Используемые, как минимум, в 44 криптовалютных проектах пакеты npm, поддерживаемые dYdX, были скомпрометированы и содержат вредоносный код, который при установке запускает похитители информации.
Работающая на блокчейне Ethereum, dydX со средним дневным объемом торгов в 1 млрд. долларов представляет собой децентрализованную платформу обмена, предлагающую бессрочные торговые возможности для более чем 35 популярных криптовалют, включая биткойн (BTC) и эфир (ETH).
Уязвимости обнаружены ресерчером Мацей Менсфельдом из компании Mend, специализирующейся на безопасности цепочки поставок ПО.
Среди уязвимых пакетов @dydxprotocol/solo (версии 0.41.1, 0.41.2), @dydxprotocol/perpetual (версии 1.2.2, 1.2.3). Пакет @dydxprotocol/node-service-base-dev также был затронут, но был отозван.
Пакеты составляют библиотеку смарт-контрактов Ethereum и TypeScript, используемую для протокола dYdX Solo Trading.
Менсфельд сообщил, что после установки «solo» запускается сценарий предварительной установки, который загружает и запускает содержимое файла JavaScript ci.js, размещенного на api.circle-cdn[.]com, который был зарегистрирован совсем недавно — 14 сентября.
Доменное имя и использование ci.js в имени вредоносного файла, вероятно, являются попыткой злоумышленника имитировать CircleCI, платформу разработки программного обеспечения CI/CD.
Скрипт ci.js, в свою очередь, загружает и запускает еще один скрипт Python setup.py с кодом для кражи информации, в том числе кредитов AWS IAM, ключей SSH и токенов GitHub. Украденные данные загружаются в тот же домен.
Ресерчеры заметили, что вредоносный код поразительно идентичен тому, что в случае с вредоносными пакетами Python «PyGrata», которые также крали учетные данные AWS жертвы, переменные среды и ключи SSH.
Главный архитектор dYdX Брендан Чоу подтвердил, что все скомпрометированные версии были удалены. Инцидент не повлиял на ее веб-сайты, приложения, смарт-контракты или фонды, и что она планирует опубликовать отчет после окончания расследования.
Работающая на блокчейне Ethereum, dydX со средним дневным объемом торгов в 1 млрд. долларов представляет собой децентрализованную платформу обмена, предлагающую бессрочные торговые возможности для более чем 35 популярных криптовалют, включая биткойн (BTC) и эфир (ETH).
Уязвимости обнаружены ресерчером Мацей Менсфельдом из компании Mend, специализирующейся на безопасности цепочки поставок ПО.
Среди уязвимых пакетов @dydxprotocol/solo (версии 0.41.1, 0.41.2), @dydxprotocol/perpetual (версии 1.2.2, 1.2.3). Пакет @dydxprotocol/node-service-base-dev также был затронут, но был отозван.
Пакеты составляют библиотеку смарт-контрактов Ethereum и TypeScript, используемую для протокола dYdX Solo Trading.
Менсфельд сообщил, что после установки «solo» запускается сценарий предварительной установки, который загружает и запускает содержимое файла JavaScript ci.js, размещенного на api.circle-cdn[.]com, который был зарегистрирован совсем недавно — 14 сентября.
Доменное имя и использование ci.js в имени вредоносного файла, вероятно, являются попыткой злоумышленника имитировать CircleCI, платформу разработки программного обеспечения CI/CD.
Скрипт ci.js, в свою очередь, загружает и запускает еще один скрипт Python setup.py с кодом для кражи информации, в том числе кредитов AWS IAM, ключей SSH и токенов GitHub. Украденные данные загружаются в тот же домен.
Ресерчеры заметили, что вредоносный код поразительно идентичен тому, что в случае с вредоносными пакетами Python «PyGrata», которые также крали учетные данные AWS жертвы, переменные среды и ключи SSH.
Главный архитектор dYdX Брендан Чоу подтвердил, что все скомпрометированные версии были удалены. Инцидент не повлиял на ее веб-сайты, приложения, смарт-контракты или фонды, и что она планирует опубликовать отчет после окончания расследования.
Злоумышленником, стоящим за взломом Rockstar Games и Uber и, возможно, причастным к группировке Lapsus$, оказался обычный 17-летний паренек из Оксфордшира, о чем сообщили лондонские силовики.
Поимка хакера произошла вечером в четверг, 22 сентября 2022 года совместно с подразделением по борьбе с киберпреступлениями Национального агентства по борьбе с преступностью Великобритании.
Подозреваемый был задержан и помещен под стражу по подозрению во взломе.
Никаких дополнительных подробностей о характере расследования пока не разглашается, однако предполагается, что оба инцидента были совершены одним и тем же злоумышленником, известным под именем Tea Pot (он же teapotuberhacker).
Uber, со своей стороны, вовсе уличил злоумышленника в связях с бандой вымогателей LAPSUS$.
По данным Flashpoint, реальная личность хакера, стоящего за двумя инцидентами, была раскрыта на теневом хакерском форуме.
При этом не до конца понятно, почему админ слил своего коллегу. Но он утверждает, что teapotuberhacker был тем же, кто взломал и Microsoft.
Кроме того, администратор связал его с другими псевдонимами, такими как White и Breachbase, и вовсе заявил, что он является членом LAPSUS$.
Не будем строить конспирологических версий и выстраивать сложные аналогии, но на данный момент пока больше вопросов в отношении задержанного и степени его причастности к инцидентам.
Но будем посмотреть, может какая другая инфа подъедет.
Поимка хакера произошла вечером в четверг, 22 сентября 2022 года совместно с подразделением по борьбе с киберпреступлениями Национального агентства по борьбе с преступностью Великобритании.
Подозреваемый был задержан и помещен под стражу по подозрению во взломе.
Никаких дополнительных подробностей о характере расследования пока не разглашается, однако предполагается, что оба инцидента были совершены одним и тем же злоумышленником, известным под именем Tea Pot (он же teapotuberhacker).
Uber, со своей стороны, вовсе уличил злоумышленника в связях с бандой вымогателей LAPSUS$.
По данным Flashpoint, реальная личность хакера, стоящего за двумя инцидентами, была раскрыта на теневом хакерском форуме.
При этом не до конца понятно, почему админ слил своего коллегу. Но он утверждает, что teapotuberhacker был тем же, кто взломал и Microsoft.
Кроме того, администратор связал его с другими псевдонимами, такими как White и Breachbase, и вовсе заявил, что он является членом LAPSUS$.
Не будем строить конспирологических версий и выстраивать сложные аналогии, но на данный момент пока больше вопросов в отношении задержанного и степени его причастности к инцидентам.
Но будем посмотреть, может какая другая инфа подъедет.
Flashpoint
What We Know About The 'Grand Theft Auto VI' Data Breach
“Teapotuberhacker” claimed to have hacked Rockstar Games, the creator of the popular and controversial Grand Theft Auto (GTA) series.
Ресерчеры Лаборатории Касперского обнаружили в массовых рассылках приемы, характерные для целевых атак.
Как правило, массовые вредоносные рассылки обычно достаточно примитивны и не отличаются разнообразием. Однако ситуация начала меняться.
Не так давно ресерчеры столкнулись с интересным письмом. В нем якобы потенциальный клиент из Малайзии просит получателя ознакомиться с требованиями фирмы-заказчика и подготовить необходимые документы.
При этом общее оформление письма соответствует всем корпоративным стандартам переписки, а запрос выглядит в целом легитимным.
Выдает только адрес отправителя <newsletter@trade***.com>. Newsletter обычно используется для рассылки новостей и домен не соответствует названию компании в логотипе.
Как и вдругом случае, когда клиент из Болгарии уточнял у продавца наличие нужного товара и предлагал обсудить детали продажи. В обоих случаях, список интересующих его позиций якобы находился во вложении.
Изучив заголовки писем, специалисты Лаборатории выяснили, что они имеют идентичную последовательность заголовков, формат идентификатора сообщения MSGID и почтовый клиент. Для отправки используется ограниченный диапазон IP-адресов.
Все это в совокупности позволило их объединить в одну масштабную вредоносную почтовой кампанию, акторы которой весьма скрупулёзно подошли ее подготовке.
С апреля по август решения Лаборатории Касперского задетектили 739 749 писем этой кампании.
Рассылка достигла пика в 194 100 в июне, а затем пошла на спад: в июле мы выявили 178 510 писем, а в августе — 104 991.
Вложения к ним содержали один из двух уникальных файлов, относящихся к одному семейству вредоносного ПО Agent Tesla, написанного на .NET и известного еще с 2014 года.
Его основная цель — извлечь сохраненные данные из браузеров, почтовых и FTP/SCP клиентов, баз данных MySQL, VPN, мессенджеров и клиентов удаленного администрирования, которые пересылаются актору по электронной почте, в приватный чат Telegram, на сайт или FTP-сервер.
Agent Tesla также способен делать снимки экрана, перехватывать буфер обмена и записывать нажатия клавиш.
С мая по август 2022 года наибольшую активность этого зловреда ресерчеры Лаборатории наблюдали в Европе, Азии и Латинской Америке.
Большинство жертв находилось в Мексике (20 941), Испании (18 090), Германии (14 880), Турции (13 326) и России (12 739).
Обнаруженная рассылка наглядно показывает, как злоумышленники научились тщательно готовить даже массовые атаки с использованием качественных подделок, по всей вероятности, составляя и рассылая спам вручную.
При этом география кампании затронула организации по всему миру и включала внушительный список эксфильруемых данных, которые впоследствии будут выставлены на продажу в даркнете для дальнейших целевых атак.
По итогу, однозначный вердикт - Trojan-PSW.MSIL.Agensla.
Как правило, массовые вредоносные рассылки обычно достаточно примитивны и не отличаются разнообразием. Однако ситуация начала меняться.
Не так давно ресерчеры столкнулись с интересным письмом. В нем якобы потенциальный клиент из Малайзии просит получателя ознакомиться с требованиями фирмы-заказчика и подготовить необходимые документы.
При этом общее оформление письма соответствует всем корпоративным стандартам переписки, а запрос выглядит в целом легитимным.
Выдает только адрес отправителя <newsletter@trade***.com>. Newsletter обычно используется для рассылки новостей и домен не соответствует названию компании в логотипе.
Как и вдругом случае, когда клиент из Болгарии уточнял у продавца наличие нужного товара и предлагал обсудить детали продажи. В обоих случаях, список интересующих его позиций якобы находился во вложении.
Изучив заголовки писем, специалисты Лаборатории выяснили, что они имеют идентичную последовательность заголовков, формат идентификатора сообщения MSGID и почтовый клиент. Для отправки используется ограниченный диапазон IP-адресов.
Все это в совокупности позволило их объединить в одну масштабную вредоносную почтовой кампанию, акторы которой весьма скрупулёзно подошли ее подготовке.
С апреля по август решения Лаборатории Касперского задетектили 739 749 писем этой кампании.
Рассылка достигла пика в 194 100 в июне, а затем пошла на спад: в июле мы выявили 178 510 писем, а в августе — 104 991.
Вложения к ним содержали один из двух уникальных файлов, относящихся к одному семейству вредоносного ПО Agent Tesla, написанного на .NET и известного еще с 2014 года.
Его основная цель — извлечь сохраненные данные из браузеров, почтовых и FTP/SCP клиентов, баз данных MySQL, VPN, мессенджеров и клиентов удаленного администрирования, которые пересылаются актору по электронной почте, в приватный чат Telegram, на сайт или FTP-сервер.
Agent Tesla также способен делать снимки экрана, перехватывать буфер обмена и записывать нажатия клавиш.
С мая по август 2022 года наибольшую активность этого зловреда ресерчеры Лаборатории наблюдали в Европе, Азии и Латинской Америке.
Большинство жертв находилось в Мексике (20 941), Испании (18 090), Германии (14 880), Турции (13 326) и России (12 739).
Обнаруженная рассылка наглядно показывает, как злоумышленники научились тщательно готовить даже массовые атаки с использованием качественных подделок, по всей вероятности, составляя и рассылая спам вручную.
При этом география кампании затронула организации по всему миру и включала внушительный список эксфильруемых данных, которые впоследствии будут выставлены на продажу в даркнете для дальнейших целевых атак.
По итогу, однозначный вердикт - Trojan-PSW.MSIL.Agensla.
securelist.ru
Спам-рассылка, нацеленная на бизнес, доставляет стилер Agent Tesla
Массовая спам-рассылка от имени заказчиков доставляет корпоративным пользователям стилер Agent Tesla под видом документов.
Все еще пользуетесь WhatsApp - ошибка, не установили сентябрьское обновление - фатальная ошибка!
WhatsApp устранил две критические RCE-уязвимости в приложении для Android и iOS, включая и версии Business, которые позволяли злоумышленникам удаленно взламывать устройства своих жертв, просто позвонив им (CVE-2022-36934) или отправив видеофайл (CVE-2022-27492).
WhatsApp устранил две критические RCE-уязвимости в приложении для Android и iOS, включая и версии Business, которые позволяли злоумышленникам удаленно взламывать устройства своих жертв, просто позвонив им (CVE-2022-36934) или отправив видеофайл (CVE-2022-27492).
WhatsApp.com
WhatsApp Security Advisories 2022
WhatsApp Security Advisories 2022 - List of security fixes for WhatsApp products
В мире ransomware события развиваются стремительно.
Everest взломали банк Fedfina LLC, после чего слили данные о 637 895 клиентах. Аналогичным образом поступили и с аргентинским Ministerio de Economía.
Everest отправила на продажу доступ к правительственной сети Бразилии на Forums Leaks Market, прямо накануне предстоящих выборов.
BlackBasta пошифровали и поставили на счетчик Kollitsch Management GmbH, а BlackCat (ALPHV) слила 400 ГБ украденных данных с серверов графства Саффолк, и судя по опубликованным фото взяли под полный контроль всю сеть.
Команда Lockbit добавила IFW Global в свой DLS, а вымогатели Hive отработали старейшую строительную компанию BL Harbert International.
Под удар вымогателей (правда неясно кого конкретно) попало Министерство обороны Чили, поставщик соцуслуг Katholischen Sozialdienstleister SKM, а также ITS Group.
Bloody добавила MDM-Print на свой DLS, а представленные пруфы свидетельствуют о достаточно серьезном инциденте.
Everest взломали банк Fedfina LLC, после чего слили данные о 637 895 клиентах. Аналогичным образом поступили и с аргентинским Ministerio de Economía.
Everest отправила на продажу доступ к правительственной сети Бразилии на Forums Leaks Market, прямо накануне предстоящих выборов.
BlackBasta пошифровали и поставили на счетчик Kollitsch Management GmbH, а BlackCat (ALPHV) слила 400 ГБ украденных данных с серверов графства Саффолк, и судя по опубликованным фото взяли под полный контроль всю сеть.
Команда Lockbit добавила IFW Global в свой DLS, а вымогатели Hive отработали старейшую строительную компанию BL Harbert International.
Под удар вымогателей (правда неясно кого конкретно) попало Министерство обороны Чили, поставщик соцуслуг Katholischen Sozialdienstleister SKM, а также ITS Group.
Bloody добавила MDM-Print на свой DLS, а представленные пруфы свидетельствуют о достаточно серьезном инциденте.
͏Как и обещали, последовало продолжение инцидента со взломом крупнейшего австралийского провайдера Optus.
По оценкам на декабрь 2019 года Optus, дочерняя компания Singtel, имела более 10 миллионов абонентов.
При этом компания не сообщила, когда и как произошел инцидент, а также сколько клиентских и корпоративных данных могло оказаться в руках хакеров.
Кроме того, Optus согласно политике конфиденциальности и законодательству хранит также личную информацию пользователей в течение определенного периода времени.
Однако, как выяснил журналист ISMG Джереми Кирк, взлом мог затронуть почти всех клиентов и был реализован через неаутентифицированную конечную точку API «api.www.optus.com[.]au» без аутентификации, которая, по-видимому, находилась в незащищенном исполнении еще с января 2019 года.
Инцидент с Optus также вызвал острую критику со стороны Министра кибербезопасности Австралии, назвавшего это «беспрецедентной кражей информации о пользователях», а также всего госаппарата страны.
Пока Австралийская федеральная полиция (AFP) работает над сбором доказательств и инициировала операцию Ураган, стоящий за Optus Breach хакер обнародовал записи о 10 200 клиентах, следуя наработанной схеме вымогательства и обещая прекратить слив за 1 млн. долларов.
В проливном случае он пригрозил опубликовать пеше о 10 000 записей в течение следующих трех дней.
Отдельные массивы данных также выставлены на продажу по цене 100, 200 и 300 тысяч долларов в зависимости от объема покупки.
Optus уже разослала электронные письма или текстовые сообщения всем клиентам, у которых была скомпрометирована информация, удостоверяющая личность, а также порекомендовала им принять меры по защите банковских и финансовых сервисов от подозрительных или мошеннических действий.
А мы будем посмотреть, чем закончится весь этот кибертреш.
По оценкам на декабрь 2019 года Optus, дочерняя компания Singtel, имела более 10 миллионов абонентов.
При этом компания не сообщила, когда и как произошел инцидент, а также сколько клиентских и корпоративных данных могло оказаться в руках хакеров.
Кроме того, Optus согласно политике конфиденциальности и законодательству хранит также личную информацию пользователей в течение определенного периода времени.
Однако, как выяснил журналист ISMG Джереми Кирк, взлом мог затронуть почти всех клиентов и был реализован через неаутентифицированную конечную точку API «api.www.optus.com[.]au» без аутентификации, которая, по-видимому, находилась в незащищенном исполнении еще с января 2019 года.
Инцидент с Optus также вызвал острую критику со стороны Министра кибербезопасности Австралии, назвавшего это «беспрецедентной кражей информации о пользователях», а также всего госаппарата страны.
Пока Австралийская федеральная полиция (AFP) работает над сбором доказательств и инициировала операцию Ураган, стоящий за Optus Breach хакер обнародовал записи о 10 200 клиентах, следуя наработанной схеме вымогательства и обещая прекратить слив за 1 млн. долларов.
В проливном случае он пригрозил опубликовать пеше о 10 000 записей в течение следующих трех дней.
Отдельные массивы данных также выставлены на продажу по цене 100, 200 и 300 тысяч долларов в зависимости от объема покупки.
Optus уже разослала электронные письма или текстовые сообщения всем клиентам, у которых была скомпрометирована информация, удостоверяющая личность, а также порекомендовала им принять меры по защите банковских и финансовых сервисов от подозрительных или мошеннических действий.
А мы будем посмотреть, чем закончится весь этот кибертреш.
Проправительственная хакерская группировка TA413 (также известная как LuckyCat), связанная с Китаем была замечена в атаках на Правительство Тибета в изгнании или как ее еще называют Центральной тибетской администрацией.
В рамках шпионской кампании APT использовали недавно обнаруженные недостатки в брандмауэре Sophos и Microsoft Office (CVE-2022-1040 и CVE-2022-30190) для развертывания неизвестного ранее бэкдора LOWZERO.
В основном целями были организации, связанные с тибетской общиной, в том числе и предприятия, связанные с тибетским правительством о чем говорится в отчете Recorded Future.
Атаки LuckyCat на организации и отдельных лиц, связанных с тибетским сообществом, продолжаются по крайней мере с 2020 года с использованием вредоносных программ, таких как ExileRAT, Sepulcher и вредоносного расширения браузера Mozilla Firefox, получившего название FriarFox .
В целевой фишинговой атаке применялся вредоносный RTF-документ, в котором использовались недостатки в редакторе Microsoft Equation Editor для доставки пользовательского имплантата LOWZERO. В совокупности это было достигнуто за счет использования инструмента Royal Road RTF, который широко распространен среди китайских злоумышленников.
В другом электронном письме, полученной тибетской жертвой использовалось вложение Microsoft Word, размещенное в службе Google Firebase, которое пыталось использовать уязвимость Follina для выполнения команды PowerShell с последующей загрузкой бэкдора с удаленного сервера.
Бэкдор LOWZERO имеет модульную структуру и загружает необходимые определенные модули с C2, если скомпрометированная машина представляет интерес для злоумышленника.
Исследователям удалось связать несколько кампаний с деятельностью группы из-за того, что субъекты угрозы регулярно использовали одни и те же адреса отправителей электронной почты в течение нескольких лет (такие как tseringkanyaq@yahoo[.]com и mediabureauin@gmail[.]com).
Со слов экспертов, группа продолжает внедрять новые возможности, полагаясь при этом на проверенные практикой TTP.
В рамках шпионской кампании APT использовали недавно обнаруженные недостатки в брандмауэре Sophos и Microsoft Office (CVE-2022-1040 и CVE-2022-30190) для развертывания неизвестного ранее бэкдора LOWZERO.
В основном целями были организации, связанные с тибетской общиной, в том числе и предприятия, связанные с тибетским правительством о чем говорится в отчете Recorded Future.
Атаки LuckyCat на организации и отдельных лиц, связанных с тибетским сообществом, продолжаются по крайней мере с 2020 года с использованием вредоносных программ, таких как ExileRAT, Sepulcher и вредоносного расширения браузера Mozilla Firefox, получившего название FriarFox .
В целевой фишинговой атаке применялся вредоносный RTF-документ, в котором использовались недостатки в редакторе Microsoft Equation Editor для доставки пользовательского имплантата LOWZERO. В совокупности это было достигнуто за счет использования инструмента Royal Road RTF, который широко распространен среди китайских злоумышленников.
В другом электронном письме, полученной тибетской жертвой использовалось вложение Microsoft Word, размещенное в службе Google Firebase, которое пыталось использовать уязвимость Follina для выполнения команды PowerShell с последующей загрузкой бэкдора с удаленного сервера.
Бэкдор LOWZERO имеет модульную структуру и загружает необходимые определенные модули с C2, если скомпрометированная машина представляет интерес для злоумышленника.
Исследователям удалось связать несколько кампаний с деятельностью группы из-за того, что субъекты угрозы регулярно использовали одни и те же адреса отправителей электронной почты в течение нескольких лет (такие как tseringkanyaq@yahoo[.]com и mediabureauin@gmail[.]com).
Со слов экспертов, группа продолжает внедрять новые возможности, полагаясь при этом на проверенные практикой TTP.
Команда Team82 из Claroty обнаружили 11 уязвимостей в IoT-решениях производителя Carlo Gavazzi, 6 из которых критические.
Carlo Gavazzi — международная группа, занимающаяся проектированием, производством и продажей решений по автоматизации для мировых рынков промышленной автоматизации и автоматизации зданий.
Компания поставляет продукцию в Европу, Америку и Азиатско-Тихоокеанский регион через сеть из 22 собственных торговых компаний и через более чем 60 независимых национальных дистрибьюторов.
Проблемы затрагивают в основном Carlo Gavazzi UWP3.0 и CPY Car Park Server.
Все критические ошибки имеют оценку CVSS V3 9,8.
Часть из них связана с использованием жестко закодированных учетных данных (CVE-2022-22522, CVE-2022-28812) в некоторых версиях UWP3.0 и CPY Car Park Server, которые позволяют неаутентифицированному злоумышленнику получить полный доступ к серверу и уязвимым продуктам.
Другие обусловлены отсутствием аутентификации, которая обеспечивает злоумышленнику полный доступ через API (CVE-2022-22526), неверной проверкой ввода в параметре, отправленном через API, для доступа к уязвимым продуктам (CVE-2022-28811), а также относительным обходом пути, приводящим к RCE (CVE-2022-28814).
Кроме того, удаленный злоумышленник, не прошедший проверку подлинности, может использовать уязвимость SQL-Injection для получения полного доступа к базе данных (CVE-2022-22524), а в других случаях уязвимость SQL-инъекции позволяет злоумышленнику запрашивать другие таблицы службы Sentilo (CVE-2022-28813 с оценкой CVSS V3 7,5).
Серьезные уязвимости связаны с неправильной аутентификации, которая позволяет обходить аутентификацию в контексте пользователя (CVE-2022-22523 с оценкой CVSS V3 7,5), а также неправильной проверкой ввода - CVE-2022-22525 (CVSS V3 7.2).
Последняя дает возможность удаленному злоумышленнику с правами администратора выполнять произвольные команды.
В ряде версий UWP3.0 прокси-сервер Sentilo подвержен отраженному XSS (CVE-2022-28816 с CVSS V3 7.6).
Пользователям следует обратить внимание на проблемы и поспешить с обновлениями, учитывая критичность обнаруженных баг.
Carlo Gavazzi — международная группа, занимающаяся проектированием, производством и продажей решений по автоматизации для мировых рынков промышленной автоматизации и автоматизации зданий.
Компания поставляет продукцию в Европу, Америку и Азиатско-Тихоокеанский регион через сеть из 22 собственных торговых компаний и через более чем 60 независимых национальных дистрибьюторов.
Проблемы затрагивают в основном Carlo Gavazzi UWP3.0 и CPY Car Park Server.
Все критические ошибки имеют оценку CVSS V3 9,8.
Часть из них связана с использованием жестко закодированных учетных данных (CVE-2022-22522, CVE-2022-28812) в некоторых версиях UWP3.0 и CPY Car Park Server, которые позволяют неаутентифицированному злоумышленнику получить полный доступ к серверу и уязвимым продуктам.
Другие обусловлены отсутствием аутентификации, которая обеспечивает злоумышленнику полный доступ через API (CVE-2022-22526), неверной проверкой ввода в параметре, отправленном через API, для доступа к уязвимым продуктам (CVE-2022-28811), а также относительным обходом пути, приводящим к RCE (CVE-2022-28814).
Кроме того, удаленный злоумышленник, не прошедший проверку подлинности, может использовать уязвимость SQL-Injection для получения полного доступа к базе данных (CVE-2022-22524), а в других случаях уязвимость SQL-инъекции позволяет злоумышленнику запрашивать другие таблицы службы Sentilo (CVE-2022-28813 с оценкой CVSS V3 7,5).
Серьезные уязвимости связаны с неправильной аутентификации, которая позволяет обходить аутентификацию в контексте пользователя (CVE-2022-22523 с оценкой CVSS V3 7,5), а также неправильной проверкой ввода - CVE-2022-22525 (CVSS V3 7.2).
Последняя дает возможность удаленному злоумышленнику с правами администратора выполнять произвольные команды.
В ряде версий UWP3.0 прокси-сервер Sentilo подвержен отраженному XSS (CVE-2022-28816 с CVSS V3 7.6).
Пользователям следует обратить внимание на проблемы и поспешить с обновлениями, учитывая критичность обнаруженных баг.
Claroty
XIoT Vulnerability Disclosure Dashboard
Track all XIoT vulnerabilities disclosed by Team82, the industry’s best cybersecurity vulnerability and threat research team. Team82 finds software and firmware vulnerabilities before threat actors can exploit them.
Команда Unit42 из Paloaltonetworks рассказала о том, как уже несколько лет им удается отслеживать АРТ благодаря анализу вредоносных библиотек DLL.
Ресерчеры предполагают, что именно загрузка таких DLL является одним из основных методов выполнения вредоносных полезных нагрузок в зараженных системах, которым пользуются как отдельные хакеры, так и APT-группы.
На практике поиск загрузки неподписанных библиотек DLL помогла им обнаружить сложные полезные нагрузки и APT-группы в дикой природе, включая китайскую Stately Taurus (ранее известную как PKPLUG, она же Mustang Panda) и северокорейскую Selective Pisces (она же Lazarus Group).
Большинство вредоносных библиотек DLL имеют три общих характеристики: в основном записываются по непривилегированным путям, DLL не подписаны, а во избежание обнаружения загружаются подписанным процессом.
При этом наиболее распространенными методами загрузки среди хакеров выступают следующие:
⁃ Загрузка DLL с помощью rundll32.exe/regsvr32.exe (злоумышленники злоупотребляют ими для выполнения кода в попытке избежать обнаружения).
⁃ Перехват порядка поиска DLL (безопасное приложение будет загружать вредоносную полезную нагрузку с именем известной библиотеки).
В реальных условиях наиболее распространенными непривилегированными путями для загрузки вредоносных неподписанных библиотек DLL являются папки и подпапки ProgramData, AppData и домашние каталоги пользователей.
Для проверки своей гипотезы ресерчеры создали два XQL-запроса: первый ищет неподписанные библиотеки DLL, загруженные rundll32.exe/regsvr32.exe, а другой - подписанное ПО, которое загружает неподписанную библиотеку. По результатам за последние шесть месяцев были выявлены различные семейства вредоносных ПО.
Анализ результатов показал, что банковские трояны и отдельные злоумышленники обычно использовали rundll32.exe или regsvr32.exe для загрузки вредоносной DLL, в то время как APT использовали технику боковой загрузки DLL.
В своем блоге ресерчеры выделили расследование деятельности Stately Taurus, которые используют технику перехвата порядка поиска DLL.
АРТ поместила полезную нагрузку в папку ProgramData, которая содержала три файла — безопасный EXE-файл для перехвата DLL (AvastSvc.exe), файл DLL (wsc.dll) и зашифрованную полезную нагрузку (AvastAuth.dat). Загруженной DLL оказалась PlugX RAT.
Среди результатов ресерчеры также идентифицировали Selective Pisces.
Исследование цепочки выполнения неподписанных модулей в каталогах ProgramData показало, что они были сброшены на диск подписанным процессом DreamSecurity MagicLine4NX (MagicLine4NX.exe).
MagicLine4NX.exe выполнял полезную нагрузку второго этапа, которая использовала неопубликованную загрузку DLL, чтобы избежать обнаружения.
Полезная нагрузка второго этапа записала новую DLL с именем mi.dll и скопировала wsmprovhost.exe (хост-процесс для WinRM) в случайный каталог в ProgramData. Злоумышленники злоупотребили этим механизмом, чтобы добиться боковой загрузки DLL (T1574.002).
Полезная нагрузка mi.dll перебрасывала новую полезную нагрузку с именем ualapi.dll в каталог System32.
Поскольку ualapi.dll в данном случае является отсутствующей библиотекой DLL в каталоге System32, злоумышленники использовали это для обеспечения устойчивости, присвоив своей вредоносной полезной нагрузке имя ualapi.dll. Таким образом, spoolsv.exe загружала его при запуске.
Исследователи рекомендуют ИБ-специалистам использовать описанные в их статье подходы для активного поиска и последующей блокировки вредоносных неподписанных библиотек DLL.
Примеры запросов и некоторые индикаторы представлены в отчете.
Ресерчеры предполагают, что именно загрузка таких DLL является одним из основных методов выполнения вредоносных полезных нагрузок в зараженных системах, которым пользуются как отдельные хакеры, так и APT-группы.
На практике поиск загрузки неподписанных библиотек DLL помогла им обнаружить сложные полезные нагрузки и APT-группы в дикой природе, включая китайскую Stately Taurus (ранее известную как PKPLUG, она же Mustang Panda) и северокорейскую Selective Pisces (она же Lazarus Group).
Большинство вредоносных библиотек DLL имеют три общих характеристики: в основном записываются по непривилегированным путям, DLL не подписаны, а во избежание обнаружения загружаются подписанным процессом.
При этом наиболее распространенными методами загрузки среди хакеров выступают следующие:
⁃ Загрузка DLL с помощью rundll32.exe/regsvr32.exe (злоумышленники злоупотребляют ими для выполнения кода в попытке избежать обнаружения).
⁃ Перехват порядка поиска DLL (безопасное приложение будет загружать вредоносную полезную нагрузку с именем известной библиотеки).
В реальных условиях наиболее распространенными непривилегированными путями для загрузки вредоносных неподписанных библиотек DLL являются папки и подпапки ProgramData, AppData и домашние каталоги пользователей.
Для проверки своей гипотезы ресерчеры создали два XQL-запроса: первый ищет неподписанные библиотеки DLL, загруженные rundll32.exe/regsvr32.exe, а другой - подписанное ПО, которое загружает неподписанную библиотеку. По результатам за последние шесть месяцев были выявлены различные семейства вредоносных ПО.
Анализ результатов показал, что банковские трояны и отдельные злоумышленники обычно использовали rundll32.exe или regsvr32.exe для загрузки вредоносной DLL, в то время как APT использовали технику боковой загрузки DLL.
В своем блоге ресерчеры выделили расследование деятельности Stately Taurus, которые используют технику перехвата порядка поиска DLL.
АРТ поместила полезную нагрузку в папку ProgramData, которая содержала три файла — безопасный EXE-файл для перехвата DLL (AvastSvc.exe), файл DLL (wsc.dll) и зашифрованную полезную нагрузку (AvastAuth.dat). Загруженной DLL оказалась PlugX RAT.
Среди результатов ресерчеры также идентифицировали Selective Pisces.
Исследование цепочки выполнения неподписанных модулей в каталогах ProgramData показало, что они были сброшены на диск подписанным процессом DreamSecurity MagicLine4NX (MagicLine4NX.exe).
MagicLine4NX.exe выполнял полезную нагрузку второго этапа, которая использовала неопубликованную загрузку DLL, чтобы избежать обнаружения.
Полезная нагрузка второго этапа записала новую DLL с именем mi.dll и скопировала wsmprovhost.exe (хост-процесс для WinRM) в случайный каталог в ProgramData. Злоумышленники злоупотребили этим механизмом, чтобы добиться боковой загрузки DLL (T1574.002).
Полезная нагрузка mi.dll перебрасывала новую полезную нагрузку с именем ualapi.dll в каталог System32.
Поскольку ualapi.dll в данном случае является отсутствующей библиотекой DLL в каталоге System32, злоумышленники использовали это для обеспечения устойчивости, присвоив своей вредоносной полезной нагрузке имя ualapi.dll. Таким образом, spoolsv.exe загружала его при запуске.
Исследователи рекомендуют ИБ-специалистам использовать описанные в их статье подходы для активного поиска и последующей блокировки вредоносных неподписанных библиотек DLL.
Примеры запросов и некоторые индикаторы представлены в отчете.
Unit 42
Hunting for Unsigned DLLs to Find APTs
Hunting for the loading of unsigned DLLs can help you identify attacks and threat actors in your environment. Our examples include well-known APTs.
Как мы предупреждали, и неделя не прошла, как утекший сборщик LockBit 3.0 был взят на вооружение бандой вымогателей Bl00Dy Ransomware Gang, которые уже поспешили применить новинку в реальных атаках.
Слитый обиженным разрабом конструктор новейшей ransomware LockBit 3.0 позволяет любому оператору ПО создать реально работающие шифратор и дешифратор, а также соответствующие заметки о выкупе, что было подтверждено ресерчерами в рамках тестовых сборок.
Первый собранный на базе конструктора комплект уже успешно опробован Bl00Dy на украинской организации.
Позже ресерчеры MalwareHunterTeam подтвердили, что шифровальщик был построен с использованием недавно выпущенного компоновщика LockBit 3.0. Сканирование Intezer также показало много совпадений кода между шифровальщиками Bl00dy и LockBit 3.0.
Как ранее сообщали DataBreaches.net, банда вымогателей Bl00Dy попала в поле зрения в мае 2022 года, когда они атаковали медицинские и стоматологические компании в Нью-Йорке.
Злоумышленники взламывают сеть, крадут корпоративные данные и шифруют устройства. Однако вместо того, чтобы использовать сайт утечки данных Tor для вымогательства жертв и публикации украденных данных, злоумышленники используют для той же цели канал Telegram.
Группа отличается тем, что они не ведут собственных разработок, а предпочитают орудовать, используя утекшие сборщики и исходный код других ransomware, таких как Babuk [VirusTotal] и Conti [VirusTotal].
При этом в прошлых кампаниях злоумышленники добавляли расширение bl00dy для зашифрованных файлов. Однако, поскольку это этот параметр в сборщике LockBit 3.0 не имеет возможности настройки, злоумышленники используют расширения, установленные при сборке шифровальщика.
Что касается заметки о выкупе, то имена файлов, по-прежнему, создаются в стиле LockBit, но злоумышленники настроили их так, чтобы они включали собственный текст и контактную информацию.
В целом, Bl00dy Ransomware Gang балансирует между штаммами программ-вымогателей по мере необходимости, чтобы избегать атрибуции и применять необходимые в каждой конкретной атаке функции.
Учитывая, что LockBit 3.0 — пожалуй, одна из наиболее продвинутых и функционально богатых ransomware в настоящее время, стоит ожидать новые операции с использованием утекшего конструктора.
Слитый обиженным разрабом конструктор новейшей ransomware LockBit 3.0 позволяет любому оператору ПО создать реально работающие шифратор и дешифратор, а также соответствующие заметки о выкупе, что было подтверждено ресерчерами в рамках тестовых сборок.
Первый собранный на базе конструктора комплект уже успешно опробован Bl00Dy на украинской организации.
Позже ресерчеры MalwareHunterTeam подтвердили, что шифровальщик был построен с использованием недавно выпущенного компоновщика LockBit 3.0. Сканирование Intezer также показало много совпадений кода между шифровальщиками Bl00dy и LockBit 3.0.
Как ранее сообщали DataBreaches.net, банда вымогателей Bl00Dy попала в поле зрения в мае 2022 года, когда они атаковали медицинские и стоматологические компании в Нью-Йорке.
Злоумышленники взламывают сеть, крадут корпоративные данные и шифруют устройства. Однако вместо того, чтобы использовать сайт утечки данных Tor для вымогательства жертв и публикации украденных данных, злоумышленники используют для той же цели канал Telegram.
Группа отличается тем, что они не ведут собственных разработок, а предпочитают орудовать, используя утекшие сборщики и исходный код других ransomware, таких как Babuk [VirusTotal] и Conti [VirusTotal].
При этом в прошлых кампаниях злоумышленники добавляли расширение bl00dy для зашифрованных файлов. Однако, поскольку это этот параметр в сборщике LockBit 3.0 не имеет возможности настройки, злоумышленники используют расширения, установленные при сборке шифровальщика.
Что касается заметки о выкупе, то имена файлов, по-прежнему, создаются в стиле LockBit, но злоумышленники настроили их так, чтобы они включали собственный текст и контактную информацию.
В целом, Bl00dy Ransomware Gang балансирует между штаммами программ-вымогателей по мере необходимости, чтобы избегать атрибуции и применять необходимые в каждой конкретной атаке функции.
Учитывая, что LockBit 3.0 — пожалуй, одна из наиболее продвинутых и функционально богатых ransomware в настоящее время, стоит ожидать новые операции с использованием утекшего конструктора.
Telegram
SecAtor
͏Похоже, что LockBit сама стала жертвой утечки. Один из разработчиков в команде вымогателей слили исходники сборщика ransomware.
Хакеры, вероятно, продолжительное время трудились над новой версией своего ПО LockBit 3.0, включая и сборщик для новейшего шифровальщика…
Хакеры, вероятно, продолжительное время трудились над новой версией своего ПО LockBit 3.0, включая и сборщик для новейшего шифровальщика…
Elbit Systems of America была атакована вымогателями Black Basta.
Дочерняя компания израильского оборонного подрядчика Elbit Systems Ltd. базируется в США и являющаяся ведущим мировым поставщиком инновационных оборонных технологий и электроники, включая БПЛА, РЭБ и другие системы разведки и наблюдения для вооруженных сил и правительств по всему миру.
В 2015 году Elbit приобрела киберподразделение Nice Systems примерно за 160 миллионов долларов, которое было выделено в дочернюю компанию под названием Cyberbit, а два года спустя Citizen Lab обнаружили коммерческое шпионское ПО, созданное Cyberbit, которое использовалось для атак на эфиопских диссидентов в США и Великобритании.
Инцидент произошел еще 8 июня 2022 года и затронула 369 человек, а раскрыть его компании пришлось после того, как в конце июня вымогатели добавили компанию на свой сайт утечки в Tor.
Теперь же Elbit подтвердила утечку данных. В ходе этого расследования Elbit America выяснила, что личная информация определенных сотрудников могла быть получена третьей стороной без разрешения. Раскрытые данные могли включать имена, адреса, номера социального страхования, даты рождения, информацию о прямом депозите и этническую принадлежность.
Пруфы взлома от Black Basta включали аудиторский отчет, соглашения о конфиденциальности и отчет о заработной плате. Не густо.
Но, вероятно, у хакеров припасены и другие интересные пруфы. Ведь расследование все еще продолжается, да и жертва особенная.
Будем посмотреть.
Дочерняя компания израильского оборонного подрядчика Elbit Systems Ltd. базируется в США и являющаяся ведущим мировым поставщиком инновационных оборонных технологий и электроники, включая БПЛА, РЭБ и другие системы разведки и наблюдения для вооруженных сил и правительств по всему миру.
В 2015 году Elbit приобрела киберподразделение Nice Systems примерно за 160 миллионов долларов, которое было выделено в дочернюю компанию под названием Cyberbit, а два года спустя Citizen Lab обнаружили коммерческое шпионское ПО, созданное Cyberbit, которое использовалось для атак на эфиопских диссидентов в США и Великобритании.
Инцидент произошел еще 8 июня 2022 года и затронула 369 человек, а раскрыть его компании пришлось после того, как в конце июня вымогатели добавили компанию на свой сайт утечки в Tor.
Теперь же Elbit подтвердила утечку данных. В ходе этого расследования Elbit America выяснила, что личная информация определенных сотрудников могла быть получена третьей стороной без разрешения. Раскрытые данные могли включать имена, адреса, номера социального страхования, даты рождения, информацию о прямом депозите и этническую принадлежность.
Пруфы взлома от Black Basta включали аудиторский отчет, соглашения о конфиденциальности и отчет о заработной плате. Не густо.
Но, вероятно, у хакеров припасены и другие интересные пруфы. Ведь расследование все еще продолжается, да и жертва особенная.
Будем посмотреть.
TechCrunch
US arm of Israeli defense giant Elbit Systems says it was hacked
Elbit Systems of America, the U.S. arm of Israeli defense contractor Elbit, says its network was compromised in early June and personal information of employees was stolen.
͏Что ж ты, фраер, сдал назад?
После дерзкой атаки на австралийского провайдера Optus и не менее дерзкого вымогательства 1 000 000 долларов США за украденную информацию на 11 млн. абонентов, актор принес извинения за утечку 10 тысяч клиентских данных и отозвал свои требования.
Более того, OptusData удалил эксфильтрованные данные, включая и небольшой образец украденных данных на хакерском форуме Breached. Он объяснил это тем высоким резонансом и пристальным вниманием спецслужб к инциденту, инициировавших целую операцию под названием Ураган.
Правда, некоторые из жертв этой утечки уже стали объектом преследования, получая сообщения с требованием выплаты 2000 австралийских долларов (1300 долларов США) в течение двух дней, в противном случае их данные будут проданы другим хакерам.
Австралийская полиция заявила о привлечении возможностей зарубежных правоохранителей и задействовании целого арсенала технологий деанона, предупредив, что акторам грозит наказание в виде лишения свободы на срок до десяти лет.
Вряд ли, это удивило или хоть как-то встревожило дельца, который прекрасно понимает и осознает чем он занимается.
Однако, учитывая всю массу критики, которая обрушилась на жертву атаки, инцидент скорее был благополучно разрешен где-нибудь в приватной переписке за хороший гонорар каким-нибудь частным инвестором.
После дерзкой атаки на австралийского провайдера Optus и не менее дерзкого вымогательства 1 000 000 долларов США за украденную информацию на 11 млн. абонентов, актор принес извинения за утечку 10 тысяч клиентских данных и отозвал свои требования.
Более того, OptusData удалил эксфильтрованные данные, включая и небольшой образец украденных данных на хакерском форуме Breached. Он объяснил это тем высоким резонансом и пристальным вниманием спецслужб к инциденту, инициировавших целую операцию под названием Ураган.
Правда, некоторые из жертв этой утечки уже стали объектом преследования, получая сообщения с требованием выплаты 2000 австралийских долларов (1300 долларов США) в течение двух дней, в противном случае их данные будут проданы другим хакерам.
Австралийская полиция заявила о привлечении возможностей зарубежных правоохранителей и задействовании целого арсенала технологий деанона, предупредив, что акторам грозит наказание в виде лишения свободы на срок до десяти лет.
Вряд ли, это удивило или хоть как-то встревожило дельца, который прекрасно понимает и осознает чем он занимается.
Однако, учитывая всю массу критики, которая обрушилась на жертву атаки, инцидент скорее был благополучно разрешен где-нибудь в приватной переписке за хороший гонорар каким-нибудь частным инвестором.
В поисках очередного кряка, важно самому не стать крякнутным.
О новой угрозе предупреждают специалисты Лаборатории Касперского, которые обнаружили новый дроппер NullMixer, активно рекламируемый на вредоносных сайтах.
Дроппер крайне опасен и способен одновременно заразить устройства Windows двенадцатью различными семействами вредоносных программ.
Черные сеошники хорошо поработали и при поиске кряка или кейгена, вероятно нарветесь на мошеннический сайт и под видом желанного софта скачаете и запустите NullMixer, который наградит вас букетом разных троянских программ, даунлоудеров, шпионов и инфостилеров.
Момент когда стоит задуматься, так это если при попытке скачать желанный софт вас проведут через цепочку редиректоров на страницу с инструкциями по загрузке с файлообменника запароленного ZIP или RAR архива, который собственно и будет содержать вредоносный дроппер.
Чтобы вывести свои сайты в топ поисковой выдачи, злоумышленники применяют "серые" SEO-методы, например заполнение страниц расхожими ключевыми словами и фразами. Похожая тактика ранее уже наблюдалась в кампаниях GootLoader и SolarMarker, а в прошлом месяце — в атаках Redline.
Помимо того, что коварный NullMixer загружает дюжину троянов одновременно, что значительно увеличивает масштабы заражения, он сначала сам украдет у вас сведения об учетных данных пользователей, адресов, данные кредитных карт, криптовалют и даже файлы cookie с сеансами учетных записей Facebook и Amazon.
Специалисты связывают NullMixer с распространением в прошлом месяце мошеннического расширения Google Chrome под названием FB Stealer, которое ворует учетные данные Facebook и подменяет результаты выдачи поисковых систем.
Лаборатория Касперского заявила, что заблокировала более 47 778 попыток заражения жертв по всему миру, при этом большинство пользователей находятся в Бразилии, Индии, России, Италии, Германии, Франции, Египте, Турции и США.
В прочем любая загрузка файлов с ненадежных ресурсов — это настоящая игра в рулетку. Уже устоявшаяся практика, когда малварь распространяются через пиратское ПО.
О новой угрозе предупреждают специалисты Лаборатории Касперского, которые обнаружили новый дроппер NullMixer, активно рекламируемый на вредоносных сайтах.
Дроппер крайне опасен и способен одновременно заразить устройства Windows двенадцатью различными семействами вредоносных программ.
Черные сеошники хорошо поработали и при поиске кряка или кейгена, вероятно нарветесь на мошеннический сайт и под видом желанного софта скачаете и запустите NullMixer, который наградит вас букетом разных троянских программ, даунлоудеров, шпионов и инфостилеров.
Момент когда стоит задуматься, так это если при попытке скачать желанный софт вас проведут через цепочку редиректоров на страницу с инструкциями по загрузке с файлообменника запароленного ZIP или RAR архива, который собственно и будет содержать вредоносный дроппер.
Чтобы вывести свои сайты в топ поисковой выдачи, злоумышленники применяют "серые" SEO-методы, например заполнение страниц расхожими ключевыми словами и фразами. Похожая тактика ранее уже наблюдалась в кампаниях GootLoader и SolarMarker, а в прошлом месяце — в атаках Redline.
Помимо того, что коварный NullMixer загружает дюжину троянов одновременно, что значительно увеличивает масштабы заражения, он сначала сам украдет у вас сведения об учетных данных пользователей, адресов, данные кредитных карт, криптовалют и даже файлы cookie с сеансами учетных записей Facebook и Amazon.
Специалисты связывают NullMixer с распространением в прошлом месяце мошеннического расширения Google Chrome под названием FB Stealer, которое ворует учетные данные Facebook и подменяет результаты выдачи поисковых систем.
Лаборатория Касперского заявила, что заблокировала более 47 778 попыток заражения жертв по всему миру, при этом большинство пользователей находятся в Бразилии, Индии, России, Италии, Германии, Франции, Египте, Турции и США.
В прочем любая загрузка файлов с ненадежных ресурсов — это настоящая игра в рулетку. Уже устоявшаяся практика, когда малварь распространяются через пиратское ПО.
Securelist
NullMixer drops Redline Stealer, SmokeLoader and other malware
NullMixer is a dropper delivering a number of Trojans, such as RedLine Stealer, SmokeLoader, Satacom, and others.
Sentinel One раскрывает новую фишинговую кампанию, за которой стоят северокорейские Lazarus.
Как известно, с 2020 года хакеры ведут кампанию под названием Operation In(ter)ception, нацеленную на специалистов в криптоиндустрии.
Злоумышленники обманом пытаются заставить жертв открыть вредоносные файлы для заражения их системы и взлома внутренних сетей крипто-компаний с конечной целью кражи больших объемов криптовалюты, NFT или ведения шпионажа.
Если в августе 2022 года Lazarus использовали вредоносные предложения о работе, выдавая себя за Coinbase, то на этот раз перешли к поддельным предложениям Crypto.com для взлома разработчиков и кражи цифровых активов и криптовалюты с использованием того же вредоносного ПО для macOS, что и в предыдущих кампаниях.
Crypto.com — одна из ведущих мировых платформ обмена криптовалютой. Компания стала известна в 2021 году после приобретения арены Los Angeles Staples Center, которая была переименована в Crypto.com Arena и стала вещать серию телевизионных рекламных роликов, продвигающих продукт.
Lazarus обычно обращаются к своим целям через LinkedIn, отправляя им сообщения с упоминанием о высокооплачиваемой вакансии в крупной компании. После чего заинтересованные жертвы получают 26-страничный PDF с именем «Crypto.com_Job_Opportunities_2022_confidential.pdf».
В фоновом режиме двоичный файл Mach-O создает папку WifiPreference в каталоге библиотеки пользователя. На втором этапе — WifiAnalyticsServ.app загружает агент wifanalyticsagent, который в конечном итоге подключается к серверу C2 по адресу market.contradecapital[.]com для получения окончательной полезной нагрузки WiFiCloudWidget.
Исследователи не смогли проанализировать окончательную полезную нагрузку в виду того, что C2 был отключен на момент расследования.
При этом двоичные файлы подписаны специальной подписью, поэтому они могут проходить проверки Apple Gatekeeper и выполняться как доверенное ПО.
Актор не предпринял никаких усилий для шифрования или обфускации каких-либо двоичных файлов, что, возможно, указывает на краткосрочность кампании.
Скорее всего, Lazarus вскоре переключатся на другую компанию-приманку, сохранив при этом остальные элементы атаки практически без изменений.
Результаты исследования указывают на продолжение Operation In(ter)ception, в связи с чем специалистам в области криптоиндустрии следует проявлять бдительность, дабы не стать троянским конем для своего работодателя.
Как известно, с 2020 года хакеры ведут кампанию под названием Operation In(ter)ception, нацеленную на специалистов в криптоиндустрии.
Злоумышленники обманом пытаются заставить жертв открыть вредоносные файлы для заражения их системы и взлома внутренних сетей крипто-компаний с конечной целью кражи больших объемов криптовалюты, NFT или ведения шпионажа.
Если в августе 2022 года Lazarus использовали вредоносные предложения о работе, выдавая себя за Coinbase, то на этот раз перешли к поддельным предложениям Crypto.com для взлома разработчиков и кражи цифровых активов и криптовалюты с использованием того же вредоносного ПО для macOS, что и в предыдущих кампаниях.
Crypto.com — одна из ведущих мировых платформ обмена криптовалютой. Компания стала известна в 2021 году после приобретения арены Los Angeles Staples Center, которая была переименована в Crypto.com Arena и стала вещать серию телевизионных рекламных роликов, продвигающих продукт.
Lazarus обычно обращаются к своим целям через LinkedIn, отправляя им сообщения с упоминанием о высокооплачиваемой вакансии в крупной компании. После чего заинтересованные жертвы получают 26-страничный PDF с именем «Crypto.com_Job_Opportunities_2022_confidential.pdf».
В фоновом режиме двоичный файл Mach-O создает папку WifiPreference в каталоге библиотеки пользователя. На втором этапе — WifiAnalyticsServ.app загружает агент wifanalyticsagent, который в конечном итоге подключается к серверу C2 по адресу market.contradecapital[.]com для получения окончательной полезной нагрузки WiFiCloudWidget.
Исследователи не смогли проанализировать окончательную полезную нагрузку в виду того, что C2 был отключен на момент расследования.
При этом двоичные файлы подписаны специальной подписью, поэтому они могут проходить проверки Apple Gatekeeper и выполняться как доверенное ПО.
Актор не предпринял никаких усилий для шифрования или обфускации каких-либо двоичных файлов, что, возможно, указывает на краткосрочность кампании.
Скорее всего, Lazarus вскоре переключатся на другую компанию-приманку, сохранив при этом остальные элементы атаки практически без изменений.
Результаты исследования указывают на продолжение Operation In(ter)ception, в связи с чем специалистам в области криптоиндустрии следует проявлять бдительность, дабы не стать троянским конем для своего работодателя.
SentinelOne
Lazarus ‘Operation In(ter)ception’ Targets macOS Users Dreaming of Jobs in Crypto
First Coinbase, now Crypto.com. Lazarus campaign targets more crypto exchange platform job seekers with multi-stage malware.
Лаборатория Касперского четко расчехляет маститого бразильского актора, который за годы работы превратил вредоносное ПО, ориентированное на банкоматы в модульное вредоносное ПО для торговых точек.
Знакомьтесь, это Prilex.
Группа стояла за одной из крупнейших атак на банкоматы в стране, заразив и взломав более 1000 машин, а также клонировав более 28 000 кредитных карт.
Злоумышленники не имели физического доступа к машинам, но они смогли получить доступ к сети банка, используя самодельное устройство, содержащее маршрутизатор 4G и Raspberry PI. Им удалось скомпрометировать беспроводное соединение учреждения и нацелиться на банкоматы по всей сети.
Группа сосредоточила все свои атаки на системах PoS, нацеленных на бразильские платежные системы с ПО EFT/TEF, превратив свое ПО в очень продвинутую и сложную вредоносную программу.
Первое вредоносное ПО для PoS было обнаружено в октябре 2016 года. PoS-версия Prilex написана на Visual Basic, но модуль стилера, описанный в отчете, написан на p-code.
Основной подход, используемый Prilex для сбора данных кредитных карт, заключается в использовании патча в системных библиотеках PoS, позволяющего вредоносному ПО собирать данные, передаваемые программным обеспечением.
Prilex не является широко распространенным типом вредоносного ПО, так как не распространяется через спам-кампании по электронной почте. Он очень целенаправленный и обычно доставляется с помощью социальной инженерии.
Последний выпуск способен генерировать криптограммы EMV (Europay, MasterCard и Visa), представленные VISA в 2019 году в качестве системы проверки транзакций, помогающей обнаруживать и блокировать мошенничество с платежами.
Как подробно описано в отчете «Лаборатории Касперского», это также позволяет злоумышленникам использовать криптограмму EMV для выполнения фантомных транзакций даже с использованием кредитных карт, защищенных технологией CHIP и PIN.
В новой версии Prilex также добавлен бэкдор для связи, стилер для перехвата всех обменов данными и модуль загрузки для эксфильтрации. Его модуль кражи использует перехватчики на нескольких API-интерфейсах Windows для отслеживания канала связи между PIN-панелью и программным обеспечением PoS и может изменять содержимое транзакций, собирать информацию о карте и запрашивать новые криптограммы EMV с карты.
Перехваченная информация сохраняется в зашифрованном виде локально на взломанном компьютере и периодически загружается на C2 через HTTP-запросы POST.
Позже они быстро внедрили модель «вредоносное ПО как услуга» и расширили свое присутствие за рубежом. Запрашиваемая цена за комплект Prilex PoS составляет 3500 долларов. Правда, были и случаи, когда он продавался через чаты Telegram по цене от 10 000 до 13 000 долларов.
В настоящее время Prilex использует Subversion, что является явным признаком того, что они работают с более чем одним разработчиком. За годы работы группа меняла технику, однако главный вектор, направленный на злоупотребления PoS-процессами и перехват связи с ПИН-падом, остается неизменным.
Успех Prilex является сильнейшим мотиватором к появлению новых семейств вредоносных программ, оказывающих серьезное влияние на цепочку платежей, в связи с чем разработчикам ПО PoS определенно стоит задуматься над внедрением в свои модули средства самозащиты, такие как Kaspersky SDK.
Знакомьтесь, это Prilex.
Группа стояла за одной из крупнейших атак на банкоматы в стране, заразив и взломав более 1000 машин, а также клонировав более 28 000 кредитных карт.
Злоумышленники не имели физического доступа к машинам, но они смогли получить доступ к сети банка, используя самодельное устройство, содержащее маршрутизатор 4G и Raspberry PI. Им удалось скомпрометировать беспроводное соединение учреждения и нацелиться на банкоматы по всей сети.
Группа сосредоточила все свои атаки на системах PoS, нацеленных на бразильские платежные системы с ПО EFT/TEF, превратив свое ПО в очень продвинутую и сложную вредоносную программу.
Первое вредоносное ПО для PoS было обнаружено в октябре 2016 года. PoS-версия Prilex написана на Visual Basic, но модуль стилера, описанный в отчете, написан на p-code.
Основной подход, используемый Prilex для сбора данных кредитных карт, заключается в использовании патча в системных библиотеках PoS, позволяющего вредоносному ПО собирать данные, передаваемые программным обеспечением.
Prilex не является широко распространенным типом вредоносного ПО, так как не распространяется через спам-кампании по электронной почте. Он очень целенаправленный и обычно доставляется с помощью социальной инженерии.
Последний выпуск способен генерировать криптограммы EMV (Europay, MasterCard и Visa), представленные VISA в 2019 году в качестве системы проверки транзакций, помогающей обнаруживать и блокировать мошенничество с платежами.
Как подробно описано в отчете «Лаборатории Касперского», это также позволяет злоумышленникам использовать криптограмму EMV для выполнения фантомных транзакций даже с использованием кредитных карт, защищенных технологией CHIP и PIN.
В новой версии Prilex также добавлен бэкдор для связи, стилер для перехвата всех обменов данными и модуль загрузки для эксфильтрации. Его модуль кражи использует перехватчики на нескольких API-интерфейсах Windows для отслеживания канала связи между PIN-панелью и программным обеспечением PoS и может изменять содержимое транзакций, собирать информацию о карте и запрашивать новые криптограммы EMV с карты.
Перехваченная информация сохраняется в зашифрованном виде локально на взломанном компьютере и периодически загружается на C2 через HTTP-запросы POST.
Позже они быстро внедрили модель «вредоносное ПО как услуга» и расширили свое присутствие за рубежом. Запрашиваемая цена за комплект Prilex PoS составляет 3500 долларов. Правда, были и случаи, когда он продавался через чаты Telegram по цене от 10 000 до 13 000 долларов.
В настоящее время Prilex использует Subversion, что является явным признаком того, что они работают с более чем одним разработчиком. За годы работы группа меняла технику, однако главный вектор, направленный на злоупотребления PoS-процессами и перехват связи с ПИН-падом, остается неизменным.
Успех Prilex является сильнейшим мотиватором к появлению новых семейств вредоносных программ, оказывающих серьезное влияние на цепочку платежей, в связи с чем разработчикам ПО PoS определенно стоит задуматься над внедрением в свои модули средства самозащиты, такие как Kaspersky SDK.
Securelist
Prilex: Brazilian PoS malware evolution
Prilex is a Brazilian threat actor focusing on ATM and PoS attacks. In this report, we provide an overview of its PoS malware.