Не так давно мы писали про серьезные утечки, которые в числе прочих затронули Чили и Мексику и стали результатом массированных атак. Как стало известно, за инцидентами стоит хактивистская группа Guacamaya.
В общей сложности хакеры выкрали 10 ТБ конфиденциальных документов и электронных писем военного сектора Центральной и Южной Америки.
В рамках своей кампании, получившей наименование Mining Secrets, хакеры обнародовали множество документов военных и правоохранительных структур Мексики, Сальвадора, Колумбии, Чили и Перу.
Ранее они также взломали и опубликовали электронные письма горнодобывающей компании, долгое время обвиняемой в нарушении прав человека и окружающей среды в Гватемале.
Ни одно из попавших под руку хакеров агентств не комментировало инциденты. Однако Президент Мексики Андрес Мануэль Лопес Обрадор провел пресс-конференцию, на которой не только подтвердил кибератаку на армию Мексики, но и сказал, что получил информацию о нападениях на ряд других стран.
Представители Гуакамайи, в свою очередь, раскритиковали новостные агентства в Мексике, сосредоточившие внимание к закрытым сведениям о болезни Лопеса Обрадора, в то время как, утечки проливают свет на более широкие вопросы управления, коррупции и ущерба окружающей среде.
Лопес Обрадор преуменьшил значение взлома, заявив, что «нет ничего неизвестного». Он сказал, что вторжение, по-видимому, произошло во время смены систем министерства обороны, а также отказался расследовать киберинцидент.
Хакеры же отметили, что утечка включает и шесть терабайт файлов с документами о слежке за послом США в Мексике Кеном Салазаром, стенограммы и информацию о наркопреступных операциях. Кроме того, они представили тысячи электронных писем, иллюстрирующих огромную власть мексиканских военных над правительством Обрадора, а также споры внутри военных кланов.
В правительстве Чили тем временем были настолько обеспокоены взломом систем, что на прошлой неделе страна вызвала своего министра обороны из Соединенных Штатов, где она вместе с президентом Габриэлем Бориком присутствовала на Генеральной Ассамблее ООН.
Хакеры же намерены продолжать разоблачать несправедливость и коррупцию в защиту коренных народов Центральной и Южной Америки, мотивируя свои действия ответом на разграбление Латинской Америки колонизаторами с Глобального севера.
Ну, а мы - будем посмотреть.
В общей сложности хакеры выкрали 10 ТБ конфиденциальных документов и электронных писем военного сектора Центральной и Южной Америки.
В рамках своей кампании, получившей наименование Mining Secrets, хакеры обнародовали множество документов военных и правоохранительных структур Мексики, Сальвадора, Колумбии, Чили и Перу.
Ранее они также взломали и опубликовали электронные письма горнодобывающей компании, долгое время обвиняемой в нарушении прав человека и окружающей среды в Гватемале.
Ни одно из попавших под руку хакеров агентств не комментировало инциденты. Однако Президент Мексики Андрес Мануэль Лопес Обрадор провел пресс-конференцию, на которой не только подтвердил кибератаку на армию Мексики, но и сказал, что получил информацию о нападениях на ряд других стран.
Представители Гуакамайи, в свою очередь, раскритиковали новостные агентства в Мексике, сосредоточившие внимание к закрытым сведениям о болезни Лопеса Обрадора, в то время как, утечки проливают свет на более широкие вопросы управления, коррупции и ущерба окружающей среде.
Лопес Обрадор преуменьшил значение взлома, заявив, что «нет ничего неизвестного». Он сказал, что вторжение, по-видимому, произошло во время смены систем министерства обороны, а также отказался расследовать киберинцидент.
Хакеры же отметили, что утечка включает и шесть терабайт файлов с документами о слежке за послом США в Мексике Кеном Салазаром, стенограммы и информацию о наркопреступных операциях. Кроме того, они представили тысячи электронных писем, иллюстрирующих огромную власть мексиканских военных над правительством Обрадора, а также споры внутри военных кланов.
В правительстве Чили тем временем были настолько обеспокоены взломом систем, что на прошлой неделе страна вызвала своего министра обороны из Соединенных Штатов, где она вместе с президентом Габриэлем Бориком присутствовала на Генеральной Ассамблее ООН.
Хакеры же намерены продолжать разоблачать несправедливость и коррупцию в защиту коренных народов Центральной и Южной Америки, мотивируя свои действия ответом на разграбление Латинской Америки колонизаторами с Глобального севера.
Ну, а мы - будем посмотреть.
Тем временем, консорциум отелей Shangri-La заявил, что их база данных с личной информации о клиентах была взломана.
Утечка затронула отели в Гонконге, Сингапуре, Чиангмае, Тайбэе и Токио. Компания заявила, что пока не смогла определить, какие конкретно данные были украдены.
Взлом произошел в период с мая по июль, когда в сингапурском отеле Shangri-La проходил крупнейший в Азии саммит по безопасности, на котором присутствовали в числе прочих Министр обороны США Ллойд Остин и его китайский коллега генерал Вэй Фэнхэ.
Как отметила Shangri-La, база данных содержала контактную информацию гостей, но личная информация, такая как даты рождения, удостоверения личности и номера паспортов, а также данные кредитной карты, была зашифрована.
Shangri-La уведомила власти и гостей, которые, возможно, пострадали. Неужели все 290 000 клиентов, о которых упоминают журналисты или только особенных гостей.
Утечка затронула отели в Гонконге, Сингапуре, Чиангмае, Тайбэе и Токио. Компания заявила, что пока не смогла определить, какие конкретно данные были украдены.
Взлом произошел в период с мая по июль, когда в сингапурском отеле Shangri-La проходил крупнейший в Азии саммит по безопасности, на котором присутствовали в числе прочих Министр обороны США Ллойд Остин и его китайский коллега генерал Вэй Фэнхэ.
Как отметила Shangri-La, база данных содержала контактную информацию гостей, но личная информация, такая как даты рождения, удостоверения личности и номера паспортов, а также данные кредитной карты, была зашифрована.
Shangri-La уведомила власти и гостей, которые, возможно, пострадали. Неужели все 290 000 клиентов, о которых упоминают журналисты или только особенных гостей.
Marketing Interactive
Shangri-La's hotels face cyber attacks affecting 290,000 consumers
The three affected hotels in Hong Kong include Island Shangri-La Hong Kong, Kerry Hotel Hong Kong and Kowloon Shangri-La Hong Kong.
Специалисты из Trustwave обнаружили две уязвимости XSS в инструменте Vitrea View от Canon Medical, которые могут раскрывать информацию о пациентах.
Vitrea View предназначен для просмотра и безопасного обмена медицинскими изображениями по стандарту DICOM.
Ошибки имеют общий идентификатор CVE-2022-37461 и позволяют потенциальному злоумышленнику вызывать ошибки для доступа и изменения информации о пациенте (например, сохраненных изображений и сканов), а также получать дополнительный доступ к некоторым службам, связанным с Vitrea View.
Первая уязвимость, которую можно использовать без аутентификации, обнаружена на странице ошибок, расположенной по адресу /vitrea-view/error/, где все вводимые данные после подкаталога /error/ возвращаются пользователю.
Эксперты заметили, что одинарные и двойные кавычки, а также пробелы могут нарушить отображение. Однако использование обратных кавычек и кодировки base64 может позволить избежать эти ограничения и импортировать удаленные сценарии.
Вторая бага кроется в административной панели инструментов и затрагивает функцию поиска на странице «Группы и пользователи». Потенциальный злоумышленник может получить доступ к панели, обманом заставив жертву нажать на специально созданную ссылку.
Спецы из Trustwave опубликовали соответствующий PoC, а Canon Medical устранили выявленные недостатки, выпустив Vitrea View версии 7.7.6.
Стоит отдать должное Canon Medical, уязвимости были обнаружены в результате пентеста. Всегда приятно, когда поставщик ПО достаточно ответственно подходит к вопросам безопасности решений.
Vitrea View предназначен для просмотра и безопасного обмена медицинскими изображениями по стандарту DICOM.
Ошибки имеют общий идентификатор CVE-2022-37461 и позволяют потенциальному злоумышленнику вызывать ошибки для доступа и изменения информации о пациенте (например, сохраненных изображений и сканов), а также получать дополнительный доступ к некоторым службам, связанным с Vitrea View.
Первая уязвимость, которую можно использовать без аутентификации, обнаружена на странице ошибок, расположенной по адресу /vitrea-view/error/, где все вводимые данные после подкаталога /error/ возвращаются пользователю.
Эксперты заметили, что одинарные и двойные кавычки, а также пробелы могут нарушить отображение. Однако использование обратных кавычек и кодировки base64 может позволить избежать эти ограничения и импортировать удаленные сценарии.
Вторая бага кроется в административной панели инструментов и затрагивает функцию поиска на странице «Группы и пользователи». Потенциальный злоумышленник может получить доступ к панели, обманом заставив жертву нажать на специально созданную ссылку.
Спецы из Trustwave опубликовали соответствующий PoC, а Canon Medical устранили выявленные недостатки, выпустив Vitrea View версии 7.7.6.
Стоит отдать должное Canon Medical, уязвимости были обнаружены в результате пентеста. Всегда приятно, когда поставщик ПО достаточно ответственно подходит к вопросам безопасности решений.
Trustwave
CVE-2022-37461: Two Reflected XSS Vulnerabilities in Canon Medical’s Vitrea View
During a penetration test, Trustwave Spiderlabs’ researcher, Jordan Hedges, identified two vulnerabilities in third-party software for Canon Medical’s Vitrea View (https://anz.medical.canon/).
Любители Formula1 в печали: RansomEXX добавила Ferrari на DLS, похитив более 7G данных. И это сразу после того, как Ferrari заключила соглашение о партнерстве с Bitdefender.
BlackCat (ALPHV) наехали на NJVC, ведущего ИТ-подрядчика обороны США, обещая сливать украденные данные каждые 12 часов.
После этого DLS отключился, а на момент возращения в сеть - упоминание о NJVC исчезло. Вероятно, клиент успел решить вопрос.
Сразу после этого BlackCat добавили на DLS ведущего канадского IT-интегратора в сфере обороны - Simex.
Lockbit атаковали региональный округ Саншайн-Кост, положив всю сеть на 16 часов, а их коллеги Hive препарировали школьный округ Мэнсфилда MISD.
Karakurt прилично пополнил свой послужной список новыми жертвами с общим доходом в $2,7 млрд.
Среди них Abdullah Al-Othaim Markets, торговые центры в Саудовской Аравии, а также главная телекоммуникационная компания Танзании.
Avos Locker представили 40-минутное видео с демонстрацией всех украденных данных и пруфов у испанской компании ALVAC.
BlackCat (ALPHV) наехали на NJVC, ведущего ИТ-подрядчика обороны США, обещая сливать украденные данные каждые 12 часов.
После этого DLS отключился, а на момент возращения в сеть - упоминание о NJVC исчезло. Вероятно, клиент успел решить вопрос.
Сразу после этого BlackCat добавили на DLS ведущего канадского IT-интегратора в сфере обороны - Simex.
Lockbit атаковали региональный округ Саншайн-Кост, положив всю сеть на 16 часов, а их коллеги Hive препарировали школьный округ Мэнсфилда MISD.
Karakurt прилично пополнил свой послужной список новыми жертвами с общим доходом в $2,7 млрд.
Среди них Abdullah Al-Othaim Markets, торговые центры в Саудовской Аравии, а также главная телекоммуникационная компания Танзании.
Avos Locker представили 40-минутное видео с демонстрацией всех украденных данных и пруфов у испанской компании ALVAC.
Ресерчеры Лаборатории Касперского раскрывают TTP ближневосточной DeftTorero, о которой впервые стало известно еще в 2015 году.
Представленные исследователями и выявленные в период 2019-2021 гг. ТТР DeftTorero в значительной степени отсутствовали в публичных отчетах. Доступные на сегодняшний день исследования, в основном, касались окончательной полезной нагрузки Explosive RAT и веб-оболочек Caterpillar и ASPXSpy.
География жертв имеет четкий акцент на страны Ближнего Востока, такие как Египет, Иордания, Кувейт, Ливан, Саудовская Аравия, Турция и Объединенные Арабские Эмираты.
Начальный доступ DeftTorero реализовывался посредством формы загрузки файла и уязвимости для внедрения команд на функциональном или промежуточном веб-сайте, размещенном на целевом веб-сервере. Загруженные веб-оболочки, как правило, помещались в одну и ту же веб-папку.
В других случаях использовались подключаемые модулей IIS PHP, а также учетные данные сервера, полученные из других систем в той же организации, после чего вход в систему с помощью удаленного рабочего стола (MSTSC.exe) для развертывания веб-шелла.
После успешной установки операторы запускали несколько команд для оценки ситуационной информации в отношении эксплуатируемой системы. Далее в ход пускались инструменты для сброса локальных учетных данных и учетных данных домена. Кроме того, устанавливались Nmap и Advanced Port Scanner, возможно, для сканирования внутренних систем.
Методы сброса учетных данных различались от одного случая к другому. В некоторых случаях использовался Lazagne.exe, в других использовались варианты Mimikatz либо путем выполнения соответствующего двоичного файла PE, либо путем вызова версии PowerShell с кодировкой base64 из проекта GitHub.
Считается, что после получения учетных данных операторы использовали протокол удаленного рабочего стола для доступа к внутренним системам или доступным системам. Дальнейшие команды выполнялись для обхода антивирусного ядра и установления сеанса Meterpreter с C2-сервером операторов. На ранних этапах субъект угрозы использовал Explosive RAT.
Проведенный ресерчерами анализ вторжений в целом показывает потенциальное изменение злоумышленником TTP в сторону использования LOLBINS-методов и популярных наступательных инструментов, что объясняет текущие пробелы в обнаружении отличительной активности, слившейся к настоящему времени с другими угрозами.
Телеметрия Лаборатории и общедоступные отчеты не выявили каких-либо новых обнаружений Explosive RAT после 2020 года, а только старые слегка измененные наборы инструментов (например, Explosive RAT, веб-оболочки и пр.).
Желающим побольше узнать о деятельности DeftTorero и защите от этой группы угроз, рекомендуем обратиться в службу Kaspersky Intelligence для получения дополнительной ориентирующей информации.
Представленные исследователями и выявленные в период 2019-2021 гг. ТТР DeftTorero в значительной степени отсутствовали в публичных отчетах. Доступные на сегодняшний день исследования, в основном, касались окончательной полезной нагрузки Explosive RAT и веб-оболочек Caterpillar и ASPXSpy.
География жертв имеет четкий акцент на страны Ближнего Востока, такие как Египет, Иордания, Кувейт, Ливан, Саудовская Аравия, Турция и Объединенные Арабские Эмираты.
Начальный доступ DeftTorero реализовывался посредством формы загрузки файла и уязвимости для внедрения команд на функциональном или промежуточном веб-сайте, размещенном на целевом веб-сервере. Загруженные веб-оболочки, как правило, помещались в одну и ту же веб-папку.
В других случаях использовались подключаемые модулей IIS PHP, а также учетные данные сервера, полученные из других систем в той же организации, после чего вход в систему с помощью удаленного рабочего стола (MSTSC.exe) для развертывания веб-шелла.
После успешной установки операторы запускали несколько команд для оценки ситуационной информации в отношении эксплуатируемой системы. Далее в ход пускались инструменты для сброса локальных учетных данных и учетных данных домена. Кроме того, устанавливались Nmap и Advanced Port Scanner, возможно, для сканирования внутренних систем.
Методы сброса учетных данных различались от одного случая к другому. В некоторых случаях использовался Lazagne.exe, в других использовались варианты Mimikatz либо путем выполнения соответствующего двоичного файла PE, либо путем вызова версии PowerShell с кодировкой base64 из проекта GitHub.
Считается, что после получения учетных данных операторы использовали протокол удаленного рабочего стола для доступа к внутренним системам или доступным системам. Дальнейшие команды выполнялись для обхода антивирусного ядра и установления сеанса Meterpreter с C2-сервером операторов. На ранних этапах субъект угрозы использовал Explosive RAT.
Проведенный ресерчерами анализ вторжений в целом показывает потенциальное изменение злоумышленником TTP в сторону использования LOLBINS-методов и популярных наступательных инструментов, что объясняет текущие пробелы в обнаружении отличительной активности, слившейся к настоящему времени с другими угрозами.
Телеметрия Лаборатории и общедоступные отчеты не выявили каких-либо новых обнаружений Explosive RAT после 2020 года, а только старые слегка измененные наборы инструментов (например, Explosive RAT, веб-оболочки и пр.).
Желающим побольше узнать о деятельности DeftTorero и защите от этой группы угроз, рекомендуем обратиться в службу Kaspersky Intelligence для получения дополнительной ориентирующей информации.
Securelist
DeftTorero TTPs in 2019–2021
In this report we focus on tactics, techniques, and procedures (TTPs) of the DeftTorero (aka Lebanese Cedar or Volatile Cedar) threat actor, which targets Middle East countries.
Центральная база данных и вспомогательные системы Электроэнергетической компании Ганы (ECG) были скомпрометированы, предположительно, в результате ransomware-атаки.
Инцидент затронул клиентов в 10 операционных регионах ECG в Вольте, Кумаси, Аккре, Такоради, Теме, Кейп-Кост, Касоа, Виннебе, Сведру, Кофоридуа, Нкавкау и Тафо.
Некоторые потребители не могли пополнить счет за электроэнергию на предоплаченных счетчиках в течение последних четырех дней.
Кроме того, атака привела к частичному отключению подачи электроэнергии.
Должностные лица Национальной безопасности и Управления кибербезопасности сейчас проводят расследование совместно с ECG для восстановления систем и оценки ущерба.
Новые инциденты, связанные с ransomware, также затронули сеть Walmart. На этот раз крупного ретейлера начали атаковать вымогатели Diavol.
Они вернулись с обновленным ПО после силовой операции в отношении участников TrickBot, стоявших у истоков начальных версий ransoware.
Изучая новейшие образцы, ресерчеры отметили сочетание шифрования RSA и кодирования XOR для файлов.
В целом, если месяцем ранее новых ransomware насчитывалось не более 20, то за последний месяц исследователи вредоносных ПО обнаружили 45 новых штаммов.
Вероятно, во многом благодаря утекшему конструктору LockBit.
Инцидент затронул клиентов в 10 операционных регионах ECG в Вольте, Кумаси, Аккре, Такоради, Теме, Кейп-Кост, Касоа, Виннебе, Сведру, Кофоридуа, Нкавкау и Тафо.
Некоторые потребители не могли пополнить счет за электроэнергию на предоплаченных счетчиках в течение последних четырех дней.
Кроме того, атака привела к частичному отключению подачи электроэнергии.
Должностные лица Национальной безопасности и Управления кибербезопасности сейчас проводят расследование совместно с ECG для восстановления систем и оценки ущерба.
Новые инциденты, связанные с ransomware, также затронули сеть Walmart. На этот раз крупного ретейлера начали атаковать вымогатели Diavol.
Они вернулись с обновленным ПО после силовой операции в отношении участников TrickBot, стоявших у истоков начальных версий ransoware.
Изучая новейшие образцы, ресерчеры отметили сочетание шифрования RSA и кодирования XOR для файлов.
В целом, если месяцем ранее новых ransomware насчитывалось не более 20, то за последний месяц исследователи вредоносных ПО обнаружили 45 новых штаммов.
Вероятно, во многом благодаря утекшему конструктору LockBit.
News Ghana
Electricity Company of Ghana prepaid central database compromised
The central database and systems of the Electricity Company of Ghana (ECG) have been compromised by external sources who are currently controlling the source codes and have refused to release them to the ECG, Graphic Online has reported, quoting source within…
CrowdStrike предупреждает о недавно выявленной атаке на цепочку поставок с участием канадского SaaS-поставщика Comm100.
При том, что уязвимое ПО для взаимодействия с клиентами используется более 15 000 пользователями в 51 стране мира.
В рамках атаки троянизированный установщик Comm100 Live Chat, подписанный 26 сентября действительным сертификатом Comm100 Network Corporation, распространялся с веб-сайта компании как минимум с 27 по 29 сентября 2022 года.
Троянизированный файл был обнаружен в организациях, работающих в сфере промышленности, здравоохранения, технологий, производства, страхования и телекоммуникаций в Северной Америке и Европе.
Установщик Comm100 — это приложение Electron, в котором злоумышленники внедрили бэкдор JavaScript в файл «main.js», который присутствует в следующих версиях установщика Comm100 Live Chat: 10.0.72 и 10.0.8.
При выполнении бэкдор извлекает обфусцированный JS-скрипт второго этапа из жестко запрограммированного URL-адреса («http[:]//api.amazonawsreplay[.]com/livehelp/collect»), что дает злоумышленникам удаленный доступ к оболочке атакуемых конечных точек через командную строку.
На следующем этапе на скомпрометированных хостах злоумышленник разворачивает вредоносные загрузчики («MidlrtMd.dll»), которые используют технику перехвата порядка DLL для загрузки полезной нагрузки из контекста легитимных процессов Windows, таких как «notepad.exe», запускаемых непосредственно из памяти.
Загрузчик извлекает окончательную полезную нагрузку из C2 и использует жестко закодированный ключ RC4 для ее расшифровки.
Несмотря на различия в доставляемой полезной нагрузке, масштабах целей и механизме атак на цепочки поставок, CrowdStrike Intelligence полагает, что за атакой стоит китайская АРТ, которая ранее таргетировались на различные азиатские компании в сфере азартных онлайн-игр.
Разработчик выпустил обновленный установщик Comm100 10.0.9 и рекомендует всем клиентам как можно скорее перейти на последнюю версию приложения. Comm100 не предоставила объяснений того, как злоумышленникам удалось получить доступ к ее системам и разместить установщик.
Вместе с тем, Канадский центр кибербезопасности подчеркивает, что обновления до последней версии не устранит риск компрометации, поскольку злоумышленники, возможно, уже обеспечили себе постоянство в целевых системах.
Подробности расследования не разглашаются, но будем следить за ситуацией.
При том, что уязвимое ПО для взаимодействия с клиентами используется более 15 000 пользователями в 51 стране мира.
В рамках атаки троянизированный установщик Comm100 Live Chat, подписанный 26 сентября действительным сертификатом Comm100 Network Corporation, распространялся с веб-сайта компании как минимум с 27 по 29 сентября 2022 года.
Троянизированный файл был обнаружен в организациях, работающих в сфере промышленности, здравоохранения, технологий, производства, страхования и телекоммуникаций в Северной Америке и Европе.
Установщик Comm100 — это приложение Electron, в котором злоумышленники внедрили бэкдор JavaScript в файл «main.js», который присутствует в следующих версиях установщика Comm100 Live Chat: 10.0.72 и 10.0.8.
При выполнении бэкдор извлекает обфусцированный JS-скрипт второго этапа из жестко запрограммированного URL-адреса («http[:]//api.amazonawsreplay[.]com/livehelp/collect»), что дает злоумышленникам удаленный доступ к оболочке атакуемых конечных точек через командную строку.
На следующем этапе на скомпрометированных хостах злоумышленник разворачивает вредоносные загрузчики («MidlrtMd.dll»), которые используют технику перехвата порядка DLL для загрузки полезной нагрузки из контекста легитимных процессов Windows, таких как «notepad.exe», запускаемых непосредственно из памяти.
Загрузчик извлекает окончательную полезную нагрузку из C2 и использует жестко закодированный ключ RC4 для ее расшифровки.
Несмотря на различия в доставляемой полезной нагрузке, масштабах целей и механизме атак на цепочки поставок, CrowdStrike Intelligence полагает, что за атакой стоит китайская АРТ, которая ранее таргетировались на различные азиатские компании в сфере азартных онлайн-игр.
Разработчик выпустил обновленный установщик Comm100 10.0.9 и рекомендует всем клиентам как можно скорее перейти на последнюю версию приложения. Comm100 не предоставила объяснений того, как злоумышленникам удалось получить доступ к ее системам и разместить установщик.
Вместе с тем, Канадский центр кибербезопасности подчеркивает, что обновления до последней версии не устранит риск компрометации, поскольку злоумышленники, возможно, уже обеспечили себе постоянство в целевых системах.
Подробности расследования не разглашаются, но будем следить за ситуацией.
CrowdStrike.com
CrowdStrike Falcon® Platform Identifies Supply Chain Attack via a Trojanized Comm100 Chat Installer
The CrowdStrike threat teams have confirmed a recent supply chain attack delivering malware via a trojanized installer for the Comm100 Live Chat application.
Forwarded from SecurityLab.ru
🕵️♀️ Тайная система разведки ЦРУ привела к массовым арестам агентов
— Согласно отчету Reuters , информаторы ЦРУ использовали секретные функции на обычных с виду сайтах, чтобы незаметно передавать информацию американским агентам.
— Однако, 885 подставных веб-сайтов были настолько плохо спроектированы, что они раскрыли всех информаторов ЦРУ. По данным Reuters, иранский инженер и шпион иранской разведки Голамреза Хоссейни был раскрыт и арестован из-за халатности ЦРУ.
— Сайты представляли себя как безобидные источники новостей, погоды, спорта, здравоохранения или другой информации. Эксперты предполагают, что они способствовали тайным коммуникациям и причинили серьезный вред разведывательному сообществу США и тем, кто рисковал своей жизнью, помогая ЦРУ.
https://www.securitylab.ru/news/534157.php
— Согласно отчету Reuters , информаторы ЦРУ использовали секретные функции на обычных с виду сайтах, чтобы незаметно передавать информацию американским агентам.
— Однако, 885 подставных веб-сайтов были настолько плохо спроектированы, что они раскрыли всех информаторов ЦРУ. По данным Reuters, иранский инженер и шпион иранской разведки Голамреза Хоссейни был раскрыт и арестован из-за халатности ЦРУ.
— Сайты представляли себя как безобидные источники новостей, погоды, спорта, здравоохранения или другой информации. Эксперты предполагают, что они способствовали тайным коммуникациям и причинили серьезный вред разведывательному сообществу США и тем, кто рисковал своей жизнью, помогая ЦРУ.
https://www.securitylab.ru/news/534157.php
SecurityLab.ru
Тайная система разведки ЦРУ привела к массовым арестам агентов
В течение 10 лет ЦРУ общалось с информаторами за границей, используя сеть веб-сайтов со скрытыми коммуникационными функциями.
Новые непропатченные o-day в Microsoft Exchange, официально обозначенные как CVE-2022-41040 и CVE-2022-41082, получили наименование ProxyNotShell, в силу сходства с ProxyShell, которая использовалась в реальных условиях более года. И дело не только в этом.
Похоже, что патчи Microsoft для ProxyShell не полностью устранили вектор атаки. Ошибки могут позволить злоумышленнику удаленно выполнять произвольный код с повышенными привилегиями.
Однако, в отличие от ProxyShell, новые проблемы могут быть использованы только аутентифицированным злоумышленником, хотя достаточно даже стандартных учетных данных пользователя электронной почты.
Этим и воспользовались китайские АРТ, а скорее всего и не только китайские, читывая, что таргетинг на 10 целевых компаний с использованием новых ProxyNotShell выявила сама же Microsoft. Инфосек же ожидает, когда другие злоумышленники начнут использовать ошибки Exchange Server в своих атаках.
Тем более, что патчи для этих уязвимостей еще не выпущены, а представленный Microsoft инструмент, который должен автоматизировать смягчение последствий, на данный момент применяет правило, которое можно обойти.
Первым об этом предупредил исследователь Janggggg. Он отметил, что это правило неэффективно и его можно легко обойти, не прилагая особых усилий. Позже к нему присоединился старший аналитик по уязвимостям в ANALYGENCE Уилл Дорманн. После проверки о неэффективности мер также заявили обнаружившие ProxyNotShell ресерчеры GTSC.
Кроме того, инструкции Microsoft по этим двум уязвимостям применимы локальным серверам Exchange, при этом клиентам Exchange Online, по мнению разработчика, не нужно предпринимать никаких действий.
Однако у многих организаций гибридная установка, и в сегодняшнем видео исследователь Кевин Бомонт отметил, что гибридная установка Exchange чрезвычайно распространена в корпоративных средах, предупредив, что до тех пор, пока существует локальное развертывание Exchange Server, организация находится в опасности.
Тем временем, несмотря на то, что подробности об уязвимостях не были обнародованы, GitHub заполонили поддельные PoC для ProxyNotShell по цене в несколько сотен долларов. Правда, по словам того же Бомонта, у некоторых представителей индустрии инфосек все же есть работающие эксплойты.
Поскольку для эксплуатации уязвимостей требуется аутентификация, ожидается, что массовая эксплуатация на данном этапе маловероятна, но уязвимости могут быть очень ценными в целевых атаках.
Некоторые участники инфосек-сообщества выпустили инструменты с открытым исходным кодом, которые можно использовать для обнаружения наличия уязвимостей.
Похоже, что патчи Microsoft для ProxyShell не полностью устранили вектор атаки. Ошибки могут позволить злоумышленнику удаленно выполнять произвольный код с повышенными привилегиями.
Однако, в отличие от ProxyShell, новые проблемы могут быть использованы только аутентифицированным злоумышленником, хотя достаточно даже стандартных учетных данных пользователя электронной почты.
Этим и воспользовались китайские АРТ, а скорее всего и не только китайские, читывая, что таргетинг на 10 целевых компаний с использованием новых ProxyNotShell выявила сама же Microsoft. Инфосек же ожидает, когда другие злоумышленники начнут использовать ошибки Exchange Server в своих атаках.
Тем более, что патчи для этих уязвимостей еще не выпущены, а представленный Microsoft инструмент, который должен автоматизировать смягчение последствий, на данный момент применяет правило, которое можно обойти.
Первым об этом предупредил исследователь Janggggg. Он отметил, что это правило неэффективно и его можно легко обойти, не прилагая особых усилий. Позже к нему присоединился старший аналитик по уязвимостям в ANALYGENCE Уилл Дорманн. После проверки о неэффективности мер также заявили обнаружившие ProxyNotShell ресерчеры GTSC.
Кроме того, инструкции Microsoft по этим двум уязвимостям применимы локальным серверам Exchange, при этом клиентам Exchange Online, по мнению разработчика, не нужно предпринимать никаких действий.
Однако у многих организаций гибридная установка, и в сегодняшнем видео исследователь Кевин Бомонт отметил, что гибридная установка Exchange чрезвычайно распространена в корпоративных средах, предупредив, что до тех пор, пока существует локальное развертывание Exchange Server, организация находится в опасности.
Тем временем, несмотря на то, что подробности об уязвимостях не были обнародованы, GitHub заполонили поддельные PoC для ProxyNotShell по цене в несколько сотен долларов. Правда, по словам того же Бомонта, у некоторых представителей индустрии инфосек все же есть работающие эксплойты.
Поскольку для эксплуатации уязвимостей требуется аутентификация, ожидается, что массовая эксплуатация на данном этапе маловероятна, но уязвимости могут быть очень ценными в целевых атаках.
Некоторые участники инфосек-сообщества выпустили инструменты с открытым исходным кодом, которые можно использовать для обнаружения наличия уязвимостей.
Medium
ProxyNotShell— the story of the claimed zero days in Microsoft Exchange
Yesterday, cybersecurity vendor GTSC Cyber Security dropped a blog saying they had detected exploitation of a new Microsoft Exchange zero…
Последние несколько недель специалисты из TrendMicro наблюдали несколько обнаружений программ-вымогателей на базе Linux, которые злоумышленники запускали для атак на серверы VMware ESXi.
В течение этого периода специалисты столкнулись с новым семейством Cheerscrypt, нацеленным на сервера EXSi клиента.
Серверы ESXi и в прошлом достаточно активно подвергались атакам других известных семейств программ-вымогателей, таких как LockBit, Hive и RansomEXX, но самое интересное так это то, что исследователи обнаружили, что новая программа-вымогатель Cheerscrypt, основана на утечке исходного кода Babuk.
При изучении Cheerscrypt и Linux-версией программы-вымогателя Babuk, особенно ее версией ESXi базовый код Cheerscrypt был получен из исходного кода Babuk, но изменен и настроен в соответствии с целями злоумышленника.
Ну, а ресерчеры Sygnia вовсе приписали атаки китайской кибершпионской группе Bronze Starlight, также известной как DEV-0401, APT10 и Emperor Dragonfly.
Bronze Starlight активен с середины 2021 года и развертывает семейства программ-вымогателей после вторжения, чтобы скрыть операции кибершпионажа.
Не так давно Sygnia расследовали атаку программы-вымогателя Cheerscrypt, в которой использовались TTP программы-вымогателя Night Sky.
Дальнейший анализ показал, что Cheerscrypt и Night Sky являются ребрендингом одной и той же группы угроз, которую они и назвали Emperor Dragonfly.
По заявлению специалистов китайская APT использует инструменты с открытым исходным кодом, написанные китайскими разработчиками. Это подтверждает утверждения о том, что операторы программы-вымогателя Emperor Dragonfly базируются в Китае.
Вопреки общедоступной информации, программа-вымогатель Cheerscrypt использует полезные нагрузки, предназначенные как для Windows, так и для сред ESXi.
Цепочки заражения, наблюдаемые на сегодняшний день, используют критическую уязвимость Log4Shell в библиотеке Apache Log4j для компрометации серверов VMware Horizon и сброса полезной нагрузки PowerShell, способной доставлять зашифрованный Cobalt Strike.
Кроме того, Sygnia обнаружила три дополнительных инструмента на основе Go, развернутых вместе с Cobalt Strike: кейлоггер, который экспортирует записанные нажатия клавиш в Alibaba Cloud, утилиту интернет-прокси под названием iox и софт для туннелирования NPS.
Также связь Cheerscrypt с Emperor Dragonfly обусловлена сходством начальных векторов атак, методов бокового перемещения и развертывания Cobalt Strike с помощью DLL Sideloading.
В течение этого периода специалисты столкнулись с новым семейством Cheerscrypt, нацеленным на сервера EXSi клиента.
Серверы ESXi и в прошлом достаточно активно подвергались атакам других известных семейств программ-вымогателей, таких как LockBit, Hive и RansomEXX, но самое интересное так это то, что исследователи обнаружили, что новая программа-вымогатель Cheerscrypt, основана на утечке исходного кода Babuk.
При изучении Cheerscrypt и Linux-версией программы-вымогателя Babuk, особенно ее версией ESXi базовый код Cheerscrypt был получен из исходного кода Babuk, но изменен и настроен в соответствии с целями злоумышленника.
Ну, а ресерчеры Sygnia вовсе приписали атаки китайской кибершпионской группе Bronze Starlight, также известной как DEV-0401, APT10 и Emperor Dragonfly.
Bronze Starlight активен с середины 2021 года и развертывает семейства программ-вымогателей после вторжения, чтобы скрыть операции кибершпионажа.
Не так давно Sygnia расследовали атаку программы-вымогателя Cheerscrypt, в которой использовались TTP программы-вымогателя Night Sky.
Дальнейший анализ показал, что Cheerscrypt и Night Sky являются ребрендингом одной и той же группы угроз, которую они и назвали Emperor Dragonfly.
По заявлению специалистов китайская APT использует инструменты с открытым исходным кодом, написанные китайскими разработчиками. Это подтверждает утверждения о том, что операторы программы-вымогателя Emperor Dragonfly базируются в Китае.
Вопреки общедоступной информации, программа-вымогатель Cheerscrypt использует полезные нагрузки, предназначенные как для Windows, так и для сред ESXi.
Цепочки заражения, наблюдаемые на сегодняшний день, используют критическую уязвимость Log4Shell в библиотеке Apache Log4j для компрометации серверов VMware Horizon и сброса полезной нагрузки PowerShell, способной доставлять зашифрованный Cobalt Strike.
Кроме того, Sygnia обнаружила три дополнительных инструмента на основе Go, развернутых вместе с Cobalt Strike: кейлоггер, который экспортирует записанные нажатия клавиш в Alibaba Cloud, утилиту интернет-прокси под названием iox и софт для туннелирования NPS.
Также связь Cheerscrypt с Emperor Dragonfly обусловлена сходством начальных векторов атак, методов бокового перемещения и развертывания Cobalt Strike с помощью DLL Sideloading.
Trend Micro
New Linux-Based Ransomware Cheerscrypt Targets ESXi Devices
New findings showed that Cheerscrypt, a new Linux-based ransomware variant that compromises ESXi servers, was derived from the leaked Babuk source code. We discuss our analysis in this report.
Forwarded from Russian OSINT
Бывший владелец крупнейшего файлообменника Megaupload и основатель Mega[.]nz (cейчас уже не имеет отношения) 🧐 Ким Дотком заявил, что ботнет 🇺🇸ЦРУ стоимостью 🤔100'000'000 долларов используется спецслужбами для ведения информационной войны в Twitter и даже применялся для травли Илона Маска с его постами о "мире".
Please open Telegram to view this post
VIEW IN TELEGRAM
После обрушившейся критики на предложенные Microsoft меры по смягчению ProxyNotShell, разработчики были вынуждены искать новые варианты защиты от Exchange Zero-Days, ведь ресерчеры смогли без труда обойти их.
И, уже традиционно, Microsoft выпускает новые обходные пути по своей наработанной системе «патч для исправления патча».
Microsoft пересмотрела свои меры по устранению недавно обнаруженных и активно используемых CVE-2022-41040 и CVE-2022-41082 в Exchange Server, предложив новые варианты перезаписи URL-адресов (также доступное в виде отдельного сценария PowerShell).
Тем временем, атаки в дикой природе, использующие недостатки, реализуются объединением двух уязвимости в цепочку для достижения RCE на скомпрометированных серверах с повышенными привилегиями, что приводит к развертыванию веб-оболочек.
Пока неясно, когда Microsoft планирует выпустить исправление для двух уязвимостей, но вполне возможно, что они могут быть представлены в рамках обновлений Patch Tuesday на следующей неделе, 11 октября 2022 года.
Будем посмотреть.
И, уже традиционно, Microsoft выпускает новые обходные пути по своей наработанной системе «патч для исправления патча».
Microsoft пересмотрела свои меры по устранению недавно обнаруженных и активно используемых CVE-2022-41040 и CVE-2022-41082 в Exchange Server, предложив новые варианты перезаписи URL-адресов (также доступное в виде отдельного сценария PowerShell).
Тем временем, атаки в дикой природе, использующие недостатки, реализуются объединением двух уязвимости в цепочку для достижения RCE на скомпрометированных серверах с повышенными привилегиями, что приводит к развертыванию веб-оболочек.
Пока неясно, когда Microsoft планирует выпустить исправление для двух уязвимостей, но вполне возможно, что они могут быть представлены в рамках обновлений Patch Tuesday на следующей неделе, 11 октября 2022 года.
Будем посмотреть.
www.kb.cert.org
CERT/CC Vulnerability Note VU#915563
Microsoft Exchange vulnerable to server-side request forgery and remote code execution.
Крупнейший тайваньский производитель DRAM в мире ADATA со штатом в 1400 сотрудников пал жертвой ransomware-атаки, в результате которой вымогатели украли 1 ТБ данных у компании, о чем сообщили на своем DLS RansomHouse.
ADATA не сообщает какие именно данные были похищены, однако вымогатели дали понять, что речь идет об исследованиях компании, а также о другой ценной конфиденциальной информации.
К настоящему времени веб-сайт ADATA перенаправляет пользователей на ресурс компании в зоне США.
Инцидент будем вторым по счету в истории компании. В июне прошлого года Ragnar Locker выкрали 700 ГБ данных из облачного хранилища компании.
Стоит отметить, что ранее RansomHouse также успешно атаковали американскую компанию по производству полупроводников Advanced Micro Devices (AMD).
Кучно кладут.
ADATA не сообщает какие именно данные были похищены, однако вымогатели дали понять, что речь идет об исследованиях компании, а также о другой ценной конфиденциальной информации.
К настоящему времени веб-сайт ADATA перенаправляет пользователей на ресурс компании в зоне США.
Инцидент будем вторым по счету в истории компании. В июне прошлого года Ragnar Locker выкрали 700 ГБ данных из облачного хранилища компании.
Стоит отметить, что ранее RansomHouse также успешно атаковали американскую компанию по производству полупроводников Advanced Micro Devices (AMD).
Кучно кладут.
Ресерчеры Лаборатории Касперского раскрыли YouTube-канал, через который распространялась троянская версия установщика браузера Tor для Windows.
Выявленная кампания получила наименование OnionPoison и была рассчитана на цели в КНР. Хотя и масштабы атаки трудно оценить, но ЛК еще в марте 2022 года обнаружила первых жертв в своей телеметрии.
Вредоносная версия Tor Browser распространялась по ссылке в описании видеоролику, который был загружен на YouTube еще 9 января 2022 года и имеет более 64 500 просмотров, а сам канал имеет 181 000 подписчиков.
Атака рассчитана на тех пользователей, которые пытались обойти введенную властями КНР блокировку Tor Browser, чтобы загрузить ПО, вместо этого получали мошеннический вариант браузера после поиска на YouTube «Tor浏览器».
Описание видео содержало две ссылки: одна на официальный сайт Tor Browser, а другая вела к вредоносному установщику, размещенному на китайском облачном сервисе.
После перехода по ссылке для скачивания пользователь перенаправлялся к исполняемому файлу размером 74 МБ.
Одна из библиотек freebl3.dll, входящих в комплект вредоносного браузера Tor, отвечала за полезную нагрузку второго этапа, заражая шпионским ПО, которое собирает различные персональные данные и отправляет их на С2.
Компрометация происходила только в том случае, если IP-адрес жертвы принадлежал китайскому сегменту.
Шпионский модуль также имеет функциональные возможности для извлечения списка установленного ПО и запущенных процессов, истории Google Chrome и Edge, идентификаторов учетных записей WeChat и QQ, SSID и MAC адресов сетей Wi-Fi, к которым подключены жертвы, а также позволяет операторам запускать произвольные команды оболочки.
Кроме того, в отличие от других стилеров, имплантаты OnionPoison не предназначены для сбора паролей пользователей, сеансовых файлов cookie или данных кошельков.
Основная заточка - сбор идентифицирующей информации на жертв с помощью их истории просмотров, идентификаторов и SSID сетей Wi-Fi.
Tor сообщили, что пользователи модифицированной версии браузера будут перенаправлены в официальный репозиторий после запроса обновления. Ну, а Google ничего не осталось, как удалить видео за нарушение регламента YouTube.
Выявленная кампания получила наименование OnionPoison и была рассчитана на цели в КНР. Хотя и масштабы атаки трудно оценить, но ЛК еще в марте 2022 года обнаружила первых жертв в своей телеметрии.
Вредоносная версия Tor Browser распространялась по ссылке в описании видеоролику, который был загружен на YouTube еще 9 января 2022 года и имеет более 64 500 просмотров, а сам канал имеет 181 000 подписчиков.
Атака рассчитана на тех пользователей, которые пытались обойти введенную властями КНР блокировку Tor Browser, чтобы загрузить ПО, вместо этого получали мошеннический вариант браузера после поиска на YouTube «Tor浏览器».
Описание видео содержало две ссылки: одна на официальный сайт Tor Browser, а другая вела к вредоносному установщику, размещенному на китайском облачном сервисе.
После перехода по ссылке для скачивания пользователь перенаправлялся к исполняемому файлу размером 74 МБ.
Одна из библиотек freebl3.dll, входящих в комплект вредоносного браузера Tor, отвечала за полезную нагрузку второго этапа, заражая шпионским ПО, которое собирает различные персональные данные и отправляет их на С2.
Компрометация происходила только в том случае, если IP-адрес жертвы принадлежал китайскому сегменту.
Шпионский модуль также имеет функциональные возможности для извлечения списка установленного ПО и запущенных процессов, истории Google Chrome и Edge, идентификаторов учетных записей WeChat и QQ, SSID и MAC адресов сетей Wi-Fi, к которым подключены жертвы, а также позволяет операторам запускать произвольные команды оболочки.
Кроме того, в отличие от других стилеров, имплантаты OnionPoison не предназначены для сбора паролей пользователей, сеансовых файлов cookie или данных кошельков.
Основная заточка - сбор идентифицирующей информации на жертв с помощью их истории просмотров, идентификаторов и SSID сетей Wi-Fi.
Tor сообщили, что пользователи модифицированной версии браузера будут перенаправлены в официальный репозиторий после запроса обновления. Ну, а Google ничего не осталось, как удалить видео за нарушение регламента YouTube.
Securelist
Malicious Tor Browser spreads through YouTube
Kaspersky researchers detected OnionPoison campaign: malicious Tor Browser installer spreading through a popular YouTube channel and targeting Chinese users.
Специалисты из SonarSource обнаружили и раскрыли серьезную уязвимость в репозитории пакетов PHP Packagist, которая могла быть использована для проведения атак на цепочку поставок программного обеспечения PHP.
В отчете говорится, что уязвимость позволяет получить контроль над Packagist, который используется диспетчером пакетов PHP Composer для определения и загрузки программных зависимостей, которые разработчики включают в свои проекты.
Масштаб угроз впечатляющий, так как практически все организации, работающие с PHP-кодом, используют Composer, который ежемесячно обслуживает 2 миллиарда пакетов программного обеспечения и более ста миллионов таких запросов потенциально могли быть перехвачены для распространения вредоносных зависимостей и компрометации миллионов серверов.
Уязвимость отслеживается как CVE-2022-24828 (оценка CVSS: 8,8) и была описана как проблема внедрения команд, которая связана с другой похожей ошибкой Composer CVE-2021-29472, обнаруженной в апреле 2021 года.
Вектор следующий: злоумышленник, контролирующий репозиторий Git или Mercurial, явно указанный по URL-адресу в файле composer.json проекта, может использовать специально созданные имена путей для выполнения команд на машине, на которой выполняется обновление Composer'а.
Собственно успешное использование уязвимости означало, что запросы на обновление пакета могли быть перехвачены для распространения вредоносных зависимостей путем выполнения произвольных команд на внутреннем сервере, на котором запущен официальный экземпляр Packagist.
На сегодняшний день нет никаких доказательств того, что уязвимость использовалась в дикой природе и уже доступны исправления в версиях Composer 1.10.26, 2.2.12 и 2.3.5 после того, как SonarSource сообщил об ошибке 7 апреля 2022 года.
Открытый исходный код становится все более привлекательной целью для злоумышленников из-за легкости, с которой они могут быть использованы в качестве оружия против цепочки поставок ПО.
В отчете говорится, что уязвимость позволяет получить контроль над Packagist, который используется диспетчером пакетов PHP Composer для определения и загрузки программных зависимостей, которые разработчики включают в свои проекты.
Масштаб угроз впечатляющий, так как практически все организации, работающие с PHP-кодом, используют Composer, который ежемесячно обслуживает 2 миллиарда пакетов программного обеспечения и более ста миллионов таких запросов потенциально могли быть перехвачены для распространения вредоносных зависимостей и компрометации миллионов серверов.
Уязвимость отслеживается как CVE-2022-24828 (оценка CVSS: 8,8) и была описана как проблема внедрения команд, которая связана с другой похожей ошибкой Composer CVE-2021-29472, обнаруженной в апреле 2021 года.
Вектор следующий: злоумышленник, контролирующий репозиторий Git или Mercurial, явно указанный по URL-адресу в файле composer.json проекта, может использовать специально созданные имена путей для выполнения команд на машине, на которой выполняется обновление Composer'а.
Собственно успешное использование уязвимости означало, что запросы на обновление пакета могли быть перехвачены для распространения вредоносных зависимостей путем выполнения произвольных команд на внутреннем сервере, на котором запущен официальный экземпляр Packagist.
На сегодняшний день нет никаких доказательств того, что уязвимость использовалась в дикой природе и уже доступны исправления в версиях Composer 1.10.26, 2.2.12 и 2.3.5 после того, как SonarSource сообщил об ошибке 7 апреля 2022 года.
Открытый исходный код становится все более привлекательной целью для злоумышленников из-за легкости, с которой они могут быть использованы в качестве оружия против цепочки поставок ПО.
Sonarsource
Securing Developer Tools: A New Supply Chain Attack on PHP
What is your worst supply chain nightmare and why is it somebody that could take over all the PHP packages at once? Let's deep dive into how we could demonstrate it!
Avast выпустила инструмент для расшифровки ransomware MafiaWare666 (также известна как JCrypt, RIP Lmao, BrutusptCrypt или Hades).
MafiaWare666 — это разновидность программы-вымогателя, написанная на C# и не содержащая никаких методов обфускации или антианализа. Мальварь шифрует файлы, используя AES.
Малварь реализует поиск выделенных папок (Рабочий стол, Музыка, Видео, Изображения и Документы) и шифрует файлы со фактически со всеми известными расширениями. Как правило, зашифрованные файлы получают новое расширение, которое зависит от образца: MafiaWare666, jcrypt, brutusptCrypt, bmcrypt, киберон и l33ch.
Ресерчеры обнаружили уязвимость в схеме шифрования, позволяющую расшифровать некоторые варианты без уплаты выкупа. Новые или ранее неизвестные образцы могут шифровать файлы иным способом, поэтому их, вряд ли, будет возможно расшифровать без дополнительного анализа.
По завершении процесса шифрования ransomware отображает окно с инструкциями и условиями уплаты выкупа.
Жертвам предлагается связаться с злоумышленником и заплатить ему биткойнами. Цена выкупа относительно низкая, от 50 до 300 долларов, хотя некоторые из более старых образцов с другими именами требуют гораздо больше, вплоть до одного биткойна.
Индикаторы компрометации IoC представлены здесь. Расшифровщик представляет собой исполняемы файл, который доступен для скачивания (здесь).
Для запуска процесса расшифровки понадобится предоставить файл в исходном виде с его зашифрованной версией. Дешифратор использует все известные комбинации паролей MafiaWare666 для взлома пароля под конкретную систему, после чего и запускается процесс.
Как и во многих других подобных утилитах, доступна функция резервного копирования зашифрованных файлов. Причем этот параметр включен по умолчанию.
MafiaWare666 — это разновидность программы-вымогателя, написанная на C# и не содержащая никаких методов обфускации или антианализа. Мальварь шифрует файлы, используя AES.
Малварь реализует поиск выделенных папок (Рабочий стол, Музыка, Видео, Изображения и Документы) и шифрует файлы со фактически со всеми известными расширениями. Как правило, зашифрованные файлы получают новое расширение, которое зависит от образца: MafiaWare666, jcrypt, brutusptCrypt, bmcrypt, киберон и l33ch.
Ресерчеры обнаружили уязвимость в схеме шифрования, позволяющую расшифровать некоторые варианты без уплаты выкупа. Новые или ранее неизвестные образцы могут шифровать файлы иным способом, поэтому их, вряд ли, будет возможно расшифровать без дополнительного анализа.
По завершении процесса шифрования ransomware отображает окно с инструкциями и условиями уплаты выкупа.
Жертвам предлагается связаться с злоумышленником и заплатить ему биткойнами. Цена выкупа относительно низкая, от 50 до 300 долларов, хотя некоторые из более старых образцов с другими именами требуют гораздо больше, вплоть до одного биткойна.
Индикаторы компрометации IoC представлены здесь. Расшифровщик представляет собой исполняемы файл, который доступен для скачивания (здесь).
Для запуска процесса расшифровки понадобится предоставить файл в исходном виде с его зашифрованной версией. Дешифратор использует все известные комбинации паролей MafiaWare666 для взлома пароля под конкретную систему, после чего и запускается процесс.
Как и во многих других подобных утилитах, доступна функция резервного копирования зашифрованных файлов. Причем этот параметр включен по умолчанию.
GitHub
ioc/MafiaWare666 at master · avast/ioc
Threat Intel IoCs + bits and pieces of dark matter - avast/ioc
͏Как и ожидалось, инициированная Австралийской федеральной полицией (AFP) операция Ураган принесла первые результаты и ознаменовалась арестом 19-летнего подростка из Сиднея, который был причастен к атаке на провайдера Optus, сопряженной с вымогательством выкупа за украденные сведения на 9 млн. клиентов компании.
Согласно заявлению AFP, подозреваемый посредством SMS направлял угрозы абонентам Optus, вымогая с них по 2000 австралийских долларов (1300 долларов США). В случае отказа от выкупа данные должны были быть перепроданы другим хакерам.
В числе жертв оказались клиенты, чьи данные попали в сеть в ходе первой утечки, затронувшей 10 200 записей из украденной базы. По данным AFP, арестованный успел разослать шантажирующие сообщения 93 пострадавшим.
Для этих целей мошенник использовал счет Commonwealth Bank of Australia, который и вывел полицию на фигуранта расследования. Такой гениальный шаг привел к тому, что теперь горе-хакеру светит две уголовные статьи и совокупное наказание до 17 лет лишения свободы.
Вместе с тем, арестованный лишь часть преступной цепочки, обвинения во взломе Optus ему не предъявлены. Акторы взлома пока не идентифицированы, но операция AFP все еще продолжается.
На текущий момент, согласно официальным данным Optus, 9,8 миллиона клиентов пострадали в той или иной степени, а государственные идентификационные номера 2,1 миллиона из них были скомпрометированы. Правительство Австралии требует от Optus покрытия расходов на замену документов.
Но на этом проблемы австралийских пользователей и властей не заканчиваются. Другая крупная телекоммуникационная компания Telstra сообщила, что стала жертвой утечки данных через третью сторону.
Взлом был нацелен на стороннюю платформу под названием Work Life NAB, а утечка данных касалась программы вознаграждений сотрудников Telstra по состоянию на 2017 год.
Компания не назвала количество пострадавших сотрудников, но в отчете Reuters указано, что это число составляет 30 000.
Согласно заявлению AFP, подозреваемый посредством SMS направлял угрозы абонентам Optus, вымогая с них по 2000 австралийских долларов (1300 долларов США). В случае отказа от выкупа данные должны были быть перепроданы другим хакерам.
В числе жертв оказались клиенты, чьи данные попали в сеть в ходе первой утечки, затронувшей 10 200 записей из украденной базы. По данным AFP, арестованный успел разослать шантажирующие сообщения 93 пострадавшим.
Для этих целей мошенник использовал счет Commonwealth Bank of Australia, который и вывел полицию на фигуранта расследования. Такой гениальный шаг привел к тому, что теперь горе-хакеру светит две уголовные статьи и совокупное наказание до 17 лет лишения свободы.
Вместе с тем, арестованный лишь часть преступной цепочки, обвинения во взломе Optus ему не предъявлены. Акторы взлома пока не идентифицированы, но операция AFP все еще продолжается.
На текущий момент, согласно официальным данным Optus, 9,8 миллиона клиентов пострадали в той или иной степени, а государственные идентификационные номера 2,1 миллиона из них были скомпрометированы. Правительство Австралии требует от Optus покрытия расходов на замену документов.
Но на этом проблемы австралийских пользователей и властей не заканчиваются. Другая крупная телекоммуникационная компания Telstra сообщила, что стала жертвой утечки данных через третью сторону.
Взлом был нацелен на стороннюю платформу под названием Work Life NAB, а утечка данных касалась программы вознаграждений сотрудников Telstra по состоянию на 2017 год.
Компания не назвала количество пострадавших сотрудников, но в отчете Reuters указано, что это число составляет 30 000.