Консорциум интернет-систем ISC устранил шесть уязвимостей в ПО BIND DNS, которые можно использовать удаленно.
Четыре из шести недостатков, все из которых связаны с отказом в обслуживании DoS, имеют высокую степень серьезности.
Одна из проблем CVE-2022-2906 (с оценкой CVSS 7,5) вызывает утечку памяти при обработке ключей при использовании записей TKEY в режиме Диффи-Хеллмана с OpenSSL 3.0.0 и более поздними версиями.
Злоумышленник может использовать багу для того, чтобы постепенно стирать доступную память до вызова сбоя из-за нехватки ресурсов. После перезапуска злоумышленнику придется начинать заново, но, тем не менее, вероятность отказа в обслуживании будет сохраняться.
Другая уязвимость, отслеживаемая как CVE-2022-38177, представляет собой утечку памяти в проверочном коде ECDSA DNSSEC. Злоумышленник может активировать уязвимость, в виду несоответствия длины подписи.
Третья проблема CVE-2022-3080 может вызвать сбой преобразователя BIND 9 в определенных условиях.
Резолвер BIND 9 может аварийно завершать работу, если включены устаревший кеш и устаревшие ответы, для параметра stale-answer-client-timeout установлено значение 0 и в кеше присутствует устаревшее CNAME для входящего запроса.
Четвертая уязвимость высокой степени серьезности отслеживается как CVE-2022-38178 и приводит к утечке памяти в проверочном коде EdDSA DNSSEC.
ISC ничего не сообщает об атаках с использованием вышеуказанных уязвимостей, полагаясь на их отсутствие.
Тем не менее американская CISA уже поспешила опубликовать соответствующие рекомендации по безопасности, предупредив о серьезности проблемы.
Четыре из шести недостатков, все из которых связаны с отказом в обслуживании DoS, имеют высокую степень серьезности.
Одна из проблем CVE-2022-2906 (с оценкой CVSS 7,5) вызывает утечку памяти при обработке ключей при использовании записей TKEY в режиме Диффи-Хеллмана с OpenSSL 3.0.0 и более поздними версиями.
Злоумышленник может использовать багу для того, чтобы постепенно стирать доступную память до вызова сбоя из-за нехватки ресурсов. После перезапуска злоумышленнику придется начинать заново, но, тем не менее, вероятность отказа в обслуживании будет сохраняться.
Другая уязвимость, отслеживаемая как CVE-2022-38177, представляет собой утечку памяти в проверочном коде ECDSA DNSSEC. Злоумышленник может активировать уязвимость, в виду несоответствия длины подписи.
Третья проблема CVE-2022-3080 может вызвать сбой преобразователя BIND 9 в определенных условиях.
Резолвер BIND 9 может аварийно завершать работу, если включены устаревший кеш и устаревшие ответы, для параметра stale-answer-client-timeout установлено значение 0 и в кеше присутствует устаревшее CNAME для входящего запроса.
Четвертая уязвимость высокой степени серьезности отслеживается как CVE-2022-38178 и приводит к утечке памяти в проверочном коде EdDSA DNSSEC.
ISC ничего не сообщает об атаках с использованием вышеуказанных уязвимостей, полагаясь на их отсутствие.
Тем не менее американская CISA уже поспешила опубликовать соответствующие рекомендации по безопасности, предупредив о серьезности проблемы.
kb.isc.org
BIND 9 Software Vulnerability Matrix
The BIND 9 Security Vulnerability Matrix is a tool to help DNS operators understand the current security risk for a given version of BIND.
Британская Sophos предупреждает клиентов о новой активно эксплуатируемой в реальных атаках 0-day уязвимости, которая затрагивающая некоторые из ее компонентов межсетевого экрана.
Согласно бюллетеню, версия 19.0 MR1 (19.0.1) и более ранние версии Sophos Firewall подвержены критической RCE-уязвимости, которая отслеживается как CVE-2022-3236 (оценка CVSS: 9,8). Ошибка затрагивает компоненты User Portal и Webadmin.
Ресерчеры Sophos заявили, что уязвимость используется в ходе атак на целевые организации, преимущественно - в Южной Азии. Каждую из этих организаций компания проинформировала напрямую.
Пользователям, работающим с более ранними версиями Sophos Firewall, необходимо произвести обновление для получения последних средств защиты и соответствующих исправлений.
В качестве обходного пути Sophos также рекомендует пользователям принять меры для обеспечения того, чтобы уязвимые компоненты бил изолированы от глобальной сети. Для удаленного доступа и управления рекомендуется консоль Sophos Central или VPN.
Кроме того, компания предоставила инструкции по проверке применимости патча.
Для понимания масштаба угроз, исследователь из Японии представил статистику Shodan, согласно которой до 200 000 устройств Sophos по всему миру доступны через Интернет.
Неутешительная статистика для решений по безопасности Sophos, ведь второй раз за год, когда 0-day подверглась активным атакам.
Ранее в марте этого года другая CVE-2022-1040 использовалась в атаках на организации в этом же регионе. Volexity связала атаки с китайской DriftingCloud.
Кроме того, это уже четвертая уязвимость наряду с CVE-2020-25223 (Sophos SG UTM), CVE-2020-12271 (XG Firewall) и CVE-2022-1040 в продуктах Sophos, которую CISA добавила в свой каталог.
Похоже, что Sophos не отстает от своих японских коллег из Trend Micro с их дырявыми системами мониторинга и и исследования угроз, благодаря которым злоумышленники однажды украли личную и корпоративную информацию у производителя электроники Mitsubishi Electric.
Согласно бюллетеню, версия 19.0 MR1 (19.0.1) и более ранние версии Sophos Firewall подвержены критической RCE-уязвимости, которая отслеживается как CVE-2022-3236 (оценка CVSS: 9,8). Ошибка затрагивает компоненты User Portal и Webadmin.
Ресерчеры Sophos заявили, что уязвимость используется в ходе атак на целевые организации, преимущественно - в Южной Азии. Каждую из этих организаций компания проинформировала напрямую.
Пользователям, работающим с более ранними версиями Sophos Firewall, необходимо произвести обновление для получения последних средств защиты и соответствующих исправлений.
В качестве обходного пути Sophos также рекомендует пользователям принять меры для обеспечения того, чтобы уязвимые компоненты бил изолированы от глобальной сети. Для удаленного доступа и управления рекомендуется консоль Sophos Central или VPN.
Кроме того, компания предоставила инструкции по проверке применимости патча.
Для понимания масштаба угроз, исследователь из Японии представил статистику Shodan, согласно которой до 200 000 устройств Sophos по всему миру доступны через Интернет.
Неутешительная статистика для решений по безопасности Sophos, ведь второй раз за год, когда 0-day подверглась активным атакам.
Ранее в марте этого года другая CVE-2022-1040 использовалась в атаках на организации в этом же регионе. Volexity связала атаки с китайской DriftingCloud.
Кроме того, это уже четвертая уязвимость наряду с CVE-2020-25223 (Sophos SG UTM), CVE-2020-12271 (XG Firewall) и CVE-2022-1040 в продуктах Sophos, которую CISA добавила в свой каталог.
Похоже, что Sophos не отстает от своих японских коллег из Trend Micro с их дырявыми системами мониторинга и и исследования угроз, благодаря которым злоумышленники однажды украли личную и корпоративную информацию у производителя электроники Mitsubishi Electric.
SOPHOS
Cybersecurity as a Service Delivered | Sophos
We Deliver Superior Cybersecurity Outcomes for Real-World Organizations Worldwide with a Broad Portfolio of Advanced Security Products and Services.
Используемые, как минимум, в 44 криптовалютных проектах пакеты npm, поддерживаемые dYdX, были скомпрометированы и содержат вредоносный код, который при установке запускает похитители информации.
Работающая на блокчейне Ethereum, dydX со средним дневным объемом торгов в 1 млрд. долларов представляет собой децентрализованную платформу обмена, предлагающую бессрочные торговые возможности для более чем 35 популярных криптовалют, включая биткойн (BTC) и эфир (ETH).
Уязвимости обнаружены ресерчером Мацей Менсфельдом из компании Mend, специализирующейся на безопасности цепочки поставок ПО.
Среди уязвимых пакетов @dydxprotocol/solo (версии 0.41.1, 0.41.2), @dydxprotocol/perpetual (версии 1.2.2, 1.2.3). Пакет @dydxprotocol/node-service-base-dev также был затронут, но был отозван.
Пакеты составляют библиотеку смарт-контрактов Ethereum и TypeScript, используемую для протокола dYdX Solo Trading.
Менсфельд сообщил, что после установки «solo» запускается сценарий предварительной установки, который загружает и запускает содержимое файла JavaScript ci.js, размещенного на api.circle-cdn[.]com, который был зарегистрирован совсем недавно — 14 сентября.
Доменное имя и использование ci.js в имени вредоносного файла, вероятно, являются попыткой злоумышленника имитировать CircleCI, платформу разработки программного обеспечения CI/CD.
Скрипт ci.js, в свою очередь, загружает и запускает еще один скрипт Python setup.py с кодом для кражи информации, в том числе кредитов AWS IAM, ключей SSH и токенов GitHub. Украденные данные загружаются в тот же домен.
Ресерчеры заметили, что вредоносный код поразительно идентичен тому, что в случае с вредоносными пакетами Python «PyGrata», которые также крали учетные данные AWS жертвы, переменные среды и ключи SSH.
Главный архитектор dYdX Брендан Чоу подтвердил, что все скомпрометированные версии были удалены. Инцидент не повлиял на ее веб-сайты, приложения, смарт-контракты или фонды, и что она планирует опубликовать отчет после окончания расследования.
Работающая на блокчейне Ethereum, dydX со средним дневным объемом торгов в 1 млрд. долларов представляет собой децентрализованную платформу обмена, предлагающую бессрочные торговые возможности для более чем 35 популярных криптовалют, включая биткойн (BTC) и эфир (ETH).
Уязвимости обнаружены ресерчером Мацей Менсфельдом из компании Mend, специализирующейся на безопасности цепочки поставок ПО.
Среди уязвимых пакетов @dydxprotocol/solo (версии 0.41.1, 0.41.2), @dydxprotocol/perpetual (версии 1.2.2, 1.2.3). Пакет @dydxprotocol/node-service-base-dev также был затронут, но был отозван.
Пакеты составляют библиотеку смарт-контрактов Ethereum и TypeScript, используемую для протокола dYdX Solo Trading.
Менсфельд сообщил, что после установки «solo» запускается сценарий предварительной установки, который загружает и запускает содержимое файла JavaScript ci.js, размещенного на api.circle-cdn[.]com, который был зарегистрирован совсем недавно — 14 сентября.
Доменное имя и использование ci.js в имени вредоносного файла, вероятно, являются попыткой злоумышленника имитировать CircleCI, платформу разработки программного обеспечения CI/CD.
Скрипт ci.js, в свою очередь, загружает и запускает еще один скрипт Python setup.py с кодом для кражи информации, в том числе кредитов AWS IAM, ключей SSH и токенов GitHub. Украденные данные загружаются в тот же домен.
Ресерчеры заметили, что вредоносный код поразительно идентичен тому, что в случае с вредоносными пакетами Python «PyGrata», которые также крали учетные данные AWS жертвы, переменные среды и ключи SSH.
Главный архитектор dYdX Брендан Чоу подтвердил, что все скомпрометированные версии были удалены. Инцидент не повлиял на ее веб-сайты, приложения, смарт-контракты или фонды, и что она планирует опубликовать отчет после окончания расследования.
Злоумышленником, стоящим за взломом Rockstar Games и Uber и, возможно, причастным к группировке Lapsus$, оказался обычный 17-летний паренек из Оксфордшира, о чем сообщили лондонские силовики.
Поимка хакера произошла вечером в четверг, 22 сентября 2022 года совместно с подразделением по борьбе с киберпреступлениями Национального агентства по борьбе с преступностью Великобритании.
Подозреваемый был задержан и помещен под стражу по подозрению во взломе.
Никаких дополнительных подробностей о характере расследования пока не разглашается, однако предполагается, что оба инцидента были совершены одним и тем же злоумышленником, известным под именем Tea Pot (он же teapotuberhacker).
Uber, со своей стороны, вовсе уличил злоумышленника в связях с бандой вымогателей LAPSUS$.
По данным Flashpoint, реальная личность хакера, стоящего за двумя инцидентами, была раскрыта на теневом хакерском форуме.
При этом не до конца понятно, почему админ слил своего коллегу. Но он утверждает, что teapotuberhacker был тем же, кто взломал и Microsoft.
Кроме того, администратор связал его с другими псевдонимами, такими как White и Breachbase, и вовсе заявил, что он является членом LAPSUS$.
Не будем строить конспирологических версий и выстраивать сложные аналогии, но на данный момент пока больше вопросов в отношении задержанного и степени его причастности к инцидентам.
Но будем посмотреть, может какая другая инфа подъедет.
Поимка хакера произошла вечером в четверг, 22 сентября 2022 года совместно с подразделением по борьбе с киберпреступлениями Национального агентства по борьбе с преступностью Великобритании.
Подозреваемый был задержан и помещен под стражу по подозрению во взломе.
Никаких дополнительных подробностей о характере расследования пока не разглашается, однако предполагается, что оба инцидента были совершены одним и тем же злоумышленником, известным под именем Tea Pot (он же teapotuberhacker).
Uber, со своей стороны, вовсе уличил злоумышленника в связях с бандой вымогателей LAPSUS$.
По данным Flashpoint, реальная личность хакера, стоящего за двумя инцидентами, была раскрыта на теневом хакерском форуме.
При этом не до конца понятно, почему админ слил своего коллегу. Но он утверждает, что teapotuberhacker был тем же, кто взломал и Microsoft.
Кроме того, администратор связал его с другими псевдонимами, такими как White и Breachbase, и вовсе заявил, что он является членом LAPSUS$.
Не будем строить конспирологических версий и выстраивать сложные аналогии, но на данный момент пока больше вопросов в отношении задержанного и степени его причастности к инцидентам.
Но будем посмотреть, может какая другая инфа подъедет.
Flashpoint
What We Know About The 'Grand Theft Auto VI' Data Breach
“Teapotuberhacker” claimed to have hacked Rockstar Games, the creator of the popular and controversial Grand Theft Auto (GTA) series.
Ресерчеры Лаборатории Касперского обнаружили в массовых рассылках приемы, характерные для целевых атак.
Как правило, массовые вредоносные рассылки обычно достаточно примитивны и не отличаются разнообразием. Однако ситуация начала меняться.
Не так давно ресерчеры столкнулись с интересным письмом. В нем якобы потенциальный клиент из Малайзии просит получателя ознакомиться с требованиями фирмы-заказчика и подготовить необходимые документы.
При этом общее оформление письма соответствует всем корпоративным стандартам переписки, а запрос выглядит в целом легитимным.
Выдает только адрес отправителя <newsletter@trade***.com>. Newsletter обычно используется для рассылки новостей и домен не соответствует названию компании в логотипе.
Как и вдругом случае, когда клиент из Болгарии уточнял у продавца наличие нужного товара и предлагал обсудить детали продажи. В обоих случаях, список интересующих его позиций якобы находился во вложении.
Изучив заголовки писем, специалисты Лаборатории выяснили, что они имеют идентичную последовательность заголовков, формат идентификатора сообщения MSGID и почтовый клиент. Для отправки используется ограниченный диапазон IP-адресов.
Все это в совокупности позволило их объединить в одну масштабную вредоносную почтовой кампанию, акторы которой весьма скрупулёзно подошли ее подготовке.
С апреля по август решения Лаборатории Касперского задетектили 739 749 писем этой кампании.
Рассылка достигла пика в 194 100 в июне, а затем пошла на спад: в июле мы выявили 178 510 писем, а в августе — 104 991.
Вложения к ним содержали один из двух уникальных файлов, относящихся к одному семейству вредоносного ПО Agent Tesla, написанного на .NET и известного еще с 2014 года.
Его основная цель — извлечь сохраненные данные из браузеров, почтовых и FTP/SCP клиентов, баз данных MySQL, VPN, мессенджеров и клиентов удаленного администрирования, которые пересылаются актору по электронной почте, в приватный чат Telegram, на сайт или FTP-сервер.
Agent Tesla также способен делать снимки экрана, перехватывать буфер обмена и записывать нажатия клавиш.
С мая по август 2022 года наибольшую активность этого зловреда ресерчеры Лаборатории наблюдали в Европе, Азии и Латинской Америке.
Большинство жертв находилось в Мексике (20 941), Испании (18 090), Германии (14 880), Турции (13 326) и России (12 739).
Обнаруженная рассылка наглядно показывает, как злоумышленники научились тщательно готовить даже массовые атаки с использованием качественных подделок, по всей вероятности, составляя и рассылая спам вручную.
При этом география кампании затронула организации по всему миру и включала внушительный список эксфильруемых данных, которые впоследствии будут выставлены на продажу в даркнете для дальнейших целевых атак.
По итогу, однозначный вердикт - Trojan-PSW.MSIL.Agensla.
Как правило, массовые вредоносные рассылки обычно достаточно примитивны и не отличаются разнообразием. Однако ситуация начала меняться.
Не так давно ресерчеры столкнулись с интересным письмом. В нем якобы потенциальный клиент из Малайзии просит получателя ознакомиться с требованиями фирмы-заказчика и подготовить необходимые документы.
При этом общее оформление письма соответствует всем корпоративным стандартам переписки, а запрос выглядит в целом легитимным.
Выдает только адрес отправителя <newsletter@trade***.com>. Newsletter обычно используется для рассылки новостей и домен не соответствует названию компании в логотипе.
Как и вдругом случае, когда клиент из Болгарии уточнял у продавца наличие нужного товара и предлагал обсудить детали продажи. В обоих случаях, список интересующих его позиций якобы находился во вложении.
Изучив заголовки писем, специалисты Лаборатории выяснили, что они имеют идентичную последовательность заголовков, формат идентификатора сообщения MSGID и почтовый клиент. Для отправки используется ограниченный диапазон IP-адресов.
Все это в совокупности позволило их объединить в одну масштабную вредоносную почтовой кампанию, акторы которой весьма скрупулёзно подошли ее подготовке.
С апреля по август решения Лаборатории Касперского задетектили 739 749 писем этой кампании.
Рассылка достигла пика в 194 100 в июне, а затем пошла на спад: в июле мы выявили 178 510 писем, а в августе — 104 991.
Вложения к ним содержали один из двух уникальных файлов, относящихся к одному семейству вредоносного ПО Agent Tesla, написанного на .NET и известного еще с 2014 года.
Его основная цель — извлечь сохраненные данные из браузеров, почтовых и FTP/SCP клиентов, баз данных MySQL, VPN, мессенджеров и клиентов удаленного администрирования, которые пересылаются актору по электронной почте, в приватный чат Telegram, на сайт или FTP-сервер.
Agent Tesla также способен делать снимки экрана, перехватывать буфер обмена и записывать нажатия клавиш.
С мая по август 2022 года наибольшую активность этого зловреда ресерчеры Лаборатории наблюдали в Европе, Азии и Латинской Америке.
Большинство жертв находилось в Мексике (20 941), Испании (18 090), Германии (14 880), Турции (13 326) и России (12 739).
Обнаруженная рассылка наглядно показывает, как злоумышленники научились тщательно готовить даже массовые атаки с использованием качественных подделок, по всей вероятности, составляя и рассылая спам вручную.
При этом география кампании затронула организации по всему миру и включала внушительный список эксфильруемых данных, которые впоследствии будут выставлены на продажу в даркнете для дальнейших целевых атак.
По итогу, однозначный вердикт - Trojan-PSW.MSIL.Agensla.
securelist.ru
Спам-рассылка, нацеленная на бизнес, доставляет стилер Agent Tesla
Массовая спам-рассылка от имени заказчиков доставляет корпоративным пользователям стилер Agent Tesla под видом документов.
Все еще пользуетесь WhatsApp - ошибка, не установили сентябрьское обновление - фатальная ошибка!
WhatsApp устранил две критические RCE-уязвимости в приложении для Android и iOS, включая и версии Business, которые позволяли злоумышленникам удаленно взламывать устройства своих жертв, просто позвонив им (CVE-2022-36934) или отправив видеофайл (CVE-2022-27492).
WhatsApp устранил две критические RCE-уязвимости в приложении для Android и iOS, включая и версии Business, которые позволяли злоумышленникам удаленно взламывать устройства своих жертв, просто позвонив им (CVE-2022-36934) или отправив видеофайл (CVE-2022-27492).
WhatsApp.com
WhatsApp Security Advisories 2022
WhatsApp Security Advisories 2022 - List of security fixes for WhatsApp products
В мире ransomware события развиваются стремительно.
Everest взломали банк Fedfina LLC, после чего слили данные о 637 895 клиентах. Аналогичным образом поступили и с аргентинским Ministerio de Economía.
Everest отправила на продажу доступ к правительственной сети Бразилии на Forums Leaks Market, прямо накануне предстоящих выборов.
BlackBasta пошифровали и поставили на счетчик Kollitsch Management GmbH, а BlackCat (ALPHV) слила 400 ГБ украденных данных с серверов графства Саффолк, и судя по опубликованным фото взяли под полный контроль всю сеть.
Команда Lockbit добавила IFW Global в свой DLS, а вымогатели Hive отработали старейшую строительную компанию BL Harbert International.
Под удар вымогателей (правда неясно кого конкретно) попало Министерство обороны Чили, поставщик соцуслуг Katholischen Sozialdienstleister SKM, а также ITS Group.
Bloody добавила MDM-Print на свой DLS, а представленные пруфы свидетельствуют о достаточно серьезном инциденте.
Everest взломали банк Fedfina LLC, после чего слили данные о 637 895 клиентах. Аналогичным образом поступили и с аргентинским Ministerio de Economía.
Everest отправила на продажу доступ к правительственной сети Бразилии на Forums Leaks Market, прямо накануне предстоящих выборов.
BlackBasta пошифровали и поставили на счетчик Kollitsch Management GmbH, а BlackCat (ALPHV) слила 400 ГБ украденных данных с серверов графства Саффолк, и судя по опубликованным фото взяли под полный контроль всю сеть.
Команда Lockbit добавила IFW Global в свой DLS, а вымогатели Hive отработали старейшую строительную компанию BL Harbert International.
Под удар вымогателей (правда неясно кого конкретно) попало Министерство обороны Чили, поставщик соцуслуг Katholischen Sozialdienstleister SKM, а также ITS Group.
Bloody добавила MDM-Print на свой DLS, а представленные пруфы свидетельствуют о достаточно серьезном инциденте.
͏Как и обещали, последовало продолжение инцидента со взломом крупнейшего австралийского провайдера Optus.
По оценкам на декабрь 2019 года Optus, дочерняя компания Singtel, имела более 10 миллионов абонентов.
При этом компания не сообщила, когда и как произошел инцидент, а также сколько клиентских и корпоративных данных могло оказаться в руках хакеров.
Кроме того, Optus согласно политике конфиденциальности и законодательству хранит также личную информацию пользователей в течение определенного периода времени.
Однако, как выяснил журналист ISMG Джереми Кирк, взлом мог затронуть почти всех клиентов и был реализован через неаутентифицированную конечную точку API «api.www.optus.com[.]au» без аутентификации, которая, по-видимому, находилась в незащищенном исполнении еще с января 2019 года.
Инцидент с Optus также вызвал острую критику со стороны Министра кибербезопасности Австралии, назвавшего это «беспрецедентной кражей информации о пользователях», а также всего госаппарата страны.
Пока Австралийская федеральная полиция (AFP) работает над сбором доказательств и инициировала операцию Ураган, стоящий за Optus Breach хакер обнародовал записи о 10 200 клиентах, следуя наработанной схеме вымогательства и обещая прекратить слив за 1 млн. долларов.
В проливном случае он пригрозил опубликовать пеше о 10 000 записей в течение следующих трех дней.
Отдельные массивы данных также выставлены на продажу по цене 100, 200 и 300 тысяч долларов в зависимости от объема покупки.
Optus уже разослала электронные письма или текстовые сообщения всем клиентам, у которых была скомпрометирована информация, удостоверяющая личность, а также порекомендовала им принять меры по защите банковских и финансовых сервисов от подозрительных или мошеннических действий.
А мы будем посмотреть, чем закончится весь этот кибертреш.
По оценкам на декабрь 2019 года Optus, дочерняя компания Singtel, имела более 10 миллионов абонентов.
При этом компания не сообщила, когда и как произошел инцидент, а также сколько клиентских и корпоративных данных могло оказаться в руках хакеров.
Кроме того, Optus согласно политике конфиденциальности и законодательству хранит также личную информацию пользователей в течение определенного периода времени.
Однако, как выяснил журналист ISMG Джереми Кирк, взлом мог затронуть почти всех клиентов и был реализован через неаутентифицированную конечную точку API «api.www.optus.com[.]au» без аутентификации, которая, по-видимому, находилась в незащищенном исполнении еще с января 2019 года.
Инцидент с Optus также вызвал острую критику со стороны Министра кибербезопасности Австралии, назвавшего это «беспрецедентной кражей информации о пользователях», а также всего госаппарата страны.
Пока Австралийская федеральная полиция (AFP) работает над сбором доказательств и инициировала операцию Ураган, стоящий за Optus Breach хакер обнародовал записи о 10 200 клиентах, следуя наработанной схеме вымогательства и обещая прекратить слив за 1 млн. долларов.
В проливном случае он пригрозил опубликовать пеше о 10 000 записей в течение следующих трех дней.
Отдельные массивы данных также выставлены на продажу по цене 100, 200 и 300 тысяч долларов в зависимости от объема покупки.
Optus уже разослала электронные письма или текстовые сообщения всем клиентам, у которых была скомпрометирована информация, удостоверяющая личность, а также порекомендовала им принять меры по защите банковских и финансовых сервисов от подозрительных или мошеннических действий.
А мы будем посмотреть, чем закончится весь этот кибертреш.
Проправительственная хакерская группировка TA413 (также известная как LuckyCat), связанная с Китаем была замечена в атаках на Правительство Тибета в изгнании или как ее еще называют Центральной тибетской администрацией.
В рамках шпионской кампании APT использовали недавно обнаруженные недостатки в брандмауэре Sophos и Microsoft Office (CVE-2022-1040 и CVE-2022-30190) для развертывания неизвестного ранее бэкдора LOWZERO.
В основном целями были организации, связанные с тибетской общиной, в том числе и предприятия, связанные с тибетским правительством о чем говорится в отчете Recorded Future.
Атаки LuckyCat на организации и отдельных лиц, связанных с тибетским сообществом, продолжаются по крайней мере с 2020 года с использованием вредоносных программ, таких как ExileRAT, Sepulcher и вредоносного расширения браузера Mozilla Firefox, получившего название FriarFox .
В целевой фишинговой атаке применялся вредоносный RTF-документ, в котором использовались недостатки в редакторе Microsoft Equation Editor для доставки пользовательского имплантата LOWZERO. В совокупности это было достигнуто за счет использования инструмента Royal Road RTF, который широко распространен среди китайских злоумышленников.
В другом электронном письме, полученной тибетской жертвой использовалось вложение Microsoft Word, размещенное в службе Google Firebase, которое пыталось использовать уязвимость Follina для выполнения команды PowerShell с последующей загрузкой бэкдора с удаленного сервера.
Бэкдор LOWZERO имеет модульную структуру и загружает необходимые определенные модули с C2, если скомпрометированная машина представляет интерес для злоумышленника.
Исследователям удалось связать несколько кампаний с деятельностью группы из-за того, что субъекты угрозы регулярно использовали одни и те же адреса отправителей электронной почты в течение нескольких лет (такие как tseringkanyaq@yahoo[.]com и mediabureauin@gmail[.]com).
Со слов экспертов, группа продолжает внедрять новые возможности, полагаясь при этом на проверенные практикой TTP.
В рамках шпионской кампании APT использовали недавно обнаруженные недостатки в брандмауэре Sophos и Microsoft Office (CVE-2022-1040 и CVE-2022-30190) для развертывания неизвестного ранее бэкдора LOWZERO.
В основном целями были организации, связанные с тибетской общиной, в том числе и предприятия, связанные с тибетским правительством о чем говорится в отчете Recorded Future.
Атаки LuckyCat на организации и отдельных лиц, связанных с тибетским сообществом, продолжаются по крайней мере с 2020 года с использованием вредоносных программ, таких как ExileRAT, Sepulcher и вредоносного расширения браузера Mozilla Firefox, получившего название FriarFox .
В целевой фишинговой атаке применялся вредоносный RTF-документ, в котором использовались недостатки в редакторе Microsoft Equation Editor для доставки пользовательского имплантата LOWZERO. В совокупности это было достигнуто за счет использования инструмента Royal Road RTF, который широко распространен среди китайских злоумышленников.
В другом электронном письме, полученной тибетской жертвой использовалось вложение Microsoft Word, размещенное в службе Google Firebase, которое пыталось использовать уязвимость Follina для выполнения команды PowerShell с последующей загрузкой бэкдора с удаленного сервера.
Бэкдор LOWZERO имеет модульную структуру и загружает необходимые определенные модули с C2, если скомпрометированная машина представляет интерес для злоумышленника.
Исследователям удалось связать несколько кампаний с деятельностью группы из-за того, что субъекты угрозы регулярно использовали одни и те же адреса отправителей электронной почты в течение нескольких лет (такие как tseringkanyaq@yahoo[.]com и mediabureauin@gmail[.]com).
Со слов экспертов, группа продолжает внедрять новые возможности, полагаясь при этом на проверенные практикой TTP.
Команда Team82 из Claroty обнаружили 11 уязвимостей в IoT-решениях производителя Carlo Gavazzi, 6 из которых критические.
Carlo Gavazzi — международная группа, занимающаяся проектированием, производством и продажей решений по автоматизации для мировых рынков промышленной автоматизации и автоматизации зданий.
Компания поставляет продукцию в Европу, Америку и Азиатско-Тихоокеанский регион через сеть из 22 собственных торговых компаний и через более чем 60 независимых национальных дистрибьюторов.
Проблемы затрагивают в основном Carlo Gavazzi UWP3.0 и CPY Car Park Server.
Все критические ошибки имеют оценку CVSS V3 9,8.
Часть из них связана с использованием жестко закодированных учетных данных (CVE-2022-22522, CVE-2022-28812) в некоторых версиях UWP3.0 и CPY Car Park Server, которые позволяют неаутентифицированному злоумышленнику получить полный доступ к серверу и уязвимым продуктам.
Другие обусловлены отсутствием аутентификации, которая обеспечивает злоумышленнику полный доступ через API (CVE-2022-22526), неверной проверкой ввода в параметре, отправленном через API, для доступа к уязвимым продуктам (CVE-2022-28811), а также относительным обходом пути, приводящим к RCE (CVE-2022-28814).
Кроме того, удаленный злоумышленник, не прошедший проверку подлинности, может использовать уязвимость SQL-Injection для получения полного доступа к базе данных (CVE-2022-22524), а в других случаях уязвимость SQL-инъекции позволяет злоумышленнику запрашивать другие таблицы службы Sentilo (CVE-2022-28813 с оценкой CVSS V3 7,5).
Серьезные уязвимости связаны с неправильной аутентификации, которая позволяет обходить аутентификацию в контексте пользователя (CVE-2022-22523 с оценкой CVSS V3 7,5), а также неправильной проверкой ввода - CVE-2022-22525 (CVSS V3 7.2).
Последняя дает возможность удаленному злоумышленнику с правами администратора выполнять произвольные команды.
В ряде версий UWP3.0 прокси-сервер Sentilo подвержен отраженному XSS (CVE-2022-28816 с CVSS V3 7.6).
Пользователям следует обратить внимание на проблемы и поспешить с обновлениями, учитывая критичность обнаруженных баг.
Carlo Gavazzi — международная группа, занимающаяся проектированием, производством и продажей решений по автоматизации для мировых рынков промышленной автоматизации и автоматизации зданий.
Компания поставляет продукцию в Европу, Америку и Азиатско-Тихоокеанский регион через сеть из 22 собственных торговых компаний и через более чем 60 независимых национальных дистрибьюторов.
Проблемы затрагивают в основном Carlo Gavazzi UWP3.0 и CPY Car Park Server.
Все критические ошибки имеют оценку CVSS V3 9,8.
Часть из них связана с использованием жестко закодированных учетных данных (CVE-2022-22522, CVE-2022-28812) в некоторых версиях UWP3.0 и CPY Car Park Server, которые позволяют неаутентифицированному злоумышленнику получить полный доступ к серверу и уязвимым продуктам.
Другие обусловлены отсутствием аутентификации, которая обеспечивает злоумышленнику полный доступ через API (CVE-2022-22526), неверной проверкой ввода в параметре, отправленном через API, для доступа к уязвимым продуктам (CVE-2022-28811), а также относительным обходом пути, приводящим к RCE (CVE-2022-28814).
Кроме того, удаленный злоумышленник, не прошедший проверку подлинности, может использовать уязвимость SQL-Injection для получения полного доступа к базе данных (CVE-2022-22524), а в других случаях уязвимость SQL-инъекции позволяет злоумышленнику запрашивать другие таблицы службы Sentilo (CVE-2022-28813 с оценкой CVSS V3 7,5).
Серьезные уязвимости связаны с неправильной аутентификации, которая позволяет обходить аутентификацию в контексте пользователя (CVE-2022-22523 с оценкой CVSS V3 7,5), а также неправильной проверкой ввода - CVE-2022-22525 (CVSS V3 7.2).
Последняя дает возможность удаленному злоумышленнику с правами администратора выполнять произвольные команды.
В ряде версий UWP3.0 прокси-сервер Sentilo подвержен отраженному XSS (CVE-2022-28816 с CVSS V3 7.6).
Пользователям следует обратить внимание на проблемы и поспешить с обновлениями, учитывая критичность обнаруженных баг.
Claroty
XIoT Vulnerability Disclosure Dashboard
Track all XIoT vulnerabilities disclosed by Team82, the industry’s best cybersecurity vulnerability and threat research team. Team82 finds software and firmware vulnerabilities before threat actors can exploit them.
Команда Unit42 из Paloaltonetworks рассказала о том, как уже несколько лет им удается отслеживать АРТ благодаря анализу вредоносных библиотек DLL.
Ресерчеры предполагают, что именно загрузка таких DLL является одним из основных методов выполнения вредоносных полезных нагрузок в зараженных системах, которым пользуются как отдельные хакеры, так и APT-группы.
На практике поиск загрузки неподписанных библиотек DLL помогла им обнаружить сложные полезные нагрузки и APT-группы в дикой природе, включая китайскую Stately Taurus (ранее известную как PKPLUG, она же Mustang Panda) и северокорейскую Selective Pisces (она же Lazarus Group).
Большинство вредоносных библиотек DLL имеют три общих характеристики: в основном записываются по непривилегированным путям, DLL не подписаны, а во избежание обнаружения загружаются подписанным процессом.
При этом наиболее распространенными методами загрузки среди хакеров выступают следующие:
⁃ Загрузка DLL с помощью rundll32.exe/regsvr32.exe (злоумышленники злоупотребляют ими для выполнения кода в попытке избежать обнаружения).
⁃ Перехват порядка поиска DLL (безопасное приложение будет загружать вредоносную полезную нагрузку с именем известной библиотеки).
В реальных условиях наиболее распространенными непривилегированными путями для загрузки вредоносных неподписанных библиотек DLL являются папки и подпапки ProgramData, AppData и домашние каталоги пользователей.
Для проверки своей гипотезы ресерчеры создали два XQL-запроса: первый ищет неподписанные библиотеки DLL, загруженные rundll32.exe/regsvr32.exe, а другой - подписанное ПО, которое загружает неподписанную библиотеку. По результатам за последние шесть месяцев были выявлены различные семейства вредоносных ПО.
Анализ результатов показал, что банковские трояны и отдельные злоумышленники обычно использовали rundll32.exe или regsvr32.exe для загрузки вредоносной DLL, в то время как APT использовали технику боковой загрузки DLL.
В своем блоге ресерчеры выделили расследование деятельности Stately Taurus, которые используют технику перехвата порядка поиска DLL.
АРТ поместила полезную нагрузку в папку ProgramData, которая содержала три файла — безопасный EXE-файл для перехвата DLL (AvastSvc.exe), файл DLL (wsc.dll) и зашифрованную полезную нагрузку (AvastAuth.dat). Загруженной DLL оказалась PlugX RAT.
Среди результатов ресерчеры также идентифицировали Selective Pisces.
Исследование цепочки выполнения неподписанных модулей в каталогах ProgramData показало, что они были сброшены на диск подписанным процессом DreamSecurity MagicLine4NX (MagicLine4NX.exe).
MagicLine4NX.exe выполнял полезную нагрузку второго этапа, которая использовала неопубликованную загрузку DLL, чтобы избежать обнаружения.
Полезная нагрузка второго этапа записала новую DLL с именем mi.dll и скопировала wsmprovhost.exe (хост-процесс для WinRM) в случайный каталог в ProgramData. Злоумышленники злоупотребили этим механизмом, чтобы добиться боковой загрузки DLL (T1574.002).
Полезная нагрузка mi.dll перебрасывала новую полезную нагрузку с именем ualapi.dll в каталог System32.
Поскольку ualapi.dll в данном случае является отсутствующей библиотекой DLL в каталоге System32, злоумышленники использовали это для обеспечения устойчивости, присвоив своей вредоносной полезной нагрузке имя ualapi.dll. Таким образом, spoolsv.exe загружала его при запуске.
Исследователи рекомендуют ИБ-специалистам использовать описанные в их статье подходы для активного поиска и последующей блокировки вредоносных неподписанных библиотек DLL.
Примеры запросов и некоторые индикаторы представлены в отчете.
Ресерчеры предполагают, что именно загрузка таких DLL является одним из основных методов выполнения вредоносных полезных нагрузок в зараженных системах, которым пользуются как отдельные хакеры, так и APT-группы.
На практике поиск загрузки неподписанных библиотек DLL помогла им обнаружить сложные полезные нагрузки и APT-группы в дикой природе, включая китайскую Stately Taurus (ранее известную как PKPLUG, она же Mustang Panda) и северокорейскую Selective Pisces (она же Lazarus Group).
Большинство вредоносных библиотек DLL имеют три общих характеристики: в основном записываются по непривилегированным путям, DLL не подписаны, а во избежание обнаружения загружаются подписанным процессом.
При этом наиболее распространенными методами загрузки среди хакеров выступают следующие:
⁃ Загрузка DLL с помощью rundll32.exe/regsvr32.exe (злоумышленники злоупотребляют ими для выполнения кода в попытке избежать обнаружения).
⁃ Перехват порядка поиска DLL (безопасное приложение будет загружать вредоносную полезную нагрузку с именем известной библиотеки).
В реальных условиях наиболее распространенными непривилегированными путями для загрузки вредоносных неподписанных библиотек DLL являются папки и подпапки ProgramData, AppData и домашние каталоги пользователей.
Для проверки своей гипотезы ресерчеры создали два XQL-запроса: первый ищет неподписанные библиотеки DLL, загруженные rundll32.exe/regsvr32.exe, а другой - подписанное ПО, которое загружает неподписанную библиотеку. По результатам за последние шесть месяцев были выявлены различные семейства вредоносных ПО.
Анализ результатов показал, что банковские трояны и отдельные злоумышленники обычно использовали rundll32.exe или regsvr32.exe для загрузки вредоносной DLL, в то время как APT использовали технику боковой загрузки DLL.
В своем блоге ресерчеры выделили расследование деятельности Stately Taurus, которые используют технику перехвата порядка поиска DLL.
АРТ поместила полезную нагрузку в папку ProgramData, которая содержала три файла — безопасный EXE-файл для перехвата DLL (AvastSvc.exe), файл DLL (wsc.dll) и зашифрованную полезную нагрузку (AvastAuth.dat). Загруженной DLL оказалась PlugX RAT.
Среди результатов ресерчеры также идентифицировали Selective Pisces.
Исследование цепочки выполнения неподписанных модулей в каталогах ProgramData показало, что они были сброшены на диск подписанным процессом DreamSecurity MagicLine4NX (MagicLine4NX.exe).
MagicLine4NX.exe выполнял полезную нагрузку второго этапа, которая использовала неопубликованную загрузку DLL, чтобы избежать обнаружения.
Полезная нагрузка второго этапа записала новую DLL с именем mi.dll и скопировала wsmprovhost.exe (хост-процесс для WinRM) в случайный каталог в ProgramData. Злоумышленники злоупотребили этим механизмом, чтобы добиться боковой загрузки DLL (T1574.002).
Полезная нагрузка mi.dll перебрасывала новую полезную нагрузку с именем ualapi.dll в каталог System32.
Поскольку ualapi.dll в данном случае является отсутствующей библиотекой DLL в каталоге System32, злоумышленники использовали это для обеспечения устойчивости, присвоив своей вредоносной полезной нагрузке имя ualapi.dll. Таким образом, spoolsv.exe загружала его при запуске.
Исследователи рекомендуют ИБ-специалистам использовать описанные в их статье подходы для активного поиска и последующей блокировки вредоносных неподписанных библиотек DLL.
Примеры запросов и некоторые индикаторы представлены в отчете.
Unit 42
Hunting for Unsigned DLLs to Find APTs
Hunting for the loading of unsigned DLLs can help you identify attacks and threat actors in your environment. Our examples include well-known APTs.
Как мы предупреждали, и неделя не прошла, как утекший сборщик LockBit 3.0 был взят на вооружение бандой вымогателей Bl00Dy Ransomware Gang, которые уже поспешили применить новинку в реальных атаках.
Слитый обиженным разрабом конструктор новейшей ransomware LockBit 3.0 позволяет любому оператору ПО создать реально работающие шифратор и дешифратор, а также соответствующие заметки о выкупе, что было подтверждено ресерчерами в рамках тестовых сборок.
Первый собранный на базе конструктора комплект уже успешно опробован Bl00Dy на украинской организации.
Позже ресерчеры MalwareHunterTeam подтвердили, что шифровальщик был построен с использованием недавно выпущенного компоновщика LockBit 3.0. Сканирование Intezer также показало много совпадений кода между шифровальщиками Bl00dy и LockBit 3.0.
Как ранее сообщали DataBreaches.net, банда вымогателей Bl00Dy попала в поле зрения в мае 2022 года, когда они атаковали медицинские и стоматологические компании в Нью-Йорке.
Злоумышленники взламывают сеть, крадут корпоративные данные и шифруют устройства. Однако вместо того, чтобы использовать сайт утечки данных Tor для вымогательства жертв и публикации украденных данных, злоумышленники используют для той же цели канал Telegram.
Группа отличается тем, что они не ведут собственных разработок, а предпочитают орудовать, используя утекшие сборщики и исходный код других ransomware, таких как Babuk [VirusTotal] и Conti [VirusTotal].
При этом в прошлых кампаниях злоумышленники добавляли расширение bl00dy для зашифрованных файлов. Однако, поскольку это этот параметр в сборщике LockBit 3.0 не имеет возможности настройки, злоумышленники используют расширения, установленные при сборке шифровальщика.
Что касается заметки о выкупе, то имена файлов, по-прежнему, создаются в стиле LockBit, но злоумышленники настроили их так, чтобы они включали собственный текст и контактную информацию.
В целом, Bl00dy Ransomware Gang балансирует между штаммами программ-вымогателей по мере необходимости, чтобы избегать атрибуции и применять необходимые в каждой конкретной атаке функции.
Учитывая, что LockBit 3.0 — пожалуй, одна из наиболее продвинутых и функционально богатых ransomware в настоящее время, стоит ожидать новые операции с использованием утекшего конструктора.
Слитый обиженным разрабом конструктор новейшей ransomware LockBit 3.0 позволяет любому оператору ПО создать реально работающие шифратор и дешифратор, а также соответствующие заметки о выкупе, что было подтверждено ресерчерами в рамках тестовых сборок.
Первый собранный на базе конструктора комплект уже успешно опробован Bl00Dy на украинской организации.
Позже ресерчеры MalwareHunterTeam подтвердили, что шифровальщик был построен с использованием недавно выпущенного компоновщика LockBit 3.0. Сканирование Intezer также показало много совпадений кода между шифровальщиками Bl00dy и LockBit 3.0.
Как ранее сообщали DataBreaches.net, банда вымогателей Bl00Dy попала в поле зрения в мае 2022 года, когда они атаковали медицинские и стоматологические компании в Нью-Йорке.
Злоумышленники взламывают сеть, крадут корпоративные данные и шифруют устройства. Однако вместо того, чтобы использовать сайт утечки данных Tor для вымогательства жертв и публикации украденных данных, злоумышленники используют для той же цели канал Telegram.
Группа отличается тем, что они не ведут собственных разработок, а предпочитают орудовать, используя утекшие сборщики и исходный код других ransomware, таких как Babuk [VirusTotal] и Conti [VirusTotal].
При этом в прошлых кампаниях злоумышленники добавляли расширение bl00dy для зашифрованных файлов. Однако, поскольку это этот параметр в сборщике LockBit 3.0 не имеет возможности настройки, злоумышленники используют расширения, установленные при сборке шифровальщика.
Что касается заметки о выкупе, то имена файлов, по-прежнему, создаются в стиле LockBit, но злоумышленники настроили их так, чтобы они включали собственный текст и контактную информацию.
В целом, Bl00dy Ransomware Gang балансирует между штаммами программ-вымогателей по мере необходимости, чтобы избегать атрибуции и применять необходимые в каждой конкретной атаке функции.
Учитывая, что LockBit 3.0 — пожалуй, одна из наиболее продвинутых и функционально богатых ransomware в настоящее время, стоит ожидать новые операции с использованием утекшего конструктора.
Telegram
SecAtor
͏Похоже, что LockBit сама стала жертвой утечки. Один из разработчиков в команде вымогателей слили исходники сборщика ransomware.
Хакеры, вероятно, продолжительное время трудились над новой версией своего ПО LockBit 3.0, включая и сборщик для новейшего шифровальщика…
Хакеры, вероятно, продолжительное время трудились над новой версией своего ПО LockBit 3.0, включая и сборщик для новейшего шифровальщика…
Elbit Systems of America была атакована вымогателями Black Basta.
Дочерняя компания израильского оборонного подрядчика Elbit Systems Ltd. базируется в США и являющаяся ведущим мировым поставщиком инновационных оборонных технологий и электроники, включая БПЛА, РЭБ и другие системы разведки и наблюдения для вооруженных сил и правительств по всему миру.
В 2015 году Elbit приобрела киберподразделение Nice Systems примерно за 160 миллионов долларов, которое было выделено в дочернюю компанию под названием Cyberbit, а два года спустя Citizen Lab обнаружили коммерческое шпионское ПО, созданное Cyberbit, которое использовалось для атак на эфиопских диссидентов в США и Великобритании.
Инцидент произошел еще 8 июня 2022 года и затронула 369 человек, а раскрыть его компании пришлось после того, как в конце июня вымогатели добавили компанию на свой сайт утечки в Tor.
Теперь же Elbit подтвердила утечку данных. В ходе этого расследования Elbit America выяснила, что личная информация определенных сотрудников могла быть получена третьей стороной без разрешения. Раскрытые данные могли включать имена, адреса, номера социального страхования, даты рождения, информацию о прямом депозите и этническую принадлежность.
Пруфы взлома от Black Basta включали аудиторский отчет, соглашения о конфиденциальности и отчет о заработной плате. Не густо.
Но, вероятно, у хакеров припасены и другие интересные пруфы. Ведь расследование все еще продолжается, да и жертва особенная.
Будем посмотреть.
Дочерняя компания израильского оборонного подрядчика Elbit Systems Ltd. базируется в США и являющаяся ведущим мировым поставщиком инновационных оборонных технологий и электроники, включая БПЛА, РЭБ и другие системы разведки и наблюдения для вооруженных сил и правительств по всему миру.
В 2015 году Elbit приобрела киберподразделение Nice Systems примерно за 160 миллионов долларов, которое было выделено в дочернюю компанию под названием Cyberbit, а два года спустя Citizen Lab обнаружили коммерческое шпионское ПО, созданное Cyberbit, которое использовалось для атак на эфиопских диссидентов в США и Великобритании.
Инцидент произошел еще 8 июня 2022 года и затронула 369 человек, а раскрыть его компании пришлось после того, как в конце июня вымогатели добавили компанию на свой сайт утечки в Tor.
Теперь же Elbit подтвердила утечку данных. В ходе этого расследования Elbit America выяснила, что личная информация определенных сотрудников могла быть получена третьей стороной без разрешения. Раскрытые данные могли включать имена, адреса, номера социального страхования, даты рождения, информацию о прямом депозите и этническую принадлежность.
Пруфы взлома от Black Basta включали аудиторский отчет, соглашения о конфиденциальности и отчет о заработной плате. Не густо.
Но, вероятно, у хакеров припасены и другие интересные пруфы. Ведь расследование все еще продолжается, да и жертва особенная.
Будем посмотреть.
TechCrunch
US arm of Israeli defense giant Elbit Systems says it was hacked
Elbit Systems of America, the U.S. arm of Israeli defense contractor Elbit, says its network was compromised in early June and personal information of employees was stolen.
͏Что ж ты, фраер, сдал назад?
После дерзкой атаки на австралийского провайдера Optus и не менее дерзкого вымогательства 1 000 000 долларов США за украденную информацию на 11 млн. абонентов, актор принес извинения за утечку 10 тысяч клиентских данных и отозвал свои требования.
Более того, OptusData удалил эксфильтрованные данные, включая и небольшой образец украденных данных на хакерском форуме Breached. Он объяснил это тем высоким резонансом и пристальным вниманием спецслужб к инциденту, инициировавших целую операцию под названием Ураган.
Правда, некоторые из жертв этой утечки уже стали объектом преследования, получая сообщения с требованием выплаты 2000 австралийских долларов (1300 долларов США) в течение двух дней, в противном случае их данные будут проданы другим хакерам.
Австралийская полиция заявила о привлечении возможностей зарубежных правоохранителей и задействовании целого арсенала технологий деанона, предупредив, что акторам грозит наказание в виде лишения свободы на срок до десяти лет.
Вряд ли, это удивило или хоть как-то встревожило дельца, который прекрасно понимает и осознает чем он занимается.
Однако, учитывая всю массу критики, которая обрушилась на жертву атаки, инцидент скорее был благополучно разрешен где-нибудь в приватной переписке за хороший гонорар каким-нибудь частным инвестором.
После дерзкой атаки на австралийского провайдера Optus и не менее дерзкого вымогательства 1 000 000 долларов США за украденную информацию на 11 млн. абонентов, актор принес извинения за утечку 10 тысяч клиентских данных и отозвал свои требования.
Более того, OptusData удалил эксфильтрованные данные, включая и небольшой образец украденных данных на хакерском форуме Breached. Он объяснил это тем высоким резонансом и пристальным вниманием спецслужб к инциденту, инициировавших целую операцию под названием Ураган.
Правда, некоторые из жертв этой утечки уже стали объектом преследования, получая сообщения с требованием выплаты 2000 австралийских долларов (1300 долларов США) в течение двух дней, в противном случае их данные будут проданы другим хакерам.
Австралийская полиция заявила о привлечении возможностей зарубежных правоохранителей и задействовании целого арсенала технологий деанона, предупредив, что акторам грозит наказание в виде лишения свободы на срок до десяти лет.
Вряд ли, это удивило или хоть как-то встревожило дельца, который прекрасно понимает и осознает чем он занимается.
Однако, учитывая всю массу критики, которая обрушилась на жертву атаки, инцидент скорее был благополучно разрешен где-нибудь в приватной переписке за хороший гонорар каким-нибудь частным инвестором.
В поисках очередного кряка, важно самому не стать крякнутным.
О новой угрозе предупреждают специалисты Лаборатории Касперского, которые обнаружили новый дроппер NullMixer, активно рекламируемый на вредоносных сайтах.
Дроппер крайне опасен и способен одновременно заразить устройства Windows двенадцатью различными семействами вредоносных программ.
Черные сеошники хорошо поработали и при поиске кряка или кейгена, вероятно нарветесь на мошеннический сайт и под видом желанного софта скачаете и запустите NullMixer, который наградит вас букетом разных троянских программ, даунлоудеров, шпионов и инфостилеров.
Момент когда стоит задуматься, так это если при попытке скачать желанный софт вас проведут через цепочку редиректоров на страницу с инструкциями по загрузке с файлообменника запароленного ZIP или RAR архива, который собственно и будет содержать вредоносный дроппер.
Чтобы вывести свои сайты в топ поисковой выдачи, злоумышленники применяют "серые" SEO-методы, например заполнение страниц расхожими ключевыми словами и фразами. Похожая тактика ранее уже наблюдалась в кампаниях GootLoader и SolarMarker, а в прошлом месяце — в атаках Redline.
Помимо того, что коварный NullMixer загружает дюжину троянов одновременно, что значительно увеличивает масштабы заражения, он сначала сам украдет у вас сведения об учетных данных пользователей, адресов, данные кредитных карт, криптовалют и даже файлы cookie с сеансами учетных записей Facebook и Amazon.
Специалисты связывают NullMixer с распространением в прошлом месяце мошеннического расширения Google Chrome под названием FB Stealer, которое ворует учетные данные Facebook и подменяет результаты выдачи поисковых систем.
Лаборатория Касперского заявила, что заблокировала более 47 778 попыток заражения жертв по всему миру, при этом большинство пользователей находятся в Бразилии, Индии, России, Италии, Германии, Франции, Египте, Турции и США.
В прочем любая загрузка файлов с ненадежных ресурсов — это настоящая игра в рулетку. Уже устоявшаяся практика, когда малварь распространяются через пиратское ПО.
О новой угрозе предупреждают специалисты Лаборатории Касперского, которые обнаружили новый дроппер NullMixer, активно рекламируемый на вредоносных сайтах.
Дроппер крайне опасен и способен одновременно заразить устройства Windows двенадцатью различными семействами вредоносных программ.
Черные сеошники хорошо поработали и при поиске кряка или кейгена, вероятно нарветесь на мошеннический сайт и под видом желанного софта скачаете и запустите NullMixer, который наградит вас букетом разных троянских программ, даунлоудеров, шпионов и инфостилеров.
Момент когда стоит задуматься, так это если при попытке скачать желанный софт вас проведут через цепочку редиректоров на страницу с инструкциями по загрузке с файлообменника запароленного ZIP или RAR архива, который собственно и будет содержать вредоносный дроппер.
Чтобы вывести свои сайты в топ поисковой выдачи, злоумышленники применяют "серые" SEO-методы, например заполнение страниц расхожими ключевыми словами и фразами. Похожая тактика ранее уже наблюдалась в кампаниях GootLoader и SolarMarker, а в прошлом месяце — в атаках Redline.
Помимо того, что коварный NullMixer загружает дюжину троянов одновременно, что значительно увеличивает масштабы заражения, он сначала сам украдет у вас сведения об учетных данных пользователей, адресов, данные кредитных карт, криптовалют и даже файлы cookie с сеансами учетных записей Facebook и Amazon.
Специалисты связывают NullMixer с распространением в прошлом месяце мошеннического расширения Google Chrome под названием FB Stealer, которое ворует учетные данные Facebook и подменяет результаты выдачи поисковых систем.
Лаборатория Касперского заявила, что заблокировала более 47 778 попыток заражения жертв по всему миру, при этом большинство пользователей находятся в Бразилии, Индии, России, Италии, Германии, Франции, Египте, Турции и США.
В прочем любая загрузка файлов с ненадежных ресурсов — это настоящая игра в рулетку. Уже устоявшаяся практика, когда малварь распространяются через пиратское ПО.
Securelist
NullMixer drops Redline Stealer, SmokeLoader and other malware
NullMixer is a dropper delivering a number of Trojans, such as RedLine Stealer, SmokeLoader, Satacom, and others.