправляет злоумышленникам данные о входе жертвы на поддельную страницу. Существуют также расширенные фишинговые пакеты, которые также включают центр управления с пользовательским интерфейсом.
Обнаруженные специалистами Лаборатории Касперского в 2021 году фишинговые наборы чаще всего создавали копии Facebook, голландской банковской группы ING, немецкого банка Sparkasse, а также Adidas и Amazon.
Как выяснили исследователи современные наборы для фишинга реализуются в даркнете в виде готовых пакетов и включают несколько сложных систем для защиты от антифишинговых решений, что позволяет избегать попадания в соответствующие базы и оставаться в рабочем состоянии значительно дольше.
Некоторые из обнаруженных фишинговых наборов использовали геоблокировку, другие добавляют различные параметры обфускации для сгенерированных страниц. Специалисты Лаборатории Касперского смогли обнаружить и раскрыть основные методы:
⁃ Шифр Цезаря: замена каждого символа в тексте на фиксированное количество позиций дальше по алфавиту, чтобы содержимое не имело смысла. При загрузке страницы сдвиг возвращается и отображаются правильные символы.
⁃ Кодировка источника страницы: кодирования текста или HTML-кода страницы с использованием алгоритма AES или base64, контент декодируется в браузере при загрузке страницы.
⁃ Невидимые HTML-теги: на страницу добавляется множество HTML-тегов, которые невидимы при отображении страницы в браузере и служат только безобидным «шумом», скрывающим вредоносные части.
⁃ Нарезка струн: разрезание строк на перестраиваемые группы символов и обращение к ним по их номеру в кодовой таблице, при загрузке страницы строки снова собираются.
⁃ Рандомизированные атрибуты HTML: добавление большого количества рандомизированных значений атрибутов тегов для эффективного отключения инструментов защиты от фишинга.
Некоторые из вышеперечисленных приемов используются также и в интересах разработчиков пакетов, с целью получения данных, которые их клиенты смогли собрать с помощью их продукта.
Наборы для фишинга можно приобрести на даркнет-форумах или через приватные чаты в Telegram. Цены зависят от уровня сложности и качества конкретного комплекта и варьируются от 50 до 900 долларов США. Наборы для фишинга также продаются как часть пакета Фишинг как услуга (PHaaS) и в последнее время становится все более популярным. Пакеты состоят из широкого спектра специализированных мошеннических услуг: от создания поддельных веб-сайтов, выдающих себя за популярный бренд, до запуска целевой кампании по краже данных.
Лаборатории в 2021 году удалось обнаружить 469 отдельных наборов для фишинга, поддерживающих не менее 1,2 миллиона фишинговых веб-сайтов. URL при этом чаще всего распространялись по электронной почте, мгновенным сообщениям, сообщениям на форумах и даже видео на YouTube.
Как отмечают специалисты, количество более сложных фишинговых наборов, включающих функции защиты от ботов, обнаружения и геоблокировки, будет и впредь только увеличиваться.
Securelist
What are phishing kits (phishkits)?
What are phishing kits (phishkits), what do they include, who uses them, and where are they sold? A report and statistics on phishing kits.
Sophos исправила критическую уязвимость в продукте Sophos Firewall версий 18.5 MR3 (18.5.3) и более ранних, позволяющую выполнять удаленное выполнение кода (RCE).
CVE-2022-1040 с оценкой CVSS 9,8 описывается как уязвимость обхода аутентификации и присутствует в консоле веб-администрирования брандмауэра Sophos. Ошибка позволяет удаленному злоумышленнику получить доступ к пользовательскому порталу брандмауэра или интерфейсу веб-администрирования, обойти аутентификацию и выполнить произвольный код. Была обнаружена через программу вознаграждения за обнаружение ошибок компании, автор не раскрывается.
Для клиентов Sophos Firewall с включенной функцией автоматической установки исправлений переживать не стоит - патч накатится по умолчанию. Однако некоторые старые версии и продукты с истекшим сроком службы потребуют ручной активации.
Общий обходной путь для уязвимости подразумевает отключение доступа через глобальную сеть к пользовательскому порталу и веб-администратору согласно соответствующим рекомендациям и использование VPN и/или Sophos Central для удаленного доступа и управления.
Кроме того, совсем недавно Sophos также устранила другие две уязвимости «высокой» степени серьезности (CVE-2022-0386 и CVE-2022-0652), влияющие на устройства Sophos UTM (Unified Threat Management).
Учитывая, что Sophos Firewall неоднократно подвергались атакам, как это было в начале 2020, когда хакеры внедряли SQL-код в XG Firewall, а в апреле того же года - 0-day эксплуатировались для доставки ransomware Ragnarok и ВПО Asnarök, пользователям настоятельно рекомендуется убедиться, что их обновленные патчи проинсталлированы.
CVE-2022-1040 с оценкой CVSS 9,8 описывается как уязвимость обхода аутентификации и присутствует в консоле веб-администрирования брандмауэра Sophos. Ошибка позволяет удаленному злоумышленнику получить доступ к пользовательскому порталу брандмауэра или интерфейсу веб-администрирования, обойти аутентификацию и выполнить произвольный код. Была обнаружена через программу вознаграждения за обнаружение ошибок компании, автор не раскрывается.
Для клиентов Sophos Firewall с включенной функцией автоматической установки исправлений переживать не стоит - патч накатится по умолчанию. Однако некоторые старые версии и продукты с истекшим сроком службы потребуют ручной активации.
Общий обходной путь для уязвимости подразумевает отключение доступа через глобальную сеть к пользовательскому порталу и веб-администратору согласно соответствующим рекомендациям и использование VPN и/или Sophos Central для удаленного доступа и управления.
Кроме того, совсем недавно Sophos также устранила другие две уязвимости «высокой» степени серьезности (CVE-2022-0386 и CVE-2022-0652), влияющие на устройства Sophos UTM (Unified Threat Management).
Учитывая, что Sophos Firewall неоднократно подвергались атакам, как это было в начале 2020, когда хакеры внедряли SQL-код в XG Firewall, а в апреле того же года - 0-day эксплуатировались для доставки ransomware Ragnarok и ВПО Asnarök, пользователям настоятельно рекомендуется убедиться, что их обновленные патчи проинсталлированы.
Sophos
Device access - Sophos Firewall
You can control access to the management services of Sophos Firewall from custom and default zones using the local service ACL (Access Control List).
Компания Google выпустила экстренное обновление безопасности Chrome 99 для исправления ошибки с высокой степенью серьезности, под которую уже доступен PoC.
CVE-2022-1096 описывается как ошибка Type Confusion в движке V8 JavaScript и WebAssembly, о ней 23 марта 2022 года сообщил анонимный исследователь. CVE-2022-1096 — вторая 0-day в Chrome, которую Google исправляет в этом году.
Подробности уязвимости, равно как о фактах ее эксплуатации в дикой природе не разглашаются. Но как мы помним, другая исправленная в феврале этого года CVE-2022-0609 бага нулевого дня в Chrome эксплуатировалась, по крайней мере двумя северокорейскими АРТ в атаках на СМИ, провайдеров и поставщиков ПО. Доступ к сведениям об ошибках будет ограничен до тех пор, пока большинство пользователей не получат исправление.
Патч для этой уязвимости был включен в Chrome 99.0.4844.84, который теперь доступен для всех пользователей Windows, Mac и Linux. Вскоре после выпуска Google пропатченной версии Chrome 99.0.4844.84, Microsoft также обновила свой браузер Edge на основе Chromium до версии 99.0.1150.55, устранив тем самым CVE-2022-1096.
Пользователям Chrome и Edge рекомендуется как можно скорее применить доступные исправления.
CVE-2022-1096 описывается как ошибка Type Confusion в движке V8 JavaScript и WebAssembly, о ней 23 марта 2022 года сообщил анонимный исследователь. CVE-2022-1096 — вторая 0-day в Chrome, которую Google исправляет в этом году.
Подробности уязвимости, равно как о фактах ее эксплуатации в дикой природе не разглашаются. Но как мы помним, другая исправленная в феврале этого года CVE-2022-0609 бага нулевого дня в Chrome эксплуатировалась, по крайней мере двумя северокорейскими АРТ в атаках на СМИ, провайдеров и поставщиков ПО. Доступ к сведениям об ошибках будет ограничен до тех пор, пока большинство пользователей не получат исправление.
Патч для этой уязвимости был включен в Chrome 99.0.4844.84, который теперь доступен для всех пользователей Windows, Mac и Linux. Вскоре после выпуска Google пропатченной версии Chrome 99.0.4844.84, Microsoft также обновила свой браузер Edge на основе Chromium до версии 99.0.1150.55, устранив тем самым CVE-2022-1096.
Пользователям Chrome и Edge рекомендуется как можно скорее применить доступные исправления.
Chrome Releases
Stable Channel Update for Desktop
The Stable channel has been updated to 99.0.4844.84 for Windows, Mac and Linux which will roll out over the coming days/weeks. A full list o...
Как мы и ванговали санкции против российских инфосек вендоров продолжают расширяться. Досталось все той же Лаборатории Касперского.
Американская Федеральная комиссия по связи (FCC) в пятницу внесла ЛК в т.н. Covered List - список компаний, представляющих неприемлемый риск для национальной безопасности США. Касперские попали в обновленный лист не одни, а в компании с China Telecom и China Mobile International.
На самом деле, включение ЛК в этот список - фактически продолжение истории с санкциями Министерства национальной безопасности США (DHS), введенными против вендора в 2017 году. Какие конкретно последствия проистекают из внесения компании в Covered List FCC мы, если честно, так и не разобрались до конца. Единственное, что удалось обнаружить, - это запрет на поддержку от некоего FCC's Universal Service Fund.
Вероятно, что произошедшее - это, по сути, запрет на работу в американских сетях связи. Но, полагаем, после директивы DHS от 2017 года Касперские и так там не присутствовали. Таким образом, все происходящее - это, скорее всего, PR-история для создания медийной картинки неотвратимого давления на российскую IT-отрасль, поскольку Лаборатория Касперского является, пожалуй, самым узнаваемым в мире российским IT-брендом.
Дальнейшее нагнетание обстановки в отношении отечественных инфосек компаний, думаем, последует от стран ЕС. Но тут бы мы на их месте не торопились. А то им скоро газ за рубли покупать, а, как говорят, рублевые операции хорошо проходят только у компаний, которые стоят под защитой российских инфосек вендоров 😎
Американская Федеральная комиссия по связи (FCC) в пятницу внесла ЛК в т.н. Covered List - список компаний, представляющих неприемлемый риск для национальной безопасности США. Касперские попали в обновленный лист не одни, а в компании с China Telecom и China Mobile International.
На самом деле, включение ЛК в этот список - фактически продолжение истории с санкциями Министерства национальной безопасности США (DHS), введенными против вендора в 2017 году. Какие конкретно последствия проистекают из внесения компании в Covered List FCC мы, если честно, так и не разобрались до конца. Единственное, что удалось обнаружить, - это запрет на поддержку от некоего FCC's Universal Service Fund.
Вероятно, что произошедшее - это, по сути, запрет на работу в американских сетях связи. Но, полагаем, после директивы DHS от 2017 года Касперские и так там не присутствовали. Таким образом, все происходящее - это, скорее всего, PR-история для создания медийной картинки неотвратимого давления на российскую IT-отрасль, поскольку Лаборатория Касперского является, пожалуй, самым узнаваемым в мире российским IT-брендом.
Дальнейшее нагнетание обстановки в отношении отечественных инфосек компаний, думаем, последует от стран ЕС. Но тут бы мы на их месте не торопились. А то им скоро газ за рубли покупать, а, как говорят, рублевые операции хорошо проходят только у компаний, которые стоят под защитой российских инфосек вендоров 😎
Telegram
SecAtor
Вчера Федеральное управление по информационной безопасности Германии (BSI) распространило пресс-релиз, в котором призвало немецкие организации заменить антивирусные продукты Лаборатории Касперского на альтернативное ПО.
В качестве обоснования BSI указывает…
В качестве обоснования BSI указывает…
На самом деле давно известен трюк, который злоумышленники используют во время фишинговых атак в популярных службах обмена сообщениями, таких как WhatsApp, Signal, iMessage и др. Фокус состоит в том, что хакеры могут использовать URL-адреса, которые выглядят для получателя легитимными.
Некоторые из основных уязвимостей известны с 2019 года и подвергают риску пользователей самых популярных платформ обмена сообщениями и электронной почты, таких как Instagram, iMessage, WhatsApp, Signal и Facebook Messenger.
Самое интересное, что уязвимости были впервые обнаружены в августе 2019 года исследователем по имени zadewg. Но исследователь не хотел делиться дополнительной информацией о методе эксплуатации уязвимостей, которые были продемонстрированы им только на видео и поэтому Sick.Codes решили воспроизвести эксплойт самостоятельно и написать для него PoC.
Уязвимости представляют собой ошибки рендеринга, из-за которых пользовательский интерфейс приложения неправильно отображает URL-адреса со вставленными элементами управления Unicode RTLO (переопределение справа налево), что делает пользователя уязвимым для атак с подменой URI.
Когда символ RTLO вставляется в строку, он заставляет браузер или приложение для обмена сообщениями отображать строку справа налево вместо ее обычной ориентации слева направо. Этот символ в основном используется для обозначения сообщений на арабском языке или иврите. Таким образом, доверенные домены для фишинговых атак могут быть подделаны в сообщениях и выглядеть как законные и доверенные субдомены apple.com или google.com.
После введенного управляющего символа RTLO URL-адрес инвертируется, поскольку он обрабатывается как язык «справа налево». Так например, поддельный URL-адрес «gepj.xyz» будет отображаться как безвредный файл изображения JPEG «zyx.jpeg», а поддельный URL-адрес «kpa.li» будет отображаться как APK-файл «li.apk» и т д. Затем многие URL-адреса могут быть скрыты, что затрудняет обнаружение спуфинга.
CVE были назначены соответствующим уязвимостям и, как известно, работают в следующих версиях мессенджеров:
- CVE-2020-20093: Facebook Messenger 227.0 или более ранней версии для iOS и 228.1.0.10.116 или более ранней версии для Android.
- CVE-2020-20094: Instagram 106.0 или более ранней версии для iOS и 107.0.0.11 или более ранней версии для Android.
- CVE-2020-20095: iMessage 14.3 или более ранней версии для iOS.
- CVE-2020-20096: WhatsApp 2.19.80 или более ранней версии для iOS и 2.19.222 или более ранней версии для Android.
Так как PoC был опубликован относительно недавно и увы перечисленные уязвимости активно эксплуатировались в течение длительного времени в дикой природе. Например, у того же Signal нет соответствующего идентификатора CVE, так как конкретный метод атаки был раскрыт ими совсем недавно.
Некоторые из основных уязвимостей известны с 2019 года и подвергают риску пользователей самых популярных платформ обмена сообщениями и электронной почты, таких как Instagram, iMessage, WhatsApp, Signal и Facebook Messenger.
Самое интересное, что уязвимости были впервые обнаружены в августе 2019 года исследователем по имени zadewg. Но исследователь не хотел делиться дополнительной информацией о методе эксплуатации уязвимостей, которые были продемонстрированы им только на видео и поэтому Sick.Codes решили воспроизвести эксплойт самостоятельно и написать для него PoC.
Уязвимости представляют собой ошибки рендеринга, из-за которых пользовательский интерфейс приложения неправильно отображает URL-адреса со вставленными элементами управления Unicode RTLO (переопределение справа налево), что делает пользователя уязвимым для атак с подменой URI.
Когда символ RTLO вставляется в строку, он заставляет браузер или приложение для обмена сообщениями отображать строку справа налево вместо ее обычной ориентации слева направо. Этот символ в основном используется для обозначения сообщений на арабском языке или иврите. Таким образом, доверенные домены для фишинговых атак могут быть подделаны в сообщениях и выглядеть как законные и доверенные субдомены apple.com или google.com.
После введенного управляющего символа RTLO URL-адрес инвертируется, поскольку он обрабатывается как язык «справа налево». Так например, поддельный URL-адрес «gepj.xyz» будет отображаться как безвредный файл изображения JPEG «zyx.jpeg», а поддельный URL-адрес «kpa.li» будет отображаться как APK-файл «li.apk» и т д. Затем многие URL-адреса могут быть скрыты, что затрудняет обнаружение спуфинга.
CVE были назначены соответствующим уязвимостям и, как известно, работают в следующих версиях мессенджеров:
- CVE-2020-20093: Facebook Messenger 227.0 или более ранней версии для iOS и 228.1.0.10.116 или более ранней версии для Android.
- CVE-2020-20094: Instagram 106.0 или более ранней версии для iOS и 107.0.0.11 или более ранней версии для Android.
- CVE-2020-20095: iMessage 14.3 или более ранней версии для iOS.
- CVE-2020-20096: WhatsApp 2.19.80 или более ранней версии для iOS и 2.19.222 или более ранней версии для Android.
Так как PoC был опубликован относительно недавно и увы перечисленные уязвимости активно эксплуатировались в течение длительного времени в дикой природе. Например, у того же Signal нет соответствующего идентификатора CVE, так как конкретный метод атаки был раскрыт ими совсем недавно.
GitHub
RIUS/exploit.sh at master · zadewg/RIUS
CVE-2020-20093; 20094; 20095; 20096, 2022-28345 RTLO Injection URI Spoofing - zadewg/RIUS
Немного с фронтов ransomware.
Conti зашифровали ROYAL BRUNEI AIRLINES SDN BHD и угрожают утечкой двух файлов общим размером 342 КБ. Казалось бы мелочь, сами оцените.
Тем временем, Hive поработали над своим шифровальщиком Linux VMware ESXi, переложив его на язык программирования Rust и расширив функционал, затрудняющий контроль за переговорами о выкупе. Ведь во многих случаях эти переговоры затем публикуются в Твиттере и на других публичных ресурсах, что приводит к провалу переговоров.
Примечательно то, что Hive уже некоторое время использует шифровальщик Linux для атак на серверы VMware ESXi, а недавний образец показывает, что они обновили свой софт функциями, впервые представленными BlackCat/ALPHV.
Так, BlackCat удалила из своего шифровальщика URL-адреса чатов с переговорами жертв в Tor по вопросам выплаты выкупа. Копируя BlackCat, теперь Hive также закрыла возможность получения учетных данных для входа в систему из образцов вредоносного ПО для Linux, поскольку учетные данные теперь доступны только в заметках о выкупе, созданных во время атаки.
Кроме того, Hive вслед за BlackCat переложили свой Linux-шифровальщик с Golang на Rust, делая ransomware более эффективным и сложным для анализа исследователями.
Поскольку шифрование виртуальных машин VMware ESXi является главным залогом любой успешной атаки, вымогатели постоянно совершенствуют свой код, чтобы не только повысить эффективность, но и обеспечить скрытность своих операций и тем более переговоров.
По мере того, как все больше компаний переходят на виртуализацию, разработчики ransomware не только концентрируют усилия на устройствах Windows, но и все активнее адаптируют свой софт под Linux. В связи с чем, специалистам по ИБ и админам необходимо уделять пристальное внимание своим серверам Linux в контексте обнаружения и противодействия возможным угрозам.
Conti зашифровали ROYAL BRUNEI AIRLINES SDN BHD и угрожают утечкой двух файлов общим размером 342 КБ. Казалось бы мелочь, сами оцените.
Тем временем, Hive поработали над своим шифровальщиком Linux VMware ESXi, переложив его на язык программирования Rust и расширив функционал, затрудняющий контроль за переговорами о выкупе. Ведь во многих случаях эти переговоры затем публикуются в Твиттере и на других публичных ресурсах, что приводит к провалу переговоров.
Примечательно то, что Hive уже некоторое время использует шифровальщик Linux для атак на серверы VMware ESXi, а недавний образец показывает, что они обновили свой софт функциями, впервые представленными BlackCat/ALPHV.
Так, BlackCat удалила из своего шифровальщика URL-адреса чатов с переговорами жертв в Tor по вопросам выплаты выкупа. Копируя BlackCat, теперь Hive также закрыла возможность получения учетных данных для входа в систему из образцов вредоносного ПО для Linux, поскольку учетные данные теперь доступны только в заметках о выкупе, созданных во время атаки.
Кроме того, Hive вслед за BlackCat переложили свой Linux-шифровальщик с Golang на Rust, делая ransomware более эффективным и сложным для анализа исследователями.
Поскольку шифрование виртуальных машин VMware ESXi является главным залогом любой успешной атаки, вымогатели постоянно совершенствуют свой код, чтобы не только повысить эффективность, но и обеспечить скрытность своих операций и тем более переговоров.
По мере того, как все больше компаний переходят на виртуализацию, разработчики ransomware не только концентрируют усилия на устройствах Windows, но и все активнее адаптируют свой софт под Linux. В связи с чем, специалистам по ИБ и админам необходимо уделять пристальное внимание своим серверам Linux в контексте обнаружения и противодействия возможным угрозам.
Twitter
DarkTracer : DarkWeb Criminal Intelligence
[ALERT] Conti ransomware gang has announced "ROYAL BRUNEI AIRLINES SDN BHD" on the victim list.
Производитель оборудования в сфере безопасности SonicWall устранил критическую уязвимость в операционной системе SonicOS, которая допускает DoS и может привести к удаленному выполнению кода (RCE).
Ошибка представляет собой уязвимость переполнения буфера на основе стека с оценкой CVSS 9,4 и влияет на несколько брандмауэров SonicWall.
CVE-2022-22274 затрагивает брандмауэры следующего поколения (NGFW) настольных ПК TZ Series начального уровня для малого и среднего бизнеса (SMB), брандмауэры Network Security Virtual (серия NSv), предназначенные для защиты облака, а также высокопроизводительные брандмауэры платформы служб сетевой безопасности (NSsp).
Злоумышленник, не прошедший проверку подлинности, может использовать уязвимость удаленно, через HTTP-запросы, в атаках низкой сложности, которые не требуют взаимодействия с пользователем, чтобы вызвать отказ в обслуживании (DoS) или потенциально привести к RCE в брандмауэре.
Команда SonicWall (PSIRT) сообщает, что общедоступных PoC не представлено, доказательств использования в атаках также не получено.
Компания выпустила исправления для всех уязвимых версий SonicOS и брандмауэров и настоятельно призывает клиентов обновить все затронутые продукты.
Все бы ничего, но полный официальный патч ожидается только к середине апреля. Тем временем, исправление доступно по запросу в службу поддержки. В частности, для владельцев высокоскоростного брандмауэра корпоративного класса NSsp 15700 доступно исправление прошивки 7.0.1-5030-HF-R844.
Доступен также временный обходной путь для удаления вектора эксплуатации в системах, который подразумевает ограничение доступа к интерфейсу управления SonicOS доверенными источниками, изменив существующие правила для SSH/HTTPS/ HTTP. Соответствующие рекомендации по смягчению последствий SonicWall заблаговременно передала всем пострадавшим организациям.
Ошибка представляет собой уязвимость переполнения буфера на основе стека с оценкой CVSS 9,4 и влияет на несколько брандмауэров SonicWall.
CVE-2022-22274 затрагивает брандмауэры следующего поколения (NGFW) настольных ПК TZ Series начального уровня для малого и среднего бизнеса (SMB), брандмауэры Network Security Virtual (серия NSv), предназначенные для защиты облака, а также высокопроизводительные брандмауэры платформы служб сетевой безопасности (NSsp).
Злоумышленник, не прошедший проверку подлинности, может использовать уязвимость удаленно, через HTTP-запросы, в атаках низкой сложности, которые не требуют взаимодействия с пользователем, чтобы вызвать отказ в обслуживании (DoS) или потенциально привести к RCE в брандмауэре.
Команда SonicWall (PSIRT) сообщает, что общедоступных PoC не представлено, доказательств использования в атаках также не получено.
Компания выпустила исправления для всех уязвимых версий SonicOS и брандмауэров и настоятельно призывает клиентов обновить все затронутые продукты.
Все бы ничего, но полный официальный патч ожидается только к середине апреля. Тем временем, исправление доступно по запросу в службу поддержки. В частности, для владельцев высокоскоростного брандмауэра корпоративного класса NSsp 15700 доступно исправление прошивки 7.0.1-5030-HF-R844.
Доступен также временный обходной путь для удаления вектора эксплуатации в системах, который подразумевает ограничение доступа к интерфейсу управления SonicOS доверенными источниками, изменив существующие правила для SSH/HTTPS/ HTTP. Соответствующие рекомендации по смягчению последствий SonicWall заблаговременно передала всем пострадавшим организациям.
Lockbit решили попиариться и объявили о BugBounty в размере 1 000 000 долларов США за свои же головы. Хакеры пообещали выплатить вознаграждение любому силовику, кто сможет установить их.
Если верить тому, что мысли материализуются - перспектива вряд ли порадует авторов. Другое дело, что пару миллионов все же найдутся, правда после обыска.
Если верить тому, что мысли материализуются - перспектива вряд ли порадует авторов. Другое дело, что пару миллионов все же найдутся, правда после обыска.
Вслед за израильской NSO Group банкротство настигло FinFisher из Германии.
FinFisher GmbH продавала правоохранительным и спецслужбам специализированное ПО, которое можно было использовать для решения оперативных задач. По данным WikiLeaks, в реальности компания предлагала свое шпионское ПО FinSpy как средство доступа к целевым компьютерным системам по всему миру в обход любых антивирусных средств.
Первоначально продукция реализовывалась подразделением британской компании Gamma Group. После его роспуска в 2014 году, шпионское ПО продолжило продаваться немецким поставщиком FinFisher.
Репрессии в адрес разработчиков начались сразу после начавшихся еще в 2011 году скандалов с обвинениями в нарушениях экспортных процедур и поставке спецПО Турции, Египту и Мьянме, власти которых использовали его наблюдения за своими оппонентами.
Тем временем Citizen Lab опубликовала серию собственных расследований, в которых говорится, что правительства более чем 30 стран подозреваются в использовании FinFisher, включая Бангладеш, Эфиопию, Оман, Саудовскую Аравию и Венесуэлу.
Однако в сентябре 2019 года коалиция правозащитных групп подала иск против компании, утверждая, что она поставила свое шпионское ПО в Турцию без получения необходимой лицензии от федерального правительства Германии, где FinSpy использовался для слежки за неугодными режиму лицами, что было отражено в техническом отчете, опубликованном группой по цифровым правам Access Now. Именно после этой жалобы правоохранительные органы Германии начали расследование и провели обыски в офисах компании.
Несмотря на то, что расследование предполагаемых нарушений продолжается до сих пор, счета компании по требованию мюнхенской прокуратуры были заблокированы, как и другие активы, которые были получены в результате незаконных действий, что и привело фактически к ликвидации FinFisher.
По данным немецкого управляющего по делам о несостоятельности JAFFÉ Rechtsanwälte Insolvenzverwalter, в начале февраля мюнхенская компания FinFisher и две связанные с ней фирмы — FinFisher Labs GmbH и raedarius m8 GmbH — подали заявление о банкротстве.
Но это вовсе не означает, что цифровые права больше не будут впредь нарушаться, будут - но другим поставщиком: ведь мы уже не раз говорили об инициированном глобальном переделе международного рынка шпионских ПО.
FinFisher GmbH продавала правоохранительным и спецслужбам специализированное ПО, которое можно было использовать для решения оперативных задач. По данным WikiLeaks, в реальности компания предлагала свое шпионское ПО FinSpy как средство доступа к целевым компьютерным системам по всему миру в обход любых антивирусных средств.
Первоначально продукция реализовывалась подразделением британской компании Gamma Group. После его роспуска в 2014 году, шпионское ПО продолжило продаваться немецким поставщиком FinFisher.
Репрессии в адрес разработчиков начались сразу после начавшихся еще в 2011 году скандалов с обвинениями в нарушениях экспортных процедур и поставке спецПО Турции, Египту и Мьянме, власти которых использовали его наблюдения за своими оппонентами.
Тем временем Citizen Lab опубликовала серию собственных расследований, в которых говорится, что правительства более чем 30 стран подозреваются в использовании FinFisher, включая Бангладеш, Эфиопию, Оман, Саудовскую Аравию и Венесуэлу.
Однако в сентябре 2019 года коалиция правозащитных групп подала иск против компании, утверждая, что она поставила свое шпионское ПО в Турцию без получения необходимой лицензии от федерального правительства Германии, где FinSpy использовался для слежки за неугодными режиму лицами, что было отражено в техническом отчете, опубликованном группой по цифровым правам Access Now. Именно после этой жалобы правоохранительные органы Германии начали расследование и провели обыски в офисах компании.
Несмотря на то, что расследование предполагаемых нарушений продолжается до сих пор, счета компании по требованию мюнхенской прокуратуры были заблокированы, как и другие активы, которые были получены в результате незаконных действий, что и привело фактически к ликвидации FinFisher.
По данным немецкого управляющего по делам о несостоятельности JAFFÉ Rechtsanwälte Insolvenzverwalter, в начале февраля мюнхенская компания FinFisher и две связанные с ней фирмы — FinFisher Labs GmbH и raedarius m8 GmbH — подали заявление о банкротстве.
Но это вовсе не означает, что цифровые права больше не будут впредь нарушаться, будут - но другим поставщиком: ведь мы уже не раз говорили об инициированном глобальном переделе международного рынка шпионских ПО.
Bloomberg.com
Spyware Vendor FinFisher Claims Insolvency Amid Investigation
A German company long criticized for helping governments spy on communications has shut down operations and filed for insolvency, according to authorities.
Checkmarx обнаружили угрозу, связанную с деятельностью злоумышленника RED-LILI, отметившегося созданием и доставкой сотен вредоносных пакетов в экосистему NPM в режиме автоматизации, что вызывает серьёзные опасения в контексте атак на цепочки зависимостей, особенно на фоне последних инцидентов с саботажем отдельных разработчиков.
По данным Checkmarx, RED-LILI полностью автоматизировал процесс создания учеток NPM для проведения атак с путаницей зависимостей, которые трудно обнаружить.
Обычно злоумышленники для этих целей используют анонимную одноразовую учетную запись NPM, с которой они запускают свои атаки. В этой ситуации злоумышленник полностью автоматизировал процесс их создания, создав выделенные учетные записи на каждый пакет с вредоносным вложением.
Актор в настоящее время все еще активен и продолжает штамповать вредоносные пакеты. На текущий момент исследователям обнаружили и отслеживают около 800 пакетов, большинство из которых имели уникальную учетную запись пользователя для каждого из них, созданных в течение одной недели.
При этом имена пакетов были методично подобраны, а имена публикующих их пользователей представляли собой случайно сгенерированные строки, в том числе такие как 5t7crz72 и d4ugwerp.
Все указывает на то, что злоумышленник выстроил процесс автоматизации от начала до конца, включая регистрацию пользователей и прохождение OTP-вызовов, а также сокрытие вредоносные пакеты NPM.
Если до этого инцидента отмечались случаи публикации вредоносных полезных нагрузок в полуавтоматическом режиме, то RED-LILI организовал все в формате полной автоматизации, значительно увеличивая шансы заражения. И этот факт знаменует новый тренд на ландшафте угроз в экосистеме NPM. Безусловно, негативные процессы будут лишь прогрессировать.
Компания выкатила полный список вредоносных пакетов в своей документации.
По данным Checkmarx, RED-LILI полностью автоматизировал процесс создания учеток NPM для проведения атак с путаницей зависимостей, которые трудно обнаружить.
Обычно злоумышленники для этих целей используют анонимную одноразовую учетную запись NPM, с которой они запускают свои атаки. В этой ситуации злоумышленник полностью автоматизировал процесс их создания, создав выделенные учетные записи на каждый пакет с вредоносным вложением.
Актор в настоящее время все еще активен и продолжает штамповать вредоносные пакеты. На текущий момент исследователям обнаружили и отслеживают около 800 пакетов, большинство из которых имели уникальную учетную запись пользователя для каждого из них, созданных в течение одной недели.
При этом имена пакетов были методично подобраны, а имена публикующих их пользователей представляли собой случайно сгенерированные строки, в том числе такие как 5t7crz72 и d4ugwerp.
Все указывает на то, что злоумышленник выстроил процесс автоматизации от начала до конца, включая регистрацию пользователей и прохождение OTP-вызовов, а также сокрытие вредоносные пакеты NPM.
Если до этого инцидента отмечались случаи публикации вредоносных полезных нагрузок в полуавтоматическом режиме, то RED-LILI организовал все в формате полной автоматизации, значительно увеличивая шансы заражения. И этот факт знаменует новый тренд на ландшафте угроз в экосистеме NPM. Безусловно, негативные процессы будут лишь прогрессировать.
Компания выкатила полный список вредоносных пакетов в своей документации.
Checkmarx
A Beautiful Factory for Malicious Packages
In the past month, Checkmarx SCS research team has been tracking the malicious activity of RED-LILI, which marks a significant milestone in the development of software supply-chain attacks. After gathering enough clues, the team has reconstructed this threat…
Исследователи из SentinelOne представили подробный отчет в отношении паре критических уязвимостей удаленного выполнения кода, которые были обнаружены в Microsoft Defender для IoT.
Защитник для IoT, разработанный с возможностями непрерывного обнаружения и реагирования в сети (NDR), поддерживает различные устройства IoT, OT и промышленных систем управления (ICS) и может быть развернут как локально, так и в облаке.
Выявленные CVE-2021-42311 и CVE-2021-42313 имеют 10 баллов по шкале CVSS и были устранены Microsoft в рамках PatchTuesday за декабрь 2021 года. Обе представляют собой уязвимости SQL-инъекций, которые удаленный злоумышленник может использовать без аутентификации для выполнения RCE.
Выявленная в процессе проверки токена CVE-2021-42313 возникает из-за того, что параметр UUID не очищается. Ошибка позволяла им внедрять, обновлять и выполнять специальные команды SQL, на основании чего исследователи разработали PoC, который использует багу для извлечения идентификатора сеанса вошедшего в систему пользователя из базы данных, что приводит к полному захвату учетной записи.
CVE-2021-42311 также связана с процессом проверки токена, хотя и выполняется другой функцией, поскольку токен API, используемый для проверки, является общим для всех установок Defender for IoT.
SentinelLabs сообщила Microsoft о критических уязвимостях в июне 2021 года, а также о трех других проблемах, в том числе двух серьезных уязвимостях в Microsoft Defender для IoT (CVE-2021-42312 и CVE-2021-42310) и уязвимости в проекте с открытым исходным кодом RCDCAP (CVE -2021-37222).
CVE-2021-42310, как поясняют SentinelLabs, связана с механизмом восстановления пароля портала Azure, состоящим из веб-API Python и веб-API Java, который подвержен ошибке TOCTOU. Он использует подписанный ZIP-файл сброса пароля, который пользователь должен загрузить на соответствующей странице сброса пароля. Однако из-за дефекта безопасности можно использовать этот ZIP от другого пользователя для создания ZIP-файла, содержащего вредоносный JSON.
Атака может быть использована для получения пароля привилегированного пользователя Cyberx (Microsoft приобрела CyberX в 2020 году и встроила в Defender для IoT), что может привести к выполнению кода с привилегиями root, и натолкнуло исследователей к обнаружению простой проблемы с внедрением команд, влияющей на механизм смены пароля. Позже она была устранена в рамках CVE-2021-42312.
Несмотря на то, что свидетельств эксплуатации этих уязвимостей в дикой природе пока нет, все же рекомендуется отозвать все привилегированные учетные данные, развернутые на платформе, до того, как облачные платформы будут исправлены, и проверить журналы доступа на наличие нарушений.
Защитник для IoT, разработанный с возможностями непрерывного обнаружения и реагирования в сети (NDR), поддерживает различные устройства IoT, OT и промышленных систем управления (ICS) и может быть развернут как локально, так и в облаке.
Выявленные CVE-2021-42311 и CVE-2021-42313 имеют 10 баллов по шкале CVSS и были устранены Microsoft в рамках PatchTuesday за декабрь 2021 года. Обе представляют собой уязвимости SQL-инъекций, которые удаленный злоумышленник может использовать без аутентификации для выполнения RCE.
Выявленная в процессе проверки токена CVE-2021-42313 возникает из-за того, что параметр UUID не очищается. Ошибка позволяла им внедрять, обновлять и выполнять специальные команды SQL, на основании чего исследователи разработали PoC, который использует багу для извлечения идентификатора сеанса вошедшего в систему пользователя из базы данных, что приводит к полному захвату учетной записи.
CVE-2021-42311 также связана с процессом проверки токена, хотя и выполняется другой функцией, поскольку токен API, используемый для проверки, является общим для всех установок Defender for IoT.
SentinelLabs сообщила Microsoft о критических уязвимостях в июне 2021 года, а также о трех других проблемах, в том числе двух серьезных уязвимостях в Microsoft Defender для IoT (CVE-2021-42312 и CVE-2021-42310) и уязвимости в проекте с открытым исходным кодом RCDCAP (CVE -2021-37222).
CVE-2021-42310, как поясняют SentinelLabs, связана с механизмом восстановления пароля портала Azure, состоящим из веб-API Python и веб-API Java, который подвержен ошибке TOCTOU. Он использует подписанный ZIP-файл сброса пароля, который пользователь должен загрузить на соответствующей странице сброса пароля. Однако из-за дефекта безопасности можно использовать этот ZIP от другого пользователя для создания ZIP-файла, содержащего вредоносный JSON.
Атака может быть использована для получения пароля привилегированного пользователя Cyberx (Microsoft приобрела CyberX в 2020 году и встроила в Defender для IoT), что может привести к выполнению кода с привилегиями root, и натолкнуло исследователей к обнаружению простой проблемы с внедрением команд, влияющей на механизм смены пароля. Позже она была устранена в рамках CVE-2021-42312.
Несмотря на то, что свидетельств эксплуатации этих уязвимостей в дикой природе пока нет, все же рекомендуется отозвать все привилегированные учетные данные, развернутые на платформе, до того, как облачные платформы будут исправлены, и проверить журналы доступа на наличие нарушений.
SentinelOne
Pwning Microsoft Azure Defender for IoT | Multiple Flaws Allow Remote Code Execution for All
As if IoT & OT aren't hard enough to defend, we dive into five critical vulnerabilities in Microsoft Defender for IoT that leave the door wide open.
В арсенале хакерской группы Purple Fox новый троян FatalRAT, который был обнаружен в недавних атаках.
О новой малвари сообщили исследователи из Trend Micro, по заявлению которых машины пользователей атакуются с помощью троянских программных пакетов, маскирующихся под легитимные установщики приложений. Кроме того, Purple Fox обновили свои механизмы уклонения для обхода программного обеспечения безопасности в связи с чем установщики активно распространяются в сети и увеличивают общую инфраструктуру ботнета.
О деятельности группировки ранее сообщали исследователи Minerva Labs, которые рассказывали о способах использования мошеннических приложений Telegram для распространения бэкдора, а также других замаскированных установщиков программного обеспечения, таких как WhatsApp, Adobe Flash Player и Google Chrome.
Эти пакеты используются как загрузчики первого уровня, запуская последовательность заражений, которая приводила к развертыванию полезной нагрузки второго уровня с удаленного сервера и завершается выполнением двоичного файла, наследующего свои функции от FatalRAT.
Сам FatalRAT представляет из себя имплантат на основе C++, предназначенный для запуска команд и передачи конфиденциальной информации на удаленный сервер, при этом авторы вредоносных программ постепенно обновляют бэкдор новыми функциями. RAT отвечает за загрузку и выполнение вспомогательных модулей на основе проверок на компьютерах жертв. Например, изменения могут произойти, если запущены определенные антивирусные программы или найдены ключи реестра.
Кроме того, малварь поставляется с модулем руткита и поддерживает пять различных команд, включая копирование и удаление файлов из ядра, а также уклонение от антивируса путем перехвата вызовов, отправляемых в файловую систему.
Специалисты предупреждают, что операторы ботнета Purple Fox по-прежнему активны и постоянно обновляют свой арсенал новыми вредоносными программами. Хакеры постоянно оптимизируют работу руткитов для обхода антивирусных средств и других механизмов обнаружения путем подписанных драйверов ядра ОС.
О новой малвари сообщили исследователи из Trend Micro, по заявлению которых машины пользователей атакуются с помощью троянских программных пакетов, маскирующихся под легитимные установщики приложений. Кроме того, Purple Fox обновили свои механизмы уклонения для обхода программного обеспечения безопасности в связи с чем установщики активно распространяются в сети и увеличивают общую инфраструктуру ботнета.
О деятельности группировки ранее сообщали исследователи Minerva Labs, которые рассказывали о способах использования мошеннических приложений Telegram для распространения бэкдора, а также других замаскированных установщиков программного обеспечения, таких как WhatsApp, Adobe Flash Player и Google Chrome.
Эти пакеты используются как загрузчики первого уровня, запуская последовательность заражений, которая приводила к развертыванию полезной нагрузки второго уровня с удаленного сервера и завершается выполнением двоичного файла, наследующего свои функции от FatalRAT.
Сам FatalRAT представляет из себя имплантат на основе C++, предназначенный для запуска команд и передачи конфиденциальной информации на удаленный сервер, при этом авторы вредоносных программ постепенно обновляют бэкдор новыми функциями. RAT отвечает за загрузку и выполнение вспомогательных модулей на основе проверок на компьютерах жертв. Например, изменения могут произойти, если запущены определенные антивирусные программы или найдены ключи реестра.
Кроме того, малварь поставляется с модулем руткита и поддерживает пять различных команд, включая копирование и удаление файлов из ядра, а также уклонение от антивируса путем перехвата вызовов, отправляемых в файловую систему.
Специалисты предупреждают, что операторы ботнета Purple Fox по-прежнему активны и постоянно обновляют свой арсенал новыми вредоносными программами. Хакеры постоянно оптимизируют работу руткитов для обхода антивирусных средств и других механизмов обнаружения путем подписанных драйверов ядра ОС.
Trend Micro
Purple Fox Uses New Arrival Vector and Improves Malware Arsenal
Forwarded from SecurityLab.ru
Уязвимости в Dell BIOS, 230 тыс. маршрутизаторов контролируются ботнетом. Security-новости #54 | 12+
— Александр Антипов еженедельно рассказывает о главных новостях из мира ИБ, актуальных угрозах и событиях, которые оказывают влияние на жизни людей.
— Еженедельные конкурсы для подписчиков канала - курс недели и 10 годовых подписок на VPN hidemy.name
— Смотрите наши новости, ставьте лайки и жмите на цифровой колольчик, мы вместе спасем этот мир от киберхаоса!
https://www.youtube.com/watch?v=xcZQftc18Lw
— Александр Антипов еженедельно рассказывает о главных новостях из мира ИБ, актуальных угрозах и событиях, которые оказывают влияние на жизни людей.
— Еженедельные конкурсы для подписчиков канала - курс недели и 10 годовых подписок на VPN hidemy.name
— Смотрите наши новости, ставьте лайки и жмите на цифровой колольчик, мы вместе спасем этот мир от киберхаоса!
https://www.youtube.com/watch?v=xcZQftc18Lw
YouTube
Уязвимости в Dell BIOS, 230 тыс. маршрутизаторов контролируются ботнетом. Security-новости #54 | 12+
👉 Новости об инвестициях в кибербезопасность предоставлены каналом IT’s positive investing - https://news.1rj.ru/str/positive_investing
0:00 Security-новости
0:21 Розыгрыш VPN, ставьте #Positive и пишите в комментариях какой фильм или сериал стоит посмотреть, чтобы…
0:00 Security-новости
0:21 Розыгрыш VPN, ставьте #Positive и пишите в комментариях какой фильм или сериал стоит посмотреть, чтобы…
Lapsus$ вернулись из отпуска, опровергнув все доводы о том, что в результате силовой операции лондонской полиции костяк группы и ее лидер были арестованы. Собственно, о чем мы и говорили совсем недавно.
Для большей убедительности хакеры слили в сеть более 70 GB исходного кода и данные для доступа к devops-платформам, включая confluence, crucible, jira и github, следующей своей жертвы, которой оказалась компания в сфере разработки ПО со штаб-квартирой в Люксембурге - Globant.
Но самое печальное даже не это. Дело в том, что Globant - это лишь одна из многих других крупных компаний в сфере IT, которые уже были скомпрометированы Lapsus$.
Хакеры уже анонсировали перечень будущих жертв, среди которых Alphabet, Apple, Facebook и др. По их словам, доступ к исходному коду им удалось получить в результате целевой атаки на стороннего поставщика программного обеспечения, который по всей видимости участвовал в совместных разработках.
Для большей убедительности хакеры слили в сеть более 70 GB исходного кода и данные для доступа к devops-платформам, включая confluence, crucible, jira и github, следующей своей жертвы, которой оказалась компания в сфере разработки ПО со штаб-квартирой в Люксембурге - Globant.
Но самое печальное даже не это. Дело в том, что Globant - это лишь одна из многих других крупных компаний в сфере IT, которые уже были скомпрометированы Lapsus$.
Хакеры уже анонсировали перечень будущих жертв, среди которых Alphabet, Apple, Facebook и др. По их словам, доступ к исходному коду им удалось получить в результате целевой атаки на стороннего поставщика программного обеспечения, который по всей видимости участвовал в совместных разработках.
Эскалация кибершпионского противостояния между Пакистаном и Индией эволюционирует и приобретает все более изощрённые и интересные методы шпионской деятельности.
Очередная кампания хакерской группировки APT36 или более известной как Transparent Tribe и Mythic Leopard была обнаружена с использованием новых пользовательских вредоносных программ и векторов атаки против правительства Индии.
Как мы знаем небезызвестный субъект угрозы APT36 активен по крайней мере с 2016 года и его стратегическими целями почти всегда были исключительно индийские оборонные и правительственные организации. С учетом целей и ранее выявленных индикаторов компрометации группировка исторически считается связанной с Пакистаном и спонсируется государством.
В том числе о данной гипотезе рассказали исследователи Cisco Talos в своем новом отчете, который для нашего брата заблокирован, но в котором подробно изложены выводы об активности APT36 и подчеркнуты некоторые новые интересные изменения в тактике злоумышленника.
Наиболее примечательным аспектом новой кампании является использование встроенных приложений аутентификации Kavach, нацеленных на сотрудников индийского правительства. Kavach Authentication — это OTP-приложение, разработанное Индийским национальным центром информатики, для безопасной многофакторной аутентификации в критически важных информационных системах. Данное приложение доступно в Google Play и широко используется военнослужащими или государственными служащими Индии, которым необходим доступ к службам электронной почты, базам данных и другим ведомственными ИТ-ресурсам.
Распространение установщиков Kavach осуществляется через поддельные веб-сайты, которые являются клонами легитимных ресурсов индийских правительственных учреждений. Когда жертва получает копию установщика Kavach в месте с ним эксплуатируется вредоносная полезная нагрузка, которая автоматически инициирует процесс заражения вредоносным ПО по выбору злоумышленника.
Вместе с тем, пакистанские хакеры по-прежнему использует CrimsonRAT, впервые обнаруженный в атаках 2020 года, но вредоносное ПО с тех пор эволюционировало и дает чуть больше возможностей.
CrimsonRAT — основной передовой инструмент APT36, способный красть учетные данные из браузера, получать список запущенных процессов, дополнительные полезные нагрузки от C2 и делать снимки экрана.
В версии 2022 года CrimsonRAT также использует кейлоггер, поддерживает выполнение произвольных команд в скомпрометированной системе, может читать содержимое файлов, удалять файлы и многое другое. Обновление коснулось по большей части обработчика команд и появлению нового инструмента - легкого трояна удаленного доступа на NET, который является более простым по сравнению с CrimsonRAT, но все же предлагает мощные функции, такие как получение списка процессов, загрузки и запуска файлов с C2 или из других мест, безопасное соединение, сбор системной информации и другое.
APT36, вероятно, использует второй имплантат для резервирования, хотя это может быть просто более ранняя версия нового пользовательского RAT, который будет улучшен за счет дополнительных функций в будущем.
Очередная кампания хакерской группировки APT36 или более известной как Transparent Tribe и Mythic Leopard была обнаружена с использованием новых пользовательских вредоносных программ и векторов атаки против правительства Индии.
Как мы знаем небезызвестный субъект угрозы APT36 активен по крайней мере с 2016 года и его стратегическими целями почти всегда были исключительно индийские оборонные и правительственные организации. С учетом целей и ранее выявленных индикаторов компрометации группировка исторически считается связанной с Пакистаном и спонсируется государством.
В том числе о данной гипотезе рассказали исследователи Cisco Talos в своем новом отчете, который для нашего брата заблокирован, но в котором подробно изложены выводы об активности APT36 и подчеркнуты некоторые новые интересные изменения в тактике злоумышленника.
Наиболее примечательным аспектом новой кампании является использование встроенных приложений аутентификации Kavach, нацеленных на сотрудников индийского правительства. Kavach Authentication — это OTP-приложение, разработанное Индийским национальным центром информатики, для безопасной многофакторной аутентификации в критически важных информационных системах. Данное приложение доступно в Google Play и широко используется военнослужащими или государственными служащими Индии, которым необходим доступ к службам электронной почты, базам данных и другим ведомственными ИТ-ресурсам.
Распространение установщиков Kavach осуществляется через поддельные веб-сайты, которые являются клонами легитимных ресурсов индийских правительственных учреждений. Когда жертва получает копию установщика Kavach в месте с ним эксплуатируется вредоносная полезная нагрузка, которая автоматически инициирует процесс заражения вредоносным ПО по выбору злоумышленника.
Вместе с тем, пакистанские хакеры по-прежнему использует CrimsonRAT, впервые обнаруженный в атаках 2020 года, но вредоносное ПО с тех пор эволюционировало и дает чуть больше возможностей.
CrimsonRAT — основной передовой инструмент APT36, способный красть учетные данные из браузера, получать список запущенных процессов, дополнительные полезные нагрузки от C2 и делать снимки экрана.
В версии 2022 года CrimsonRAT также использует кейлоггер, поддерживает выполнение произвольных команд в скомпрометированной системе, может читать содержимое файлов, удалять файлы и многое другое. Обновление коснулось по большей части обработчика команд и появлению нового инструмента - легкого трояна удаленного доступа на NET, который является более простым по сравнению с CrimsonRAT, но все же предлагает мощные функции, такие как получение списка процессов, загрузки и запуска файлов с C2 или из других мест, безопасное соединение, сбор системной информации и другое.
APT36, вероятно, использует второй имплантат для резервирования, хотя это может быть просто более ранняя версия нового пользовательского RAT, который будет улучшен за счет дополнительных функций в будущем.