Bleeping Computer со ссылкой на MalwareHunterTeam и персонального врага владельцев ransomware Виталя Кремеза пишет, что новая версия работающего по схеме RaaS вымогателя LockBit содержит в себе функцию использования групповых политик Active Directory для шифрования сразу всего домена.

При запуске на контроллере домена вредонос создает несколько групповых политик, отключающих антивирусную защиту и автоматизирующих запуск ransomware на каждом отдельном хосте с обходом UAC.

Как говорит Кремез (а мы ему доверяем) - это первый образец вымогателя,который использует групповые политики для автоматизации процесса шифрования сети жертвы.

LockBit - вымогатель достаточно старый и известный, появился осенью 2019 года. В прошлом году некоторое время входил в т.н. Maze Cartel, вымогательский картель, организованный владельцами самого крупного на тот момент ransomware Maze. Из громких взломов - атака на крупнейшее информационное агентство Индии PTI и швейцарского производителя вертолетов Kopter Group AG. А месяц назад мы даже давали ссылку на отчет Prodaft Threat Intelligence, в котором подробно рассматривалась деятельность владельцев LockBit и их взаимодействие с операторами.

И опять про ransomware.

Американская инфорсек компания Recorded Future посредством своего медиарупора TheRecord доводит до широкой инфосек общественности информацию о новом штамме ransomware, который называется BlackMatter.

С прошлой недели новая банда осуществляет набор партнеров для сотрудничества по схеме Ransomware-as-a-Service (RaaS) на известных хакерских форумах. При этом, поскольку и Exploit и XSS запретили прямую рекламу вымогателей после лучей добра, вызванных реакцией американского правительства на последние атаки ransomware, BlackMatter размещает объявления о найме т.н. "initial access brokers", то бишь товарищей, уже имеющих первичный доступ к скомпрометированным сетям.

Интересуют вымогателей исключительно корпоративные сети компаний, имеющих годовой revenue от 100 млн. долларов. Локация жертв - США, Великобритания, Канада или Австралия. Особо указаны исключения в виде медицинских организаций и государственных учреждений. Цена за доступ - от 3 до 100 тысяч долларов.

Также BlackMatter создали в даркнете сайт для утечек (на данный момент пуст). На сайте указан более широкий список запрещенных целей - больницы, объекты критической инфраструктуры, нефтегазовая промышленность, включая трубопроводы (привет Colonial Pipeline), оборонка, НКО и госорганы.

Эксперты Recorded Future полагают, что новый вымогатель может являться реинкарнацией банды Darkside, которую за взлом этого самого трубопровода Colonial Pipeline весной уконтропупили.

Мы же заметим, что вымогатели сделали выводы из последних анальных огораживаний, которые последовали за атаками на некошерные цели. Будь-то объект цепочки поставок, крупный трубопровод или поставщик мяса, от функционирования которого зависит будут ли подданые Ее Величества кушать мсяо или не будут. Поэтому теперь никаких операторов, никакого раздела выкупа - купили доступ и сами атаковали. Штат потребуется более серьезный, да и конспиративность в связи с этим пострадает, зато Байден не обидится и прибылью делиться не надо.

Эволюция ransomware в естественной среде.

И в продолжение предыдущего поста - а Байден таки обиделся. Хотя скорее всего у дедушки чайник свистит с переливами да перезвонами.

Вчера на ̶б̶л̶а̶г̶о̶т̶в̶о̶р̶и̶т̶е̶л̶ь̶н̶о̶м̶ ̶у̶ж̶и̶н̶е̶ рабочем совещании в офисе Директора национальной разведки США он заявил, что, по его мнению, "более вероятно, что поскольку мы собираемся закончить - ок, ЕСЛИ мы закончим войной, такими большими пострелушками с мировой державой, - то это скорее всего будет последствием серьезного киберинцидента. И вероятность этого растет по экспоненте".

Ну и контекст понятен - ransomware, Путин, Китай and so on.

По случаю купим билет на какую-нибудь планету, хоть на Транай.

Империалистические CISA (Американское агентство кибербезопасности), NCSC (Национальный центр кибербезопаности Великобритании), ACSC (аналог предыдущего учреждения из Австралии) и ФБР выпустили совместный информационный материал, в котором перечислили 30 основных уязвимостей, использовавшихся в 2020-2021 годах киберпреступниками для компрометации корпоративных сетей. В списке дырки и в Citrix, и в Pulse Secure VPN, и в продуктах Microsoft и в другом ПО.

Это, конечно, не откровения инопланетного разума, но, как показывает практика, именно такие достаточно простые документы, структурирующие известные проблемы безопасности, являются основным подспорьем долгой и беспроблемной жизни информационной инфраструктуры.

Поэтому пользуйтесь на здоровье.

Жалко, что наши кибертанковые войска, тот же скрепный ЦИБ, подобными материалами нас радуют крайне редко, если вообще радуют.

(Кстате, вы помните шутку про то, что если автомобиль Иж оставить в глухом лесу в тихую безлунную ночь, то можно услышать, как он гниет? Мы тоже помним)

Маловато в последнее время информации об активности прогосударственных хакерских групп, которые, как известно, обозначаются как APT. Мы такие материалы любим почитать.

На этой неделе исследователи из команды Unit 42 компании Palo Alto Networks выпустили отчет о киберкампании китайской APT Mustang Panda, в ходе которого использовалась новая версия вредоноса PlugX под названием Thor, а также ставший известным в марте набор уязвимостей в Microsoft Exchange, который получил название ProxyLogon.

Mustang Panda - группа старая и известная. Занимается кибершпионажем, использует, как правило, любимый китайский малварь-набор PlugX, Poison Ivy и Cobalt Strike на закуску. Возможно имеет обособленное подразделение, которое называется RedDelta (по крайней мере TTPs этих двух групп сильно совпадают за небольшим исключением).

И на этом мы закончим про отчет Unit 42, а скажем совершенно про другое.

При написании этого поста, копаясь в старых материалах об активности прогосударственных APT, мы обнаружили интересное совпадение, которое ранее не бросалось нам в глаза. Начнем с ProxyLogon.

Как известно, этот набор эксплойтов четырех уязвимостей в Microsoft Exchange был обнаружен в конце февраля, а 2 марта был исправлен внеочередным патчем. По данным Microsoft, за первичной атакой стоит китайская APT Hafnium, ранее не наблюдавшаяся. По оценке Bloomberg, которая появилась в марте же, количество взломанных Hafnium организаций может приближаться к 60 тыс.

Согласно материалу Volexity, эксплуатация китайскими хакерами ProxyLogon началась 3 января. Таким образом, можно смело утверждать, что работа над поиском уязвимостей велась китайцами как минимум с осени 2020 года.

И вот тут мы обратили внимание на отчет Microsoft от начала февраля, в котором рассказывалось о последствиях взлома компании в ходе кампании Sunburst. Если кто забыл Sunburst - это кибероперация по взлому множества организаций по всему миру через заранее скомпрометированное NMS Orion производства американского разработчика SolarWinds. Именно в этой атаке американское правительство и эксперты с самого начала обвиняли российскую APT, а именно APT 29 aka Cozy Bear, якобы связанную с российской разведкой. Однако более чем за полгода никаких доказательств этого предоставлено не было.

Согласно этому отчету, в результате взлома Microsoft стоящий за атакой Sunburst актор, в числе прочего, выкачал из репозиториев исходные коды некоторых компонентов Azure, Intune и Exchange.

По нашему мнению, это может указывать на то, что за атакой на SolarWinds стояли именно китайские APT, которые получили в ходе нее исходники Exhcange, провели их исследование и обнаружили уязвимости, которые потом легли в основу ProxyLogon. А уже в дальнейшем использовали выявленные ошибки для новой масштабной кибератаки.

Обвинение же российских хакеров в атаке на SolarWinds было ни чем иным как попыткой приходящей к власти администрации Байдена и подконтрольных масс-медиа, традиционно дружными с частью китайской элиты, перевести стрелки на Россию.

Bellingcat, облизывай кеглю.

После начавшейся силовой зачистки специализирующиеся на европейском рынке хакеры меняют свою тактику и переходят на новое ПО, которое активно распространяется через Google Play под названием Protection Guard, обладателями замечательного софта стали боле чем 5000 пользователей в Италии, Австралии и Испании.

Исследователи ThreatFabric обнаружили ранее недокументированный троян удаленного доступа (RAT) на базе Android под названием Vultur, который использует доступ к экрану Virtual Network Computing (VNC) для кражи паролей к банковским приложениям и криптокошелькам.

Реализованный Vultur вектор, сочетающий запись экрана и кейлоггеры в качестве основной стратегии для автоматического и масштабируемого сбора учетных данных для входа в систему, в дикой природе встречается впервые.

В отличие от традиционных уже банковских троянов MysteryBot , Grandoreiro , Banker.BR и Vizom акторы предпочли долгим разработкам HTML-оверлеев банальную запись экрана, получая в моменте конечный результат. Для взаимодействия со скомпрометированным телефоном в режиме реального времени Vultur использует WebRTC. В целом, разработчики ПО ушли от необходимости регистрировать новое устройство и существенно затруднили свою детекцию.

Более того, Vultur использует ngrok для предоставления доступа к локальным серверам за NAT и межсетевыми экранами в общедоступный Интернет через защищенные туннели, чтобы обеспечить удаленный доступ к серверу VNC, работающему локально на телефоне, а также устанавливает соединения с C2 для получения команд через Firebase Cloud Messaging (FCM), результаты которых, включая извлеченные данные и снимки экрана, затем передаются обратно на сервер. В результате расследования ThreatFabric также выявили частичное совпадение кода Vultur с другим широко известным вредоносным ПО Brunhilda, реализуемом в формате DaaS дроппером.

История Vultur еще раз показывает, как акторы переходят с MaaS на непубличное ПО, адаптированное под преступную специализацию хакеров, а если на жаргоне одного известного рэпера - то: «I bealive forever, I bealive that I can Fly, Я поднял свой левел, пока кто-то не вникал».

Исследователи SentinelOne опубликовали отчет о результатах расследования кибератаки на Иранскую железную дорогу (IRIR).

Сама атака произошла 9 июля, в результате нее из строя вышли система управления поездами, а также билетные сервисы. Итогом стала отмена части пассажирских и грузовых перевозок. А взломанные информационные табло на ж/д вокзалах Ирана предлагали для получения дополнительной информации звонить по телефону офиса Верховного аятоллы Ирана Али Хаменеи.

Изначально иранские власти опровергали факт атаки, охарактеризовав сбой как техническую проблему, однако на следующий день таки были вынуждены ее признать. Уже изначально по тролингу Хаменени можно было предположить, что за атакой стоит Израиль. Тем более, что перекидывание киберплюхами - это излюбленное занятие иранских и израильских хакеров.

Первоначальный анализ использованного в ходе атаки вредоносного ПО сделала иранская компания Amnpardaz. Основываясь на этом анализе SentinelOne смогли восстановить большую часть компонентов атаки, которые привели к неизвестному ранее актору.

Основным инструментом хакеров послужил набор из трех вредоносов - вайпера файловой системы, который получил название Meteor (название авторы малвари забыли внутри кода), блокировщик экрана, а также вайпера MBR. Соответственно вся атака получила название MeteorExpress.

Интересный факт - при развертывании в атакуемой системе вредонос проверял установлен ли в ней Антивирус Касперского и если находил его, то самоликвидировался.

Изучение кода использованной малвари дало странные результаты. С одной стороны при разработке вредоносов использовался ряд продвинутых техник вплоть до обширной проверки ошибок при развертывании в целевой системе, с другой - наличие грубых просчетов OPSEC, сборная солянка из открытого и авторского кода и применение устаревшего ПО.

Судя по всему вредоносы писались под конкретную атаку несогласованной командой хакеров, среди которых были как профессоналы, так и дилетанты.

Никакого атрибутирования автора атаки SentinelOne не проводят, равно как не указывает первичного вектора компрометации сети IRIR. Однозначно ясно лишь, что основной целью киберкампании было выведение из ее строя, при этом нападающие были знакомы с особенностями функционирования сети, что означает наличие предварительного этапа разведки, который остался незамеченным подразделением информационной безопасности.

Ну так-то это не в первый раз уже.

Мы тут между себя шутим, что если АНБ рекомендует предпринимать конкретные меры по защите своих устройств, то значит сами они пользуются совершенно другими методами проникновения.

Американские исследователи из Malwarebytes нашли интересную приманку, посвященную протестной активности в Крыму. В приманке, соответственно, сидит троян.

Отчет получился прямо смешной.

Сначала о сути - обнаружена приманка в виде документа на русском и английском Manifest.docx, содержащем протестное программное заявление группы крымских граждан. Помимо заявления в документе содержится два вектора заражения VBA RAT (Remote Access Trojan) - один посредством макросов, а второй с эксплуатацией уязвимости CVE-2021-26411 в IE. Эту уязвимость использовали северокорейские хакеры из APT Lazarus, когда зимой атаковали исследователей безопасности.

Используемый хакерами RAT - такой себе стандартный RAT, со всем необходимым функционалом: сбор информации о системе, работа с файлами, эксфильтрация собранных данных, выполнение полученного от управляющего центра шелл-кода.

Теперь о забавном.

Во-первых, текст приманки представляет собой манифест некой группы жителей Крыма на русском и английском языках, в котором содержатся критические отзывы о политике Путина (да продлит Акатош его дни, скрепность +15) на полуострове и объявляется о создании "Народного сопротивления". Подписано это инициативной группой граждан под предводительством Андрея Сергеевича Портько. Исследователи из Malwarebytes отдельно это подчеркивают - "вот, мол, группа, связанная с Андреем Сергеевичем Портько".

Мы подумали было, что это какой-то известный политик, про которого мы не слышали раньше, будучи далеки от политической повестки. Однако оказалось, что Google тоже не слышал про Андрея Сергеевича Портько. Видимо Андрей Сергеевич Портько очень секретен, поэтому нам стало действительно не по себе.

Во-вторых, исследователи нашли принадлежащую атакующим панель, на которой содержатся данные об успешно взломанных жертвах. Панель называется Ekipa. Мы бы расшифровали это как "Эквип", то бишь "снаряга". Но Malwarebytes решили, что это означает "команда" и мы сначала подумали, что они перепутали его со словом "экипаж", документ же все-таки ориентирован на русскоязычных жертв, вероятно и атакующие имеют отношение к русскому языку.

Однако все оказалось проще: "ekipa" - это "команда" по-польски. После такого уклончивые заявления Malwarebytes, что они, де, не могут даже приблизительно атрибутировать актора, выглядят нелепо.

Так что скорее всего польские спецслужбы высунули свои кибертентакли и решили поиграть в APT. Целями могут являться как российские, так и украинские пользователи. Полагаем, Польше есть дело и до тех и до других.

Один только вопрос не дает нам покоя. Кто же такой Андрей Сергеевич Портько?

Систему электронного голосования, которую будут использовать на выборах в Госдуму, проверяют на прочность.

Во-первых, стартовало предварительное тестирование. Оно нужно, чтобы проверить, работает ли все без багов и удобна ли система пользователям.

Во-вторых, и это самое интересное, хакерам предложили систему поломать, пообещав заплатить в случае успеха.

Ну и из новинок в системе. К сентябрьским выборам появилась функция "Отложенное решение". Она защитит пользователей от технических сбоев: если у голосующего падает интернет, или зависает гаджет, он сможет заново открыть бюллетень спустя некоторое время и проголосовать.

Electronic Frontier Foundation (EFF), крупнейшая некоммерческая организация по защите гражданских прав в цифровом мире, подала иск против Почтовой службы США (USPS) по поводу того, что последняя реализует массовую шпионскую программу в сети.

Американская почта - это независимое правительственное агентство, в котором работают более 600 тыс. человек. Управляется USPS американскими властями, поскольку руководящий почтой Совет управляющих назначается Президентом США по представлению Сената.

В иске, поданном в соответствии с американским Законом о свободе информации (FOIA) в округе Колумбия, EFF утверждает, что USPS после протрамповских протестов в Вашингтоне в начале этого года запустила Программу тайных сетевых операций (ICOP), в рамках которой собирает и анализирует данные о активности американских граждан в соцсетях. Сюда входят Twitter, Facebook, Parler и Telegram.

При этом, по словам представителей EFF, юридические основания для подобной деятельности со стороны USPS отсутствуют. Кроме того, Почтовая служба периодически терпит убытки, в связи с чем активисты задаются вопросом на какие шиши почтальоны следят за пользователями.

Хорошо, что Почта России так не может. Она в настоящее время изучает BBS.

Не можем не согласиться с этим.

Начнём с расследования Лаборатории Касперского, спецам которой удалось напасть на след ранее неизвестной китайскоязычной АРТ GhostEmperor.

Новая группа, используя расширенный набор инструментов под уязвимости Microsoft Exchange, реализует уникальную и долгосрочную кампанию по компрометации высокопоставленных жертв в правительственном и телекоммуникационном секторе стран Юго-Восточной Азии.

Группа выделяется тем, что применяет сложный rootkit режима ядра Windows, обеспечивающий удаленный контроль над целевым сервером. GhostEmperor разработали виртуозную схему загрузки, основанную на компоненте проекта с открытым исходным кодом Cheat Engine, что позволяет обойти механизм принудительного применения подписи драйверов Windows и развернуть свой rootkit. Что играет важную роль в сокрытии следов ПО от исследователей и программ безопасности.

Такой уникальный расширенный набор инструментов не имеет сходства с уже известными, и задействован АРТ как минимум с июля 2020 года. Другой отличительной особенностью GhostEmperor является сложная многоступенчатая вредоносная среда, предназначенная для обеспечения удаленного управления атакованными серверами.

Уязвимости Microsoft Exchange все еще остаются рабочей схемой для АРТ, которые эксплуатируются вдоль и поперек, и как смогли GhostEmperor - еще и наискось.

Electronic Arts, как мы уже писали, поехала на веселом паровозике.

Как помниться, издателя взломали и украли 780 Гб данных, включая исходный код FIFA (который один и тот же на протяжении последних лет 15-ти).

Все началось 10 июня, когда хакеры разместили ветку на хакерском форуме, решив подбарыжить украденными у EA данными за 28 миллионов долларов.

Позже подробности об атаке стали известны из интервью Motherboard, в котором хакеры сообщили, что получили доступ к данным после приобретения в Genesis приватного доступа к каналу Slack EA. Файлы аутентификации позволили им имитировать аккаунт сотрудника и обмануть support EA, который им в итоге дал доступ к внутренней сети компании.

14 июля после очередной попытки вымогательства и слива фрагмента кода FIFA объемом 1,3 ГБ в сеть, авантюристам так и не удалось склонить Electronic Arts к сотрудничеству.

В итоге весь украденный дамп (включая инструменты для поддержки серверных сервисов компании) пролился в сеть 26 июля и теперь широко распространяются на торрент-сайтах.

Несмотря на то, что злоумышленникам так и не удалось добраться до данных игроков, это вовсе не означает, что все заявления о принятых после взлома мерах, направленных на усиление информационной безопасности, в реальности кардинально изменят инфосек в компании, который джонки этого строился по принципу "пей, гуляй, люби гусей".

Карусель продолжается: у вымогателей еще остаются козыри, кроме исходников в руках хакеров - данные игроков SIMS 4.

Эта музыка может играть вечно: Министерство юстиции США (DoJ) внезапно вновь опубликовало сообщение, о том, насколько русские хакеры суровы и беспощадны. Но речь не идет о новых инцидентах, упоминается все тот же SolarWinds.

Дело в том, что согласно обновленного заявления DoJ характер и масштабы компьютерных вторжений оказались более серьезными: APT 29 aka Cozy Bear получила доступ к учетным записям электронной почты Microsoft Office 365 (O365) сотрудников 27 офисов прокуратуры США, при этом более скурпулезно хакеры прошерстили почту почти всех (не менее 80%) сотрудников прокуратуры в Восточном, Северном, Южном и Западном округах Нью-Йорка. Изначально правоохранители оценивали объем скомпрометированной несекретной корреспонденции в 3%. В целом, Министерство юстиции полагает, что хакеры имели доступ к взломанным учетным записям с 7 мая по 27 декабря 2020 года.

Но мы, пожалуй, обвинения российских хакеров в атаке на SolarWinds рассматриваем как манипуляции приходящей к власти администрации Байдена и подконтрольных масс-медиа, традиционно дружными с частью китайской элиты, когда перевести стрелки на Россию выгодно.

Как мы писали ранее, за атакой на SolarWinds скорее стояли именно китайские APT, которые получили исходники Exhcange еще в ходе кампании Sunburst, провели их исследование и обнаружили уязвимости, которые потом легли в основу ProxyLogon. А уже в дальнейшем использовали выявленные ошибки для новой масштабной кибератаки.

SonicWall представили Cyber Threat Report за первое полугодие 2021 года. В основу легли результаты собственной аналитики (в том числе статистика сети SonicWall Capture Threat Network) и данные исследований более чем 50 партнеров в сфере инфосек. 

Главные основные моменты следующие:

- Зафиксировано рекордное число атак с использованием ransomware (304,7 млн нападений), что перекрывает показатель всего прошлого года: рост на 151% в годовом исчислении. США, Великобритания, Германия, Южная Африка и Бразилия возглавили список стран, наиболее пострадавших от программ-вымогателей. При этом ежеквартально наблюдается прирост показателей. Так, в Европе объем программ-вымогателей увеличился на 234%, а в Северной Америке - на 180%.
- Наиболее атакуемая отрасль - это государственный сектор (подвергся  атакам в три раза больше, чем в прошлом году): общий рост составил 917%. Следующими в рейтинге жертв: объекты образования (рост составил 615%), медицины (594%), частные организации (264%).
- На Ryuk, Cerber и SamSam приходится 64% всех атак ransomware. На одного только Рюка пришлось 93,9 млн. атак, что в три раза превышает показатели шести месяцев 2020 года.
- Отмечено дальнейшее падение числа атак с использованием вредоносного ПО (пик фиксировался в 2018 году и составил 10,5 млрд. атак): показатели достигли шестилетнего минимума в 2020 году (5,6 млрд. атак), а в текущем периоде было зафиксировано лишь 2,5 млрд. Снижение коснулось Северной Америки, Европы и стран Азии - на 23%, исключение составили Индия и Германия, где зафиксирован рост: 147,2 млн. (83% в сравнении с прошлым годом) и 150,4 млн. соответственно (рост 465%).
- Выявлено 185 945 ранее не встречавшихся штаммов вредоносного ПО, что на 54% больше, чем в первой половине 2020 года.
- Объем вредоносных PDF-файлов и файлов Office снизился впервые с 2018 года.
- Количество вредоносных программ, нацеленных на IoT, резко возросло в 2021 году, было совершено более 32 млн. атак.
- Количество атак криптоджекинга также ошеломляюще возросло и составило 51,1 млн: рост отмечен на 118% в Азии и 248% в Европе. 

Везучие живут с деньгами, невезучие — без, а негодяи — для. Таков, пожалуй, главный тренд хакерского подполья современности, ориентированного на финансовую выгоду и эффективность.

Исследователи американской фирмы по кибербезопасности armis раскрыли набор из девяти критических уязвимостей PwnedPiper затрагивающих инфраструктуру более 80% всех больниц в Северной Америке (около 2300) и не менее чем 3000 больниц по всему миру.

Слабым звеном оказалась плата HMI-3 в подключенных к Интернету панелях Nexus систем пневматических труб Translogic PTS от компании Swisslog Healthcare, предназначенных для внутренней логистики и безопасной транспортировки образцов крови и других биоматериалов из больниц в диагностические лаборатории на большие расстояния.

PwnedPiper дает неавторизованному злоумышленнику захватить станции Translogic PTS и получить полный контроль над сетью PTS целевой больницы, реализовав MitM. В последующем - возможность выкрасть конфиденциальную информацию или накатить ransomware. Кроме того, ошибки позволяют злоумышленнику закрепиться на скомпрометированных станциях PTS в виду небезопасной процедуры обновления прошивки, ведущей к неаутентифицированному удаленному выполнению кода.

Ошибки касаются в основном повышения привилегий, повреждения памяти и отказа в обслуживании:
• CVE-2021-37161 - недостаточное количество ресурсов в udpRXThread;
• CVE-2021-37162 - переполнение в sccProcessMsg;
• CVE-2021-37163 - два жестко закодированных пароля, доступные через сервер Telnet;
• CVE-2021-37164 - трехкратное переполнение стека в tcpTxThread;
• CVE-2021-37165 - переполнение в hmiProcessMsg;
• CVE-2021-37166 - отказ в обслуживании DoS, вызванный процессом GUI панели управления Nexus, связывающим локальную службу на всех интерфейсах;
• CVE-2021-37167 - пользовательский скрипт, запускаемый root, может использоваться для PE;
• CVE-2021-37160 - обновление прошивки без аутентификации, без шифрования и без подписи.

Swisslog Healthcare признают внушительный вредоносный потенциал PwnedPiper, и предлагают клиентам патч Nexus Control Panel версии 7.2.5.7. Текущее обновление прошивки при этом устраняет не все уязвимости, а именно самая серьезная ошибка CVE-2021-37160 будет исправлена лишь в одной из следующих версий.

—Партнерский пост—

🏴‍☠️‍ В 2021 году ярко выражен нарастающей тренд с атаками со стороны Ransomware группировок на компании по всему миру. Динамика, по заявлению авторитетных специалистов, сохранится минимум до конца этого года. Кроме пробива инфраструктуры и локинга неотъемлемой частью давления элитных группировок на корпорации является социальная инженерия (СИ).

Прокаченный навык СИ у партнёров-прозвонщиков позволяет оказывать на компании сильнейшее давление, информировать СМИ о громких утечках и вести грамотно переговоры по выкупу. Каждому специалисту по информационной безопасности, вне зависимости от цвета шляпы необходимо разбираться в человеческой психологии, понимать основы манипуляции сознанием, а также выстраивать правильную стратегию переговоров c контрагентами в соответствии со своими интересами.

Если у вас есть потребность получить необходимые знания и навыки СИ, то рекомендую посетить самый крупный Telegram канал @Social_engineering, там находится всё самое вкусное и важное по Социальной Инженерии в одном месте. А в комплексе с изучением OSINT открываются большие перспективы.

И вновь Microsoft мягко (извините за тавтологию) положила на своих клиентов. После известных проколов SeriousSAM и PrintNightmare, настало время для очередного фейла, получившего наименование PetitPotam.

Напомним, что в прошлом месяце спец по ИБ Гиллес Лайонел раскрыл вектор атаки яPetitPotam, который позволяет хакерам легко получить контроль над контроллером домена Windows.

Если вкратце PetitPotam заставляет компьютер Windows, включая контроллер домена, проходить аутентификацию через подконтрольный злоумышленникам сервер ретрансляции NTLM, используя удаленный протокол Microsoft Encrypting File System Remote Protocol (EFSRPC). Затем хакеры ретранслируют этот запрос проверки подлинности в службы сертификации Active Directory целевого домена через HTTP, где им выдается билет Kerberos (TGT), позволяющий им принять удостоверение контроллера домена.

Используя PetitPotam, злоумышленник может получить полный контроль над доменом Windows, включая распространение новых групповых политик, сценариев и развертывание вредоносных программ на всех устройствах, в том числе наболевших ransomware.

Конечно же, Microsoft выпустила рекомендации по снижению риска NTLM Relay-атак на службы сертификации Active Directory (AD CS), посоветовав убедиться, что службы, разрешающие NTLM-аутентификацию, используют средства защиты (расширенная защита для аутентификации EPA или функции подписи, такие как подписывание SMB). При том, что PetitPotam использует преимущественно серверы, на которых службы сертификации Active Directory (AD CS) не настроены с защитой от атак NTLM Relay.

Ппредложения Microsoft могут предотвратить атаки с ретрансляцией NTLM, они не содержат никаких указаний по блокировке PetitPotam, которая может использоваться в качестве вектора для других атак. Ведь нужно также учитывать, что метод также можно использовать для различных атак, таких как понижение версии NTLMv1 и ретрансляция учетной записи компьютера на компьютерах, где эта учетная запись компьютера является локальным администратором.

Благо исследователи нашли способ заблокировать удаленный неаутентифицированный вектор атаки PetitPotam с помощью фильтров NETSH, не затрагивая при этом локальную функциональность EFS. В эти выходные Крейг Кирби поделился фильтром NETSH RPC, который блокирует удаленный доступ к API MS-EFSRPC, эффективно противодействуя неаутентифицированному вектору атаки PetitPotam.

Небезызвестный Бенджамин Делпи даже поделился конфигами у себя в Twitter теперь PetitPotam можно блокировать просто скопировав содержимое поста в файл с именем block_efsr.txt и сохранив его на своем рабочем столе. Неужели так просто? Microsoft!

Американская инфосек компания Cybereason выпустила большой отчет, в котором описала масштабную киберкампанию, проводившуюся сразу тремя китайскими APT против телекоммуникационных операторов Юго-Восточной Азии.

Сами исследователи пишут, что стали проводить целевой поиск активности китайских хакерских групп после вскрытой в марте кибероперации китайской APT Hafnium по массовому взлому западных организаций через набор из четырех уязвимостей в Microsoft Exchange (т.н. ProxyLogon).

Что важно вне контекста самих взломов операторов - Cybereason утверждают, что китайцы начали использовать ProxyLogon еще в четвертом квартале 2020 года. Хотя самая ранняя дата эксплуатации этих, которую видели лично мы до этого - это 3 января 2021 года.

Первая часть наблюдаемой активности, обозначенная Cybereason как Soft Cell, является ни чем иным как отдельной масштабной операцией китайской APT 10 aka Stone Panda. Американские эксперты пишут, что старт атак хакеров на ресурсы телекоммуникационных операторов датируется 2018 годом, однако, насколько нам известно, Stone Panda начали охотится за CDR (Call Detail Record, первичная запись о совершенном вызове, основа любого биллинга и прочих телефонных сервисов) как минимум на два года раньше.

Stone Panda хорошо известна американским правоохранителям, которые выдвинули в конце 2018 года обвинения в отношении двух членов APT, приписав им участие в атаках на более чем 45 организаций по всему миру в период с 2006 по 2018 годы, включая НАСА и Министерство энергетики США.

Вторая группа, которой Cybereason приписывает активность по взлому операторов телекома, - APT Naikon. По данным исследователей, их атаки происходили в четвертом квартале 2020 - первом квартале 2021 года.

Naikon aka APT 30 aka Override Panda - группа старая и опытная. Впервые были выявлены в 2010 году, но в 2015 вдруг пропали с радаров инфосека. Вновь всплыли прошлой весной с крупной киберкампанией, направленной на кибершпионаж в странах АТР. А уже этой весной Bitdefender сообщили, что отследили продолжительную киберкампанию Naikon, которая длилась аж с июня 2019 года. Имеет множественные пересечения с китайской APT Cycldek, она же Hellsing и Goblin Panda, которые позволяют делать выводы о том, что с большой долей вероятности это разные подразделения одной и той же более крупной хакерской группы.

Ну и, наконец, третья часть хакерской активности приписывается исследователями APT 27 aka Emissary Panda. Она характеризовалась использованием авторского бэкдора OWA, который сильно похож на уже известный Iron Tiger, и принадлежащий, собственно, APT 27. Кампания длилась с 2017 года по 1 квартал года этого.

И вот вся эта шатобратия сосредоточилась на получении и поддержке непрерывного доступа к ключевым ресурсам сотовых операторов, включая биллинг, а также постоянной компрометации их сетей. Под прицелом оказались пять крупных сотовых операторов Юго-Восточной Азии. Судя по всему, атаки оказались успешными и китайцы в течение долгого периода времени присутствовали в сетях компаний, получив возможность невозобранно тырить биллинговые данные абонентов.

А что к этому приводит? А к этому приводит, в первую очередь, отсутствие сегментирования сети на технологическую и офисную составляющие. И специалистов инфосек и IT подразделений компании, которые такое допускают, можно смело называть "дурака куски". Не переживайте, в родном Отечестве такие тоже имеются.

Что же касается телекома, то доходили до нас слухи, что ребята из звезднополосатых APT любят в российских операторах попастись. Но утверждать ничего не будем, слухи - они слухи и есть. Может врут.