Intel выявила уязвимости CVE-2021-0157 и CVE-2021-0158 с высокой степенью серьезности, которые затрагивают широкий спектр семейств процессоров Intel, что позволяет злоумышленникам получать более высокие уровни привилегий на устройстве. В частности, под раздачу попали следующие семейства процессоров: Xeon E, Xeon E3 v6, Xeon W, Xeon 3-го поколения, Core 7-го, 10-го и 11-го поколений, Core серии X и N, Pentium Silver.

Первая ошибка касается недостаточного управления потоком управления в прошивке BIOS для некоторых процессоров Intel, а вторая полагается на неправильную проверку входных данных на том же компоненте. Уязвимости могут привести к повышению привилегий на машине, но только в том случае, если злоумышленник имеет физический доступ к уязвимым устройствам.

Intel не раскруывает технические подробности обнаруженных недостатков.

А вот спецам из Positive Technologies удалось расковырять в процессорах Intel еще одну багу CVE-2021-0146, которая позволяет активировать режимы тестирования или отладки в нескольких линейках процессоров Intel. Это может позволить неаутентифицированному пользователю, имеющему физический доступ, получить повышенные привилегии в системе.

Проблема обнаружена в процессорах Pentium, Celeron и Atom платформ Apollo Lake, Gemini Lake и Gemini Lake Refresh. Угроза касается широкого спектра ультрамобильных нетбуков и значительной части систем интернета вещей (IoT) на базе процессоров Intel — от бытовой техники и систем умного дома до автомобилей (в том числе даже Tesla в Model 3) и медицинского оборудования.

Всем, кому повезет с обновлениями BIOS, настоятельно рекомендуем их накатить. В остальных случаях с дела исправлением дыр будут обстоять неважно.

Прежде всего, потому что производители материнских плат зачастую не заморачиваются с поддержкой своих продуктов обновлениями безопасности в течение длительного времени.

Так, учитывая, что процессоры Intel Core 7-го поколения вышли пять лет назад, достаточно сомнительно, что производители MB все еще выпускают для них обновления безопасности BIOS. При этом мы даже не упоминаем про клиентов Tesla, владельцев умных домов или прочих девайсов.

Таким образом, значительному числу пользователей придется рассчитывать не на техподдержку, а на удачу, полагаясь лишь на надежный пароль для доступа к BIOS.

​​Слышите страшный шум? То треск порванных шаблонов "инфосек экспертов" и "инфосек журналистов", которые переживают за тему APT Ghostwriter.

Нет, не слышите... И мы не слышим. Потому что им всем уже глубоко наплевать что писать и какие заключения делать с важным хлебалом. Сегодня они говорят, что кошка белая, а завтра они называют эту же кошку черной. И их не смущает абсолютно ничего. Абсолютно.

Началось все еще весной, когда немецкие журнализды заявили, что русские хакеры из APT Ghostwriter проводят фишинг против немецких парламентариев. Мы еще тогда написали, что Ghostwriter это вообще-то не хакерская группа, а описанная в 2020 году FireEye Mandiant дезинформационная кампания, направленная на страны Прибалтики и Восточной Европы. При этом американцы не заявляли напрямую, что за этой кампанией стоит Россия, хотя прозрачно на это намекали.

Но всем было поровну и по инфосек изданиям понеслась страшная весть о новых набегах русских хакеров на Европу. Дальше - больше.

В июле FireEye уже официально говорят, что за Ghostwriter стоит Россия. При этом так толком и непонятно - Ghostwriter это APT или все-таки дезинформационная кампания.

А уже в сентябре официальные представители Евросоюза заявляют, что Ghostwriter - это русские хакеры и они ответственны за многочисленные кибератаки на европейских чиновников и политиков, а также на представителей прессы и гражданского общества.

И вот НЕОЖИДАННО оказалось, что Ghostwriter - это проделки Батьки, то есть Президента Белоруссии Лукашенко. По крайней мере так теперь считают Mandiant, которые за прошедшее время стали вновь независимы от FireEye.

И все опять радостно побежали вопить - Ghostwriter это белорусы, страшное грядет, Европа опасносте! И никто из официальных лиц, экспертов или журналистов не извинился за тот поток сознания, который он несет без какой-либо малейшей обработки в своем межушном ганглии.

И мы снова не про то, что Батька белый и красивый. Да он хоть котят на завтрак ест - это совсем не означает, что он неудержимый хакер. Всему должны быть доказательства (хотя белорусы креативить могут, ага, чего одна история про AS стоит).

Короче, теперь вы понимаете чем медийная составляющая современного инфосека отличается от блядкого цирка? Правильно - только отсутствием шапито.

Где TTPs, Билли? Нам нужны наши TTPs!

На этой неделе Google объявил об обновлении браузера Chrome 96, в котором исправили 25 ошибок безопасности, 18 из которых были обнаружены внешними исследователи, в том числе 7 ошибок относились к категории критических.

И снова Google порадовал экспертов-энтузиастов приятными финансовыми бонусами. Интернет-гигант заявил, что выплатил около 60 000 долларов за обнаружение ошибок исследователям, которые сообщили об уязвимостях.

Но самое интересное, что согласно сообщениям некоторых пользователей, новая версия браузера стала причиной странной работы Twitter, Discord и Instagram. Также есть информация о багах при рендеринге видео. Например, пользователи заметили, что раздел уведомлений в Twitter не загружается и соцсеть сообщает об ошибке.

На посвящённом багам форуме Google появились соответствующие сообщения, на которые уже обратили внимания разработчики. В настоящее время специалисты исследуют причины появления багов и вероятно скоро выйдет еще одна версия стабильного Chrome 96.

Данные клиентов и моделей с популярного веб-сайта для взрослых StripChat просочились в сеть. Кластер базы данных ElasticSearch был доступен в сети без аутентификации.

Утечка была обнаружена Бобом Дьяченко 5 ноября, а ранее 4 ноября база данных попала в индексы поисковых систем. Обнаруженная база содержит множество ссылок на Stripchat и состоит из почти 200 миллионов записей.

Достоянием общественности стали такие сведения, как:
⁃ 65 миллионов записей пользователей ресурса (имя, адрес электронной почты, IP-адрес, данные интернет-провайдера, баланс, дата создания учетной записи, дата последнего входа в систему, статус учетной записи);
⁃ 421 тысяча записей (имя пользователя, пол, идентификатор студии, статус, прайс за раздевание);
⁃ 719 тысяч сообщений чата модерации, отправленных моделям, включая как личные, так и общедоступные сообщения (каждая из записей при этом содержит идентификатор пользователя зрителя, отправившего сообщение);
⁃ 134 миллионов записей транзакций с информацией о токенах и гонорарах, выплачиваемых моделям, включая частные платежи.

Эксперт неоднократно сигнализировал админам сайта о нарушениях безопасности, но закрыть проблему удалось лишь после публичной огласки инцидента. При этом StripChat до сих пор не сознается в том, что допустили утечку, как бы не заметили.

Зато можем быть точно уверены, что утечку StripChat заметили другие и для каждой записи в базе найдут достойное применение.

mr.d0x в Twitter пишет, что если переименовать procdump в dump64 и закинуть в папку Visual Studio, то можно преспокойно сдампить LSASS мимо Microsoft Defender.

NTLM-хэши ннада?

Вывода ровно два:
1. Смешно.
2. Не пользуйтесь Defender. Это кака.

Мониторинговая группа NewsGuard выяснила, что Facebook и Instagram не препятствовали распространению дезинформации и скептических взглядов на Covid-19 и вакцинацию.

Сообщения публиковались в 20 страницах и группах, которые набрали почти 400 тысяч подписчиков.

Управляющий директор NewsGuard в Великобритании Алекс Кардиер считает, что Facebook и Instagram не смогли защитить своих пользователей от дезинформации о вакцинах, несмотря на "неоднократные" предупреждения.

"Вирусные и вызывающие разногласия источники дезинформации продолжают развиваться и расти, несмотря на наши предупреждения и очевидную опасность для пользователей", — отметил он.

​​В мае мы писали о том, как Google удалось реализовать новый вектор атаки под названием Half-Double.

Речь шла о Rowhammer, который изначально был разработан учеными в 2014 году как некая теория. Смысл ее заключался в том, что при современной плотности ячеек памяти электрические помехи могут передаваться между ячейками. Производя серию быстрых циклов записи строки памяти можно изменять информацию, содержащуюся в соседних ячейках, а также эксфильтрировать ее. Впоследствии было разработано множество реализаций Rowhammer, в том числе удаленных, как для ПК, так и для мобильных устройств.

Усилия же производителей по защите модулей памяти привели к тому, что был создан комплекс аппаратных и программных мер по противодействию Rowhammer, который получил название Target Row Refresh (TRR).

Тогда исследователи пришли к выводу о том, что исходя из увеличившейся за последние годы плотности размещения ячеек памяти, новый вид атаки способен достигать ячеек, которые находятся на расстоянии двух строк.

Их исследование стало продолжением работы команды ученых из Университета Амстердама, Швейцарской высшей технической школы и компании Qualcomm, которые за год до этого разработали инструмент под названием TRRespass и подтвердили, что TRR, предназначенный для защиты соседних ячеек, не работает.

Принципиально новым вариантом реализации Rowhammer стал Blacksmith, который обходит все существующие TRR в динамических чипах памяти с произвольным доступом (DRAM), используя неоднородные частотные шаблоны доступа. При том, что ячейки на чипах DRAM меньше и ближе друг к другу, что затрудняет предотвращение электрического взаимодействия между ними.

Экспериментируя на 40 модулях DDR4 DIMM производителей Samsung, Micron и SK Hynix, исследователи смогли обойти TRR на всех чипах, запустив в среднем в 87 раз больше битовых переворачиваний в DRAM благодаря генерации шаблонов доступа, которые забивают целевые строки с различными фазами, частотами и амплитудами. Результаты экспериментов исследователи представили в демонстрационном ролике.

Наше мнение относительно Rowhammer остается неизменным: несмотря на то, что атака является чисто теоретической, нельзя исключать появления ее практической реализации со стороны коммерческих хакеров или, что более вероятно, прогосударственных APT, что особенно подчеркивает настоятельную необходимость поиска принципиально новых подходов к TRR.

Netgear устранила уязвимость CVE-2021-34991 в своих устройствах для малого или домашнего офиса (SOHO). Проблема была связана с переполнением буфера перед аутентификацией, которая могла быть использованы злоумышленником в локальной сети (LAN) для удаленного выполнения кода с привилегиями root.

Проблема крылась в функциях демона upnpd, связанных с обработкой неаутентифицированных запросов HTTP SUBSCRIBE и UNSUBSCRIBE от клиентов, которые хотят получать обновления при изменении конфигурации сети UPnP.

Об уязвимости предупредили исследователи  GRIMM, которым удалось разработать PoC, способный взломать даже полностью пропатченные устройства с установленными конфигурациями по умолчанию.

Под угрозой эксплуатации данной уязвимости находятся маршрутизаторы, модемы и расширители диапазона WiFi. Подробный технический анализ ошибки и список уязвимых устройств опубликован специалистами на гитхаб

Netgear уже объявила о доступности патчей, устраняющих обнаруженную уязвимость и призывает пользователей как можно скорее загрузить и установить исправления.

Обнаружена 0-day уязвимость в FatPipe VPN. Найденная бага стала результатом расследования ФБР США, в рамках которого сотрудники ведомства выяснили, что как минимум с мая 2021 года дыра в течение шести месяцев эксплуатировалась неназванной APT.

Уязвимость использовалась как способ взломать компании и получить доступ к их внутренним сетям и позволила хакерской группе использовать функцию загрузки файлов в прошивке устройств FatPipe MPVPN и установить веб-оболочку с корневым доступом. Кроме того, ФБР пришли к выводу, что ошибка также затрагивает и другие продукты, такие как IPVPN и WARP.

Все они представляют собой разные типы серверов виртуальной частной сети (VPN), которые компании традиционно устанавливают по периметру своих корпоративных сетей для предоставления сотрудникам удаленного доступа к внутренним приложениям через Интернет, выступая как гибрид между сетевыми шлюзами и межсетевыми экранами.

Теперь и FatPipe стал частью длинного списка производителей сетевого оборудования, чьи системы использовались для кибер-вторжений, потеснив в нем Cisco, Microsoft, Oracle, F5 Networks, Palo Alto Networks, Fortinet и Citrix.

Впрочем, в атаках на FatPipe нет ничего удивительного, ведь атаки на межсетевые экраны, VPN-серверы, сетевые шлюзы и балансировщики нагрузки стали достаточно популярны среди АРТ в условиях ограничений, введенных из-за пандемии COVID-19 для персонала госсектора и частных компаний.

Но этот случай заметно выделяется в призме прошлых инцидентов прежде всего тем, что обнаруженный 0-day до сих пор не собственного идентификатора CVE, а лишь фигурирует во внутренней рекомендации по безопасности как FPSA006.

Более того, для ошибки 16 ноября выпущены соответствующие исправления, включая индикаторы взлома (IOC) и подписи YARA, а также предупреждения спецслужбы.

Это конечно полезно знать, но в России продукция FatPipe практически не используется.

​​Похоже, что скандал с израильскими частными разведывательными компаниями продолжается, а точнее обрастает новыми подробностями.

Если ранее медиафокус был направлен на NSO Group, то на этот раз под раздачу попал еще один попавший под американские санкции поставщик шпионского ПО Candiru. Как выяснили ESET, все дело в том, что Candiru были причастны к атакам Watering Hole в отношении ряда высокопоставленных лиц в Великобритании и на Ближнем Востоке.

Для атак на водопой использовались веб-сайты ведущих СМИ, правительственных структур, операторов связи в Великобритании, Йемене и Саудовской Аравии, а также компаниям, занимающимся аэрокосмическими и военными технологиями в Италии и Южной Африке.

Взломы ресурсов проводились последовательно в две волны: первая состоялась в период с марта по август 2020 года, вторая продолжалась в январе - августе 2021 года, после чего вредоносные скрипты были удалены с целевых веб-сайтов.

В рамках первой волны цепочки атак включали внедрение злоумышленником кода JavaScript на веб-сайты с удаленного домена, который предназначен для сбора информации машине-жертве (в том числе его геолокации, сетевых адресах, ОС и другой системной информации), при этом обходя мобильные устройства. Затем использовались уязвимости удаленного выполнения кода браузера, которая позволила злоумышленникам захватить контроль над машинами.

Вторая волна характеризовалась большей скрытностью, поскольку изменения JavaScript вносились в легитимные сценарии WordPress (wp-embed.min.js), вместо добавления вредоносного кода прямо на главную HTML-страницу, используя метод загрузки скрипта с сервера, находящегося под контролем злоумышленника. Помимо снятия фингерпринта злоумышленник вел сбор системных метаданных (в том числе языка по умолчанию, списка шрифтов, поддерживаемых браузером, часовой пояс и список плагинов браузера).

Изучая ТТП APT в ходе второй волны, словацкая инфосек компания связала активность с Karkadann, которая достаточно четко описана специалистами Лаборатории Касперского. Злоумышленник также нацелен на госорганы и новостные агентства на Ближнем Востоке как минимум с октября 2020 года и использовал специально разработанные вредоносные документы со встроенными макросами, которые запускают цепочку заражения, открывая URL-адрес в Internet Explorer, реализуя в конечном счете уязвимость повышения привилегий. ЛК, в свою очередь, обнаружили свойство с кампанией Piwiks.

Вместе с тем, обнаружить точный эксплойт и окончательную полезную нагрузку, и до конца расчехлить Candiru спецам ESET не удалось. Элементами атрибуции стали сведения о том, что некоторые из командно-управляющие сервера имели схожие домены, которые использовались израильтянами. Но в качестве главного аргумента представлен арсенал Candiru, включающий возможности удаленного выполнения кода на основе браузера.

Ну и вряд ли можно назвать совпадением то, что кампания прекратилась в конце июля 2021 года, что совпало с публикациями об причастности Candiru к атакам на жертв в Армении, в ходе которых использовались 0-day уязвимости в браузере Chrome.

При этом ESET полагают, что несмотря на все обвинения Candiru разрабатываются новые инфраструктурные и тактические решения под дальнейшие кампании.

​​Банды вымогателей в последнее время совсем разбушевались.

Под удар вымогателей Lockbit попала криптовалютная биржа BTC-Alpha. Платформа украинского предпринимателя Виталия Боднара, торгующая с 2016 году и занимающая 14 место в рейтинге по безопасности, оказалась не такой уж и безопасной.

В этом случае Lockbit определенно сыграли на руку своим американским оппонентам, которые рассматривают крипту главным экономическим злом в вопросах организации экономики ransomware.

А вот в руки Everest залетела Police Brazil, именно так хакеры анонсировали свою успешную атаку. Но круче них на этой неделе оказались Moses Staff, которым удалось взломать Unit 8200, элитное подразделение радиоэлектронной разведки Армии обороны Израиля.

🔖 S.E. Заметка. #OSINT коллекция от Cyber Detective.

🖖🏻 Приветствую тебя user_name.

• Продолжаем пополнять нашу коллекцию #OSINT ресурсов и инструментов. На этот раз, я поделюсь с тобой не только отличным и сочным репозиторием, но и отличным блогом, в котором ты найдешь много полезной информации. Автор является значимой фигурой в OSINT-сообществе.

• Коллекция инструментов: https://github.com/cipher387/osint_stuff_tool_collection

• Блог автора в Twitter: @cyb_detective

• Блог в Telegram: @cybdetective

‼️ За 3 года существования S.E., я собрал огромное количество материала на тему #OSINT, так как навыки искать необходимую информацию о цели, очень важны и являются ключевыми при проведении атак с использованием #СИ. Дополнительный материал, ты можешь найти по хештегам в заметке. Твой S.E.

Минюст США выдвинул обвинения в отношении двух граждан Ирана во вмешательстве в президентские выборы. Согласно официальному заявлению Сейед Мохаммад Хосейн Муса Каземи и Саджад Кашиан были причастны к серии хакерских атак и операциям влияния, проведенной в период с сентября по ноябрь 2020 года. Ранее в октябре 2020 года об атаках хакеров предупреждало Агентство по кибербезопасности и безопасности инфраструктуры США (CISA).

Американским силовикам удалось собрать приличную доказательную базу и улики, согласно которым иранцы предпринимали попытки взлома сайтов в 11 штатах, включая государственные ресурсы для голосования и учета избирателей, в результате которых им удалось поэксплуатировать по крайней мере один неправильно сконфигурированный сайт и украсть сведения о более чем 100 000 избирателей, включая закрытые данные.

Более того, иранских хакеров обвинили в рассылке электронных писем, содержащих сфальсифицированные факты о нарушениях выборных процедур со стороны Демократической партии. Для этих целей хакеры придумали некую гражданскую структуру Proud Boys, от имени которой и отправляли сообщения сенаторам-республиканцам, сторонникам Дональда Трампа, советникам Белого дома и представителям СМИ. В письмах утверждалось, что демократы планировали использовать хакерские методы, почтовые махинации и для накручивания голосов по ряду штатов, даже прилагалось соответствующее фейковое видео.

В октябре 2020 года хакеры разослали письма с угрозами в адрес десятка тысяч зарегистрированных избирателей и демократам, опять же от имени группы ProudBoys. Доходило до угроз физической расправы и других явно недемократических методов.

Сразу по завершении президентской гонки 4 ноября 2020 года хакеры попытались пролезть в сеть американской медиакомпании, используя ранее скомпрометированные учетные данных сотрудников. Сработав на опережение, представители ФБР смогли вовремя пресечь действия нарушителей.

Американским спецслужбам удалось выяснить, что обвиняемые работали и планировали операции под крышей иранской фирме по кибербезопасности под названием Eeleyanet Gostar (ранее Emennet Pasargad). Компания при этом имела подряды от официальных правительственных структур Ирана.

Компания, конечно же, присоединилась уже еще к 4, на которые были наложены санкции со стороны Министерства финансов США. Все они также использовались для проведения аналогичных операций, целью которых были президентские выборы в США 2020 года.

Доска разыскиваемых ФБР и Госдепом США преступников пополнилась именами еще 2 граждан Ирана, за головы которых назначено вознаграждение в размере до 10 миллионов долларов.

Полагаем, на родине иранцы также были не обделены вниманием и получили не менее ценные вознаграждения, в том числе, возможно, и награды. В этом смысле, они определено оправдали себя как реальные ProudBoys.

Популярность ransomware с каждым годом только растет и их благосостояние тоже. Такими темпами доходы банд-вымогателей скоро начнут публиковать в списках Forbes наряду с действующими бизнесменами построившими свою финансовую независимость в легальном правовом поле.

Специалисты швейцарской компании Prodaft подготовили отчет в котором посчитали сколько заработали операторы программы-вымогателя Conti от атак и последующих выкупов с июля 2021 года. Доход банды составил не менее 25,5 миллионов долларов причем это достаточно скромная оценка, учитывая, что далеко не все официально заявляют об инцидентах. Разумеется, за свою историю начиная с августа 2020 года банда заработала значительно больше.

Компания совместно с фирмой Elliptic, занимающейся анализом блокчейнов, отследили более 500 биткойнов, которые собрали за последние пять месяцев по 113 криптоадресам злоумышленников и выявили кошелек для консолидации прибыли банды. Также исследователи заметили, как банда распределяла прибыль среди своих партнеров, осуществляющих проникновение в компани и устанавку вымогателя. Примечательный момент заключался в том, что специалистами был выявлен один кластер, который получал платежи от Conti и группировки DarkSide, что может указывать на то, что одно физическое лицо работало в качестве аффилированного партнера для обеих групп.

Prodaft указывает, что банда Conti сама управляет своим кошельком, а ее партнеры обычно отмывают свою прибыль через теневые площадки, кошельки с повышенной конфиденциальностью, такие как Wasabi, а также через русскоязычный даркмаркет Hydra.

Предыдущие исследования и оценки прибыли других банд вымогателей также впечатляют, но мастодонтом на сегодняшний день по "официальной" статистике являются Conti:

- Ryuk (Conti) - 150 миллионов долларов.
- REvil - 123 миллиона долларов в 2020 году
- Darkside - 90 миллионов долларов с октября 2020 года по май 2021 года.
- Maze/Egregor - 75 миллионов долларов
- Netwalker - 25 миллионов долларов с марта по июль 2020 года.

После прекращения деятельности таких банд как Avaddon, REvil, Darkside и BlackMatter, банда Conti вместе с группой LockBit на сегодняшний день являются наиболее активными и вызывают соответствующую тревогу у агентств и служб по кибербезопасности США. При этом CISA уже предупреждала о повышенной в последнее время активности хакерских группировок.

Поэтому инфосек компании и правительственные органы по киберзащите в ружье, так как Conti такими темпами вероятно стремятся в ближайшем будущем стать анонимными миллиардерами.

​​Уже давно не радовали вас вестями о бойцах цифрового чучхе. Но в этом нам подсобили Proofpoint, выкатив расследование, посвященное деятельности в 2021 году АРТ, которую компания отслеживает как TA406 и полностью атрибутируют с Kimsuky. Кроме того, группировке приписали и другие активности, которые отлёживались как отдельные TA408 и TA427.

АРТ, по данным исследователей, занимается распространением вредоносных программ, фишингом, сбором разведданных и кражей криптовалюты, работая примерно с 9 утра до 5 вечера (KST), семь дней в неделю. География действий АРТ достаточно широка и включает Северную Америку, Россию, Китай, Южную Корею, Японию, Германию, Францию, Великобританию, Южную Африку, Индию и другие страны.

В целом Proofpoint сообщают, что следы TA406 фиксируются с 2018 года и указывают на специализации АРТ на шпионаже, мошенничестве с целью получения денег и вымогательстве.

При этом в 2021 году северокорейцы были в основном сфокусированы на сборе учетных данных и нацеливались на организации в таких секторах, как образование, госсектор, СМИ и наука, а также ряд отраслей промышленности.

В течение первых шести месяцев текущего года, Proofpoint наблюдали еженедельные атаки на ученых, журналистов, экспертов в области внешней политики, а также неправительственные организации, особенно те, которые связаны с деятельностью на Корейском полуострове.

Для этого АРТ распространяли ВПО через фишинговые электронные письма со ссылками на архивы 7z, которые содержали EXE-файл с двойным расширением, который визуально выглядел как файл HTML.

Позже в марте 2021 года Kimsuky переориентировались на высокопоставленных должностных лиц в различных госучреждениях, консалтинговых фирмах, военных и силовиков. АРТ также интересовали сотрудники экономических и финансовых организаций. В ходе атак актор начал развертывание специального ВПО под названием FatBoy, которое помещалось в виде HTML-вложения на диск жертвы.

FatBoy - вредоносное ПО первого уровня, предназначенное для загрузки CAB-файла с C2 каждые 20 минут. CAB-файл содержит пакетный сценарий (ball.bat), который выполняет сценарий VBS, предназначенный для выполнения разведки и извлечения информации через запросы HTTP POST. В дальнейшем подгружался YoreKey, пользовательский кейлоггер для Windows, маскирующийся под MetaTrader 4 Manager, платформу электронной торговли.

Proofpoint отмечает, что в кампаниях 2021 года АРТ взяла на вооружение целый арсенал вредоносного ПО для кражи информации, включая
семейства malware помимо озвученных также: Amadey, Android Moez, BabyShark, CARROTBAT/CARROTBALL, KONNI, SANNY, NavRAT и QuasarRAT.

В фишинговых письмах обычно использовали тематики по ядерной безопасности, политике и внешней политике Кореи. Письма отправлялись с взломанных веб-сайтов от имени фальшивых пользователей: к примеру, от редактора Global Asia, профессора Университета Йонсей и советника президента Мун Чжэ Ина.

Приманки в письмах, как правило, представляли собой файлы PDF, для просмотра которых от получателя требуется войти на хостинговую платформу, используя свои личные или корпоративные учетные данные.

Особый интерес представляет то, что при проведении фишинговых кампаний обычно не создавали сложных целевых страниц для имитации известного сервера. Вместо этого они использовали базовую HTTP-аутентификацию, которая отображает диалоговое окно браузера с запросом учетных данных пользователя.

Помимо сугубо политических интересов, северокорейскую АРТ интересовали варианты заработка. Для чего ими участвовали в финансово мотивированных атаках, целью которых была крипта. Хакерам удалось украсть, согласно выводам Proofpoint, не менее 3,77 биткойнов на сумму примерно 222 000 долларов. В реальности значительно больше, конечно же.

Proofpoint резюмировали свои изыскания банальным выводом, утверждая, что АРТ продолжит свою активность в отношении представляющих для КНДР корпоративных целей, прежде всего в сфере вооружении и ядерных исследований.

Добавим: они будут делать все это безусловно, но с особым изыском.

Как мы уже отмечали совсем недавно, атаки на цепочки поставок становятся все больше востребованы со стороны АРТ.

Свои опасения относительно иранских хакерских групп высказали Microsoft Threat Intelligence Center (MSTIC) и Microsoft Digital Security Unit (DSU), поводом стала серия дерзких кибератак на компании в Индии и Израиле, которые реализуют ПО для управления бизнесом и интеграции миллионам глобальных организаций, подобно SolarWinds, для компрометации последующих клиентов.

Microsoft зафиксировали значительный рост числа таких атак: отправлено 1788 уведомлений в адрес около в 40 IT-компаний (80% всех уведомлений), попавших под иранский таргетинг. Для сравнения в 2020 году их было всего 48. В сферу заинтересованности хакеров попали организации в сфере обороны, энергетики и юстиции.

Все это логично, ведь Индия и другие страны становятся крупными центрами IT-услуг, что сделало их весьма привлекательными целями для прогосударственных АРТ, нацеленных на их клиентов из государственного и частного секторов по всему миру, активность фиксируется начиная с середины августа 2021 года.

В качестве одного из доводов Microsoft приводит инцидент, произошедший в июле 2021 года, когда специалистам удалось обнаружить иранскую АРТ DEV-0228, скомпрометировавшую израильскую софтверную компанию-поставщика ПО для бизнеса. Закрепившись, хакеры предприняли ряд атак на ее клиентов в оборонном, энергетическом и юридическом секторах Израиля.

В другом случае несколько месяцев спустя АРТ DEV-0056 взломала учетные записи электронной почты бахрейнского интегратора, занимавшегося господрядами.

Аналогичная участь постигла госкомпанию на Ближнем Востоке, которая предоставляет информационные и коммуникационные технологии для оборонного и транспортного секторов. DEV-0056 сохранял активность до октября.

Что сказать? Иранцы, определено в тренде.

🎉 3 года Social Engineering.

🖖🏻 Приветствую тебя user_name.

• Сегодня исполняется 3 года нашему проекту. За это время, я смог собрать десятки тысяч единомышленников и опубликовать сотни статей, основная часть которых, относится к теме канала — Социальной Инженерии. Спасибо всем кто развивается вместе со мной, всем кто читает канал, предоставляет отзывы и указывает на недостатки. Искренне Вам благодарен 🖤

• https://xn--r1a.website/Social_engineering/1