Adobe выпустила внеплановые обновления безопасности для Photoshop, Prelude и Bridge.
Апдейтами устранены 13 уязвимостей, 12 из которых являются критическими и могут привести к удаленному выполнению кода. Еще одна уязвимость была устранена в Adobe Mobile Reader под Android. Для их использования хакеру необходимо убедить атакуемого пользователя открыть вредоносный файл типа MOV, MP4 и 3GP, либо перейти по ссылке на специальным образом созданный сайт.
Ошибки были найдены исследователем Мэтом Пауэллом в рамках Trend Micro Zero Day Initiative. Использовались ли эти уязвимости в дикой природе - не сообщается.
Как всегда, призываем всех, кто используюет эти программные продукты, срочно обновиться.
Апдейтами устранены 13 уязвимостей, 12 из которых являются критическими и могут привести к удаленному выполнению кода. Еще одна уязвимость была устранена в Adobe Mobile Reader под Android. Для их использования хакеру необходимо убедить атакуемого пользователя открыть вредоносный файл типа MOV, MP4 и 3GP, либо перейти по ссылке на специальным образом созданный сайт.
Ошибки были найдены исследователем Мэтом Пауэллом в рамках Trend Micro Zero Day Initiative. Использовались ли эти уязвимости в дикой природе - не сообщается.
Как всегда, призываем всех, кто используюет эти программные продукты, срочно обновиться.
Госдепартамент США объявил сегодня вознаграждение в размере до 1 млн. долларов за информацию, которая может привести к аресту украинских граждан Артема Радченко и Александра Еременко (за каждого).
В январе 2019 года Радченко и Еременко были предъявлены обвинения во взломе в составе группы системы электронного сбора, анализа и поиска данных (EDGAR) американской Комиссии по ценным бумагам (SEC).
Согласно обвинительному заключению, в период с мая по октябрь 2016 года, взломав SEC EDGAR, хакеры во главе с Радченко и Еременко похитили тысячи файлов системы, включая непубличную финансовую информацию, которую SEC получает от торгуемых на бирже компаний.
Используя украденные инсайды, злоумышленники через трейдеров сами играли на бирже, в результате чего получили более 4 млн. долларов. Кроме того, Радченко и Еременко эти инсайды продавали.
Схема красивая, однако. Но нам интересно другое - чем занимались инфосек специалисты SEC, одного из главных жупелов США в торговых и корпоративных войнах, если хакеры в течение 4 месяцев имели свободный доступ к взломанной системе? Очевидно, что курили бамбук.
В январе 2019 года Радченко и Еременко были предъявлены обвинения во взломе в составе группы системы электронного сбора, анализа и поиска данных (EDGAR) американской Комиссии по ценным бумагам (SEC).
Согласно обвинительному заключению, в период с мая по октябрь 2016 года, взломав SEC EDGAR, хакеры во главе с Радченко и Еременко похитили тысячи файлов системы, включая непубличную финансовую информацию, которую SEC получает от торгуемых на бирже компаний.
Используя украденные инсайды, злоумышленники через трейдеров сами играли на бирже, в результате чего получили более 4 млн. долларов. Кроме того, Радченко и Еременко эти инсайды продавали.
Схема красивая, однако. Но нам интересно другое - чем занимались инфосек специалисты SEC, одного из главных жупелов США в торговых и корпоративных войнах, если хакеры в течение 4 месяцев имели свободный доступ к взломанной системе? Очевидно, что курили бамбук.
Мы неоднократно писали про активность прогосударственных APT в период обострения отношений между Китаем и Индией - вот хотя бы здесь.
Вчера Malwarebytes опубликовали материал о выявленных в начале месяца фишинговых приманках, ориентированных на пользователей из Индии и Гонконга.
Фишинговые документы содержат в себе троян удаленного доступа MgBot, который подгружает полезную нагрузку и использует эффективные средства маскировки своих действий, в числе которых кейлоггинг, создание скриншотов, управление файлами и многое другое.
Проанализировав используемую хакерами инфраструктуру исследователи обнаружили несколько управляющих центров, на одном из которых нашли образцы троянов для Android, предназначенных для сбора данных с зараженного смартфона, включая запись экрана и аудио с микрофона устройства.
По данным Malwarebytes, в выявленных фишинговых атаках прослеживаются TTPs одновременно нескольких китайских APT - Rancor, KeyBoy и APT 40. Основываясь на этом ресерчеры пришли к выводу, что стали свидетелями операции, проводимой новой китайской хакерской группой, активность которой они смогли отследить до 2014 года.
Таким образом, противостояние между Китаем и Индией в киберпространстве продолжается.
Вчера Malwarebytes опубликовали материал о выявленных в начале месяца фишинговых приманках, ориентированных на пользователей из Индии и Гонконга.
Фишинговые документы содержат в себе троян удаленного доступа MgBot, который подгружает полезную нагрузку и использует эффективные средства маскировки своих действий, в числе которых кейлоггинг, создание скриншотов, управление файлами и многое другое.
Проанализировав используемую хакерами инфраструктуру исследователи обнаружили несколько управляющих центров, на одном из которых нашли образцы троянов для Android, предназначенных для сбора данных с зараженного смартфона, включая запись экрана и аудио с микрофона устройства.
По данным Malwarebytes, в выявленных фишинговых атаках прослеживаются TTPs одновременно нескольких китайских APT - Rancor, KeyBoy и APT 40. Основываясь на этом ресерчеры пришли к выводу, что стали свидетелями операции, проводимой новой китайской хакерской группой, активность которой они смогли отследить до 2014 года.
Таким образом, противостояние между Китаем и Индией в киберпространстве продолжается.
Malwarebytes
Chinese APT group targets India and Hong Kong using new variant of MgBot malware | Malwarebytes Labs
We uncovered an active campaign in early July that we attribute to a new Chinese APT group attacking India and Hong Kong with MgBot malware.
ZDNet пишет о новой атаке на заверенные цифровой подписью PDF документы, которую назвали Shadow Attack.
Исследование проведено учеными из Рурского университета в Германии. Суть атаки заключается в подготовке PDF-документа с двумя "слоями", содержащими различный контент. При подписи виден один слой, однако в дальнейшем злоумышленник делает видимым другой слой, при этом цифровая подпись сохраняется.
Из 28 протестированных приложений для работы с PDF-файлами 15 оказались уязвимы перед Shadow Attack. Среди них - Adobe Acrobat Pro и Acrobat Reader, Perfect PDF, Foxit Reader и другие.
В настоящее время исследователи связались с разработчиками соответствующих приложений и передали им необходимую техническую информацию для разработки апдейтов.
Исследование проведено учеными из Рурского университета в Германии. Суть атаки заключается в подготовке PDF-документа с двумя "слоями", содержащими различный контент. При подписи виден один слой, однако в дальнейшем злоумышленник делает видимым другой слой, при этом цифровая подпись сохраняется.
Из 28 протестированных приложений для работы с PDF-файлами 15 оказались уязвимы перед Shadow Attack. Среди них - Adobe Acrobat Pro и Acrobat Reader, Perfect PDF, Foxit Reader и другие.
В настоящее время исследователи связались с разработчиками соответствующих приложений и передали им необходимую техническую информацию для разработки апдейтов.
ZDNet
New 'Shadow Attack' can replace content in digitally signed PDF files
15 out of the 28 biggest desktop PDF viewers are vulnerable, German academics say.
Наши любимцы из северокорейской APT Lazarus, которая является, пожалуй, самой активной хакерской группой в мире, в очередной раз проявились.
Вчера команда исследователей GReAT Лаборатории Касперского опубликовала отчет, в котором описала выявленную вредоносную кампанию получившую название MATA, активную с апреля 2018 года.
MATA - это модульная вредоносная структура с несколькими компонентами, в которую входят загрузчик, оркестратор и набор плагинов, способная заражать машины под управлением Windows, Linux и macOS. Позволяет хакерам брать практически под полный контроль скомпрометированную систему и используется для проникновения в атакуемую сеть.
В качестве целей выступали корпоративные сети Польши, Германии, Турции, Южной Кореи, Японии и Индии. Основная задача - нахождение и эксфильтрация баз данных с конфиденциальной информацией атакованной компании.
Анализ TTPs показал, что за кибероперацией MATA стоит Lazarus. Основным доказательством послужили уникальные обозначения компонентов вредоносного ПО, ранее использовавшиеся в трояне Manuscrypt (он же FALLCHILL или Volgmer) за авторством северокорейских хакеров, а также сходства в механизмах их работы.
#APT #Lazarus
Вчера команда исследователей GReAT Лаборатории Касперского опубликовала отчет, в котором описала выявленную вредоносную кампанию получившую название MATA, активную с апреля 2018 года.
MATA - это модульная вредоносная структура с несколькими компонентами, в которую входят загрузчик, оркестратор и набор плагинов, способная заражать машины под управлением Windows, Linux и macOS. Позволяет хакерам брать практически под полный контроль скомпрометированную систему и используется для проникновения в атакуемую сеть.
В качестве целей выступали корпоративные сети Польши, Германии, Турции, Южной Кореи, Японии и Индии. Основная задача - нахождение и эксфильтрация баз данных с конфиденциальной информацией атакованной компании.
Анализ TTPs показал, что за кибероперацией MATA стоит Lazarus. Основным доказательством послужили уникальные обозначения компонентов вредоносного ПО, ранее использовавшиеся в трояне Manuscrypt (он же FALLCHILL или Volgmer) за авторством северокорейских хакеров, а также сходства в механизмах их работы.
#APT #Lazarus
Securelist
MATA: Multi-platform targeted malware framework
The MATA malware framework possesses several components, such as loader, orchestrator and plugins. The framework is able to target Windows, Linux and macOS operating systems.
Shadow Intelligence, как всегда, радуют свежей информацией о выставленных в даркнете на продажу хакерских лотах.
На этот раз некто с псевдонимом frankknox продает доступ к правительственным и коммерческим сетям Великобритании и Австралии, среди которых сервер британского городского муниципалитета, на территории которого проживает более 300 тыс. жителей, а также микс из доступа к 26 серверам австралийских государственных, образовательных и коммерческих организаций.
Как иронизируют комментаторы в Twitter, Национальному центру кибербезопасности Великобритании (NCSC) следовало бы заняться реальной работой вместо выпуска бездоказательных и расплывчатых пресс-релизов (предполагаем, что имеется в виду отчет о нападениях Cozy Bear на медицинские организации Британии, США и Канады).
На этот раз некто с псевдонимом frankknox продает доступ к правительственным и коммерческим сетям Великобритании и Австралии, среди которых сервер британского городского муниципалитета, на территории которого проживает более 300 тыс. жителей, а также микс из доступа к 26 серверам австралийских государственных, образовательных и коммерческих организаций.
Как иронизируют комментаторы в Twitter, Национальному центру кибербезопасности Великобритании (NCSC) следовало бы заняться реальной работой вместо выпуска бездоказательных и расплывчатых пресс-релизов (предполагаем, что имеется в виду отчет о нападениях Cozy Bear на медицинские организации Британии, США и Канады).
А пока у нас тут лето и недобитый коронавирус, ransomware продолжает торжественное шествие по всему миру.
Вчера очередь дошла до известного производителя навигационного оборудования и носимых устройств Garmin.
Судя по информации, которую собрали журналисты из ZeroDay, внутренняя сеть Garmin была скомпрометирована оператором появившегося в мае этого года ransomware WastedLocker.
В результате атаки Garmin был вынужден отключить ряд сервисов - официальный web-сайт, колл-центры, службу синхронизации пользовательских данных Garmin Connect, некоторые производственные линии в Азии. Также ушли в шатдаун службы flyGarmin и Garmin Pilot, предназначенных для загрузки навигационных баз в самолетное оборудование и планирования полета, соответственно.
Официально Garmin никаких разъяснений не дает, кроме дежурного "у нас тут небольшой сбой, сорян, мы разбираемся". Между тем, судя по информации в соцсетях все гораздо хуже, чем пытается представить Garmin. По крайней мере, появились данные о том, что тайваньские фабрики производителя встают на паузу на техобслуживание 24 и 25 июля.
Оператором вымогателя WastedLocker называют русскоязычную хакерскую группу Evil Corp. Несмотря на то, что семейство ransomware появилось совсем недавно, они уже успели провести несколько атак, в процессе которых встречались требования о выкупе в сумме более 10 млн. долларов. Вместе с тем, WastedLocker не включает в себя функций кражи данных, в отличие от более продвинутых ransomware типа Maze или Sodinokibi.
Воистину говорим, скоро операторы ransomware будут правительства менять во всяких там лимитрофах. И переделывать местное законодательство под свои хотелки.
Вчера очередь дошла до известного производителя навигационного оборудования и носимых устройств Garmin.
Судя по информации, которую собрали журналисты из ZeroDay, внутренняя сеть Garmin была скомпрометирована оператором появившегося в мае этого года ransomware WastedLocker.
В результате атаки Garmin был вынужден отключить ряд сервисов - официальный web-сайт, колл-центры, службу синхронизации пользовательских данных Garmin Connect, некоторые производственные линии в Азии. Также ушли в шатдаун службы flyGarmin и Garmin Pilot, предназначенных для загрузки навигационных баз в самолетное оборудование и планирования полета, соответственно.
Официально Garmin никаких разъяснений не дает, кроме дежурного "у нас тут небольшой сбой, сорян, мы разбираемся". Между тем, судя по информации в соцсетях все гораздо хуже, чем пытается представить Garmin. По крайней мере, появились данные о том, что тайваньские фабрики производителя встают на паузу на техобслуживание 24 и 25 июля.
Оператором вымогателя WastedLocker называют русскоязычную хакерскую группу Evil Corp. Несмотря на то, что семейство ransomware появилось совсем недавно, они уже успели провести несколько атак, в процессе которых встречались требования о выкупе в сумме более 10 млн. долларов. Вместе с тем, WastedLocker не включает в себя функций кражи данных, в отличие от более продвинутых ransomware типа Maze или Sodinokibi.
Воистину говорим, скоро операторы ransomware будут правительства менять во всяких там лимитрофах. И переделывать местное законодательство под свои хотелки.
ZDNET
Garmin services and production go down after ransomware attack
Smartwatch and wearable maker Garmin planning multi-day maintenance window to deal with ransomware incident.
Мы что-то давно не давали никаких обзоров APT и их атак. Исправляемся.
Сегодня мы рассмотрим одну из киберопераций вьетнамской хакерской группы Ocean Lotus, она же APT 32 и APT-C-00.
Что можно сказать про вьетнамцев in general. Ocean Lotus - это хакерская группа, работающая на вьетнамские спецслужбы. Основные направления деятельности - кража корпоративной информации и кибершпионаж. Основные цели - иностранные государственные организации, корпорации, работающие в технологическом, производственном секторах, а также в области безопасности. Начало наблюдаемой активности - 2013-2014 годы.
Мы, кстати, уже писали про свежую операцию Ocean Lotus, когда хакеры, начиная с 6 января (!), атаковали ресурсы китайских правительственных и муниципальных учреждений, которые занимались борьбой с COVID-19, очевидно, в целях сбора информации о коронавирусе.
Вьетнамцы известны, в частности, серией атак в феврале-марте 2019 года на подразделения Toyota и Lexus в Австралии, Японии и Вьетнаме с целью кражи корпоративной информации, с том числе данных о более чем 3 млн. клиентов автопроизводителя. А далее Ocean Lotus отметились взломами сетей BMW и Hyundai, при этом безопасники немецкой компании натянули покерфейс и утверждали, что в течение всего периода компрометации своей сети с весны по конец ноября они "следили за каждым их шагом" (стандартная отмазка инфосек подразделения, когда дно протекло).
Но мы остановимся на другой атаке, которая произошла в 2016-2017 году и получила название Cobalt Kitty.
Итак, в начале 2017 года некая глобальная корпорация из Азии приглашает инфосек фирму Cybereason для того, чтобы разобраться в ситуации с подозрением на компрометацию своей сети. Первые результаты обескураживают - по оценкам исследователей на момент начала их работы неизвестные хакеры сидели в сети уже около года.
Первичное проникновение было осуществлено путем тщательно подготовленного целевого фишинга, направленного на высшее и среднее руководство компании. Для доставки полезной нагрузки использовались поддельные инсталятор Flash и документы Word. В результате дальнейшего проникновения хакеры взломали контроллер домена, файловые серверы, серверы web-приложений и базы данных. При этом были обойдены все штатные средства защиты.
На этом этапе злоумышленники осуществляли свое присутствие через вредоносную безфайловую инфраструктуру PowerShell. Однако, как только хакеры поняли, что их обнаружели, в течение 48 часов эта инфраструктура была заменена, что говорит о тщательной подготовке к такому развитию событий.
Теперь Ocean Lotus стали использовать эксклюзивные бэкдоры, которые на тот момент не были известны ни одному инфосек вендору. Для скрытия связи с управляющими центрами, хакеры, в частности, использовали туннелирование DNS под видом связи с DNS-серверами Google и OpenDNS, чтобы избежать фильтрации DNS-трафика.
Один из используемых приватных бэкдоров был разработан под Microsoft Outlook, благодаря которому Ocean Lotus скрытно управляли вредоносной инфраструктурой и проводили эксфильтрацию данных посредством электронных почтовых сообщений.
После первого этапа борьбы за сеть корпорации между специалистами инфосек и хакерами наступило четырехнедельное затишье. А по истечении этого срока Ocean Lotus попытались вновь восстановить контроль над ресурсами атакованной компании. В качестве отправной точки они использовали скомпрометированный ранее сервер, на который загнали обновленные версии своего вредоносного инструментария. Но в этот раз безопасники были на стороже и попытка провалилась.
В ходе своей киберкампании хакеры использовали множество вредоносных инструментов, шесть из которых являлись, судя по всему, собственной разработкой.
Принадлежность кибероперации группе Ocean Lotus была установлена в силу ряда признаков, основными из которых были пересечения в используемой инфраструктуре управляющих центров и вредоносных инструментах.
#APT #OceanLotus
Сегодня мы рассмотрим одну из киберопераций вьетнамской хакерской группы Ocean Lotus, она же APT 32 и APT-C-00.
Что можно сказать про вьетнамцев in general. Ocean Lotus - это хакерская группа, работающая на вьетнамские спецслужбы. Основные направления деятельности - кража корпоративной информации и кибершпионаж. Основные цели - иностранные государственные организации, корпорации, работающие в технологическом, производственном секторах, а также в области безопасности. Начало наблюдаемой активности - 2013-2014 годы.
Мы, кстати, уже писали про свежую операцию Ocean Lotus, когда хакеры, начиная с 6 января (!), атаковали ресурсы китайских правительственных и муниципальных учреждений, которые занимались борьбой с COVID-19, очевидно, в целях сбора информации о коронавирусе.
Вьетнамцы известны, в частности, серией атак в феврале-марте 2019 года на подразделения Toyota и Lexus в Австралии, Японии и Вьетнаме с целью кражи корпоративной информации, с том числе данных о более чем 3 млн. клиентов автопроизводителя. А далее Ocean Lotus отметились взломами сетей BMW и Hyundai, при этом безопасники немецкой компании натянули покерфейс и утверждали, что в течение всего периода компрометации своей сети с весны по конец ноября они "следили за каждым их шагом" (стандартная отмазка инфосек подразделения, когда дно протекло).
Но мы остановимся на другой атаке, которая произошла в 2016-2017 году и получила название Cobalt Kitty.
Итак, в начале 2017 года некая глобальная корпорация из Азии приглашает инфосек фирму Cybereason для того, чтобы разобраться в ситуации с подозрением на компрометацию своей сети. Первые результаты обескураживают - по оценкам исследователей на момент начала их работы неизвестные хакеры сидели в сети уже около года.
Первичное проникновение было осуществлено путем тщательно подготовленного целевого фишинга, направленного на высшее и среднее руководство компании. Для доставки полезной нагрузки использовались поддельные инсталятор Flash и документы Word. В результате дальнейшего проникновения хакеры взломали контроллер домена, файловые серверы, серверы web-приложений и базы данных. При этом были обойдены все штатные средства защиты.
На этом этапе злоумышленники осуществляли свое присутствие через вредоносную безфайловую инфраструктуру PowerShell. Однако, как только хакеры поняли, что их обнаружели, в течение 48 часов эта инфраструктура была заменена, что говорит о тщательной подготовке к такому развитию событий.
Теперь Ocean Lotus стали использовать эксклюзивные бэкдоры, которые на тот момент не были известны ни одному инфосек вендору. Для скрытия связи с управляющими центрами, хакеры, в частности, использовали туннелирование DNS под видом связи с DNS-серверами Google и OpenDNS, чтобы избежать фильтрации DNS-трафика.
Один из используемых приватных бэкдоров был разработан под Microsoft Outlook, благодаря которому Ocean Lotus скрытно управляли вредоносной инфраструктурой и проводили эксфильтрацию данных посредством электронных почтовых сообщений.
После первого этапа борьбы за сеть корпорации между специалистами инфосек и хакерами наступило четырехнедельное затишье. А по истечении этого срока Ocean Lotus попытались вновь восстановить контроль над ресурсами атакованной компании. В качестве отправной точки они использовали скомпрометированный ранее сервер, на который загнали обновленные версии своего вредоносного инструментария. Но в этот раз безопасники были на стороже и попытка провалилась.
В ходе своей киберкампании хакеры использовали множество вредоносных инструментов, шесть из которых являлись, судя по всему, собственной разработкой.
Принадлежность кибероперации группе Ocean Lotus была установлена в силу ряда признаков, основными из которых были пересечения в используемой инфраструктуре управляющих центров и вредоносных инструментах.
#APT #OceanLotus
Новая история про русских хакеров от Wired.
Журналисты утверждают, что получили в распоряжение уведомление, которое в мае было разослано ФБР в адрес атакованных хакерами компаний.
Согласно ему, российская APT 28, она же пресловутая Fancy Bear, которую связывают с ГРУ, в период с декабря 2018 года по май нынешнего провела широкую кампанию по компрометации ресурсов американских компаний, по крайней мере одна из которых относится к энергетическому сектору.
Хакеры были ориентированы, в первую очередь, на почтовые сервера и VPN-сервера жертв. Цели включали в себя "широкий список американских организаций, государственных и образовательных учреждений".
В качестве TTPs - один из IP-адресов вредоносной инфраструктуры, который ранее был замечен в использовании APT 28.
Журналисты утверждают, что получили в распоряжение уведомление, которое в мае было разослано ФБР в адрес атакованных хакерами компаний.
Согласно ему, российская APT 28, она же пресловутая Fancy Bear, которую связывают с ГРУ, в период с декабря 2018 года по май нынешнего провела широкую кампанию по компрометации ресурсов американских компаний, по крайней мере одна из которых относится к энергетическому сектору.
Хакеры были ориентированы, в первую очередь, на почтовые сервера и VPN-сервера жертв. Цели включали в себя "широкий список американских организаций, государственных и образовательных учреждений".
В качестве TTPs - один из IP-адресов вредоносной инфраструктуры, который ранее был замечен в использовании APT 28.
Wired
Russia's GRU Hackers Hit US Government and Energy Targets
A previously unreported Fancy Bear campaign persisted for well over a year—and indicates that the notorious group has broadened its focus.
А у Garmin-то все плохо.
Напомним, что 23 июля компания была вынуждена приостановить работу ряда сервисов и производств вследствие атаки оператора ransomware WastedLocker, за которым, как считается, стоит русскоязычная хакерская группа Evil Corp. 24 и 25 июля на ряде производств Garmin было вынуждено объявить технологический перерыв для восстановления своих ресурсов.
Однако все оказалось не так просто. Прошли 24 и 25, прошло 26 июля - но по состоянию на сегодняшнее утро сервисы компании так полностью и не восстановились. Авиационная навигация, к примеру, доступна, а GPS-отслеживание умных часов и фитнесс-браслетов не работает.
Между тем, BleepingComputer сообщили, что сумма выкупа, объявленного хакерами Garmin составляет 10 млн. долларов, хотя информация не подтверждена.
А в наступающую среду у Garmin выходит промежуточный финансовый отчет, который ждут на Уолл-стрит. Акции компании уже провалились после начала атаки, но падение может продолжиться.
В тысяче-какой-то раз зададим риторический вопрос - а стоит ли экономия на информационной безопасности такого геморроя? Вопрос для Garmin же не в жалких 10 млн. долларов, вопрос в потере деловой репутации. А это выйдет намного дороже.
Напомним, что 23 июля компания была вынуждена приостановить работу ряда сервисов и производств вследствие атаки оператора ransomware WastedLocker, за которым, как считается, стоит русскоязычная хакерская группа Evil Corp. 24 и 25 июля на ряде производств Garmin было вынуждено объявить технологический перерыв для восстановления своих ресурсов.
Однако все оказалось не так просто. Прошли 24 и 25, прошло 26 июля - но по состоянию на сегодняшнее утро сервисы компании так полностью и не восстановились. Авиационная навигация, к примеру, доступна, а GPS-отслеживание умных часов и фитнесс-браслетов не работает.
Между тем, BleepingComputer сообщили, что сумма выкупа, объявленного хакерами Garmin составляет 10 млн. долларов, хотя информация не подтверждена.
А в наступающую среду у Garmin выходит промежуточный финансовый отчет, который ждут на Уолл-стрит. Акции компании уже провалились после начала атаки, но падение может продолжиться.
В тысяче-какой-то раз зададим риторический вопрос - а стоит ли экономия на информационной безопасности такого геморроя? Вопрос для Garmin же не в жалких 10 млн. долларов, вопрос в потере деловой репутации. А это выйдет намного дороже.
Telegram
SecAtor
А пока у нас тут лето и недобитый коронавирус, ransomware продолжает торжественное шествие по всему миру.
Вчера очередь дошла до известного производителя навигационного оборудования и носимых устройств Garmin.
Судя по информации, которую собрали журналисты…
Вчера очередь дошла до известного производителя навигационного оборудования и носимых устройств Garmin.
Судя по информации, которую собрали журналисты…
И сразу следующая новость про ransomware.
Крупнейшая в мире независимая компания, проводящая маркетинговые исследования, в частности в области медиаконтента,- американская Nielsen - в прошлую среду, 22 июля, подверглась атаке оператора неназванного вымогателя.
Сначала компания объявила "небольшое техническое нарушение", в результате которого перестала выдавать австралийские телевизионные рейтинги и пообещала восстановить их предоставление в четверг. Однако в четверг ничего не заработало, а в пятницу Nielsen официально объявили, что подверглись атаке ransomware. Целью стал центр обработки данных компании в Австралии.
В итоге самый ранний названный срок предоставления телевизионных рейтингов - среда, 29 июля. То есть Nielsen в части своих услуг прилегла на неделю. А между тем это компания с выручкой в 6,5 млрд. долларов и 44 тыс. сотрудников в штате.
Мы уже на знаем про что ванговать. Что ransomware попадет на Марс раньше Маска?
Крупнейшая в мире независимая компания, проводящая маркетинговые исследования, в частности в области медиаконтента,- американская Nielsen - в прошлую среду, 22 июля, подверглась атаке оператора неназванного вымогателя.
Сначала компания объявила "небольшое техническое нарушение", в результате которого перестала выдавать австралийские телевизионные рейтинги и пообещала восстановить их предоставление в четверг. Однако в четверг ничего не заработало, а в пятницу Nielsen официально объявили, что подверглись атаке ransomware. Целью стал центр обработки данных компании в Австралии.
В итоге самый ранний названный срок предоставления телевизионных рейтингов - среда, 29 июля. То есть Nielsen в части своих услуг прилегла на неделю. А между тем это компания с выручкой в 6,5 млрд. долларов и 44 тыс. сотрудников в штате.
Мы уже на знаем про что ванговать. Что ransomware попадет на Марс раньше Маска?
www.adnews.com.au
Ransomware attack takes out TV ratings - AdNews
Last Wednesday, Nielsen informed clients that an “unexpected disruption” meant overnight data would be delayed.
BleepingComputer сообщает, что оператор известного банковского Android-трояна Cerberus продает свой проект.
На одном из русскоязычных хакерских форумов появилось объявление (кстати, на английском языке), в котором вирмейкеры объявляют, что их команда распалась и возможность дальнейшей модернизации и поддержки Cerberus у них нет.
Вместе с тем, вредонос сдавался в аренду на срок от 3 месяцев до 1 года по цене от 4 до 12 тыс. долларов. Соответственно, со слов владельца Cerberus, активные "лицензии" на его использование приносят до 10 тыс. долларов в месяц.
Продавец обещает предоставить все исходники, список клиентов, сервера и техническую документацию. Аукцион длительностью 48 часов стартует с отметки 50 тыс. долларов с планкой мгновенного закрытия в 100 тыс. долларов.
Надо заметить, что Cerberus - это достаточно продвинутый троян с широким функционалом. В конце февраля мы, например, писали, что он научился обходить 2FA аутентификацию, а именно перехватывать OTP пароли сгенерированные специализированным приложением Google Authenticator. Подобные пароли используются, в частности, для подтверждения банковских транзакций в качестве альтернативы стандартным SMS кодам.
Так что, думаем, Cerberus - троян востребованный и долго не залежится.
На одном из русскоязычных хакерских форумов появилось объявление (кстати, на английском языке), в котором вирмейкеры объявляют, что их команда распалась и возможность дальнейшей модернизации и поддержки Cerberus у них нет.
Вместе с тем, вредонос сдавался в аренду на срок от 3 месяцев до 1 года по цене от 4 до 12 тыс. долларов. Соответственно, со слов владельца Cerberus, активные "лицензии" на его использование приносят до 10 тыс. долларов в месяц.
Продавец обещает предоставить все исходники, список клиентов, сервера и техническую документацию. Аукцион длительностью 48 часов стартует с отметки 50 тыс. долларов с планкой мгновенного закрытия в 100 тыс. долларов.
Надо заметить, что Cerberus - это достаточно продвинутый троян с широким функционалом. В конце февраля мы, например, писали, что он научился обходить 2FA аутентификацию, а именно перехватывать OTP пароли сгенерированные специализированным приложением Google Authenticator. Подобные пароли используются, в частности, для подтверждения банковских транзакций в качестве альтернативы стандартным SMS кодам.
Так что, думаем, Cerberus - троян востребованный и долго не залежится.
BleepingComputer
Cerberus Android malware source code offered for sale for $100,000
The maintainer of Cerberus banking trojan for Android is auctioning the entire project for a price starting at $50,000 or close the deal for double the money.
Когда мы несколько месяцев назад писали про индийскую APT Patchwork, работающую на военную разведку, мы обещали дать материалы и про их прямых конкурентов из числа задорных пакистанских хакеров. Исполняем.
Пакистанских хакерских групп мы знаем три. Точнее - полторы группы и один отдельный хакер. Хакер нам в данном контексте не интересен - он строго коммерчески ориентирован. А вот на группах остановимся чуть подробнее.
Первая - это APT 36, она же Transparent Tribe и Mythic Leopard. Занимается кражей информации и кибершпионажем. Вторая - Gorgon Group, специализируется приблизительно на том же.
Так почему мы написали про "полторы" группы? Да потому, что есть серьезные подозрения, что это одна и та же APT. Просто когда группа работает против Индии, она использует одну инфраструктуру и определяется как APT 36 и иже с ним, а когда против других государств - инфраструктура другая и группа уже видится Gorgon Group.
А может быть это не так и Gorgon Group является привлекаемой время от времени пакистанскими органами сторонней хакерской группой, поскольку она использует одну и ту же инфраструктуру как для кибершпионажа, так и для коммерческих взломов.
Кстати, Gorgon Group в 2018 году организовала фишинговую атаку на ряд правительственных учреждений, в числе которых были и российские.
Какая конкретно государственная структура стоит за пакистанскими хакерами достоверно неизвестно, но мы склоняемся к Пакистанской межведомственной разведке (ISI), головное подразделение которой находится в Исламабаде.
И сегодня мы кратко рассмотрим пару атак APT 36, которые группа проводила против своих непосредственных геополитических конкурентов - индийцев.
Первая атака была выявлена в марте 2016 года и получила название C-Major. По всей видимости, это была одна из ранних атак пакистанцев, поскольку некоторые из используемых ими вредоносов были написаны, например, в Visual Basic .NET. Естественно, ни о какой обфускации и речи не шло. По заявлению исследователей Trend Micro, киберкомпания C-Major длилась несколько лет до ее выявления.
Первая ее часть, как раз с написанными на VB. NET троянами, использовала стандартный целевой фишинг, ориентированный на индийских военных и военных специалистов других стран, работающих на территории Индии. Хотя с технической точки зрения атака была из рук вон плоха, социальные скиллы пакистанцев затащили и они смогли выкрасть информацию у более чем 160 индийских военных, включая снимки паспортов, финансовые данные, служебные армейские документы, фотографии и пр.
Примечательно, что украденные данные хранились в открытом виде на одном из управляющих серверов, в силу чего исследователи легко получили доступ к ним.
Параллельно с этим, APT 36 основные усилия сосредоточила на мобильном сегменте. В течение нескольких лет хакеры загружали в Google Play и рекламировали в индийских группах Facebook ряд вредоносных приложений для Android - Ringster, SmeshApp, фальшивые приложения индийских новостей Indian Sena News, Bharatiya Sena News и IDN. Отдельной строкой стоял вредонос для BlackBerry, который был весьма популярен в Индии.
Спустя год, в феврале 2017, пакистанские хакеры организовали новую фишинговую атаку, более продвинутую чем C-Major. APT 36 зарегистрировали домен, который выдавали за домен индийского Института оборонных исследований и анализа (IDSA), являющегося авторитетным think tank в области безопасности и международных отношений.
Под видом IDSA пакистанцы начали рассылать фишинговые письма индийским военным и сотрудникам Центрального бюро расследований (CBI), индийского аналога ФБР.
В качестве приманки использовался якобы рабочий документ с приатаченным файлом Exсel, в котором хранился вредоносный макрос. Анализ функционала показал, что вредонос предназначен для сбора системной информации с зараженной машины, а также способен загружать дополнительную полезную нагрузку и зачищать следы своего присутствия.
#APT #GorgonGroup #APT36
Пакистанских хакерских групп мы знаем три. Точнее - полторы группы и один отдельный хакер. Хакер нам в данном контексте не интересен - он строго коммерчески ориентирован. А вот на группах остановимся чуть подробнее.
Первая - это APT 36, она же Transparent Tribe и Mythic Leopard. Занимается кражей информации и кибершпионажем. Вторая - Gorgon Group, специализируется приблизительно на том же.
Так почему мы написали про "полторы" группы? Да потому, что есть серьезные подозрения, что это одна и та же APT. Просто когда группа работает против Индии, она использует одну инфраструктуру и определяется как APT 36 и иже с ним, а когда против других государств - инфраструктура другая и группа уже видится Gorgon Group.
А может быть это не так и Gorgon Group является привлекаемой время от времени пакистанскими органами сторонней хакерской группой, поскольку она использует одну и ту же инфраструктуру как для кибершпионажа, так и для коммерческих взломов.
Кстати, Gorgon Group в 2018 году организовала фишинговую атаку на ряд правительственных учреждений, в числе которых были и российские.
Какая конкретно государственная структура стоит за пакистанскими хакерами достоверно неизвестно, но мы склоняемся к Пакистанской межведомственной разведке (ISI), головное подразделение которой находится в Исламабаде.
И сегодня мы кратко рассмотрим пару атак APT 36, которые группа проводила против своих непосредственных геополитических конкурентов - индийцев.
Первая атака была выявлена в марте 2016 года и получила название C-Major. По всей видимости, это была одна из ранних атак пакистанцев, поскольку некоторые из используемых ими вредоносов были написаны, например, в Visual Basic .NET. Естественно, ни о какой обфускации и речи не шло. По заявлению исследователей Trend Micro, киберкомпания C-Major длилась несколько лет до ее выявления.
Первая ее часть, как раз с написанными на VB. NET троянами, использовала стандартный целевой фишинг, ориентированный на индийских военных и военных специалистов других стран, работающих на территории Индии. Хотя с технической точки зрения атака была из рук вон плоха, социальные скиллы пакистанцев затащили и они смогли выкрасть информацию у более чем 160 индийских военных, включая снимки паспортов, финансовые данные, служебные армейские документы, фотографии и пр.
Примечательно, что украденные данные хранились в открытом виде на одном из управляющих серверов, в силу чего исследователи легко получили доступ к ним.
Параллельно с этим, APT 36 основные усилия сосредоточила на мобильном сегменте. В течение нескольких лет хакеры загружали в Google Play и рекламировали в индийских группах Facebook ряд вредоносных приложений для Android - Ringster, SmeshApp, фальшивые приложения индийских новостей Indian Sena News, Bharatiya Sena News и IDN. Отдельной строкой стоял вредонос для BlackBerry, который был весьма популярен в Индии.
Спустя год, в феврале 2017, пакистанские хакеры организовали новую фишинговую атаку, более продвинутую чем C-Major. APT 36 зарегистрировали домен, который выдавали за домен индийского Института оборонных исследований и анализа (IDSA), являющегося авторитетным think tank в области безопасности и международных отношений.
Под видом IDSA пакистанцы начали рассылать фишинговые письма индийским военным и сотрудникам Центрального бюро расследований (CBI), индийского аналога ФБР.
В качестве приманки использовался якобы рабочий документ с приатаченным файлом Exсel, в котором хранился вредоносный макрос. Анализ функционала показал, что вредонос предназначен для сбора системной информации с зараженной машины, а также способен загружать дополнительную полезную нагрузку и зачищать следы своего присутствия.
#APT #GorgonGroup #APT36
Telegram
SecAtor
Продолжаем наши расследования деятельности крупных хакерских групп, они же APT.
В прошлый раз мы обсуждали индийскую APT-C-09 aka Patchwork. А сегодня рассмотрим ее конкретные операции.
В декабре 2015 года Patchwork развернула большую кампанию, которая…
В прошлый раз мы обсуждали индийскую APT-C-09 aka Patchwork. А сегодня рассмотрим ее конкретные операции.
В декабре 2015 года Patchwork развернула большую кампанию, которая…
В каком-нибудь детективе дальше последовал бы рассказ о том, как хитрые пакистанцы проникли внутрь самых секретных баз индийских спецслужб, однако у нас тут real life. Поэтому никаких данных об успешности и дальнейшем ходе кибероперации, к сожалению, получено не было.
В этой атаке пакистанцы показали, что они многому научились за год - скрывать исходники вредоносов, маскировать управляющие центры и даже использовать алгоритмы шифрования для эксфильтрации украденной информации. Но привычке курить кальян в перерывах между разработкой кибероперации они не изменили, поэтому засветили пакистанский телефон в процессе регистрации одного из фишинговых доменов, а также один пакистанский статический IP-адрес.
#APT #GorgonGroup #APT36
В этой атаке пакистанцы показали, что они многому научились за год - скрывать исходники вредоносов, маскировать управляющие центры и даже использовать алгоритмы шифрования для эксфильтрации украденной информации. Но привычке курить кальян в перерывах между разработкой кибероперации они не изменили, поэтому засветили пакистанский телефон в процессе регистрации одного из фишинговых доменов, а также один пакистанский статический IP-адрес.
#APT #GorgonGroup #APT36
И снова Lazarus.
На прошлой неделе Лаборатория Касперского выпустила отчет о выявленной кибероперации MATA, в процессе которой северокорейская APT Lazarus использовала модульную вредоносную структуру, способную заражать машины под управлением Windows, Linux и macOS, для атак на корпоративные сети Польши, Германии, Турции, Южной Кореи, Японии и Индии. Мы писали про это здесь.
Сегодня Касперские выпустили новый отчет, в котором рассказали про выявленный в этом году инцидент с заражением некой европейской компании неизвестным ранее ransomware VHD. Среди любопытных фишек VHD - "нестандартная криптография" с использованием генератора псевдослучайных чисел Вихрь Мерсенна и шифрование файлов комбинацией AES-256 в режиме ECB и RSA-2048.
Но гораздо интереснее то, что методика распространения вымогателя внутри атакованной сети сильно напоминала используемую APT, а конкретнее - применявшуюся в киберкампаниях Sony, Shamoon и OlympicDestroyer (намек в сторону Lazarus).
И вот, спустя два месяца ЛК получила данные в отношении второго инцидента, в котором атакованная сеть была скомпрометирована через уязвимый VPN-шлюз, а бэкдор, использовавшийся хакерами во время распространения вымогателя VHD, являлся частью вредоносной платформы MATA, что окончательно доказало тот факт, что оператором ransomware VHD является северокорейская группа Lazarus.
Заметим, что, скорее всего, это не первая попытка Lazarus "поиграть" в ransom, ведь авторство всем известного WannaCry также предписывается хакерам из КНДР. Да и неудивительно - северокорейцам всегда необходимо дополнительное финансирование своих киберопераций.
Тем не менее, с точки зрения прогосударственной APT выход на "рынок" ransomware - шаг весьма неординарный. До сих пор единственная аналогия, которая приходит нам в голову - заявления некоторых инфосек экспертов о причастности Cozy Bear и Fancy Bear к созданию вымогателя Maze (весьма спорные, по нашему мнению).
#APT #Lazarus
На прошлой неделе Лаборатория Касперского выпустила отчет о выявленной кибероперации MATA, в процессе которой северокорейская APT Lazarus использовала модульную вредоносную структуру, способную заражать машины под управлением Windows, Linux и macOS, для атак на корпоративные сети Польши, Германии, Турции, Южной Кореи, Японии и Индии. Мы писали про это здесь.
Сегодня Касперские выпустили новый отчет, в котором рассказали про выявленный в этом году инцидент с заражением некой европейской компании неизвестным ранее ransomware VHD. Среди любопытных фишек VHD - "нестандартная криптография" с использованием генератора псевдослучайных чисел Вихрь Мерсенна и шифрование файлов комбинацией AES-256 в режиме ECB и RSA-2048.
Но гораздо интереснее то, что методика распространения вымогателя внутри атакованной сети сильно напоминала используемую APT, а конкретнее - применявшуюся в киберкампаниях Sony, Shamoon и OlympicDestroyer (намек в сторону Lazarus).
И вот, спустя два месяца ЛК получила данные в отношении второго инцидента, в котором атакованная сеть была скомпрометирована через уязвимый VPN-шлюз, а бэкдор, использовавшийся хакерами во время распространения вымогателя VHD, являлся частью вредоносной платформы MATA, что окончательно доказало тот факт, что оператором ransomware VHD является северокорейская группа Lazarus.
Заметим, что, скорее всего, это не первая попытка Lazarus "поиграть" в ransom, ведь авторство всем известного WannaCry также предписывается хакерам из КНДР. Да и неудивительно - северокорейцам всегда необходимо дополнительное финансирование своих киберопераций.
Тем не менее, с точки зрения прогосударственной APT выход на "рынок" ransomware - шаг весьма неординарный. До сих пор единственная аналогия, которая приходит нам в голову - заявления некоторых инфосек экспертов о причастности Cozy Bear и Fancy Bear к созданию вымогателя Maze (весьма спорные, по нашему мнению).
#APT #Lazarus
Securelist
Lazarus on the hunt for big game
By investigating a number of targeted ransomware attacks and through discussions with some of our trusted industry partners, we feel that we now have a good grasp on how the ransomware ecosystem is structured.
Какую музыку может слушать инфосек ресерчер когда проводит расследование активности APT?
Пожалуй, что вот такую - https://www.youtube.com/watch?v=iU2hy0L5lgg.
Длинное слово в припеве - "Supercalifragilisticexpialidocious".
А теперь попробуйте это развидеть. Приятного вечера.
Пожалуй, что вот такую - https://www.youtube.com/watch?v=iU2hy0L5lgg.
Длинное слово в припеве - "Supercalifragilisticexpialidocious".
А теперь попробуйте это развидеть. Приятного вечера.
YouTube
Mary Poppins Sings Death Metal
Recorded and Produced at Endless Noise http://www.endlessnoise.com/
Music was arranged, played, and recorded by me. I also sang the background vocals.
Vocals by Sera Hatchett https://mercybrownofficial.bandcamp.com/ https://www.facebook.com/mercybrownofficial…
Music was arranged, played, and recorded by me. I also sang the background vocals.
Vocals by Sera Hatchett https://mercybrownofficial.bandcamp.com/ https://www.facebook.com/mercybrownofficial…
ZDNet приводит несколько любопытных цифр из исследования компании IBM о стоимости утечки данных.
Итак, средняя стоимость утечки данных для жертвы составляет 3,86 млн. долларов.
Максимальная стоимость утечки - 392 млн. долларов.
Стоимость утечки в пересчете на одну украденную клиентскую запись - до 175 долларов.
В 2019 году утекло более 8,5 млрд. записей.
Атаки в этой области, совершаемые прогосударственными APT составляют лишь 13%. Однако средний ущерб от их действий выше и составляет 4,43 млн. долларов.
По нашему мнению, это эти цифры являются весомым доводом, чтобы задуматься о соответствии принимаемых мер информационной безопасности складывающейся обстановке.
Итак, средняя стоимость утечки данных для жертвы составляет 3,86 млн. долларов.
Максимальная стоимость утечки - 392 млн. долларов.
Стоимость утечки в пересчете на одну украденную клиентскую запись - до 175 долларов.
В 2019 году утекло более 8,5 млрд. записей.
Атаки в этой области, совершаемые прогосударственными APT составляют лишь 13%. Однако средний ущерб от их действий выше и составляет 4,43 млн. долларов.
По нашему мнению, это эти цифры являются весомым доводом, чтобы задуматься о соответствии принимаемых мер информационной безопасности складывающейся обстановке.
ZDNet
Today’s ‘mega’ data breaches now cost companies $392 million to recover from | ZDNet
When consumer PII is involved, the cost increases.
Очередной пост про использование государственных хакерских групп в геополитических разборках.
Команда Insikt Group американской компании Recorded Future выявила киберкампанию, проводимую китайским актором против Ватикана и Католической епархии Гонконга, а также Исследовательской католической миссии Гонконга и Папского института иностранных миссий (PIME).
В ходе мониторинга сетевого трафика исследователи обнаружили несколько управляющих центров вредоносов PlugX, Poison Ivy и популярного у хакеров инструмента для пентетстов Cobalt Strike, которые взаимодействовали с хостами атакованных католических учреждений (то бишь с сидящими там вредоносами). Кроме того, была найдена фишинговая приманка, представляющая собой документ (похоже, что настоящий) за подписью главы Учебной католической миссии Гонконга.
Атака длилась с середины мая по конец июля 2020 года. Профиль хакерской группы, которая проводила кибероперацию, по ряду TTPs совпадает с китайской ATP Mustang Panda, однако существуют и определенные различия. Поэтому исследователи признали ее работающей на китайское правительство (что логично, учитывая цели) группой и дали промежуточное название RedDelta.
Insikt Group связывает эту атаку с предстоящими в сентябре 2020 года переговорами по поводу пролонгации достигнутого в 2018 году соглашения между Ватиканом и Пекином о назначении римско-католических епископов. Выявленная киберкампания направлена на те подразделения католической церкви, в которых может содержаться информация о переговорной позиции Ватикана.
P.S. Очень неприятное послевкусие от активного включения в отчет Recorded Future явно ангажированных вставок о векторе внешней политике США относительно Китая и Гонконга - все эти упоминания "обвинительных вердиктов США в отношении двух китайских контракторов" и "посол США по международным религиозным свободам выразил обеспокоенность". Прямо как в периоды худшего информационного маразма КПСС.
Команда Insikt Group американской компании Recorded Future выявила киберкампанию, проводимую китайским актором против Ватикана и Католической епархии Гонконга, а также Исследовательской католической миссии Гонконга и Папского института иностранных миссий (PIME).
В ходе мониторинга сетевого трафика исследователи обнаружили несколько управляющих центров вредоносов PlugX, Poison Ivy и популярного у хакеров инструмента для пентетстов Cobalt Strike, которые взаимодействовали с хостами атакованных католических учреждений (то бишь с сидящими там вредоносами). Кроме того, была найдена фишинговая приманка, представляющая собой документ (похоже, что настоящий) за подписью главы Учебной католической миссии Гонконга.
Атака длилась с середины мая по конец июля 2020 года. Профиль хакерской группы, которая проводила кибероперацию, по ряду TTPs совпадает с китайской ATP Mustang Panda, однако существуют и определенные различия. Поэтому исследователи признали ее работающей на китайское правительство (что логично, учитывая цели) группой и дали промежуточное название RedDelta.
Insikt Group связывает эту атаку с предстоящими в сентябре 2020 года переговорами по поводу пролонгации достигнутого в 2018 году соглашения между Ватиканом и Пекином о назначении римско-католических епископов. Выявленная киберкампания направлена на те подразделения католической церкви, в которых может содержаться информация о переговорной позиции Ватикана.
P.S. Очень неприятное послевкусие от активного включения в отчет Recorded Future явно ангажированных вставок о векторе внешней политике США относительно Китая и Гонконга - все эти упоминания "обвинительных вердиктов США в отношении двух китайских контракторов" и "посол США по международным религиозным свободам выразил обеспокоенность". Прямо как в периоды худшего информационного маразма КПСС.
Recordedfuture
Chinese State-Sponsored Group ‘RedDelta’ Targets the Vatican and Catholic Organizations | Recorded Future
Insikt Group identified a cyberespionage campaign attributed to a suspected Chinese state-sponsored threat activity group, which they refer to as RedDelta.