​​Как мы писали, прямо перед праздниками появилась информация о том, что китайская APT атаковала ЦКБ Рубин. Но мы тогда уже были настроены постоять в знаменитых предпервомайских пробках, а потому не стали рассматривать этот материал сразу. Исправляемся.

30 апреля американская инфосек компания Cybereason выпустила отчет, в котором описала результаты отслеживания циркулирующего в дикой природе вредоноса RoyalRoad aka 8.t Dropper.

8.t Dropper, доставляемый в документе RTF, используется китайскими APT для дальнейшего подтягивания полезной нагрузки в виде различного рода троянов удаленного доступа (RAT). Впервые он был замечен в 2018 году и использовался китайской группой 1937CN, ответственной, в свою очередь, за взломы вьетнамских аэропортов в 2016 году. Они тогда перехватили управление информационными табло и системами оповещения аэропортов и рассказывали на английском языке какие вьетнамцы редиски из-за территориального спора в Южно-Китайском море.

Но вернемся в настоящее. Cybereason обнаружили свежий образец 8.t Dropper. Судя по всему, в качестве источника данных послужил Virus Total, в который неосмотрительные сисадмины льют все подряд. В качестве фишинговой приманки использовалось письмо генеральному директору ЦКБ Рубин Игорю Вильниту от имени АО "Концерн "МПО - Гидроприбор". Сама приманка составлена грамотно, правда адрес отправителя находится на mail .ru (хотя это как раз неудивительно, там большинство входящих в Гидроприбор компаний официальную электронную почту на Mail ru держат).

В качестве документа RTF, содержащего дропер, прилагаются "Основные результаты эскизного проектирования АНПА" (расшифровывается как автономный необитаемый подводный аппарат). И вот изображения аппарата (прилепим его в конце поста) из этого документа мы в сети не нашли, точнее нашли, но только размещенное после публикации отчета Cybereason.

С большой долей вероятности хакеры заранее распотрошили Концерн Гидроприбор, либо какое-то еще учреждение, чтобы добыть правдоподобно выглядящую фишинговую приманку. Тут бы ФСБ возбудиться, особенно ЦИБу, но они там Twitter тормозят, упираясь в пол ногами, им не до китайских хакеров.

В качестве полезной нагрузки 8.t Dropper доставлял недокументированный ранее авторский бэкдор PortDoor, который представляет собой полноценный кибершпионский RAT. Из интересного - шифрование собранных данных в AES перед отправкой на С2.

Атрибуция, проведенная исследователями, указывает на китайские APT - используемая в приманке кодировка ранее была замечена у APT Tonto и APT TA428. Первая группа, как считается, работает под крышей Технического разведывательного Департамента НОАК (Unit 65017) в китайском городе Шэньян и в 2018 году уже была замечена в фишинговых атаках на Концерн Автоматика, входящий в Ростех.

ЦКБ Рубин - это расположенное в Санкт-Петербурге инженерное бюро, которое является головным в части проектирования российских подводных лодок.

Как мы уже не раз говорили в отношении наших соседей из Китая - дружба дружбой, а табачок врозь. Никогда не стоит забывать об этом нашим коллегам из государственных учреждений, обеспечивающих информационную безопасность.

Invanti, разработчик Pulse Secure VPN, выпустили таки обновление безопасности, которое закрывает критическую уязвимость CVE-2021-22893 (оценка критичности по CVSS - 10 из 10).

Ошибка позволяла пользователю, не прошедшему аутентификацию, осуществить удаленное выполнение кода (RCE) - страшный сон любого инфобезопасника.

0-day уязвимость, эксплуатируемая в дикой природе, была обнаружена в апреле американскими исследователями из FireEye. Тогда было заявлено, что эта дырка, в сочетании с ранее известными CVE-2019-11510, CVE-2020-8243 и CVE-2020-8260, использовалась двумя акторами для атак на оборонные, промышленные и финансовые организации в США и Европе. Один из них с большой долей вероятности был атрибутирован как китайская APT 5 aka Keyhole Panda, ранее уже использовавшая ошибки в VPN сервисах Fortinet и Pulse Secure для проведения своих атак.

Если вы используете Pulse Secure VPN - самое время обновиться.

​​Signal красиво нагнул Facebook.

Администрация мессенджера хотела закупить многовариантную таргетированную рекламу в Instagram, чтобы продемонстрировать насколько большой объем персонифицированной информации о пользователях собирает Facebook и его дочерние компании. В рекламе просто отображалась бы собранная о пользователе информация, которая используется рекламными платформами.

Естественно, что Цукерберг воскликнул "Нет! Я на это пойти не могу!", после чего рекламный аккаунт Signal был забанен.

На самом деле это великолепно спланированная провокация со стороны Signal, после начала которой Facebook попал в цугцванг - положение в шахматной партии, когда любой ход ведет к ухудшению ситуации.

Pure pwned!

​​Мы никак не можем сформировать свое отношение к инфосек компании Qualys. С одной стороны, ребята весьма скилованые и способны раскапывать древние уязвимости, на которые никто не обращал внимание многие годы, к примеру Baron Samedit.

С другой - они постоянно сами становятся жертвами хакеров. То Sunburst на свой SolarWinds Orion подцепят, то оператор ransomware Cl0p на них набежит и ограбит корованы.

К счастью в этот раз Qualys проявили себя со своей хорошей стороны и раскопали целую 21 уязвимость в опенсорсном почтовом севере Exim, который в настоящее время является самым распространенным в Интернет.

Набор уязвимостей получил название 21Nails, 10 из входящих в него ошибок могут эксплуатироваться удаленно. По итогу с использованием этих дырок хакер может полностью захватить контроль над сервером Exim и, в том числе, получить доступ к проходящему через него почтовому трафику.

А теперь наберите побольше воздуха... приготовились?! Ну?! Уязвимостям из набора 21Nails подвержены ВСЕ версии Exim, выпущенные за последние 17 лет (sic!), вплоть до 4.94.2, в которой они были исправлены намедни.

Qualys заявили, что эксплойты уязвимостей из 21Nails они публиковать не будут, но, с другой стороны, имеющихся технических заметок вполне достаточно квалифицированному хакеру для их собственной разработки.

Поэтому помним про золотые 72 часа и срочно обновляем свои Exim, если таковые имеются в использовании.

Вчера вечером государственный провайдер Бельгии Belnet подвергся массированной DDoS-атаке, в результате которой практически лег.

Самое неприятное для бельгийцев то, что на Belnet завязаны все правительственные учреждения. В результате атаки более 200 государственных сервисов, например налоговый портал или сервис резервирования вакцин от COVID-19, были выведены из строя. Сессии Парламента и других госорганов также были отложены из-за невозможности удаленного подключения.

Некоторые бельгийские политики говорят о совпадении момента атаки с временем начала слушаний в бельгийском Парламенте в отношении уйгурских исправительно-трудовых лагерей в Китае.

А всего-то навсего полтора миллиарда неравнодушных китайских пользователей решили ознакомится с трансляцией слушаний...

Google заблокировал издателя игр из-за «подозрительной активности» и не смог его разблокировать

Когда разработчик написал в службу поддержки Google, ему сказали, что ничего не могут сделать.

Один из сотрудников техподдержки рассказал, что пару месяцев назад он заблокировал доступ к своей учётной записи и так и не смог его восстановить.

Изучив ситуацию, разработчик нашёл решение и поделился им с техподдержкой:

1. Нужно было нажать F12 на странице ввода электронной почты

2. Выбрать приложение, кликнуть на файлы cookie и выбрать пункт «Очистить»

В конце диалога издатель игр пошутил, что он, кажется, «стал новым сотрудником техподдержки Google».

Лукацкий кагбэ напоминает.

Ну а мы присоединяемся к поздравлениям. Тем более что согласно секретным архивам КГБ сам Евгений Валентинович (tm) родом из этих самых криптодворян.

​​Ну и вдогонку сегодняшней басне "Facebook и конфиденциальность пользовательских данных"

Без сомнения лучший инфосек журналист настоящего времени Каталин Чимпану (мы не шутим, посмотрите в какое УГ скатилось ZDNet после ухода румына под крыло к Recorded Future), изволит шутить в своем новом издании TheRecord.

В статье Чимпану рассматривает последний отчет Recorded Future в отношении закупки подразделением Unit 61419 НОАК (народно-освободительная армия Китая, если кто не помнит) небольших партий различных популярных антивирусных продуктов - Kaspersky, Bitdefender, Trend Micro, Sophos, Symantec, Dr.Web и других. Причем китайцы покупали англоязычные, а не локализованные версии ПО.

В то же время Unit 61419 японские СМИ называют крышей для китайской APT Tick aka Bronze Butler, которая считается ответственной за известную атаку на Mitsubishi Electric через дырку в антивирусном ПО Trend Micro в 2019 году.

В связи с этим Recorded Future мягко намекает на то, что китайские армейцы закупили популярные антивирусные решения для того, чтобы а) тестить на них свои вредоносы и б) искать в них самих уязвимости. В принципе, ничего нового.

Так в чем же прикол Чимпану? А в том, что он скопом назвал все перечисленное антивирусное ПО "западным". И если Касперского с Dr.Web и примкнувших к ним Bitdefender мы еще можем со скрипом отнести к европейским продуктам (хотя последнее решение мы скорее склонны рассматривать как "ай-на-нэ-на-нэ" антивирус), то назвать "западной" японскую TrendMicro можно только если ты сидишь в районе Маршалловых островов.

Просто Каталин - румын, он так видит.

​​Месяца не прошло с того момента как Cisco закрыла критическую RCE-уязвимость CVE-2021-1479 в SD-WAN vManage, а на подходе уже свежие.

Позавчера Cisco выпустила обновления, которыми закрыла несколько дырок в SD-WAN vManage, позволявшие не прошедшему аутентификацию злоумышленнику удаленно выполнить код (RCE) или получить доступ к конфиденциальной информации.

А в довесок к этому устранила еще и две ошибки в HyperFlex HX, приводившие к удаленной инъекции команд, опять же без аутентификации.

Что-то кучно пошло. Переживаем за Лукацкого...

Мы долго ждали, когда же до этого дойдет - и вот, нате!

Австралийская комиссия по преступности (ACIC) заявила, что "у законопослушного гражданина нет законных оснований для владения и использования зашифрованной коммуникационной платформы".

Свое заявление ACIC сделала в рамках документа, направленного в адрес австралийского Парламента в рамках слушаний по поводу законопроекта Surveillance Legislation Amendment (Identify and Disrupt) Bill 2020, который существенно расширяет полномочия австралийских правоохранительных органов в части ограничения цифровых прав и свобод.

ACIC говорит, что "зашифрованные коммуникационные платформы используются исключительно представителями организованной преступности и разработаны специально, чтобы скрыть личности преступников и избежать идентификации со стороны правоохранительных органов".

И хотя в данный момент предложений по привлечению к уголовной ответственности за само пользование шифрованными мессенджерами не прозвучало, первое слово уже сказано. Сегодня в Австралии, далее - везде!

Скрываешь что-то? Значит ты преступник! Потому что законопослушному гражданину нечего скрывать от всевидящего ока заботливого государства.

Скачал Telegram - 3 года крытой! Не ползаешь перед неграми и девиантами на коленях - в газенваген, сука! И кто-то еще говорит, что 1984 это не про современную "демократическую" цивилизацию...

Исследователи из израильской Check Point сообщили, что обнаружили уязвимость CVE-2020-11292 в чипсете Mobile Station Modem (MSM) от Qualcomm.

Qualcomm MSM используется в 40% современных смартфонов, но ошибке подвержены только 3/4 из них, имеющие интерфейс Qualcomm MSM Interface (QMI), обеспечивающий взаимодействие между чипсетом и Android. Ошибка в механизме обработки пакетов в формате TLV может привести к переполнению кучи и, соответственно, к запуску произвольного кода.

Эксплуатация CVE-2020-11292 в конечном счете может позволить хакеру внедрить вредоносный код в MSM, что сделает его невидимым для любых приложений и механизмов безопасности на уровне ОС. В дальнейшем злоумышленник может получить доступ к истории вызовов и SMS-переписки, а также перехватывать голосовой трафик.

Check Point нашла уязвимость в октябре прошлого года, а в декабре Qualcomm распространила среди производителей смартфонов соответствующие обновления безопасности. Проблема в том, что далеко не все производители, особенно выпускающие модели нижнего ценового диапазона, выпускают своевременные апдейты для своей продукции. И это уже не говоря о смартфонах, выпущенных пару-тройку лет назад, у которых закончился период технической поддержки.

Дорогие друзья!

На прошедших первомайских праздниках случилось важное для нас событие - вас, подписчиков канала, стало больше 15 тысяч.

Мы долго думали как бы это отметить и некоторые из нас решили открыть комментарии в канале. Но некоторые были против.

Поэтому мы решили спросить об этом вас.

​​Ну что же, по результатам опроса комментарии пока открывать не будем.

Правда у нас появились сомнения в чистоте голосования, поэтому мы решили повторить его через месяцок, уже под пристальным нашим вниманием.

А чтобы не скучно было - вот вам картинка про знаменитую школу Мидвэйл, выпускниками которой, как известно, является большинство CISO.

Лаборатория Касперского вчера опубликовала отчет в отношении кибероперации TunnelSnake.

TunnelSnake проводилась злоумышленниками в период с октября 2019 под май 2020 года, хотя в одном случае актор, судя по всему, закрепился в сети жертвы ранее 2018 года. Целями киберкампании служили организации в Южной Азии, а также два крупных дипломатических учреждения в Юго-Восточной Азии и Африке.

В ходе атак хакеры использовали авторский руткит, который Касперские назвали Moriya. Это пассивный бэкдор, который перехватывает сетевой трафик в режиме ядра с использованием драйвера Windows, что позволяет ему избежать обнаружения этой активности решениями безопасности, и организует скрытый канал связи с управляющим центром. При этом адрес С2 не прописан жестко в коде бэкдора, он в режиме прослушивания ждет специальным образом созданный пакет, в котором будет содержаться IP-адрес и порт С2.

Хотя Касперские (как обычно, хе-хе) не проводят конкретное атрибутирование, они указывают, что ряд TTPs, в том числе использование совместно с Moriya таких вредоносов как China Chopper, BOUNCER, Termite и Earthworm, указывает на принадлежность Operation TunnelSnake китайской APT. Кроме того, в одном из случаев при расширении своего присутствия в атакованной сети актор использовал инструмент, ранее применявшийся APT 1 aka Comment Panda, очень старой хакерской группе, работающей, как считается, на 2 Управление 3 Департамента ГШ НОАК (Unit 61398).

Sophos рассказывает о расследовании атаки оператора ransomware Ryuk на Европейский институт биомолекулярных исследований, занимающийся, в частности, проектами по изучению COVID-19.

В результате атаки Институт потерял исследовательские данные, собранные в течение недели до инцидента.

В ходе расследования выяснилось, что первичной точкой компрометации сети стал сеанс RDP с использованием учетных данных одного из студентов Института. Оказалось, что студент-заочник решил скачать себе домой взломанную версию некоего ПО для визуализации данных, которое использовалось им в рабочее время в институте. Понятное дело, что для продолжения работы дома никто ему лицензию не дал, а у самого денег не хватило.

Ну а дальше, все как положено - скачанная с найденного в сети сайта взломанная версия, в ней малварь, с помощью которых были украдены учетные данные горе-студента. А потом уже вход с их помощью в институтскую сеть через RDP и после 10-дневного присутствия заражение ее Ryuk.

Все-таки выдать лицензию студенту оказалось бы дешевле.

​​Дорогие друзья!

Как говорится, недолго мучилась старушка в бандитских опытных руках. В смысле, недолго мы отдыхали от отдыха в течение этой короткой рабочей (а для особо везучих - нерабочей) недели.

Впереди великий праздник - День Победы! Мы поздравляем всех и желаем мирного неба над головой! Пусть войны происходят только в киберпространстве (и то, не касаясь критической инфраструктуры).

Ура!

​​—Партнерский пост—

Надеемся, вы хорошо отдохнули и набрались сил для того, чтобы сосредоточиться на болевых точках инфосека в бизнесе.

Поскольку, как все помнят, мы еще с прошлого раза принадлежим компании Group-IB, то, что как не новый ГрИБной вебинар «Утечки данных: универсальный метод предотвращения», мы можем порекомендовать? Да практически ничего! Как «пробивают» клиентов на андеграундных форумах за счет «крота» в компании, кому грозят санкции регуляторов за уязвимости в инфраструктуре, как проникают в сеть, крадут корпоративную переписку и как потом стыдно, когда из прессы все становится видно.

Другой известной проблемой для бизнеса являются атаки ransomware. Программами-вымогателями Group-IB занимается вплотную. На вебинаре «Защита финансовых организаций: универсальный метод борьбы с новыми угрозами» можно узнать как готовиться к таким атакам, а главное — платить или не платить.

То, что на этих вебинарах не будут переливать из пустое в порожнее, мы уверены. Но если вы все еще сомневаетесь, то вот вам один факт. Недавно Group-IB взяла 5 звезд Singapore Business Review за свою систему Threat Intelligence & Attribution. Для быстрого получения данных в отношении реальных акторов они засунули туда не только аналитику по даркнету, профилирование злоумышленников, IOC, TTPs, сэмплы малвари, но и сопоставили это все c матрицами MITRE ATT&CK.

Рекомендуем. Пользуйтесь.