У системных администраторов остается еще меньше времени на исправление обнаруженных уязвимостей безопасности, чем считалось ранее.

Новый отчет за 2022 год Palo Alto Unit 42 показывает, что злоумышленники сканируют уязвимые хосты в течение 15 минут после того, как новый CVE становится общедоступным.

Palo Alto Unit 42 заметили, что хакеры постоянно отслеживают объявления поставщиков ПО на предмет новых уязвимостей, которые можно использовать для начального доступа к корпоративной сети или для RCE.

Однако скорость, с которой злоумышленники начинают поиск уязвимостей и предпринимать попытки эксплуатации значительно выросла.

Поскольку сканирование не требует особых усилий низкоквалифицированные злоумышленники ведут моментальный поиск уязвимых конечных точек и перепродают в течение нескольких часов результаты своей работы в даркнете более опытным хакерам, способным их эксплуатировать.

Так, критическая RCE-уязвимость CVE-2022-1388 в F5 BIG-IP была раскрыта 4 мая 2022 года, и, по данным Unit 42, спустя десять часов с момента объявления, было зафиксировано 2552 попытки сканирования и эксплуатации.

Согласно аналитике Palo Alto, среди наиболее эксплуатируемых уязвимостей для доступа к сети в первом полугодии 2022 года ресерчеры выделили цепочку эксплойтов ProxyShell (CVE-2021-34473, CVE-2021-34523 и CVE-2021-31207), на которую приходится до 55% от общего числа зарегистрированных инцидентов. 

На втором месте закрепился Log4Shell с 14%, далее различные CVE SonicWall — 7%, ProxyLogon — 5%, а RCE в Zoho ManageEngine ADSelfService Plus был использован в 3% случаев.

Как видно из этой статистики, львиная доля в объеме эксплуатации приходится не самые свежие, а уже достаточно известные CVE, что связанная с размером поверхности атаки, сложности эксплуатации и практической реализации.

Наиболее привилегированные и защищенные жертвы атакуются чаще с использованием 0-day или свежеобъявляемых уязвимостей.

По данным Unit 42, использование уязвимостей ПО для первоначальной компрометации сети составляет примерно одну треть статистики всех нарушений.

В 37% случаев фишинг был предпочтительным способом получения начального доступа. В 15% случаев хакеры проникали в сети с помощью перебора или использования скомпрометированных учетных данных.

Социальная инженерия или подкуп инсайдера для получения доступа к сети соответствует 10% инцидентов.

Выводы делайте сами: статистика весьма показательна.

Теперь обычный калькулятор для пользователей Windows 7 может быть угрозой. Авторы вредоносного ПО QBot стали настолько изощрены, что решили использовать калькулятор Windows для загрузки полезной нагрузки на уязвимые устройства.

Калькулятор используется для известного приема с подменой DLL - это когда атака основывается на замене легитимного DLL-файла вредоносной библиотекой и по заявлению экспертов махинации с Calculator осуществляются как минимум с 11 июля.

Вектор атаки QBot или еще его называют Qakbot выглядит следующим образом. Осуществляется рассылка электронных писем с малварью содержащую вложение HTML, которое загружает ZIP-архив с файлом ISO.

Файл ISO содержит две DLL: полезную нагрузку с именем 7533.dll и WindowsCodecs.dll, а также приложение калькулятора Windows с именем calc.exe.

Если пользователь установит этот ISO-файл, то он увидит файл LNK, а именно ярлык на PDF-файл, который открывается в браузере Edge. После открытия файла пользователь будет перенаправлен в приложение калькулятора Windows и нажатие на приложение приведет к заражению устройства.

Злоумышленники выбрали Windows 7 неспроста, так как уязвимость по подмене DDL не используется в Windows 10 Calc.exe и более поздних версиях операционной системы.

Как сообщают Cyble разработчики Qakbot очень активны и постоянно адаптируют свою тактику. Сама же вредоносная программа крадет учетные данные и иные конфиденциальные сведения с устройств жертвы в интересах дальнейшей финансовой монетизации.

Собственно по рекомендациям все просто. Пользователям стоит избегать загрузок и открытия файлов от подозрительных и неизвестных отправителей и перейти на более новые версии ОС.

В ближайшее время вымогатели, вероятно, могут реализовать вторую Kaseya в ходе атаки на цепочку поставок.

Тревожные новости поступают от NetStandard. Американский поставщик управляемых услуг подвергся кибератаке и был вынужден отключить свою облачную инфраструктуру после киберинцидента, включая службы MyAppsAnywhere, Dynamics GP, Exchange, Sharepoint и CRM.

26 июля в 11:30 компания обнаружила признаки взлома в среде MyAppsAnywhere и оперативно закрыла облачные сервисы для изоляции угрозы. С тех пор команда инженеров занимается активным устранением последствий инцидента.

И хотя компания заявляет, что затронуты только службы MyAppsAnywhere, атака, по-видимому, имела более широкий горизонт, ведь даже основной сайт компании был недоступен.

NetStandard не сообщает никаких подробностей относительно инцидента. Но все признаки указывают на ransomware.

Примечательно, что буквально вчера генеральный директор Huntress Lab Кайл Ханслован вчера опубликовал скрин экрана, на котором злоумышленник с хакерского форума Exploit ищет партнеров для проведения атаки на поставщика управляемых услуг.

Хакер утверждая, что имеет доступ к панели MSP, управляющей более чем 50 компаниями, 100 серверами VMware ESXi и более чем 1000 серверами, который он хотел бы монетизировать совместно с привлекаемыми партнерами. Гарантируя достаточно высокий профит.

Правда неясно, связано ли это предложение с атакой на NetStandard, однако в любом случае намечается нехилая киберкампания. А может и не одна.

Будем посмотреть.

Microsoft атрибутировали Knotweed австрийскому поставщику шпионского программного обеспечения DSIRF, который нацелен на европейские и центральноамериканские организации с помощью набора вредоносных ПО Subzero.

DSIRF позиционирует себя как компанию, которая предоставляет корпорациям услуги в сфере ИБ, включая пенист, исследования, криминалистику и OSINT.

Тем не менее, ресечреры убеждены в том, что компания стоит за разработкой вредоносного ПО Subzero, которое его клиенты могут использовать для взлома телефонов, компьютеров, сетевых устройств и девайсов, подключенных к Интернету.

Анализируя DNS при расследовании атак Knotweed, компания RiskIQ также обнаружила, что инфраструктура, активно обслуживающая вредоносное ПО с февраля 2020 года, связана с DSIRF, включая его официальный веб-сайт и домены, которые, вероятно, использовались для отладки и подготовки вредоносного ПО Subzero.

MMSTIC также обнаружил множественные связи между DSIRF и вредоносными инструментами, используемыми в атаках Knotweed.

К ним относятся инфраструктура С2, связанная с DSIRF учетная запись GitHub, использовавшаяся в одной из атак, сертификат подписи кода, выданный DSIRF, который также использовался для подписи эксплойта и другие.

Некоторые атаки Knotweed были направлены на юридические фирмы, банки и стратегические консалтинговые организации по всему миру, включая Австрию, Великобританию и Панаму. При этом жертвы Subzero услуги в DSIRF естественно не заказывали.

На скомпрометированных устройствах злоумышленники разворачивали Corelump, основную полезную нагрузку, которая запускалась из памяти для ухода от обнаружения, и Jumplump, загрузчик вредоносных программ, который и подгружал Corelump.

При этом Subzero имеет множество возможностей, включая фиксацию нажатий клавиатуры, захват снимков экрана, эксфильтрацию данных и запуск удаленных оболочек и произвольных плагинов, загруженных с С2.

В кампаниях Knotweed, ресерчеры Microsoft выделили эксплуатацию ряда 0-day.

В частности, CVE-2022-22047 помогала злоумышленникам повышать привилегии, выйти из песочниц и получить выполнение кода на системном уровне. В прошлом году Knotweed также использовал цепочку эксплойтов повышения привилегий Windows (CVE-2021-31199 и CVE-2021-31201) в сочетании с эксплойтом Adobe Reader (CVE-2021-28550), все они были исправлены в июне 2021.

В 2021 году группа кибернаемников также была связана с эксплуатацией уязвимости повышения привилегий Windows в службе Windows Update Medic (CVE-2021-36948), которая использовалась для выполнения службой загрузки произвольной подписанной DLL.

Microsoft выпустила исправления для уязвимостей и опубликовала сигнатуры вредоносных программ, которые защитят пользователей Windows от эксплойтов, которые Knotweed использовала для доставки своего вредоносного ПО.

Ждем новых разоблачений. Крестовый поход на поставщиков коммерческого шпионского ПО в тренде.

͏Команда разработчиков LibreOffice выпустила обновления для исправления трех уязвимостей в ПО, одна из которых может быть использована для RCE в уязвимых системах.

CVE-2022-26305 связана с неправильной проверкой сертификата при верификации макроса доверенного автора.

Злоумышленник может создать произвольный сертификат с серийным номером и строкой эмитента, идентичной доверенному сертификату, который LibreOffice будет представлять как принадлежащий доверенному автору, что может привести к RCE в макросах.

Также разрешено использование статического вектора инициализации во время шифрования (CVE-2022-26306), который мог бы ослабить безопасность, если бы злоумышленник получил доступ к информации о конфигурации пользователя.

Патч также устраняет CVE-2022-26307, в которой главный ключ был плохо закодирован, что делало сохраненные пароли уязвимыми для брутфорса, если злоумышленник завладел пользовательской конфигурацией.

Три уязвимости, о которых сообщила компания OpenSource Security GmbH от имени Федерального управления информационной безопасности Германии, были закрыты в версиях LibreOffice 7.2.7, 7.3.2 и 7.3.3.

Патчи появились через пять месяцев после того, как в феврале 2022 года Document Foundation исправила еще одну ошибку проверки сертификата (CVE-2021-25636).

А в октябре прошлого года были исправлены три ошибки спуфинга, которые можно было использовать для изменения документов, чтобы они выглядели так, как если бы они были подписаны надежным источником.

📵Сегодня обнаружил, что мой старый аккаунт в Twitter, где публиковались посты с интервью на YouTube, платформа заблокировала без объяснения причины. С февраля-марта аккаунт был заброшен и не использовался. Каким образом неиспользуемый аккаунт без публикаций постов и комментариев мог нарушить правила Twitter у меня вызывает большой вопрос.

🤔Проверил аккаунты англоговорящих пользователей, где ранее были призывы к кибератакам в отношении РФ и поощрение публикаций утечек российских компаний, они спокойненько себе процветают и дальше. Типикал демокраси.

👆Последние 6 месяцев использую Twitter на втором аккаунте только для чтения новостей, но если речь пойдет о создании контента на других платформах, то лучше переходить на отечественные. Тот же VK в разы лучше птичьей социальной сети.

Исследователи Trend Micro при отладке образца Lockbit 3.0 заметили, что несколько частей кода заимствованы из программы-вымогателя BlackMatter.

Специалисты обнаружили сходство между программой-вымогателем LockBit 3.0 и BlackMatter, которая вовсе является вариантом программы-вымогателя DarkSide.

Как мы писали, вымогатель Lockbit 3.0 был выпущен в июне с существенными нововведениями, такими как вознаграждение за обнаружение ошибок, оплата в Zcash и другой тактикой вымогательства.

Малварь добавляет расширение «HLJkNskOq» или «19MqZqZ0s» к именам зашифрованных файлов и меняет их значки на значки файлов .ico. После завершения процесса шифрования программа-вымогатель меняет обои компьютера, чтобы сообщить об атаке.

Исследуя распакованный образец специалисты обнаружили, что шифровальщик требует параметр прохода для расшифровки своей основной процедуры.

LockBit 3.0 выполняет сбор API, хэшируя имена API DLL, а затем сравнивая их со списком API, которые нужны программе-вымогателю и эта процедура идентична процедуре BlackMatter.

Также эксперты подчеркивают сходство с процедурами повышения привилегий и сбора данных, используемым BlackMatter для идентификации API при выполнении различных действий.

Кроме того, последний вариант LockBit также проверяет язык пользовательского интерфейса компьютера-жертвы, чтобы избежать заражения компьютеров, используемых в странах СНГ.

Интересную аналитику относительно эволюции буткитов подогнали ресерчеры Positive Technologies, которая дополняет недавнее исследование специалистов Лаборатории Касперского в отношении CosmicStrand UEFI.

Вредонос начинающий работу раньше всех, даже ОС, — буткит, создан чтобы помочь закрепиться в системе жертвы и сокрыть действия другой малвари и преступников. Раньше было распространено мнение, что буткиты существуют преимущественно в формате PoC и не используются в реальных атаках.

Однако между появлением первого PoC и первой атакой с применением буткита прошло всего два года. Сейчас функции буткитов добавляются к разным вредоносам: так поступают разработчики шифровальщиков, например Satana и Petya, и ботнетов, к примеру Trickbot.

Жертвами атак с использованием буткитов могут стать как обычные люди, так и крупные компании или высокопоставленные лица.

Когда речь идет о буткитах то чаще всего это сверхтаргетированнные атаки, но бывают и исключения: например, буткит Adushka известен тем, что был нацелен на обычных пользователей и применялся для шпионажа, в том числе для кражи данных из личных аккаунтов в онлайн-играх.

Эксперты Positive Technologies выявили, что среди буткитов появившихся за последние 16 лет 69% были ориентированы на устройства на базе BIOS. Для прошивки UEFI было разработано 18% вредоносов и их доля будет расти.

К слову, компания Intel еще в 2020 году остановила поддержку BIOS и перешла на новые прошивки UEFI. Секрет популярности BIOS заключается в том, что некоторым организациям сложно обновить инфраструктуру, в России чаще всего с такими проблемами сталкиваются госучреждения и промышленные предприятия.

Всего среди проанализированных семейств оказалось, что 27 из 39 буткитов используются в реальных атаках, 14 из них встречались в атаках APT. Активными пользователями буткитов выступают Careto, Winnti (APT41), FIN1 и APT28.

Разработать буткит сложно, ведь каждая ошибка в коде может выдать злоумышленников или полностью вывести оборудование жертвы из строя, поэтому ресерчеры не редко видят переработку уже существующих вредоносов. Так произошло с PoC Stoned, трансформировавшемся в буткит для атак Whistler.

Способ проще – купить готовое решение. Анализ объявлений в даркнет и тематических телеграмм-каналов показал, что средняя стоимость буткита в аренду составила 4900 долларов США. Для сравнения руткит в аренду на месяц обошелся бы в 100-200 долл. США. Но за то, чтобы обеспечить скрытность в системе жертвы нужно платить.

При этом самый действенный способ обнаружить буткит, в том числе разработанный под такую сложную подсистему, как UEFI, — сделать это при помощи решений класса Sandbox до его внедрения в прошивку или первые разделы жесткого диска.

͏Две потенциально серьезные уязвимости в решениях для промышленной автоматизации тайваньского поставщика Moxa могут позволить злоумышленникам вызвать серьезные сбои в работе.

CVE-2022-2043 и CVE-2022-2044 имеют высокий рейтинг серьезности и затрагивают серверы Moxa NPort 5110, которые предназначены для подключения устройств к сетям Ethernet. Компания заявила, что затронута лишь версия 2.10.

Уязвимости обнаружил в первой половине марта 2022 года Йенс Нильсен из датской инфосек-компании En Garde Security, предоставив поставщику соответствующие PoC и видеоролики, демонстрирующие эксплуатацию.

Ошибки могут быть использованы удаленным злоумышленником, чтобы вызвать на целевом устройстве состояние отказа в обслуживании DoS.

Для эксплуатации обеих уязвимостей достаточно сетевого подключения к целевому устройству. Эксплойты могут быть выполнены за всего несколько секунд, их можно автоматизировать и запускать через сеть.

Несмотря на то, что устройства Moxa NPort не должны быть открыты во внешнюю сеть, в реальности многие из них доступны из Интернет. 

Уязвимые устройства NPort используются по всему миру, в том числе в критически важных секторах инфраструктуры, таких как энергетика, производство и транспорт. Shodan показывает более 5000 таких устройств, и хотя некоторые из них могут быть и ханипотами.

Большая часть при этом приходится на Россию.

В случае с DoS-уязвимостью единственный способ восстановить контроль над устройством — это переключить питание, для чего потребуется физический доступ к устройству.

Вторая уязвимость, выход за границы, может позволить злоумышленнику получить доступ и перезаписать элементы на устройстве, что приведет к сбою или повреждению данных, что может вызвать неработоспособность системы, а в некоторых случаях привести к необратимому повреждению устройства.

Админам и ИБ на предприятиях следует внимательно ознакомиться с соответствующими рекомендациями Moxa по уязвимостям.

Последнее китайское предупреждение для клиентов Atlassian.

Разворачивается активная кампания с использованием критической CVE-2022-26138 в в приложении Questions for Confluence, связанной с возможностью использования жестко закодированных данных для получения неограниченного доступа к страницам в Confluence.

В прошлый раз мы уже сообщали об утечке этих данных в даркнет и начале эксплуатации с их использованием непропатченных Confluence Server и Data Center. По данным Atlassian, приложение насчитывает более 8000 установок.

Ошибка затрагивает вопросы для Confluence версий 2.7.34, 2.7.35 и 3.0.2 и была устранена с выпуском версий 2.7.38 (совместимых с Confluence с 6.13.18 по 7.16.2) и 3.0.5 (совместимых с Confluence 7.16.3 и выше).

К настоящему времени Shadowserver и Grey Noise уже фиксируют активное использование уязвимости в дикой природе.

А Rapid7 и вовсе указывают на то, что некоторые атаки были инициированы еще до задолго до того, как Atlassian выпустила свое предупреждение.

Французские СМИ сообщают о задержании ключевого участника хакерской группы ShinyHunters, представленной на RaidForums.

21-летний француз, бывший студент-информатик школы Epitech в Нанси (Мерт-и-Мозель), Себастьен Рауль из Эпиналя был арестован 1 июня.

В день ареста Себастьен, у которого закончилась трехмесячная туристическая виза, собирался вылететь в Брюссель из аэропорта Рабата.

Предъявив паспорт, он был арестован по требованию Интерпола на основании запроса об экстрадиции, поступившего незадолго до вылета из прокуратуры США.

В США ему грозит до 116 лет лишения свободы за киберпреступления.

И не удивительно, достаточно вспомнить атаку на T-Mobile, о которой мы ранее сообщали, в результате которой в даркнет утекли более 70 миллионов записей абонентов.

ShinyHunters также отметились дерзкими нападениями на Mashable, 123RF, Minted, Couchsurfing, Animal Jam и других увесистых жертв.

Помимо Себастьена, который сейчас чалится в камере тюрьмы Тифлет 2 к востоку от Рабата, в запросе фигурируют еще четыре человека, имена которых мы, вероятно, уже совсем скоро узнаем.

Все они, как выясняется, уже несколько месяцев находятся в активной разработке ФБР США.

Ресерчеры Лаборатории Касперского обнаружили атаку на цепочку поставок с использованием вредоносных пакетов npm, нацеленную на пользователей Discord.

Для справки npm - один из самых популярных менеджеров пакетов для JavaScript с более чем 11 миллионами пользователей.

Специалисты заявили, что обнаружили четыре подозрительных пакета в популярном репозитории npm. Кампания, в которой используется вредоносный код Python и JavaScript, получила название LofyLife.

Целью LofyLife, по-видимому, является кража токенов Discord и сведений о данных банковских карт пользователей.

Со слов исследователей Игоря Кузнецова и Леонида Безвершенко вредоносная программа Python представляет собой модифицированную версию регистратора токенов с открытым исходным кодом под названием Volt Stealer.

Он предназначен для кражи токенов Discord с зараженных машин вместе с IP-адресом жертвы и загрузки их через HTTP.

Малварь на JavaScript назвали Lofy Stealer и по мнению исследователей она была создана для заражения клиентских файлов Discord с целью отслеживания действий жертвы.

Lofy Stealer определяет, когда пользователь входит в систему, меняет адрес электронной почты или пароль, включает/отключает многофакторную аутентификацию и добавляет новые способы оплаты, включая полные данные банковской карты.

Собранная информация также загружается на удаленный хост, адрес которого жестко запрограммирован.

Исследователь Гарвуд Панг из Tigera вовсе рассказал, как украденные токены Discord могут быть использованы в последующих фишинговых атаках против друзей и контактов жертв.

LofyLife является очередным примером растущей угрозы для сообщества разработчиков и пользователей, когда разработчики непреднамеренно загружают вредоносное ПО, поскольку они используют пакеты с открытым исходным кодом в работе.

Nozomi Networks обнаружили уязвимость с оценкой CVSS 7,4 в IP-камерах Dahua, которая позволяет полностью контролировать устройства.

CVE-2022-30563 затрагивает реализацию механизма аутентификации WS-UsernameToken Open Network Video Interface Forum (ONVIF) в некоторых IP-камерах Dahua.

Продукты, совместимые с ONVIF, позволяют пользователям выполнять различные действия на удаленном устройстве с помощью набора стандартизированных интерфейсов прикладного программирования (API), включая просмотр видеозаписи с камеры, блокировку или разблокировку умной двери и выполнение операций по обслуживанию.

Уязвимость может быть использована злоумышленниками для компрометации сетевых камер посредством перехвата незашифрованного взаимодействия ONVIF и повторного использования учетных данных в новом запросе к камере, которые будут приняты устройством как действительные аутентифицированные запросы.

Злоумышленники, в частности АРТ, могут быть заинтересованы во взломе IP-камер в рамках шпионских кампаний в отношении оборудования или производственных процессов цели. Информация может обеспечить решение задач по разведке, проводимой до начала кибератаки.

Получив учетные данные, злоумышленник также может добавить учетную запись администратора и использовать ее для получения полного доступа к устройству.

Затронуты следующие версии видеопродуктов Dahua: Dahua ASI7XXX версий до v1.000.0000009.0.R.220620; Dahua IPC-HDBW2XXX версий до v2.820.0000000.48.R.220614; Dahua IPC-HX2XXX версий до v2.820.0000000.48.R.220614.

Производитель устранил проблему, выпустив соответствующее исправление.

Касаемо Почты России имеем сказать следующее.

До нас доходили слухи о весьма оригинальной кадровой политике Почты в области инфосека.

Случившаяся утечка свидетельствует, что слухи скорее всего оказались правдой.

Пора уже давно понять, что практика "...а информационной безопасностью будет рулить вон тот парень, потому что он пиздатый" в госорганах и госкорпорациях ни к чему хорошему не приведет. Особенно на фоне происходящих кибервойн.

И вообще, несмотря на общее слово в терминах "информационная безопасность" и "безопасность" в традиционном смысле (физическая, экономическая и т.д.) - это две достаточно далекие друг от друга сферы человеческой деятельности.

Как в анекдоте про "сливочную", в которой не сливки делали, а говно сливали.

Alphv, также известные как BlackCat, атаковали энергетическую компанию Creos Luxembourg, под управлением контрой находится электросеть и газопровод герцогства.

На прошлой неделе системы компании подверглись кибератаке.

И несмотря на то, что атака не повлияла на подачу электроэнергии и газа, IT-инфраструктура компании была выведена из строя. Клиентские порталы Creos и Enovos все еще лежат.

Как отметил, Бретт Кэллоу, аналитик из Emsisoft, Alphv разместила Creos Luxembourg на сайте DLS.

Злоумышленники утверждают, что украли более 150 ГБ файлов, включая контракты, соглашения, паспорта, счета и электронные письма.

Повторить инцидент своих предшественников BlackMatter, связанный с атакой на Colonial Pipeline, который привел к сбоям в поставок энергоносителей в США, Alphv не удалось, но в условиях наступающего энергокризиса определенно должно вызывать тревогу у их европейских коллег.

Китайская инфосек-компания Rising выпустила бесплатную утилиту дешифрования ransomware SafeSound.

Малварь распространяется через игровые плагины, такие как Cross Fire и Jedi Survival. Зашифрованным файлам присваивается расширение SafeSound.

Программа-вымогатель использует RC4 для шифрования файлов, а ключи также шифруются с использованием других симметричных алгоритмов.

После шифрования файлов на диске размещается исполняемая программа Antidote.exe, котоарая включает заметку о выкупе и предоставленный SafeSound Ransomware дешифратор. Переговоры о выкупе реализуются через WeChat.

Инструмент расшифровки написан на python3 и предоставляет исполняемую программу EXE. Дешифратор расшифрует и восстановит зараженные файлы, создав новый расшифрованный файл (без удаления зашифрованного вирусом файла).

Поскольку ключ не передается по сети и хранится локально, его можно расшифровать с помощью дешифратора SafeSound, предоставленного Rising.

Важно, что после заражения пользователям не рекомендуется удалять или восстанавливать систему для обеспечения сохранности локальной среды, ведь изменения могут привести к потере файла локального ключа.

После запуска инструмента расшифровки он автоматически ведет поиск файл ключа в каталоге C:\Windows\Temp и, если он будет найден, напрямую расшифровывает файл ключа. В противном случае - он может быть импортирован вручную из записки о выкупе.

🥷Хакеры "Adrastea" заявили о взломе ведущего европейского разработчика и производителя ракетных систем 🚀MBDA

На хакерском форуме Ex***t появилась информация о том, что пользователь под ником "Adrastea" заявил о взломе MBDA, хакерам удалось скачать около 60 Гб. По словам злоумышленников, загруженные данные содержат закрытую информацию о сотрудниках компаний, принимавших участие в разработке закрытых военных проектов:

"Здравствуйте! Мы "Адрастея" - группа независимых специалистов и исследователей в области кибербезопасности. Мы обнаружили критические уязвимости в инфраструктуре сетей и получили доступ к файлам и конфиденциальным данным компании.

В настоящее время объем скачанных данных составляет около 60 Гб. Загруженные данные содержат закрытую информацию о сотрудниках компаний, принимавших участие в разработке закрытых военных проектов MBDA (PLANCTON, CRONOS, CA SIRIUS, EMADS, MCDS, B1NT и др.) и о коммерческой деятельности в интересах Министерства обороны Европейского Союза (конструкторская документация ПВО, ракетных систем и систем береговой защиты, чертежи, презентации, видео и фото (3D) материалы, контрактные соглашения и переписка с другими компаниями Rampini Carlo, Netcomgroup, Rafael, Thales, ST Electronics и др.) "

📱В качестве пруфа хакеры выложили скриншоты чертежей, внутренние фотографии и ссылку на "демо". 💰Цену за утечку хакеры решили обсуждать с потенциальным покупателем индивидуально.

👆Является ли утечка реальной - неизвестно.

Volexity уже более года наблюдают, как северокорейская APT Kimsuki использует вредоносное расширение браузера для Google Chrome, Microsoft Edge и Naver Whale для кражи электронной корреспонденции в рамках продолжающейся шпионской кампании.

Расширение, получившее название Sharpext, поддерживает кражу данных как из Gmail, так и из веб-почты AOL, активно развивается и применялось в целевых атаках.

При этом Volexity убеждены, что злоумышленник смог успешно украсть тысячи электронных писем от нескольких жертв посредством развертывания вредоносного ПО.

Расширение развертывается вручную на ранее скомпрометированных системах и требует от злоумышленника заменить файлы настроек браузера модифицированными.

Процесс развертывания Sharpext очень индивидуален, поскольку злоумышленник должен сначала получить доступ к исходному файлу настроек безопасности браузера жертвы.

Затем этот файл модифицируется и используется для вредоносного расширения. В каждом случае создавалась отдельная папка для зараженного пользователя, содержащая необходимые файлы для расширения.

Сценарий PowerShell используется для остановки процесса браузера, чтобы включить эксфильтрацию необходимых файлов. После развертывания расширения другая оболочка PowerShell позволяет DevTools проверять содержимое вкладки, к которой обращается пользователь, и извлекать интересующие данные.

Поскольку само расширение не содержит явного вредоносного кода, оно не обнаруживается антивирусными решениями, как отмечает Volexity. Расширение также позволяет злоумышленникам динамически обновлять свой код, не переустанавливая его на зараженную машину.

Sharpext поддерживает списки адресов электронной почты, которые следует игнорировать, ранее украденные электронные письма и вложения, а также отслеживаемые вкладки, чтобы избежать повторной кражи одних и тех же данных. Он также мониторит за доменами, которые посещает жертва.

Похищая данные электронной почты в контексте уже вошедшего в систему сеанса пользователя, атака скрыта от поставщика услуг электронной почты, что делает обнаружение очень сложным. Поэтому и подозрительная активность не будет учтена на странице состояния активности электронной почты пользователя.

В целом, SharpTongue реализует выделение людей, работающих в организациях в США, Европе и Южной Корее, которые работают над темами, связанными с Северной Кореей, ядерными проблемами, системами вооружений и другими вопросами, представляющими стратегический интерес для Северной Кореи.

Исследователи CloudSEK обнаружили 3207 мобильных приложений, которые раскрывают ключи Twitter API.

Нарушение потенциально позволяет злоумышленникам завладеть учетными записями пользователей Twitter для создания в армии ботов и продвижения фейковых новостей, реализации кампаний по распространению вредоносного ПО или других мошеннических действий.

В рамках интеграции мобильных приложений с Twitter разработчикам предоставляются специальные ключи аутентификации или токены, которые позволят взаимодействовать с API Twitter.

Ключи позволяют приложению действовать от имени пользователя, например, входить в систему через Twitter, постить твиты, отправлять DM, читать личные сообщения, управлять подписотой, а также настройками аккаунта.

CloudSEK объясняет, что утечка ключей API обычно является результатом ошибок разработчиков, которые встраивают свои ключи аутентификации в API Twitter, но забывают удалить их по окончании разработки, оставляя их, как правило, в resources/res/values/strings.xml, source/resources/res/values-es-rAR/strings.xml, source/resources/res/values-es-rCO/strings.xml или source/sources/com/app-name/BuildConfig.java.

Список всех уязвимых приложений не раскрывается, поскольку большинство их разработчиков спустя месяц еще не подтвердили получение уведомлений CloudSEK. Однако, по данным ресерчеров, среди них есть и имеющие от 50 000 до 5 000 000 загрузок.

Исключением к настоящему моменту стала лишь компания Ford Motors, которая отреагировала и развернула исправление в приложении Ford Events, из-за которого также происходила утечка ключей API Twitter.

Полагаем, что Макс одним из первых ознакомился с результаты исследования, если и вовсе не был соавтором.

Операторы вредоносного ПО Gootkit, работающие по схеме Access-as-a-Service (AaaS), вновь возвращаются на этот раз с обновленной тактикой для компрометации целевых систем.

Trend Micro сообщают, что если в прошлом Gootkit использовал бесплатные установщики для маскировки вредоносных файлов, то теперь в ход пошли юридические документы в качестве приманки для загрузки файлов.

Выводы основаны на предыдущем отчете eSentire: в январе сообщалось о широко распространенных атаках, направленных на сотрудников бухгалтерских и юридических фирм с целью развертывания вредоносных программ на зараженных системах.

Gootkit является частью растущей подпольной экосистемы брокеров доступа, которые, как известно, предоставляют другим злоумышленникам доступ к корпоративным сетям за определенную плату, прокладывая путь для реальных вредоносных атак, таких как ransomware.

Известно, что Gootkit использует безфайловые методы для доставки таких угроз, как SunCrypt и REvil (Sodinokibi), трояны Kronos и Cobalt Strike.

Цепочка атак начинается с того, что пользователь ищет определенную информацию в поисковой системе. Злоумышленники используют технику черного SEO, чтобы отобразить в результатах поиска сайт, скомпрометированный операторами Gootkit.

Он представлен как онлайн-форум, непосредственно отвечающий на его запрос. На этом форуме был размещен ZIP-архив, содержащий вредоносный файл .js, который используется для обеспечения персистентности и размещения двоичного файла Cobalt Strike в памяти зараженной системы.

ZIP-файл, со своей стороны, включает в себя файл JavaScript, который загружает двоичный файл Cobalt Strike, инструмент, используемый для действий после эксплуатации, который запускается непосредственно в памяти без файлов.

Двоичный файл Cobalt Strike, загруженный непосредственно в память системы жертвы, обращается к IP-адресу 89[.]238[.]185[.]13, который выступает в качестве Cobalt Strike C2.

По результатам исследований, ресерчеры полагают, что Gootkit Loader все еще активно разрабатывается и совершенствует свои методы.

Пользователи, вероятно, столкнутся с Gootkit в последующих кампаниях, и вполне вероятно, что он будет использовать новые средства отлова жертв.