Видимо, "сингапурская компания" Group-IB решила не отставать от Касперских, которые в последние недели штампуют любопытные отчеты просто пачками, и выдали интересный материал в отношении коммерческой иранской группы, использующей вымогатель Dharma.
Dharma (ранее CrySiS) - один из старейших вымогателей, работающий по схеме RaaS (ransomware as a service), когда оператор ransomware предоставляет клиентам свою вредоносную инфраструктуру и получает с от 30 до 40% выкупа. Оператор Dharma известен невысокими предъявляемыми требованиями к потенциальным партнерам, в отличие, например, от владельцев Sodinjkibi (aka REvil), которые предварительно проводят целые собеседования, чтобы убедиться, что клиенты являются хорошими хакерами.
В марте исходники Dharma были выставлены на продажу на двух русскоязычных форумах - мы писали об этом здесь. Вероятно иранцы его тогда и купили.
ГрИБы утверждают, что новые пользователи Dharma обладают очень низким хакерским скиллом. Используя доступное в сети хакерское ПО они сканируют сеть на предмет открытых портов RDP (Remote Desktop Protocol, удаленный рабочий стол) и пытаются забрутфорсить учетные данные. В случае успеха злоумышленники пробуют использовать старую уязвимость CVE-2017-0213 для Windows, чтобы повысить привилегии.
По мнению Group-IB, у иранских хакеров нет четкого плана как расширять свое присутствие в скомпрометированных сетях. Так что в каждом конкретном случае они решают что делать дальше для бокового перемещения по сети.
Основные цели - в России, Японии, Китае и Индии. В результате удаленной работы множества сотрудников из-за пандемии резко увеличилось количество плохо сконфигурированных RDP-подключений, поэтому иранским хакерам всегда есть чем поживиться. Тем более, что просят они сравнительно немного - от 1 до 5 BTC (приблизительно от 12 до 60 тыс. долларов по текущему курсу).
Dharma (ранее CrySiS) - один из старейших вымогателей, работающий по схеме RaaS (ransomware as a service), когда оператор ransomware предоставляет клиентам свою вредоносную инфраструктуру и получает с от 30 до 40% выкупа. Оператор Dharma известен невысокими предъявляемыми требованиями к потенциальным партнерам, в отличие, например, от владельцев Sodinjkibi (aka REvil), которые предварительно проводят целые собеседования, чтобы убедиться, что клиенты являются хорошими хакерами.
В марте исходники Dharma были выставлены на продажу на двух русскоязычных форумах - мы писали об этом здесь. Вероятно иранцы его тогда и купили.
ГрИБы утверждают, что новые пользователи Dharma обладают очень низким хакерским скиллом. Используя доступное в сети хакерское ПО они сканируют сеть на предмет открытых портов RDP (Remote Desktop Protocol, удаленный рабочий стол) и пытаются забрутфорсить учетные данные. В случае успеха злоумышленники пробуют использовать старую уязвимость CVE-2017-0213 для Windows, чтобы повысить привилегии.
По мнению Group-IB, у иранских хакеров нет четкого плана как расширять свое присутствие в скомпрометированных сетях. Так что в каждом конкретном случае они решают что делать дальше для бокового перемещения по сети.
Основные цели - в России, Японии, Китае и Индии. В результате удаленной работы множества сотрудников из-за пандемии резко увеличилось количество плохо сконфигурированных RDP-подключений, поэтому иранским хакерам всегда есть чем поживиться. Тем более, что просят они сравнительно немного - от 1 до 5 BTC (приблизительно от 12 до 60 тыс. долларов по текущему курсу).
Group-IB
Cybercriminal greeners from Iran attack companies worldwide for financial gain
Group-IB, a global threat hunting and intelligence company headquartered in Singapore, has detected financially motivated attacks carried out by Iranian newbie threat actors in June. The attackers used Dharma ransomware and a mix of publicly available tools…
Как сообщают The Hacker News, системный администратор А. Никочи сообщил о выявленной уязвимости в Google Drive, которая потенциально может быть использована злоумышленниками для распространения вредоносов.
Дырка находится в функции Управление версиями, которая позволяет произвольно менять расширение у загружаемого под видом новой версии файла. Никочи создал демонстрационный ролик, в котором показал как легитимная версия файла может быть заменена на вредонос. Подобные уловки могут быть использованы хакерами в ходе целевого фишинга.
Google в курсе проблемы, но пока ее не исправили. Будьте аккуратнее.
Дырка находится в функции Управление версиями, которая позволяет произвольно менять расширение у загружаемого под видом новой версии файла. Никочи создал демонстрационный ролик, в котором показал как легитимная версия файла может быть заменена на вредонос. Подобные уловки могут быть использованы хакерами в ходе целевого фишинга.
Google в курсе проблемы, но пока ее не исправили. Будьте аккуратнее.
Китайские исследователи из Shadow Chaser Group, которые давно следят за индийской APT SideWinder, обнаружили новую фишинговую атаку за авторством индийцев, направленную на афганские правительственные организации.
В качестве приманки используется документ от лица офиса Совета национальной безопасности Афганистана.
Вот так индийцы работают на афганском направлении.
В качестве приманки используется документ от лица офиса Совета национальной безопасности Афганистана.
Вот так индийцы работают на афганском направлении.
Новая команда DarkTracer, похоже японская, в рамках продвижения своего проекта по киберразведке выложила в сеть результаты своего анализа - список из 280 организаций, ставших жертвами 12 операторов ransomware.
Twitter
DarkTracer
[Updated] List of victim organizations(280) attacked by ransomware groups(12) released on the DarkWeb [Raw data] https://t.co/lQjbVBPixH #DarkTracer #DarkWeb #Ransomware #AKO #Avaddon #Clop #Conti #DarkSide #DoppelPaymer #MAZE #Nefilim #NetWalker #Pysa #Ragnar_Locker…
Мы, видимо, в последнее время так много писали про Касперских, что нас стали спрашивать - не сидим ли мы у них на зарплате. Но мы, серьезно, не виноваты, что птенцы Евгения Валентиновича Маска в последний месяц выдают на гора один интересный отчет за другим.
Кстати, когда мы подряд давали несколько постов про хорошие обзоры Trend Micro никто нас про зарплату от японцев не спрашивал. Обидно.
Мы это пишем, как подписчики наверное догадались, к очередному интересному материалу Касперских.
Исследователи обнаружили очень редкую разновидность APT, которая не является ни прогосударственной, ни коммерческой. Новой хакерской группе дали название Death Stalker. Она занимается тем, что в рамках корпоративных войн по заказу взламывает юридические и финансовые компании, чтобы получить доступ к конфиденциальной информации. Эдакие солдаты удачи сетевого мира.
Найденный Касперскими PowerShell-имплант, который Death Stalker использует в целевом фишинге и получивший название Powersing, весьма сложен и свидетельствует о высоком уровне его разработчиков. Он эффективно шифруется, проверяет наличие sandbox и виртуальных машин.
Death Stalker используют общедоступные сервисы для передачи команд своим вредоносам - ресерчеры нашли такие сообщения в Google+, Reddit, Tumblr, Twitter, YouTube и др. Причем делает это в несколько этапов. Из первого сообщения Powersing считывает ключ AES, который затем использует для расшифровки числа из другого сообщения, а уже из полученного целого числа извлекает IP-адрес управляющего центра.
Проведя поиск подобных управляющих сообщений исследователи установили, что группа работает как минимум с августа 2017 года. Также они установили возможную связь Powersing с другими вредоносами - Janicab и Evilnum, которые используют похожие механизмы получения адресов управляющих центров. Исходя из этого, ресерчеры cо "средней вероятностью" утверждают, что Janicab и Evilnum также управляются Death Stalker.
Это же подтверждают некие "дополнительные данные, предоставленные отраслевыми партнерами", но Касперские их никому не покажут. Нахрена тогда про них писать...
Активность Powersing была зафиксирована в Аргентине, Китае, Кипре, Израиле, Ливане, Швейцарии, Тайване, Турции, Великобритании и ОАЭ. И если предположения Касперских про то, что Death Stalker используют также и Janicab, верны, то это означает, что хакерская группа активно работает как минимум с 2012 года.
#APT #DeathStalker
Кстати, когда мы подряд давали несколько постов про хорошие обзоры Trend Micro никто нас про зарплату от японцев не спрашивал. Обидно.
Мы это пишем, как подписчики наверное догадались, к очередному интересному материалу Касперских.
Исследователи обнаружили очень редкую разновидность APT, которая не является ни прогосударственной, ни коммерческой. Новой хакерской группе дали название Death Stalker. Она занимается тем, что в рамках корпоративных войн по заказу взламывает юридические и финансовые компании, чтобы получить доступ к конфиденциальной информации. Эдакие солдаты удачи сетевого мира.
Найденный Касперскими PowerShell-имплант, который Death Stalker использует в целевом фишинге и получивший название Powersing, весьма сложен и свидетельствует о высоком уровне его разработчиков. Он эффективно шифруется, проверяет наличие sandbox и виртуальных машин.
Death Stalker используют общедоступные сервисы для передачи команд своим вредоносам - ресерчеры нашли такие сообщения в Google+, Reddit, Tumblr, Twitter, YouTube и др. Причем делает это в несколько этапов. Из первого сообщения Powersing считывает ключ AES, который затем использует для расшифровки числа из другого сообщения, а уже из полученного целого числа извлекает IP-адрес управляющего центра.
Проведя поиск подобных управляющих сообщений исследователи установили, что группа работает как минимум с августа 2017 года. Также они установили возможную связь Powersing с другими вредоносами - Janicab и Evilnum, которые используют похожие механизмы получения адресов управляющих центров. Исходя из этого, ресерчеры cо "средней вероятностью" утверждают, что Janicab и Evilnum также управляются Death Stalker.
Это же подтверждают некие "дополнительные данные, предоставленные отраслевыми партнерами", но Касперские их никому не покажут. Нахрена тогда про них писать...
Активность Powersing была зафиксирована в Аргентине, Китае, Кипре, Израиле, Ливане, Швейцарии, Тайване, Турции, Великобритании и ОАЭ. И если предположения Касперских про то, что Death Stalker используют также и Janicab, верны, то это означает, что хакерская группа активно работает как минимум с 2012 года.
#APT #DeathStalker
Securelist
Lifting the veil on DeathStalker, a mercenary triumvirate
DeathStalker is a group of mercenaries offering hacking-for-hire services, or acting as some sort of information broker in financial circles.
Когда читаешь инфосек новости, то понимаешь, что выражение "хуцпа" не там придумано - оно должно было возникнуть в Китае. Хотя кто знает, может быть и есть какой-нибудь секретный иероглиф, обозначающий беспредельную наглость и борзость.
Инфосек компания Snyk опубликовала отчет, в котором сообщила об обнаружении вредоносного функционала в популярном SDK для iOS-приложений от китайской рекламной платформы Mintegral. Исследователи дали ему название SourMint.
Этот SDK предоставляет разработчикам удобный функционал для встраивания рекламы в свои приложения и пользуется большой популярностью - он применяется более чем в 1200 iOS-приложениях, которые имеют в совокупности более 300 млн. загрузок в месяц.
Оказывается SourMint перехватывает клики, которые производит пользователь на чужих рекламных объявлениях и сообщает iOS, что пользователь кликнул по рекламным объявлениям Mintegral.
Однако этим вредоносный функционал SDK не ограничивается. SourMint собирает данные в отношении URL-запросов, сделанных пользователем из приложений, в которых SDK используется, а затем отправляет данные на удаленный сервер. При этом еще и пытается их закодировать.
Snyk сообщают, что впервые вредоносный функционал появился в SourMint в июле 2019 года. Apple пока отмораживается и пытается свалить всю ответственность на разработчиков приложений, использующих этот SDK.
Оно и понятно, зачем Apple ломать свой рекламный рынок. Вот только пока списка приложений, использующих SourMint, никто не опубликовал. А это значит, что пользовательские данные по прежнему под угрозой.
Инфосек компания Snyk опубликовала отчет, в котором сообщила об обнаружении вредоносного функционала в популярном SDK для iOS-приложений от китайской рекламной платформы Mintegral. Исследователи дали ему название SourMint.
Этот SDK предоставляет разработчикам удобный функционал для встраивания рекламы в свои приложения и пользуется большой популярностью - он применяется более чем в 1200 iOS-приложениях, которые имеют в совокупности более 300 млн. загрузок в месяц.
Оказывается SourMint перехватывает клики, которые производит пользователь на чужих рекламных объявлениях и сообщает iOS, что пользователь кликнул по рекламным объявлениям Mintegral.
Однако этим вредоносный функционал SDK не ограничивается. SourMint собирает данные в отношении URL-запросов, сделанных пользователем из приложений, в которых SDK используется, а затем отправляет данные на удаленный сервер. При этом еще и пытается их закодировать.
Snyk сообщают, что впервые вредоносный функционал появился в SourMint в июле 2019 года. Apple пока отмораживается и пытается свалить всю ответственность на разработчиков приложений, использующих этот SDK.
Оно и понятно, зачем Apple ломать свой рекламный рынок. Вот только пока списка приложений, использующих SourMint, никто не опубликовал. А это значит, что пользовательские данные по прежнему под угрозой.
Польские исследователи из REDTEAM. PL в апреле этого года обнаружили уязвимость в браузере Safari, которую хакеры могут применять для кражи данных с устройства пользователей как на iOS, так и на macOS.
Ошибка скрывается в механизме обработки Web Share API, предназначенного для обмена ссылками и контентом. Safari пропускает ссылки, в которых содержится путь к локальному файлу, в силу чего, злоумышленник, убедивший пользователя перейти по специально созданной ссылке может получить его информацию. Например, историю браузера.
Исследователи сразу же сообщили об ошибке в Apple, которые сначала подтвердили наличие проблемы, далее упали во фриз, а затем, спустя четыре месяца, в середине августа сообщили REDTEAM. PL, что планируют закрыть уязвимость весной 2021 года и попросили не сообщать публике ее детали. Но, поскольку общепринятый срок в 90 дней на закрытие известной уязвимости прошел, поляки приняли решение опубликовать материалы.
Вопщемта, в очередной раз Apple всем продемонстрировали, что на безопасность пользователей им насрать. Ну а мы и не удивляемся уже.
В блоге по ссылке есть и демонстрационное видео, и PoC-код.
Ошибка скрывается в механизме обработки Web Share API, предназначенного для обмена ссылками и контентом. Safari пропускает ссылки, в которых содержится путь к локальному файлу, в силу чего, злоумышленник, убедивший пользователя перейти по специально созданной ссылке может получить его информацию. Например, историю браузера.
Исследователи сразу же сообщили об ошибке в Apple, которые сначала подтвердили наличие проблемы, далее упали во фриз, а затем, спустя четыре месяца, в середине августа сообщили REDTEAM. PL, что планируют закрыть уязвимость весной 2021 года и попросили не сообщать публике ее детали. Но, поскольку общепринятый срок в 90 дней на закрытие известной уязвимости прошел, поляки приняли решение опубликовать материалы.
Вопщемта, в очередной раз Apple всем продемонстрировали, что на безопасность пользователей им насрать. Ну а мы и не удивляемся уже.
В блоге по ссылке есть и демонстрационное видео, и PoC-код.
blog.redteam.pl
Stealing local files using Safari Web Share API
red team, blue team, penetration testing, red teaming, threat hunting, digital forensics, incident response, cyber security, IT security
Инфосек компания F-Secure сообщила о фишинговой атаке, которую наши любимые северокорейские хакеры из Lazarus проводили в 2019-2020 годах на компании, связанные с криптовалютой.
Как мы неоднократно писали, в силу недостатка финансирования своих кибершпионских операций хакерские группы из КНДР вынуждены самостоятельно добывать денежные средства, для чего они активно занимаются коммерческим хакингом.
В этот раз они рассылают фишинговые сообщения в LinkedIn, в присоединенном документе к которому содержится вредоносный макрос. А затем все как обычно - загружаемый вредонос и сбор сведений с скомпрометированной машины, включая данные криптокошельков, а также боковое перемещения для дальнейшего проникновения во внутреннюю сеть.
Как мы неоднократно писали, в силу недостатка финансирования своих кибершпионских операций хакерские группы из КНДР вынуждены самостоятельно добывать денежные средства, для чего они активно занимаются коммерческим хакингом.
В этот раз они рассылают фишинговые сообщения в LinkedIn, в присоединенном документе к которому содержится вредоносный макрос. А затем все как обычно - загружаемый вредонос и сбор сведений с скомпрометированной машины, включая данные криптокошельков, а также боковое перемещения для дальнейшего проникновения во внутреннюю сеть.
ZDNet сообщает, что в субботу ФБР арестовало гражданина России Егора Крючкова. Вчера Министерство юстиции США предъявило ему обвинение в попытке завербовать сотрудника одной из компаний в Неваде для инсталляции вредоноса внутрь сети. Якобы Крючков за это предлагал 1 миллион долларов США.
По мнению американцев, Крючков является членом организованной преступной группы, которая планировала использовать установленный вредонос для захвата сети компании, чтобы в последующем зарансомить ее.
Судя по описанию процесса вербовки американца, который журналисты описывают в своем материале, спецагент из Крючкова тот еще - пытаться в лоб привлечь к соучастию в преступлении своего шапочного знакомого так себе задумка.
А возможно вообще все не так было. И Крючков вовсе не хакер. И не вымогать деньги из "компании в Неваде" он собирался. Но кто же теперь нам расскажет...
По мнению американцев, Крючков является членом организованной преступной группы, которая планировала использовать установленный вредонос для захвата сети компании, чтобы в последующем зарансомить ее.
Судя по описанию процесса вербовки американца, который журналисты описывают в своем материале, спецагент из Крючкова тот еще - пытаться в лоб привлечь к соучастию в преступлении своего шапочного знакомого так себе задумка.
А возможно вообще все не так было. И Крючков вовсе не хакер. И не вымогать деньги из "компании в Неваде" он собирался. Но кто же теперь нам расскажет...
ZDNET
Russian arrested for trying to recruit an insider and hack a Nevada company
A Russian national traveled to the US to recruit and convince an employee of a Nevada company to install malware on the company's network.
Позавчера про кибернаемников написали Касперские. А сегодня стало известно про расследование румынского инфосек вендора Bitdefender, в котором они описали атаку другой подобной группы. И в качестве этой группы они называют APT Promethium, она же StrongPity.
Bitdefender давно следит за активностью Promethium - мы писали об этом здесь.
В данном случае жертвой стала международная компания, специализирующаяся на архитектуре и на производстве видеоконтента, работающая с застройщиками элитной недвижимости в США, Великобритании, Австралии и Омане.
Румыны утверждают, что Promethium провели тщательную разведку системы безопасности жертвы, после чего скрупулезно спланировали атаку. Похоже, что в процессе нападения хакеры использовали 0-day уязвимость в приложении для работы с графикой Autodesk 3ds Max.
10 августа Autodesk предупредил о наличии вредоносного плагина PhysXPluginMfx, использующего уязвимость скриптовой утилиты MAXScript.
Румынские исследователи обнаружили, что Promethium использовали данный плагин для развертывания в атакованной системе RAT, который проводил поиск и эксфильтрацию конфиденциальной информации. Управляющий центр, используемый в этой атаке, находился на территории Южной Кореи. Bitdefender зафиксировали связь управляющего центра с другими сетями в Южной Корее, США, Японии и ЮАР что, вероятно, свидетельствует о других атакованных компаниях на территории этих стран.
И тем интереснее узнавать про взлом на заказ, выполненный APT Promethium, потому как за ней стоит MIT (Milli İstihbarat Teşkilatı), турецкая разведка. То ли у турков деньги закончились, то ли Promethium работает у них на подряде, перемежая кибершпионаж с взломами по заказу.
Bitdefender давно следит за активностью Promethium - мы писали об этом здесь.
В данном случае жертвой стала международная компания, специализирующаяся на архитектуре и на производстве видеоконтента, работающая с застройщиками элитной недвижимости в США, Великобритании, Австралии и Омане.
Румыны утверждают, что Promethium провели тщательную разведку системы безопасности жертвы, после чего скрупулезно спланировали атаку. Похоже, что в процессе нападения хакеры использовали 0-day уязвимость в приложении для работы с графикой Autodesk 3ds Max.
10 августа Autodesk предупредил о наличии вредоносного плагина PhysXPluginMfx, использующего уязвимость скриптовой утилиты MAXScript.
Румынские исследователи обнаружили, что Promethium использовали данный плагин для развертывания в атакованной системе RAT, который проводил поиск и эксфильтрацию конфиденциальной информации. Управляющий центр, используемый в этой атаке, находился на территории Южной Кореи. Bitdefender зафиксировали связь управляющего центра с другими сетями в Южной Корее, США, Японии и ЮАР что, вероятно, свидетельствует о других атакованных компаниях на территории этих стран.
И тем интереснее узнавать про взлом на заказ, выполненный APT Promethium, потому как за ней стоит MIT (Milli İstihbarat Teşkilatı), турецкая разведка. То ли у турков деньги закончились, то ли Promethium работает у них на подряде, перемежая кибершпионаж с взломами по заказу.
Bitdefender Labs
Daily source of cyber-threat information. Established 2001.
На днях японская команда DarkTracer, появившаяся совсем недавно, в рамках продвижения своего проекта по киберразведке выложила список из 280 организаций, ставших жертвами 12 операторов ransomware.
Сегодня же исследователи сообщили, что оператор ransomware Conti выкинул в паблик конфиденциальные данные Volkswagen Group. По всей видимости, вымогатели скомпрометировали сеть автопроизводителя, а последний отказался платить выкуп. Либо это первая партия информации, размещение которой сделано для того, чтобы сделать Volkswagen более сговорчивыми.
Conti - относительно новый вид ransomware, впервые замеченный в декабре 2019 года и ориентированный (впрочем, как и большинство вымогателей) на корпоративные сети. Считается, что Conti является преемником пресловутого Ryuk и управляется тем же оператором.
А на днях оператор ransomware, следуя современным трендам, запустил собственный сайт для слива украденной информации. И вот сразу такое громкое выступление.
Но, конечно, наших компаний это особо не касается. "Volkswagen Group - лошары, а у нас самая адекватная информационная безопасность за мелкий прайс" - повторяйте три раза в день перед едой и все будет хорошо. Ровно до момента компрометации вашей сети.
Сегодня же исследователи сообщили, что оператор ransomware Conti выкинул в паблик конфиденциальные данные Volkswagen Group. По всей видимости, вымогатели скомпрометировали сеть автопроизводителя, а последний отказался платить выкуп. Либо это первая партия информации, размещение которой сделано для того, чтобы сделать Volkswagen более сговорчивыми.
Conti - относительно новый вид ransomware, впервые замеченный в декабре 2019 года и ориентированный (впрочем, как и большинство вымогателей) на корпоративные сети. Считается, что Conti является преемником пресловутого Ryuk и управляется тем же оператором.
А на днях оператор ransomware, следуя современным трендам, запустил собственный сайт для слива украденной информации. И вот сразу такое громкое выступление.
Но, конечно, наших компаний это особо не касается. "Volkswagen Group - лошары, а у нас самая адекватная информационная безопасность за мелкий прайс" - повторяйте три раза в день перед едой и все будет хорошо. Ровно до момента компрометации вашей сети.
X (formerly Twitter)
Fusion Intelligence Center @ StealthMole on X
#Conti Ransomware Group released Volkswagen Group's data on the #DarkWeb.
ZDNet решили напомнить о проблемах приватности пользователей при серфинге в сети. Нас эти вопросы тоже живо интересуют и о них мы неоднократно писали.
Исследователи из Университета Айовы, Калифорнийского Университета и Mozilla проанализировала активность 100 тыс. самых популярных сайтов рейтинга Alexa на предмет снятия fingerprint'ов пользовательских систем (не нравится нам термин отпечатки, но, поскольку он стал общепринятым, будем использовать дальше его).
Из всех 100 тыс. исследованных ресурсов 10% снимают браузерные отпечатки.
Из 10 тыс. самых популярных сайтов - каждый четвертый.
Среди тысячи лидирующих - более 30%.
Кроме того, исследователи обнаружили новые методы, с помощью которых сайты индивидуализируют отпечатки пользователей - определяют разрешения браузера, подключенные периферийные устройства, измеряют быстродействие системы, снимают отпечатки API и пр.
И хотя не все сайты следят за пользователями - многие снимают отпечатки в рамках борьбы с фродом, выводы очевидны.
Во-первых, чем популярнее ресурс, тем больше вероятность, что он за вами присматривает.
А во-вторых, необходимо юзать браузеры, которые предоставляют встроенную защиту от снятия отпечатков. Благо их сейчас полно - Firefox, Brave, Opera, Tor Browser и т.п.
Исследователи из Университета Айовы, Калифорнийского Университета и Mozilla проанализировала активность 100 тыс. самых популярных сайтов рейтинга Alexa на предмет снятия fingerprint'ов пользовательских систем (не нравится нам термин отпечатки, но, поскольку он стал общепринятым, будем использовать дальше его).
Из всех 100 тыс. исследованных ресурсов 10% снимают браузерные отпечатки.
Из 10 тыс. самых популярных сайтов - каждый четвертый.
Среди тысячи лидирующих - более 30%.
Кроме того, исследователи обнаружили новые методы, с помощью которых сайты индивидуализируют отпечатки пользователей - определяют разрешения браузера, подключенные периферийные устройства, измеряют быстродействие системы, снимают отпечатки API и пр.
И хотя не все сайты следят за пользователями - многие снимают отпечатки в рамках борьбы с фродом, выводы очевидны.
Во-первых, чем популярнее ресурс, тем больше вероятность, что он за вами присматривает.
А во-вторых, необходимо юзать браузеры, которые предоставляют встроенную защиту от снятия отпечатков. Благо их сейчас полно - Firefox, Brave, Opera, Tor Browser и т.п.
ZDNet
A quarter of the Alexa Top 10K websites are using browser fingerprinting noscripts
Academics also discover many new previously unreported JavaScript APIs that are currently being used to fingerprint users.
В начале прошлой недели Akamai опубликовали отчет, в котором сообщили, что обнаружили новых акторов, специализирующихся на вымогательстве под угрозой проведения масштабных DDoS-атак.
Злоумышленники прикрываются наименованиями других хакерских групп - Armada Collective и Fancy Bear. И если первые действительно зарабатывают на DDoS-атаках еще с 2015 года, то вторые, также известные как APT28, считаются хакерской группой, работающей на ГРУ.
Согласно данным Akamai, хакеры нацелены на организации из финансового и банковского секторов, а также на предприятия розничной продажи. В письме, направляемом потенциальной жертве, злоумышленники угрожают начать DDoS-атаку, если не получат выкуп в размере от 5 до 20 BTC. Если жертва раскроет содержание письма третьим лицам - полиции или журналистам, - атака начнется немедленно. В случае пропуска контрольного срока выплаты выкупа он увеличивается.
Также хакеры обещали "тестовые" атаки (были ли они в реале - неизвестно). Некоторым жертвам угрожали атаками до 2 Тбит/с (имхо, брешут).
Тогда Akamai зафиксировали DDoS-атаку на одного из своих клиентов с мощностью 50 Гбит/с.
В начале этой недели Akamai дали дополнительную информацию, в которой сообщили, что наблюдают новые DDoS-атаки этой хакерской группы с пиком до 200 Гбит/c, в ходе которых используются различные вектора - DNS Flood, SNMP Flood, SYN Flood, ARMS (кстати, прикольная атака, использующая системы macOS с включенной службой удаленного управления в качестве мультипликатора вредоносного трафика с коэффициентом 35,5 (!)) и др.
А сегодня ZDNet сообщили, что во вторник указанными хакерами были атакованы платежки MoneyGram, PayPal, Venmo, Braintree, индийский банк YesBank. А Новозеландская фондовая биржа (NZX) лежит уже третий день подряд. Короче, Адъ и Израиль.
За всеми этими модными ransomware мы как-то стали забывать уже про старые "добрые" DDoS-атаки. А они вон какие - живы и процветают, в смысле бабки зарабатывают.
Злоумышленники прикрываются наименованиями других хакерских групп - Armada Collective и Fancy Bear. И если первые действительно зарабатывают на DDoS-атаках еще с 2015 года, то вторые, также известные как APT28, считаются хакерской группой, работающей на ГРУ.
Согласно данным Akamai, хакеры нацелены на организации из финансового и банковского секторов, а также на предприятия розничной продажи. В письме, направляемом потенциальной жертве, злоумышленники угрожают начать DDoS-атаку, если не получат выкуп в размере от 5 до 20 BTC. Если жертва раскроет содержание письма третьим лицам - полиции или журналистам, - атака начнется немедленно. В случае пропуска контрольного срока выплаты выкупа он увеличивается.
Также хакеры обещали "тестовые" атаки (были ли они в реале - неизвестно). Некоторым жертвам угрожали атаками до 2 Тбит/с (имхо, брешут).
Тогда Akamai зафиксировали DDoS-атаку на одного из своих клиентов с мощностью 50 Гбит/с.
В начале этой недели Akamai дали дополнительную информацию, в которой сообщили, что наблюдают новые DDoS-атаки этой хакерской группы с пиком до 200 Гбит/c, в ходе которых используются различные вектора - DNS Flood, SNMP Flood, SYN Flood, ARMS (кстати, прикольная атака, использующая системы macOS с включенной службой удаленного управления в качестве мультипликатора вредоносного трафика с коэффициентом 35,5 (!)) и др.
А сегодня ZDNet сообщили, что во вторник указанными хакерами были атакованы платежки MoneyGram, PayPal, Venmo, Braintree, индийский банк YesBank. А Новозеландская фондовая биржа (NZX) лежит уже третий день подряд. Короче, Адъ и Израиль.
За всеми этими модными ransomware мы как-то стали забывать уже про старые "добрые" DDoS-атаки. А они вон какие - живы и процветают, в смысле бабки зарабатывают.
Check Point провели исследование и выдали весьма подробный отчет в отношении новой версии хорошо известного банковского трояна Qbot.
Изучив начавшуюся в июле новую фишинговую кампанию, в ходе которой вредоносный VBS скрипт используется для загрузки нового вида Qbot, заточенного под кражу конфиденциальной информации с скомпрометированной машины. При этом банковский функционал остался на месте.
Новый специальный модуль, который Check Point назвали email collector, извлекает последовательности почтовых переписок из Outlook и загружает их на управляющий центр. В дальнейшем эти переписки используются для новых вредоносных рассылок - почтовые сообщения мимикрируют под продолжение реально существующей переписки.
Новый Qbot также использует интересный (хоть и не оригинальный) механизм сокрытия своих каналов связи с управляющими центрами- он может использовать одну из зараженных машин в качестве промежуточного управляющего центра.
Атаки нового вредоноса преимущественно осуществлялись на государственный, военный и производственный сектора США и стран Европы.
Исходя из особенностей новой волны распространения Qbot можно сделать вывод, что за ней стоит прогосударственная APT.
Изучив начавшуюся в июле новую фишинговую кампанию, в ходе которой вредоносный VBS скрипт используется для загрузки нового вида Qbot, заточенного под кражу конфиденциальной информации с скомпрометированной машины. При этом банковский функционал остался на месте.
Новый специальный модуль, который Check Point назвали email collector, извлекает последовательности почтовых переписок из Outlook и загружает их на управляющий центр. В дальнейшем эти переписки используются для новых вредоносных рассылок - почтовые сообщения мимикрируют под продолжение реально существующей переписки.
Новый Qbot также использует интересный (хоть и не оригинальный) механизм сокрытия своих каналов связи с управляющими центрами- он может использовать одну из зараженных машин в качестве промежуточного управляющего центра.
Атаки нового вредоноса преимущественно осуществлялись на государственный, военный и производственный сектора США и стран Европы.
Исходя из особенностей новой волны распространения Qbot можно сделать вывод, что за ней стоит прогосударственная APT.
Check Point Research
An Old Bot’s Nasty New Tricks: Exploring Qbot's Latest Attack Methods - Check Point Research
Research By: Alex Ilgayev Introduction The notorious banking trojan Qbot has been in business for more than a decade. The malware, which has also been dubbed Qakbot and Pinkslipbot, was discovered in 2008 and is known for collecting browsing data and stealing…
Here comes the big fish.
Актор с псевдонимом blessthefall на одном из русскоязычных хакерских форумов продает доступ к более чем 900 дырявых Citrix компаний из США, Германии, Италии, Испании, Франции и других стран, среди которых американский банк Credit Union, различные ИТ компании, облачные хранилища и прочее.
Похоже будет весело.
Актор с псевдонимом blessthefall на одном из русскоязычных хакерских форумов продает доступ к более чем 900 дырявых Citrix компаний из США, Германии, Италии, Испании, Франции и других стран, среди которых американский банк Credit Union, различные ИТ компании, облачные хранилища и прочее.
Похоже будет весело.
Помните про Егора Крючкова, которого ФБР арестовало в прошедшую субботу по обвинению в попытке завербовать сотрудника одной из компаний в Неваде для инсталляции вредоноса внутрь ее сети?
Оказывается, что атаковать пытались компанию Tesla, точнее ее Gigafactory. И Маск, не который Евгений Валентинович, а который тру Маск, подтвердил - говорит, мол, это была серьезная атака.
Что же до нас, то теперь нам стало очевидно, что Крючков совершенно точно является представителем преступной группы, которая собиралась вымогать денежные средства с компании. Потому что разведчикам в сети Tesla делать нечего, там кроме агиток Маска и патентов на форму задней левой двери Model S ничего интересного нет.
Оказывается, что атаковать пытались компанию Tesla, точнее ее Gigafactory. И Маск, не который Евгений Валентинович, а который тру Маск, подтвердил - говорит, мол, это была серьезная атака.
Что же до нас, то теперь нам стало очевидно, что Крючков совершенно точно является представителем преступной группы, которая собиралась вымогать денежные средства с компании. Потому что разведчикам в сети Tesla делать нечего, там кроме агиток Маска и патентов на форму задней левой двери Model S ничего интересного нет.
Teslarati
Tesla employee foregoes $1M payment, works with FBI to thwart cybersecurity attack
Sometimes, the events that transpire inside a company could be just as exciting and nail-biting as the most popular thrillers in fiction. In Tesla’s case, such a scenario recently played out, as a worker in Gigafactory Nevada ended up turning down a $1 million…
Появилась неприятная новость.
Команда исследователей из Швейцарского федерального технологического института (ETH) разработала атаку на банковские карты Visa, которая позволяет обходить необходимость введения PIN при дорогих покупках бесконтактным способом.
Для осуществления атаки необходимо два Android-смартфона и специальное ПО, разработанное швейцарцами. Один из смартфонов эмулирует бесконтактный POS-терминал, а другой эмулирует карту.
В момент оплаты на крупную сумму эмулятор POS запрашивает у карты Visa данные, затем изменяет технические детали транзакции, отвечающие за запрос PIN, и отправляет по Wi-Fi данные измененной транзакции на смартфон, эмулирующий карту. Бинго, оплата произведена.
Для использования разработанного ПО не нужны даже рутовые права на смартфонах.
Суть уязвимость, как вы уже наверняка догадались, в отсутствии защиты (механизма аутентификации или криптографии) передаваемых между картой Visa и бесконтактным POS-терминалом данных. Исследователи говорят, что успешно протестировали атаку в реальных магазинах на картах Visa Credit, Visa Electron и Visa VPay и не встретили каких-либо препятствий.
Более того, ресерчеры сообщили, что нашли еще одну уязвимость в процессе аутентификации терминала, которая кроме VIsa затрагивает и Mastercard. Но эту ошибку они не тестировали и не могут сказать, работает ли ее эксплойт на практике.
Берегите банковские карты, господа.
Команда исследователей из Швейцарского федерального технологического института (ETH) разработала атаку на банковские карты Visa, которая позволяет обходить необходимость введения PIN при дорогих покупках бесконтактным способом.
Для осуществления атаки необходимо два Android-смартфона и специальное ПО, разработанное швейцарцами. Один из смартфонов эмулирует бесконтактный POS-терминал, а другой эмулирует карту.
В момент оплаты на крупную сумму эмулятор POS запрашивает у карты Visa данные, затем изменяет технические детали транзакции, отвечающие за запрос PIN, и отправляет по Wi-Fi данные измененной транзакции на смартфон, эмулирующий карту. Бинго, оплата произведена.
Для использования разработанного ПО не нужны даже рутовые права на смартфонах.
Суть уязвимость, как вы уже наверняка догадались, в отсутствии защиты (механизма аутентификации или криптографии) передаваемых между картой Visa и бесконтактным POS-терминалом данных. Исследователи говорят, что успешно протестировали атаку в реальных магазинах на картах Visa Credit, Visa Electron и Visa VPay и не встретили каких-либо препятствий.
Более того, ресерчеры сообщили, что нашли еще одну уязвимость в процессе аутентификации терминала, которая кроме VIsa затрагивает и Mastercard. Но эту ошибку они не тестировали и не могут сказать, работает ли ее эксплойт на практике.
Берегите банковские карты, господа.
ZDNET
Academics bypass PINs for Visa contactless payments
Researchers: "In other words, the PIN is useless in Visa contactless transactions."
Израильская инфосек компания ClearSky выпустила отчет о новой тактике иранской APT 35 aka Charming Kitten (она же Magic Hound, она же Cobalt Gypsy).
С июля 2020 года иранцы стали маскироваться под журналистов немецкого телеканала Deutsche Welle и израильского журнала Jewish Journal. Они связывались с потенциальными жертвами посредством LinkedIn. Чтобы их акцент в дальнейшем не вызывал подозрения они представлялись как журналисты, родным языком которых является персидский.
Затем хакеры просили перейти для более удобного общения в WhatsApp, в некоторых случаях даже делая несколько голосовых вызовов для правдоподобности. Ну а далее направляли жертве ссылку на сайт Deutsche Welle, который был предварительно скомпрометирован и содержал загружаемый вредонос. Типичная такая атака на водопой, только с примесью иранской изобретательности в части социальной инженерии.
Атака была ориентирована на специалистов по Ирану, высокопоставленных американских госслужащих, а также на сотрудников организаций, связанных с исследованиями COVID-19.
Charming Kitten - иранская прогосударственная хакерская группа, специализирующаяся на кибершпионаже с 2014 года.
C ClearSky у Charming Kitten старая любовь. Израильтяне на протяжении нескольких лет расследуют активность APT 35, а в ответ последние в 2018 году создали фишинговый сайт ClearSky.
#APT #CharmingKitten
С июля 2020 года иранцы стали маскироваться под журналистов немецкого телеканала Deutsche Welle и израильского журнала Jewish Journal. Они связывались с потенциальными жертвами посредством LinkedIn. Чтобы их акцент в дальнейшем не вызывал подозрения они представлялись как журналисты, родным языком которых является персидский.
Затем хакеры просили перейти для более удобного общения в WhatsApp, в некоторых случаях даже делая несколько голосовых вызовов для правдоподобности. Ну а далее направляли жертве ссылку на сайт Deutsche Welle, который был предварительно скомпрометирован и содержал загружаемый вредонос. Типичная такая атака на водопой, только с примесью иранской изобретательности в части социальной инженерии.
Атака была ориентирована на специалистов по Ирану, высокопоставленных американских госслужащих, а также на сотрудников организаций, связанных с исследованиями COVID-19.
Charming Kitten - иранская прогосударственная хакерская группа, специализирующаяся на кибершпионаже с 2014 года.
C ClearSky у Charming Kitten старая любовь. Израильтяне на протяжении нескольких лет расследуют активность APT 35, а в ответ последние в 2018 году создали фишинговый сайт ClearSky.
#APT #CharmingKitten
Мы, как инфосек канал, логично заинтересованы в новых методах выявления malware. И, в то же время, как люди, не чуждые развитию современных технологий, верим в активное распространение в повседневной жизни "искусственного интеллекта" (хотя, конечно же, нейросети - это никакой не интеллект) и Big Data.
Поэтому следующую новость полагаем весьма позитивной.
Компании Microsoft и Intel, руководствуясь поговоркой "лучше один раз увидеть, чем сто раз услышать", разрабатывают технологию распознавания вредоносного кода на основе нейросети путем преобразования двоичных файлов в изображения.
Исследователи назвали этот проект STAMINA - STAtic Malware-as-Image Network Analysis. Код преобразуется в двухмерное изображение в градациях серого, а после анализируется специально обученной нейросетью. Для ее обучения были использованы более двух миллионов образцов вредоносов. Разработчики STAMINA заявляют, что достигли точности в 99,07% в обнаружении и классификации образцов вредоносного ПО.
С другой стороны, в таком методе выявления malware существуют и недостатки, свойственные системам распознания на основе машинного обучения. Во-первых, механизмы распознавания зачастую необъяснимы с точки зрения человеческой логики, по крайней мере, на первый взгляд. Во-вторых, STAMINA не сможет рассказать про функционал выявленного ПО, для этого нужен ручной анализ кода.
Тем не менее, звучит все это весьма многообещающе. STAMINA может служить первичным грубым фильтром, способным переваривать большие объемы данных. А уже далее будут подключаться эксперты для более тщательного исследования выявленных вредоносов.
Поэтому следующую новость полагаем весьма позитивной.
Компании Microsoft и Intel, руководствуясь поговоркой "лучше один раз увидеть, чем сто раз услышать", разрабатывают технологию распознавания вредоносного кода на основе нейросети путем преобразования двоичных файлов в изображения.
Исследователи назвали этот проект STAMINA - STAtic Malware-as-Image Network Analysis. Код преобразуется в двухмерное изображение в градациях серого, а после анализируется специально обученной нейросетью. Для ее обучения были использованы более двух миллионов образцов вредоносов. Разработчики STAMINA заявляют, что достигли точности в 99,07% в обнаружении и классификации образцов вредоносного ПО.
С другой стороны, в таком методе выявления malware существуют и недостатки, свойственные системам распознания на основе машинного обучения. Во-первых, механизмы распознавания зачастую необъяснимы с точки зрения человеческой логики, по крайней мере, на первый взгляд. Во-вторых, STAMINA не сможет рассказать про функционал выявленного ПО, для этого нужен ручной анализ кода.
Тем не менее, звучит все это весьма многообещающе. STAMINA может служить первичным грубым фильтром, способным переваривать большие объемы данных. А уже далее будут подключаться эксперты для более тщательного исследования выявленных вредоносов.
Security Boulevard
Project STAMINA Uses Deep Learning for Innovative Malware Detection
You’re familiar with the phrase, “A picture is worth 1,000 words.” Well, Microsoft and Intel are applying this philosophy to malware detection—using deep learning and a neural network to turn malware into images for analysis at scale. Project STAMINA—an acronym…
Группа исследователей The DFIR Report разместила интересный отчет, в котором рассмотрела имевший место захват корпоративной сети оператором ransomware NetWalker.
На все про все у хакеров ушло ровно 1 час 5 минут. Первичное проникновение произошло через использование скомпрометированной учетки RDP (насколько мы видим, в настоящее время это самый распространенный способ проникновения в сети у операторов ransomware, более популярный чем уязвимые VPN и пр).
Как сообщают исследователи, хакеры потребовали у жертвы 50 тыс. долларов с угрозой поднять сумму до 100 тыс. в случае невыплаты в течение недели. В итоге удалось договориться на 35 тыс. $. Сеть, как мы понимаем, была небольшая.
NetWalker - вымогатель, который появился осенью 2019 года и работает по схему Ransomware as a Service (RaaS). Замечен, в основном, в атаках на американские учебные заведения. В мае хакеры бахнули сеть Мичиганского государственного университета, в июне Калифорнийский университет, а в августе - Университет штата Юты, который в итоге выплатил им 457 тыс. долларов.
На все про все у хакеров ушло ровно 1 час 5 минут. Первичное проникновение произошло через использование скомпрометированной учетки RDP (насколько мы видим, в настоящее время это самый распространенный способ проникновения в сети у операторов ransomware, более популярный чем уязвимые VPN и пр).
Как сообщают исследователи, хакеры потребовали у жертвы 50 тыс. долларов с угрозой поднять сумму до 100 тыс. в случае невыплаты в течение недели. В итоге удалось договориться на 35 тыс. $. Сеть, как мы понимаем, была небольшая.
NetWalker - вымогатель, который появился осенью 2019 года и работает по схему Ransomware as a Service (RaaS). Замечен, в основном, в атаках на американские учебные заведения. В мае хакеры бахнули сеть Мичиганского государственного университета, в июне Калифорнийский университет, а в августе - Университет штата Юты, который в итоге выплатил им 457 тыс. долларов.
The DFIR Report
NetWalker Ransomware in 1 Hour
The threat actor logged in through RDP, attempted to run a Cobalt Strike Beacon, and then dumped memory using ProcDump and Mimikatz. Next, they RDPed into a Domain Controller, minutes before using …