BleepingComputer сообщает, что в дарквебе появилась в продаже база данных пользователей Facebook, ранее замеченная в открытом доступе известным исследователем Бобом Дьяченко.
Тогда провайдер оперативно отключил сервер, на котором хранились сведения, а Дьяченко предположил, что это была украденная хакерами информация Facebook, которую просто плохо сконфигурировали.
БД содержала более чем 267 млн. записей о пользователях Facebook, включающих имя пользователя, его телефон, адрес электронной почты и идентификатор социальной сети.
Сейчас же исследователи инфосек компании Cyble нашли ее в продаже в дарквебе и на хакерских форумах всего за 500 фунтов стерлингов.
О, эти известные золотые стандарты информационной безопасности Facebook. Цукерберг, кажется, слил и продал уже все пользовательские данные, которые только можно слить или продать.
Тогда провайдер оперативно отключил сервер, на котором хранились сведения, а Дьяченко предположил, что это была украденная хакерами информация Facebook, которую просто плохо сконфигурировали.
БД содержала более чем 267 млн. записей о пользователях Facebook, включающих имя пользователя, его телефон, адрес электронной почты и идентификатор социальной сети.
Сейчас же исследователи инфосек компании Cyble нашли ее в продаже в дарквебе и на хакерских форумах всего за 500 фунтов стерлингов.
О, эти известные золотые стандарты информационной безопасности Facebook. Цукерберг, кажется, слил и продал уже все пользовательские данные, которые только можно слить или продать.
BleepingComputer
267 million Facebook profiles sold for $600 on the dark web
Threat actors are selling over 267 million Facebook profiles for £500 ($623) on dark web sites and hacker forums. While none of these records include passwords, they do contain information that could allow attackers to perform spear phishing or SMS attacks…
ZDNet сообщает, что APT Winnti, вероятно, нацелилась на производителя известной корейской онлайн-игры Ragnarok Online.
Данный вывод сделан из отчета немецкой инфосек компании QuoIntelligence, которая исследовав выявленный в конце февраля образец дроппера, предположительно принадлежащего Winnti, выявила в нем строку "0x1A0: "GRAVITY".
Проведя мозговой штурм, исследователи из Франкфурта-на-Майне пришли к выводу, что эта строчка относится к южнокорейской компании Gravity Co., Ltd, производителя Ragnarok Online.
Тут сразу надо дать пояснения.
Вот мы беглым поиском нашли кроме корейского производителя онлайн-игр еще и американскую компанию Gravity Payments, осуществляющую денежные переводы и имевшую в 2018 году оборот в 10,2 млрд. долларов. А также компанию Gravity Industries, производителя джетпаков.
Почему же немцы не предположили, что китайцев (а Winnti - это китайская APT) заинтересовали, например, технологии производства джетпаков?
А вот почему. Исследователи из QuoIntelligence уверены, что Winnti и APT41 это одна и та же группа. А уже APT41 действительно, по некоторым данным, специализировалась на производителях видеоигр. Между тем, это совсем не факт.
Некоторые инфосек вендоры, например ESET, допускали, что Winnti в той или иной мере ассоциированы с APT41. А тот же FireEye считает, что это разные группы и именует APT41 как DoubleDragon.
Но новость уже разошлась и все пишут, что Winnti aka APT41 атакует Ragnarok Online.
Вот такая она, эта индустрия инфосек новостей.
А мы, пожалуй, следующими рассмотрим как раз APT41 и Winnti. Тем более, что они в последнее время достаточно активны.
#APT #Winnti #APT41
Данный вывод сделан из отчета немецкой инфосек компании QuoIntelligence, которая исследовав выявленный в конце февраля образец дроппера, предположительно принадлежащего Winnti, выявила в нем строку "0x1A0: "GRAVITY".
Проведя мозговой штурм, исследователи из Франкфурта-на-Майне пришли к выводу, что эта строчка относится к южнокорейской компании Gravity Co., Ltd, производителя Ragnarok Online.
Тут сразу надо дать пояснения.
Вот мы беглым поиском нашли кроме корейского производителя онлайн-игр еще и американскую компанию Gravity Payments, осуществляющую денежные переводы и имевшую в 2018 году оборот в 10,2 млрд. долларов. А также компанию Gravity Industries, производителя джетпаков.
Почему же немцы не предположили, что китайцев (а Winnti - это китайская APT) заинтересовали, например, технологии производства джетпаков?
А вот почему. Исследователи из QuoIntelligence уверены, что Winnti и APT41 это одна и та же группа. А уже APT41 действительно, по некоторым данным, специализировалась на производителях видеоигр. Между тем, это совсем не факт.
Некоторые инфосек вендоры, например ESET, допускали, что Winnti в той или иной мере ассоциированы с APT41. А тот же FireEye считает, что это разные группы и именует APT41 как DoubleDragon.
Но новость уже разошлась и все пишут, что Winnti aka APT41 атакует Ragnarok Online.
Вот такая она, эта индустрия инфосек новостей.
А мы, пожалуй, следующими рассмотрим как раз APT41 и Winnti. Тем более, что они в последнее время достаточно активны.
#APT #Winnti #APT41
ZDNet
Chinese hackers targeted company behind 'Ragnarok Online' MMORPG
Security firm finds new Chinese malware aimed at the Gravity game maker's network. Unclear if the attempted intrusion succeeded.
Спасибо всем, кто отозвался и прислал отчет Blackberry "Decade of the RATs. Novel Cross-Platform APT Attacks Targeting Linux, Windows and Android".
Будем почитать.
Будем почитать.
Появились новости, что северокорейские хакеры проводят фишинг на высокопоставленных дипломатических работников (подробностей нет).
Один из используемых фейковых сайтов - kaspersky-pro(.)com
https://twitter.com/issuemakerslab/status/1252605779942584321
Один из используемых фейковых сайтов - kaspersky-pro(.)com
https://twitter.com/issuemakerslab/status/1252605779942584321
Twitter
IssueMakersLab
North Korea's RGB-D5 used Google Drive phishing to attack key figures in diplomatic organizations. They are believed to have been exploited by various servers, one of which is kaspersky-pro(.)com.
И еще один алерт.
Последние часы кто-то активно распространяет в Твиттере слухи о якобы имевшем место взломе ресурсов Всемирной организации здравоохранения, фонда Gates Foundation Билла Гейтса и Уханьской лаборатории.
При этом в качестве "доказательств" прикладываются выборки из старых дампов. Ждем "обжыгающей правды"?
Смотрите внимательно, вполне возможно, что скоро и в нашем уютном Телеграмчике скоро появится. Если что - можете смело ссылаться на этот пост.
https://twitter.com/campuscodi/status/1252583490736066561
Последние часы кто-то активно распространяет в Твиттере слухи о якобы имевшем место взломе ресурсов Всемирной организации здравоохранения, фонда Gates Foundation Билла Гейтса и Уханьской лаборатории.
При этом в качестве "доказательств" прикладываются выборки из старых дампов. Ждем "обжыгающей правды"?
Смотрите внимательно, вполне возможно, что скоро и в нашем уютном Телеграмчике скоро появится. Если что - можете смело ссылаться на этот пост.
https://twitter.com/campuscodi/status/1252583490736066561
Кстати говоря, когда мы готовили пост про активность индийской группы APT-C-09, она же Patchwork, мы совершенно упустили из виду то, с чего начали ее рассмотрение.
А именно, фишинговую атаку на китайские ресурсы, использующую тему COVID-19, про которую Malwarebytes упомянули в своем отчете.
Информации про эту киберкомпанию индийских хакеров крайне мало. Достоверно известно лишь, что она стартовала в начале февраля и использовала документы на китайском языке под видом информационных писем китайских медицинских организаций.
А в письме файл .xls, а в файле подгружаемый скрипт, а скрипт подгружает бэкдор̶,̶ ̶а̶ ̶в̶ ̶н̶е̶м̶ ̶я̶й̶ц̶о̶,̶ ̶а̶ ̶в̶ ̶я̶й̶ц̶е̶ ̶и̶г̶л̶а̶... Все, как обычно, короче.
Нам интересно не это. Предыдущие операции APT-C-09 показывают, что группа работает определенно в интересах госорганов Индии. То есть ее активность спланирована и имеет четкую цель.
Конечно, использование APT-C-09 темы в своем фишинге COVID-19 могло быть ситуативным, как наиболее хайповой темы в Китае на тот момент. А могло быть и по другому - индийцы пытались добраться до ресурсов китайских медицинских ведомств. Это означает, что индийская разведка всерьез озаботилась вопросом коронавируса еще в начале февраля, раньше других.
К сожалению, данных об адресатах февральского фишинга APT-C-09 в доступности нет. Поэтому мы можем только гадать, но точно узнаем вряд ли.
#APT #APTC09 #Patchwork
А именно, фишинговую атаку на китайские ресурсы, использующую тему COVID-19, про которую Malwarebytes упомянули в своем отчете.
Информации про эту киберкомпанию индийских хакеров крайне мало. Достоверно известно лишь, что она стартовала в начале февраля и использовала документы на китайском языке под видом информационных писем китайских медицинских организаций.
А в письме файл .xls, а в файле подгружаемый скрипт, а скрипт подгружает бэкдор̶,̶ ̶а̶ ̶в̶ ̶н̶е̶м̶ ̶я̶й̶ц̶о̶,̶ ̶а̶ ̶в̶ ̶я̶й̶ц̶е̶ ̶и̶г̶л̶а̶... Все, как обычно, короче.
Нам интересно не это. Предыдущие операции APT-C-09 показывают, что группа работает определенно в интересах госорганов Индии. То есть ее активность спланирована и имеет четкую цель.
Конечно, использование APT-C-09 темы в своем фишинге COVID-19 могло быть ситуативным, как наиболее хайповой темы в Китае на тот момент. А могло быть и по другому - индийцы пытались добраться до ресурсов китайских медицинских ведомств. Это означает, что индийская разведка всерьез озаботилась вопросом коронавируса еще в начале февраля, раньше других.
К сожалению, данных об адресатах февральского фишинга APT-C-09 в доступности нет. Поэтому мы можем только гадать, но точно узнаем вряд ли.
#APT #APTC09 #Patchwork
Telegram
SecAtor
Продолжаем наши расследования деятельности крупных хакерских групп, они же APT.
В прошлый раз мы обсуждали индийскую APT-C-09 aka Patchwork. А сегодня рассмотрим ее конкретные операции.
В декабре 2015 года Patchwork развернула большую кампанию, которая…
В прошлый раз мы обсуждали индийскую APT-C-09 aka Patchwork. А сегодня рассмотрим ее конкретные операции.
В декабре 2015 года Patchwork развернула большую кампанию, которая…
Наткнулись на краткий обзор 10 самых известных вирусов за последние 30 лет от Panda Security.
Ничего особенно нового, но если кто-то не слышал про Win95.CIH (а тут такие есть вообще?) - можно потратить 5 минут на прочтение.
Другим же можно просто поностальгировать.
Ничего особенно нового, но если кто-то не слышал про Win95.CIH (а тут такие есть вообще?) - можно потратить 5 минут на прочтение.
Другим же можно просто поностальгировать.
Panda Security Mediacenter
30 years of cyberattacks: from Barrotes to WannaCry
Panda Security takes a look at some of the cyberattacks that have made an impact over the last 30 years, on the occasion of our 30th anniversary.
Румынские анивирусники Bitdefender сообщили о том, что выявили серию фишинговых атак, которые, судя по всему, были связаны с проведением в середине апреля консультаций между ОПЕК+ и группой нефтедобывающих стран по ограничению добычи нефти.
Первая фишинговая кампания началась 31 марта и была нацелена на ряд производителей нефти из Малайзии, Ирана и США. Вторая серия кибератак была направлена на несколько филлипинских компаний, специализирующихся на доставке нефти с помощью танкеров.
Обе кампании были хорошо подготовлены, атаковавшие использовали профессиональный сленг и правильную структуру сообщений, чтобы заинтересовать потенциальных жертв. Так, в одном из случае фишинговые письма рассылались от имени египетской нефтеинжиниринговой фирмы ENPPI.
И в обеих кампаниях конечной целью было подсадить в систему жертвы Agent Tesla, который одновременно имеет функции инфостиллера и RAT.
Как всегда задаемся вопросом - кто мог быть бенефициаром этой интересной кибероперации. На поверхности лежит очевидный ответ - прогосударственная APT, желающая добыть информацию о намерениях участников сделки для получения переговорных преимуществ.
Однако, мы склоняемся к более оригинальной версии. Судя по тому, что один из векторов атаки был направлен на танкерные компании, за атаками стоит коммерческая хакерская группировка, действующая в интересах крупного биржевого игрока.
Потому что знание инсайдов нефтяных переговоров и состояния танкерного парка может помочь поднять много бабла. А там, где много бабла, там и хакеры ко двору.
Первая фишинговая кампания началась 31 марта и была нацелена на ряд производителей нефти из Малайзии, Ирана и США. Вторая серия кибератак была направлена на несколько филлипинских компаний, специализирующихся на доставке нефти с помощью танкеров.
Обе кампании были хорошо подготовлены, атаковавшие использовали профессиональный сленг и правильную структуру сообщений, чтобы заинтересовать потенциальных жертв. Так, в одном из случае фишинговые письма рассылались от имени египетской нефтеинжиниринговой фирмы ENPPI.
И в обеих кампаниях конечной целью было подсадить в систему жертвы Agent Tesla, который одновременно имеет функции инфостиллера и RAT.
Как всегда задаемся вопросом - кто мог быть бенефициаром этой интересной кибероперации. На поверхности лежит очевидный ответ - прогосударственная APT, желающая добыть информацию о намерениях участников сделки для получения переговорных преимуществ.
Однако, мы склоняемся к более оригинальной версии. Судя по тому, что один из векторов атаки был направлен на танкерные компании, за атаками стоит коммерческая хакерская группировка, действующая в интересах крупного биржевого игрока.
Потому что знание инсайдов нефтяных переговоров и состояния танкерного парка может помочь поднять много бабла. А там, где много бабла, там и хакеры ко двору.
BleepingComputer
Spearphishing campaigns target oil, gas companies with spyware
Cybercriminals are targeting the oil and gas industry sector with highly targeted spearphishing campaigns impersonating shipment companies and engineering contractors while attempting to infect their targets with Agent Tesla info-stealer malware payloads.
Хьюстон, у нас проблемы!
Исследователи инфосек компании ZecOps сообщили сегодня, что выявили использование в дикой природе двух 0-day уязвимостей, одна из которых позволяет удаленное исполнение кода на всей линейке устройств Apple под управлением iOS. Уязвимы все iPhone и iPad, начиная с iOS 6 (то есть с iPhone 5).
Основную угрозу представляется уязвимость, которая использует переполнение кучи в предустановленном приложении Mail, что позволяет удаленно исполнять код в этом приложении, прислав жертве специально сформированное почтовое сообщение. Таким образом атакующий получает доступ к содержимому электронной почты и может полностью его модифицировать.
Вместе с тем, ZecOps предполагают, что существует еще одна невыявленная уязвимость нулевого дня в ядре ОС, которая в совокупности с дыркой в приложении Mail позволяет получить полный контроль над атакуемым устройством.
Особую опасность выявленной 0-day уязвимости представляет то, что в iOS 13 ее можно использовать без какого-либо действия со стороны пользователя (т.н. "0-click"), даже в фоновом режиме. В iOS 12 требуется, чтобы пользователь щелкнул по почтовому сообщению.
Более того, в случае использование соответствующего эксплойта жертва не заметит никаких аномалий, кроме возможного временного замедления работы почтового приложения на iOS 12. Присланные вредоносные сообщения злоумышленник, как правило, удаляет после удачной атаки.
ZecOps утверждают, что атаки с использованием этих уязвимостей происходят как минимум с января 2018 года, одним из акторов является неустановленная прогосударственная APT.
На данный момент соответствующего апдейта iOS нет, Apple обещает пофиксить дырку в ближайшем обновлении.
Поэтому рекомендации следующие:
- не использовать приложение Mail, а использовать Outlook или Gmail;
- с нетерпением ждать апдейта iOS, по факту его появления сразу обновить устройство.
Исследователи инфосек компании ZecOps сообщили сегодня, что выявили использование в дикой природе двух 0-day уязвимостей, одна из которых позволяет удаленное исполнение кода на всей линейке устройств Apple под управлением iOS. Уязвимы все iPhone и iPad, начиная с iOS 6 (то есть с iPhone 5).
Основную угрозу представляется уязвимость, которая использует переполнение кучи в предустановленном приложении Mail, что позволяет удаленно исполнять код в этом приложении, прислав жертве специально сформированное почтовое сообщение. Таким образом атакующий получает доступ к содержимому электронной почты и может полностью его модифицировать.
Вместе с тем, ZecOps предполагают, что существует еще одна невыявленная уязвимость нулевого дня в ядре ОС, которая в совокупности с дыркой в приложении Mail позволяет получить полный контроль над атакуемым устройством.
Особую опасность выявленной 0-day уязвимости представляет то, что в iOS 13 ее можно использовать без какого-либо действия со стороны пользователя (т.н. "0-click"), даже в фоновом режиме. В iOS 12 требуется, чтобы пользователь щелкнул по почтовому сообщению.
Более того, в случае использование соответствующего эксплойта жертва не заметит никаких аномалий, кроме возможного временного замедления работы почтового приложения на iOS 12. Присланные вредоносные сообщения злоумышленник, как правило, удаляет после удачной атаки.
ZecOps утверждают, что атаки с использованием этих уязвимостей происходят как минимум с января 2018 года, одним из акторов является неустановленная прогосударственная APT.
На данный момент соответствующего апдейта iOS нет, Apple обещает пофиксить дырку в ближайшем обновлении.
Поэтому рекомендации следующие:
- не использовать приложение Mail, а использовать Outlook или Gmail;
- с нетерпением ждать апдейта iOS, по факту его появления сразу обновить устройство.
Jamf
Jamf Threat Labs | Blog
ZDNet составили список ransomware, операторы которых используют новую тактику по публичному размещению конфиденциальных данных жертвы в Интернете, если она отказывается платить выкуп.
Таковых на сегодня журналисты насчитали 9 штук:
- CLOP;
- DOPPELPAYMER;
- MAZE (мы писали про них на днях);
- NEFILIM;
- NEMTY;
- RAGNALOCKER (и про них недавно писали);
- SODINOKIBI (про этих вообще куча постов);
- SEKHMET;
- SNATCH.
С учетом того, что пару месяцев назад таковых насчитывалось ровно пять, новая тактика вымогательства стала весьма популярной и берется на вооружение все большим количеством операторов ransomware.
Вангуем, что в ближайшее время их станет еще больше. И, если что, с этими негодяями придется договариваться. Потому что эффективного механизма противодействия пока не имеется.
Таковых на сегодня журналисты насчитали 9 штук:
- CLOP;
- DOPPELPAYMER;
- MAZE (мы писали про них на днях);
- NEFILIM;
- NEMTY;
- RAGNALOCKER (и про них недавно писали);
- SODINOKIBI (про этих вообще куча постов);
- SEKHMET;
- SNATCH.
С учетом того, что пару месяцев назад таковых насчитывалось ровно пять, новая тактика вымогательства стала весьма популярной и берется на вооружение все большим количеством операторов ransomware.
Вангуем, что в ближайшее время их станет еще больше. И, если что, с этими негодяями придется договариваться. Потому что эффективного механизма противодействия пока не имеется.
ZDNET
Here's a list of all the ransomware gangs who will steal and leak your data if you don't pay
Ransomware gangs are getting more aggressive these days about pursuing payments and have begun stealing and threatening to leak sensitive documents if victims don't pay the requested ransom demand.
А у нас, похоже, нарисовался чемпион по скорости реакции на коронавирус среди прогосударственных APT.
Как сообщает FireEye, с января по апрель этого года APT32, также известная под названиями Ocean Lotus, Cobalt Kitty и др., проводила активную фишинговую кампанию, направленную на китайские правительственные органы. FireEye полагает, что атака проводилась в целях сбора информации о COVID-19.
APT32 - это вьетнамская хакерская прокси, работающая, как минимум, с 2014 года и неоднократно замеченная в проведении киберопераций в интересах вьетнамского правительства.
По данным FireEye, фишинговая кампания была ориентирована на китайское МЧС и правительство провинции Хубэй, в которой находился эпицентр заражения коронавирусом город Ухань (FireEye пишет "провинция Ухань", вероятно это ошибка). Первое фишинговое письмо, адресованное в МЧС Китая, было зафиксировано 6 января (!!!).
Вспомните, что вы делали 6 января? Отходили от Нового Года, встречали Рождество, планировали мероприятия на первую рабочую неделю 2020 года. Про COVID-19 никто и слыхом не слыхал. А вьетнамские хакеры уже разворачивали кибероперацию по добыванию информации в отношении вспышки коронавируса. Оперативность реакции поражает.
И вот теперь к тому, что нас крайне беспокоит. Данный случай уже второй, который позволяет предположить, что китайские власти действительно скрывают некую информацию, способную существенно помочь в борьбе с коронавирусом.
Когда мы высказывали эту версию в случае с атаками на китайские государственные ресурсы южнокорейцев из DarkHotel и говорили о возможной связи той кампании с успехами Южной Кореи в борьбе с вирусом, мы, честно говоря, в большей степени занимались конспирологией.
Однако теперь, когда мы смотрим на информацию о деятельности вьетнамских хакеров и на цифры заболевших коронавирусом по Вьетнаму, у нас глаз начинает дергаться.
Знаете сколько всего зараженных в азиатской стране, соседней с Китаем и с не самым высоким уровнем медицины в мире? 268, из которых 224 выздоровели. А умерших нет совсем.
Вот такая хакерская арифметика.
#APT #APT32 #OceanLotus
Как сообщает FireEye, с января по апрель этого года APT32, также известная под названиями Ocean Lotus, Cobalt Kitty и др., проводила активную фишинговую кампанию, направленную на китайские правительственные органы. FireEye полагает, что атака проводилась в целях сбора информации о COVID-19.
APT32 - это вьетнамская хакерская прокси, работающая, как минимум, с 2014 года и неоднократно замеченная в проведении киберопераций в интересах вьетнамского правительства.
По данным FireEye, фишинговая кампания была ориентирована на китайское МЧС и правительство провинции Хубэй, в которой находился эпицентр заражения коронавирусом город Ухань (FireEye пишет "провинция Ухань", вероятно это ошибка). Первое фишинговое письмо, адресованное в МЧС Китая, было зафиксировано 6 января (!!!).
Вспомните, что вы делали 6 января? Отходили от Нового Года, встречали Рождество, планировали мероприятия на первую рабочую неделю 2020 года. Про COVID-19 никто и слыхом не слыхал. А вьетнамские хакеры уже разворачивали кибероперацию по добыванию информации в отношении вспышки коронавируса. Оперативность реакции поражает.
И вот теперь к тому, что нас крайне беспокоит. Данный случай уже второй, который позволяет предположить, что китайские власти действительно скрывают некую информацию, способную существенно помочь в борьбе с коронавирусом.
Когда мы высказывали эту версию в случае с атаками на китайские государственные ресурсы южнокорейцев из DarkHotel и говорили о возможной связи той кампании с успехами Южной Кореи в борьбе с вирусом, мы, честно говоря, в большей степени занимались конспирологией.
Однако теперь, когда мы смотрим на информацию о деятельности вьетнамских хакеров и на цифры заболевших коронавирусом по Вьетнаму, у нас глаз начинает дергаться.
Знаете сколько всего зараженных в азиатской стране, соседней с Китаем и с не самым высоким уровнем медицины в мире? 268, из которых 224 выздоровели. А умерших нет совсем.
Вот такая хакерская арифметика.
#APT #APT32 #OceanLotus
Google Cloud Blog
Vietnamese Threat Actors APT32 Targets Wuhan Government | Google Cloud Blog
Vietnamese threat actors APT32 targets the Chinese Ministry of Emergency Management in the latest example of Covid-19 related espionage.
Голландские исследователи из Tesorion провели анализ кодов двух семейств ransomware Nemty и Nefilim и пришли к выводу, что эти вредоносы являются родственными
Подобные предположения ранее уже высказывались, в частности журналистами Bleeping Computer, однако технических подтверждений не было.
И вот теперь голландцы, проведя анализ, нашли в обоих ransomware куски кода, скомпилированные из практически идентичных исходников. Кроме того, Nemty 2.6 при шифровании игнорирует файлы с расширением Nefilim (обратное, кстати, не верно). А вот Nemty 2.2 такого исключения не содержит.
Nemty и Nefilim содержат еще ряд принципиальных сходств, например, один и тот же список расширений, игнорируемых при шифровании (вплоть до их порядка), а также список игнорируемых каталогов.
Tesorion полагают, что поскольку у этих ransomware разные модели использования (Nemty - Ransomware as a Service, а Nefilim используется под конкретную крупную цель), то Nefilim является дальнейшим концептуальным развитием Nemty. Тем более, что оператор последнего сообщил, что планирует отказаться от модели RaaS.
Кстати, в коде Nefilim нашлась строчка из песни Drip Catcher модного российского исполнителя песен ртом Kizaru. Что еще больше придает этой ransomware сходство с Nemty, авторы которого прописали в коде лирику Скриптонита.
Подобные предположения ранее уже высказывались, в частности журналистами Bleeping Computer, однако технических подтверждений не было.
И вот теперь голландцы, проведя анализ, нашли в обоих ransomware куски кода, скомпилированные из практически идентичных исходников. Кроме того, Nemty 2.6 при шифровании игнорирует файлы с расширением Nefilim (обратное, кстати, не верно). А вот Nemty 2.2 такого исключения не содержит.
Nemty и Nefilim содержат еще ряд принципиальных сходств, например, один и тот же список расширений, игнорируемых при шифровании (вплоть до их порядка), а также список игнорируемых каталогов.
Tesorion полагают, что поскольку у этих ransomware разные модели использования (Nemty - Ransomware as a Service, а Nefilim используется под конкретную крупную цель), то Nefilim является дальнейшим концептуальным развитием Nemty. Тем более, что оператор последнего сообщил, что планирует отказаться от модели RaaS.
Кстати, в коде Nefilim нашлась строчка из песни Drip Catcher модного российского исполнителя песен ртом Kizaru. Что еще больше придает этой ransomware сходство с Nemty, авторы которого прописали в коде лирику Скриптонита.
Tesorion Cybersecurity Solutions
Exploring the link between Nemty and Nefilim » Tesorion Cybersecurity Solutions
Новый скандал с двойными стандартами Facebook.
Как известно, социальная сеть включилась в активную борьбу с распространением ложной информации о коронавирусе. "Мы убрали сотни тысяч фрагментов дезинформации, связанных с COVID-19" - заявил Цукерберг.
Однако некоммерческий проект The MarkUp выяснил, что несмотря на грозную риторику, про бабло Facebook не забывает. Так, в категорию "любители псевдонауки" социальная сеть записала аж 78 млн. пользователей. А потом продавала рекламу, ориентированную на этих людей.
И только в понедельник, после обращения The MarkUp, представитель компании сообщил, что Facebook исключили эту категорию интересов из рекламной выдачи. Насколько это соответствует реальности - пока непонятно.
А журналисты вспомнили, что в 2019 году Цукерберга ловили на рекламной категории пользователей "любители теории заговоров" и "противники вакцин". А в 2017 году у Facebook была рекламная группа "ненавистник евреев".
Те они еще поборники морали, эти крупные бизнесмены.
Как известно, социальная сеть включилась в активную борьбу с распространением ложной информации о коронавирусе. "Мы убрали сотни тысяч фрагментов дезинформации, связанных с COVID-19" - заявил Цукерберг.
Однако некоммерческий проект The MarkUp выяснил, что несмотря на грозную риторику, про бабло Facebook не забывает. Так, в категорию "любители псевдонауки" социальная сеть записала аж 78 млн. пользователей. А потом продавала рекламу, ориентированную на этих людей.
И только в понедельник, после обращения The MarkUp, представитель компании сообщил, что Facebook исключили эту категорию интересов из рекламной выдачи. Насколько это соответствует реальности - пока непонятно.
А журналисты вспомнили, что в 2019 году Цукерберга ловили на рекламной категории пользователей "любители теории заговоров" и "противники вакцин". А в 2017 году у Facebook была рекламная группа "ненавистник евреев".
Те они еще поборники морали, эти крупные бизнесмены.
themarkup.org
Want to Find a Misinformed Public? Facebook’s Already Done It – The Markup
While vowing to police COVID-19 misinformation on its platform, Facebook let advertisers target users interested in “pseudoscience”
Фонд свободы прессы (FPF) сравнил 13 приложений для видеоконференций с целью выяснить, какое из них является более безопасным и конфиденциальным.
Оценка проводилась по 4 параметрам:
- поддержка сквозного шифрования;
- поддержка приватного размещения;
- требуется ли аккаунт для того, чтобы присоединиться к встрече;
- как много людей могут присоединиться к встрече.
Сквозное шифрование поддерживает только половина из них, а self-hosting есть у лишь трех приложений. А часть хранит те или иные пользовательские данные на своих серверах.
Короче, можете сами решить, что вам больше подойдет.
Оценка проводилась по 4 параметрам:
- поддержка сквозного шифрования;
- поддержка приватного размещения;
- требуется ли аккаунт для того, чтобы присоединиться к встрече;
- как много людей могут присоединиться к встрече.
Сквозное шифрование поддерживает только половина из них, а self-hosting есть у лишь трех приложений. А часть хранит те или иные пользовательские данные на своих серверах.
Короче, можете сами решить, что вам больше подойдет.
Apple демонстрирует искусство PR с человеческим лицом (все по заветам г-на Грефа). А точнее как не надо реагировать на инциденты информационной безопасности если ты крупная компания.
Напомним, что два дня назад инфосек компания ZecOps заявила об использовании в дикой природе двух 0-day уязвимостей в яблочном приложении Mail, позволяющих полностью контролировать переписку атакованного пользователя на всей линейке устройств iPad и iPhone.
ZecOps сообщила, что зафиксировала использование эксплойтов в отношении:
- сотрудников американских компаний из списка Fortune 500;
- директора компании -перевозчика из Японии;
- немецкий VIP;
- MSSP (Managed Security Service Provider) из Саудовской Аравии и Израиля;
- европейский журналист;
- а также подозрение на взлом руководителя одной из швейцарских компаний.
На это Apple отвечает как и ожидалось - "я не я и корова не моя". А точнее, так - "Мы изучили отчет ZecOps и пришли к выводу, что выявленные ошибки угрозы пользователям не представляют. В ближайших обновлениях мы их закроем."
ZecOps же обещают выложить больше технической информации об ошибках и фактах их использования после выхода патча.
Так что расслабляться не следует. Все говорит о том, что Apple просто отмораживается.
Напомним, что два дня назад инфосек компания ZecOps заявила об использовании в дикой природе двух 0-day уязвимостей в яблочном приложении Mail, позволяющих полностью контролировать переписку атакованного пользователя на всей линейке устройств iPad и iPhone.
ZecOps сообщила, что зафиксировала использование эксплойтов в отношении:
- сотрудников американских компаний из списка Fortune 500;
- директора компании -перевозчика из Японии;
- немецкий VIP;
- MSSP (Managed Security Service Provider) из Саудовской Аравии и Израиля;
- европейский журналист;
- а также подозрение на взлом руководителя одной из швейцарских компаний.
На это Apple отвечает как и ожидалось - "я не я и корова не моя". А точнее, так - "Мы изучили отчет ZecOps и пришли к выводу, что выявленные ошибки угрозы пользователям не представляют. В ближайших обновлениях мы их закроем."
ZecOps же обещают выложить больше технической информации об ошибках и фактах их использования после выхода патча.
Так что расслабляться не следует. Все говорит о том, что Apple просто отмораживается.
ZDNET
Apple disputes recent iOS zero-day claim
Apple says it "thoroughly investigated" a recent report about three iOS Mail bugs but "found no evidence they were used against customers."
В сети назревает очередное журналистское расследование, посвященное "страшной правде".
Есть такой журналист Jordan Robertson (@jordanr1000), блеснувший в 2018 году статьей в Bloomberg, в которой раскрыл невероятно коварный заговор китайских производителей чипсетов, "вызвавший дрожь американского разведывательного сообщества".
В своем материале Робертсон рассказал о крошечных микрочипах "размером меньше рисового зернышка", которые солдаты НОАК встраивают в материнские платы, производимые для американской компании Super Micro. А потом эти платы расходятся по серверам Amazon, используемым спецслужбами США, а также по серверам, используемым Apple, в результате чего Китай тайно контролирует всю их деятельность. Все это подавалось со ссылками на многочисленные источники, причастные к расследованию.
От таких откровений охренели, мягко сказать, все. Дошло до того, что и Тим Кук, CEO Apple, и Джефф Безос, владелец и CEO Amazon, дали свои официальные опровержения. Само собой, все отрицали и Super Micro.
Как оказалось, журналистский эксклюзив оказался фейком. Придумал ли эту историю сам Робертсон или он опубликовал непроверенный слив - точно неизвестно.
В 2019 году он получил инфосек премию Pwnie в категории "most over-hyped bug" (с официальной припиской - It seems it was all bullshit), а Bloomberg были награждены за "most epic fail".
Выражение же "рисовое зернышко" (grain of rice) стало крылатым в инфосек сообществе.
И вот, придя в себя после многочисленных ударов злой судьбы (после скандала Робертсон был на время сослан в Отдел погоды), американский расследователь снова занялся журнализмом. По отрасли пошли слухи, что в этот раз чипы "размером с рисовое зернышко" Робертсон решил найти во всех роутерах китайского производства.
Народ закупил попкорн и ждет от Робертсона нового взрывного материала, после которого он точно будет номинирован на Pwnie-2020.
https://twitter.com/craiu/status/1253407417305649153
Есть такой журналист Jordan Robertson (@jordanr1000), блеснувший в 2018 году статьей в Bloomberg, в которой раскрыл невероятно коварный заговор китайских производителей чипсетов, "вызвавший дрожь американского разведывательного сообщества".
В своем материале Робертсон рассказал о крошечных микрочипах "размером меньше рисового зернышка", которые солдаты НОАК встраивают в материнские платы, производимые для американской компании Super Micro. А потом эти платы расходятся по серверам Amazon, используемым спецслужбами США, а также по серверам, используемым Apple, в результате чего Китай тайно контролирует всю их деятельность. Все это подавалось со ссылками на многочисленные источники, причастные к расследованию.
От таких откровений охренели, мягко сказать, все. Дошло до того, что и Тим Кук, CEO Apple, и Джефф Безос, владелец и CEO Amazon, дали свои официальные опровержения. Само собой, все отрицали и Super Micro.
Как оказалось, журналистский эксклюзив оказался фейком. Придумал ли эту историю сам Робертсон или он опубликовал непроверенный слив - точно неизвестно.
В 2019 году он получил инфосек премию Pwnie в категории "most over-hyped bug" (с официальной припиской - It seems it was all bullshit), а Bloomberg были награждены за "most epic fail".
Выражение же "рисовое зернышко" (grain of rice) стало крылатым в инфосек сообществе.
И вот, придя в себя после многочисленных ударов злой судьбы (после скандала Робертсон был на время сослан в Отдел погоды), американский расследователь снова занялся журнализмом. По отрасли пошли слухи, что в этот раз чипы "размером с рисовое зернышко" Робертсон решил найти во всех роутерах китайского производства.
Народ закупил попкорн и ждет от Робертсона нового взрывного материала, после которого он точно будет номинирован на Pwnie-2020.
https://twitter.com/craiu/status/1253407417305649153
Twitter
Costin Raiu
Somewhere, someone is implanting a router into a grain of rice.
Иск Facebook к израильскому инфосек вендору NSO Group примечателен двумя вещами.
Во-первых, не часто происходят суды между крупными ИТ компаниями таких старых геополитических союзников как США и Израиль. Тем более, когда они крайне близки к государственным органам, в том числе спецслужбам.
Во-вторых, в пылу судебной тяжбы обе стороны начинают вываливать на публику вещи, которые в ином случае оказались бы под сукном.
Ну а для нас, как для сторонних наблюдателей, это прекрасный шанс взглянуть на темную изнанку блестящего фасада индустрии информационных технологий и инфосека.
Напомним, что Facebook обвиняет NSO в разработке и продаже спецслужбам разных стран шпионского ПО Pegasus, с помощью которого последние могли взламывать WhatsApp интересующих их лиц.
В прошлый раз в ходе слушаний NSO заявили, что в 2017 году представители Facebook хотели приобрести право на использование некоторых возможностей Pegasus. Тогда Facebook планировали использовать эти механизмы внутри своего VPN-приложения Onavo Protect, которое проводило несанкционированный анализ пользовательского траффика.
Теперь же Facebook сообщили, что технический анализ выявил - в 720 зафиксированных случаях атаки взломанное приложение WhatsApp обращалось на один и тот же сервер, принадлежащий QuadraNet Enterprises LLC, хостинг-провайдеру из Лос-Анджелеса.
Facebook утверждают, что в рамках проекта Pegasus израильтяне получали финансирование от частной инвестиционной компании из Калифорнии и размещали свои управляющие сервера в этом штате. Это было подтверждено договором NSO Group с QuadraNet.
Вот такое прекрасное сетевое настоящее - все шпионят за всеми, да еще и договорами подтверждают. Посмотрим, какие еще темные секреты всплывут в рамках рассмотрения этого иска.
Во-первых, не часто происходят суды между крупными ИТ компаниями таких старых геополитических союзников как США и Израиль. Тем более, когда они крайне близки к государственным органам, в том числе спецслужбам.
Во-вторых, в пылу судебной тяжбы обе стороны начинают вываливать на публику вещи, которые в ином случае оказались бы под сукном.
Ну а для нас, как для сторонних наблюдателей, это прекрасный шанс взглянуть на темную изнанку блестящего фасада индустрии информационных технологий и инфосека.
Напомним, что Facebook обвиняет NSO в разработке и продаже спецслужбам разных стран шпионского ПО Pegasus, с помощью которого последние могли взламывать WhatsApp интересующих их лиц.
В прошлый раз в ходе слушаний NSO заявили, что в 2017 году представители Facebook хотели приобрести право на использование некоторых возможностей Pegasus. Тогда Facebook планировали использовать эти механизмы внутри своего VPN-приложения Onavo Protect, которое проводило несанкционированный анализ пользовательского траффика.
Теперь же Facebook сообщили, что технический анализ выявил - в 720 зафиксированных случаях атаки взломанное приложение WhatsApp обращалось на один и тот же сервер, принадлежащий QuadraNet Enterprises LLC, хостинг-провайдеру из Лос-Анджелеса.
Facebook утверждают, что в рамках проекта Pegasus израильтяне получали финансирование от частной инвестиционной компании из Калифорнии и размещали свои управляющие сервера в этом штате. Это было подтверждено договором NSO Group с QuadraNet.
Вот такое прекрасное сетевое настоящее - все шпионят за всеми, да еще и договорами подтверждают. Посмотрим, какие еще темные секреты всплывут в рамках рассмотрения этого иска.
ZDNet
Facebook-NSO lawsuit: Hundreds of WhatsApp attacks linked to one IP address
Facebook fights to keep the lawsuit on track after NSO filed a motion to dismiss the case earlier this month.
Group IB, которая в очередной раз называет себя "сингапурской компанией по кибербезопасности" (Сачкову надо быть осторожнее, с таким позиционированием и от госконтрактов могут отлучить), вчера сообщила, что обнаружила выставленную на продажу на крупнейшем кардерском ресурсе Jocker's Stash базу данных, содержащую информацию о 400 тысячах платежных банковских карт.
БД продается почти за 2 млн. долларов, по уверениям продавца она валидна на 30-40%. Почти половину составляют южнокорейские карты, еще 49,3% - карты банков США.
Как говорят Group IB, это самый крупный слив данных по платежным картам банков Южной Кореи за последние 8 месяцев.
БД продается почти за 2 млн. долларов, по уверениям продавца она валидна на 30-40%. Почти половину составляют южнокорейские карты, еще 49,3% - карты банков США.
Как говорят Group IB, это самый крупный слив данных по платежным картам банков Южной Кореи за последние 8 месяцев.
Group-IB
South Korean and US payment card details worth nearly $2M up for sale in the underground
Group-IB, a Singapore-based cybersecurity company, has detected a dump containing details for nearly 400,000 payment card records uploaded to a popular darknet cardshop on April 9. The database was comprised almost entirely of the payment records related…
Подъехали новости про передовые британские практики в области приватности пользователей сети.
Как пишет The Register, британская Guardian обнаружила меморандум законопроекта, в котором предлагается добавить в список государственных организаций (на данный момент более 50 агентств), которые могут получать доступ к пользовательским данным без получения судебных ордеров, еще 5 организаций.
Помимо уже присутствующих в списке Агентства по стандартам пищевых продуктов и Комиссии по азартным играм, среди прочих, предлагается дать доступ Агентству окружающей среды и Пенсионному фонду.
Ну то есть, Пенсионному фонду позарез необходимо видеть траффик британских пользователей, перлюстрировать их электронную переписку и слушать телефонные переговоры.
В самой Британии по этому поводу поднялся большой шум, но, скорее всего, законодательную инициативу продавят.
Правда, неохваченными остаются еще Профсоюз сантехников Уэльса и Шотландии и некоммерческий фонд "Свет ангельских сердец". Этим дадут доступ в следующий раз.
Как говорится, VPN - залог здоровья.
Как пишет The Register, британская Guardian обнаружила меморандум законопроекта, в котором предлагается добавить в список государственных организаций (на данный момент более 50 агентств), которые могут получать доступ к пользовательским данным без получения судебных ордеров, еще 5 организаций.
Помимо уже присутствующих в списке Агентства по стандартам пищевых продуктов и Комиссии по азартным играм, среди прочих, предлагается дать доступ Агентству окружающей среды и Пенсионному фонду.
Ну то есть, Пенсионному фонду позарез необходимо видеть траффик британских пользователей, перлюстрировать их электронную переписку и слушать телефонные переговоры.
В самой Британии по этому поводу поднялся большой шум, но, скорее всего, законодательную инициативу продавят.
Правда, неохваченными остаются еще Профсоюз сантехников Уэльса и Шотландии и некоммерческий фонд "Свет ангельских сердец". Этим дадут доступ в следующий раз.
Как говорится, VPN - залог здоровья.
The Register
Why should the UK pensions watchdog be able to spy on your internet activities? Same reason as the Environment Agency and many…
Extraordinary surveillance powers set to be injected into govt orgs
В классификации APT сам Джигурда ногу сломит. Поскольку точно подтвержденных данных в наличие у инфосек вендоров немного, то при рассмотрении крупных хакерских групп, используемых ими инструментов и осуществляемых ими операций многие отпускают свою фантазию на волю.
В качестве примера – очевидно, что каждая хакерская группа не будет использовать исключительно эксклюзивный инструментарий. Нет, безусловно такой присутствует и в достаточном количестве. Но очень часто бывают и пересечения, часть вредоносов свободно распространяется или продается на хакерских форумах, часть эксплойтов циркулирует в приватах и реализуется за большие деньги и т.д. и т.п.
Тем не менее, периодически встречаются умозаключения экспертов типа «группа X использует вредонос Y, и группа Z использует вредонос Y, значит X=Z». А исходники вредоноса Y при этом валяются на GitHub. Мы сейчас не шутим, это реальный случай.
Другим интересным моментом является тот факт, что, как правило, инфосек вендоры не делятся промежуточными результатами своих расследований. А расследования эти долгие, не один месяц. Вот и получается, что когда все публикуют отчеты, то одна и та же APT или ее кибероперация внезапно становится и Лазурной Пандой, и Кристальным Мустангом, да еще и какой-нибудь Медузой в придачу.
Из-за всего этого и создается существенная путаница в названиях APT и приписываемых им деяниях.
Поэтому же существует и смешение между двумя группами – Winnti и APT41. И мы попробуем разобраться, в чем же дело.
Начнем с APT41 aka Double Dragon.
Но сначала дадим определение одному из ключевых терминов: TTP (Tactics, Techniques and Procedures) – подход к анализу деятельности APT, используемый также для их профилирования. Сравнивая различные TTPs, используемые при кибератаке, можно с большей или меньшей степенью достоверностью привязать ее к той или иной APT.
Активность APT41 отмечается с 2012 года. Основная (но далеко не единственная) используемая технология – целевой фишинг. Предполагается, что группа является коммерческой, но в то же время активно сотрудничает с китайскими государственными органами, проводя кибероперации в их интересах. Совмещение коммерческой и государственной составляющих, которое, как мы понимаем, в КНР не приветствуется ни в одной из сфер жизни, выделяет Double Dragon среди других китайских акторов.
Кампании APT41 были ориентированы на отрасли здравоохранения, телекоммуникаций и высоких технологий, медиа и пр., а также, само собой, государственные и политические структуры. Параллельно с этим группа проводила коммерческие атаки на производителей видеоигр в целях манипуляции с кибервалютой и развертывала сети криптомайнеров. Причем нацеленность на видеоигры является одной из превалирующих характеристик APT41.
Целями группы являлись организации в более чем 10 странах – США, Великобритании, Франции, Италии, Японии, Южной Корее, Сингапуре, Тайланде, ЮАР и др.
Группа очень талантлива и активна. Анализ TTPs, которые она применяла в различных операциях, с большой долей вероятности указывает на то, что группа изначально была именно коммерческой. И уже потом китайские спецслужбы приколотили ей уши. Так, некоторые уникальные приемы были разработаны и опробованы APT41 в более ранних коммерческих атаках, а позже использовались в кампаниях, связанных с кибершпионажем.
Предположительно сращивание APT41 с китайскими государственными структурами произошло в 2014 году. Интересно, конечно, было бы поглядеть на китайские новости борьбы с хакерами за тот период, может быть и всплыла бы какая новость о пресечении деятельности местной хакерской группы. Но мы, к сожалению, китайским не владеем.
Что касается конкретных атак APT41, то их просто огромное количество. И несмотря на то, что мы не будем рассматривать их все, а хотим остановиться на самых интересных, вместить все в один и даже в два поста не представляется возможным.
Поэтому рассмотрим кибероперации Double Dragon в следующий раз.
#APT #APT41 #DoubleDragon
В качестве примера – очевидно, что каждая хакерская группа не будет использовать исключительно эксклюзивный инструментарий. Нет, безусловно такой присутствует и в достаточном количестве. Но очень часто бывают и пересечения, часть вредоносов свободно распространяется или продается на хакерских форумах, часть эксплойтов циркулирует в приватах и реализуется за большие деньги и т.д. и т.п.
Тем не менее, периодически встречаются умозаключения экспертов типа «группа X использует вредонос Y, и группа Z использует вредонос Y, значит X=Z». А исходники вредоноса Y при этом валяются на GitHub. Мы сейчас не шутим, это реальный случай.
Другим интересным моментом является тот факт, что, как правило, инфосек вендоры не делятся промежуточными результатами своих расследований. А расследования эти долгие, не один месяц. Вот и получается, что когда все публикуют отчеты, то одна и та же APT или ее кибероперация внезапно становится и Лазурной Пандой, и Кристальным Мустангом, да еще и какой-нибудь Медузой в придачу.
Из-за всего этого и создается существенная путаница в названиях APT и приписываемых им деяниях.
Поэтому же существует и смешение между двумя группами – Winnti и APT41. И мы попробуем разобраться, в чем же дело.
Начнем с APT41 aka Double Dragon.
Но сначала дадим определение одному из ключевых терминов: TTP (Tactics, Techniques and Procedures) – подход к анализу деятельности APT, используемый также для их профилирования. Сравнивая различные TTPs, используемые при кибератаке, можно с большей или меньшей степенью достоверностью привязать ее к той или иной APT.
Активность APT41 отмечается с 2012 года. Основная (но далеко не единственная) используемая технология – целевой фишинг. Предполагается, что группа является коммерческой, но в то же время активно сотрудничает с китайскими государственными органами, проводя кибероперации в их интересах. Совмещение коммерческой и государственной составляющих, которое, как мы понимаем, в КНР не приветствуется ни в одной из сфер жизни, выделяет Double Dragon среди других китайских акторов.
Кампании APT41 были ориентированы на отрасли здравоохранения, телекоммуникаций и высоких технологий, медиа и пр., а также, само собой, государственные и политические структуры. Параллельно с этим группа проводила коммерческие атаки на производителей видеоигр в целях манипуляции с кибервалютой и развертывала сети криптомайнеров. Причем нацеленность на видеоигры является одной из превалирующих характеристик APT41.
Целями группы являлись организации в более чем 10 странах – США, Великобритании, Франции, Италии, Японии, Южной Корее, Сингапуре, Тайланде, ЮАР и др.
Группа очень талантлива и активна. Анализ TTPs, которые она применяла в различных операциях, с большой долей вероятности указывает на то, что группа изначально была именно коммерческой. И уже потом китайские спецслужбы приколотили ей уши. Так, некоторые уникальные приемы были разработаны и опробованы APT41 в более ранних коммерческих атаках, а позже использовались в кампаниях, связанных с кибершпионажем.
Предположительно сращивание APT41 с китайскими государственными структурами произошло в 2014 году. Интересно, конечно, было бы поглядеть на китайские новости борьбы с хакерами за тот период, может быть и всплыла бы какая новость о пресечении деятельности местной хакерской группы. Но мы, к сожалению, китайским не владеем.
Что касается конкретных атак APT41, то их просто огромное количество. И несмотря на то, что мы не будем рассматривать их все, а хотим остановиться на самых интересных, вместить все в один и даже в два поста не представляется возможным.
Поэтому рассмотрим кибероперации Double Dragon в следующий раз.
#APT #APT41 #DoubleDragon
В последнее время было множество новостей о дырках в сервисе видеоконфереций ZOOM. Но, как выясняется, его конкуренты тоже не отстают.
В корпоративной платформе Microsoft Teams, которую мелкомягкие продвигают как альтернативу небезопасному ZOOM, исследователи из CyberArk выявили уязвимость, связанную с механизмом обработки изображений .GIF. Ошибке подвержены приложение для десктопа, а также версия для веб.
Ресерчеры выяснили, что в процессе доставки изображений Microsoft Teams использует два токена аутентификации "authtoken" и "skypetoken", второй генерится при помощи первого и с его помощью можно перехватить учетную запись Microsoft Teams.
А токен "authtoken" можно получить совершив атаку на поддомены "teams .microsoft .com". И два таких поддомена CyberArk нашли - это "aadsync-test .teams .microsoft .com" и "data-dev .teams .microsoft .com".
Теперь злоумышленникам осталось бы взять под контроль один из этих поддоменов и направить пользователю Microsoft Teams изображение-приманку, при загрузке которого приложение отправит "authtoken" на скомпрометированный поддомен. А уже дальше сгенерировать "skypetoken", с помощью которого угнать учетку Microsoft Teams.
Как сообщают CyberArk, они передали все данные в Microsoft и те устранили уязвимость, включая неверную настройку домена "teams .microsoft .com".
В корпоративной платформе Microsoft Teams, которую мелкомягкие продвигают как альтернативу небезопасному ZOOM, исследователи из CyberArk выявили уязвимость, связанную с механизмом обработки изображений .GIF. Ошибке подвержены приложение для десктопа, а также версия для веб.
Ресерчеры выяснили, что в процессе доставки изображений Microsoft Teams использует два токена аутентификации "authtoken" и "skypetoken", второй генерится при помощи первого и с его помощью можно перехватить учетную запись Microsoft Teams.
А токен "authtoken" можно получить совершив атаку на поддомены "teams .microsoft .com". И два таких поддомена CyberArk нашли - это "aadsync-test .teams .microsoft .com" и "data-dev .teams .microsoft .com".
Теперь злоумышленникам осталось бы взять под контроль один из этих поддоменов и направить пользователю Microsoft Teams изображение-приманку, при загрузке которого приложение отправит "authtoken" на скомпрометированный поддомен. А уже дальше сгенерировать "skypetoken", с помощью которого угнать учетку Microsoft Teams.
Как сообщают CyberArk, они передали все данные в Microsoft и те устранили уязвимость, включая неверную настройку домена "teams .microsoft .com".
BleepingComputer
Microsoft Teams patched against image-based account takeover
After looking at how Microsoft Teams handles image resources, security researchers found a way to take over accounts by sending recipients a regular GIF.