Польские исследователи из REDTEAM. PL в апреле этого года обнаружили уязвимость в браузере Safari, которую хакеры могут применять для кражи данных с устройства пользователей как на iOS, так и на macOS.
Ошибка скрывается в механизме обработки Web Share API, предназначенного для обмена ссылками и контентом. Safari пропускает ссылки, в которых содержится путь к локальному файлу, в силу чего, злоумышленник, убедивший пользователя перейти по специально созданной ссылке может получить его информацию. Например, историю браузера.
Исследователи сразу же сообщили об ошибке в Apple, которые сначала подтвердили наличие проблемы, далее упали во фриз, а затем, спустя четыре месяца, в середине августа сообщили REDTEAM. PL, что планируют закрыть уязвимость весной 2021 года и попросили не сообщать публике ее детали. Но, поскольку общепринятый срок в 90 дней на закрытие известной уязвимости прошел, поляки приняли решение опубликовать материалы.
Вопщемта, в очередной раз Apple всем продемонстрировали, что на безопасность пользователей им насрать. Ну а мы и не удивляемся уже.
В блоге по ссылке есть и демонстрационное видео, и PoC-код.
Ошибка скрывается в механизме обработки Web Share API, предназначенного для обмена ссылками и контентом. Safari пропускает ссылки, в которых содержится путь к локальному файлу, в силу чего, злоумышленник, убедивший пользователя перейти по специально созданной ссылке может получить его информацию. Например, историю браузера.
Исследователи сразу же сообщили об ошибке в Apple, которые сначала подтвердили наличие проблемы, далее упали во фриз, а затем, спустя четыре месяца, в середине августа сообщили REDTEAM. PL, что планируют закрыть уязвимость весной 2021 года и попросили не сообщать публике ее детали. Но, поскольку общепринятый срок в 90 дней на закрытие известной уязвимости прошел, поляки приняли решение опубликовать материалы.
Вопщемта, в очередной раз Apple всем продемонстрировали, что на безопасность пользователей им насрать. Ну а мы и не удивляемся уже.
В блоге по ссылке есть и демонстрационное видео, и PoC-код.
blog.redteam.pl
Stealing local files using Safari Web Share API
red team, blue team, penetration testing, red teaming, threat hunting, digital forensics, incident response, cyber security, IT security
Инфосек компания F-Secure сообщила о фишинговой атаке, которую наши любимые северокорейские хакеры из Lazarus проводили в 2019-2020 годах на компании, связанные с криптовалютой.
Как мы неоднократно писали, в силу недостатка финансирования своих кибершпионских операций хакерские группы из КНДР вынуждены самостоятельно добывать денежные средства, для чего они активно занимаются коммерческим хакингом.
В этот раз они рассылают фишинговые сообщения в LinkedIn, в присоединенном документе к которому содержится вредоносный макрос. А затем все как обычно - загружаемый вредонос и сбор сведений с скомпрометированной машины, включая данные криптокошельков, а также боковое перемещения для дальнейшего проникновения во внутреннюю сеть.
Как мы неоднократно писали, в силу недостатка финансирования своих кибершпионских операций хакерские группы из КНДР вынуждены самостоятельно добывать денежные средства, для чего они активно занимаются коммерческим хакингом.
В этот раз они рассылают фишинговые сообщения в LinkedIn, в присоединенном документе к которому содержится вредоносный макрос. А затем все как обычно - загружаемый вредонос и сбор сведений с скомпрометированной машины, включая данные криптокошельков, а также боковое перемещения для дальнейшего проникновения во внутреннюю сеть.
ZDNet сообщает, что в субботу ФБР арестовало гражданина России Егора Крючкова. Вчера Министерство юстиции США предъявило ему обвинение в попытке завербовать сотрудника одной из компаний в Неваде для инсталляции вредоноса внутрь сети. Якобы Крючков за это предлагал 1 миллион долларов США.
По мнению американцев, Крючков является членом организованной преступной группы, которая планировала использовать установленный вредонос для захвата сети компании, чтобы в последующем зарансомить ее.
Судя по описанию процесса вербовки американца, который журналисты описывают в своем материале, спецагент из Крючкова тот еще - пытаться в лоб привлечь к соучастию в преступлении своего шапочного знакомого так себе задумка.
А возможно вообще все не так было. И Крючков вовсе не хакер. И не вымогать деньги из "компании в Неваде" он собирался. Но кто же теперь нам расскажет...
По мнению американцев, Крючков является членом организованной преступной группы, которая планировала использовать установленный вредонос для захвата сети компании, чтобы в последующем зарансомить ее.
Судя по описанию процесса вербовки американца, который журналисты описывают в своем материале, спецагент из Крючкова тот еще - пытаться в лоб привлечь к соучастию в преступлении своего шапочного знакомого так себе задумка.
А возможно вообще все не так было. И Крючков вовсе не хакер. И не вымогать деньги из "компании в Неваде" он собирался. Но кто же теперь нам расскажет...
ZDNET
Russian arrested for trying to recruit an insider and hack a Nevada company
A Russian national traveled to the US to recruit and convince an employee of a Nevada company to install malware on the company's network.
Позавчера про кибернаемников написали Касперские. А сегодня стало известно про расследование румынского инфосек вендора Bitdefender, в котором они описали атаку другой подобной группы. И в качестве этой группы они называют APT Promethium, она же StrongPity.
Bitdefender давно следит за активностью Promethium - мы писали об этом здесь.
В данном случае жертвой стала международная компания, специализирующаяся на архитектуре и на производстве видеоконтента, работающая с застройщиками элитной недвижимости в США, Великобритании, Австралии и Омане.
Румыны утверждают, что Promethium провели тщательную разведку системы безопасности жертвы, после чего скрупулезно спланировали атаку. Похоже, что в процессе нападения хакеры использовали 0-day уязвимость в приложении для работы с графикой Autodesk 3ds Max.
10 августа Autodesk предупредил о наличии вредоносного плагина PhysXPluginMfx, использующего уязвимость скриптовой утилиты MAXScript.
Румынские исследователи обнаружили, что Promethium использовали данный плагин для развертывания в атакованной системе RAT, который проводил поиск и эксфильтрацию конфиденциальной информации. Управляющий центр, используемый в этой атаке, находился на территории Южной Кореи. Bitdefender зафиксировали связь управляющего центра с другими сетями в Южной Корее, США, Японии и ЮАР что, вероятно, свидетельствует о других атакованных компаниях на территории этих стран.
И тем интереснее узнавать про взлом на заказ, выполненный APT Promethium, потому как за ней стоит MIT (Milli İstihbarat Teşkilatı), турецкая разведка. То ли у турков деньги закончились, то ли Promethium работает у них на подряде, перемежая кибершпионаж с взломами по заказу.
Bitdefender давно следит за активностью Promethium - мы писали об этом здесь.
В данном случае жертвой стала международная компания, специализирующаяся на архитектуре и на производстве видеоконтента, работающая с застройщиками элитной недвижимости в США, Великобритании, Австралии и Омане.
Румыны утверждают, что Promethium провели тщательную разведку системы безопасности жертвы, после чего скрупулезно спланировали атаку. Похоже, что в процессе нападения хакеры использовали 0-day уязвимость в приложении для работы с графикой Autodesk 3ds Max.
10 августа Autodesk предупредил о наличии вредоносного плагина PhysXPluginMfx, использующего уязвимость скриптовой утилиты MAXScript.
Румынские исследователи обнаружили, что Promethium использовали данный плагин для развертывания в атакованной системе RAT, который проводил поиск и эксфильтрацию конфиденциальной информации. Управляющий центр, используемый в этой атаке, находился на территории Южной Кореи. Bitdefender зафиксировали связь управляющего центра с другими сетями в Южной Корее, США, Японии и ЮАР что, вероятно, свидетельствует о других атакованных компаниях на территории этих стран.
И тем интереснее узнавать про взлом на заказ, выполненный APT Promethium, потому как за ней стоит MIT (Milli İstihbarat Teşkilatı), турецкая разведка. То ли у турков деньги закончились, то ли Promethium работает у них на подряде, перемежая кибершпионаж с взломами по заказу.
Bitdefender Labs
Daily source of cyber-threat information. Established 2001.
На днях японская команда DarkTracer, появившаяся совсем недавно, в рамках продвижения своего проекта по киберразведке выложила список из 280 организаций, ставших жертвами 12 операторов ransomware.
Сегодня же исследователи сообщили, что оператор ransomware Conti выкинул в паблик конфиденциальные данные Volkswagen Group. По всей видимости, вымогатели скомпрометировали сеть автопроизводителя, а последний отказался платить выкуп. Либо это первая партия информации, размещение которой сделано для того, чтобы сделать Volkswagen более сговорчивыми.
Conti - относительно новый вид ransomware, впервые замеченный в декабре 2019 года и ориентированный (впрочем, как и большинство вымогателей) на корпоративные сети. Считается, что Conti является преемником пресловутого Ryuk и управляется тем же оператором.
А на днях оператор ransomware, следуя современным трендам, запустил собственный сайт для слива украденной информации. И вот сразу такое громкое выступление.
Но, конечно, наших компаний это особо не касается. "Volkswagen Group - лошары, а у нас самая адекватная информационная безопасность за мелкий прайс" - повторяйте три раза в день перед едой и все будет хорошо. Ровно до момента компрометации вашей сети.
Сегодня же исследователи сообщили, что оператор ransomware Conti выкинул в паблик конфиденциальные данные Volkswagen Group. По всей видимости, вымогатели скомпрометировали сеть автопроизводителя, а последний отказался платить выкуп. Либо это первая партия информации, размещение которой сделано для того, чтобы сделать Volkswagen более сговорчивыми.
Conti - относительно новый вид ransomware, впервые замеченный в декабре 2019 года и ориентированный (впрочем, как и большинство вымогателей) на корпоративные сети. Считается, что Conti является преемником пресловутого Ryuk и управляется тем же оператором.
А на днях оператор ransomware, следуя современным трендам, запустил собственный сайт для слива украденной информации. И вот сразу такое громкое выступление.
Но, конечно, наших компаний это особо не касается. "Volkswagen Group - лошары, а у нас самая адекватная информационная безопасность за мелкий прайс" - повторяйте три раза в день перед едой и все будет хорошо. Ровно до момента компрометации вашей сети.
X (formerly Twitter)
Fusion Intelligence Center @ StealthMole on X
#Conti Ransomware Group released Volkswagen Group's data on the #DarkWeb.
ZDNet решили напомнить о проблемах приватности пользователей при серфинге в сети. Нас эти вопросы тоже живо интересуют и о них мы неоднократно писали.
Исследователи из Университета Айовы, Калифорнийского Университета и Mozilla проанализировала активность 100 тыс. самых популярных сайтов рейтинга Alexa на предмет снятия fingerprint'ов пользовательских систем (не нравится нам термин отпечатки, но, поскольку он стал общепринятым, будем использовать дальше его).
Из всех 100 тыс. исследованных ресурсов 10% снимают браузерные отпечатки.
Из 10 тыс. самых популярных сайтов - каждый четвертый.
Среди тысячи лидирующих - более 30%.
Кроме того, исследователи обнаружили новые методы, с помощью которых сайты индивидуализируют отпечатки пользователей - определяют разрешения браузера, подключенные периферийные устройства, измеряют быстродействие системы, снимают отпечатки API и пр.
И хотя не все сайты следят за пользователями - многие снимают отпечатки в рамках борьбы с фродом, выводы очевидны.
Во-первых, чем популярнее ресурс, тем больше вероятность, что он за вами присматривает.
А во-вторых, необходимо юзать браузеры, которые предоставляют встроенную защиту от снятия отпечатков. Благо их сейчас полно - Firefox, Brave, Opera, Tor Browser и т.п.
Исследователи из Университета Айовы, Калифорнийского Университета и Mozilla проанализировала активность 100 тыс. самых популярных сайтов рейтинга Alexa на предмет снятия fingerprint'ов пользовательских систем (не нравится нам термин отпечатки, но, поскольку он стал общепринятым, будем использовать дальше его).
Из всех 100 тыс. исследованных ресурсов 10% снимают браузерные отпечатки.
Из 10 тыс. самых популярных сайтов - каждый четвертый.
Среди тысячи лидирующих - более 30%.
Кроме того, исследователи обнаружили новые методы, с помощью которых сайты индивидуализируют отпечатки пользователей - определяют разрешения браузера, подключенные периферийные устройства, измеряют быстродействие системы, снимают отпечатки API и пр.
И хотя не все сайты следят за пользователями - многие снимают отпечатки в рамках борьбы с фродом, выводы очевидны.
Во-первых, чем популярнее ресурс, тем больше вероятность, что он за вами присматривает.
А во-вторых, необходимо юзать браузеры, которые предоставляют встроенную защиту от снятия отпечатков. Благо их сейчас полно - Firefox, Brave, Opera, Tor Browser и т.п.
ZDNet
A quarter of the Alexa Top 10K websites are using browser fingerprinting noscripts
Academics also discover many new previously unreported JavaScript APIs that are currently being used to fingerprint users.
В начале прошлой недели Akamai опубликовали отчет, в котором сообщили, что обнаружили новых акторов, специализирующихся на вымогательстве под угрозой проведения масштабных DDoS-атак.
Злоумышленники прикрываются наименованиями других хакерских групп - Armada Collective и Fancy Bear. И если первые действительно зарабатывают на DDoS-атаках еще с 2015 года, то вторые, также известные как APT28, считаются хакерской группой, работающей на ГРУ.
Согласно данным Akamai, хакеры нацелены на организации из финансового и банковского секторов, а также на предприятия розничной продажи. В письме, направляемом потенциальной жертве, злоумышленники угрожают начать DDoS-атаку, если не получат выкуп в размере от 5 до 20 BTC. Если жертва раскроет содержание письма третьим лицам - полиции или журналистам, - атака начнется немедленно. В случае пропуска контрольного срока выплаты выкупа он увеличивается.
Также хакеры обещали "тестовые" атаки (были ли они в реале - неизвестно). Некоторым жертвам угрожали атаками до 2 Тбит/с (имхо, брешут).
Тогда Akamai зафиксировали DDoS-атаку на одного из своих клиентов с мощностью 50 Гбит/с.
В начале этой недели Akamai дали дополнительную информацию, в которой сообщили, что наблюдают новые DDoS-атаки этой хакерской группы с пиком до 200 Гбит/c, в ходе которых используются различные вектора - DNS Flood, SNMP Flood, SYN Flood, ARMS (кстати, прикольная атака, использующая системы macOS с включенной службой удаленного управления в качестве мультипликатора вредоносного трафика с коэффициентом 35,5 (!)) и др.
А сегодня ZDNet сообщили, что во вторник указанными хакерами были атакованы платежки MoneyGram, PayPal, Venmo, Braintree, индийский банк YesBank. А Новозеландская фондовая биржа (NZX) лежит уже третий день подряд. Короче, Адъ и Израиль.
За всеми этими модными ransomware мы как-то стали забывать уже про старые "добрые" DDoS-атаки. А они вон какие - живы и процветают, в смысле бабки зарабатывают.
Злоумышленники прикрываются наименованиями других хакерских групп - Armada Collective и Fancy Bear. И если первые действительно зарабатывают на DDoS-атаках еще с 2015 года, то вторые, также известные как APT28, считаются хакерской группой, работающей на ГРУ.
Согласно данным Akamai, хакеры нацелены на организации из финансового и банковского секторов, а также на предприятия розничной продажи. В письме, направляемом потенциальной жертве, злоумышленники угрожают начать DDoS-атаку, если не получат выкуп в размере от 5 до 20 BTC. Если жертва раскроет содержание письма третьим лицам - полиции или журналистам, - атака начнется немедленно. В случае пропуска контрольного срока выплаты выкупа он увеличивается.
Также хакеры обещали "тестовые" атаки (были ли они в реале - неизвестно). Некоторым жертвам угрожали атаками до 2 Тбит/с (имхо, брешут).
Тогда Akamai зафиксировали DDoS-атаку на одного из своих клиентов с мощностью 50 Гбит/с.
В начале этой недели Akamai дали дополнительную информацию, в которой сообщили, что наблюдают новые DDoS-атаки этой хакерской группы с пиком до 200 Гбит/c, в ходе которых используются различные вектора - DNS Flood, SNMP Flood, SYN Flood, ARMS (кстати, прикольная атака, использующая системы macOS с включенной службой удаленного управления в качестве мультипликатора вредоносного трафика с коэффициентом 35,5 (!)) и др.
А сегодня ZDNet сообщили, что во вторник указанными хакерами были атакованы платежки MoneyGram, PayPal, Venmo, Braintree, индийский банк YesBank. А Новозеландская фондовая биржа (NZX) лежит уже третий день подряд. Короче, Адъ и Израиль.
За всеми этими модными ransomware мы как-то стали забывать уже про старые "добрые" DDoS-атаки. А они вон какие - живы и процветают, в смысле бабки зарабатывают.
Check Point провели исследование и выдали весьма подробный отчет в отношении новой версии хорошо известного банковского трояна Qbot.
Изучив начавшуюся в июле новую фишинговую кампанию, в ходе которой вредоносный VBS скрипт используется для загрузки нового вида Qbot, заточенного под кражу конфиденциальной информации с скомпрометированной машины. При этом банковский функционал остался на месте.
Новый специальный модуль, который Check Point назвали email collector, извлекает последовательности почтовых переписок из Outlook и загружает их на управляющий центр. В дальнейшем эти переписки используются для новых вредоносных рассылок - почтовые сообщения мимикрируют под продолжение реально существующей переписки.
Новый Qbot также использует интересный (хоть и не оригинальный) механизм сокрытия своих каналов связи с управляющими центрами- он может использовать одну из зараженных машин в качестве промежуточного управляющего центра.
Атаки нового вредоноса преимущественно осуществлялись на государственный, военный и производственный сектора США и стран Европы.
Исходя из особенностей новой волны распространения Qbot можно сделать вывод, что за ней стоит прогосударственная APT.
Изучив начавшуюся в июле новую фишинговую кампанию, в ходе которой вредоносный VBS скрипт используется для загрузки нового вида Qbot, заточенного под кражу конфиденциальной информации с скомпрометированной машины. При этом банковский функционал остался на месте.
Новый специальный модуль, который Check Point назвали email collector, извлекает последовательности почтовых переписок из Outlook и загружает их на управляющий центр. В дальнейшем эти переписки используются для новых вредоносных рассылок - почтовые сообщения мимикрируют под продолжение реально существующей переписки.
Новый Qbot также использует интересный (хоть и не оригинальный) механизм сокрытия своих каналов связи с управляющими центрами- он может использовать одну из зараженных машин в качестве промежуточного управляющего центра.
Атаки нового вредоноса преимущественно осуществлялись на государственный, военный и производственный сектора США и стран Европы.
Исходя из особенностей новой волны распространения Qbot можно сделать вывод, что за ней стоит прогосударственная APT.
Check Point Research
An Old Bot’s Nasty New Tricks: Exploring Qbot's Latest Attack Methods - Check Point Research
Research By: Alex Ilgayev Introduction The notorious banking trojan Qbot has been in business for more than a decade. The malware, which has also been dubbed Qakbot and Pinkslipbot, was discovered in 2008 and is known for collecting browsing data and stealing…
Here comes the big fish.
Актор с псевдонимом blessthefall на одном из русскоязычных хакерских форумов продает доступ к более чем 900 дырявых Citrix компаний из США, Германии, Италии, Испании, Франции и других стран, среди которых американский банк Credit Union, различные ИТ компании, облачные хранилища и прочее.
Похоже будет весело.
Актор с псевдонимом blessthefall на одном из русскоязычных хакерских форумов продает доступ к более чем 900 дырявых Citrix компаний из США, Германии, Италии, Испании, Франции и других стран, среди которых американский банк Credit Union, различные ИТ компании, облачные хранилища и прочее.
Похоже будет весело.
Помните про Егора Крючкова, которого ФБР арестовало в прошедшую субботу по обвинению в попытке завербовать сотрудника одной из компаний в Неваде для инсталляции вредоноса внутрь ее сети?
Оказывается, что атаковать пытались компанию Tesla, точнее ее Gigafactory. И Маск, не который Евгений Валентинович, а который тру Маск, подтвердил - говорит, мол, это была серьезная атака.
Что же до нас, то теперь нам стало очевидно, что Крючков совершенно точно является представителем преступной группы, которая собиралась вымогать денежные средства с компании. Потому что разведчикам в сети Tesla делать нечего, там кроме агиток Маска и патентов на форму задней левой двери Model S ничего интересного нет.
Оказывается, что атаковать пытались компанию Tesla, точнее ее Gigafactory. И Маск, не который Евгений Валентинович, а который тру Маск, подтвердил - говорит, мол, это была серьезная атака.
Что же до нас, то теперь нам стало очевидно, что Крючков совершенно точно является представителем преступной группы, которая собиралась вымогать денежные средства с компании. Потому что разведчикам в сети Tesla делать нечего, там кроме агиток Маска и патентов на форму задней левой двери Model S ничего интересного нет.
Teslarati
Tesla employee foregoes $1M payment, works with FBI to thwart cybersecurity attack
Sometimes, the events that transpire inside a company could be just as exciting and nail-biting as the most popular thrillers in fiction. In Tesla’s case, such a scenario recently played out, as a worker in Gigafactory Nevada ended up turning down a $1 million…
Появилась неприятная новость.
Команда исследователей из Швейцарского федерального технологического института (ETH) разработала атаку на банковские карты Visa, которая позволяет обходить необходимость введения PIN при дорогих покупках бесконтактным способом.
Для осуществления атаки необходимо два Android-смартфона и специальное ПО, разработанное швейцарцами. Один из смартфонов эмулирует бесконтактный POS-терминал, а другой эмулирует карту.
В момент оплаты на крупную сумму эмулятор POS запрашивает у карты Visa данные, затем изменяет технические детали транзакции, отвечающие за запрос PIN, и отправляет по Wi-Fi данные измененной транзакции на смартфон, эмулирующий карту. Бинго, оплата произведена.
Для использования разработанного ПО не нужны даже рутовые права на смартфонах.
Суть уязвимость, как вы уже наверняка догадались, в отсутствии защиты (механизма аутентификации или криптографии) передаваемых между картой Visa и бесконтактным POS-терминалом данных. Исследователи говорят, что успешно протестировали атаку в реальных магазинах на картах Visa Credit, Visa Electron и Visa VPay и не встретили каких-либо препятствий.
Более того, ресерчеры сообщили, что нашли еще одну уязвимость в процессе аутентификации терминала, которая кроме VIsa затрагивает и Mastercard. Но эту ошибку они не тестировали и не могут сказать, работает ли ее эксплойт на практике.
Берегите банковские карты, господа.
Команда исследователей из Швейцарского федерального технологического института (ETH) разработала атаку на банковские карты Visa, которая позволяет обходить необходимость введения PIN при дорогих покупках бесконтактным способом.
Для осуществления атаки необходимо два Android-смартфона и специальное ПО, разработанное швейцарцами. Один из смартфонов эмулирует бесконтактный POS-терминал, а другой эмулирует карту.
В момент оплаты на крупную сумму эмулятор POS запрашивает у карты Visa данные, затем изменяет технические детали транзакции, отвечающие за запрос PIN, и отправляет по Wi-Fi данные измененной транзакции на смартфон, эмулирующий карту. Бинго, оплата произведена.
Для использования разработанного ПО не нужны даже рутовые права на смартфонах.
Суть уязвимость, как вы уже наверняка догадались, в отсутствии защиты (механизма аутентификации или криптографии) передаваемых между картой Visa и бесконтактным POS-терминалом данных. Исследователи говорят, что успешно протестировали атаку в реальных магазинах на картах Visa Credit, Visa Electron и Visa VPay и не встретили каких-либо препятствий.
Более того, ресерчеры сообщили, что нашли еще одну уязвимость в процессе аутентификации терминала, которая кроме VIsa затрагивает и Mastercard. Но эту ошибку они не тестировали и не могут сказать, работает ли ее эксплойт на практике.
Берегите банковские карты, господа.
ZDNET
Academics bypass PINs for Visa contactless payments
Researchers: "In other words, the PIN is useless in Visa contactless transactions."
Израильская инфосек компания ClearSky выпустила отчет о новой тактике иранской APT 35 aka Charming Kitten (она же Magic Hound, она же Cobalt Gypsy).
С июля 2020 года иранцы стали маскироваться под журналистов немецкого телеканала Deutsche Welle и израильского журнала Jewish Journal. Они связывались с потенциальными жертвами посредством LinkedIn. Чтобы их акцент в дальнейшем не вызывал подозрения они представлялись как журналисты, родным языком которых является персидский.
Затем хакеры просили перейти для более удобного общения в WhatsApp, в некоторых случаях даже делая несколько голосовых вызовов для правдоподобности. Ну а далее направляли жертве ссылку на сайт Deutsche Welle, который был предварительно скомпрометирован и содержал загружаемый вредонос. Типичная такая атака на водопой, только с примесью иранской изобретательности в части социальной инженерии.
Атака была ориентирована на специалистов по Ирану, высокопоставленных американских госслужащих, а также на сотрудников организаций, связанных с исследованиями COVID-19.
Charming Kitten - иранская прогосударственная хакерская группа, специализирующаяся на кибершпионаже с 2014 года.
C ClearSky у Charming Kitten старая любовь. Израильтяне на протяжении нескольких лет расследуют активность APT 35, а в ответ последние в 2018 году создали фишинговый сайт ClearSky.
#APT #CharmingKitten
С июля 2020 года иранцы стали маскироваться под журналистов немецкого телеканала Deutsche Welle и израильского журнала Jewish Journal. Они связывались с потенциальными жертвами посредством LinkedIn. Чтобы их акцент в дальнейшем не вызывал подозрения они представлялись как журналисты, родным языком которых является персидский.
Затем хакеры просили перейти для более удобного общения в WhatsApp, в некоторых случаях даже делая несколько голосовых вызовов для правдоподобности. Ну а далее направляли жертве ссылку на сайт Deutsche Welle, который был предварительно скомпрометирован и содержал загружаемый вредонос. Типичная такая атака на водопой, только с примесью иранской изобретательности в части социальной инженерии.
Атака была ориентирована на специалистов по Ирану, высокопоставленных американских госслужащих, а также на сотрудников организаций, связанных с исследованиями COVID-19.
Charming Kitten - иранская прогосударственная хакерская группа, специализирующаяся на кибершпионаже с 2014 года.
C ClearSky у Charming Kitten старая любовь. Израильтяне на протяжении нескольких лет расследуют активность APT 35, а в ответ последние в 2018 году создали фишинговый сайт ClearSky.
#APT #CharmingKitten
Мы, как инфосек канал, логично заинтересованы в новых методах выявления malware. И, в то же время, как люди, не чуждые развитию современных технологий, верим в активное распространение в повседневной жизни "искусственного интеллекта" (хотя, конечно же, нейросети - это никакой не интеллект) и Big Data.
Поэтому следующую новость полагаем весьма позитивной.
Компании Microsoft и Intel, руководствуясь поговоркой "лучше один раз увидеть, чем сто раз услышать", разрабатывают технологию распознавания вредоносного кода на основе нейросети путем преобразования двоичных файлов в изображения.
Исследователи назвали этот проект STAMINA - STAtic Malware-as-Image Network Analysis. Код преобразуется в двухмерное изображение в градациях серого, а после анализируется специально обученной нейросетью. Для ее обучения были использованы более двух миллионов образцов вредоносов. Разработчики STAMINA заявляют, что достигли точности в 99,07% в обнаружении и классификации образцов вредоносного ПО.
С другой стороны, в таком методе выявления malware существуют и недостатки, свойственные системам распознания на основе машинного обучения. Во-первых, механизмы распознавания зачастую необъяснимы с точки зрения человеческой логики, по крайней мере, на первый взгляд. Во-вторых, STAMINA не сможет рассказать про функционал выявленного ПО, для этого нужен ручной анализ кода.
Тем не менее, звучит все это весьма многообещающе. STAMINA может служить первичным грубым фильтром, способным переваривать большие объемы данных. А уже далее будут подключаться эксперты для более тщательного исследования выявленных вредоносов.
Поэтому следующую новость полагаем весьма позитивной.
Компании Microsoft и Intel, руководствуясь поговоркой "лучше один раз увидеть, чем сто раз услышать", разрабатывают технологию распознавания вредоносного кода на основе нейросети путем преобразования двоичных файлов в изображения.
Исследователи назвали этот проект STAMINA - STAtic Malware-as-Image Network Analysis. Код преобразуется в двухмерное изображение в градациях серого, а после анализируется специально обученной нейросетью. Для ее обучения были использованы более двух миллионов образцов вредоносов. Разработчики STAMINA заявляют, что достигли точности в 99,07% в обнаружении и классификации образцов вредоносного ПО.
С другой стороны, в таком методе выявления malware существуют и недостатки, свойственные системам распознания на основе машинного обучения. Во-первых, механизмы распознавания зачастую необъяснимы с точки зрения человеческой логики, по крайней мере, на первый взгляд. Во-вторых, STAMINA не сможет рассказать про функционал выявленного ПО, для этого нужен ручной анализ кода.
Тем не менее, звучит все это весьма многообещающе. STAMINA может служить первичным грубым фильтром, способным переваривать большие объемы данных. А уже далее будут подключаться эксперты для более тщательного исследования выявленных вредоносов.
Security Boulevard
Project STAMINA Uses Deep Learning for Innovative Malware Detection
You’re familiar with the phrase, “A picture is worth 1,000 words.” Well, Microsoft and Intel are applying this philosophy to malware detection—using deep learning and a neural network to turn malware into images for analysis at scale. Project STAMINA—an acronym…
Группа исследователей The DFIR Report разместила интересный отчет, в котором рассмотрела имевший место захват корпоративной сети оператором ransomware NetWalker.
На все про все у хакеров ушло ровно 1 час 5 минут. Первичное проникновение произошло через использование скомпрометированной учетки RDP (насколько мы видим, в настоящее время это самый распространенный способ проникновения в сети у операторов ransomware, более популярный чем уязвимые VPN и пр).
Как сообщают исследователи, хакеры потребовали у жертвы 50 тыс. долларов с угрозой поднять сумму до 100 тыс. в случае невыплаты в течение недели. В итоге удалось договориться на 35 тыс. $. Сеть, как мы понимаем, была небольшая.
NetWalker - вымогатель, который появился осенью 2019 года и работает по схему Ransomware as a Service (RaaS). Замечен, в основном, в атаках на американские учебные заведения. В мае хакеры бахнули сеть Мичиганского государственного университета, в июне Калифорнийский университет, а в августе - Университет штата Юты, который в итоге выплатил им 457 тыс. долларов.
На все про все у хакеров ушло ровно 1 час 5 минут. Первичное проникновение произошло через использование скомпрометированной учетки RDP (насколько мы видим, в настоящее время это самый распространенный способ проникновения в сети у операторов ransomware, более популярный чем уязвимые VPN и пр).
Как сообщают исследователи, хакеры потребовали у жертвы 50 тыс. долларов с угрозой поднять сумму до 100 тыс. в случае невыплаты в течение недели. В итоге удалось договориться на 35 тыс. $. Сеть, как мы понимаем, была небольшая.
NetWalker - вымогатель, который появился осенью 2019 года и работает по схему Ransomware as a Service (RaaS). Замечен, в основном, в атаках на американские учебные заведения. В мае хакеры бахнули сеть Мичиганского государственного университета, в июне Калифорнийский университет, а в августе - Университет штата Юты, который в итоге выплатил им 457 тыс. долларов.
The DFIR Report
NetWalker Ransomware in 1 Hour
The threat actor logged in through RDP, attempted to run a Cobalt Strike Beacon, and then dumped memory using ProcDump and Mimikatz. Next, they RDPed into a Domain Controller, minutes before using …
Некоторые удивляются, почему продвинутые в технологиях японцы не являются лидерами в области информационной безопасности, а из крупняков у них одни Trend Micro, да и те тайваньские китайцы?
Хех, а вы видели как они числа перемножают?
https://twitter.com/latestinspace/status/1300402073343848451
Хех, а вы видели как они числа перемножают?
https://twitter.com/latestinspace/status/1300402073343848451
Twitter
Latest in space
The Japanese way of multiplication.
Исследователь Лука Эбах немецкой инфосек компании G DATA Advanced Analytics проанализировал модуль rdpScanDll трояна TrickBot, который, как наверное понятно из названия, предназначен для брутфорса RDP (удаленного рабочего стола). Того самого RDP, который является самой популярной у хакеров точкой компрометации сетей в настоящий момент .
Основной функционал модуля не изменился по сравнению с мартом этого года, когда его тщательно препарировали румыны из Bitdefender. Но в механизмах подбора паролей Эбах нашел много интересного.
Оказалось, что по состоянию на август 2020 года rdpScanDll использует 91 преобразование, с помощью которых вредонос пытается подобрать пароль к RDP, основываясь на имени пользователя, названии домена, его IP-адресе и пр.
Например, преобразование RemoveLetters удаляет все цифры из имени пользователя (us3rn4me -> usrnme), OriginalUsernameLetterEndInverse сохраняет все буквы в начале имени пользователя, а остальные меняет местами (admin123root -> admintoor321), а OriginaldomainNumsBeginSwap - меняет местами все нецифровые символы в начале домена до цифр с остальными (test-123 .com -> 123 .comtest-).
Полный список преобразований изложен в оригинальной статье по ссылке. Теперь вы знаете некоторые из уловок хакеров и можете усилить свои пароли или пароли своих пользователей.
Основной функционал модуля не изменился по сравнению с мартом этого года, когда его тщательно препарировали румыны из Bitdefender. Но в механизмах подбора паролей Эбах нашел много интересного.
Оказалось, что по состоянию на август 2020 года rdpScanDll использует 91 преобразование, с помощью которых вредонос пытается подобрать пароль к RDP, основываясь на имени пользователя, названии домена, его IP-адресе и пр.
Например, преобразование RemoveLetters удаляет все цифры из имени пользователя (us3rn4me -> usrnme), OriginalUsernameLetterEndInverse сохраняет все буквы в начале имени пользователя, а остальные меняет местами (admin123root -> admintoor321), а OriginaldomainNumsBeginSwap - меняет местами все нецифровые символы в начале домена до цифр с остальными (test-123 .com -> 123 .comtest-).
Полный список преобразований изложен в оригинальной статье по ссылке. Теперь вы знаете некоторые из уловок хакеров и можете усилить свои пароли или пароли своих пользователей.
Cisco нашли 0-day уязвимость высокой степени критичности в своей ОС Cisco IOS XR, которая стоит на коммутаторах операторского класса.
Ошибка заключается в реализации обработки пакетов протокола DVMRP и может привести к отказу в обслуживании путем исчерпания памяти атакованного устройства. При этом злоумышленнику не требуется проходить аутентификацию.
Уязвимости, которую обозначили как CVE-2020-3566, подвержены все устройства Cisco под управлением любого релиза Cisco IOS XR, если на нем включена multicast маршрутизация.
Cisco заявили, что 28 августа обнаружили использование этой уязвимости в дикой природе. Вместе с тем, на выпуск срочного апдейта компании потребуется еще несколько дней.
А пока нет обновления, Cisco выдала ряд рекомендаций по настройке своих устройств, дабы частично блокировать вектора потенциальной атаки.
Только в прошлом месяце Cisco устранила две критичные уязвимости, одна из которых могла привести к удаленному выполнению кода, и вот опять. Как говорится, что же ты, Иглесиас?
Ошибка заключается в реализации обработки пакетов протокола DVMRP и может привести к отказу в обслуживании путем исчерпания памяти атакованного устройства. При этом злоумышленнику не требуется проходить аутентификацию.
Уязвимости, которую обозначили как CVE-2020-3566, подвержены все устройства Cisco под управлением любого релиза Cisco IOS XR, если на нем включена multicast маршрутизация.
Cisco заявили, что 28 августа обнаружили использование этой уязвимости в дикой природе. Вместе с тем, на выпуск срочного апдейта компании потребуется еще несколько дней.
А пока нет обновления, Cisco выдала ряд рекомендаций по настройке своих устройств, дабы частично блокировать вектора потенциальной атаки.
Только в прошлом месяце Cisco устранила две критичные уязвимости, одна из которых могла привести к удаленному выполнению кода, и вот опять. Как говорится, что же ты, Иглесиас?
Cisco
Cisco Security Advisory: Cisco IOS XR Software DVMRP Memory Exhaustion Vulnerabilities
Multiple vulnerabilities in the Distance Vector Multicast Routing Protocol (DVMRP) feature of Cisco IOS XR Software could allow an unauthenticated, remote attacker to either immediately crash the Internet Group Management Protocol (IGMP) process or make it…
Исследователи Mozilla опубликовали доклад, который сделали на конференции USENIX, посвященный изучению уникальности истории браузера и как она может повлиять на приватность пользователей.
В основу анализа легли истории просмотра более чем 52 тысяч пользователей Mozilla. На их основе исследователи составили более 48 тысяч пользовательских профилей, 99% которых были уникальны.
Проведя последующее изучение истории просмотров за две недели сотрудники Mozilla смогли повторно идентифицировать почти 20 тысяч пользовательских профилей. При этом если тестовый набор составлял 100 доменов, то вероятность успеха идентификации была невысока - всего 10%. Однако, при увеличении этого набора до 10000 сайтов вероятность повторной идентификации возросла до 80%.
Разумеется, что при дополнительном использовании отпечатков браузера шанс на успех точной идентификации пользователя многократно возрастает.
Таким образом, защита от снятия отпечатков браузера в настоящий момент не гарантирует, что профиль пользователя останется приватным. Третьей стороне достаточно небольшого куска истории просмотров, чтобы с большой долей вероятности идентифицировать человека, находящегося по ту сторону монитора.
Поэтому пользуйтесь браузерами, предлагающими защиту от снятия отпечатков (Firefox, Tor Browser, Brave и др.), а также чаще применяйте режим частного просмотра. В наше время это уже не каприз, а необходимая мера по сохранению своей приватности в сети.
В основу анализа легли истории просмотра более чем 52 тысяч пользователей Mozilla. На их основе исследователи составили более 48 тысяч пользовательских профилей, 99% которых были уникальны.
Проведя последующее изучение истории просмотров за две недели сотрудники Mozilla смогли повторно идентифицировать почти 20 тысяч пользовательских профилей. При этом если тестовый набор составлял 100 доменов, то вероятность успеха идентификации была невысока - всего 10%. Однако, при увеличении этого набора до 10000 сайтов вероятность повторной идентификации возросла до 80%.
Разумеется, что при дополнительном использовании отпечатков браузера шанс на успех точной идентификации пользователя многократно возрастает.
Таким образом, защита от снятия отпечатков браузера в настоящий момент не гарантирует, что профиль пользователя останется приватным. Третьей стороне достаточно небольшого куска истории просмотров, чтобы с большой долей вероятности идентифицировать человека, находящегося по ту сторону монитора.
Поэтому пользуйтесь браузерами, предлагающими защиту от снятия отпечатков (Firefox, Tor Browser, Brave и др.), а также чаще применяйте режим частного просмотра. В наше время это уже не каприз, а необходимая мера по сохранению своей приватности в сети.
Check Point выпустили интересный материал, посвященный истории создания и развития семейства вредоносов Gozi, которое активно уже более 13 лет и породило несколько ответвлений от основного штамма.
Пересказывать не будем, смысла нет. Но если кто-то хочет поподробнее узнать о том, как развивается "полуприватное" вредоносное ПО - советуем ознакомиться.
Пересказывать не будем, смысла нет. Но если кто-то хочет поподробнее узнать о том, как развивается "полуприватное" вредоносное ПО - советуем ознакомиться.
Check Point Research
Gozi: The Malware with a Thousand Faces - Check Point Research
Introduction Most of the time, the relationship between cybercrime campaigns and malware strains is simple. Some malware strains, like the gone-but-not-forgotten GandCrab, are intimately tied to a single actor, who is using the malware directly or distributing…
Американские инфосек исследователи из Crowdstrike сообщили сегодня, что иранская APT Pioneer Kitten, она же Parasite и Fox Kitten, с конца июля была замечена в продаже на хакерских форумах доступов к взломанным корпоративным сетям.
Parasite активна как минимум с 2017 года и специализируется на осуществлении первичной компрометации целевых сетей и передаче полученного доступа другим иранским APT (APT 33 aka Elfin, APT 34 aka OilRig и APT 39 aka Chafer) для развертывания дальнейшего проникновения.
Основными целями Parasite являются североамериканские, европейские и ближневосточные компании, которые могут представлять разведывательный интерес для иранского правительства. Отрасли - авиация, энергетика, оборона, ИТ, добыча углеводородов и телеком.
Для компрометации сетей хакеры используют свежие (но не 0-day) уязвимости в VPN, Citrix и др.
Исходя из новых данных Crowdstrike полагает, что Parasite не являются штатным подразделением иранских сецслужб, а работают с ними на подряде. За последнее время это уже вторая прогосударственная APT, в отношении которой появляются подобные новости. Первой оказалась турецкая PROMETHIUM, успевающая одновременно и работать на турецкую разведку, и заниматься коммерческими взломами.
#APT #Parasite
Parasite активна как минимум с 2017 года и специализируется на осуществлении первичной компрометации целевых сетей и передаче полученного доступа другим иранским APT (APT 33 aka Elfin, APT 34 aka OilRig и APT 39 aka Chafer) для развертывания дальнейшего проникновения.
Основными целями Parasite являются североамериканские, европейские и ближневосточные компании, которые могут представлять разведывательный интерес для иранского правительства. Отрасли - авиация, энергетика, оборона, ИТ, добыча углеводородов и телеком.
Для компрометации сетей хакеры используют свежие (но не 0-day) уязвимости в VPN, Citrix и др.
Исходя из новых данных Crowdstrike полагает, что Parasite не являются штатным подразделением иранских сецслужб, а работают с ними на подряде. За последнее время это уже вторая прогосударственная APT, в отношении которой появляются подобные новости. Первой оказалась турецкая PROMETHIUM, успевающая одновременно и работать на турецкую разведку, и заниматься коммерческими взломами.
#APT #Parasite
CrowdStrike.com
PIONEER KITTEN: Targets & Methods [Adversary Profile]
PIONEER KITTEN is an Iran-based adversary that's highly opportunistic and has been active since at least 2017. Learn about its origins, methods, targets, and more.