Исследователь HaxRob из Doubleagent сообщает об обнаружении новой версии вредоносного ПО FASTCash для Linux, которая помогает красть деньги из банкоматов, заражая платежные системы финансовых учреждений и обеспечивая снятие наличных.
Все задокументированные предыдущие версии FASTCash были нацелены на системы Windows и IBM AIX (Unix) в отличие от новой, нацеленной на дистрибутивы Ubuntu 22.04 LTS.
Впервые о схеме по обналу через банкоматы FASTCash поведала CISA еще в декабре 2018 года, приписав эту деятельность северокорейской хакерской группе, известной как Hidden Cobra.
При этом злоумышленники использовали FASTCash в своих операциях как минимум с 2016 года, похищая десятки миллионов долларов за каждый инцидент в ходе синхронизированных атак с снятием наличных через банкоматы в 30 и более странах.
Позже в 2020 году американские спецслужбы вновь стали рапортовать об угрозах активицизации деятельности FASTCash 2.0, связав дейчтельность с APT38 (Lazarus).
Год спустя в отношении трех граждан Северной Кореи, причастных к реализации схем, были выдвинуты обвинения в хищении более 1,3 млрд долларов из финансовых организаций по всему миру.
Новейший вариант ПО был впервые представлен VirusTotal в июне 2023 года и имеет большое функциональное сходство с предыдущими версиями для Windows и AIX.
Он поставляется в виде общей библиотеки, которая внедряется в запущенный процесс на сервере-коммутаторе платежей с помощью системного вызова «ptrace», подключая его к сетевым функциям.
Коммутаторы выступают посредниками, обеспечивающими связь между банкоматами/терминалами PoS и центральными системами банка, маршрутизируя запросы на транзакции и ответы.
Вредоносная ПО перехватывает и манипулирует транзакционными сообщениями ISO8583, используемыми в финансовой отрасли для обработки дебетовых и кредитных карт.
В частности, вредоносное ПО нацелено на сообщения, касающиеся отклонения транзакций из-за недостатка средств на счете держателя карты, и заменяет ответ «отклонить» на «одобрить».
Поддельное сообщение также содержит случайную сумму денег в размере 350–875 долларов США для авторизации запрошенной транзакции.
После того, как модифицированное сообщение отправляется обратно в центральные системы банка с кодами одобрения (DE38, DE39) и суммой (DE54), банк пропускает транзакцию, а дроп снимает наличные в банкомате.
На момент обнаружения Linux-версия FASTCash не детектировалась на VirusTotal, что означает, что она могла обойти большинство стандартных средств безопасности, что позволяло злоумышленникам беспрепятственно выполнять транзакции.
HaxRob также предупреждает, что сентябре 2024 года на VT была представлена новая версия для Windows, что свидетельствует об активной работе хакеров по совершенствованию своего арсенала.
Все задокументированные предыдущие версии FASTCash были нацелены на системы Windows и IBM AIX (Unix) в отличие от новой, нацеленной на дистрибутивы Ubuntu 22.04 LTS.
Впервые о схеме по обналу через банкоматы FASTCash поведала CISA еще в декабре 2018 года, приписав эту деятельность северокорейской хакерской группе, известной как Hidden Cobra.
При этом злоумышленники использовали FASTCash в своих операциях как минимум с 2016 года, похищая десятки миллионов долларов за каждый инцидент в ходе синхронизированных атак с снятием наличных через банкоматы в 30 и более странах.
Позже в 2020 году американские спецслужбы вновь стали рапортовать об угрозах активицизации деятельности FASTCash 2.0, связав дейчтельность с APT38 (Lazarus).
Год спустя в отношении трех граждан Северной Кореи, причастных к реализации схем, были выдвинуты обвинения в хищении более 1,3 млрд долларов из финансовых организаций по всему миру.
Новейший вариант ПО был впервые представлен VirusTotal в июне 2023 года и имеет большое функциональное сходство с предыдущими версиями для Windows и AIX.
Он поставляется в виде общей библиотеки, которая внедряется в запущенный процесс на сервере-коммутаторе платежей с помощью системного вызова «ptrace», подключая его к сетевым функциям.
Коммутаторы выступают посредниками, обеспечивающими связь между банкоматами/терминалами PoS и центральными системами банка, маршрутизируя запросы на транзакции и ответы.
Вредоносная ПО перехватывает и манипулирует транзакционными сообщениями ISO8583, используемыми в финансовой отрасли для обработки дебетовых и кредитных карт.
В частности, вредоносное ПО нацелено на сообщения, касающиеся отклонения транзакций из-за недостатка средств на счете держателя карты, и заменяет ответ «отклонить» на «одобрить».
Поддельное сообщение также содержит случайную сумму денег в размере 350–875 долларов США для авторизации запрошенной транзакции.
После того, как модифицированное сообщение отправляется обратно в центральные системы банка с кодами одобрения (DE38, DE39) и суммой (DE54), банк пропускает транзакцию, а дроп снимает наличные в банкомате.
На момент обнаружения Linux-версия FASTCash не детектировалась на VirusTotal, что означает, что она могла обойти большинство стандартных средств безопасности, что позволяло злоумышленникам беспрепятственно выполнять транзакции.
HaxRob также предупреждает, что сентябре 2024 года на VT была представлена новая версия для Windows, что свидетельствует об активной работе хакеров по совершенствованию своего арсенала.
haxrob
FASTCash for Linux
Analysis of a newly discovered Linux based variant of the DPRK attributed FASTCash malware along with background information on payment switches used in financial networks.
Китай в лице National Computer Virus Emergency Response Center (CVERC) наносит ответный удар, обвиняя разведслужбы США и их союзников по Five Eyes в полной фабрикации кейса Volt Typhoon для сокрытия собственных хакерских кампаний в отношении Китая, Франции, Германии, Японии и Интернет-пользователей по всему миру.
Как утверждает CVERC, у агентства имеются неопровержимые доказательства того, что США проводят операции под чужим флагом в попытке спрятать собственные уши, попутно формируя образ опасной китайской глобальной сети кибершпионажа.
Выпущенный на пяти языках документ под названием Обмани меня: Volt Typhoon III — раскрытие операций по кибершпионажу и дезинформации, проводимых правительственными агентствами США в значительной степени дополняет содержание аналогичного документа, который был опубликован в июле.
На протяжении нескольких лет страны Five Eyes обвиняют Volt Typhoon и в ее лице правительство КНР в атаках на американские сети и критически важную инфраструктуру.
Однако после публикации с CVERC связались более 50 экспертов по кибербезопасности из США, Европы и Азии, которые поделились своим мнением об отсутствии у властей США и Microsoft доказательств, связывающих Volt Typhoon с Китаем.
Несмотря на то, что в документе не раскрываются личности экспертов и их исследования, тем не менее на старых кейсах подробно описываются известные возможности и активности спецслужб США, включая тайное наблюдение за иностранцами в соответствии с разделом 702.
Упоминается программа сбора данных PRISM и шпионские операции АНБ, которые были раскрыты Эдвардом Сноуденом в 2013 году.
Кроме того, отмечен фреймворк Marble, используемый Nationalдля сокрытия своих киберопераций, раскрытый Wikileaks в 2017 году.
Он представляет собой инструментальную структуру, которую можно интегрировать с другими разработками по кибероружию, обеспечивая сокрытие различных идентифицируемых особенностей в программном коде и эффективно стирая «отпечатки пальцев» реальных разработчиков.
Более того, фреймворк поддерживает функцию вставки строк на других языках: китайский, русский, корейский, персидский и арабский.
В докладе также упоминаются возможности США в использовании своих исторически сложившихся технологических преимуществ для контроля сетевых коммуникаций по оптоволоконным кабелям через Атлантический и Тихий океаны в рамках глобальной слежки за пользователями по всему миру.
В совокупности, по утверждениям CVERC, все это фактически являются тем, в чем обвиняется мифическая Volt Typhoon, которая была «изобретена» американским правительством в качестве рикошета для любых подобных обвинений в сторону Китая.
Неплохо в CVERC прошлись и по излюбленной на западе методике абсурдного наименования APT с использованием кодовых слов с очевидным геополитическим подтекстом как случае с «тайфун», «панда» и «дракон» вместо, например, «англосаксы», «ураган» и «коала».
И в целом раскритиковали ориентализм, который в последнее время все чаще прослеживается в освещении вопросов информационной безопасности.
А в завершении 59-страничного документа порекомендовали уделять больше внимания международному сотрудничеству в ИБ, а поставщикам типа Microsoft и CrowdStrike - вместо геополитики сосредоточиться на противодействий киберугрозам и совершенствовании своих решений и услуг.
И добавить то нечего.
Как утверждает CVERC, у агентства имеются неопровержимые доказательства того, что США проводят операции под чужим флагом в попытке спрятать собственные уши, попутно формируя образ опасной китайской глобальной сети кибершпионажа.
Выпущенный на пяти языках документ под названием Обмани меня: Volt Typhoon III — раскрытие операций по кибершпионажу и дезинформации, проводимых правительственными агентствами США в значительной степени дополняет содержание аналогичного документа, который был опубликован в июле.
На протяжении нескольких лет страны Five Eyes обвиняют Volt Typhoon и в ее лице правительство КНР в атаках на американские сети и критически важную инфраструктуру.
Однако после публикации с CVERC связались более 50 экспертов по кибербезопасности из США, Европы и Азии, которые поделились своим мнением об отсутствии у властей США и Microsoft доказательств, связывающих Volt Typhoon с Китаем.
Несмотря на то, что в документе не раскрываются личности экспертов и их исследования, тем не менее на старых кейсах подробно описываются известные возможности и активности спецслужб США, включая тайное наблюдение за иностранцами в соответствии с разделом 702.
Упоминается программа сбора данных PRISM и шпионские операции АНБ, которые были раскрыты Эдвардом Сноуденом в 2013 году.
Кроме того, отмечен фреймворк Marble, используемый Nationalдля сокрытия своих киберопераций, раскрытый Wikileaks в 2017 году.
Он представляет собой инструментальную структуру, которую можно интегрировать с другими разработками по кибероружию, обеспечивая сокрытие различных идентифицируемых особенностей в программном коде и эффективно стирая «отпечатки пальцев» реальных разработчиков.
Более того, фреймворк поддерживает функцию вставки строк на других языках: китайский, русский, корейский, персидский и арабский.
В докладе также упоминаются возможности США в использовании своих исторически сложившихся технологических преимуществ для контроля сетевых коммуникаций по оптоволоконным кабелям через Атлантический и Тихий океаны в рамках глобальной слежки за пользователями по всему миру.
В совокупности, по утверждениям CVERC, все это фактически являются тем, в чем обвиняется мифическая Volt Typhoon, которая была «изобретена» американским правительством в качестве рикошета для любых подобных обвинений в сторону Китая.
Неплохо в CVERC прошлись и по излюбленной на западе методике абсурдного наименования APT с использованием кодовых слов с очевидным геополитическим подтекстом как случае с «тайфун», «панда» и «дракон» вместо, например, «англосаксы», «ураган» и «коала».
И в целом раскритиковали ориентализм, который в последнее время все чаще прослеживается в освещении вопросов информационной безопасности.
А в завершении 59-страничного документа порекомендовали уделять больше внимания международному сотрудничеству в ИБ, а поставщикам типа Microsoft и CrowdStrike - вместо геополитики сосредоточиться на противодействий киберугрозам и совершенствовании своих решений и услуг.
И добавить то нечего.
The Register
Beijing's attack gang Volt Typhoon was a false flag inside job conspiracy: China
Run by the NSA, the FBI, and Five Eyes nations, who fooled infosec researchers, apparently
Согласно исследованию Zscaler, за год только в Google Play было выявлено более 200 вредоносных приложений.
Данные собирались в период с июня 2023 года по апрель 2024 года и охватывали семейства вредоносных программ как в Google Play, так и на других платформах распространения.
Среди наиболее распространенных угроз, обнаруженных в Google Play: Joker (38,2%, инфостиллер и перехватчик SMS), Adware (35,9%), Facestealer (14,7%, похититель учетных данных Facebook), Coper (3,7%, инфостиллер и перехватчик SMS с функциями кейлоггера и фишинга), Loanly Installer (2,3%), Harly (1,4%, троянские приложения для подписки на премиум-услуги), Anatsa или Teabot (0,9%, троян, нацеленный на 650 банковских приложений).
Причем ранее в мае этого года исследователи сообщали о показателях в 90 вредоносных приложений на Google Play, количество загрузок которых составило 5,5 миллиона.
Несмотря на предпринимаемые Google меры противодействия, злоумышленники находят варианты обхода процесса проверки вредоносных приложений.
Как в случае с вредоносным загрузчиком Necro для Android с 11 миллионами загрузок (детектирован Лабораторией Касперского) или с вредоносным ПО Goldoson для Android, которое было обнаружено в 60 легальных приложениях с 100 млн. загрузок (отчет McAfee).
Кроме того, в прошлом году SpyLoan был обнаружен в приложениях Google Play, которые были загружены более 12 миллионов раз.
Почти половина вредоносных приложений, обнаруженных Zscaler ThreatLabz, были опубликованы в Google Play в категориях «Инструменты», «Персонализация», «Фотография», «Производительность» и «Образ жизни».
Что касается попыток блокировки вредоносного ПО в этом году, то, по данным Zscaler, наблюдается общая тенденция снижения, измеряемая по заблокированным транзакциям.
В среднем ThreatLabz регистрировала 1,7 миллиона блоков в месяц, а за весь период анализа было зафиксировано 20 миллионов блоков.
Наиболее распространенными угрозами являются Vultur, Hydra, Ermac, Anatsa, Coper и Nexus.
Отчет Zscaler об угрозах для мобильных устройств также показывает значительный рост числа заражений шпионским ПО (на 111%), в основном за счет семейств SpyLoan, SpinOK и SpyNote. За последний год компания зарегистрировала 232 000 блоков активности шпионского ПО.
Наиболее пострадавшими от мобильных вредоносных программ странами в прошлом году стали Индия и США, за которыми следуют Канада, Южная Африка и Нидерланды.
Согласно отчету, вредоносное ПО для мобильных устройств было нацелено в основном на сектор образования, где количество заблокированных транзакций увеличилось на 136,8%.
Сфера услуг зафиксировала рост на 40,9%, а химическая и горнодобывающая промышленность — на 24%. Все остальные сектора показали общий спад.
Полный расклад по мобильным угрозам и IoT/OT - в отчете.
Данные собирались в период с июня 2023 года по апрель 2024 года и охватывали семейства вредоносных программ как в Google Play, так и на других платформах распространения.
Среди наиболее распространенных угроз, обнаруженных в Google Play: Joker (38,2%, инфостиллер и перехватчик SMS), Adware (35,9%), Facestealer (14,7%, похититель учетных данных Facebook), Coper (3,7%, инфостиллер и перехватчик SMS с функциями кейлоггера и фишинга), Loanly Installer (2,3%), Harly (1,4%, троянские приложения для подписки на премиум-услуги), Anatsa или Teabot (0,9%, троян, нацеленный на 650 банковских приложений).
Причем ранее в мае этого года исследователи сообщали о показателях в 90 вредоносных приложений на Google Play, количество загрузок которых составило 5,5 миллиона.
Несмотря на предпринимаемые Google меры противодействия, злоумышленники находят варианты обхода процесса проверки вредоносных приложений.
Как в случае с вредоносным загрузчиком Necro для Android с 11 миллионами загрузок (детектирован Лабораторией Касперского) или с вредоносным ПО Goldoson для Android, которое было обнаружено в 60 легальных приложениях с 100 млн. загрузок (отчет McAfee).
Кроме того, в прошлом году SpyLoan был обнаружен в приложениях Google Play, которые были загружены более 12 миллионов раз.
Почти половина вредоносных приложений, обнаруженных Zscaler ThreatLabz, были опубликованы в Google Play в категориях «Инструменты», «Персонализация», «Фотография», «Производительность» и «Образ жизни».
Что касается попыток блокировки вредоносного ПО в этом году, то, по данным Zscaler, наблюдается общая тенденция снижения, измеряемая по заблокированным транзакциям.
В среднем ThreatLabz регистрировала 1,7 миллиона блоков в месяц, а за весь период анализа было зафиксировано 20 миллионов блоков.
Наиболее распространенными угрозами являются Vultur, Hydra, Ermac, Anatsa, Coper и Nexus.
Отчет Zscaler об угрозах для мобильных устройств также показывает значительный рост числа заражений шпионским ПО (на 111%), в основном за счет семейств SpyLoan, SpinOK и SpyNote. За последний год компания зарегистрировала 232 000 блоков активности шпионского ПО.
Наиболее пострадавшими от мобильных вредоносных программ странами в прошлом году стали Индия и США, за которыми следуют Канада, Южная Африка и Нидерланды.
Согласно отчету, вредоносное ПО для мобильных устройств было нацелено в основном на сектор образования, где количество заблокированных транзакций увеличилось на 136,8%.
Сфера услуг зафиксировала рост на 40,9%, а химическая и горнодобывающая промышленность — на 24%. Все остальные сектора показали общий спад.
Полный расклад по мобильным угрозам и IoT/OT - в отчете.
Zscaler
Mobile and IoT/OT Report | ThreatLabz
Explore the 2024 ThreatLabz Mobile, IoT, and OT Threat Report, which covers mobile and IoT/OT trends, case studies, and best practices.
Forwarded from Russian OSINT
💻 F.A.C.C.T. выпустила подробное исследование группировки «двойного назначения» Shadow/Twelve, которая активно атакует 🇷🇺 российские организации.
Обнаруженный преступный синдикат продемонстрировал тенденцию — группы «двойного назначения»:
💠 Shadow заинтересована в 🔒 вымогательстве денег.
💠 Twelve стремилась к полному ⚠️ разрушению ИТ-инфраструктуры своих жертв.
Одним из фирменных приемов группы стала кража учетных записей в🛡 Telegram на устройствах жертв, что после проведения атак позволяло им шпионить за сотрудниками атакованной компании и оказывать дополнительное давление.
Исследование может быть полезно руководителям групп кибербезопасности, аналитикам SOC, CERT, специалистам по реагированию на инциденты, Threat Intelligence и Threat Hunting, а также компаниям из различных секторов для подготовки проактивной защиты.
https://www.facct.ru/resources/research-hub/shadow-twelve-2024
✋ @Russian_OSINT
Обнаруженный преступный синдикат продемонстрировал тенденцию — группы «двойного назначения»:
Одним из фирменных приемов группы стала кража учетных записей в
Исследование может быть полезно руководителям групп кибербезопасности, аналитикам SOC, CERT, специалистам по реагированию на инциденты, Threat Intelligence и Threat Hunting, а также компаниям из различных секторов для подготовки проактивной защиты.
https://www.facct.ru/resources/research-hub/shadow-twelve-2024
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub предупреждает об исправлении критической уязвимости в Enterprise Server, которая может привести к несанкционированному доступу к уязвимым экземплярам.
Ошибка отслеживается как CVE-2024-9487 (CVSS 9,5) и была обнаружена в мае 2024 года в рамках подготовки исправлений для критической CVE-2024-4985 обхода аутентификации, которая позволяет злоумышленникам подделывать ответы SAML и получать административный доступ к Enterprise Server.
По данным GitHub, новая закрытая уязвимость представляет собой один из вариантов первоначальной ошибки, который также приводит к обходу аутентификации.
Злоумышленник может обойти аутентификацию единого входа SSO SAML с помощью дополнительной функции зашифрованных утверждений, что обеспечит доступ к экземпляру посредством ненадлежащей проверки криптографических подписей в GitHub Enterprise Server.
При этом зашифрованные утверждения по умолчанию не включены, а экземпляры Enterprise Server, ненастроенные с использованием SAML SSO или реализующие аутентификацию без зашифрованных утверждений, не уязвимы.
Кроме того, злоумышленнику потребуется прямой доступ к сети, а также подписанный ответ SAML или документ метаданных.
Проблема была устранена в GitHub Enterprise Server версий 3.11.16, 3.12.10, 3.13.5 и 3.14.2 наряду с другой CVE-2024-9539 раскрытия информации средней степени серьезности, которая могла быть использована через вредоносные файлы SVG.
Чтобы успешно воспользоваться ей, злоумышленнику необходимо убедить пользователя нажать на URL-адрес загруженного актива, что позволит ему получить метаданные пользователя и использовать их для создания фишинговой страницы.
GitHub сообщает, что обе уязвимости были обнаружены в рамках программы BugBounty, и не упоминает о том, что какая-либо из них эксплуатировалась в реальных условиях.
Дополнительно в GitHub Enterprise Server версии 3.14.2 устранена проблема раскрытия конфиденциальных данных в HTML-формах консоли управления путем удаления функции копирования настроек хранилища из действий.
Ошибка отслеживается как CVE-2024-9487 (CVSS 9,5) и была обнаружена в мае 2024 года в рамках подготовки исправлений для критической CVE-2024-4985 обхода аутентификации, которая позволяет злоумышленникам подделывать ответы SAML и получать административный доступ к Enterprise Server.
По данным GitHub, новая закрытая уязвимость представляет собой один из вариантов первоначальной ошибки, который также приводит к обходу аутентификации.
Злоумышленник может обойти аутентификацию единого входа SSO SAML с помощью дополнительной функции зашифрованных утверждений, что обеспечит доступ к экземпляру посредством ненадлежащей проверки криптографических подписей в GitHub Enterprise Server.
При этом зашифрованные утверждения по умолчанию не включены, а экземпляры Enterprise Server, ненастроенные с использованием SAML SSO или реализующие аутентификацию без зашифрованных утверждений, не уязвимы.
Кроме того, злоумышленнику потребуется прямой доступ к сети, а также подписанный ответ SAML или документ метаданных.
Проблема была устранена в GitHub Enterprise Server версий 3.11.16, 3.12.10, 3.13.5 и 3.14.2 наряду с другой CVE-2024-9539 раскрытия информации средней степени серьезности, которая могла быть использована через вредоносные файлы SVG.
Чтобы успешно воспользоваться ей, злоумышленнику необходимо убедить пользователя нажать на URL-адрес загруженного актива, что позволит ему получить метаданные пользователя и использовать их для создания фишинговой страницы.
GitHub сообщает, что обе уязвимости были обнаружены в рамках программы BugBounty, и не упоминает о том, что какая-либо из них эксплуатировалась в реальных условиях.
Дополнительно в GitHub Enterprise Server версии 3.14.2 устранена проблема раскрытия конфиденциальных данных в HTML-формах консоли управления путем удаления функции копирования настроек хранилища из действий.
GitHub Docs
Release notes - GitHub Enterprise Server 3.14 Docs
Detailed information for all releases of the currently selected version of GitHub Enterprise Server.
Вслед за T-Mobile, AMD и Apple, авторитетный IntelBroker при участии EnergyWeaponUser и zjj добрался и до Cisco, которая теперь проводит расследование потенциального инцидента.
Украденные в результате взлома данные реализуются в киберподполье и, предположительно, содержат исходный код, проекты Github, Gitlab, SonarQube, тикеты Jira, конфиденциальные документы, токены API, частные сегменты AWS, SRC Cisco Technology, сборки Docker, сегменты хранилища Azure, сертификаты, а также открытые и закрытые ключи для Cisco и инфраструктуры ее клиентов.
В качестве пруфов IntelBroker поделился образцами, включая базу данных, информацию о клиентах, различную клиентскую документацию и снимки экрана порталов управления клиентами, но не предоставил дополнительных подробностей о том, как именно были получены данные.
Вместе с тем, с его слов, нарушение также косвенно затрагивает такие компании, как AT&T, Verizon, Microsoft и SAP, а сам инцидент предположительно произошел еще 6 октября.
Cisco, в свою очередь, пока все еще расследует заявления хакеров и не готова подтвердить инцидент безопасности. Но будем посмотреть.
Украденные в результате взлома данные реализуются в киберподполье и, предположительно, содержат исходный код, проекты Github, Gitlab, SonarQube, тикеты Jira, конфиденциальные документы, токены API, частные сегменты AWS, SRC Cisco Technology, сборки Docker, сегменты хранилища Azure, сертификаты, а также открытые и закрытые ключи для Cisco и инфраструктуры ее клиентов.
В качестве пруфов IntelBroker поделился образцами, включая базу данных, информацию о клиентах, различную клиентскую документацию и снимки экрана порталов управления клиентами, но не предоставил дополнительных подробностей о том, как именно были получены данные.
Вместе с тем, с его слов, нарушение также косвенно затрагивает такие компании, как AT&T, Verizon, Microsoft и SAP, а сам инцидент предположительно произошел еще 6 октября.
Cisco, в свою очередь, пока все еще расследует заявления хакеров и не готова подтвердить инцидент безопасности. Но будем посмотреть.
Dark Web Informer - Cyber Threat Intelligence
IntelBroker, EnergyWeaponUser, and zjj Are Allegedly Selling Data Belonging to Cisco
Специалисты SOC белорусского хостинг-провайдера Hoster задетектили атаки, нацеленные на уязвимость в платформе электронной коммерции Aspro для взлома Интернет-магазинов.
Платформа Aspro представляет собой модуль электронной коммерции для Bitrix CMS и в основном используется в сегменте СНГ.
Проблема актуальна для пользователей, не обновивших софт до версии Aspro: Next 1.9.9.
Взломы и попытки получения доступа к ресурсам фиксировались с конца августа 2024 года, чаще всего с IPv4-адреса 185.125.219.93.
Точкой входа выступали уязвимые скрипты reload_basket_fly.php, show_basket_fly.php, show_basket_popup.php, а сами файлы - в директории /ajax/ в корне сайта.
Эти файлы реализуют недостаточную проверку пользовательского ввода, используя небезопасную функцию unserialize в php, из-за чего злоумышленник может внедрить в тело POST-запроса вредоносный код, который будет выполнен при десериализации.
В переменную «arParams» записывается информация из запроса, в который можно добавить полезную нагрузку: например, cat /etc/passwd. Ответ от сервера будет содержать информацию из /etc/passwd в теге.
Анализ логов и процессов сервера показал, что на ресурсах были созданы файлы.
После проведения реверс-инжиниринга и детального изучения стало понятно, что злоумышленники через эту уязвимость загружали веб-шеллы, которые, в свою очередь, подгружали майнер.
Как выяснили в Hoster, проблемное ПО было установлено на сайты десятков клиентов.
Владельцы атакованных ресурсов были оперативно уведомлены, а разработчики Aspro развернули обновление для устранения эксплуатируемой уязвимости.
Индикаторы компрометации и рекомендации специалистов - в отчете.
Платформа Aspro представляет собой модуль электронной коммерции для Bitrix CMS и в основном используется в сегменте СНГ.
Проблема актуальна для пользователей, не обновивших софт до версии Aspro: Next 1.9.9.
Взломы и попытки получения доступа к ресурсам фиксировались с конца августа 2024 года, чаще всего с IPv4-адреса 185.125.219.93.
Точкой входа выступали уязвимые скрипты reload_basket_fly.php, show_basket_fly.php, show_basket_popup.php, а сами файлы - в директории /ajax/ в корне сайта.
Эти файлы реализуют недостаточную проверку пользовательского ввода, используя небезопасную функцию unserialize в php, из-за чего злоумышленник может внедрить в тело POST-запроса вредоносный код, который будет выполнен при десериализации.
В переменную «arParams» записывается информация из запроса, в который можно добавить полезную нагрузку: например, cat /etc/passwd. Ответ от сервера будет содержать информацию из /etc/passwd в теге.
Анализ логов и процессов сервера показал, что на ресурсах были созданы файлы.
После проведения реверс-инжиниринга и детального изучения стало понятно, что злоумышленники через эту уязвимость загружали веб-шеллы, которые, в свою очередь, подгружали майнер.
Как выяснили в Hoster, проблемное ПО было установлено на сайты десятков клиентов.
Владельцы атакованных ресурсов были оперативно уведомлены, а разработчики Aspro развернули обновление для устранения эксплуатируемой уязвимости.
Индикаторы компрометации и рекомендации специалистов - в отчете.
hoster.by
Уязвимые скрипты: наш SOC раскрыл цепочку взломов интернет-магазинов
Уязвимые скрипты: наш SOC раскрыл цепочку взломов интернет-магазинов | Новости hoster.by | Провайдер облачных решений для бизнеса
Исследователи из Лаборатории Касперского сообщают о ранее недокументированном арсенале APT SideWinder, который задействуется группой на этапе постэксплуатации.
SideWinder (Aka T-APT-04 или RattleSnake) продолжает оставаться одной из самых активных APT-групп, начавшей орудовать в 2012 и впервые была публично упомянута ЛК еще в 2018 году.
За эти годы группа предпринимала атаки на известные организации в Южной и Юго-Восточной Азии. Ее основными целями были военные и правительственные организации в Пакистане, Шри-Ланке, Китае и Непале.
За прошедшие годы SideWinder реализовала внушительное число атак, а ее деятельность была подробно описана в различных ИБ-отчетах (например, здесь, здесь и здесь), один из последних был выпущен в июле 2024 года.
Группу принято считать низкоквалифицированным субъектом из-за использования публичных эксплойтов, вредоносных LNK-файлов и скриптов в качестве векторов заражения, а также использования публичных RAT, но, как показал тщательный анализ, реальные возможности APT впечатляют.
При этом несмотря на годы наблюдений и исследований, этап активности после взлома оставался малоизученным.
В ходе расследования ЛК удалось обнаружить новые кампании, которые демонстрируют значительное расширение деятельности группы.
SideWinder атаковала организации в разных странах: Бангладеш, Джибути, Иордании, Малайзии, Мальдивах, Мьянме, Непале, Пакистане, Саудовской Аравии, Шри-Ланке, Турции и Объединенных Арабских Эмиратах.
Целевые сектора включают государственные и военные организации, логистические, инфраструктурные и телекоммуникационные компании, финансовые учреждения, университеты и компании по торговле нефтью.
Помимо этого SideWinder также нацелилась на дипломатические учреждения в следующих странах: Афганистан, Франция, Китай, Индия, Индонезия и Марокко.
Кроме того, исследователи задетектили и изучили ранее неизвестный набор инструментов для постэксплуатации под названием StealerBot, усовершенствованный модульный имплант, разработанный специально кибершпионажа.
В ЛК полагают, что к настоящему времени StealerBot выступает одним из основных инструментов на этапе постэксплуатации, задействуемый APT на интересующих его целях.
Подробный технический разбор цепочки атак и арсенала APT SideWinder с индикаторами компрометации - в отчете.
SideWinder (Aka T-APT-04 или RattleSnake) продолжает оставаться одной из самых активных APT-групп, начавшей орудовать в 2012 и впервые была публично упомянута ЛК еще в 2018 году.
За эти годы группа предпринимала атаки на известные организации в Южной и Юго-Восточной Азии. Ее основными целями были военные и правительственные организации в Пакистане, Шри-Ланке, Китае и Непале.
За прошедшие годы SideWinder реализовала внушительное число атак, а ее деятельность была подробно описана в различных ИБ-отчетах (например, здесь, здесь и здесь), один из последних был выпущен в июле 2024 года.
Группу принято считать низкоквалифицированным субъектом из-за использования публичных эксплойтов, вредоносных LNK-файлов и скриптов в качестве векторов заражения, а также использования публичных RAT, но, как показал тщательный анализ, реальные возможности APT впечатляют.
При этом несмотря на годы наблюдений и исследований, этап активности после взлома оставался малоизученным.
В ходе расследования ЛК удалось обнаружить новые кампании, которые демонстрируют значительное расширение деятельности группы.
SideWinder атаковала организации в разных странах: Бангладеш, Джибути, Иордании, Малайзии, Мальдивах, Мьянме, Непале, Пакистане, Саудовской Аравии, Шри-Ланке, Турции и Объединенных Арабских Эмиратах.
Целевые сектора включают государственные и военные организации, логистические, инфраструктурные и телекоммуникационные компании, финансовые учреждения, университеты и компании по торговле нефтью.
Помимо этого SideWinder также нацелилась на дипломатические учреждения в следующих странах: Афганистан, Франция, Китай, Индия, Индонезия и Марокко.
Кроме того, исследователи задетектили и изучили ранее неизвестный набор инструментов для постэксплуатации под названием StealerBot, усовершенствованный модульный имплант, разработанный специально кибершпионажа.
В ЛК полагают, что к настоящему времени StealerBot выступает одним из основных инструментов на этапе постэксплуатации, задействуемый APT на интересующих его целях.
Подробный технический разбор цепочки атак и арсенала APT SideWinder с индикаторами компрометации - в отчете.
Securelist
SideWinder APT’s post-exploitation framework analysis
Kaspersky analyzes SideWinder APT’s recent activity: new targets in the MiddleEast and Africa, post-exploitation tools and techniques.
Радовавший киберподполье серьезными инцидентами с многомиллионной утечкой National Public Data и взломом портала по обмену информации InfraGard ФБР США хакер USDoD (aka EquationCorp) кончился, его арестовали в Бразилии.
Новость, конечно, не новость, ведь ранее мы уже сообщали, что тяга к самопиару и тщеславие в совокупности с дырявой OpSec вывели исследователей на след хакера.
Найти его физически, как видно, не составило особого труда.
Напоследок USDoD успел копнуть в CrowdStrike и слил их списки МОК в сеть, что стало роковым событием, после которого бразильское издательство Techmundo получило анонимный отчет от исследователей с данными о личности злоумышленника.
При этом как ни странно, USDoD в интервью HackRead подтвердил информацию CrowdStrike и сообщил, что он реально проживает в Бразилии.
Вероятно, воспользовавшись этой информацией, Федеральная полиция Бразилии (PF) реализовала поимку хакера, после чего отрапортовала о его аресте в Белу-Оризонти.
Официально поводом для задержания и проведения обыска по месту жительства стали инциденты от 22 мая 2020 года и 22 февраля 2022 года, когда USDoD слил данные местных полицейских.
В ответ силовики инициировали Operation Data Breach, так что теперь USDoD грозит до 7 лет тюрьмы, но почему-то кажется, что сидеть он будет все же не будет, возможно только на бумаге.
Но будем посмотреть.
Новость, конечно, не новость, ведь ранее мы уже сообщали, что тяга к самопиару и тщеславие в совокупности с дырявой OpSec вывели исследователей на след хакера.
Найти его физически, как видно, не составило особого труда.
Напоследок USDoD успел копнуть в CrowdStrike и слил их списки МОК в сеть, что стало роковым событием, после которого бразильское издательство Techmundo получило анонимный отчет от исследователей с данными о личности злоумышленника.
При этом как ни странно, USDoD в интервью HackRead подтвердил информацию CrowdStrike и сообщил, что он реально проживает в Бразилии.
Вероятно, воспользовавшись этой информацией, Федеральная полиция Бразилии (PF) реализовала поимку хакера, после чего отрапортовала о его аресте в Белу-Оризонти.
Официально поводом для задержания и проведения обыска по месту жительства стали инциденты от 22 мая 2020 года и 22 февраля 2022 года, когда USDoD слил данные местных полицейских.
В ответ силовики инициировали Operation Data Breach, так что теперь USDoD грозит до 7 лет тюрьмы, но почему-то кажется, что сидеть он будет все же не будет, возможно только на бумаге.
Но будем посмотреть.
Polícia Federal
PF prende hacker suspeito de invadir sistemas da PF e de outras instituições internacionais
Policiais federais cumpriram um mandado de busca e apreensão e um de prisão preventiva em Belo Horizonte/MG
Немного об атрибуции в западном инфосеке.
Много раз наблюдали как «уважаемые» представители ИБ-сообщества приписывали те или иные угрозы, основываясь на передовых принципах атрибуции, разработанные нашим каналом.
Так, исследователи TrueSec или CyberCX (и не только они) били себя в грудь и утверждали, что о принадлежности Anonymous Sudan к России.
В свою очередь, мы всегда твердо стояли на позиции, что Anonymous Sudan - это верные сыны суданского народа, вставшие на путь праведной кибервойны с мировым колониализмом, и даже тогда, когда хактивисты вместе с KILLNET параллизовали инфраструктуру ЕЦБ.
И, cобственно, не ошиблись, Минюст США не дал соврать, обнародовав обвинительное заключение в отношении двух братьев из Судана, которые подозреваются в причастности к деятельности группы и более 35 000 DDoS-атакам, реализованным с момента запуска в 2023 году.
Многие из их атак были политически мотивированы, затронув известные компании и сервисы, включая таких технологических гигантов, как Cloudflare, Microsoft и OpenAI, а также правительственные учреждения и организаций здравоохранения по всему миру.
Под силовой пресс попали два гражданина Судана по имени Ахмед Салах Юсиф Омер, 22 года, и Алаа Салах Юсуф Омер, 27 лет, которым вменяют управление и контроль над Anonymous Sudan.
Гособвинитель, прокурор США, Мартин Эстрада сообщил на пресс-конференции, что Anonymous Sudan классифицируется как «самая опасная кибергруппа с точки зрения DDoS-атак».
Суданцы были задержаны еще в марте, когда спецслужбам удалось захватить инфраструктуру Anonymous Sudan.
Правда, выдавшая хакеров страна не называется, при этом они не находятся под стражей в США, но допрашивало их ФБР.
В отличие от других, Anonymous Sudan не компрометировали устройства для задействования их в атаках.
Вместо этого они использовали инструменты Skynet Botnet или DCAT, которые полагались на открытые прокси-серверы для подавления целевых серверов.
Оба подозреваемых теперь обвиняются в сговоре с целью повреждения защищенных компьютеров, а Ахмед Омер также обвиняется по трем пунктам в повреждении защищенных компьютеров.
Ему грозит максимальное пожизненное заключение «за безрассудное создание угрозы жизни» в результате нападения на больницу Cedars-Sinai, что может стать первым случаем использования такого закона в практике по киберпреступлениям в США.
Уверены, Anonymous Sudan еще вернется. No pasaran ✊
Много раз наблюдали как «уважаемые» представители ИБ-сообщества приписывали те или иные угрозы, основываясь на передовых принципах атрибуции, разработанные нашим каналом.
Так, исследователи TrueSec или CyberCX (и не только они) били себя в грудь и утверждали, что о принадлежности Anonymous Sudan к России.
В свою очередь, мы всегда твердо стояли на позиции, что Anonymous Sudan - это верные сыны суданского народа, вставшие на путь праведной кибервойны с мировым колониализмом, и даже тогда, когда хактивисты вместе с KILLNET параллизовали инфраструктуру ЕЦБ.
И, cобственно, не ошиблись, Минюст США не дал соврать, обнародовав обвинительное заключение в отношении двух братьев из Судана, которые подозреваются в причастности к деятельности группы и более 35 000 DDoS-атакам, реализованным с момента запуска в 2023 году.
Многие из их атак были политически мотивированы, затронув известные компании и сервисы, включая таких технологических гигантов, как Cloudflare, Microsoft и OpenAI, а также правительственные учреждения и организаций здравоохранения по всему миру.
Под силовой пресс попали два гражданина Судана по имени Ахмед Салах Юсиф Омер, 22 года, и Алаа Салах Юсуф Омер, 27 лет, которым вменяют управление и контроль над Anonymous Sudan.
Гособвинитель, прокурор США, Мартин Эстрада сообщил на пресс-конференции, что Anonymous Sudan классифицируется как «самая опасная кибергруппа с точки зрения DDoS-атак».
Суданцы были задержаны еще в марте, когда спецслужбам удалось захватить инфраструктуру Anonymous Sudan.
Правда, выдавшая хакеров страна не называется, при этом они не находятся под стражей в США, но допрашивало их ФБР.
В отличие от других, Anonymous Sudan не компрометировали устройства для задействования их в атаках.
Вместо этого они использовали инструменты Skynet Botnet или DCAT, которые полагались на открытые прокси-серверы для подавления целевых серверов.
Оба подозреваемых теперь обвиняются в сговоре с целью повреждения защищенных компьютеров, а Ахмед Омер также обвиняется по трем пунктам в повреждении защищенных компьютеров.
Ему грозит максимальное пожизненное заключение «за безрассудное создание угрозы жизни» в результате нападения на больницу Cedars-Sinai, что может стать первым случаем использования такого закона в практике по киберпреступлениям в США.
Уверены, Anonymous Sudan еще вернется. No pasaran ✊
Telegram
SecAtor
Microsoft DTAC пора бы давать объявления "Проводим атрибуцию. Недорого. Правда хреново".
Microsoft приписывает недавнюю кибератаку на сатирический французский журнал Charlie Hebdo связанной с Ираном APT-группе NEPTUNIUM (он же Emennet Pasargad, Holy Souls).…
Microsoft приписывает недавнюю кибератаку на сатирический французский журнал Charlie Hebdo связанной с Ираном APT-группе NEPTUNIUM (он же Emennet Pasargad, Holy Souls).…
Критическая уязвимость в Kubernetes может привести к несанкционированному доступу по SSH к виртуальной машине, на которой запущен образ, созданный с помощью Kubernetes Image Builder.
Согласно рекомендациям по безопасности, критическая уязвимость затрагивает образы виртуальных машин, созданные с помощью поставщика Proxmox в Image Builder версии 0.1.37 или более ранней.
Проблема отслеживается как CVE-2024-9486 и обусловлена использованием учетных данных по умолчанию, которые включены в процессе создания образа и не отключаются впоследствии.
Злоумышленник, зная об этом, может подключиться по SSH-соединению и использовать эти учетные данные для получения доступа с привилегиями root к уязвимым виртуальным машинам.
Решением является пересборка затронутых образов виртуальных машин с помощью Kubernetes Image Builder версии v0.1.38 или более поздней, который устанавливает случайно сгенерированный пароль во время процесса сборки, а также отключает учетную запись сборщика по умолчанию.
Если в данный момент обновление невозможно, временным решением является отключение учетной записи сборщика с помощью команды: usermod -L builder.
Более подробную информацию о мерах по смягчению последствий и о том, как проверить, затронута ли ваша система, можно найти на GitHub.
Причем та же проблема характерна и для образов, созданных с помощью Nutanix, OVA, QEMU или raw, но она имеет средний уровень серьезности из-за дополнительных требований для успешной эксплуатации.
Уязвимость также идентифицирована как CVE-2024-9594.
В частности, она может быть использована только в процессе сборки и требует, чтобы злоумышленник получил доступ к виртуальной машине, создающей образ, и выполнил определенные действия для сохранения учетных данных по умолчанию, что позволит получить доступ в будущем.
Те же самые рекомендации по исправлению и смягчению последствий применимы и к CVE-2024-9594.
Согласно рекомендациям по безопасности, критическая уязвимость затрагивает образы виртуальных машин, созданные с помощью поставщика Proxmox в Image Builder версии 0.1.37 или более ранней.
Проблема отслеживается как CVE-2024-9486 и обусловлена использованием учетных данных по умолчанию, которые включены в процессе создания образа и не отключаются впоследствии.
Злоумышленник, зная об этом, может подключиться по SSH-соединению и использовать эти учетные данные для получения доступа с привилегиями root к уязвимым виртуальным машинам.
Решением является пересборка затронутых образов виртуальных машин с помощью Kubernetes Image Builder версии v0.1.38 или более поздней, который устанавливает случайно сгенерированный пароль во время процесса сборки, а также отключает учетную запись сборщика по умолчанию.
Если в данный момент обновление невозможно, временным решением является отключение учетной записи сборщика с помощью команды: usermod -L builder.
Более подробную информацию о мерах по смягчению последствий и о том, как проверить, затронута ли ваша система, можно найти на GitHub.
Причем та же проблема характерна и для образов, созданных с помощью Nutanix, OVA, QEMU или raw, но она имеет средний уровень серьезности из-за дополнительных требований для успешной эксплуатации.
Уязвимость также идентифицирована как CVE-2024-9594.
В частности, она может быть использована только в процессе сборки и требует, чтобы злоумышленник получил доступ к виртуальной машине, создающей образ, и выполнил определенные действия для сохранения учетных данных по умолчанию, что позволит получить доступ в будущем.
Те же самые рекомендации по исправлению и смягчению последствий применимы и к CVE-2024-9594.
Discuss Kubernetes
[Security Advisory] CVE-2024-9486 and CVE-2024-9594: VM images built with Kubernetes Image Builder use default credentials
Hello Kubernetes Community, A security issue was discovered in Kubernetes where an unauthorized user may be able to ssh to a node VM which uses a VM image built with the Kubernetes Image Builder project (https://github.com/kubernetes-sigs/image-builder).…
Аналитики принадлежащей Google Mandiant сообщают о новой тревожной тенденции, связанной с тем, что злоумышленники демонстрируют более высокий уровень возможностей по обнаружению и использованию 0-day в программном обеспечении.
По данным Mandiant, из 138 уязвимостей, которые были раскрыты как активно эксплуатируемые в 2023 году, 97 (70,3%) были использованы как нули в атаках еще до того, как затронутые поставщики узнали о существовании ошибок или смогли бы их исправить.
С 2020 по 2022 год соотношение между n-днями (исправленные уязвимости) и нулевыми днями (отсутствие исправления) оставалось относительно стабильным и составляло 4:6, но в 2023 году соотношение изменилось до 3:7.
Причем это связано не с уменьшением количества эксплуатируемых n-day, а с ростом числа эксплуатируемых нулей и улучшением возможностей поставщиков средств безопасности по их обнаружению.
Рост вредоносной активности и диверсификация целевых продуктов также отражаются в количестве поставщиков, затронутых активно эксплуатируемыми уязвимостями, которое возросло в 2023 году до рекордных 56 по сравнению с 44 в 2022 году.
Другим важным трендом стало сокращение времени, необходимого для эксплуатации TTE недавно обнаруженной уязвимости (n-day или 0-day), - до пяти дней!
Для сравнения, в 2018-2019 годах TTE составлял 63 дня, а в 2021-2022 годах - 32 дня, что давало достаточно времени для планирования и применения исправлений или внедрения мер по смягчению последствий для защиты затронутых систем.
Однако теперь, когда TTE сократилось до 5 дней, такие стратегии, как сегментация сети, обнаружение в реальном времени и оперативное определение приоритетов исправлений, выходят на первый план.
В связи с этим Google больше не видит корреляции между раскрытием эксплойтов и TTE.
В 2023 году 75% эксплойтов были обнародованы до начала их эксплуатации в реальных условиях, а 25% были выпущены после того, как хакеры уже начали использовать уязвимости.
В отчете приведены два примера, демонстрирующие отсутствие взаимосвязи между доступностью эксплойтов и вредоносной активностью: CVE-2023-28121 (плагин WordPress) и CVE-2023-27997 (Fortinet FortiOS).
В первом случае эксплуатация началась через три месяца после раскрытия информации и через десять дней после публикации PoC, а в случае FortiOS - практически сразу была использована в PoC, но первый случай вредоносной эксплуатации был зафиксирован четыре месяца спустя.
Сложность эксплуатации, мотивация субъекта угрозы, целевая ценность и общая сложность атаки - все это продолжает играть роль в TTE, однако какую-либо корреляцию с доступностью PoC теперь можно не учитывать вовсе.
По данным Mandiant, из 138 уязвимостей, которые были раскрыты как активно эксплуатируемые в 2023 году, 97 (70,3%) были использованы как нули в атаках еще до того, как затронутые поставщики узнали о существовании ошибок или смогли бы их исправить.
С 2020 по 2022 год соотношение между n-днями (исправленные уязвимости) и нулевыми днями (отсутствие исправления) оставалось относительно стабильным и составляло 4:6, но в 2023 году соотношение изменилось до 3:7.
Причем это связано не с уменьшением количества эксплуатируемых n-day, а с ростом числа эксплуатируемых нулей и улучшением возможностей поставщиков средств безопасности по их обнаружению.
Рост вредоносной активности и диверсификация целевых продуктов также отражаются в количестве поставщиков, затронутых активно эксплуатируемыми уязвимостями, которое возросло в 2023 году до рекордных 56 по сравнению с 44 в 2022 году.
Другим важным трендом стало сокращение времени, необходимого для эксплуатации TTE недавно обнаруженной уязвимости (n-day или 0-day), - до пяти дней!
Для сравнения, в 2018-2019 годах TTE составлял 63 дня, а в 2021-2022 годах - 32 дня, что давало достаточно времени для планирования и применения исправлений или внедрения мер по смягчению последствий для защиты затронутых систем.
Однако теперь, когда TTE сократилось до 5 дней, такие стратегии, как сегментация сети, обнаружение в реальном времени и оперативное определение приоритетов исправлений, выходят на первый план.
В связи с этим Google больше не видит корреляции между раскрытием эксплойтов и TTE.
В 2023 году 75% эксплойтов были обнародованы до начала их эксплуатации в реальных условиях, а 25% были выпущены после того, как хакеры уже начали использовать уязвимости.
В отчете приведены два примера, демонстрирующие отсутствие взаимосвязи между доступностью эксплойтов и вредоносной активностью: CVE-2023-28121 (плагин WordPress) и CVE-2023-27997 (Fortinet FortiOS).
В первом случае эксплуатация началась через три месяца после раскрытия информации и через десять дней после публикации PoC, а в случае FortiOS - практически сразу была использована в PoC, но первый случай вредоносной эксплуатации был зафиксирован четыре месяца спустя.
Сложность эксплуатации, мотивация субъекта угрозы, целевая ценность и общая сложность атаки - все это продолжает играть роль в TTE, однако какую-либо корреляцию с доступностью PoC теперь можно не учитывать вовсе.
Google Cloud Blog
How Low Can You Go? An Analysis of 2023 Time-to-Exploit Trends | Google Cloud Blog
Mandiant analyzed 138 vulnerabilities that were disclosed in 2023 and that we tracked as exploited in the wild.
Исследователи Trend Micro сообщают об обнаружении злоумышленников, предпринимающих попытки интегрировать инструмент с открытым исходным кодом EDRSilencer в свои атаки, используя его как средство уклонения от обнаружения.
EDRSilencer, созданный по образцу инструмента NightHawk FireBlock от MDSec, предназначен для блокировки исходящего трафика запущенных процессов EDR с использованием платформы фильтрации Windows (WFP).
Он поддерживает завершение различных процессов, связанных с продуктами EDR от Microsoft, Elastic, Trellix, Qualys, SentinelOne, Cybereason, Broadcom Carbon Black, Tanium, Palo Alto Networks, Fortinet, Cisco, ESET, HarfangLab и Trend Micro.
Основной целью задействования таких легальных инструментов Red Teaming в арсенал является необходимость нейтрализации программного обеспечения EDR и значительно усложнения выявление вредоносного ПО.
Как отмечают в Trend Micro, WFP - это довольно мощная структура, встроенная в Windows для создания сетевых фильтров и приложений безопасности, используемая в брандмауэрах, антивирусном ПО и других решениях безопасности для защиты систем и сетей.
Она предоставляет API-интерфейсы разработчикам для определения пользовательских правил мониторинга, блокировки или изменения сетевого трафика на основе различных критериев, таких как IP-адреса, порты, протоколы и приложения.
EDRSilencer использует все преимущества WFP, динамически определяя запущенные процессы EDR и создавая постоянные фильтры для блокировки их исходящих сетевых соединений как по IPv4, так и по IPv6, тем самым не позволяя ПО безопасности отправлять телеметрию на их консоли управления.
Атака по сути работает путем сканирования системы для сбора списка запущенных процессов, связанных с распространенными продуктами EDR, с последующим запуском EDRSilencer с аргументом «blockedr» (например, EDRSilencer.exe blockedr) для блокирования исходящего трафика от этих процессов путем настройки фильтров WFP.
Тесты TrendMicro с EDRSilencer показали, что некоторые из затронутых инструментов EDR все равно могут отправлять отчеты, поскольку один или несколько их исполняемых файлов не включены в жестко заданный список инструмента Red Team.
Однако EDRSilencer реализует возможность добавлять фильтры для определенных процессов, предоставляя пути к файлам, поэтому можно расширить список целевых процессов, чтобы охватить различные инструменты безопасности.
Это позволяет вредоносному ПО или другой активности оставаться незамеченными, увеличивая вероятность успешных атак без обнаружения или вмешательства, что подчеркивает наметившуюся тенденцию к поиску киберподпольем наболее эффективных инструментов для своих атак, особенно по части отключения антивирусных и EDR-решений.
EDRSilencer, созданный по образцу инструмента NightHawk FireBlock от MDSec, предназначен для блокировки исходящего трафика запущенных процессов EDR с использованием платформы фильтрации Windows (WFP).
Он поддерживает завершение различных процессов, связанных с продуктами EDR от Microsoft, Elastic, Trellix, Qualys, SentinelOne, Cybereason, Broadcom Carbon Black, Tanium, Palo Alto Networks, Fortinet, Cisco, ESET, HarfangLab и Trend Micro.
Основной целью задействования таких легальных инструментов Red Teaming в арсенал является необходимость нейтрализации программного обеспечения EDR и значительно усложнения выявление вредоносного ПО.
Как отмечают в Trend Micro, WFP - это довольно мощная структура, встроенная в Windows для создания сетевых фильтров и приложений безопасности, используемая в брандмауэрах, антивирусном ПО и других решениях безопасности для защиты систем и сетей.
Она предоставляет API-интерфейсы разработчикам для определения пользовательских правил мониторинга, блокировки или изменения сетевого трафика на основе различных критериев, таких как IP-адреса, порты, протоколы и приложения.
EDRSilencer использует все преимущества WFP, динамически определяя запущенные процессы EDR и создавая постоянные фильтры для блокировки их исходящих сетевых соединений как по IPv4, так и по IPv6, тем самым не позволяя ПО безопасности отправлять телеметрию на их консоли управления.
Атака по сути работает путем сканирования системы для сбора списка запущенных процессов, связанных с распространенными продуктами EDR, с последующим запуском EDRSilencer с аргументом «blockedr» (например, EDRSilencer.exe blockedr) для блокирования исходящего трафика от этих процессов путем настройки фильтров WFP.
Тесты TrendMicro с EDRSilencer показали, что некоторые из затронутых инструментов EDR все равно могут отправлять отчеты, поскольку один или несколько их исполняемых файлов не включены в жестко заданный список инструмента Red Team.
Однако EDRSilencer реализует возможность добавлять фильтры для определенных процессов, предоставляя пути к файлам, поэтому можно расширить список целевых процессов, чтобы охватить различные инструменты безопасности.
Это позволяет вредоносному ПО или другой активности оставаться незамеченными, увеличивая вероятность успешных атак без обнаружения или вмешательства, что подчеркивает наметившуюся тенденцию к поиску киберподпольем наболее эффективных инструментов для своих атак, особенно по части отключения антивирусных и EDR-решений.
Trend Micro
Silent Threat: Red Team Tool EDRSilencer Disrupting Endpoint Security Solutions
Forwarded from Social Engineering
• Недавно наш бот для проверки файлов и ссылок на наличие угроз пересек сразу несколько ключевых отметок:
- Общее число пользователей достигло 22 000;
- 11 000 человек используют бота на постоянной основе;
- Бот был добавлен в 3000 публичных чатов для проверки файлов и защиты пользователей.
• Это хороший повод напомнить, что Вы всегда можете проверить свои файлы или ссылки на предмет угроз и получить подробный отчет по итогу анализа. Напомню, проверка осуществляется 70 антивирусами одновременно. Бот полностью бесплатный, без спам-рассылок, без обязательной подписки и без рекламы.
• Помимо всего вышеперечисленного мы всегда прислушиваемся к пожеланиям пользователей и стараемся доработать функционал в той или иной мере. Тем самым мы реализовали множество доработок в части удобства и сделали отдельную группу с описанием обновлений и коммуникацией. Пользуйтесь и всегда проверяйте то, что качаете с различных источников: @VirusDetect
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
Исследователи сингапурской Group-IB расчехлили зарождающуюся RaaS под названием Cicada3301 после успешного получения доступа к партнерской панели группы в даркнете.
Group-IB удалось выйти на связь с хакером под псевдонимом Cicada3301 на форуме RAMP через службу обмена сообщениями Tox после того, как банда разместила рекламу с предложением к новым партнерам присоединиться к в своей партнерской программе.
Cicada3301 запустила партнерскую программу по набору тестировщиков на проникновение (пентестеров) и брокеров доступа, предлагая комиссию в размере 20% и предоставляя веб-панель с обширными функциями.
В панели инструментов операторов банды вымогателей Cicada3301 содержались такие разделы, как панель инструментов, новости, компании, чат компаний, чат поддержки, учетная запись, раздел FAQ и выход из системы.
Cicada3301 впервые засветилась в июне 2024 года, когда инфосек-сообщество обнаружило сильное сходство исходного кода с ныне несуществующей группой вымогателей BlackCat
По оценкам, схема RaaS привела к компрометации не менее 30 организаций в критически важных секторах, большинство из которых находятся в США и Великобритании.
Программа-вымогатель на основе Rust является кроссплатформенной и позволяет ее операторам атаковать устройства под управлением Windows, Linux Ubuntu, Debian, CentOS, Rocky Linux, Scientific Linux, SUSE, Fedora, ESXi, NAS, PowerPC, PowerPC64 и PowerPC64LE.
Как и другие штаммы ransomware, атаки с участием Cicada3301 способны полностью или частично шифровать файлы, но не раньше, чем выключаются виртуальные машины, блокируется восстановление системы, завершаются процессы и службы, удаляются теневые копии.
Штамм также способен шифровать сетевые ресурсы для максимального воздействия. Все это позволило Cicada3301 быстро зарекомендовать себя как серьезную угрозу в сфере программ-вымогателей благодаря своим сложным операциям и передовым инструментам.
Используя шифрование ChaCha20 + RSA с настраиваемыми режимами и предлагая настраиваемую партнерскую панель, Cicada3301 обеспечивает своим операторам осуществлять эффективные таргетированные атаки.
При этом схема двойного вымогательства с извлечениюем данных перед шифрованием добавляет дополнительный уровень давления на жертв, в то время как возможность блокировать работу виртуальных машин увеличивает воздействие их атак.
Технические подробности, IOC и рекомендации - в отчете.
Group-IB удалось выйти на связь с хакером под псевдонимом Cicada3301 на форуме RAMP через службу обмена сообщениями Tox после того, как банда разместила рекламу с предложением к новым партнерам присоединиться к в своей партнерской программе.
Cicada3301 запустила партнерскую программу по набору тестировщиков на проникновение (пентестеров) и брокеров доступа, предлагая комиссию в размере 20% и предоставляя веб-панель с обширными функциями.
В панели инструментов операторов банды вымогателей Cicada3301 содержались такие разделы, как панель инструментов, новости, компании, чат компаний, чат поддержки, учетная запись, раздел FAQ и выход из системы.
Cicada3301 впервые засветилась в июне 2024 года, когда инфосек-сообщество обнаружило сильное сходство исходного кода с ныне несуществующей группой вымогателей BlackCat
По оценкам, схема RaaS привела к компрометации не менее 30 организаций в критически важных секторах, большинство из которых находятся в США и Великобритании.
Программа-вымогатель на основе Rust является кроссплатформенной и позволяет ее операторам атаковать устройства под управлением Windows, Linux Ubuntu, Debian, CentOS, Rocky Linux, Scientific Linux, SUSE, Fedora, ESXi, NAS, PowerPC, PowerPC64 и PowerPC64LE.
Как и другие штаммы ransomware, атаки с участием Cicada3301 способны полностью или частично шифровать файлы, но не раньше, чем выключаются виртуальные машины, блокируется восстановление системы, завершаются процессы и службы, удаляются теневые копии.
Штамм также способен шифровать сетевые ресурсы для максимального воздействия. Все это позволило Cicada3301 быстро зарекомендовать себя как серьезную угрозу в сфере программ-вымогателей благодаря своим сложным операциям и передовым инструментам.
Используя шифрование ChaCha20 + RSA с настраиваемыми режимами и предлагая настраиваемую партнерскую панель, Cicada3301 обеспечивает своим операторам осуществлять эффективные таргетированные атаки.
При этом схема двойного вымогательства с извлечениюем данных перед шифрованием добавляет дополнительный уровень давления на жертв, в то время как возможность блокировать работу виртуальных машин увеличивает воздействие их атак.
Технические подробности, IOC и рекомендации - в отчете.
Group-IB
Encrypted Symphony | Group-IB Blog
We observed how the Cicada3301 Ransomware-as-a-Service (RaaS) group operates, detailing the workflow of their affiliates within the panel and examining the Windows, Linux, ESXi, and PowerPC variants of the ransomware.
Microsoft раскрыла новую уязвимость macOS, которую злоумышленники могут использовать для получения несанкционированного доступа к защищенным данным.
На компьютерах Mac используется технология прозрачности, согласия и контроля TCC, которая не позволяет приложениям получать доступ к личной информации пользователей, такой как местоположение, история просмотров, камера, микрофон и тд., без их согласия.
Исследователи из Microsoft Threat Intelligence обнаружили обход, который снимает защиту TCC для каталога браузера Safari.
Недостаток, получивший кодовое название HM Surf, отслеживается как CVE-2024-44133.
Он после ответственного раскрытия информации был устранен Apple в рамках macOS Sequoia 15 путем удаления уязвимого кода.
При этом Microsoft уже обнаружила вредоносную активность, связанную с Adload, распространенным семейством угроз macOS, потенциально эксплуатирующим эту уязвимость
Обычно любое приложение на macOS запрашивает у пользователя разрешение на доступ к конфиденциальным сервисам или данным.
Однако Safari может свободно получать доступ к адресной книге, камере, микрофону и многому другому, используя com.apple.private.tcc.allow.
По умолчанию Safari по-прежнему отображает всплывающее окно при попытке доступа к этим функциям, но злоумышленники могут удалить защиту TCC для каталога Safari, изменив файлы конфигурации.
Если пользователь затем откроет вредоносную веб-страницу, злоумышленники смогут сделать снимки камеры или отследить местоположение устройства.
В реальном сценарии злоумышленник может действовать скрытно, например, запустить Safari в очень маленьком окне, чтобы не привлекать внимания, и затем выкрасть конфиденциальные данные.
Исследователи Microsoft наблюдали, как злоумышленники использовали Adload для обнаружения текущей версии macOS, получения идентификаторов пользователей, проверки паролей, добавления обходов для доступа к микрофону и камере и запуска загрузчиков.
Правда пока неясно, использовалась ли в этой кампании уязвимость напрямую.
Тем не менее Apple реализовала дополнительные меры защиты файлов конфигурации от изменения внешними злоумышленниками, устранив класс уязвимости.
На компьютерах Mac используется технология прозрачности, согласия и контроля TCC, которая не позволяет приложениям получать доступ к личной информации пользователей, такой как местоположение, история просмотров, камера, микрофон и тд., без их согласия.
Исследователи из Microsoft Threat Intelligence обнаружили обход, который снимает защиту TCC для каталога браузера Safari.
Недостаток, получивший кодовое название HM Surf, отслеживается как CVE-2024-44133.
Он после ответственного раскрытия информации был устранен Apple в рамках macOS Sequoia 15 путем удаления уязвимого кода.
При этом Microsoft уже обнаружила вредоносную активность, связанную с Adload, распространенным семейством угроз macOS, потенциально эксплуатирующим эту уязвимость
Обычно любое приложение на macOS запрашивает у пользователя разрешение на доступ к конфиденциальным сервисам или данным.
Однако Safari может свободно получать доступ к адресной книге, камере, микрофону и многому другому, используя com.apple.private.tcc.allow.
По умолчанию Safari по-прежнему отображает всплывающее окно при попытке доступа к этим функциям, но злоумышленники могут удалить защиту TCC для каталога Safari, изменив файлы конфигурации.
Если пользователь затем откроет вредоносную веб-страницу, злоумышленники смогут сделать снимки камеры или отследить местоположение устройства.
В реальном сценарии злоумышленник может действовать скрытно, например, запустить Safari в очень маленьком окне, чтобы не привлекать внимания, и затем выкрасть конфиденциальные данные.
Исследователи Microsoft наблюдали, как злоумышленники использовали Adload для обнаружения текущей версии macOS, получения идентификаторов пользователей, проверки паролей, добавления обходов для доступа к микрофону и камере и запуска загрузчиков.
Правда пока неясно, использовалась ли в этой кампании уязвимость напрямую.
Тем не менее Apple реализовала дополнительные меры защиты файлов конфигурации от изменения внешними злоумышленниками, устранив класс уязвимости.
Microsoft News
New macOS vulnerability, “HM Surf”, could lead to unauthorized data access
Microsoft Threat Intelligence uncovered a macOS vulnerability that could potentially allow an attacker to bypass the operating system’s Transparency, Consent, and Control (TCC) technology and gain unauthorized access to a user’s protected data. The vulnerability…
Исследователи из Лаборатории Касперского раскрывают подробности связанной с группой TA569 продолжительной кампании под названием Horns&Hooves, разбирая различные варианты доставки и использования легитимного ПО для вредоносных целей.
В последние месяцы фиксировался значительный рост рассылок с достаточно однотипными вложениями в письмах, представляющими собой ZIP-архивы со скриптами JScript.
Файлы скриптов маскируются под запросы и заявки от потенциальных клиентов или партнеров.
По данным телеметрии, кампания началась в марте 2023 года и затронула больше тысячи частных пользователей, торговых предприятий и предприятий в сфере услуг, расположенных преимущественно в России.
Причем в ходе кампании злоумышленники меняли некоторые свои TTPs, активно экспериментируя с новыми инструментами.
За время существования кампании злоумышленники несколько раз значительно изменили вредоносный скрипт, сохранив при этом метод распространения.
В самых ранних версиях, вместо JS-скриптов использовались скрипты с расширением HTA.
Кроме того, они постепенно уходили от использования дополнительных серверов для доставки полезной нагрузки, в итоге оставив только два, которые используются самим ПО для удаленного администрирования.
Сначала атакующие добавили в свой арсенал BurnsRAT, а затем отказались от него, а весь необходимый программный код для установки и запуска NetSupport RAT перенесли в один единственный скрипт.
Вероятно, злоумышленники рассматривают такой подход более эффективным как с точки зрения разработки, так и в плане сложности обнаружения.
Установка BurnsRAT или NetSupport RAT является лишь промежуточным звеном в атаке, предоставляющим злоумышленникам удаленный доступ к компьютеру.
В ряде наблюдаемых случаев были замечены попытки использовать NetSupport RAT для установки таких стилеров, как Rhadamanthys и Meduza.
При этом, как правило, причастная к атакам TA569 получает доступ к организациям, чтобы в дальнейшем реализовать его в киберподполье другим злоумышленникам, действия которых могут варьироваться от кражи данных до шифрования систем.
Вместе с тем, допускается также и то, что злоумышленники могут собирать различные документы и электронные адреса для дальнейшего развития кампании, поскольку самые ранние скрипты вместо NetSupport RAT распространяли Rhadamanthys.
Индикаторы компрометации и подробный технический разбор всех вариантов рассылок - в отчете.
В последние месяцы фиксировался значительный рост рассылок с достаточно однотипными вложениями в письмах, представляющими собой ZIP-архивы со скриптами JScript.
Файлы скриптов маскируются под запросы и заявки от потенциальных клиентов или партнеров.
По данным телеметрии, кампания началась в марте 2023 года и затронула больше тысячи частных пользователей, торговых предприятий и предприятий в сфере услуг, расположенных преимущественно в России.
Причем в ходе кампании злоумышленники меняли некоторые свои TTPs, активно экспериментируя с новыми инструментами.
За время существования кампании злоумышленники несколько раз значительно изменили вредоносный скрипт, сохранив при этом метод распространения.
В самых ранних версиях, вместо JS-скриптов использовались скрипты с расширением HTA.
Кроме того, они постепенно уходили от использования дополнительных серверов для доставки полезной нагрузки, в итоге оставив только два, которые используются самим ПО для удаленного администрирования.
Сначала атакующие добавили в свой арсенал BurnsRAT, а затем отказались от него, а весь необходимый программный код для установки и запуска NetSupport RAT перенесли в один единственный скрипт.
Вероятно, злоумышленники рассматривают такой подход более эффективным как с точки зрения разработки, так и в плане сложности обнаружения.
Установка BurnsRAT или NetSupport RAT является лишь промежуточным звеном в атаке, предоставляющим злоумышленникам удаленный доступ к компьютеру.
В ряде наблюдаемых случаев были замечены попытки использовать NetSupport RAT для установки таких стилеров, как Rhadamanthys и Meduza.
При этом, как правило, причастная к атакам TA569 получает доступ к организациям, чтобы в дальнейшем реализовать его в киберподполье другим злоумышленникам, действия которых могут варьироваться от кражи данных до шифрования систем.
Вместе с тем, допускается также и то, что злоумышленники могут собирать различные документы и электронные адреса для дальнейшего развития кампании, поскольку самые ранние скрипты вместо NetSupport RAT распространяли Rhadamanthys.
Индикаторы компрометации и подробный технический разбор всех вариантов рассылок - в отчете.
Securelist
NetSupport RAT и RMS в почтовых рассылках
Злоумышленники рассылают вредоносные скрипты, загружающие сборку Remote Manipulator System (RMS), известную как BurnsRAT, и NetSupport RAT
Пекин продолжает прессинг, выступив с новыми публичными разоблачениями в адрес АНБ США и требованиями проведения прозрачного расследования.
Китайская ассоциация кибербезопасности (CSAC) обвинила компанию Intel во внедрении бэкдоров в процессоры по указанию АНБ США (NSA).
Документ CSAC повествует об участившихся уязвимостях в процессорах Intel (Downfall, Reptar, GhostRace, NativeBHI и Indirector) и указывает на низкую надежность продукции, разработчики которой предпочитают игнорировать какие-либо жалобы со стороны пользователей по поводу сбоев.
Как считает китайский регулятор, выявленные преднамереные уязвимости в процессорах Intel представляют собой серьёзную угрозу для безопасности национальная критической информационной инфраструктуры.
CSAC отмечает, что в процессорах Intel, начиная с 2008 года, реализована технология Management Engine (ME), которая является частью широко разрекламированной технологии Active Management Technology и позволяет удалённо выполнять различные команды на компьютере.
Причем в случае активации ME при наличии доступа в сеть к хосту может быть получен удаленный доступ вне зависимости от установки на нем ОС.
Фактически ME - это бэкдор, который позволяет получить полный доступ к памяти, обходить брандмауэры операционной системы, отправлять и получать сетевые пакеты без ведома пользователя, который, в свою очередь, не может отключить функцию.
При этом в самой AMT, реализованной на основе технологии ME, в 2017 году была вскрыта высокосерьезная уязвимость (CVE-2017-5689), позволявшая обойти механизм аутентификации и войти в систему напрямую, получая наивысшие привилегии.
Кроме того, в отчете CSAC упоминается работа Позитивов, которые в 2017 году обнаружили скрытый Kill Switch, предположительно, созданный по инициативе АНБ и находившийся в HAP (High Assurance Platform), о чем в официальной документации ни слова.
Переключатель позволяет NSA отключать ME на устройствах в США, в то время как во всём остальном мире ME продолжает функционировать, оставляя другие системы потенциально уязвимыми.
В общем, баталии между США и Китаем не утихают, а Intel, чья значительная часть выручки приходится на Поднебесную, рискует стать сакральной жертвой этого противостояния в случае расследования кейса с бэкдорами.
Так что будем следить.
Китайская ассоциация кибербезопасности (CSAC) обвинила компанию Intel во внедрении бэкдоров в процессоры по указанию АНБ США (NSA).
Документ CSAC повествует об участившихся уязвимостях в процессорах Intel (Downfall, Reptar, GhostRace, NativeBHI и Indirector) и указывает на низкую надежность продукции, разработчики которой предпочитают игнорировать какие-либо жалобы со стороны пользователей по поводу сбоев.
Как считает китайский регулятор, выявленные преднамереные уязвимости в процессорах Intel представляют собой серьёзную угрозу для безопасности национальная критической информационной инфраструктуры.
CSAC отмечает, что в процессорах Intel, начиная с 2008 года, реализована технология Management Engine (ME), которая является частью широко разрекламированной технологии Active Management Technology и позволяет удалённо выполнять различные команды на компьютере.
Причем в случае активации ME при наличии доступа в сеть к хосту может быть получен удаленный доступ вне зависимости от установки на нем ОС.
Фактически ME - это бэкдор, который позволяет получить полный доступ к памяти, обходить брандмауэры операционной системы, отправлять и получать сетевые пакеты без ведома пользователя, который, в свою очередь, не может отключить функцию.
При этом в самой AMT, реализованной на основе технологии ME, в 2017 году была вскрыта высокосерьезная уязвимость (CVE-2017-5689), позволявшая обойти механизм аутентификации и войти в систему напрямую, получая наивысшие привилегии.
Кроме того, в отчете CSAC упоминается работа Позитивов, которые в 2017 году обнаружили скрытый Kill Switch, предположительно, созданный по инициативе АНБ и находившийся в HAP (High Assurance Platform), о чем в официальной документации ни слова.
Переключатель позволяет NSA отключать ME на устройствах в США, в то время как во всём остальном мире ME продолжает функционировать, оставляя другие системы потенциально уязвимыми.
В общем, баталии между США и Китаем не утихают, а Intel, чья значительная часть выручки приходится на Поднебесную, рискует стать сакральной жертвой этого противостояния в случае расследования кейса с бэкдорами.
Так что будем следить.
The Register
China’s infosec leads accuse Intel of NSA backdoor, cite chip security flaws
Uncle Sam having a secret way into US tech? Say it ain't so
Эксклюзивного партнера ESET в Израиле взломали для реализации рассылки фишинговых писем в адрес израильских компаний, распространяя вайпер, замаскированный под антивирусное ПО.
Фишинговая кампания началась 8 октября с использованием легитимного домена eset.co.il и включала электронные письма с официальным логотипом ESET.
При этом омен eset.co.il маркирован контентом и логотипами ESET, однако, по заявлениям компании, им управляет Comsecure, ее дистрибьютор в Израиле.
Письма от якобы ESET's Advanced Threat Defense Team, предупреждающие клиентов о попытках атак устройства получателя со стороны APT, а для защиты предлагался более продвинутый антивирусный инструмент под названием ESET Unleashed для установки на любых 5 устройствах.
Заголовки фишинговых писем указывали на то, что письмо было отправлено с легитимных почтовых серверов eset.co.il, прошедших аутентификацию SPF, DKIM и DMARC.
Для большей легитимности ссылка на загрузку была размещена на домене eset.co.il по следующим UR: https://backend.store.eset.co[.]il/pub/2eb524d79ce77d5857abe1fe4399a58d/ESETUnleashed_081024.zip (в настоящее время отключены).
ZIP-архив (VirusTotal) содержит четыре файла DLL, подписанных цифровой подписью легитимного сертификата подписи кода ESET, включая и файл Setup.exe, который не подписан.
Четыре DLL являются легитимными файлами, распространяемыми как часть антивирусного ПО ESET, а Setup.exe (VirusTotal) является вредоносным вайпером.
Исследователю Кевину Бомонту удалось добиться его запуска на физическом ПК и изучить поведение, заметив множество очевидных приемов для уклонения от обнаружения.
На данный момент неизвестно, сколько компаний подверглось атаке этой фишинговой кампании и каким образом была взломана Comsecure, а равно не удалось и приписать ее какому-либо субъекту угроз.
Будем следить.
Фишинговая кампания началась 8 октября с использованием легитимного домена eset.co.il и включала электронные письма с официальным логотипом ESET.
При этом омен eset.co.il маркирован контентом и логотипами ESET, однако, по заявлениям компании, им управляет Comsecure, ее дистрибьютор в Израиле.
Письма от якобы ESET's Advanced Threat Defense Team, предупреждающие клиентов о попытках атак устройства получателя со стороны APT, а для защиты предлагался более продвинутый антивирусный инструмент под названием ESET Unleashed для установки на любых 5 устройствах.
Заголовки фишинговых писем указывали на то, что письмо было отправлено с легитимных почтовых серверов eset.co.il, прошедших аутентификацию SPF, DKIM и DMARC.
Для большей легитимности ссылка на загрузку была размещена на домене eset.co.il по следующим UR: https://backend.store.eset.co[.]il/pub/2eb524d79ce77d5857abe1fe4399a58d/ESETUnleashed_081024.zip (в настоящее время отключены).
ZIP-архив (VirusTotal) содержит четыре файла DLL, подписанных цифровой подписью легитимного сертификата подписи кода ESET, включая и файл Setup.exe, который не подписан.
Четыре DLL являются легитимными файлами, распространяемыми как часть антивирусного ПО ESET, а Setup.exe (VirusTotal) является вредоносным вайпером.
Исследователю Кевину Бомонту удалось добиться его запуска на физическом ПК и изучить поведение, заметив множество очевидных приемов для уклонения от обнаружения.
На данный момент неизвестно, сколько компаний подверглось атаке этой фишинговой кампании и каким образом была взломана Comsecure, а равно не удалось и приписать ее какому-либо субъекту угроз.
Будем следить.
Medium
EIW — ESET Israel Wiper — used in active attacks targeting Israeli orgs
A look at wiping of Israeli orgs.
Журналисты The Intercept сообщают о намерениях Министерства обороны США привлечь на подряд разработчика, способного создавать правдоподобные Интернет-личности посредством технологии deepfake в фото, видео и аудио форматах.
Об этом стало известно в результате анализа документации по объявленым госзакупкам.
Причем главное требование - умение создавать фейковые интернет-пользователей, настолько убедительных, чтобы раскрыть подделку не смогли ни специалисты, ни программные средства.
Главный бенефициар технологии - объединенное командования специальных операций Министерства обороны (JSOC), который «заинтересован в технологиях, способных генерировать убедительные онлайн-персоны для использования на платформах соцсетей, социальных медиа и другом онлайн-контенте.
При этом каждый из фейков должен иметь «множество выражений» и «фотографии, соответствующих требованиям государственного удостоверения личности».
В дополнение к статичным фото в документе отмечается, что «решение должно включать изображения лица и фона, видео лица и фона, аудиослои» и возможность генерации «селфи-видео», а реализующий виртуальную среду фон не должен детектироваться алгоритмами социальных сетей.
В общем, пока одной рукой штаты пытаются координировать борьбу с синтетическими медиа в формате deepfake, другой - подтягивают наиболее передовые разработки в этой сфере.
Так что все байки про операции влияния и дезинформацию - лишь мишура, в реальности - дядя Сэм давно умеет и в spyware, и в deepfake, и в бэкдоры от поставщика.
Об этом стало известно в результате анализа документации по объявленым госзакупкам.
Причем главное требование - умение создавать фейковые интернет-пользователей, настолько убедительных, чтобы раскрыть подделку не смогли ни специалисты, ни программные средства.
Главный бенефициар технологии - объединенное командования специальных операций Министерства обороны (JSOC), который «заинтересован в технологиях, способных генерировать убедительные онлайн-персоны для использования на платформах соцсетей, социальных медиа и другом онлайн-контенте.
При этом каждый из фейков должен иметь «множество выражений» и «фотографии, соответствующих требованиям государственного удостоверения личности».
В дополнение к статичным фото в документе отмечается, что «решение должно включать изображения лица и фона, видео лица и фона, аудиослои» и возможность генерации «селфи-видео», а реализующий виртуальную среду фон не должен детектироваться алгоритмами социальных сетей.
В общем, пока одной рукой штаты пытаются координировать борьбу с синтетическими медиа в формате deepfake, другой - подтягивают наиболее передовые разработки в этой сфере.
Так что все байки про операции влияния и дезинформацию - лишь мишура, в реальности - дядя Сэм давно умеет и в spyware, и в deepfake, и в бэкдоры от поставщика.
The Intercept
The Pentagon Wants to Use AI to Create Deepfake Internet Users
The Department of Defense wants technology so it can fabricate online personas that are indistinguishable from real people.
Путешествуете по Европе и не знаете, что за вами следят - ошибка, теперь даже по походке - фатальная ошибка.
Стартовала финансируемая Европейской комиссией пилотная программа по распознаванию походки для идентификации и отслеживания лиц, пересекающих границы Европейского Союза.
Инициатива под названием PopEye Project получила поддержку в виде гранта в размере 3,2 млн евро (3,5 млн долларов США), который обеспечит тестирование технологии изучения уникального стиля ходьбы на протяжении трех последующих лет.
По данным TechTransfer и швейцарского исследовательского института Idiap грант реализован через Horizon Europe, структуру для финансирования исследований и инноваций в рамках ЕС.
Эксперимент с внедрением PopEye на внешних границах ЕС призван на практике обкатать разработанные биометрические технологии для проверки и идентификации в сочетании с распознаванием походки.
Технология позволит правоохранительным органам и пограничным службам контролировать поток людей в движении, не останавливая их, на расстоянии до 200 метров в различных условиях окружающей среды, в том числе на открытой местности и транспорте.
Как отмечает издание Biometric Update, в основу PopEye легло исследование Frontex от 2021 года, в котором признается, что технология распознавания походки сама по себе может быть менее точной, но в сочетании с 3D-распознаванием лиц может обеспечить проверку «на ходу».
При этом проект PopEye позиционируется как сохраняющий конфиденциальность и несет для путешественников одни только плюсы, полностью соответствуя Закону ЕС об ИИ и Общему регламенту по защите данных (можно выдохнуть).
В общем, киберпанк, который мы заслужили.
Стартовала финансируемая Европейской комиссией пилотная программа по распознаванию походки для идентификации и отслеживания лиц, пересекающих границы Европейского Союза.
Инициатива под названием PopEye Project получила поддержку в виде гранта в размере 3,2 млн евро (3,5 млн долларов США), который обеспечит тестирование технологии изучения уникального стиля ходьбы на протяжении трех последующих лет.
По данным TechTransfer и швейцарского исследовательского института Idiap грант реализован через Horizon Europe, структуру для финансирования исследований и инноваций в рамках ЕС.
Эксперимент с внедрением PopEye на внешних границах ЕС призван на практике обкатать разработанные биометрические технологии для проверки и идентификации в сочетании с распознаванием походки.
Технология позволит правоохранительным органам и пограничным службам контролировать поток людей в движении, не останавливая их, на расстоянии до 200 метров в различных условиях окружающей среды, в том числе на открытой местности и транспорте.
Как отмечает издание Biometric Update, в основу PopEye легло исследование Frontex от 2021 года, в котором признается, что технология распознавания походки сама по себе может быть менее точной, но в сочетании с 3D-распознаванием лиц может обеспечить проверку «на ходу».
При этом проект PopEye позиционируется как сохраняющий конфиденциальность и несет для путешественников одни только плюсы, полностью соответствуя Закону ЕС об ИИ и Общему регламенту по защите данных (можно выдохнуть).
В общем, киберпанк, который мы заслужили.
therecord.media
Europe launches ‘gait recognition’ pilot program to monitor border crossings
A previous study praised gait recognition technology, which identifies people based on their walking styles, because “it does not require the subject to cooperate.”