Sentinel Labs обнаружила рекламную кампанию в Google, в рамках которой злоумышленники с использованием технологии виртуализации KoiVM распространяют стиллер Formbook.

Установщики вредоносных ПО в виде виртуализированных загрузчиков .NET, получивших название MalVirt помогают распределять конечную полезную нагрузку, не вызывая предупреждений антивирусных решений.

KoiVM — это плагин для протектора ConfuserEx .NET, который запутывает исполняемые файлы, заменяя исходный код виртуализированным.

Затем движок виртуальной машины выполняет виртуализированный код, переводя его в исходный код во время выполнения.

При злонамеренном использовании виртуализация усложняет анализ вредоносных программ, а также представляет собой один из способов обхода механизмов статического анализа.

Некоторые образцы исправляют функцию AmsiScanBuffer, реализованную в amsi.dll, для обхода интерфейса сканирования на наличие вредоносного ПО (AMSI), обнаруживающего вредоносные команды PowerShell.

Кроме того, в попытке обойти статические механизмы обнаружения некоторые строки (такие как amsi.dll и AmsiScanBuffer) кодируются с помощью Base-64 и AES.

При этом загрузчики также могут определять, работают ли они в виртуализированной среде, запрашивая определенные ключи реестра.

MalVirt также использует подписанный драйвер Microsoft Process Explorer, загружаемый при запуске системы как «TaskKill», что позволяет ему изменять запущенные процессы, чтобы избежать обнаружения.

Чтобы также избежать декомпиляции виртуализированного кода, загрузчики также используют модифицированную версию KoiVM, которая имеет дополнительные уровни обфускации, что делает ее расшифровку еще более сложной, сбивая с толку стандартные фреймворки девиртуализации (OldRod).

Ресерчеры отмечают, что виртуализация KoiVM популярна в хакерских инструментах и взломах, но редко используется для распространения вредоносных ПО. Выявленная активность, по их мнению, обусловлена отключением Microsoft макросов в Office.

За последний месяц исследователи наблюдали рост злоупотреблений Google-рекламой для распространения различных вредоносных программ, в том числе RedLine Stealer, Gozi/Ursnif, Vidar, Rhadamanthysstealer, IcedID, Raccoon Stealer и многих других.

В наблюдаемойкламную кампанию вкампании злоумышленники продвигают загрузчики MalVirt в рекламе, выдавая себя за ПО Blender 3D. Используются недействительные цифровые подписи, выдающие себя за Microsoft, Acer, DigiCert, Sectigo и AVG Technologies USA.

В дополнение ко всем системам предотвращения обнаружения, используемым в загрузчике вредоносного ПО, сам Formbook использует новый трюк, который помогает замаскировать его реальный трафик на C2 и IP-адреса.

Вредоносное ПО смешивает свой реальный трафик с различными побочными HTTP-запросами, содержимое которых зашифровано и закодировано, чтобы они не выделялись, взаимодействуя с IP-адресами случайным образом, выбирая их из жестко заданного списка доменов, размещенных различными компаниями.

SentinelLabs говорит, что в проанализированных образцах Formbook взаимодействовал с 17 доменами, только один из которых был фактическим сервером C2, а остальные служили приманками.

Новый фишки в довольно старом штамме указывает на то, что ее операторы заинтересованы в расширении его возможностей новыми функциями, которые сделают ее более скрытной от инструментов безопасности и аналитиков.

F5 предупреждает о серьезной уязвимости в BIG-IP, которая может позволить злоумышленнику, прошедшему проверку подлинности, вызвать DoS и добиться RCE.

CVE-2023-22374 затрагивает iControl SOAP, который обеспечивает связь между системами, работающими от имени root.

Интерфейс SOAP доступен из сети через порт управления BIG-IP или собственные IP-адреса и ограничен административными учетными записями.

Ошибка имеет оценку CVSS 7,5 для систем BIG-IP в стандартном режиме установки и оценку CVSS 8,5 для экземпляров в режиме приложения.

О дефекте сообщили специалисты из Rapid7, которые объясняют, что эксплуатация возможна путем вставки спецификаторов строки формата в определенные параметры, которые передаются в функцию syslog, в результате чего служба считывает и записывает адреса памяти, на которые ссылается стек.

Однако, как объясняют ресерчеры, злоумышленник не может прочитать память, если у него нет доступа к системному журналу.

Злоумышленник может привести к сбою службы, используя спецификаторы «%s» и «%n» для записи произвольных данных в любой указатель в стеке, что потенциально может привести к удаленному выполнению кода.

Для использования уязвимости злоумышленнику сначала необходимо собрать информацию о среде, в которой работает уязвимый компонент.

Наиболее вероятным последствием успешной атаки является сбой серверного процесса. Опытный злоумышленник потенциально способен разработать RCE-эксплойт, который запустит код на устройстве F5 BIG-IP от имени пользователя root.

Уязвимость затрагивает версии BIG-IP 13.1.5, с 14.1.4.6 по 14.1.5, с 15.1.5.1 по 15.1.8, с 16.1.2.2 по 16.1.3 и 17.0.0. В настоящее время патч для этой уязвимости не доступен, но поставщик разработал инженерное исправление.

Поскольку уязвимость может быть использована только авторизованными пользователями, доступ к iControl SOAP API должен быть ограничен доверенными пользователями.

͏Вымогатели LockBit взломали британского разработчика ПО ION Group, специализирующегося на решениях для банковского сектора, финансовых и инвестиционных компаний.

31 января 2023 года ION Group сообщила о киберинциденте, который в значительной степени повлиял на работу ION Cleared Derivatives и ION Markets. Атака была локализована, все затронутые серверы отключены, ведутся восстановительные работы.

Однако последствия атаки оказались весьма неутешительными: крупные клиенты ION Group в США и Европе были вынуждены перейти на ручную обработку сделок, что привело к значительным задержкам и, соответственно, финансовым потерям.

Глобальная торговая организация FIA сделала даже по этому поводу отдельное заявление, предупредив, что работает с пострадавшими членами для оценки ситуации, в том числе клиринговыми фирмами и биржами, а также с регуляторами рынка.

Тем временем LockBit добавили ION Group на свой DLS. Помимо серьезных сбоев хакерам также удалось украсть данные во время вторжения, которые они угрожают опубликовать 4 февраля.

Публичная утечка может привести к раскрытию конфиденциальной информациищила о киберинцв отношении крупных инвесторов, что потенциально нанесет значительный ущерб им и их организациям.

Будем посмотреть: ждать осталось недолго.

͏Следи за собой, будь осторожен!

Респект команде MalwareHunterTeam за наводку на 👇
https://gtdhdytjfy[.]weeblysite[.]com

Разработчики GoAnywhere MFT спешно уведомляют клиентов об RCE-уязвтмсоти, которая позволяет взламывать серверы с открытыми консолями администратора.

GoAnywhere — это решение для безопасной передачи файлов через Интернет, которое позволяет компаниям безопасно передавать зашифрованные файлы своим партнерам и журналировать доступ к ним доступ.

Подробностями 0-day поделился Брайан Кребс, который помимо прочего представил и соответствующие рекомендации по безопасности.

Считается, что проблема затрагивает как на локальную, так и на SaaS-реализацию GoAnywhere, но это еще не подтверждено.

Вектор атаки с представленным экспромтом требует доступа к административной консоли приложения, которая в большинстве случаев доступна только из сети частной компании, через VPN или по разрешенным IP-адресам (при работе в облачных средах, таких как Azure или AWS).

При этом интерфейс веб-клиента, который обычно доступен из общедоступного Интернета.

Пока Fortra в поте лица пилит исправления клиентам, чей административный интерфейс был общедоступен или к нему нельзя применить средства контроля доступа, следует cмягчить уязвимость, следуя представленным ресерчером мерам.

Fortra также временно закрыла свое решение SaaS, пока ошибка не будет устранена.

В то же время небезызвестный Кевин Бомонт обнаружил 1008 серверов с GoAnywhere в Интернете, в основном в США, Германии и Великобритании.

Большая часть консолей администратора используют порты 8000 и 8001, а среди потенциально уязвимых организации - органы власти, медучреждения, банки, компании в области энергетики и финтех.

И далее следует длинный список, который в ближайшей перспективе может перекочевать на DLS вымогателей, как это случилось в 2021 году, когда Clop взломали Accellion FTA.

Критический баг в Jira Service Management Server и Data Center позволяет злоумышленникам выдавать себя за пользователей Jira.

Как сообщают разработчики Atlassian, уязвимость аутентификации при определенных обстоятельствах предоставляет злоумышленнику доступ к экземпляру Jira Service Management, выдавая его за другого пользователя.

Если в Jira Service Management включен доступ для записи в каталог пользователей и подключена электронная почта, злоумышленник может получить доступ к токенам регистрации, отправляемым пользователям с учетными записями, которые никогда не входили в систему.

Коварный замысел с получением токенов может быть реализован в двух сценариях:

1. злоумышленник включен в задачи или запросы Jira с этими пользователями

2. злоумышленник получает доступ к электронным письмам, содержащим ссылку «просмотреть запрос» от этих пользователей.

Ошибка с оценкой CVSS 9,4 отслеживается как CVE-2023-22501 и затрагивает Jira Service Management Server и Data Center версий 5.3.0, 5.3.1, 5.3.2, 5.4.0, 5.4.1 и 5.5.0.

По данным Atlassian, наиболее вероятными объектами таких атак являются учетные записи ботов.

Однако внешние учетные записи клиентов на экземплярах с единым входом также могут быть скомпрометированы, если создание учетной записи открыто для всех.

Исправления для этой уязвимости были включены в версии Jira Service Management Server и Data Center 5.3.3, 5.4.2, 5.5.1 и 5.6.0 и пользователям рекомендуется как можно скорее обновить свои экземпляры Jira.

​​Уже давно не радовали вас вестями о бойцах цифрового чучхе.

Но в этом нам подсобила финская WithSecure, выкатив расследование, посвященное новой кампании кибершпионажа под названием No Pineapple!, которую ресерчеры атрибутировали с Lazarus.

Началось все с инцидента с ransomware, расследование которого вывело ресерчеров на Lazarus из-за допущенной ими ошибки. Северокорейской АРТ, по данным исследователей, удалось незаметно выкрасть 100 ГБ данных у жертвы, не причинив никакого ущерба.

Кампания длилась с августа по ноябрь 2022 года и была нацелена на организации в области научных исследований, здравоохранения, химического машиностроения, энергетики, обороны и ведущий исследовательский университет.

Хакеры Lazarus скомпрометировали сеть жертвы 22 августа 2022 года, используя RCE-уязвимость CVE-2022-27925 и CVE-2022-37042 для обхода аутентификации Zimbra, сбросив веб-шелл на почтовый сервер.

После успешного взлома сети были развернуты инструменты туннелирования Plink и 3Proxy, что позволило злоумышленникам обойти брандмауэр.

Менее чем через неделю злоумышленники с использованием модифицированных сценариев извлекли 5 ГБ с почтового сервера, сохранив в CSV-файле, который позже был загружен на сервер злоумышленника.

В течение следующих двух месяцев Lazarus развернул свой Dtrack и новую версию GREASE (связанное, как известно, с Kimusky) для обнаружения учетных записей администраторов Windows, перемещения по сети и кражи данных с устройств.

По завершении 5 ноября 2022 года двухмесячного турне в сети жертвы, Lazarus вынесли более 100 ГБ данных. Причем работали хакеры в соответствии с общепринятым в КНДР трудовым графиком.

В процессе расследования WithSecure увидели некоторые изменения в работе Lazarus, включая: новую инфраструктура с использованием IP-адресов без доменных имен, обновленные ПО Dtrack и GREASE (используется для создания учетной записи администратора и обхода защиты).

Новый вариант Dtrack сбрасывается через onedriver.exe и больше не использует собственный C2-сервер для кражи данных, полагаясь отдельный бэкдор для передачи собранных локально данных в защищенном паролем архиве.

Новый вариант GREASE выполняется на хосте как DLL ("Ord.dll") с более высокими привилегиями, достигаемыми за счет использования PrintNightmare.

Теперь он использует RDPWrap для установки службы RDP на хост для создания учетной записи привилегированного пользователя с помощью команд сетевого пользователя.

Даже закрыть глаза на засвеченный Lazarus по ошибке северокорейский айпишник 175.45.176[.]27, WithSecure обнаружили множество совпадений по TTP, инфраструктуре и таргетингом с отчетами Symantec и Cisco Talos,

Кроме того, ресерчеры заметили, как злоумышленники вводили различные команды на взломанных сетевых устройствах вручную с помощью модуля Impacket atexec.

WithSecure резюмировали свои изыскания банальным выводом, утверждая, что АРТ продолжит свою активность в отношении представляющих развединтерес для КНДР корпоративных целей.

Добавим: они будут делать все это безусловно, но с особым изыском.

Иранская APT OilRig совершенствует свою стратегию и продолжает атаковать правительственные организации на Ближнем Востоке.

Деятельность OilRig, также известной как APT34, Cobalt Gypsy, Europium и Helix Kitten, была задокументирована в целевых фишинговых атаках на Ближнем Востоке еще в 2014 году.

Известно, что банда, связана с Министерством разведки и безопасности Ирана (MOIS) и использует в своих операциях широкий спектр инструментов.

Последние атаки в 2021 и 2022 годах включали такие бэкдоры, как Karkoff, Shark, Marlin и Saitama, для кражи информации.

Изменения в тактике кибершпионской деятельности группировки отметили исследователи из Trend Micro, которые установили, что хакеры стали использовать новый бэкдор для кражи данных, а также легитимные, но скомпрометированные учетные записи электронной почты для отправки украденных данных на внешние почтовые учетные записи, контролируемые злоумышленниками.

Сама техника не является чем-то новаторским, однако OilRig применила ее впервые, что демонстирует эволюцию ее форм и методов обхода средств защиты.

Последние атаки связанны с применением нового дроппера на основе .NET, который имеет четыре отдельных файла для доставки, включая основной имплантат DevicesSrv.exe, отвечающий за кражу определенных файлов, представляющих интерес.

На втором этапе используется файл библиотеки динамической компоновки (DLL), который собирает информацию для входа в систему из локальных учетных записей и учетных записей домена.

Особенностью бэкдора .NET является его процедура эксфильтрации, которая включает использование украденных учетных данных для отправки электронных писем на контролируемые злоумышленниками адреса электронной почты Gmail и Proton Mail.

Причем если верить исследователям Trend Micro, злоумышленники отправляют эти электронные письма через правительственные серверы Exchange, используя фиктивные учетные записи с украденными паролями.

Растущее число вредоносных инструментов, связанных с OilRig, указывает на гибкость злоумышленника в создании новых вредоносных программ в зависимости от целевых сред и привилегий, которыми он обладает на этапе атаки.

Новизна второго и последнего этапа также указывает, что все изменения могут быть лишь небольшой частью более крупной кампании против правительственных организаций.

Microsoft DTAC пора бы давать объявления "Проводим атрибуцию. Недорого. Правда хреново".

Microsoft приписывает недавнюю кибератаку на сатирический французский журнал Charlie Hebdo связанной с Ираном APT-группе NEPTUNIUM (он же Emennet Pasargad, Holy Souls).

Charlie Hebdo не прокомментировал выводы Microsoft, но технологический гигант уже успел быстро назначить виноватого.

Как заключили эксперты, нападение является местью за инициативу Charlie Hebdo провести конкурс карикатур на правящего священнослужителя Ирана.

В результате кибератаки злоумышленник взломал базу данных журнала и получил личную информацию в отношении более 230 000 подписчиков издания.

Часть сведений была опубликована в качестве доказательства. Полный массив продается на нескольких даркнет-площадках за 340 000 долларов.

Утечка включают полные установочные данные, номера телефонов, адреса, а также электронную почту. Французская Le Monde уже подтвердила подлинность данных.

В основу атрибуции были положены шаблоны ФБР, на основе которых Microsoft удалось выделить отличительные элементы атаки:
- хактивистская личность,
- публичные заявления об атаке,
- утечка личных данных,
- использование фейковых аккаунтов в соцсетях «sockpuppet»,
- обращение к СМИ.

И еще один: более широкий набор разведданных, доступный только Microsoft DTAC (и приславшему этот набор с назначением виноватого подразделению АНБ или ЦРУ).

Предлагаем Microsoft DTAC новый универсальный набор TTPs, которые однозначно свидетельствуют о принадлежности атакующих к APT России, Китая, Ирана или КНДР:

- хакеры атаковали цель через Интернет;
- в ходе атаки они использовали один или несколько языков программирования;
- у хакерской атаки были негативные последствия.

Если хотя бы один из этих признаков присутствует, то можно с уверенностью говорить, что атакующие работают на правительство одной из указанных стран (а может быть и на все сразу!)

"Когда увидел основу атрибуции и универсальный набор TTPs от Microsoft DTAC, которые свидетельствуют о принадлежности атакующих к APT России, Китая, Ирана или КНДР", - 🤣комментарий подписчика.

Буквально вчера мы рассказывали о 0-day, которая затрагивает открытые в Интернете консоли администрирования GoAnywhere MFT и уже активно эксплуатируется.

А сегодня исследователи выкатили технические подробности и код PoC-эксплойта. Со слов автора Флориана Хаузера из Code White, эксплойт реализует удаленное выполнение кода без проверки подлинности на уязвимых серверах GoAnywhere MFT.

Разработчики приложения из Fortra (ранее известная как HelpSystems и одарившая инфосек своим решением Cobalt Strike) тоже не сидели на месте и успели выпустить экстренное исправление для устранения баги.

Еще на выходных Fortra сообщила, что уязвимость используется в атаках, и предоставила индикаторы компрометации для потенциально затронутых клиентов, включая конкретную трассировку стека, которая будет отображаться в журналах на скомпрометированных системах.

Поставщик решения напоминает, что вектор атаки этого эксплойта требует доступа к административной консоли приложения, которая в большинстве случаев доступна только из сети частной компании, через VPN или по разрешенным IP-адресам.

Тем не менее, сканирование Shodan показывает, что в Интернете открыто около 1000 экземпляров GoAnywhere.

В случае невозможности немедленного экстренного исправления, разработчики GoAnywere MFT предлагают воспользоваться рекомендациями по смягчению последствий, включая разрешение доступа к интерфейсу администратора из надежных источников или отключение службы лицензирования.

Для старейшего почтового оператора Великобритании новый год начался не с потока клиентов, а с инцидента, который привел к приостановке международных отправлений.

Проблемы возникли 10 января и как выяснилось позже Royal Mail Group Limited пострадала от деятельности LockBit.

Изначально группа отрицала причастность к атаке, однако "письма счастья" с требованием выкупа все же дошли до адресата и содержали ссылки на форму переговоров и утечек LockBit в Tor.

Вероятно, злоумышленники подумали, что оператор со штатом в 15 000 офисов королевской почты по всей стране, миллиардными доходами и многовековой историей все же заплатит барыш за пентест компании.

В итоге LockBit подтвердил, что действительно стоял за атакой и развернул полезную нагрузку программы-вымогателя в системах Royal Mail, а также добавил, что предоставит дешифратор и удалят украденные данные, только после выплаты выкупа.

Время на подумать увы не много, так как на сайте утечек LockBit говорится, что данные будут опубликованы 9 февраля.

Зато повезло жертвам Cl0p ransomware, у которой недавно появилась версия, нацеленная на системы Linux.

Некогда Cl0p был одним из самых активных семейств программ-вымогателей за последние несколько лет, жертвами которой становились крупные частные и государственные организации по всему миру в критических областях.

Банду хакеров подкосила операция спецслужб в ноябре 2021 года, в результате которой были арестованы шесть участников. Тем не менее Cl0p продолжает использоваться в атаках. 

Так, в августе 2022 года Cl0p взял на себя ответственность за взлом британской компании водоснабжения, а с декабря стала использоваться Linux-версия Cl0p.

А на днях ресерчеры SentinelOne объявили об обнаружении в алгоритме шифрования Linux-варианте Cl0p уязвимости, связанной с жестко запрограммированным мастер-ключом RC4, что позволяет расшифровать файлы.

Благодаря своему открытию SentinelOne разработали скрипт Python (доступен на GitHub) для помощи жертвам в восстановлении своих данных.

Еще одна история про альтруизм, инфосек и bugbounty за спасибо.

Исследователь Итон Звеаре, по совместительству техдир Grape Intentions, рассказал, как ему удалось за 7 дней обнаружить и сообщить в Toyota о 4 различных проблемах безопасности, все из которых были классифицированы как «критические».

Одна из них могла иметь для компании чрезвычайно серьезные последствия. Благодаря ей Итон хакнул глобальную систему управления проектами Toyota GSPIMS.

При этом исследователь наглядно продемонстрировал полученный доступ к данным более чем 14 000 корпоративных пользователей, а также проектам, документам, данным поставщиков и многому др., включая таких партенеров, как Michelin, Continental, Stanley Black & Decker, HARMAN, Timken, BOS, Magna.

Проблема затрагивала функцию «действовать от имени» в механизме входа и позволяла авторизовываться в системе под любым корпоративным пользователем или поставщиком Toyota, используя лишь наименование электронной почты.

В конце концов он обнаружил адрес электронной почты системного администратора и смог войти в его учетную запись, которая предоставляла полный контроль над всей системой.

В случае реальной атаки злоумышленник смог бы без труда добавить привилегированную учетную запись и сохранить доступ, скачать и слить все конфиденциальные данные, а также разработать узконаправленную фишинговую кампанию, нацеленную на другие системы Toyota или ее партнеров.

3 ноября 2022 года Итон Звеаре уведомил о проблеме Toyota, которая в течение суток подтвердила отчет и еще через 20 дней исправила багу, заставив createJWT и findByEmail возвращать HTTP-статус 400 — Bad Request во всех случаях.

Несмотря на оперативность и эффективность реакции Toyota, вознаграждение за сообщение о критической ошибке (в числе прочих) составило 0 долларов. Ничего, в следующий раз спонсором выступит какой-нибудь брокер первоначального доступа или уязвимостей.

Разработчики ПО Secure Shell с открытым исходным кодом выпустили очередную версию обновлений для устранения уязвимости предварительной аутентификации в сервере OpenSSH версии 9.1.

Конкретно это версия, выпущенная в октябре 2022 года, оказалась подвержена уязвимости двойного освобождения в стандартной конфигурации сервера OpenSSH (sshd).

Баг отслеживается как CVE-2023-25136 и считается, что его не так уж легко использовать, так как процесс происходит в непривилегированном режиме предварительной аутентификации, а также дополнительно изолирован на большинстве основных платформ.

Потенциально двойное освобождение памяти может привести к условию Write-what-where Condition, что позволит злоумышленнику выполнить произвольный код.

Использование этой проблемы — непростая задача, так как это связано с защитными мерами, принятыми современными распределителями памяти, а также надежным разделением привилегий и песочницей, реализованными в уязвимом процессе sshd.

Тем не менее, пользователям рекомендуется обновиться до OpenSSH 9.2, чтобы снизить потенциальные угрозы безопасности.

͏IP man 👊

Британская инженерная компания Vesuvius со штатом до 10 000 сотрудников по всему миру заявила о киберинциденте, который привел к отключению систем.

Компания известна на рынке металла и керамики. Сейчас активно занимается расследованием и восстановлением систем. Акции Vesuvius упали на 3,8% в начале торгов.

Атака ransomware на южноафриканскую телеком компанию и поставщика облачного хостинга RSAWeb привела к длительному сбою и отключению услуг связи.

Инцидент произошел 1 февраля, и в течении последующей недели специалисты поднимали сеть. Атака затронула веб-сайт, интернет-сеть, мобильные устройства, хостинг, услуги VoIP и АТС.

Свой производственный цикл также был вынужден остановить производитель полупроводникового оборудования MKS Instruments.

Атака произошла на прошлой неделе и затронула производственные системы. Компания приступила к расследованию атаки и подсчету убытков, связанных с инцидентом.

Lockbit продолжают удерживать лидерство с послужным списком в 1364 жертвы. Незадолго до нашумевшей атаки на Royal Mail банда похвасталась новым десятком жертвами, среди которых Turkish Airlines, Airalbania, муниципалитет Медельина.

Кроме того, одной из жертв оказалась огромная продовольственная компания с доходом в 253 миллиона долларов из Румынии. Общий доход всех жертв вместе взятых составляет более 6 миллиардов долларов.

BlackCat успешно похакали швейцарскую управляющую компанию Finaport, которую припугнули небольшой утечкой корпоративной почты для достижения договоренностей по выкупу.

Как сообщает местная пресса, несмотря на сохраненные резервные копии, сайт Finaport по-прежнему недоступен. Да и верить о целостности базы данных клиентов тоже не приходится. Руководство отмалчивается на этот счет.

Тем временем команда Royal добавила еще одну статусную жертву на DLS: американскую технологическую компанию, которая предоставляет интегрированные услуги и решения для правительства США.

Avos Locker атаковали три компании из США и Уругвая. Общий доход всех компаний составляет более 180 миллионов долларов.

͏Давненько мы не касались вопросов инклюзивности нейроразнообразия в инфосек отрасли. Вы наверное соскучились уже? Ну так получите.

Родитель №1 (а также №2) Metasploit, компания Rapid7, с гордостью сообщает, что пятый год подряд включена в Индекс гендерного равенства (GEI), который публичным компаниям раздает Bloomberg. Для этого компании Rapid7 пришлось усердно потрудиться на ниве транспарентности и прочих гендерквиров.

Например, добавили три новые группы защиты сотрудников к предыдущим трем и теперь их (неожиданно!) целых шесть:
- Rapid7 Women - как подсказывает логика, занимается поддержкой и защитой прав женщин, а также людей, идентифицирующих себя как женщин;
- Moose Mosaic - поддержка и защита AAPI-сообщества (американские азиаты и выходцы с островов, гавайцы всякие и прочие таитяне);
- Moose Vets - поддержка ветеранов и выходцев из военного сообщества;
- Rapid7 Diversability and Neurodiversity - защита инвалидов и психопатов (самые эффективные сотрудники, говорят, те, у которых нет полмозга - сидят, мычат, азиатов не обижают);
- Rapid7 Vibranium - поддержка и защита чернокожих и латиноамериканцев;
- и, наконец, Rapid7 Pride - поддержка и защита сообщества LGBTQIA+.

Мы вот долго думали, что за буквы I и A прибавились к аббревиатуре LGBTQ+. Вдумчиво покурили. Оказалось, что I - это интерсекс (гермафродиты по-простому), а A - это асексуалы.

Кто может угнетать и преследовать асексуалов - мы решительно не понимаем. Типа как асексуал ходит по офису и говорит "не хочу сношаться", а за ним толпой ходят харассеры с воплями "ну, потрахайся же"?! Что вообще происходит в этом нашем инфосеке?!!!

Несмотря на множество негативных последствий, которые наступили для IT отрасли в общем и для инфосека в частности после введения рядом западных стран и компаний в 2022 году различного рода санкций и ограничений, есть моменты и положительные.

И, в первую очередь, они касаются вопросов импортозамещения ряда ключевого для информационной безопасности ПО.

Так, к февралю 2022 года около 60% SIEM, стоявших у российских компаний, были иностранного производства. Лидеры - Splunk, IBM, Micro Focus. Однако после начала СВО иностранные вендоры начали постепенно отваливаться, а дополнительный стимул поддал 250-й Указ о допмерах по обеспечению информационной безопасности РФ. Хотя, если честно, тот же Splunk начал выеживаться сильно раньше, году в 2018 еще, если нам склероз не изменяет.

Естественно, что отечественные компании были вынуждены переходить на MaxPatrol, KUMA или RuSIEM.

Из последних больших внедрений - Solar JSOC принял в боевую эксплуатацию Kaspersky Unified Monitoring and Analysis Platform (KUMA). На пилоте, насколько нам известно, стоят и MaxPatrol с RuSIEM. А прикрывает их всех Космос Elastic.

И это хорошо. Ауммммм.

В последнее время в мире вредоносного ПО прослеживается интересная тенденция, когда малварь в корни меняет свое предназначение.

Собственно такой тенденции последовал троян QBot на базе которого обнаружена новая кампания QakNote, использующая вредоносные вложения Microsoft OneNote.

QBot, ранее являвшийся банковским трояном, превратился во вредоносное ПО, которое специализируется на получении первоначального доступа для кражи данных, развертывания программ-вымогателей и других вредоносных действий.

Использование вложений OneNote в фишинговых электронных письмах появились в прошлом месяце как новый вектор атаки для замены вредоносных макросов в документах Office, которые Microsoft отключила еще в июле 2022 года, оставив злоумышленникам меньше возможностей для маневра с исполнением кода на целевых устройствах.

Эти вложения могут содержать файлы практически любого типа, включая вложения VBS или файлы LNK, которые могут выполняться, когда пользователь дважды нажмет на встроенное вложение в OneNote.

Чтобы заразить устройство, злоумышленники используют социальную инженерию, дабы убедить пользователей запустить вложение для просмотра файла.

Сами файлы содержат встроенное HTML-приложение (файл HTA), которое извлекает полезную нагрузку вредоносного ПО QBot.

Скрипт в файле HTA загружает малварь в папку C:\ProgramData и запускает его с помощью Rundll32.exe. Полезная нагрузка внедряется в диспетчер вспомогательных технологий Windows, чтобы избежать обнаружения антивирусными инструментами.

Специалисты из Sophos сообщают, что операторы QBot используют два метода для распространения файлов HTA: через электронные письма со встроенной ссылкой на заряженный файл .one и через потоковые инъекции.

Последний метод представляет собой сложную технику, когда операторы QBot захватывают существующие потоки электронной почты и отправляют сообщение «ответить всем» с вредоносным файлом блокнота OneNote в качестве вложения.

Чтобы сделать эти атаки еще более изощрёнными, злоумышленники используют фальшивую кнопку в файле Notebook, которая якобы загружает документ из облака, но вместо этого запускает встроенное вложение HTA.

В качестве защиты от нового вектора атаки Sophos предлагает блокировать все файлы с расширением .one, поскольку они обычно не отправляются в виде вложений.

Несмотря на то, что запуск вложения приведет к появлению диалогового окна с соответствующим предупреждением, но как показывает практика подобные предупреждения жертвой обычно игнорируются, собственно на то и расчет.

👨🏻‍💻 Веб-маяки на сайтах и в электронной почте.

🖖🏻 Приветствую тебя user_name.

• Ты когда-нибудь задумывался над тем, по какому принципу нам показывают таргетированную рекламу? Почему, даже ничего не лайкая во время сёрфинга ты, возвращаясь в любимую социальную сеть, видишь рекламу, связанную с посещёнными тобой сайтами? И кто заинтересован в том, чтобы отслеживать пользователей?

• Веб маяк («web beacon», или «1x1 pixel image») — это крошечная или прозрачная картинка, которая встраивается в страницу и используется для отслеживания действий пользователей. Такие невидимые маяки могут использоваться не только для веб аналитики, но и для сбора агрегированной информации с целью продажи её сторонним сайтам, для построения социальных графов.

• В этой статье эксперты Лаборатории Касперского расскажут, что такое веб-маяки (web beacons, web bugs, трекинговые пиксели), какие компании, как и для чего используют их на веб-сайтах и в электронной почте.

🧷 Читать статью.

S.E. ▪️ S.E.Relax ▪️ infosec.work ▪️ #ИБ

Что касается некоторых фактологических ошибок в нашем вчерашнем посте про Solar JSOC.

Мы специально оставили их в тексте, чтобы враг не догадался как наносить ущерб информационной безопасности Российской Федерации. Потому что Solar JSOC - это объект критической информационной инфраструктуры.

Все согласно требованиям Приказа ФСБ № 457.