Специалисты из CrowdStrike обнаружили новый штамм продвинутого лоадера GuLoader.

Как выяснилось, авторы малвари провели приличный апгрейд и добавили широкий спектр фич для обхода программных средств защиты.

GuLoader, также известный как CloudEyE, впервые был обнаружен в 2019 году и представляет собой загрузчик на Visual Basic Script (VBS), который используется для распространения троянов удаленного доступа.

Как отметили эксперты, новый метод антианализа основан на сканировании выделенной памяти всех процессов, связанных с виртуальной машиной.

Вредонос использует трёхэтапный процесс, в котором VBScript доставляет полезную нагрузку, отвечающую за доставку второго этапа и проверку виртуальной среды, после чего шелл-код внедряется в память.

Далее, шелл-код, помимо использования тех же методов антианализа, загружает финальную полезную нагрузку по выбору злоумышленника с удаленного сервера и выполняет ее на скомпрометированном хосте.

Причем шелл-код использует несколько приемов антианализа и анти-отладки на каждом этапе выполнения, выдавая соответствующие сообщения об ошибке, если вдруг обнаружит какой-либо известный метод анализа или механизм отладки.

В целях уклонения от ловушек NTDLL.dl, реализуемых решениями EDR систем, малварь использует, как назвали эксперты - механизм внедрения избыточного кода.

Ресерчеры из Cymulate вовсе продемонстрировали технику обхода EDR, известную как Blindside, которая позволяет запускать произвольный код с использованием аппаратных точек останова для создания «процесса, в котором только NTDLL находится в автономном, неподключенном состоянии».

Как заключили исследователи, GuLoader был и остается опасной угрозой, которая постоянно развивается благодаря новым методам уклонения от обнаружения.

͏BTC.com обчистили на $3 млн. в ходе кибератаки.

Cедьмой по величине пул майнинга криптовалюты официально объявил об инциденте, в результате которого злоумышленниками была совершена кража криптоактивов на сумму около 3 млн. долларов, в том числе 700 000, принадлежащие ее клиентам, и цифровые активы на 2,3 млн., принадлежащие компании.

Атаку удалось обнаружить 3 декабря 2022 года, после чего администрация связалась по этому поводу с китайскими силовиками в Шэньчжэне. 23 декабря власти объявили о начале официального расследования.

Благодаря оперативным действиям компании удалось вернуть часть украденной криптовалюты, однако конкретная сумма не называется.

BTC.com также приняли все необходимые меры для блокировки аналогичных атак в будущем.

Платформа в настоящее время продолжает работать в штатном режиме за исключением услуг по управлению цифровыми активами.

В настоящее время компания не раскрывает информации о том, каким образом злоумышленники смогли украсть криптовалюту.

Также не ясно, были ли украдены какие-либо корпоративные данные или личная информация клиентов во время инцидента.

После того, как Microsoft реализовала начиная с июля 2022 года блокировку макросов Visual Basic для приложений (VBA) по умолчанию для файлов Office, загруженных из Интернета, многие злоумышленники пересмотрели свою тактику и экспериментируют с альтернативными путями заражения для развертывания вредоносных программ.

Тем не менее, заряженные документы Office, доставляемые с помощью целевых фишинга и социнженерии, остаются одной из широко используемых точек входа для продвинутых акторов, нацеленных на RCE.

Такие файлы традиционно побуждают жертв включить макросы для просмотра, казалось бы, безобидного контента, однако по факту - активировать скрытное выполнение вредоносного ПО в фоновом режиме.

По данным Cisco Talos, APT и владельцы обычных вредоносных программ стали все чаще использовать файлы надстроек Excel (.XLL) в качестве начального вектора вторжения.

Файлы XLL Microsoft описывает как тип файла библиотеки динамической компоновки (DLL), который можно открыть только в Excel.

Их можно отправлять по электронной почте, и даже с обычными мерами сканирования на наличие вредоносных программ пользователи могут открывать их, не зная, что они содержат вредоносный код

Ресерчеры обнаружили, что субъекты угроз используют сочетание собственных надстроек, написанных на C++, а также надстроек, разработанных с использованием инструмента Excel-DNA.

Такая техника получила широкое применение с середины 2021 года и используется до настоящего времени.

Тем не менее, первое публично задокументированное злонамеренное использование XLL произошло в 2017 году, когда APT10 (ака Stone Panda) задействовала этот метод для внедрения бэкдора в память через процесс.

Кроме того, аналогичные шаги предпринимались и DoNot Team, FIN7.

Злоупотребление форматом файла XLL использовалось для распространения штаммов вредосного ПО Agent Tesla, Arkei, Buer, Dridex, Ducktail , Ekipa RAT, FormBook, IcedID, Vidar Stealer и Warzone RAT, что может указывать на новую тенденцию в современном ландшафте угроз.

Ресерчеры Trustwave отмечают, что помимо надстроек XLL Excel злоумышленниками также применяются макросы Microsoft Publisher. Метод, в частности, реализован в ноябрьском обновлении Ekipa RAT.

Как и в других офисных продуктах Microsoft, файлы Publisher могут содержать макросы, которые будут выполняться при открытии или закрытии файла, что делает их весьма интересным начальным вектором атаки.

При этом ограничения Microsoft, препятствующие выполнению макросов в файлах, загруженных из Интернета, не распространяются на Publisher.

Ekipa RAT — отличный пример того, как злоумышленники постоянно совершенствуют свои методы, чтобы опережать предпринимаемые разработчиками меры защиты.

Создатели этой вредоносной ПО отслеживают изменения в индустрии безопасности и соответствующим образом пересматривают свою тактику.

Группа исследователей Техасского университета A&M, Университета Темпл, Технологического института Нью-Джерси, Университета Рутгерса и Дейтонского университета США раскрыли метод атаки по побочному каналу, получивший название EarSpy, который позволяет прослушивать разговоров целевого пользователя через динамики устройства.

EarSpy использует динамик телефона в верхней части устройства, который подносится к уху, а также встроенный акселерометр для улавливания вибраций, генерируемых динамиком при получении конфиденциальной информации во время телефонного звонка..

При этом все предыдущие аналогичные исследования акцентровались на вибрациях, создаваемых динамиками телефона, или на внешнем компоненте для сбора данных.

Очевидным способом перехвата разговора является внедрение злоумышленником вредоносного ПО с возможностью записи звонка через микрофон телефона. Однако меры защиты Android значительно эволюционировали, и вредоносным ПО становится все сложнее получать необходимые разрешения.

С другой стороны, доступ к данным с датчиков движения в смартфоне не требует каких-либо специальных разрешений. Конечно, разработчики Android уже начали закладывать некоторые ограничения на сбор данных с датчиков, но атака EarSpy даже в условиях современного уровня безопасности все еще актуальна.

Вредоносное ПО, установленная на устройстве, может использовать атаку EarSpy для захвата потенциально конфиденциальной информации и отправки ее злоумышленнику. Причем атаки EarSpy становятся все более возможными благодаря улучшениям, которые производители смартфонов вносят в наушники. 

Точно так же в современных устройствах используются более чувствительные датчики движения и гироскопы, способные регистрировать даже мельчайшие резонансы динамиков.

Ресерчеры провели тесты на смартфонах OnePlus 7T и OnePlus 9 и обнаружили, что акселерометр из ушного динамика может захватывать значительно больше данных благодаря стереодинамикам, присутствующим в этих современных моделях, по сравнению со старыми моделями телефонов OnePlus, в котором их еще не было.

Эксперименты, проведенные академическими исследователями, наглядно показали влияние реверберации динамиков на акселерометр, позволяющей извлекать необходимые характеристики частотно-временной области и спектрограммы. Анализ был сосредоточен на распознавании пола, говорящего и речи.

В тесте распознавания пола, целью которого является определение того, является ли цель мужчиной или женщиной, атака EarSpy показала точность 98%. Точность была почти такой же высокой, 92% при определения личности говорящего. В случае же реальной речи, точность записи цифр, произносимых во время телефонного звонка, достигает 56%.

Одна снизить эффективность атаки EarSpy может уровень громкости. Более низкая громкость может предотвратить подслушивание через эту атаку по побочному каналу. Расположение аппаратных компонентов устройства и герметичность сборки также влияют на распространение реверберации динамика.

Исследователи рекомендуют производителям для защиты от таких атак обеспечивать стабильное звуковое давление во время разговора и размещать датчики движения в положении, при котором внутренние вибрации не влияют на них или, по крайней мере, оказывают минимально возможное воздействие.

͏Скучно живете если храните крипту и ваш Новый год не похож на этот, так как у многих пользователей криптокошельков BitKeep новогоднее настроение начнется с седых волос, ибо их кошельки были опустошены во время празднования Рождества.

BitKeep — это децентрализованный кошелек DeFi web3, поддерживающий более 30 блокчейнов, 76 сетей и более 20 000 децентрализованных приложений.

Активная аудитория насчитывает более 8 миллионов пользователей в 168 странах, которые используют кошелек для управления своими криптоактивами.

Специалисты из Peckshield сообщили, что примерно 8 миллионов долларов средств пользователей BitKeep были украдены через взломанную APK-версию криптокошелька.

Команда BitKeep уже подтвердила о проблеме в своей официальной учетной записи Telegram и сообщила, что хакеры перехватили загрузку некоторых пакетов APK, что привело к потере средств для ее пользователей.

В компании добавили, что пользователи, чьи средства были украдены, загрузили неизвестную версию ее приложения.

BitKeep уточнил, что пользователи должны переводить свои средства на кошельки, загруженные из официальных источников, таких как Google Play и App Store.

BitKeep рекомендовал своим пользователям создать новые адреса кошельков, поскольку хакеры могут по-прежнему иметь доступ к адресам, созданным через скомпрометированный APK.

Команда попросила пострадавших пользователей отправить свои данные в форму Google, добавив, что она выплатит полную компенсацию, если кража произошла по вине платформы.

По мере того, как команда будет получать актуальные сведения об атаке, она предоставит более подробную информацию о ней своим пользователям.

Пока известно, что хакер перевел большую часть средств на адрес кошелька в Binance Smart Chain (BSC). Общий ганорар злоумушленника включает 4373 $ BNB, 5,4 млн $ USDT, 196 тыс. DAI и 1233,21 ETH.

Криптофирма также принимает меры в заморозке адреса хакера и возвращении украденных средств.

У кого как, а у хакеров действительно Merry Christmas!

Тысячи серверов Citrix ADC и Gateway остаются уязвимыми для двух исправленных за последнее время серьезных уязвимостей.

Первая CVE-2022-27510 была исправлена 8 ноября и представляет собой обход аутентификации, затрагивающий оба продукта Citrix.

Злоумышленник может использовать его, чтобы получить несанкционированный доступ к устройству, выполнить захват удаленного рабочего стола или обойти защиту для входа в систему.

Вторая ошибка отслеживается как CVE-2022-27518 была раскрыта и исправлена 13 декабря. Она позволяет злоумышленникам, не прошедшим проверку подлинности, удаленно выполнять команды на уязвимых устройствах и получать над ними контроль.

Злоумышленники уже ее активно использовали на момент, когда Citrix выпустила исправления.

Несмотря на вышедшие обновления, ресерчеры Fox NCC Group сообщают, что тысячи остаются развертываний уязвимыми для атак .

11 ноября 2022 года специалисты Fox просканировали глобальной сеть и обнаружили в сети в общей сложности 28 000 серверов Citrix.

По результатам сопоставления версий продуктов, по состоянию на 28 декабря 2022 г. они установили, что большинство пользователей используют версию 13.0–88.14, на которую не влияют баги.

Второй по популярности версией стала 12.1-65.21, которая уязвима для CVE-2022-27518 при соблюдении определенных условий, выявлена на 3500 конечных точках.

Для того, чтобы их можно было атаковать, необходима конфигурация SAML SP или IdP, а это означает, что не все 3500 систем были уязвимы для CVE-2022-27518.

Кроме того, существует более 1000 серверов, уязвимых для CVE-2022-27510, и примерно 3000 конечных точек, потенциально уязвимых для обеих критических ошибок.

Третье место заняли развертывания, которые возвращают хэши с неизвестными номерами версий Citrix. Их насчитывается более 3500 серверов, которые могут быть или не быть уязвимыми для любой уязвимости.

Что касается скорости установки исправлений, то ресерчеры отмечают оперативную реакцию пользователей США, Германии, Канады, Австралии и Швейцарии на публикацию соответствующих рекомендаций по безопасности.

В целом статистика Fox показывает, что многим компаниям еще предстоит проделать большую работу для устранения всех пробелов в безопасности, как впрочем и хакерам, у которых остается достаточно большой зазор для планирования и проведения атак.

͏Royal Ransomware взяли на себя ответственность за кибератаку на телекоммуникационную компанию Intrado.

Как заявляет Intrado, компания предоставляет услуги примерно 82% компаний из списка Fortune 500 и реализует до 20 млрд. минут телефонной связи в год.

Intrado пока не поделилась какой-либо информацией об инциденте, однако известно, что атака началась 1 декабря, а первоначальный запрос выкупа составлял 60 млн. долларов.

Состоящие из опытных хакеров и работающая без операторов Royal также украли данные из систем Intrado, угрожая их публикацией на своем DLS, если жертва не заплатит выкуп.

Злоумышленники утверждают, что получили внутренние документы, паспорта и водительские права сотрудников со скомпрометированных устройств Intrado.

Для подтверждения своих намерений, Royal поделились архивом в 52,8 МБ со сканами паспортов, деловых документов и водительских удостоверений.

Дата первоначального вторжения совпадает со сбоем, затронувшим все службы Intrado, включая службы унифицированных коммуникаций, в том числе как услугу (UCaaS), что указывалось в отчете Intrado об инциденте от 1 декабря, вызвавшем проблемы с внутрикорпоративной сетью.

Представитель Министерства здравоохранения и социальных служб США (HHS) Сара Ловенхейм заявила на следующий день, что сбой сети Intrado был устранен, добавив, что HHS продолжает расследовать основную причину сбоя.

Однако, несмотря на то, что Intrado восстановила большинство затронутых услуг, еще неделю назад компания все еще работала над полным восстановлением услуг в области здравоохранения.

По состоянию на 21 декабря компания все еще продолжала сталкиваться с некоторыми проблемами.

При этом еще в прошлом году компания договорилась с Федеральной комиссией по связи США о выплате 1 750 000 долларов для завершения расследования проблем со звонками в службу экстренной помощи.

Видимо, придется еще договариваться для устранения новых проблем.

Лаборатория Касперского сообщает об обновлении северокорейскими хакерами BlueNoroff, входящими в Lazarus, своего арсенала и методов доставки для новой волны атак, нацеленных на банки и венчурные компании.

BlueNoroff имеет четкие финансовые мотивы и была замечена в многочисленных кибератаках, направленных на банки, криптовалютные организации и другие финансовые учреждения.

После нескольких месяцев затишья группа возобновила атаки с использованием новых вредоносных ПО, обновив методы доставки, включающие новые типы файлов, а также способы обхода защиты Microsoft Mark-of-the-Web (MotW).

Хакеры распространяют файлы iso и vhd, содержащие фейковые документы Office, что позволяет им избежать MotW, которое Windows обычно отображает, когда пользователь пытается открыть документ, загруженный с Интернета.

Опираясь на фишинг, BlueNoroff заражает целевые организации для перехвата переводов криптовалюты и кражи аккаунтов с активами.

В рамках новой кампании BlueNoroff задействовала около 70 доменов, имитирующих известные финансовые организации, с прицелом на японский сегмент. Кроме того, цели охватывали организации в ОАЭ, США и Вьетнаме. Домены использовались для фишинговых атак, направленных на сотрудников стартапов.

По словам ресерчеров Касперского, группа также взяла на вооружение новые методы для конечной полезной нагрузки, включая использование сценариев Visual Basic Script и Windows Batch, а также нового загрузчика для получения полезной нагрузки следующего этапа.

В сентябре жертва в ОАЭ была атакована вредоносным документом Office, предназначенным для подключения к удаленному серверу и загрузки полезной нагрузки ieinstal.exe, которая могла обойти защиту контроля доступа пользователей (UAC).

После заражения злоумышленник использовал бэкдор для установки дополнительных вредоносных программ с высокими привилегиями.

В другой атаке группа использовала загрузчик, который проверял систему на наличие антивирусных решений Avast, Avira, Bitdefender, Kaspersky, Microsoft, Sophos и Trend Micro для их отключения.

Кроме того, BlueNoroff использовали двоичные файлы LOLBins и различные сценарии для отображения документа-приманки и извлечения полезной нагрузки следующего этапа. Применялся также новый загрузчик исполняемого типа Windows, который создавал поддельный файл паролей и загружал полезную нагрузку.

В последнее время группа также нацелилась на бизнес, связанный с криптовалютой. Изменения в тактике и инструментарии, по мнению ресерчеров, говорит о том, что количество атак BlueNoroff в ближайшее время вряд ли уменьшится.

Организациям рекомендуется принимать меры по обучению персонала к выявлению фишинговым атак, проводению сетевого аудита, а также широкой поддержке безопасности и защиты конечных точек.

👨🏻‍💻 Бесплатные курсы на русском языке: Защищенные сетевые протоколы и компьютерные сети.

🖖🏻 Приветствую тебя user_name.

• Для изучения сетевых технологий и основ сетей, в нашем канале опубликовано огромное кол-во материала. Сегодня мы дополним этот список полезными и бесплатными курсами на русском языке, а тебе будет что посмотреть на новогодних праздниках:

Материал лучше всего изучать после изучения следующего материала: https://news.1rj.ru/str/Social_engineering/1648

Защищенные сетевые протоколы:
➖ Протоколы TLS/SSL;
➖ Шифрование в TLS/SSL;
➖ Целостность данных в TLS/SSL;
➖ Инфраструктура открытых ключей в TLS/SSL;
➖ Протокол TLS;
➖ Установка соединения в TLS;
➖ Анализируем протокол TLS в Wireshark;
➖ Расшифровка TLS в WireShark;
➖ Протокол TLS 1.3;
➖ Протокол TLS 1.3 в WireShark;
➖ Протокол HTTPS;
➖ Протокол HTTPS в WireShark.

Компьютерные сети. Продвинутые темы:
➖ Протокол IPv6;
➖ Адреса IPv6;
➖ Автоматическое назначение IPv6 адресов;
➖ Протокол NDP;
➖ Протоколы маршрутизации;
➖ Протокол RIP;
➖ Протокол OSPF;
➖ Иерархическая маршрутизация;
➖ Протокол BGP;
➖ Web сокеты.

S.E. ▪️ S.E.Relax ▪️ infosec.work ▪️ #Сети

Сформировалась достаточно показательная практика по урегулированию нарушений в сфере конфиденциальности.

Facebook (признана экстремистской, *важное примечание в соответствии с требованиями Приказа ФСБ России № 547) согласилась выплатить $725 млн. для урегулирования судебного спора, в котором социальная сеть обвинялась в том, что она позволяет третьим сторонам, включая Cambridge Analytica, получать доступ к личным данным пользователей.

Несмотря на согласие выплатить крупнейшее возмещение, когда-либо достигнутое в рамках групповых исков о конфиденциальности данных, и самую большую сумму, которую Facebook когда-либо платила за урегулирование частного группового иска, компания так и не признала каких-либо правонарушений в рамках мирового соглашения.

В августе сообщалось, что Facebook достигла предварительного соглашения, хотя сумма и условия урегулирования не сообщались. Свое согласие представители аргументируют солидарностью с интересами сообщества и акционеров.

Предлагаемое мировое соглашение может быть одобрено в ближайшее время федеральным судьей в отделении Окружного суда США в Сан-Франциско.

Судебный процесс был инициирован в 2018 году, когда пользователи Facebook обвинили социальную сеть в нарушении правил конфиденциальности, поделившись своими данными с третьими лицами, в том числе с британской фирмой Cambridge Analytica.

В иске утверждается, что компания фактически предоставила анлимит-доступ к личным данным около 87 миллионов пользователей Facebook без их явного согласия.

Netflix даже целый фильм отснял «Cambridge Analytica. Скандальный взлом», рекомендуем посмотреть на досуге.

С тех пор Facebook закрыл доступ к своим данным тысячам приложений, подозреваемых в злоупотреблении ими, ограничил объем информации, доступной разработчикам, и упростил пользователям настройку ограничений на обмен личными данными.

Таким образом, в общей сложности за этот кейс Facebook лишится почти 6 млрд., из которых 5 были взысканы с компании ранее в 2019 году качестве штрафа за обман пользователей по вопросам конфиденциальности, а помимо 725 млн. истцы планируют также просить судью присудить им до 25% мирового соглашения в качестве гонораров адвокатам, что составит еще примерно 181 млн. долларов.

͏Доверьяй мнье!

Крупнейшее медицинское учреждение в Лейк-Чарльзе (LCMHS), штат Луизиана подверглось атаке ransomware, в результате чего произошла утечка сведений почти о 270 тыс. пациентах.

Мемориальная система здравоохранения Лейк-Чарльз является крупнейшей некоммерческой общественной системой здравоохранения на юго-западе Луизианы.

Об инциденте LCMHS сообщил секретарю Министерства здравоохранения и социальной службе США (HHS).

Нарушение безопасности произошло еще 21 октября 2022 года, когда группа внутренней безопасности обнаружила необычную активность в своей компьютерной сети.

В организации немедленно начали расследование инцидента, в результате которого было обнаружено, что злоумышленники похитили файлы, содержащие конфиденциальные данные, такие как: полные персональные данные, физические адреса, медицинские записи, информация о медицинском страховании, платежная информация и другие не менее щепетильные сведения, а электронные медицинские карты якобы не пострадали.

По данным портала взломов организаций здравоохранения, инцидент затронул 269 752 человека.

Начиная с 23 декабря 2022 года компания отправляет уведомление об утечке данных по почте пострадавшим пациентам.

Компания предлагает лицам, чей номер социального страхования мог быть скомпрометирован, услуги кредитного мониторинга и защиты от кражи личных данных.

Технических подробностей об атаке не много, но для сведущих более ли менее все понятно, так как группа вымогателей Hive добавила LCMHS в список жертв на своем сайте утечек в Tor 15 ноября 2022 года, заявив, что атака произошла 25 октября 2022 года.

Банда также опубликовала файлы, предположительно украденные из систем LCMHS, включая контракты, ведомости материалов, медицинскую информацию, медицинские записи, сканы и многое другое.

Netgear исправила серьезную уязвимость, затрагивающую Wi-Fi-маршрутизаторы, и посоветовала клиентам как можно скорее обновить ПО на своих устройствах.

Уязвимость переполнения буфера перед аутентификацией затрагивает несколько моделей маршрутизаторов Wireless AC Nighthawk, Wireless AX Nighthawk (WiFi 6) и Wireless AC.

Последствия успешной эксплуатации могут варьироваться от сбоев после отказа в обслуживании до RCE, если выполнение кода достигается во время атаки.

Злоумышленники могут использовать эту уязвимость в атаках низкой сложности, не требуя разрешений или взаимодействия с пользователем.

NETGEAR заявила, что не несет ответственности за какие-либо последствия, в случае отказа или несвоевременного выполнения ее рекомендации по исправлению недостатка.

Кроме того, в среду Netgear призвала клиентов также исправить и вторую уязвимость, которую можно использовать для запуска состояния отказа в обслуживании при атаках, нацеленных на ее маршрутизаторы.