Испанский национальный исследовательский совет (CSIC) 16-17 июля подвергся атаке с использованием ransomware.

CSIC является государственным агентством по научным исследованиям и технологическому развитию, входящим в состав Министерства науки и инноваций Испании, но с особым статусом, поскольку оно имеет собственные активы и казначейство, функциональную и управленческую автономию.

Сразу после выявления вторжения 18 июля был активирован протокол Центра операций по кибербезопасности (COCS) и Национального криптологического центра (CCN). Специалистам удалось изолировать сеть нескольких своих исследовательских центров и оперативно локализовать угрозу.

Однако до настоящего времени на 85% инфраструктура остается отключенной. Чуть более четверти центров CSIC уже имеют подключение к сети. При этом агентство не сообщает, была ли зашифрована какая-либо из ее систем.

По результатам предварительного расследования инцидента специалисты не обнаружили признаков того, что злоумышленник украл секретную или конфиденциальную информацию.

Но даже при отсутствии окончательных результатов расследования, им никак не помешало указать на источник кибератаки, который исходит из России. Правда, в самом CSIC атаку атрибутируют киберпреступной группе.

Ну, а мы полагаем увидеть атрибуцию на одном из известных DLS.

Malwarebytes сообщают о кампании с использованием новой вредоносной ПО Woody RAT, которая позволяет удаленно контролировать и красть информацию со взломанных устройств.

Ресерчеры отмечают, что неизвестные злоумышленники нацелены на российские организации, одной из которых стала Объединённая авиастроительная корпорация.

По данным, одной из российских организаций, подвергшихся атаке с использованием этой вредоносной программы, является государственная оборонная корпорация.

Выявленный троян удаленного доступа RAT обладает широким спектром возможностей и использовался в атаках не менее года.

Доставляется на компьютеры целей через фишинговые электронные письма двумя способами: ZIP-архивами, содержащими вредоносную полезную нагрузку, и документами Microsoft Office с названием «памятка по информационной безопасности», которые используют уязвимость Follina для сброса полезных нагрузок.

Среди функций RAT: сбор системной информации, формирование списка папок и запущенных процессов, выполнение команд и файлов, полученных с C2, загрузка и удаление файлов на зараженных машинах, а также создание снимков экрана.

Woody Rat также может выполнять код .NET, а также команды и сценарии PowerShell от своего C2, с помощью двух библиотек DLL с именами WoodySharpExecutor и WoodyPowerSession.

Запустившись на скомпрометированном устройстве, вредоносное ПО использует очистку процессов для внедрения в приостановленный процесс, удаляет себя с диска, чтобы избежать обнаружения продуктами безопасности, и возобновляет поток.

RAT шифрует свои каналы связи C2, используя комбинацию RSA-4096 и AES-CBC и избегая таким образом сетевого мониторинга.

Malwarebytes пока не связывает вредоносное ПО и атаки с какой-либо известной группой, но полагает, что список подозреваемых включает китайские и северокорейские APT.

Однако, исходя из того, что удалось собрать и проанализировать, ресерчеры не нашли никаких убедительных признаков, позволяющих отнести эту кампанию к упомянутым акторам.

Было много шума и переживаний по поводу того, что российский рынок ИБ стремительно лишается зарубежных поставщиков, которые занимали до 39% от общего объема рынка по состоянию на 2021 год.

С конца февраля Avast, Cisco, Fortinet, IBM, ESET, NortonLifeLock Inc., Forcepoint (Websense) заявили о своем уходе.

Однако ведущие представители российской инфосек-индустрии видят в этом большие перспективы. Лаборатория Касперского, Positive Technologies и Информзащита рассказали «Коммерсанту» о возможных драйверах роста.

По прогнозу фонда «Центр стратегических разработок» некоммерческая организация, разрабатывающая стратегии долгосрочного развития экономики РФ), к 2026 году российский рынок ИБ вырастет с 185,9 млрд до 469 млрд рублей (CAGR рынка в 2026 году составит 20%).

При этом доля российских компаний на рынке вырастет c 113 млрд рублей в 2021 году до 446 млрд рублей в 2026 году (CAGR за 5 лет — 32%), а доля зарубежных вендоров сократится до 5%.

Директор по развитию бизнеса Positive Technologies Максим Филиппов обосновывает это тем, что, в первую очередь, на развитие рынка повлияет уход западных компаний, во вторую — реальные киберинциденты, вызванные геополитической ситуацией, и госрегулирование, которое и станет основополагающим фактором роста.

С учетом того, что израильская Check Point с российского рынка уходить вовсе даже не собирается, в самую пору вспомнить анекдот про здоровье Рабиновича. Пациент жив и бодр.

͏Специалистов, которые взламывают устройства Apple, взломали.

Решения израильского поставщика Cellebrite наряду с NSO Group используются спецслужбами и правоохранителями по всему миру.

4 ТБ данных, включая исходники Cellebrite Mobilogy и Cellebrite TFS, просочилась (1, 2) в глобальную сеть от анонимного источника.

Примечательно, что Cellebrite Mobilogy использует тот же код, что и Cellebrite Universal Forensics Extraction Device или Cellebrite UFED.

Для справки, последние активно используют спецслужбы для проведения экспертиз компьютерной и мобильной техники под управлением ОС Android и iOS.

Ассоциация немецких торгово-промышленных палат (DIHK) пала под натиском кибератаки и была вынуждена отключить все свои IT-системы.

DIHK представляет собой объединение 79 палат, представляющих немецкие компании, и включает более 3 млн. членов из числа представителей хозяйствующих организаций, начиная от небольших торговых точек и заканчивая крупными предприятиями.

DIHK реализует услуги юридического представительства, консультации, продвижение внешней торговли, обучение, а также региональное экономическое развитие.

В своем заявлении DIHK предупредили, что инфраструктура отключена в качестве меры предосторожности до момента принятия необходимых мер защиты.

Генеральный директор DIHK Майкл Бергманн, в свою очередь, сообщил в LinkedIn, что кибератака произошла в среду, и охарактеризовал инцидент как «массовый».

Как на наш взгляд, на лицо все признаки атаки с использованием ransomware, хотя это официально еще не подтверждено. В таком случае ожидаем официального подтверждения уже через DLS.

Министерство внутренней безопасности США (DHS) сообщает о критических уязвимостях в непропатченных устройствах декодера системы экстренного оповещения (EAS), которые могут быть использованы для инициирования поддельных предупреждений о чрезвычайных ситуациях через хост-инфраструктуру (телевидение, радио, кабельную сеть).

EAS - это национальная система оповещения населения США, которая позволяет высшим и местным властям предоставлять критически важную информацию в случае чрезвычайной ситуации, а также когда использование всех других средств оповещения населения не доступно.

Оповещения EAS доставляются через IPAWS по всем каналам связи одновременно, включая AM, FM и спутниковое радио, а также кабельное и спутниковое телевидение. Они также могут прерывать радио- и телепрограммы и могут быть доставлены в виде текстовых сообщений с аудиовложениями или без них.

Уязвимость была обнаружена Кеном Пайлом, исследователем Cybir, и затрагивает устройства EAS Monroe Electronics R189 One-Net DASDEC.

PoC был успешно продемонстрирован и будет представлен на предстоящей конференции DEFCON 2022 в Лас-Вегасе 11–14 августа.

В случае успешной эксплуатации, злоумышленник легко может получить доступ к учетным данным, сертификатам, устройствам, использовать веб-сервер, отправлять фальшивые оповещения с помощью сообщений crafts, получать действительные/упреждающие сигналы, а также блокировать других пользователей.

Ресерчер отметил, что многочисленные уязвимости и проблемы (подтвержденные другими исследователями) не устранялись в течение нескольких лет и превратились в один большой баг.

Учитывая их бюрократию, вероятно, и распутывать баг будут также долго.

​👁 Прокачиваем навыки OSINT.

🖖🏻 Приветствую тебя user_name.

• Сегодня у нас будет небольшая подборка ценной и актуальной информации касательно #OSINT. Данный материал будет очень полезен социальным инженерам и всем остальным, кому интересна тема поиска информации о цели.

• Начну с очень интересного видеоматериала. Автор и другие участники видео находят местоположение объекта по фото, используют интересные инструменты и различные методы поиска геолокации цели. Рекомендую к просмотру: https://youtu.be/OsY32K1s51Y

• Следующим пунктом, предлагаю ознакомиться с очень полезным списком инструментов Майкла Баззела: https://inteltechniques.com/tools внушительный и актуальный список тулз для поиска информации о цели по различным критериям.

• Наша подборка завершается огромным количеством инструментов, которые аккуратно распределены по критериям. Можно найти очень много нового и полезного материала для OSINT: https://start.me/p/1kJKR9/commandergirl-s-suggestions

p.s. Не забывай про нашу подборку материала https://news.1rj.ru/str/Social_engineering/1838 и добавляй в избранное.

Твой S.E. #OSINT

Исследователи Cisco Talos приоткрывают завесу нового сервиса под названием Dark Utilities, который реализует C2-as-a-Service.

Dark Utilities предлагает киберпреступникам простой и недорогой способ создать центр управления и контроля для своих вредоносных операций. Платформа поддерживает полезные нагрузки на основе Windows, Linux и Python и обеспечивает канал связи C2.

C2aaS включает надежную и анонимную инфраструктуру C2, а также все необходимые дополнительные функции по стартовой цене всего за 9,99 евро.

Согласно отчету Cisco Talos, у сервиса около 3000 активных абонентов, что приносит операторам доход в размере 30 000 евро.

Dark Utilities появились в начале 2022 года и предлагают полноценные возможности C2 как на базе Tor, так и в обычной сети. Он размещает полезные данные в IPFS (децентрализованной сетевой системе для хранения и обмена данными).

Поддерживается несколько архитектур, и похоже, что операторы планируют расширить их список, чтобы предоставить больший набор вариантов устройств, на которые можно нацеливаться.

Исследователи Cisco Talos выяснили, что при выборе ОС создается командная строка, которую акторы обычно встраивают в скрипты PowerShell или Bash, чтобы облегчить поиск и выполнение полезной нагрузки на компьютерах-жертвах.

Выбранная полезная нагрузка также обеспечивает сохранение в целевой системе путем создания ключа реестра в Windows, записи Crontab или службы Systemd в Linux.

По словам исследователей, административная панель поставляется с несколькими модулями для различных типов атак, включая распределенный отказ в обслуживании (DDoS) и криптоджекинг.

Благодаря уже наработанной клиентской базе и низкой цене Dark Utilities, вероятно, в обозримом будущем могут существенно пополнить преступный контингент низкоквалафицированными кадрами.

Cisco Talos собрал индикаторы компрометации для Dark Utilities в помощь компаниям для защиты от вредоносных ПО, использующих эту платформу.

F5 выпустила ежеквартальные обновления для устранения 21 уязвимости, затрагивающей BIG-IP и другие продукты.

Отдельные бюллетени касаются дюжины уязвимостей высокой степени серьезности, а также для восьми уязвимостей средней степени серьезности и одной - низкой степени.

Проблемы с высоким уровнем серьезности можно использовать для обхода ограничений безопасности, RCE, DoS и повышения привилегий.

Более половины уязвимостей, особенно уязвимости DoS, можно использовать удаленно без аутентификации. Некоторые из этих уязвимостей связаны с компонентом Traffic Management Microkernel (TMM).

Ошибки средней степени серьезности могут привести к отказу в обслуживании, раскрытию информации, перехвату трафика и обходу системы безопасности, но для большинства из них требуется аутентификация и доступ к сети.

Подавляющее большинство уязвимостей было обнаружено специалистами самой F5.

Информации об эксплуатации ошибок в дикой природе поставщик не приводит. Последний патч исправлений не содержит каких-либо критических недостатков.

Но это все вовсе не означает, что исправления следует игнорировать, учитывая, что злоумышленники достаточно быстро нацеливаются на уязвимости в продуктах BIG-IP.

Следующее ежеквартальное уведомление F5 запланировано на 19 октября.

В результате очередной атаки на цепочку поставок из строя была выведена Службы экстренной помощи Национальной службы здравоохранения (NHS) Великобритании.

Киберинцидент связан со сбоем в системе британского поставщика управляемых услуг (MSP) Advanced.

По имеющимся данным, клиентское решение Advanced для управления пациентами Adastra используется 85% служб NHS. Именно оно пострадало в числе других сервисов, предоставляемых MSP.

По заявлению представителей здравоохранения, атака нанесло значимый ущерб, а ее последствия будут иметь долгосрочный характер. Что собственно подтверждает и главный операционный директор Advanced Саймон Шорт.

Населению Великобритании рекомендовано обращаться в службы экстренной помощи NHS 111 с помощью онлайн-платформы, пока инцидент не будет разрешен. На данным момент восстановлено лишь 2% инфраструктуры Health&Care.

Относительно подробностей инцидента информации мало, однако по всем признакам речь идет о ransomware.

Учитывая, что Advanced поставляет ПО для более чем 22 000 клиентов по всему миру в различных отраслевых направлениях, от здравоохранения и образования до некоммерческих организаций, последствия атаки могут иметь куда более сложные контуры.

Будем посмотреть.

Slack массово сбросил пароли, которые могли быть раскрыты из-за уязвимости, о чем уведомил лишь 0,5% своих пользователей.

А среди них между прочим более 169 000 платных клиентов из более чем 150 стран, 65 компаний из списка Fortune 100 (вероятные получатели уведомлений).

Ошибка способствовала при создании приглашения передаче хэшированной версии пароля другим членам рабочей области. Хоть это и не позволяет увидеть открытый текст пароля, такой подход всё равно создает угрозу безопасности.

Бага была обнаружена независимым исследователем, который сообщил о ней Slack 17 июля. Проблема затрагивает всех пользователей, которые создавали или отозвали общие ссылки-приглашения в период с 17 апреля 2017 года по 17 июля 2022 года.

Как утверждает компания, хешированные пароли не были видны клиентам и для доступа к этой информации требовался активный мониторинг зашифрованного сетевого трафика с серверов Slack.

В Slack заявили, что у них нет оснований полагать, что ошибка использовалась для получения доступа к незашифрованным паролям, прежде чем она была исправлена.

Однако в целях предосторожности было принято решение произвели сброс паролей пользователей. Так что, если вы не смогли войти в Slack сегодня — возможно, ваш предыдущий пароль оказался под угрозой раскрытия.

FortiGuard Labs сообщают о новом вредоносном ПО IoT RapperBot, которое нацелено на серверы Linux с помощью SSH-атак методом перебора.

Вредоносное ПО получило свое оригинальное название от встроенного в более ранних версиях URL-адреса рэп-клипа на YouTube.

RapperBot находится в активной разработке и быстро наращивает свои возможности, что отмечено с момента его первого обнаружения в середине июня 2022 года. ПО насчитывает более чем 3500 уникальных IP-адресов скомпрометированных SSH-серверов, используемых для сканирования и брута.

Штамм в значительной степени заимствовал многое из оригинального исходного кода Mirai, но что отличает его от других семейств вредоносных программ IoT, так это встроенная возможность взлома учетных данных и получения доступа к SSH-серверам вместо Telnet, как это реализовано в Mirai.

Текущая реализация RapperBot также отличает его от Mirai, позволяя ему в первую очередь функционировать как «инструмент грубой силы» с ограниченными возможностями для выполнения DDoS.

Как известно, с середины июля RapperBot перешел от самораспространения к удаленному доступу к SSH-серверам с перебором.

Атаки реализуется перебором потенциальных целей с использованием списка учетных данных, полученных с удаленного сервера. После успешного взлома уязвимого SSH-сервера действительные учетные данные передаются обратно в командно-контрольную службу.

Доступ достигается путем добавления открытого ключа SSH оператора в специальный файл с именем «~/.ssh/authorized_keys», что позволяет злоумышленнику подключиться и аутентифицироваться на сервере с использованием соответствующего закрытого закрытого ключа без необходимости предоставления пароля.

Последнее представляет серьезную угрозу для скомпрометированных SSH-серверов, поскольку злоумышленники могут получить к ним доступ даже после изменения учетных данных SSH или отключения аутентификации по паролю SSH.

В отличие от Mirai, малварь также стремится закрепиться на скомпрометированном узле, позволяя оператору поддерживать долгосрочный доступ после удаления вредоносного ПО или перезагрузки устройства, что создает отличный плацдарм для для проведения атак типа «отказ в обслуживании» в стиле Mirai.

Все это вызывает у ресерчеров все больше вопросов относительно преследуемых оператором конечных целей. Ведь за короткий промежуток времени функция DDoS была удалена из артефактов, а через неделю возвращена обратно.

После успешного взлома не наблюдается никакой последующей активности. В целом, ботнет медленно, но верно растет, а его способность сохраняться в системе-жертве дает злоумышленникам возможность задействовать его потенциал в будущем.

Meta (она же Facebook) выпустила отчет об угрозах за второй квартал 2022 года.

Среди основных моментов - разоблачение двух кластеров кибершпионажа, атрибутированных к Bitter APT и APT36 (или Transparent Tribe) с использованием нового вредоносного ПО для ОС Android.

Обе в рамках начавшихся в начале этого года кампаний используют соцсети, в том числе Facebook, для сбора информации (OSINT) или взаимодействия с жертвами с фейковых аккаунтов, для привлечения их на внешние платформы с последующей загрузкой вредоносного ПО.

В отчете Meta указывает, что Bitter APT реализует социальную инженерию в отношении целей из Новой Зеландии, Индии, Пакистана и Великобритании.

Цель группы состояла в том, чтобы заразить свои цели вредоносным ПО, и для этой цели она использовала сокращения URL-адресов, скомпрометированных сайтов и сторонних поставщиков файлового хостинга.

В атаках использовались фиктивные профили, маскирующиеся под привлекательных молодых женщин.

В ходе продолжительного взаимодействия с целями АРТ старались не привлекать внимание модераторов, размещая неработающие ссылки или изображения вредоносных ссылок, заставляя пользователей вводить вручную в свой браузер вместо нажатий.

Недавние атаки также выявили дополнения в арсенале актора в виде двух мобильных приложений, ориентированных на пользователей iOS и Android соответственно.

Версия для iOS - это приложение для чата, поставляемое через сервис Apple Testflight. Как правило, субъекты угроз убеждают жертв загрузить эти чат-приложения, представляя их как "более безопасные".

Приложение для Android представляет собой новое вредоносное ПО, которое Meta назвала Dracarys, злоупотребляющее правами доступа для установки произвольных приложений, записи звука, захвата фотографий и сбора конфиденциальных данных с зараженных телефонов, включая журналы вызовов, контакты, файлы, смс, геолокацию и информацию об устройстве, обеспечивая сокрытие от антивирусных решений.

Dracarys доставлялся через троянские дроппер-приложения под видом YouTube, Signal, Telegram и WhatsApp.

APT36 опирается на сложную тактику социальной инженерии и легкодоступное вредоносное ПО.

Последняя деятельность, обнаруженная Meta, была нацелена на цели в Афганистане, Индии, Пакистане, Объединенных Арабских Эмиратах и Саудовской Аравии, уделяя особое внимание военным и правозащитникам.

Участники APT создали учетные записи рекрутеров фиктивных организаций и использовали службу обмена файлами WeTransfer для отправки предполагаемых предложений о работе своим целям.

Загруженные файлы содержали модифицированную версию XploitSPY, которую Meta назвала LazaSpy.

Помимо LazaSpy, APT36 также использовал Mobzsar, вредоносное ПО, которое позволяет операторам получать доступ к журналам вызовов, спискам контактов, SMS, данным GPS, фотографиям и микрофону.

Twilio, специализирующаяся на облачных коммуникациях, сообщила о серьёзном киберинциденте, произошедшем 4 августа 2022 года, в результате которого произошла утечка данных клиентов компании.

Имея более 5000 сотрудников в 26 офисах в 17 странах, Twillio предоставляет программируемые голосовые, текстовые, чатовые, видео и электронные API-интерфейсы, используемые 10 миллионами разработчиками и 150 000 предприятиями (включая и такие, как Facebook и Uber) для создания платформ взаимодействия с клиентами.

Ранее в феврале 2015 года Twilio приобрела Authy, крупного поставщика 2FA для более чем 1 млн. конечных пользователей по всему миру.

Хакеры получили доступ к данным клиентов после взлома внутренних систем посредством кражи учетных данных сотрудников в ходе масштабной фишинговой SMS-атаки.

Используя методы социальной инженерии, злоумышленники выдали себя за IT-отдел Twilio и запрашивали подтверждение пароля, срок действия которого якобы истек.

Фишинговые SMS-сообщения вынуждали сотрудников Twilio переходить по встроенным ссылкам, содержащих ключевые слова «Twilio», «Okta» и «SSO», оторые перенаправляли их на клон страницы входа Twilio.

В рамках реализуемой кампании актор задействовал сети операторов связи, регистраторов и хостинг-провайдеров США, а после раскрытия - стал чередовать их другими компаниями для возобновления атак.

Компания начала расследование. Личности злоумышленников не установлены, подключили спецслужбы и задействовавшихся в атаке операторов. Twilio заблокировала скомпрометированные учетные записи сотрудников и начала уведомлять клиентов, пострадавших от инцидента.

Директор по коммуникациям Twilio в регионе EMEA Кэтрин Джеймс отказалась предоставить дополнительную информацию в отношении масштабов, обстоятельств фишинговой атаки, а также количества жертв из числа клиентов.

Согласно политике конфиденциальности Twilio, утечка потенциально могла содержать всю собираемую информацию, включая адреса, платежные реквизиты, IP-адреса и, в некоторых случаях, удостоверения личности.

Ресерчеры полагают, что злоумышленники хорошо организованы, изощренны и методичны в своих действиях. А главное - не намерены останавливаться, продолжая предпринимать попытки совершения атак.

͏Продовольственный кризис в Европе усугубляется, свой вклад вносят вымогатели.

Магазины 7-Eleven в Дании массово закрылись вчера после того, как кибератака нарушила работу платежных и кассовых систем 175 торговых точек по всей стране.

Вообще же, базирующаяся в Ирвинге, штат Техас, компания 7-Eleven имеет более 77 000 магазинов по всему миру, которыми она управляет либо напрямую, либо по лицензии.

Атака произошла рано утром 8 августа, о чем компания уведомила покупателей в Facebook. В приведенном заявлении говорится, что компания закрыла все магазины в стране на время расследования инцидента с безопасностью.

Администрация прекратила операционную деятельность на время расследования. Дабы не способствовать панике, СМИ удаляют сообщения об атаке и всячески избегают огласки подробностей.

В исчезнувшей статье Reddit один из сотрудников 7-Eleven также подтвердил кибератаку, заявив, что они были вынуждены закрыть магазин после того, как перестали работать кассовые системы.

В настоящее время нет никаких дополнительных подробностей об атаке, в том числе о том, была ли это ransomware, вызывавшая широкомасштабный сбой.

7-Eleven при этом не намерены делиться информацией, кроме той, что представлена в первоначальном заявлении. Вероятно, дешевле заплатить выкуп, а переговоры требуют тишины. Впрочем, будем посмотреть.

Lazarus продолжают работу по пополнению своих криптоактивов.

На этот раз их подозревают в причастности к атаке deBridge Finance, который обеспечивает децентрализованную передачу активов между различными блокчейнами.

Актор использовал фишинговые электронные письма для обмана сотрудников компании, чтобы заставить их запустить вредоносное ПО, которое собирало различную информацию из систем Windows и позволяло доставлять дополнительный вредоносный код для последующих этапов атаки.

Все произошло на прошлой неделе в четверг, когда сотрудники deBridge Finance получили рассылку якобы от соучредителя компании Алекса Смирнова, в которой сообщалась об изменении заработной платы. Большая часть отправлений была отмечена как «подозрительная». Правда, пару жертв хакерам удалось подсадить на крючок.

Электронное письмо содержало HTML-файл под названием «Новые корректировки заработной платы», который выдавал себя за PDF-файл, а также файл ярлыка Windows (.LNK) с обычным текстовым файлом, содержащим пароль.

При нажатии на поддельный PDF-файл открывалось облачное хранилище с защищенным паролем архивом, содержащим PDF-файл, который приводит к запуску поддельного текстового файла для получения пароля.

LNK выполняет командную строку с командой, которая извлекает полезную нагрузку из удаленного места. Сценарий был создан для отображения блокнота с «паролем pdf: зарплата2022» и проверки, защищена ли скомпрометированная система решениями ESET, Tencent или Bitdefender.

Далее сгенерированный вредоносный файл сохранялся в папке автозагрузки для обеспечения устойчивости. Это позволило вредоносной ПО сохранять устойчивость и отправлять запросы на С2 для получения дальнейших инструкций.

На этом этапе злоумышленник собирал сведения о зараженной системе, такие как имя пользователя, операционная система, ЦП, сетевые адаптеры и запущенные процессы.

АТрибутировать атаку к Lazarus удалось благодаря совпадению имен файлов и инфраструктуры, использованных в предыдущих атаках АРТ.

Еще в июле исследователи из PwC UK и Malwarebytes сообщали о другой кампании Lazarus, также известной как CryptoCore и CryptoMimic, в которой использовались те же имена файлов или схожие.

А в марте хакеры нацеливались на криптоплатформу Woo Network с документом, замаскированным под предложение о сотрудничестве, адресованным якобы от Coinbase. И даже в этом случае, несмотря на различные наименования файлов, злоумышленник использовал один и тот же маневр с поддельным PDF, замаскировав вредоносный файл и заставив жертву выполнить его.

В обеих атаках на deBridge и Woo Network хакеры использовали вредоносное ПО для систем Windows. В случае обнаружения системы macOS жертва получала ZIP-архив с настоящим PDF-файлом.

Похоже, что северокорейская Lazarus уловила тренд и сосредоточила внимание на кроссчейн-технологиях, использует приемы социальной инженерии для последующей компрометации транзакций скрипты.

Учитывая сорванный куш в 620 млн. долларов с сетевого моста Ronin компании Axie Infinity, хоть и не всегда, но им это определенно удаётся.

Bug Bounty от VK уже на The Standoff 365

VK — крупнейшая технологическая компания, создающая проекты и сервисы для российского потребителя. Вы или ваши родственники на регулярной основе пользуетесь десятками из них: от почты и социальных сетей до каршеринга, доставки продуктов и обучения.

Компания не первый год даёт хакерам поле для охоты на уязвимости за вознаграждение. В вашем распоряжении будет 40+ проектов. Сегодня запустили первую партию:

▪️ социальные сети ВКонтакте и Одноклассники;
▪️ образовательные платформы GeekBrains, Skillbox, Алгоритмика, Тетрика и Учи.ру;
▪️ почтовый сервис Mail.ru;
▪️ облачная платформа VK Cloud Solutions;
▪️ набор коммуникационных сервисов TAPM (Типовое Автоматизированное Рабочее Место).

⚡️ Максимальная награда за уязвимости — до 1,8 млн рублей (в зависимости от уровня угрозы).

Искать уязвимости 👉 bugbounty.standoff365.com/vendors/vk

Касперские рассказывают о выявленной в январе этого года масштабной кибершпионской кампании, направленной на оборонные предприятия и госорганы России, Белоруссии, Украины, а также, почему-то, Афганистана.

По данным ЛК, атакующим удалось проникнуть в сети десятков организаций, а в некоторых полностью взять под контроль IT-инфраструктуру, включая контроллер домена, и решения информационной безопасности.

В структуре самой киберкампании ничего сверхоригинального нет - сначала рассылка фишинговых почтовых сообщений, эксплуатирующих RCE-уязвимость Microsoft Office пятилетней давности CVE-2017-11882. Дальше в ход шел RAT (Remote Access Trojan) PortDoor, впервые обнаруженный в прошлом году инфосек компанией Cybereason.

Кроме PortDoor атакующие использовали сразу пять бэкдоров с широким функционалом. Все из них, кроме одного, исследователи отнесли к инструментарию китайской APT TA428. Кроме того, о причастности китайских хакеров свидетельствует эксфильтрация собранных в атакованных сетях данных прямо на управляющий центр в КНР.

Данная кибероперация лишний раз свидетельствует, что соблюдение грамотной политики обновления используемого ПО - залог долгой и спокойной жизни любой организации, которая дорожит своей информационной безопасностью.

Про ТА428 же имеем сказать следующее. Эта китайская APT была впервые описана Proofpoint в 2019 году и с тех пор отметилась рядом громких взломов государственных ресурсов ряда стран. Так, в период с 2018 по 2020 год они активно шпионили за монгольскими госслужащими посредством корпоративного мессенджера Able Desktop, разработчика которого они предусмотрительно распотрошили заранее.

В конце 2020 года китайцы вскрыли Вьетнамский государственный центр сертификации (VGCA), посредством чего скомпрометировали сайт Правительства Вьетнама, впендюрив на него два зараженных бэкдором Smanager установщика.

Ну а прошлой весной атаковали некий неназванный российский НИИ, а также пытались взломать питерское ЦКБ Рубин.

Таким образом TA428 - группа скилованная, специализирующаяся на комплексных операциях кибершпионажа. Судя по ряду признаков, в частности по пересечениям в используемом вредоносном инструментарии, - это часть какой-то более крупной китайской APT, возможно Winnti или Tonto (за которой стоит Технический разведывательный Департамент НОАК).

͏Как мы и предполагали, помимо взлома Twilio, жертвами широкомасштабной фишинговой SMS-атаки стали также сотрудники Cloudflare.

Компания подтвердила, что некоторые учетные данные ее сотрудников были скомпрометированы, аналогично киберинциденту с Twilio, который произошёл на прошлой неделе.

Правда, хоть злоумышленники и получили доступ к учетным записям сотрудников Cloudflare, им не удалось взломать ее системы.

Cloudflare удалось предотвратить атаку благодаря продуктам Cloudflare One и физическим ключам безопасности, выданным каждому сотруднику, которые необходимы для доступа ко всем приложениям, в соответствии с FIDO2.

Специалисты Cloudflare заметили, что после ввода учетных данных на фишинговых страницах на компьютеры жертв автоматически загружалось ПО для удаленного доступа AnyDesk, позволяющее злоумышленникам удаленно управлять хостами.

В ходе расследования инцидента установлено, что фишинговые сообщения были отправлены 76 сотрудникам и их семьям с телефонных номеров T-Mobile, перенаправляя цели на клон страницы входа Cloudflare Okta с доменом cloudflare-okta[.]com.

Он был зарегистрирован через регистратора Porkbun, который также использовался для регистрации доменов под атаки на Twilio.

Полагаем, что совсем скоро подкатятся новые жертвы и утечки отмеченной фишинговой кампании, а также и новые инциденты, ведь актор, похоже что, не намерен останавливаться.

͏В рамках ежемесячного PatchTuesday за август 2022 года Microsoft выпустила исправления для 121 уязвимости, включая две 0-day.

Одна из них - DogWalk активно эксплуатируется в атаках в дикой природе.

Она отслеживается Microsoft как CVE-2022-34713. RCE-уязвимость затрагивает средства диагностики Microsoft Windows MSDT.

Исследователь Имре Рад обнаружил уязвимость ещё в январе 2020 года, тогда Microsoft решила не исправлять ее, посчитав, что она не относится к безопасности.

Однако после всеобщего негодования инфосек-сообщества, ошибка была все же исправлена Microsoft в рамках отмеченных обновлений. Хотя, как мы уже не раз наблюдали, сказать и сделать - не одно и тоже, когда речь идёт о микромягких патчах.

Другая 0-day отслеживается как CVE-2022-30134 и представляет собой уязвимость раскрытия информации Microsoft Exchange, позволяя злоумышленнику читать целевые сообщения электронной почты.

Microsoft заявляет, что бага не использовалась в реальных атаках. Тут мы бы также добавили «пока».

Три уязвимости CVE-2022-30133, CVE-2022-35744 и CVE-2022-34691, закрытые Microsoft, оцениваются как критические и получили оценку CVSS 9,8.

Первые две уязвимости - это проблемы с удаленным выполнением кода, влияющие на Windows Point-to-Point Protocol (PPP), третья связана с повышением привилегий и затрагиваем доменные службы Active Directory.

В целом же, отработанный Microsoft перечень включает: 64 уязвимости повышение привилегий, 6 - обхода функций безопасности, 31 - RCE, 12 - раскрытия информации, 7 - DoS и 1 - спуфинга.

При этом 17 исправленных уязвимостей относятся к категории критических и позволяют удаленно выполнять код или повышать привилегии.

Полный список пропатченных дыр и рекомендаций PatchTuesday за август 2022 года представлены в полном отчете.