Еще раз вернемся к Zerobot, о котором изначально сообщали Fortinet две недели назад.
Ботнет Интернета вещей (IoT) представляет собой самовоспроизводящееся и самораспространяющеся вредоносное ПО, написанное на языке Golang (Go) и нацеленное более чем на двенадцать архитектур, с широким спектром возможностей распределенной DDoS.
Microsoft опубликовала собственный анализ Zerobot, предупредив, что вредоносное ПО было обновлено с дополнительными возможностями, включая эксплойты для двух уязвимостей в Apache и Apache Spark, отслеживаемых как CVE-2021-42013 и CVE-2022-33891 соответственно.
Известно, что ошибка подделки запросов на стороне сервера (SSRF), исправленная в октябре 2021 года, CVE-2021-42013, также использовалась и в других ботнетах, включая Enemybot DDoS.
В дополнение к ранее обнаруженным эксплойтам, проанализированный Microsoft образец Zerobot также включает эксплойты для CVE-2017-17105 (Zivif PR115-204-P-RS), CVE-2019-10655 (Grandstream), CVE-2020-25223 (Sophos SG UTM), CVE-2022-31137 (Roxy-WI) и ZSL-2022-5717 (MiniDVBLinux).
После выпуска Zerobot 1.1 операторы вредоносных программ исключили CVE-2018-12613, уязвимость phpMyAdmin, которая могла позволить злоумышленникам просматривать или выполнять файлы.
При этом исследователи также обнаружили новые доказательства того, что Zerobot распространяется, компрометируя устройства с известными уязвимостями, которые не включены в двоичный файл вредоносного ПО, такими как CVE-2022-30023, уязвимость внедрения команд в маршрутизаторах Tenda GPON AC1200.
После компрометации устройства Zerobot внедряет сценарий для запуска вредоносного ПО ботнета (или сценарий для определения архитектуры устройства и получения соответствующего двоичного файла), обеспечивая устойчивость.
Угроза не нацелена на компьютеры с Windows, но Microsoft заявляет, что обнаружила образцы Zerobot, которые могут работать в среде Windows.
Обновленный вариант Zerobot содержит несколько новых возможностей для запуска DDoS-атак с использованием протоколов UDP, ICMP, TCP, SYN, ACK и SYN-ACK.
Zerobot также может сканировать Интернет на наличие дополнительных устройств для заражения. Эта функция позволяет ему сканировать наборы случайно сгенерированных IP-адресов, пытаясь идентифицировать IP-адреса приманки.
Microsoft также определила образец, который может работать в Windows на основе кроссплатформенного (Linux, Windows, macOS) средства удаленного администрирования с открытым исходным кодом (RAT) с различными функциями, такими как управление процессами, файловые операции, создание снимков экрана и выполнение команд.
Ботнет Интернета вещей (IoT) представляет собой самовоспроизводящееся и самораспространяющеся вредоносное ПО, написанное на языке Golang (Go) и нацеленное более чем на двенадцать архитектур, с широким спектром возможностей распределенной DDoS.
Microsoft опубликовала собственный анализ Zerobot, предупредив, что вредоносное ПО было обновлено с дополнительными возможностями, включая эксплойты для двух уязвимостей в Apache и Apache Spark, отслеживаемых как CVE-2021-42013 и CVE-2022-33891 соответственно.
Известно, что ошибка подделки запросов на стороне сервера (SSRF), исправленная в октябре 2021 года, CVE-2021-42013, также использовалась и в других ботнетах, включая Enemybot DDoS.
В дополнение к ранее обнаруженным эксплойтам, проанализированный Microsoft образец Zerobot также включает эксплойты для CVE-2017-17105 (Zivif PR115-204-P-RS), CVE-2019-10655 (Grandstream), CVE-2020-25223 (Sophos SG UTM), CVE-2022-31137 (Roxy-WI) и ZSL-2022-5717 (MiniDVBLinux).
После выпуска Zerobot 1.1 операторы вредоносных программ исключили CVE-2018-12613, уязвимость phpMyAdmin, которая могла позволить злоумышленникам просматривать или выполнять файлы.
При этом исследователи также обнаружили новые доказательства того, что Zerobot распространяется, компрометируя устройства с известными уязвимостями, которые не включены в двоичный файл вредоносного ПО, такими как CVE-2022-30023, уязвимость внедрения команд в маршрутизаторах Tenda GPON AC1200.
После компрометации устройства Zerobot внедряет сценарий для запуска вредоносного ПО ботнета (или сценарий для определения архитектуры устройства и получения соответствующего двоичного файла), обеспечивая устойчивость.
Угроза не нацелена на компьютеры с Windows, но Microsoft заявляет, что обнаружила образцы Zerobot, которые могут работать в среде Windows.
Обновленный вариант Zerobot содержит несколько новых возможностей для запуска DDoS-атак с использованием протоколов UDP, ICMP, TCP, SYN, ACK и SYN-ACK.
Zerobot также может сканировать Интернет на наличие дополнительных устройств для заражения. Эта функция позволяет ему сканировать наборы случайно сгенерированных IP-адресов, пытаясь идентифицировать IP-адреса приманки.
Microsoft также определила образец, который может работать в Windows на основе кроссплатформенного (Linux, Windows, macOS) средства удаленного администрирования с открытым исходным кодом (RAT) с различными функциями, такими как управление процессами, файловые операции, создание снимков экрана и выполнение команд.
Telegram
SecAtor
͏Fortinet FortiGuard Labs заметили новый ботнет на основе Go под названием Zerobot, который распространяется в дикой природе, используя почти два десятка уязвимостей в устройствах IoT и другом ПО.
Ботнет включает несколько модулей, поддерживая саморепликацию…
Ботнет включает несколько модулей, поддерживая саморепликацию…
Видимо в канун нового года не до обновлений, особенно когда в Интернет-магазинах на WordPress идет активная продажа подарочных карт через популярный плагин YITH WooCommerce Gift Cards Premium.
Как оказалась, не менее активные продажи и у хакеров, которые штудируют сеть и эксплуатируют критическую уязвимость плагина CVE-2022-45359 с оценкой 9,8 по CVSS, которая позволяет неаутентифицированным пользователям загружать файлы на уязвимые ресурсы, обеспечивая себе полный контроль.
По классике жанра, все что касается WordPress всегда славится масштабом угроз и ошибка в YITH WooCommerce Gift Cards Premium не исключение, так как плагин используется на более чем 50 000 сайтах.
Уязвимость обнаружена 22 ноября и затрагивает все версии плагина вплоть до 3.19.0.
Патч появился еще в составе версии 3.20.0, но с тех пор производитель уже выпустил версию 3.21.0 и теперь настоятельно рекомендует обновляться именно до нее.
Исследователи Wordfence сообщают, что многие сайты, до сих пор используют уязвимую версию плагина, что к сожалению, не осталось без внимания злоумышленников, которые полным ходом эксплуатируют баг для загрузки бэкдоров, RCE и захвата чужих сайтов.
Специалисты разобрали эксплоит, который используют хакеры и выяснили, что корень проблемы заключается в функции import_actions_from_settings_panel, которая связана с хуком admin_init.
Кроме того, эта функция не выполняет проверки CSRF и capability, что в итоге позволяет отправлять POST-запросы в /wp-admin/admin-post.php для загрузки вредоносных исполняемых PHP-файлов на сайт. В логах это отображается, как unexpected POST-запросы с неизвестных IP-адресов.
Wordfence выяснили, что на уязвимые сайты хакеры загружали следующие файлы:
• kon.php/1tes.php - загружает в память копию файлового менеджера marijuana shell из удаленного источника (shell.prinsh[.]com);
• b.php — простой файл загрузчика;
• admin.php — защищенный паролем бэкдор.
Аналитики сообщают, что большинство атак произошло в ноябре, прежде чем администраторы успели исправить уязвимость, но второй пик взломов произошел 14 декабря 2022 года.
Атаки продолжаются и до сих пор, в связи с чем необходимо как можно скорее обновить YITH WooCommerce Gift Cards Premium до версии 3.21.
Как оказалась, не менее активные продажи и у хакеров, которые штудируют сеть и эксплуатируют критическую уязвимость плагина CVE-2022-45359 с оценкой 9,8 по CVSS, которая позволяет неаутентифицированным пользователям загружать файлы на уязвимые ресурсы, обеспечивая себе полный контроль.
По классике жанра, все что касается WordPress всегда славится масштабом угроз и ошибка в YITH WooCommerce Gift Cards Premium не исключение, так как плагин используется на более чем 50 000 сайтах.
Уязвимость обнаружена 22 ноября и затрагивает все версии плагина вплоть до 3.19.0.
Патч появился еще в составе версии 3.20.0, но с тех пор производитель уже выпустил версию 3.21.0 и теперь настоятельно рекомендует обновляться именно до нее.
Исследователи Wordfence сообщают, что многие сайты, до сих пор используют уязвимую версию плагина, что к сожалению, не осталось без внимания злоумышленников, которые полным ходом эксплуатируют баг для загрузки бэкдоров, RCE и захвата чужих сайтов.
Специалисты разобрали эксплоит, который используют хакеры и выяснили, что корень проблемы заключается в функции import_actions_from_settings_panel, которая связана с хуком admin_init.
Кроме того, эта функция не выполняет проверки CSRF и capability, что в итоге позволяет отправлять POST-запросы в /wp-admin/admin-post.php для загрузки вредоносных исполняемых PHP-файлов на сайт. В логах это отображается, как unexpected POST-запросы с неизвестных IP-адресов.
Wordfence выяснили, что на уязвимые сайты хакеры загружали следующие файлы:
• kon.php/1tes.php - загружает в память копию файлового менеджера marijuana shell из удаленного источника (shell.prinsh[.]com);
• b.php — простой файл загрузчика;
• admin.php — защищенный паролем бэкдор.
Аналитики сообщают, что большинство атак произошло в ноябре, прежде чем администраторы успели исправить уязвимость, но второй пик взломов произошел 14 декабря 2022 года.
Атаки продолжаются и до сих пор, в связи с чем необходимо как можно скорее обновить YITH WooCommerce Gift Cards Premium до версии 3.21.
Wordfence
PSA: YITH WooCommerce Gift Cards Premium Plugin Exploited in the Wild
The Wordfence Threat Intelligence team has been tracking exploits targeting a Critical Severity Arbitrary File Upload vulnerability in YITH WooCommerce Gift Cards Premium, a plugin with over 50,000 installations according to the vendor. The vulnerability…
͏На Breached хакеры выложили на продажу базу данных со сведениями на 400 миллионов уникальных пользователей Twitter.
Селлер по имени Ryushi утверждает, что данные собраны в результате парсинга с использованием уже исправленной уязвимость API, предлагая эксклюзивную продажу за 200 000 долларов.
Ранее в январе 2022 года благодаря этой же уязвимости другим злоумышленникам удалось извлечь информацию на 5,4 миллиона пользователей, а также 17 млн. Однако последняя утечка осталась в привате и не продавалась.
В качестве доказательства причастности базы селлер предоставил образец, включающий порядка 1000 учетных записей, а также конкретные примеры данных 37 знаменитостей, политиков, журналистов, руководителей корпораций и госучреждений, включая Александрию Окасио-Кортес, Дональда Трампа-младшего, Марка Кубу, Кевина О'Лири и Пирса Моргана.
По данным Хадсон Рок, на первый взгляд пруфы кажутся достоверными, однако полностью полагать легитимность всей базы на этом этапе невозможно.
Содержащиеся в базе профили пользователей содержат общедоступные и конфиденциальные данные из Twitter, включая адреса электронной почты пользователей, установочные данные, количество подписчиков, дату создания и номера телефонов.
Продавец сообщил, что сделка покрывается услугой условного депонирования, предлагаемой администраторами форума Breached, в частности, небезызвестным pompompurin.
После продажи хакеры обещают удалить данные. В случае отказа от эксклюзивной покупки, база будет продана копиями нескольким покупателям по 60 000 долларов.
Хакеры обратились к Илону Маску с предложением приобрести данные, прежде чем это приведет к большому штрафу в размере 276 миллионов долларов США в соответствии с европейским законом о конфиденциальности GDPR, а также сослался на сообщение, в котором отражены основные способы дальнейшей компрометации пользовательских сведений в мошеннических целях.
Вместе с тем, как признаются сами хакеры, все попытки выйти на контакт с Twitter провалились. Компания пока никак не комментирует инцидент.
Но будем посмотреть.
Селлер по имени Ryushi утверждает, что данные собраны в результате парсинга с использованием уже исправленной уязвимость API, предлагая эксклюзивную продажу за 200 000 долларов.
Ранее в январе 2022 года благодаря этой же уязвимости другим злоумышленникам удалось извлечь информацию на 5,4 миллиона пользователей, а также 17 млн. Однако последняя утечка осталась в привате и не продавалась.
В качестве доказательства причастности базы селлер предоставил образец, включающий порядка 1000 учетных записей, а также конкретные примеры данных 37 знаменитостей, политиков, журналистов, руководителей корпораций и госучреждений, включая Александрию Окасио-Кортес, Дональда Трампа-младшего, Марка Кубу, Кевина О'Лири и Пирса Моргана.
По данным Хадсон Рок, на первый взгляд пруфы кажутся достоверными, однако полностью полагать легитимность всей базы на этом этапе невозможно.
Содержащиеся в базе профили пользователей содержат общедоступные и конфиденциальные данные из Twitter, включая адреса электронной почты пользователей, установочные данные, количество подписчиков, дату создания и номера телефонов.
Продавец сообщил, что сделка покрывается услугой условного депонирования, предлагаемой администраторами форума Breached, в частности, небезызвестным pompompurin.
После продажи хакеры обещают удалить данные. В случае отказа от эксклюзивной покупки, база будет продана копиями нескольким покупателям по 60 000 долларов.
Хакеры обратились к Илону Маску с предложением приобрести данные, прежде чем это приведет к большому штрафу в размере 276 миллионов долларов США в соответствии с европейским законом о конфиденциальности GDPR, а также сослался на сообщение, в котором отражены основные способы дальнейшей компрометации пользовательских сведений в мошеннических целях.
Вместе с тем, как признаются сами хакеры, все попытки выйти на контакт с Twitter провалились. Компания пока никак не комментирует инцидент.
Но будем посмотреть.
К концу года все стараются подбить все дела, как и вымогатели. Ransom House добавила Республику Вануату (островное государство, расположенное в южной части Тихого океана) в список своих жертв, украв более 3 ТБ данных из правительственной сети.
BlackCat добавила пять новых жертв. Одна из жертв - Empresas Publicas de Medellin EPM с капиталом в 12 миллиардов долларов из Колумбии.
Команда Nokoyawa успешно атаковала поставщика комплексных управляемых ИТ-услуг с доходом в 62 миллиона долларов из Австралии, а Hive положили целый город в Техасе - Хантсвилл.
И похоже, что Monti возрождаются, команда обновила сайт DLS, добавив на него надпись «Мы гордимся вами» (предположительно - своими жертвами).
А имевшая своем счету 21 жертву преимущественно из США Medusa Locker наоборот исчезла, а сайт команды теперь требует авторизации через токен.
BlackCat добавила пять новых жертв. Одна из жертв - Empresas Publicas de Medellin EPM с капиталом в 12 миллиардов долларов из Колумбии.
Команда Nokoyawa успешно атаковала поставщика комплексных управляемых ИТ-услуг с доходом в 62 миллиона долларов из Австралии, а Hive положили целый город в Техасе - Хантсвилл.
И похоже, что Monti возрождаются, команда обновила сайт DLS, добавив на него надпись «Мы гордимся вами» (предположительно - своими жертвами).
А имевшая своем счету 21 жертву преимущественно из США Medusa Locker наоборот исчезла, а сайт команды теперь требует авторизации через токен.
Специалисты из CrowdStrike обнаружили новый штамм продвинутого лоадера GuLoader.
Как выяснилось, авторы малвари провели приличный апгрейд и добавили широкий спектр фич для обхода программных средств защиты.
GuLoader, также известный как CloudEyE, впервые был обнаружен в 2019 году и представляет собой загрузчик на Visual Basic Script (VBS), который используется для распространения троянов удаленного доступа.
Как отметили эксперты, новый метод антианализа основан на сканировании выделенной памяти всех процессов, связанных с виртуальной машиной.
Вредонос использует трёхэтапный процесс, в котором VBScript доставляет полезную нагрузку, отвечающую за доставку второго этапа и проверку виртуальной среды, после чего шелл-код внедряется в память.
Далее, шелл-код, помимо использования тех же методов антианализа, загружает финальную полезную нагрузку по выбору злоумышленника с удаленного сервера и выполняет ее на скомпрометированном хосте.
Причем шелл-код использует несколько приемов антианализа и анти-отладки на каждом этапе выполнения, выдавая соответствующие сообщения об ошибке, если вдруг обнаружит какой-либо известный метод анализа или механизм отладки.
В целях уклонения от ловушек NTDLL.dl, реализуемых решениями EDR систем, малварь использует, как назвали эксперты - механизм внедрения избыточного кода.
Ресерчеры из Cymulate вовсе продемонстрировали технику обхода EDR, известную как Blindside, которая позволяет запускать произвольный код с использованием аппаратных точек останова для создания «процесса, в котором только NTDLL находится в автономном, неподключенном состоянии».
Как заключили исследователи, GuLoader был и остается опасной угрозой, которая постоянно развивается благодаря новым методам уклонения от обнаружения.
Как выяснилось, авторы малвари провели приличный апгрейд и добавили широкий спектр фич для обхода программных средств защиты.
GuLoader, также известный как CloudEyE, впервые был обнаружен в 2019 году и представляет собой загрузчик на Visual Basic Script (VBS), который используется для распространения троянов удаленного доступа.
Как отметили эксперты, новый метод антианализа основан на сканировании выделенной памяти всех процессов, связанных с виртуальной машиной.
Вредонос использует трёхэтапный процесс, в котором VBScript доставляет полезную нагрузку, отвечающую за доставку второго этапа и проверку виртуальной среды, после чего шелл-код внедряется в память.
Далее, шелл-код, помимо использования тех же методов антианализа, загружает финальную полезную нагрузку по выбору злоумышленника с удаленного сервера и выполняет ее на скомпрометированном хосте.
Причем шелл-код использует несколько приемов антианализа и анти-отладки на каждом этапе выполнения, выдавая соответствующие сообщения об ошибке, если вдруг обнаружит какой-либо известный метод анализа или механизм отладки.
В целях уклонения от ловушек NTDLL.dl, реализуемых решениями EDR систем, малварь использует, как назвали эксперты - механизм внедрения избыточного кода.
Ресерчеры из Cymulate вовсе продемонстрировали технику обхода EDR, известную как Blindside, которая позволяет запускать произвольный код с использованием аппаратных точек останова для создания «процесса, в котором только NTDLL находится в автономном, неподключенном состоянии».
Как заключили исследователи, GuLoader был и остается опасной угрозой, которая постоянно развивается благодаря новым методам уклонения от обнаружения.
Forwarded from Russian OSINT
Байден подписал законопроект об оборонной политике на сумму $858 млрд, расширяющий возможности проведения киберопераций правительства США, об этом сообщает The Record.
Please open Telegram to view this post
VIEW IN TELEGRAM
͏BTC.com обчистили на $3 млн. в ходе кибератаки.
Cедьмой по величине пул майнинга криптовалюты официально объявил об инциденте, в результате которого злоумышленниками была совершена кража криптоактивов на сумму около 3 млн. долларов, в том числе 700 000, принадлежащие ее клиентам, и цифровые активы на 2,3 млн., принадлежащие компании.
Атаку удалось обнаружить 3 декабря 2022 года, после чего администрация связалась по этому поводу с китайскими силовиками в Шэньчжэне. 23 декабря власти объявили о начале официального расследования.
Благодаря оперативным действиям компании удалось вернуть часть украденной криптовалюты, однако конкретная сумма не называется.
BTC.com также приняли все необходимые меры для блокировки аналогичных атак в будущем.
Платформа в настоящее время продолжает работать в штатном режиме за исключением услуг по управлению цифровыми активами.
В настоящее время компания не раскрывает информации о том, каким образом злоумышленники смогли украсть криптовалюту.
Также не ясно, были ли украдены какие-либо корпоративные данные или личная информация клиентов во время инцидента.
Cедьмой по величине пул майнинга криптовалюты официально объявил об инциденте, в результате которого злоумышленниками была совершена кража криптоактивов на сумму около 3 млн. долларов, в том числе 700 000, принадлежащие ее клиентам, и цифровые активы на 2,3 млн., принадлежащие компании.
Атаку удалось обнаружить 3 декабря 2022 года, после чего администрация связалась по этому поводу с китайскими силовиками в Шэньчжэне. 23 декабря власти объявили о начале официального расследования.
Благодаря оперативным действиям компании удалось вернуть часть украденной криптовалюты, однако конкретная сумма не называется.
BTC.com также приняли все необходимые меры для блокировки аналогичных атак в будущем.
Платформа в настоящее время продолжает работать в штатном режиме за исключением услуг по управлению цифровыми активами.
В настоящее время компания не раскрывает информации о том, каким образом злоумышленники смогли украсть криптовалюту.
Также не ясно, были ли украдены какие-либо корпоративные данные или личная информация клиентов во время инцидента.
После того, как Microsoft реализовала начиная с июля 2022 года блокировку макросов Visual Basic для приложений (VBA) по умолчанию для файлов Office, загруженных из Интернета, многие злоумышленники пересмотрели свою тактику и экспериментируют с альтернативными путями заражения для развертывания вредоносных программ.
Тем не менее, заряженные документы Office, доставляемые с помощью целевых фишинга и социнженерии, остаются одной из широко используемых точек входа для продвинутых акторов, нацеленных на RCE.
Такие файлы традиционно побуждают жертв включить макросы для просмотра, казалось бы, безобидного контента, однако по факту - активировать скрытное выполнение вредоносного ПО в фоновом режиме.
По данным Cisco Talos, APT и владельцы обычных вредоносных программ стали все чаще использовать файлы надстроек Excel (.XLL) в качестве начального вектора вторжения.
Файлы XLL Microsoft описывает как тип файла библиотеки динамической компоновки (DLL), который можно открыть только в Excel.
Их можно отправлять по электронной почте, и даже с обычными мерами сканирования на наличие вредоносных программ пользователи могут открывать их, не зная, что они содержат вредоносный код
Ресерчеры обнаружили, что субъекты угроз используют сочетание собственных надстроек, написанных на C++, а также надстроек, разработанных с использованием инструмента Excel-DNA.
Такая техника получила широкое применение с середины 2021 года и используется до настоящего времени.
Тем не менее, первое публично задокументированное злонамеренное использование XLL произошло в 2017 году, когда APT10 (ака Stone Panda) задействовала этот метод для внедрения бэкдора в память через процесс.
Кроме того, аналогичные шаги предпринимались и DoNot Team, FIN7.
Злоупотребление форматом файла XLL использовалось для распространения штаммов вредосного ПО Agent Tesla, Arkei, Buer, Dridex, Ducktail , Ekipa RAT, FormBook, IcedID, Vidar Stealer и Warzone RAT, что может указывать на новую тенденцию в современном ландшафте угроз.
Ресерчеры Trustwave отмечают, что помимо надстроек XLL Excel злоумышленниками также применяются макросы Microsoft Publisher. Метод, в частности, реализован в ноябрьском обновлении Ekipa RAT.
Как и в других офисных продуктах Microsoft, файлы Publisher могут содержать макросы, которые будут выполняться при открытии или закрытии файла, что делает их весьма интересным начальным вектором атаки.
При этом ограничения Microsoft, препятствующие выполнению макросов в файлах, загруженных из Интернета, не распространяются на Publisher.
Ekipa RAT — отличный пример того, как злоумышленники постоянно совершенствуют свои методы, чтобы опережать предпринимаемые разработчиками меры защиты.
Создатели этой вредоносной ПО отслеживают изменения в индустрии безопасности и соответствующим образом пересматривают свою тактику.
Тем не менее, заряженные документы Office, доставляемые с помощью целевых фишинга и социнженерии, остаются одной из широко используемых точек входа для продвинутых акторов, нацеленных на RCE.
Такие файлы традиционно побуждают жертв включить макросы для просмотра, казалось бы, безобидного контента, однако по факту - активировать скрытное выполнение вредоносного ПО в фоновом режиме.
По данным Cisco Talos, APT и владельцы обычных вредоносных программ стали все чаще использовать файлы надстроек Excel (.XLL) в качестве начального вектора вторжения.
Файлы XLL Microsoft описывает как тип файла библиотеки динамической компоновки (DLL), который можно открыть только в Excel.
Их можно отправлять по электронной почте, и даже с обычными мерами сканирования на наличие вредоносных программ пользователи могут открывать их, не зная, что они содержат вредоносный код
Ресерчеры обнаружили, что субъекты угроз используют сочетание собственных надстроек, написанных на C++, а также надстроек, разработанных с использованием инструмента Excel-DNA.
Такая техника получила широкое применение с середины 2021 года и используется до настоящего времени.
Тем не менее, первое публично задокументированное злонамеренное использование XLL произошло в 2017 году, когда APT10 (ака Stone Panda) задействовала этот метод для внедрения бэкдора в память через процесс.
Кроме того, аналогичные шаги предпринимались и DoNot Team, FIN7.
Злоупотребление форматом файла XLL использовалось для распространения штаммов вредосного ПО Agent Tesla, Arkei, Buer, Dridex, Ducktail , Ekipa RAT, FormBook, IcedID, Vidar Stealer и Warzone RAT, что может указывать на новую тенденцию в современном ландшафте угроз.
Ресерчеры Trustwave отмечают, что помимо надстроек XLL Excel злоумышленниками также применяются макросы Microsoft Publisher. Метод, в частности, реализован в ноябрьском обновлении Ekipa RAT.
Как и в других офисных продуктах Microsoft, файлы Publisher могут содержать макросы, которые будут выполняться при открытии или закрытии файла, что делает их весьма интересным начальным вектором атаки.
При этом ограничения Microsoft, препятствующие выполнению макросов в файлах, загруженных из Интернета, не распространяются на Publisher.
Ekipa RAT — отличный пример того, как злоумышленники постоянно совершенствуют свои методы, чтобы опережать предпринимаемые разработчиками меры защиты.
Создатели этой вредоносной ПО отслеживают изменения в индустрии безопасности и соответствующим образом пересматривают свою тактику.
Cisco Talos Blog
Threat Spotlight: XLLing in Excel - threat actors using malicious add-ins
As more and more users adopt new versions of Microsoft Office, it is likely that threat actors will turn away from VBA-based malicious documents to other formats such as XLLs or rely on exploiting newly discovered vulnerabilities to launch malicious code.
Группа исследователей Техасского университета A&M, Университета Темпл, Технологического института Нью-Джерси, Университета Рутгерса и Дейтонского университета США раскрыли метод атаки по побочному каналу, получивший название EarSpy, который позволяет прослушивать разговоров целевого пользователя через динамики устройства.
EarSpy использует динамик телефона в верхней части устройства, который подносится к уху, а также встроенный акселерометр для улавливания вибраций, генерируемых динамиком при получении конфиденциальной информации во время телефонного звонка..
При этом все предыдущие аналогичные исследования акцентровались на вибрациях, создаваемых динамиками телефона, или на внешнем компоненте для сбора данных.
Очевидным способом перехвата разговора является внедрение злоумышленником вредоносного ПО с возможностью записи звонка через микрофон телефона. Однако меры защиты Android значительно эволюционировали, и вредоносным ПО становится все сложнее получать необходимые разрешения.
С другой стороны, доступ к данным с датчиков движения в смартфоне не требует каких-либо специальных разрешений. Конечно, разработчики Android уже начали закладывать некоторые ограничения на сбор данных с датчиков, но атака EarSpy даже в условиях современного уровня безопасности все еще актуальна.
Вредоносное ПО, установленная на устройстве, может использовать атаку EarSpy для захвата потенциально конфиденциальной информации и отправки ее злоумышленнику. Причем атаки EarSpy становятся все более возможными благодаря улучшениям, которые производители смартфонов вносят в наушники.
Точно так же в современных устройствах используются более чувствительные датчики движения и гироскопы, способные регистрировать даже мельчайшие резонансы динамиков.
Ресерчеры провели тесты на смартфонах OnePlus 7T и OnePlus 9 и обнаружили, что акселерометр из ушного динамика может захватывать значительно больше данных благодаря стереодинамикам, присутствующим в этих современных моделях, по сравнению со старыми моделями телефонов OnePlus, в котором их еще не было.
Эксперименты, проведенные академическими исследователями, наглядно показали влияние реверберации динамиков на акселерометр, позволяющей извлекать необходимые характеристики частотно-временной области и спектрограммы. Анализ был сосредоточен на распознавании пола, говорящего и речи.
В тесте распознавания пола, целью которого является определение того, является ли цель мужчиной или женщиной, атака EarSpy показала точность 98%. Точность была почти такой же высокой, 92% при определения личности говорящего. В случае же реальной речи, точность записи цифр, произносимых во время телефонного звонка, достигает 56%.
Одна снизить эффективность атаки EarSpy может уровень громкости. Более низкая громкость может предотвратить подслушивание через эту атаку по побочному каналу. Расположение аппаратных компонентов устройства и герметичность сборки также влияют на распространение реверберации динамика.
Исследователи рекомендуют производителям для защиты от таких атак обеспечивать стабильное звуковое давление во время разговора и размещать датчики движения в положении, при котором внутренние вибрации не влияют на них или, по крайней мере, оказывают минимально возможное воздействие.
EarSpy использует динамик телефона в верхней части устройства, который подносится к уху, а также встроенный акселерометр для улавливания вибраций, генерируемых динамиком при получении конфиденциальной информации во время телефонного звонка..
При этом все предыдущие аналогичные исследования акцентровались на вибрациях, создаваемых динамиками телефона, или на внешнем компоненте для сбора данных.
Очевидным способом перехвата разговора является внедрение злоумышленником вредоносного ПО с возможностью записи звонка через микрофон телефона. Однако меры защиты Android значительно эволюционировали, и вредоносным ПО становится все сложнее получать необходимые разрешения.
С другой стороны, доступ к данным с датчиков движения в смартфоне не требует каких-либо специальных разрешений. Конечно, разработчики Android уже начали закладывать некоторые ограничения на сбор данных с датчиков, но атака EarSpy даже в условиях современного уровня безопасности все еще актуальна.
Вредоносное ПО, установленная на устройстве, может использовать атаку EarSpy для захвата потенциально конфиденциальной информации и отправки ее злоумышленнику. Причем атаки EarSpy становятся все более возможными благодаря улучшениям, которые производители смартфонов вносят в наушники.
Точно так же в современных устройствах используются более чувствительные датчики движения и гироскопы, способные регистрировать даже мельчайшие резонансы динамиков.
Ресерчеры провели тесты на смартфонах OnePlus 7T и OnePlus 9 и обнаружили, что акселерометр из ушного динамика может захватывать значительно больше данных благодаря стереодинамикам, присутствующим в этих современных моделях, по сравнению со старыми моделями телефонов OnePlus, в котором их еще не было.
Эксперименты, проведенные академическими исследователями, наглядно показали влияние реверберации динамиков на акселерометр, позволяющей извлекать необходимые характеристики частотно-временной области и спектрограммы. Анализ был сосредоточен на распознавании пола, говорящего и речи.
В тесте распознавания пола, целью которого является определение того, является ли цель мужчиной или женщиной, атака EarSpy показала точность 98%. Точность была почти такой же высокой, 92% при определения личности говорящего. В случае же реальной речи, точность записи цифр, произносимых во время телефонного звонка, достигает 56%.
Одна снизить эффективность атаки EarSpy может уровень громкости. Более низкая громкость может предотвратить подслушивание через эту атаку по побочному каналу. Расположение аппаратных компонентов устройства и герметичность сборки также влияют на распространение реверберации динамика.
Исследователи рекомендуют производителям для защиты от таких атак обеспечивать стабильное звуковое давление во время разговора и размещать датчики движения в положении, при котором внутренние вибрации не влияют на них или, по крайней мере, оказывают минимально возможное воздействие.
͏Скучно живете если храните крипту и ваш Новый год не похож на этот, так как у многих пользователей криптокошельков BitKeep новогоднее настроение начнется с седых волос, ибо их кошельки были опустошены во время празднования Рождества.
BitKeep — это децентрализованный кошелек DeFi web3, поддерживающий более 30 блокчейнов, 76 сетей и более 20 000 децентрализованных приложений.
Активная аудитория насчитывает более 8 миллионов пользователей в 168 странах, которые используют кошелек для управления своими криптоактивами.
Специалисты из Peckshield сообщили, что примерно 8 миллионов долларов средств пользователей BitKeep были украдены через взломанную APK-версию криптокошелька.
Команда BitKeep уже подтвердила о проблеме в своей официальной учетной записи Telegram и сообщила, что хакеры перехватили загрузку некоторых пакетов APK, что привело к потере средств для ее пользователей.
В компании добавили, что пользователи, чьи средства были украдены, загрузили неизвестную версию ее приложения.
BitKeep уточнил, что пользователи должны переводить свои средства на кошельки, загруженные из официальных источников, таких как Google Play и App Store.
BitKeep рекомендовал своим пользователям создать новые адреса кошельков, поскольку хакеры могут по-прежнему иметь доступ к адресам, созданным через скомпрометированный APK.
Команда попросила пострадавших пользователей отправить свои данные в форму Google, добавив, что она выплатит полную компенсацию, если кража произошла по вине платформы.
По мере того, как команда будет получать актуальные сведения об атаке, она предоставит более подробную информацию о ней своим пользователям.
Пока известно, что хакер перевел большую часть средств на адрес кошелька в Binance Smart Chain (BSC). Общий ганорар злоумушленника включает 4373 $ BNB, 5,4 млн $ USDT, 196 тыс. DAI и 1233,21 ETH.
Криптофирма также принимает меры в заморозке адреса хакера и возвращении украденных средств.
У кого как, а у хакеров действительно Merry Christmas!
BitKeep — это децентрализованный кошелек DeFi web3, поддерживающий более 30 блокчейнов, 76 сетей и более 20 000 децентрализованных приложений.
Активная аудитория насчитывает более 8 миллионов пользователей в 168 странах, которые используют кошелек для управления своими криптоактивами.
Специалисты из Peckshield сообщили, что примерно 8 миллионов долларов средств пользователей BitKeep были украдены через взломанную APK-версию криптокошелька.
Команда BitKeep уже подтвердила о проблеме в своей официальной учетной записи Telegram и сообщила, что хакеры перехватили загрузку некоторых пакетов APK, что привело к потере средств для ее пользователей.
В компании добавили, что пользователи, чьи средства были украдены, загрузили неизвестную версию ее приложения.
BitKeep уточнил, что пользователи должны переводить свои средства на кошельки, загруженные из официальных источников, таких как Google Play и App Store.
BitKeep рекомендовал своим пользователям создать новые адреса кошельков, поскольку хакеры могут по-прежнему иметь доступ к адресам, созданным через скомпрометированный APK.
Команда попросила пострадавших пользователей отправить свои данные в форму Google, добавив, что она выплатит полную компенсацию, если кража произошла по вине платформы.
По мере того, как команда будет получать актуальные сведения об атаке, она предоставит более подробную информацию о ней своим пользователям.
Пока известно, что хакер перевел большую часть средств на адрес кошелька в Binance Smart Chain (BSC). Общий ганорар злоумушленника включает 4373 $ BNB, 5,4 млн $ USDT, 196 тыс. DAI и 1233,21 ETH.
Криптофирма также принимает меры в заморозке адреса хакера и возвращении украденных средств.
У кого как, а у хакеров действительно Merry Christmas!
Forwarded from SecurityLab.ru
«Ситимобил» подтвердил утечку обезличенных номеров телефонов клиентов и водителей
—После раскрытия сканов паспортов более 4 тысяч водителей опубликовали в открытом доступе почти 4 млн номеров телефонов водителей и клиентов службы такси «Ситимобил».
—В открытом доступе в Сети оказалась база из 3,9 млн уникальных номеров телефонов пассажиров и 80 тысяч — водителей службы такси «Ситимобил».
—Злоумышленники выходили на представителей компании и угрожали выложить в публичный доступ более расширенную информацию.
—Компания направила уведомление в Роскомнадзор, а также подала заявление в полицию.
https://www.securitylab.ru/news/535429.php
—После раскрытия сканов паспортов более 4 тысяч водителей опубликовали в открытом доступе почти 4 млн номеров телефонов водителей и клиентов службы такси «Ситимобил».
—В открытом доступе в Сети оказалась база из 3,9 млн уникальных номеров телефонов пассажиров и 80 тысяч — водителей службы такси «Ситимобил».
—Злоумышленники выходили на представителей компании и угрожали выложить в публичный доступ более расширенную информацию.
—Компания направила уведомление в Роскомнадзор, а также подала заявление в полицию.
https://www.securitylab.ru/news/535429.php
SecurityLab.ru
«Ситимобил» подтвердил утечку обезличенных номеров телефонов клиентов и водителей
После раскрытия сканов паспортов более 4 тысяч водителей опубликовали в открытом доступе почти 4 млн номеров телефонов водителей и клиентов службы такси «Ситимобил».
Forwarded from Russian OSINT
Какие заботливые🫡 люди в Microsoft, подрядчике
Please open Telegram to view this post
VIEW IN TELEGRAM
Тысячи серверов Citrix ADC и Gateway остаются уязвимыми для двух исправленных за последнее время серьезных уязвимостей.
Первая CVE-2022-27510 была исправлена 8 ноября и представляет собой обход аутентификации, затрагивающий оба продукта Citrix.
Злоумышленник может использовать его, чтобы получить несанкционированный доступ к устройству, выполнить захват удаленного рабочего стола или обойти защиту для входа в систему.
Вторая ошибка отслеживается как CVE-2022-27518 была раскрыта и исправлена 13 декабря. Она позволяет злоумышленникам, не прошедшим проверку подлинности, удаленно выполнять команды на уязвимых устройствах и получать над ними контроль.
Злоумышленники уже ее активно использовали на момент, когда Citrix выпустила исправления.
Несмотря на вышедшие обновления, ресерчеры Fox NCC Group сообщают, что тысячи остаются развертываний уязвимыми для атак .
11 ноября 2022 года специалисты Fox просканировали глобальной сеть и обнаружили в сети в общей сложности 28 000 серверов Citrix.
По результатам сопоставления версий продуктов, по состоянию на 28 декабря 2022 г. они установили, что большинство пользователей используют версию 13.0–88.14, на которую не влияют баги.
Второй по популярности версией стала 12.1-65.21, которая уязвима для CVE-2022-27518 при соблюдении определенных условий, выявлена на 3500 конечных точках.
Для того, чтобы их можно было атаковать, необходима конфигурация SAML SP или IdP, а это означает, что не все 3500 систем были уязвимы для CVE-2022-27518.
Кроме того, существует более 1000 серверов, уязвимых для CVE-2022-27510, и примерно 3000 конечных точек, потенциально уязвимых для обеих критических ошибок.
Третье место заняли развертывания, которые возвращают хэши с неизвестными номерами версий Citrix. Их насчитывается более 3500 серверов, которые могут быть или не быть уязвимыми для любой уязвимости.
Что касается скорости установки исправлений, то ресерчеры отмечают оперативную реакцию пользователей США, Германии, Канады, Австралии и Швейцарии на публикацию соответствующих рекомендаций по безопасности.
В целом статистика Fox показывает, что многим компаниям еще предстоит проделать большую работу для устранения всех пробелов в безопасности, как впрочем и хакерам, у которых остается достаточно большой зазор для планирования и проведения атак.
Первая CVE-2022-27510 была исправлена 8 ноября и представляет собой обход аутентификации, затрагивающий оба продукта Citrix.
Злоумышленник может использовать его, чтобы получить несанкционированный доступ к устройству, выполнить захват удаленного рабочего стола или обойти защиту для входа в систему.
Вторая ошибка отслеживается как CVE-2022-27518 была раскрыта и исправлена 13 декабря. Она позволяет злоумышленникам, не прошедшим проверку подлинности, удаленно выполнять команды на уязвимых устройствах и получать над ними контроль.
Злоумышленники уже ее активно использовали на момент, когда Citrix выпустила исправления.
Несмотря на вышедшие обновления, ресерчеры Fox NCC Group сообщают, что тысячи остаются развертываний уязвимыми для атак .
11 ноября 2022 года специалисты Fox просканировали глобальной сеть и обнаружили в сети в общей сложности 28 000 серверов Citrix.
По результатам сопоставления версий продуктов, по состоянию на 28 декабря 2022 г. они установили, что большинство пользователей используют версию 13.0–88.14, на которую не влияют баги.
Второй по популярности версией стала 12.1-65.21, которая уязвима для CVE-2022-27518 при соблюдении определенных условий, выявлена на 3500 конечных точках.
Для того, чтобы их можно было атаковать, необходима конфигурация SAML SP или IdP, а это означает, что не все 3500 систем были уязвимы для CVE-2022-27518.
Кроме того, существует более 1000 серверов, уязвимых для CVE-2022-27510, и примерно 3000 конечных точек, потенциально уязвимых для обеих критических ошибок.
Третье место заняли развертывания, которые возвращают хэши с неизвестными номерами версий Citrix. Их насчитывается более 3500 серверов, которые могут быть или не быть уязвимыми для любой уязвимости.
Что касается скорости установки исправлений, то ресерчеры отмечают оперативную реакцию пользователей США, Германии, Канады, Австралии и Швейцарии на публикацию соответствующих рекомендаций по безопасности.
В целом статистика Fox показывает, что многим компаниям еще предстоит проделать большую работу для устранения всех пробелов в безопасности, как впрочем и хакерам, у которых остается достаточно большой зазор для планирования и проведения атак.
BleepingComputer
Citrix urges admins to patch critical ADC, Gateway auth bypass
Citrix is urging customers to install security updates for a critical authentication bypass vulnerability in Citrix ADC and Citrix Gateway.
͏Royal Ransomware взяли на себя ответственность за кибератаку на телекоммуникационную компанию Intrado.
Как заявляет Intrado, компания предоставляет услуги примерно 82% компаний из списка Fortune 500 и реализует до 20 млрд. минут телефонной связи в год.
Intrado пока не поделилась какой-либо информацией об инциденте, однако известно, что атака началась 1 декабря, а первоначальный запрос выкупа составлял 60 млн. долларов.
Состоящие из опытных хакеров и работающая без операторов Royal также украли данные из систем Intrado, угрожая их публикацией на своем DLS, если жертва не заплатит выкуп.
Злоумышленники утверждают, что получили внутренние документы, паспорта и водительские права сотрудников со скомпрометированных устройств Intrado.
Для подтверждения своих намерений, Royal поделились архивом в 52,8 МБ со сканами паспортов, деловых документов и водительских удостоверений.
Дата первоначального вторжения совпадает со сбоем, затронувшим все службы Intrado, включая службы унифицированных коммуникаций, в том числе как услугу (UCaaS), что указывалось в отчете Intrado об инциденте от 1 декабря, вызвавшем проблемы с внутрикорпоративной сетью.
Представитель Министерства здравоохранения и социальных служб США (HHS) Сара Ловенхейм заявила на следующий день, что сбой сети Intrado был устранен, добавив, что HHS продолжает расследовать основную причину сбоя.
Однако, несмотря на то, что Intrado восстановила большинство затронутых услуг, еще неделю назад компания все еще работала над полным восстановлением услуг в области здравоохранения.
По состоянию на 21 декабря компания все еще продолжала сталкиваться с некоторыми проблемами.
При этом еще в прошлом году компания договорилась с Федеральной комиссией по связи США о выплате 1 750 000 долларов для завершения расследования проблем со звонками в службу экстренной помощи.
Видимо, придется еще договариваться для устранения новых проблем.
Как заявляет Intrado, компания предоставляет услуги примерно 82% компаний из списка Fortune 500 и реализует до 20 млрд. минут телефонной связи в год.
Intrado пока не поделилась какой-либо информацией об инциденте, однако известно, что атака началась 1 декабря, а первоначальный запрос выкупа составлял 60 млн. долларов.
Состоящие из опытных хакеров и работающая без операторов Royal также украли данные из систем Intrado, угрожая их публикацией на своем DLS, если жертва не заплатит выкуп.
Злоумышленники утверждают, что получили внутренние документы, паспорта и водительские права сотрудников со скомпрометированных устройств Intrado.
Для подтверждения своих намерений, Royal поделились архивом в 52,8 МБ со сканами паспортов, деловых документов и водительских удостоверений.
Дата первоначального вторжения совпадает со сбоем, затронувшим все службы Intrado, включая службы унифицированных коммуникаций, в том числе как услугу (UCaaS), что указывалось в отчете Intrado об инциденте от 1 декабря, вызвавшем проблемы с внутрикорпоративной сетью.
Представитель Министерства здравоохранения и социальных служб США (HHS) Сара Ловенхейм заявила на следующий день, что сбой сети Intrado был устранен, добавив, что HHS продолжает расследовать основную причину сбоя.
Однако, несмотря на то, что Intrado восстановила большинство затронутых услуг, еще неделю назад компания все еще работала над полным восстановлением услуг в области здравоохранения.
По состоянию на 21 декабря компания все еще продолжала сталкиваться с некоторыми проблемами.
При этом еще в прошлом году компания договорилась с Федеральной комиссией по связи США о выплате 1 750 000 долларов для завершения расследования проблем со звонками в службу экстренной помощи.
Видимо, придется еще договариваться для устранения новых проблем.
Лаборатория Касперского сообщает об обновлении северокорейскими хакерами BlueNoroff, входящими в Lazarus, своего арсенала и методов доставки для новой волны атак, нацеленных на банки и венчурные компании.
BlueNoroff имеет четкие финансовые мотивы и была замечена в многочисленных кибератаках, направленных на банки, криптовалютные организации и другие финансовые учреждения.
После нескольких месяцев затишья группа возобновила атаки с использованием новых вредоносных ПО, обновив методы доставки, включающие новые типы файлов, а также способы обхода защиты Microsoft Mark-of-the-Web (MotW).
Хакеры распространяют файлы iso и vhd, содержащие фейковые документы Office, что позволяет им избежать MotW, которое Windows обычно отображает, когда пользователь пытается открыть документ, загруженный с Интернета.
Опираясь на фишинг, BlueNoroff заражает целевые организации для перехвата переводов криптовалюты и кражи аккаунтов с активами.
В рамках новой кампании BlueNoroff задействовала около 70 доменов, имитирующих известные финансовые организации, с прицелом на японский сегмент. Кроме того, цели охватывали организации в ОАЭ, США и Вьетнаме. Домены использовались для фишинговых атак, направленных на сотрудников стартапов.
По словам ресерчеров Касперского, группа также взяла на вооружение новые методы для конечной полезной нагрузки, включая использование сценариев Visual Basic Script и Windows Batch, а также нового загрузчика для получения полезной нагрузки следующего этапа.
В сентябре жертва в ОАЭ была атакована вредоносным документом Office, предназначенным для подключения к удаленному серверу и загрузки полезной нагрузки ieinstal.exe, которая могла обойти защиту контроля доступа пользователей (UAC).
После заражения злоумышленник использовал бэкдор для установки дополнительных вредоносных программ с высокими привилегиями.
В другой атаке группа использовала загрузчик, который проверял систему на наличие антивирусных решений Avast, Avira, Bitdefender, Kaspersky, Microsoft, Sophos и Trend Micro для их отключения.
Кроме того, BlueNoroff использовали двоичные файлы LOLBins и различные сценарии для отображения документа-приманки и извлечения полезной нагрузки следующего этапа. Применялся также новый загрузчик исполняемого типа Windows, который создавал поддельный файл паролей и загружал полезную нагрузку.
В последнее время группа также нацелилась на бизнес, связанный с криптовалютой. Изменения в тактике и инструментарии, по мнению ресерчеров, говорит о том, что количество атак BlueNoroff в ближайшее время вряд ли уменьшится.
Организациям рекомендуется принимать меры по обучению персонала к выявлению фишинговым атак, проводению сетевого аудита, а также широкой поддержке безопасности и защиты конечных точек.
BlueNoroff имеет четкие финансовые мотивы и была замечена в многочисленных кибератаках, направленных на банки, криптовалютные организации и другие финансовые учреждения.
После нескольких месяцев затишья группа возобновила атаки с использованием новых вредоносных ПО, обновив методы доставки, включающие новые типы файлов, а также способы обхода защиты Microsoft Mark-of-the-Web (MotW).
Хакеры распространяют файлы iso и vhd, содержащие фейковые документы Office, что позволяет им избежать MotW, которое Windows обычно отображает, когда пользователь пытается открыть документ, загруженный с Интернета.
Опираясь на фишинг, BlueNoroff заражает целевые организации для перехвата переводов криптовалюты и кражи аккаунтов с активами.
В рамках новой кампании BlueNoroff задействовала около 70 доменов, имитирующих известные финансовые организации, с прицелом на японский сегмент. Кроме того, цели охватывали организации в ОАЭ, США и Вьетнаме. Домены использовались для фишинговых атак, направленных на сотрудников стартапов.
По словам ресерчеров Касперского, группа также взяла на вооружение новые методы для конечной полезной нагрузки, включая использование сценариев Visual Basic Script и Windows Batch, а также нового загрузчика для получения полезной нагрузки следующего этапа.
В сентябре жертва в ОАЭ была атакована вредоносным документом Office, предназначенным для подключения к удаленному серверу и загрузки полезной нагрузки ieinstal.exe, которая могла обойти защиту контроля доступа пользователей (UAC).
После заражения злоумышленник использовал бэкдор для установки дополнительных вредоносных программ с высокими привилегиями.
В другой атаке группа использовала загрузчик, который проверял систему на наличие антивирусных решений Avast, Avira, Bitdefender, Kaspersky, Microsoft, Sophos и Trend Micro для их отключения.
Кроме того, BlueNoroff использовали двоичные файлы LOLBins и различные сценарии для отображения документа-приманки и извлечения полезной нагрузки следующего этапа. Применялся также новый загрузчик исполняемого типа Windows, который создавал поддельный файл паролей и загружал полезную нагрузку.
В последнее время группа также нацелилась на бизнес, связанный с криптовалютой. Изменения в тактике и инструментарии, по мнению ресерчеров, говорит о том, что количество атак BlueNoroff в ближайшее время вряд ли уменьшится.
Организациям рекомендуется принимать меры по обучению персонала к выявлению фишинговым атак, проводению сетевого аудита, а также широкой поддержке безопасности и защиты конечных точек.
Securelist
BlueNoroff introduces new methods bypassing MoTW
We continue to track the BlueNoroff group’s activities and this October we observed the adoption of new malware strains in its arsenal.
Forwarded from Social Engineering
👨🏻💻 Бесплатные курсы на русском языке: Защищенные сетевые протоколы и компьютерные сети.
Материал лучше всего изучать после изучения следующего материала: https://news.1rj.ru/str/Social_engineering/1648
Защищенные сетевые протоколы:
➖ Протоколы TLS/SSL;
➖ Шифрование в TLS/SSL;
➖ Целостность данных в TLS/SSL;
➖ Инфраструктура открытых ключей в TLS/SSL;
➖ Протокол TLS;
➖ Установка соединения в TLS;
➖ Анализируем протокол TLS в Wireshark;
➖ Расшифровка TLS в WireShark;
➖ Протокол TLS 1.3;
➖ Протокол TLS 1.3 в WireShark;
➖ Протокол HTTPS;
➖ Протокол HTTPS в WireShark.
Компьютерные сети. Продвинутые темы:
➖ Протокол IPv6;
➖ Адреса IPv6;
➖ Автоматическое назначение IPv6 адресов;
➖ Протокол NDP;
➖ Протоколы маршрутизации;
➖ Протокол RIP;
➖ Протокол OSPF;
➖ Иерархическая маршрутизация;
➖ Протокол BGP;
➖ Web сокеты.
S.E. ▪️ S.E.Relax ▪️ infosec.work ▪️ #Сети
🖖🏻 Приветствую тебя user_name.
• Для изучения сетевых технологий и основ сетей, в нашем канале опубликовано огромное кол-во материала. Сегодня мы дополним этот список полезными и бесплатными курсами на русском языке, а тебе будет что посмотреть на новогодних праздниках:Материал лучше всего изучать после изучения следующего материала: https://news.1rj.ru/str/Social_engineering/1648
Защищенные сетевые протоколы:
➖ Протоколы TLS/SSL;
➖ Шифрование в TLS/SSL;
➖ Целостность данных в TLS/SSL;
➖ Инфраструктура открытых ключей в TLS/SSL;
➖ Протокол TLS;
➖ Установка соединения в TLS;
➖ Анализируем протокол TLS в Wireshark;
➖ Расшифровка TLS в WireShark;
➖ Протокол TLS 1.3;
➖ Протокол TLS 1.3 в WireShark;
➖ Протокол HTTPS;
➖ Протокол HTTPS в WireShark.
Компьютерные сети. Продвинутые темы:
➖ Протокол IPv6;
➖ Адреса IPv6;
➖ Автоматическое назначение IPv6 адресов;
➖ Протокол NDP;
➖ Протоколы маршрутизации;
➖ Протокол RIP;
➖ Протокол OSPF;
➖ Иерархическая маршрутизация;
➖ Протокол BGP;
➖ Web сокеты.
S.E. ▪️ S.E.Relax ▪️ infosec.work ▪️ #Сети