Дабы получить заветный барыш разработчикам ransomware порой приходится проявлять гибкость и изобретательность, особенно в вопросах ценообразования.
Творческий подход применили разработчики программы-вымогателя HardBit в новой версии 2.0 своей ПО, предусмотрев помимо шифрования файлов опцию согласования суммы выкупа в зависимости от объема страхового возмещения.
По данным компании Varonis, малварь HardBit впервые была замечена в дикой природе еще в октябре 2022 года и к концу ноября была обновлена до версии 2.0, которая в настоящее время гуляет по сети.
Как утверждают злоумышленники, они крадут конфиденциальные данные своих жертв и сливают их, если выкуп не будет выплачен.
Однако у HardBit нет публичного места для утечек данных, куда сбрасываются скомпрометированные материалы.
Также злоумышленники уверяют, что они не используют тактику двойного вымогательства, когда угрожают жертве раскрытием их конфиденциальных данных.
Интересной особенностью группировки является то, что помимо шифрования файлов жертвы, HardBit ослабляет безопасность хостов, отключая функции защиты от программ-шпионов, мониторинга поведения, защиты файлов и сканирования процессов в реальном времени через реестр Windows.
HardBit способен добавить себя в папку автозагрузки Windows и удалить теневые копии тома, чтобы затруднить восстановление данных.
По сравнению с менее продвинутыми штаммами программ-вымогателей, которые записывают зашифрованные данные в новый файл и удаляют исходный, настроенные для шифрования в HardBit файлы сначала открываются, а затем перезаписываются.
Специалисты считают, что это попытка направлена на затруднение возможности восстановления файлов.
Если жертва попала под раздачу HardBit, то первое что она увидит, так это примечание о выкупе, в котором изначально не сообщается, сколько ей необходимо заплатить.
Вместо этого, в записке предлагается связаться с злоумышленниками в течение 48 часов через службу зашифрованных сообщений Tox для обсуждения выкупа. Злоумышленники заранее предостерегают от работы с посредниками, поскольку это приведет лишь к росту цены.
Изюминкой HardBit является предлагаемая жертвам возможность согласовать приемлемую для сторон переговоров сумму, ориентируясь при этом на условия киберстрахования (если таковое осуществлялось).
В примечании даже прямо утверждается, что обмен информацией о страховании выгоден для жертвы, потому что, как правило, страховщики препятствуют выплате и восстановлению данных.
Оценят ли фишку страховщики - будем посмотреть.
Творческий подход применили разработчики программы-вымогателя HardBit в новой версии 2.0 своей ПО, предусмотрев помимо шифрования файлов опцию согласования суммы выкупа в зависимости от объема страхового возмещения.
По данным компании Varonis, малварь HardBit впервые была замечена в дикой природе еще в октябре 2022 года и к концу ноября была обновлена до версии 2.0, которая в настоящее время гуляет по сети.
Как утверждают злоумышленники, они крадут конфиденциальные данные своих жертв и сливают их, если выкуп не будет выплачен.
Однако у HardBit нет публичного места для утечек данных, куда сбрасываются скомпрометированные материалы.
Также злоумышленники уверяют, что они не используют тактику двойного вымогательства, когда угрожают жертве раскрытием их конфиденциальных данных.
Интересной особенностью группировки является то, что помимо шифрования файлов жертвы, HardBit ослабляет безопасность хостов, отключая функции защиты от программ-шпионов, мониторинга поведения, защиты файлов и сканирования процессов в реальном времени через реестр Windows.
HardBit способен добавить себя в папку автозагрузки Windows и удалить теневые копии тома, чтобы затруднить восстановление данных.
По сравнению с менее продвинутыми штаммами программ-вымогателей, которые записывают зашифрованные данные в новый файл и удаляют исходный, настроенные для шифрования в HardBit файлы сначала открываются, а затем перезаписываются.
Специалисты считают, что это попытка направлена на затруднение возможности восстановления файлов.
Если жертва попала под раздачу HardBit, то первое что она увидит, так это примечание о выкупе, в котором изначально не сообщается, сколько ей необходимо заплатить.
Вместо этого, в записке предлагается связаться с злоумышленниками в течение 48 часов через службу зашифрованных сообщений Tox для обсуждения выкупа. Злоумышленники заранее предостерегают от работы с посредниками, поскольку это приведет лишь к росту цены.
Изюминкой HardBit является предлагаемая жертвам возможность согласовать приемлемую для сторон переговоров сумму, ориентируясь при этом на условия киберстрахования (если таковое осуществлялось).
В примечании даже прямо утверждается, что обмен информацией о страховании выгоден для жертвы, потому что, как правило, страховщики препятствуют выплате и восстановлению данных.
Оценят ли фишку страховщики - будем посмотреть.
Varonis
HardBit 2.0 Ransomware
HardBit is a ransomware threat that targets organizations to extort cryptocurrency payments for the decryption of their data.
Seemingly improving upon their initial release, HardBit version 2.0 was introduced toward the end of November 2022, with samples…
Seemingly improving upon their initial release, HardBit version 2.0 was introduced toward the end of November 2022, with samples…
͏Лаборатория Касперского продолжает ползучую экспансию на российском IT-рынке.
Раньше мы уже рассказывали про покупку ЛК ряда стартапов. Теперь к касперским активам добавилась доля в Ximi Pro, разработчике решений защиты в области контейнеризации.
Собственно, план у нас прежний. Евгений Валентинович скупает всю российскую IT-отрасль. А потом SecAtor покупает Е.В. вместе с IT.
И в Геленджик!
Раньше мы уже рассказывали про покупку ЛК ряда стартапов. Теперь к касперским активам добавилась доля в Ximi Pro, разработчике решений защиты в области контейнеризации.
Собственно, план у нас прежний. Евгений Валентинович скупает всю российскую IT-отрасль. А потом SecAtor покупает Е.В. вместе с IT.
И в Геленджик!
VMware устранила критическую уязвимость в своем корпоративном продукте Carbon Black App Control, которая позволяет получить полный доступ к базовой операционной системе сервера.
VMware Carbon Black App Control — это продукт безопасности, используемый корпоративными защитниками для управления доверенным ПО на критически важных системах и конечных точках.
Уязвимость отслеживается как CVE-2023-20858 и имеет оценку серьезности CVSS 9,1 из 10, затрагивая App Control 8.7.x, 8.8.x и 8.9.x, работающие в операционной системе Microsoft Windows.
О проблеме в частном порядке сообщил исследователь Яри Яаскеля в рамках HackerOne.
Злоумышленник с привилегированным доступом к консоли администрирования App Control может использовать специально созданный ввод, позволяющий получить доступ к базовой серверной ОС.
VMware заявила об отсутствии обходных путей для этой уязвимости, поэтому клиентам необходимо обновиться до версий 8.7.8, 8.8.6 и 8.9.4, чтобы снизить потенциальные риски.
VMware также сообщила об исправлении другой уязвимости (CVE-2023-20855, оценка CVSS: 8,8), связанной с повышением привилегий и раскрытием информации в vRealize Orchestrator, vRealize Automation и Cloud Foundation.
Злоумышленник с неадминистративным доступом к vRealize Orchestrator может использовать специально созданные входные данные для обхода ограничений на синтаксический анализ XML, ведущих к доступу к конфиденциальной информации или возможному повышению привилегий.
Злоумышленники нередко нацеливаются на уязвимости продуктов VMware в своих атаках, поэтому крайне важно устанавливать исправления как можно скорее.
VMware Carbon Black App Control — это продукт безопасности, используемый корпоративными защитниками для управления доверенным ПО на критически важных системах и конечных точках.
Уязвимость отслеживается как CVE-2023-20858 и имеет оценку серьезности CVSS 9,1 из 10, затрагивая App Control 8.7.x, 8.8.x и 8.9.x, работающие в операционной системе Microsoft Windows.
О проблеме в частном порядке сообщил исследователь Яри Яаскеля в рамках HackerOne.
Злоумышленник с привилегированным доступом к консоли администрирования App Control может использовать специально созданный ввод, позволяющий получить доступ к базовой серверной ОС.
VMware заявила об отсутствии обходных путей для этой уязвимости, поэтому клиентам необходимо обновиться до версий 8.7.8, 8.8.6 и 8.9.4, чтобы снизить потенциальные риски.
VMware также сообщила об исправлении другой уязвимости (CVE-2023-20855, оценка CVSS: 8,8), связанной с повышением привилегий и раскрытием информации в vRealize Orchestrator, vRealize Automation и Cloud Foundation.
Злоумышленник с неадминистративным доступом к vRealize Orchestrator может использовать специально созданные входные данные для обхода ограничений на синтаксический анализ XML, ведущих к доступу к конфиденциальной информации или возможному повышению привилегий.
Злоумышленники нередко нацеливаются на уязвимости продуктов VMware в своих атаках, поэтому крайне важно устанавливать исправления как можно скорее.
Исследователи Horizon3 выпустили PoC для критической уязвимости (CVE-2022-39952) в пакете управления доступом к сети FortiNAC от Fortinet.
Fortinet сообщила о проблеме 16 февраля и оценила ее серьезность в 9,8 баллов. Поставщик предупредил, что злоумышленник, не прошедший проверку подлинности, может использовать его для записи произвольных файлов в системе и RCE с наивысшими привилегиями.
Организациям, использующим FortiNAC 9.4.0, с 9.2.0 по 9.2.5, с 9.1.0 по 9.1.7, а также все версии веток 8.8, 8.7, 8.6, 8.5 и 8.3, настоятельно рекомендуется уделять приоритетное внимание применению доступных обновлений безопасности.
Помимо публикации кода эксплойта (доступен в репозитории на GitHub) рессерчеры Horizon3 представили подробное описание уязвимости и способов ее эксплуатации.
PoC включает в себя запись задания cron в /etc/cron.d/, которое срабатывает каждую минуту, чтобы инициировать реверсивную оболочку root для злоумышленника, предоставляя ему возможность RCE.
Аналитики обнаружили, что исправление для CVE-2022-39952 удалило «keyUpload.jsp», конечную точку, которая анализирует запросы на параметр «key», записывает его в файл конфигурации, а затем выполняет сценарий bash «configApplianceXml».
Сценарий bash выполняет команду «распаковать» для только что записанного файла, но непосредственно перед этим сценарий вызывает «cd /». Распаковка позволит размещать файлы по любым путям, если они не выходят за пределы текущего рабочего каталога.
Злоумышленник может создать ZIP-архив, содержащий полезную нагрузку, указав, куда ее нужно извлечь, а затем отправить его на уязвимую конечную точку, используя ключевой параметр.
Параметр «key» гарантирует, что вредоносный запрос достигнет «keyUpload.jsp», который является конечной точкой без проверки подлинности, которую Fortinet удалил в исправленных версиях FortiNAC.
Администраторам FortiNAC настоятельно рекомендуется немедленно выполнить обновление до версии продукта, не подверженной уязвимости CVE-2022-39952: в частности, FortiNAC 9.4.1 или выше, 9.2.6 или выше, 9.1.8 или новее и 7.2. .0 или новее.
Fortinet сообщила о проблеме 16 февраля и оценила ее серьезность в 9,8 баллов. Поставщик предупредил, что злоумышленник, не прошедший проверку подлинности, может использовать его для записи произвольных файлов в системе и RCE с наивысшими привилегиями.
Организациям, использующим FortiNAC 9.4.0, с 9.2.0 по 9.2.5, с 9.1.0 по 9.1.7, а также все версии веток 8.8, 8.7, 8.6, 8.5 и 8.3, настоятельно рекомендуется уделять приоритетное внимание применению доступных обновлений безопасности.
Помимо публикации кода эксплойта (доступен в репозитории на GitHub) рессерчеры Horizon3 представили подробное описание уязвимости и способов ее эксплуатации.
PoC включает в себя запись задания cron в /etc/cron.d/, которое срабатывает каждую минуту, чтобы инициировать реверсивную оболочку root для злоумышленника, предоставляя ему возможность RCE.
Аналитики обнаружили, что исправление для CVE-2022-39952 удалило «keyUpload.jsp», конечную точку, которая анализирует запросы на параметр «key», записывает его в файл конфигурации, а затем выполняет сценарий bash «configApplianceXml».
Сценарий bash выполняет команду «распаковать» для только что записанного файла, но непосредственно перед этим сценарий вызывает «cd /». Распаковка позволит размещать файлы по любым путям, если они не выходят за пределы текущего рабочего каталога.
Злоумышленник может создать ZIP-архив, содержащий полезную нагрузку, указав, куда ее нужно извлечь, а затем отправить его на уязвимую конечную точку, используя ключевой параметр.
Параметр «key» гарантирует, что вредоносный запрос достигнет «keyUpload.jsp», который является конечной точкой без проверки подлинности, которую Fortinet удалил в исправленных версиях FortiNAC.
Администраторам FortiNAC настоятельно рекомендуется немедленно выполнить обновление до версии продукта, не подверженной уязвимости CVE-2022-39952: в частности, FortiNAC 9.4.1 или выше, 9.2.6 или выше, 9.1.8 или новее и 7.2. .0 или новее.
Horizon3.ai
Fortinet FortiNAC CVE-2022-39952 Deep-Dive and IOCs
Fortinet FortiNAC CVE-2022-39952 Deep-Dive and IOCs. This vulnerability allows remote code execution as the root user.
Apple обновила несколько своих недавних рекомендаций по безопасности, добавив новые уязвимости iOS и macOS, в том числе принадлежащие к новому классу ошибок.
В рекомендациях по iOS 16.3 и macOS Ventura 13.2, первоначально выпущенных 23 января, были добавлены три уязвимости.
Одна из них - CVE-2023-23520, связанная с состоянием гонки, влияющей на компонент сообщения о сбоях, который может позволить злоумышленнику читать произвольные файлы с правами root.
По словам технологического гиганта, две другие ошибки затрагивают основной компонент ОС Apple и могут позволить злоумышленнику выполнить произвольный код из своей песочницы или с определенными повышенными привилегиями.
Об этих уязвимостях, отслеживаемых как CVE-2023-23530 и CVE-2023-23531, сообщили исследователи Trellix.
По мнению Trellix, представленные недостатки являются частью нового класса ошибок, которые могут позволить злоумышленникам обходить подпись кода в системах macOS и iOS.
Анализ Trellix был основан на предыдущих исследованиях и эксплойтах, которые фактически использовались в дикой природе для нацеливания на клиентов Apple.
Компания заявляет, что CVE-2023-23530 и CVE-2023-23531 открыли широкий спектр потенциальных новых уязвимостей, которые в настоящее время исследуют ее исследователи.
Ошибки связаны с исследованиями, проведенными известным исследователем CodeColorist, в 2019 и 2020 годах.
Описанные им в то время методы, похоже, вдохновили злоумышленников, которые использовали их в 2021 году, в том числе для доставки шпионского ПО Pegasus на iPhone, а эксплойт, использованный в этих атаках, получил название ForcedEntry.
Apple, безусловно, предприняла шаги для предотвращения эксплуатации, но исследователи Trellix обнаружили, что реализованные меры по смягчению последствий можно обойти.
Злоумышленник, имеющий доступ к целевой системе, может использовать эти уязвимости, чтобы обойти изоляцию процессов в iOS и macOS.
В зависимости от роли и разрешений целевого процесса хакер может получить доступ к конфиденциальной информации (календарю, адресной книге, фотографиям), установить произвольные приложения или шпионить за пользователями.
В дополнение к январским рекомендациям по iOS и macOS Apple также обновила свои рекомендации за февраль, добавив в них уязвимость типа DoS, о которой сообщил исследователь Google.
В рекомендациях по iOS 16.3 и macOS Ventura 13.2, первоначально выпущенных 23 января, были добавлены три уязвимости.
Одна из них - CVE-2023-23520, связанная с состоянием гонки, влияющей на компонент сообщения о сбоях, который может позволить злоумышленнику читать произвольные файлы с правами root.
По словам технологического гиганта, две другие ошибки затрагивают основной компонент ОС Apple и могут позволить злоумышленнику выполнить произвольный код из своей песочницы или с определенными повышенными привилегиями.
Об этих уязвимостях, отслеживаемых как CVE-2023-23530 и CVE-2023-23531, сообщили исследователи Trellix.
По мнению Trellix, представленные недостатки являются частью нового класса ошибок, которые могут позволить злоумышленникам обходить подпись кода в системах macOS и iOS.
Анализ Trellix был основан на предыдущих исследованиях и эксплойтах, которые фактически использовались в дикой природе для нацеливания на клиентов Apple.
Компания заявляет, что CVE-2023-23530 и CVE-2023-23531 открыли широкий спектр потенциальных новых уязвимостей, которые в настоящее время исследуют ее исследователи.
Ошибки связаны с исследованиями, проведенными известным исследователем CodeColorist, в 2019 и 2020 годах.
Описанные им в то время методы, похоже, вдохновили злоумышленников, которые использовали их в 2021 году, в том числе для доставки шпионского ПО Pegasus на iPhone, а эксплойт, использованный в этих атаках, получил название ForcedEntry.
Apple, безусловно, предприняла шаги для предотвращения эксплуатации, но исследователи Trellix обнаружили, что реализованные меры по смягчению последствий можно обойти.
Злоумышленник, имеющий доступ к целевой системе, может использовать эти уязвимости, чтобы обойти изоляцию процессов в iOS и macOS.
В зависимости от роли и разрешений целевого процесса хакер может получить доступ к конфиденциальной информации (календарю, адресной книге, фотографиям), установить произвольные приложения или шпионить за пользователями.
В дополнение к январским рекомендациям по iOS и macOS Apple также обновила свои рекомендации за февраль, добавив в них уязвимость типа DoS, о которой сообщил исследователь Google.
Apple Support
About the security content of iOS 16.3 and iPadOS 16.3
This document describes the security content of iOS 16.3 and iPadOS 16.3.
Ботнет MyloBot ежедневно поддерживает более 50 000 уникальных зараженных систем, большинство из которых расположены в Индии, США, Индонезии и Иране.
Кроме того, анализ инфраструктуры MyloBot показал соединения с резидентным прокси-сервисом под названием BHProxies, что указывает на то, что последние используют скомпрометированные машины для предоставления услуг.
Об угрозе сообщили специалисты из BitSight, которые давно наблюдают за ботнетом.
MyloBot, появившийся на ландшафте угроз в 2017 году, был впервые задокументирован Deep Instinct в 2018 году, где упоминаются его методы антианализа и способность функционирования в качестве загрузчика.
MyloBot считается достаточно опасным, так как имеет способность загружать и запускать любой тип полезной нагрузки после заражения хоста, что позволяет в любой момент установить любой тип вредоносного ПО, которое пожелает злоумышленник.
Фишкой MyloBot является использование многоэтапной последовательности при распаковке и запуске вредоносного ПО.
Причем, вредонос бездействует в течение 14 дней, прежде чем попытается связаться с C2, чтобы обойти обнаружение.
Основная функция ботнета — это установка соединения с жестко запрограммированным доменом C2, встроенным в вредоносное ПО для получения дальнейших инструкций.
Когда Mylobot получает инструкции от C2, он превращает зараженный компьютер в прокси и в итоге зараженная машина используется для обработки подключений и ретрансляции трафика, отправляемого через C2.
Специалисты пришли к выводу, что MyloBot может быть частью чего-то большего, поскольку были обнаружены связи с инфраструктурой C2 ботнета и доменом прокси-сервиса clients.bhproxy[.]com.
Будем посмотреть.
Кроме того, анализ инфраструктуры MyloBot показал соединения с резидентным прокси-сервисом под названием BHProxies, что указывает на то, что последние используют скомпрометированные машины для предоставления услуг.
Об угрозе сообщили специалисты из BitSight, которые давно наблюдают за ботнетом.
MyloBot, появившийся на ландшафте угроз в 2017 году, был впервые задокументирован Deep Instinct в 2018 году, где упоминаются его методы антианализа и способность функционирования в качестве загрузчика.
MyloBot считается достаточно опасным, так как имеет способность загружать и запускать любой тип полезной нагрузки после заражения хоста, что позволяет в любой момент установить любой тип вредоносного ПО, которое пожелает злоумышленник.
Фишкой MyloBot является использование многоэтапной последовательности при распаковке и запуске вредоносного ПО.
Причем, вредонос бездействует в течение 14 дней, прежде чем попытается связаться с C2, чтобы обойти обнаружение.
Основная функция ботнета — это установка соединения с жестко запрограммированным доменом C2, встроенным в вредоносное ПО для получения дальнейших инструкций.
Когда Mylobot получает инструкции от C2, он превращает зараженный компьютер в прокси и в итоге зараженная машина используется для обработки подключений и ретрансляции трафика, отправляемого через C2.
Специалисты пришли к выводу, что MyloBot может быть частью чего-то большего, поскольку были обнаружены связи с инфраструктурой C2 ботнета и доменом прокси-сервиса clients.bhproxy[.]com.
Будем посмотреть.
Bitsight
Mylobot: Investigating a proxy botnet | Bitsight
Read latest research on Mylobot after first appeared in 2017 and main capability, which is transforming the infected system into a proxy.
Краткий обзор инцидентов под занавес короткой недели.
На этой неделе Activision, издатель франшизы Call of Duty, подтвердил нарушение безопасности, которое произошло в начале декабря 2022 года после того, как хакер получил доступ к одному из ее внутренних каналов Slack.
Изначально Activision не раскрывали проблему в намерениях замять инцидент. Однако, после публикации на VX-Underground полученных от злоумышленника скриншотов и внимания прессы разработчикам пришлось раскрыть карты.
Хакеру удалось получить доступ к Slack-каналу Activision после фишинга «привилегированного пользователя».
Злоумышленник также добрался и до корпоративной документации, включая контент, выпуск которого запланирован на 2023 год.
Activision, в свою очередь, опровергла все заявления хакеров.
Произошла крупная утечка RailYatri, в результате чего личные данные более 31 миллиона индийцев в настоящее время продаются на подпольном хакерском форуме.
Разработчик приложения для бронирования жд-билетов совместно с силовиками расследует инцидент.
Вещание Virgin Media Television было временно приостановлено по всей Ирландии после обнаружения попытки неправомерного доступа к системам.
В результате атаки Virgin Media вынуждена была в течение нескольких дней транслировать вместо эфира записи передач на каналах Virgin Media 3, 4, More и VMTV Player.
Из Министерства обороны США утекли конфиденциальные электронные письма из-за того, что кто-то оставил один из своих серверов Azure открытым в Интернет без пароля.
Согласно TechCrunch, на сервере размещались почтовые службы командования специальных операций США.
При этом некоторые из электронных писем, раскрытых в ходе инцидента, также содержали анкеты SF-86, которые использовались сотрудниками Минобороны для подачи заявок на допуск к секретным сведениям.
На этой неделе Activision, издатель франшизы Call of Duty, подтвердил нарушение безопасности, которое произошло в начале декабря 2022 года после того, как хакер получил доступ к одному из ее внутренних каналов Slack.
Изначально Activision не раскрывали проблему в намерениях замять инцидент. Однако, после публикации на VX-Underground полученных от злоумышленника скриншотов и внимания прессы разработчикам пришлось раскрыть карты.
Хакеру удалось получить доступ к Slack-каналу Activision после фишинга «привилегированного пользователя».
Злоумышленник также добрался и до корпоративной документации, включая контент, выпуск которого запланирован на 2023 год.
Activision, в свою очередь, опровергла все заявления хакеров.
Произошла крупная утечка RailYatri, в результате чего личные данные более 31 миллиона индийцев в настоящее время продаются на подпольном хакерском форуме.
Разработчик приложения для бронирования жд-билетов совместно с силовиками расследует инцидент.
Вещание Virgin Media Television было временно приостановлено по всей Ирландии после обнаружения попытки неправомерного доступа к системам.
В результате атаки Virgin Media вынуждена была в течение нескольких дней транслировать вместо эфира записи передач на каналах Virgin Media 3, 4, More и VMTV Player.
Из Министерства обороны США утекли конфиденциальные электронные письма из-за того, что кто-то оставил один из своих серверов Azure открытым в Интернет без пароля.
Согласно TechCrunch, на сервере размещались почтовые службы командования специальных операций США.
При этом некоторые из электронных писем, раскрытых в ходе инцидента, также содержали анкеты SF-86, которые использовались сотрудниками Минобороны для подачи заявок на допуск к секретным сведениям.
TechCrunch
Sensitive US military emails spill online | TechCrunch
A security researcher told TechCrunch that a government server was exposing military emails to the internet because no password was set.
Исследователи Symantec сообщают о новом специальном RAT под названием Atharvan, задействованном в целевых атаках на объекты в сфере исследования материалов.
Symantec отслеживает злоумышленника как АРТ Clasiopa, связанная, по мнению исследователей, с Индией. Однако атрибуция остается неясной в силу отсутствия четкой доказательственной базы.
Ресерчеры полагают, что в качестве первоначального вектора заражения, реализуемого Clasiopa, используется брут для получения доступа к общедоступным серверам.
После компрометации злоумышленники выполняют различные действия, в том числе: проверяют IP-адреса, отключают решения защиты, развертывают вредоносные ПО для сканирования файловой системы и эксфильтрации, чистят журналы Sysmon и журналы событий, а также создают запланированной задачи для вывода списка имен файлов.
В ходе атак хакеры использовали два бэкдора: пользовательский Atharvan и Lilith RAT с открытым исходным кодом. Последний можно использовать для выполнения команд, запуска сценариев PowerShell и управления процессами в взломанной системе.
Наряду с бэкдором Clasiopa также использовала легальное ПО: Agile DGS и Agile FD, подписанное устаревшими сертификатами.
Кроме того, на вооружении Clasiopa состоит собственный прокси-инструмент и Thumbsender (утилита, которая составляет список файлов на хосте и сохраняет их локально в базе данных, которую можно эксфильтровать позже на указанный IP-адрес).
При этом Atharvan — пожалуй, самый интересный из инструментов в арсенале группы, потому как бэкдор не встречался ни в одной другой атаке в дикой природе.
После выполнения он создает мьютекс, чтобы предотвратить запуск нескольких процессов, а затем связывается с жестко запрограммированным адресом C2 в на Amazon Web Services в Сеуле (Южная Корея). Связь с C2 форматируется под HTTP POST-запросы к серверу обновлений Microsoft.
Еще одна необычная функция заключается в том, что его можно настроить для связи с C2 по расписанию и даже для попыток соединения в определенные дни недели или месяца.
Что касается его возможностей, Atharvan загружает файлы на скомпрометированный компьютер, запускает исполняемые файлы, выполняет команды и отправляет их обратно.
Связь Atharvan с C2 защищена с помощью простого алгоритма XOR каждого байта открытого текста со значением «2» для получения зашифрованного текста, что оказывается достаточным для обхода некоторых инструментов мониторинга сетевого трафика.
На географическую привязку АРТ указывает мьютекс на хинди, обнаруженный исследователями в пользовательском бэкдоре SAPTARISHI-ATHARVAN-101, где Атхарван - это отсылка к легендарному жрецу из ведической мифологии, сыну Брахмы, Творца.
Другая подсказка — пароль, который злоумышленник использовал для ZIP-архива: iloveindea1998^_^. По нашему мнению, представленные артефакты больше указывают на атаку под чужим флагом для запугивания атрибуции.
В настоящее время злоумышленник нацелился на жертв в Азии. Несмотря на то, что цели Clasiopa на данный момент четко не определены, но совокупность факторов позволяют выделить кибершпионаж.
В отчете Symantec представлен набор хэшей вредоносных ПО, обнаруженных в ходе кампаний, приписываемых Clasiopa, индикаторы компрометации и разбор всех используемых инструментов.
Symantec отслеживает злоумышленника как АРТ Clasiopa, связанная, по мнению исследователей, с Индией. Однако атрибуция остается неясной в силу отсутствия четкой доказательственной базы.
Ресерчеры полагают, что в качестве первоначального вектора заражения, реализуемого Clasiopa, используется брут для получения доступа к общедоступным серверам.
После компрометации злоумышленники выполняют различные действия, в том числе: проверяют IP-адреса, отключают решения защиты, развертывают вредоносные ПО для сканирования файловой системы и эксфильтрации, чистят журналы Sysmon и журналы событий, а также создают запланированной задачи для вывода списка имен файлов.
В ходе атак хакеры использовали два бэкдора: пользовательский Atharvan и Lilith RAT с открытым исходным кодом. Последний можно использовать для выполнения команд, запуска сценариев PowerShell и управления процессами в взломанной системе.
Наряду с бэкдором Clasiopa также использовала легальное ПО: Agile DGS и Agile FD, подписанное устаревшими сертификатами.
Кроме того, на вооружении Clasiopa состоит собственный прокси-инструмент и Thumbsender (утилита, которая составляет список файлов на хосте и сохраняет их локально в базе данных, которую можно эксфильтровать позже на указанный IP-адрес).
При этом Atharvan — пожалуй, самый интересный из инструментов в арсенале группы, потому как бэкдор не встречался ни в одной другой атаке в дикой природе.
После выполнения он создает мьютекс, чтобы предотвратить запуск нескольких процессов, а затем связывается с жестко запрограммированным адресом C2 в на Amazon Web Services в Сеуле (Южная Корея). Связь с C2 форматируется под HTTP POST-запросы к серверу обновлений Microsoft.
Еще одна необычная функция заключается в том, что его можно настроить для связи с C2 по расписанию и даже для попыток соединения в определенные дни недели или месяца.
Что касается его возможностей, Atharvan загружает файлы на скомпрометированный компьютер, запускает исполняемые файлы, выполняет команды и отправляет их обратно.
Связь Atharvan с C2 защищена с помощью простого алгоритма XOR каждого байта открытого текста со значением «2» для получения зашифрованного текста, что оказывается достаточным для обхода некоторых инструментов мониторинга сетевого трафика.
На географическую привязку АРТ указывает мьютекс на хинди, обнаруженный исследователями в пользовательском бэкдоре SAPTARISHI-ATHARVAN-101, где Атхарван - это отсылка к легендарному жрецу из ведической мифологии, сыну Брахмы, Творца.
Другая подсказка — пароль, который злоумышленник использовал для ZIP-архива: iloveindea1998^_^. По нашему мнению, представленные артефакты больше указывают на атаку под чужим флагом для запугивания атрибуции.
В настоящее время злоумышленник нацелился на жертв в Азии. Несмотря на то, что цели Clasiopa на данный момент четко не определены, но совокупность факторов позволяют выделить кибершпионаж.
В отчете Symantec представлен набор хэшей вредоносных ПО, обнаруженных в ходе кампаний, приписываемых Clasiopa, индикаторы компрометации и разбор всех используемых инструментов.
Security
Clasiopa: New Group Targets Materials Research
Group uses distinct toolset but there are few clues to its origins.
News Corp вынуждена была признать, что на протяжении двух лет в ее сети орудовали хакеры, о чем указала в уведомлениях об утечке.
Медиагигант раскрыл взлом в 2022 году, а позже в результате расследования пришел к выводу, что хакеры впервые получили доступ к системам двумя годами ранее, в феврале 2020 года.
Инцидент затронул несколько новостных подразделений издательского конгломерата, включая The Wall Street Journal, New York Post и его новостные подразделения в Великобритании, чью электронную почту и систему хранения документов актор взял под контроль.
Вообще к активам News Corp отностястя New York Post, The Wall Street Journal, Dow Jones, MarketWatch, Fox News, Barron's, The Sun и издатель британских газет News UK, среди прочих.
Расследование показало, что вредоносная деятельность не имела цели кради личной информации. Сообщения о компрометации личных данных или мошенничестве не поступали.
Тем не менее, по данным News Corp, злоумышленники получили доступ к личным данным, включая установочные данные, номера паспортов, соцстрахования и водительских прав, счетах и медобслуживании.
Впервые раскрыв киберинцидент еще в прошлом году, медиахолдинг со ссылкой на Mandiant поспешил обвинить в атаке и шпионаже китайские АРТ, что в целом не вызывает удивления.
Единственный вопрос - какие ваши доказательства?
Медиагигант раскрыл взлом в 2022 году, а позже в результате расследования пришел к выводу, что хакеры впервые получили доступ к системам двумя годами ранее, в феврале 2020 года.
Инцидент затронул несколько новостных подразделений издательского конгломерата, включая The Wall Street Journal, New York Post и его новостные подразделения в Великобритании, чью электронную почту и систему хранения документов актор взял под контроль.
Вообще к активам News Corp отностястя New York Post, The Wall Street Journal, Dow Jones, MarketWatch, Fox News, Barron's, The Sun и издатель британских газет News UK, среди прочих.
Расследование показало, что вредоносная деятельность не имела цели кради личной информации. Сообщения о компрометации личных данных или мошенничестве не поступали.
Тем не менее, по данным News Corp, злоумышленники получили доступ к личным данным, включая установочные данные, номера паспортов, соцстрахования и водительских прав, счетах и медобслуживании.
Впервые раскрыв киберинцидент еще в прошлом году, медиахолдинг со ссылкой на Mandiant поспешил обвинить в атаке и шпионаже китайские АРТ, что в целом не вызывает удивления.
Единственный вопрос - какие ваши доказательства?
www.documentcloud.org
News Corp Feb 2023 data breach notification
Cisco выпустила исправления для двух критических уязвимостей, затрагивающих компоненты Application Centric Infrastructure (ACI).
Первый баг CVE-2023-20011 влияет на интерфейс управления Application Policy Infrastructure Controller (APIC), который по факту является единой точкой автоматизации и управления для ACI.
Уязвимость может быть использована удаленным злоумышленником, не прошедшим проверку подлинности для проведения атак с подделкой межсайтовых запросов (CSRF), заставляя пользователя перейти по вредоносной ссылке.
В случае успеха злоумышленник будет способен выполнять действия в целевой системе с привилегиями скомпрометированного юзера.
Вторая проблема CVE-2023-20089, влияет на коммутаторы Cisco Nexus серии 9000 Fabric в режиме ACI и может быть использована злоумышленником, не прошедшим проверку подлинности для DoS-атак.
Однако производитель отмечает, что для эксплуатации этой баги необходимо выполнение определенных условий.
Оба недостатка были обнаружены собственными усилиями и соответственно нет никаких доказательств их злонамеренного использования.
С выходом последних исправлений Cisco пофиксила несколько недостатков средней степени серьезности в линейке своих продуктов UCS Manager, FXOS, NX-OS, а также устройствах Firepower и Nexus.
Помимо прочего, ИТ-гигант выпустил рекомендации по проблеме повышения привилегий, связанной с продуктами, работающими под управлением ПО NX-OS и настроенными для аутентификации SSH с сертификатом X.509v3.
Кроме того, обновлены рекомендации по недавно устраненной критической уязвимости CVE-2023-20032, затрагивающей библиотеку ClamAV, предоставив необходимую техническую информацию и PoC.
Первый баг CVE-2023-20011 влияет на интерфейс управления Application Policy Infrastructure Controller (APIC), который по факту является единой точкой автоматизации и управления для ACI.
Уязвимость может быть использована удаленным злоумышленником, не прошедшим проверку подлинности для проведения атак с подделкой межсайтовых запросов (CSRF), заставляя пользователя перейти по вредоносной ссылке.
В случае успеха злоумышленник будет способен выполнять действия в целевой системе с привилегиями скомпрометированного юзера.
Вторая проблема CVE-2023-20089, влияет на коммутаторы Cisco Nexus серии 9000 Fabric в режиме ACI и может быть использована злоумышленником, не прошедшим проверку подлинности для DoS-атак.
Однако производитель отмечает, что для эксплуатации этой баги необходимо выполнение определенных условий.
Оба недостатка были обнаружены собственными усилиями и соответственно нет никаких доказательств их злонамеренного использования.
С выходом последних исправлений Cisco пофиксила несколько недостатков средней степени серьезности в линейке своих продуктов UCS Manager, FXOS, NX-OS, а также устройствах Firepower и Nexus.
Помимо прочего, ИТ-гигант выпустил рекомендации по проблеме повышения привилегий, связанной с продуктами, работающими под управлением ПО NX-OS и настроенными для аутентификации SSH с сертификатом X.509v3.
Кроме того, обновлены рекомендации по недавно устраненной критической уязвимости CVE-2023-20032, затрагивающей библиотеку ClamAV, предоставив необходимую техническую информацию и PoC.
͏В 2022 году практически каждый второй день происходила утечка данных.
К такому неутешительному выводу пришли эксперты Лаборатории Касперского в отчёте о значимых утечках в 2022 году.
Согласно данным отчёта, в прошлому году в результате 168 значимых утечек было опубликовано около 300 миллионов пользовательских данных, 16% из которых содержали парольную информацию.
Какой будет прогноз на 2023 год?
Эксперты предполагают, что в этом году количество утечек пользовательских данных увеличится на 20%, а основной удар злоумышленников будет направлен на сферу ритейла.
Более подробно об утечках 2022 года в цифрах, реакции бизнеса и мерах, которые необходимо предпринять компании при утечке – в отчёте от Лаборатории Касперского по ссылке.
К такому неутешительному выводу пришли эксперты Лаборатории Касперского в отчёте о значимых утечках в 2022 году.
Согласно данным отчёта, в прошлому году в результате 168 значимых утечек было опубликовано около 300 миллионов пользовательских данных, 16% из которых содержали парольную информацию.
Какой будет прогноз на 2023 год?
Эксперты предполагают, что в этом году количество утечек пользовательских данных увеличится на 20%, а основной удар злоумышленников будет направлен на сферу ритейла.
Более подробно об утечках 2022 года в цифрах, реакции бизнеса и мерах, которые необходимо предпринять компании при утечке – в отчёте от Лаборатории Касперского по ссылке.
͏Американский телегигант и оператор спутникового вещания Dish Network упал в глубокий офлайн и до сих пор не доступен.
Причиной сбоя, по всей видимости, стала атака с использованием ransomware. На данный момент отключен официальный сайт Dish.com и фактически все принадлежащие корпорации веб-ресурсы и сети, а также не работает приложение Dish Anywhere.
Клиенты сообщают, что телефонные номера колл-центра компании также недоступны. На главной странице висит сообщение о том, что в компании работают круглосуточно и без выходных, чтобы разрешить инцидент.
Кроме того, клиенты столкнулись с проблемой аутентификации при входе в приложения телеканалов MTV и Starz, с помощью своих учетных данных Dish, а сотрудники Dish Network на удаленке лишились доступа к своим рабочим системам.
Самое эпичное заключается в том, что клиенты услуг Dish TV не могут установить контакт со службой поддержки, поскольку похоже, что вредоносное ПО разрушило сеть до основания.
Представители компании еще не признали инцидент, но заверили, что сведения об атаке будут предоставлены на этой неделе.
Между тем, сторонний специалист, который провел свое исследование, утверждает, что обнаружил вредоносное ПО PureCrypter, нацеленное на ряд государственных учреждений, в том числе и Dish TV.
В настоящее время информации о причастности конкретной группы вымогателей к атаке на поставщика услуг американского телевидения нет. Но все предположения сводятся к LockBit.
Причиной сбоя, по всей видимости, стала атака с использованием ransomware. На данный момент отключен официальный сайт Dish.com и фактически все принадлежащие корпорации веб-ресурсы и сети, а также не работает приложение Dish Anywhere.
Клиенты сообщают, что телефонные номера колл-центра компании также недоступны. На главной странице висит сообщение о том, что в компании работают круглосуточно и без выходных, чтобы разрешить инцидент.
Кроме того, клиенты столкнулись с проблемой аутентификации при входе в приложения телеканалов MTV и Starz, с помощью своих учетных данных Dish, а сотрудники Dish Network на удаленке лишились доступа к своим рабочим системам.
Самое эпичное заключается в том, что клиенты услуг Dish TV не могут установить контакт со службой поддержки, поскольку похоже, что вредоносное ПО разрушило сеть до основания.
Представители компании еще не признали инцидент, но заверили, что сведения об атаке будут предоставлены на этой неделе.
Между тем, сторонний специалист, который провел свое исследование, утверждает, что обнаружил вредоносное ПО PureCrypter, нацеленное на ряд государственных учреждений, в том числе и Dish TV.
В настоящее время информации о причастности конкретной группы вымогателей к атаке на поставщика услуг американского телевидения нет. Но все предположения сводятся к LockBit.
LastPass, принадлежащая GoTo (ранее LogMeIn) и имеющая более 30 миллионов пользователей, раскрыла новые подробности киберинцидентов, которые сотрясали компанию, начиная с августа 2022 года, когда стало известно о краже фрагментов исходного кода.
В январе 2023 года компания призналась, что нарушение имело более масштабный характер и включало утечку сведений в отношении учетных записей, паролей, настроек MFA, а также информации о лицензии.
Как выяснили привлеченные к расследованию специалисты Mandiant, хакеры в рамках длительной таргерованной атаки взломали домашний компьютер DevOp-инженера LastPass, развернув на нем вредоносное ПО, с помощью которого им удалось получить доступ к корпоративным данным на ресурсах облачного хранилища.
Неназванный злоумышленник воспользовался украденными в ходе августовского инцидента данными для планирования и реализации в период с августа по октябрь 2022 года мероприятий по разведке и эксфильтрации данных облачного хранилища.
При этом злоумышленники воспользовались RCE-уязвимостью в стороннем пакете мультимедийного ПО, внедрив кейлоггер на персональный компьютер сотрудника LastPass.
ПослеПосле чего они смогли перехватить мастер-пароль и получить доступ к корпоративному хранилищу инженера DevOps.
Затем злоумышленник экспортировал все доступные записи и содержимое общих папок, которые содержали зашифрованные защищенные заметки с ключами доступа и дешифрования, необходимыми для проникновения в производственную среду, резервные копии AWS S3 LastPass, другие ресурсы облачного хранилища, а также в некоторые критически важные базы данных.
LastPass выпустила отдельный бюллетень под названием «Обновление инцидента безопасности и рекомендуемые действия», который содержит дополнительную информацию о взломе и украденных данных.
Компания также разработала вспомогательные документы с указанием мер, которые следует предпринять клиентам и бизнес-администраторам для повышения безопасности учетных записей.
В январе 2023 года компания призналась, что нарушение имело более масштабный характер и включало утечку сведений в отношении учетных записей, паролей, настроек MFA, а также информации о лицензии.
Как выяснили привлеченные к расследованию специалисты Mandiant, хакеры в рамках длительной таргерованной атаки взломали домашний компьютер DevOp-инженера LastPass, развернув на нем вредоносное ПО, с помощью которого им удалось получить доступ к корпоративным данным на ресурсах облачного хранилища.
Неназванный злоумышленник воспользовался украденными в ходе августовского инцидента данными для планирования и реализации в период с августа по октябрь 2022 года мероприятий по разведке и эксфильтрации данных облачного хранилища.
При этом злоумышленники воспользовались RCE-уязвимостью в стороннем пакете мультимедийного ПО, внедрив кейлоггер на персональный компьютер сотрудника LastPass.
ПослеПосле чего они смогли перехватить мастер-пароль и получить доступ к корпоративному хранилищу инженера DevOps.
Затем злоумышленник экспортировал все доступные записи и содержимое общих папок, которые содержали зашифрованные защищенные заметки с ключами доступа и дешифрования, необходимыми для проникновения в производственную среду, резервные копии AWS S3 LastPass, другие ресурсы облачного хранилища, а также в некоторые критически важные базы данных.
LastPass выпустила отдельный бюллетень под названием «Обновление инцидента безопасности и рекомендуемые действия», который содержит дополнительную информацию о взломе и украденных данных.
Компания также разработала вспомогательные документы с указанием мер, которые следует предпринять клиентам и бизнес-администраторам для повышения безопасности учетных записей.
Эпопея с Activision продолжается и несмотря на заявления разработчиков, что в сеть не попало ничего критичного злоумышленники решили запруфиться и опубликовали на хакерском форуме утечку американского издателя игр.
Утечка содержит данные из 19 444 уникальных записей с полными именами, номерами телефонов, должностями, местонахождением и адресами электронной почты предполагаемых сотрудников Activision.
Дамп предоставляется бесплатно всем участникам форума в текстовом файле, причем хакеры отдельно подчеркнули ценность этих данных для будущих фишинговых кампаний.
Сообщение на форуме было впервые замечено специалистами по анализу угроз FalconFeedsio, которые сообщили о потенциальной утечке данных в своем Twitter.
Как сообщалось ранее, утечка произошла после того, как хакеры обманом заставили сотрудника отдела кадров выдать свои учетные данные с помощью SMS-фишинга, но команда по информационной безопасности быстро отреагировала на инцидент и устранила угрозу.
Тогда производитель видеоигр заверил, что инцидент не скомпрометировал исходный код игры или данные о пользователях, а также сообщил, что любые сведения о предстоящем игровом контенте уже были частью общедоступных маркетинговых материалов.
Более того, в Activision заявили, что после тщательного внутреннего расследования специалисты установили, что злоумышленникам не удалось украсть никаких конфиденциальных данных сотрудников.
Пока не понятны мотивы компании, чьи заявления расходятся с публикацией на форуме и более того утверждениями СМИ, таких как Insider Gaming, которые не поленились и внимательно рассмотрели украденные материалы, после чего сообщили, что они содержат конфиденциальные данные сотрудников просочившиеся в сеть.
Специалисты предупреждают, что общедоступность базы данных увеличивает вероятность того, что в скором времени сотрудники Activision станут жертвами фишинговых атак и атак социальной инженерии.
Утечка содержит данные из 19 444 уникальных записей с полными именами, номерами телефонов, должностями, местонахождением и адресами электронной почты предполагаемых сотрудников Activision.
Дамп предоставляется бесплатно всем участникам форума в текстовом файле, причем хакеры отдельно подчеркнули ценность этих данных для будущих фишинговых кампаний.
Сообщение на форуме было впервые замечено специалистами по анализу угроз FalconFeedsio, которые сообщили о потенциальной утечке данных в своем Twitter.
Как сообщалось ранее, утечка произошла после того, как хакеры обманом заставили сотрудника отдела кадров выдать свои учетные данные с помощью SMS-фишинга, но команда по информационной безопасности быстро отреагировала на инцидент и устранила угрозу.
Тогда производитель видеоигр заверил, что инцидент не скомпрометировал исходный код игры или данные о пользователях, а также сообщил, что любые сведения о предстоящем игровом контенте уже были частью общедоступных маркетинговых материалов.
Более того, в Activision заявили, что после тщательного внутреннего расследования специалисты установили, что злоумышленникам не удалось украсть никаких конфиденциальных данных сотрудников.
Пока не понятны мотивы компании, чьи заявления расходятся с публикацией на форуме и более того утверждениями СМИ, таких как Insider Gaming, которые не поленились и внимательно рассмотрели украденные материалы, после чего сообщили, что они содержат конфиденциальные данные сотрудников просочившиеся в сеть.
Специалисты предупреждают, что общедоступность базы данных увеличивает вероятность того, что в скором времени сотрудники Activision станут жертвами фишинговых атак и атак социальной инженерии.
Insider Gaming
Activision Data Breach Contains Employee Details, Call of Duty’s Future, and More
Insider Gaming has been able to verify the legitimacy of an alleged Activision data breach, which includes employee information.
ESET обнаружила новый бэкдор для эксфильтрации конфиденциальных данных в арсенале северокорейской Lazarus Group.
Полезная нагрузка, связанная с загрузчиком вредоносного ПО Wslink и как WinorDLL64, представляет собой полнофункциональный имплантат, который может извлекать, перезаписывать и удалять файлы, выполнять команды PowerShell, а также получать исчерпывающую информацию о базовой машине.
В числе других функций имеются: перечисление активных сеансов, создание и завершение процессов, сканирование дисков и сжатие каталогов.
Wslink был впервые задокументирован словаками еще в октябре 2021 года и описывался как простой, но надежный загрузчик вредоносных ПО, способный выполнять полученные модули в памяти.
Полезная нагрузка Wslink может быть использована позже для бокового перемещения из-за ее особого функционала в отношении сетевых сеансов.
Загрузчик Wslink прослушивает порт, указанный в конфигурации, и может обслуживать дополнительных подключающихся клиентов и даже загружать различные полезные данные.
Малварь была замечена в единичных целевых атаках, фиксировавшихся в Центральной Европе, Северной Америке и на Ближнем Востоке.
Тогда в марте 2022 года ESET подробно описывала использование вредоносной программой обфускатора расширенной многоуровневой виртуальной машины, позволяющего избежать обнаружения и противостоять обратному инжинирингу.
Атрибуция к Lazarus Group основана на совпадении поведения и кода с предыдущими кампаниями Operation GhostSecret и Bankshot, за которыми стояла АРТ.
В частности, отмечено сходство с образцами GhostSecret, подробно описанными McAfee в 2018 году, которые поставлялись с компонентом сбора данных и установки имплантата, работавшим как служба, отражая то же поведение Wslink.
Кроме того, ресерчеры ESET отметили, что полезная нагрузка попала в базу VirusTotal из Южной Кореи, где базировались некоторые из жертв.
В целом, полученные результаты еще раз показывают насколько обширный арсенал хакерских инструментов применяется Lazarus Group в ходе своих кампаний.
Полезная нагрузка, связанная с загрузчиком вредоносного ПО Wslink и как WinorDLL64, представляет собой полнофункциональный имплантат, который может извлекать, перезаписывать и удалять файлы, выполнять команды PowerShell, а также получать исчерпывающую информацию о базовой машине.
В числе других функций имеются: перечисление активных сеансов, создание и завершение процессов, сканирование дисков и сжатие каталогов.
Wslink был впервые задокументирован словаками еще в октябре 2021 года и описывался как простой, но надежный загрузчик вредоносных ПО, способный выполнять полученные модули в памяти.
Полезная нагрузка Wslink может быть использована позже для бокового перемещения из-за ее особого функционала в отношении сетевых сеансов.
Загрузчик Wslink прослушивает порт, указанный в конфигурации, и может обслуживать дополнительных подключающихся клиентов и даже загружать различные полезные данные.
Малварь была замечена в единичных целевых атаках, фиксировавшихся в Центральной Европе, Северной Америке и на Ближнем Востоке.
Тогда в марте 2022 года ESET подробно описывала использование вредоносной программой обфускатора расширенной многоуровневой виртуальной машины, позволяющего избежать обнаружения и противостоять обратному инжинирингу.
Атрибуция к Lazarus Group основана на совпадении поведения и кода с предыдущими кампаниями Operation GhostSecret и Bankshot, за которыми стояла АРТ.
В частности, отмечено сходство с образцами GhostSecret, подробно описанными McAfee в 2018 году, которые поставлялись с компонентом сбора данных и установки имплантата, работавшим как служба, отражая то же поведение Wslink.
Кроме того, ресерчеры ESET отметили, что полезная нагрузка попала в базу VirusTotal из Южной Кореи, где базировались некоторые из жертв.
В целом, полученные результаты еще раз показывают насколько обширный арсенал хакерских инструментов применяется Lazarus Group в ходе своих кампаний.
Служба судебных маршалов США расследует инцидент с ransomware.
По предварительным данным, атака банды вымогателей парализовала работу систем с конфиденциальной информацию правоохранительных органов.
Злоумышленники добрались до результатов судебных процессов, административных сведений и личных данных субъектов расследований USMS, а также третьих лиц и некоторых сотрудников.
Служба судебных маршалов обнаружила взлом и утечку данных из своей сети 17 февраля и немедленно отключила скомпрометированную информационную систему.
В настоящее время Министерство юстиции инициировало официальное расследование.
Нарушение оказалось настолько серьезным, что Минюст квалифицировало его как достаточно значительный взлом, требующий в числе прочего уведомления Конгресса федеральным агентством.
Один из высокопоставленных чиновников, знакомый с материалами дела, сообщил, что во время инцидента не было получено данных, связанных с программой защиты свидетелей.
Так это или не так, технические подробности инцидента равно, как и подозреваемые в его совершении пока остаются под завесой тайны.
Но будем посмотреть.
По предварительным данным, атака банды вымогателей парализовала работу систем с конфиденциальной информацию правоохранительных органов.
Злоумышленники добрались до результатов судебных процессов, административных сведений и личных данных субъектов расследований USMS, а также третьих лиц и некоторых сотрудников.
Служба судебных маршалов обнаружила взлом и утечку данных из своей сети 17 февраля и немедленно отключила скомпрометированную информационную систему.
В настоящее время Министерство юстиции инициировало официальное расследование.
Нарушение оказалось настолько серьезным, что Минюст квалифицировало его как достаточно значительный взлом, требующий в числе прочего уведомления Конгресса федеральным агентством.
Один из высокопоставленных чиновников, знакомый с материалами дела, сообщил, что во время инцидента не было получено данных, связанных с программой защиты свидетелей.
Так это или не так, технические подробности инцидента равно, как и подозреваемые в его совершении пока остаются под завесой тайны.
Но будем посмотреть.
CBS News
"Major" cyberattack compromised sensitive U.S. Marshals Service data
The ransomware attack was considered a "major incident" by officials, impacting a "stand-alone" system within the service, an agency spokesperson said.
Исследователи Лаборатории Касперского представили аналитику по мобильным зловредам для Android за 2022 год.
Количество мобильных атак после снижения во второй половине 2021 года стабилизировалось и в течение всего 2022 года держалось примерно на одном уровне.
В 2022 году решения Лаборатории Касперского зафиксировали: 1 661 743 вредоносных установочных пакета, 196 476 новых мобильных банковских троянцев и 10 543 новых мобильных троянца-вымогателя.
Злоумышленники продолжали использовать легитимные каналы для распространения зловредов, в том числе через Google Play.
В официальном магазине приложений специалисты ЛК неоднократно находили мобильные троянцы, скрытно подписывающие зараженных пользователей на платные сервисы.
При этом помимо уже известных Jocker и MobOk, ресерчеры в прошедшем году обнаружили новое семейство Harly, активное с 2020 года.
За 2022 год зловреды этого типа набрали суммарно более 2,6 млн. установок на официальной платформе.
Также через Google Play активно распространялись различные мошеннические приложения, в частности, обещающие пользователю социальные выплаты или выгодные инвестиции в энергетическую отрасль.
Как и в 2021 году, не обошлось без модифицированной сборки WhatsApp с вредоносным кодом под капотом.
Одна из отличительных особенностей зловреда заключалась в том, что он распространялся через рекламу в популярном приложении Snaptube, а также через внутренний магазин приложения Vidmate.
Мобильные банковские троянцы не отставали.
Несмотря на то что Европол ликвидировал инфраструктуру FluBot (он же Polph или Cabassous), Google Play заполонили загрузчики других семейств банковских троянцев, таких как Sharkbot, Anatsa/Teaban, Octo/Coper и Xenomorph, распространяемых под видом полезных приложений.
Популярным вектором распространения мобильных зловредов оставалась эксплуатация названий популярных игр: зловреды и нежелательные приложения имитируют пиратскую версию игры или читы.
Чаще всего использовались в качестве приманки Minecraft, Roblox, Grand Theft Auto, PUBG и FIFA, в сами приложения распространялись преимущественно в соцсетях и с помощью сомнительных веб-сайтов.
Количество атак мобильных троянцев-вымогателей также продолжило идти на спад, который не прекращается с конца 2021 года.
В целом, в Лаборатории Касперского отметили, что снижение динамики мобильных атак компенсировалось совершенствованием функциональности вредоносного ПО и векторов его распространения, большая часть которых реализуется через легитимные каналы.
В 2022 году наибольшую долю среди новых обнаруженных угроз составили RiskWare-приложения, потеснив предыдущего лидера рейтинга — рекламное ПО.
При этом, как и прежде, большинство атак совершалось с использованием вредоносного ПО.
Количество мобильных атак после снижения во второй половине 2021 года стабилизировалось и в течение всего 2022 года держалось примерно на одном уровне.
В 2022 году решения Лаборатории Касперского зафиксировали: 1 661 743 вредоносных установочных пакета, 196 476 новых мобильных банковских троянцев и 10 543 новых мобильных троянца-вымогателя.
Злоумышленники продолжали использовать легитимные каналы для распространения зловредов, в том числе через Google Play.
В официальном магазине приложений специалисты ЛК неоднократно находили мобильные троянцы, скрытно подписывающие зараженных пользователей на платные сервисы.
При этом помимо уже известных Jocker и MobOk, ресерчеры в прошедшем году обнаружили новое семейство Harly, активное с 2020 года.
За 2022 год зловреды этого типа набрали суммарно более 2,6 млн. установок на официальной платформе.
Также через Google Play активно распространялись различные мошеннические приложения, в частности, обещающие пользователю социальные выплаты или выгодные инвестиции в энергетическую отрасль.
Как и в 2021 году, не обошлось без модифицированной сборки WhatsApp с вредоносным кодом под капотом.
Одна из отличительных особенностей зловреда заключалась в том, что он распространялся через рекламу в популярном приложении Snaptube, а также через внутренний магазин приложения Vidmate.
Мобильные банковские троянцы не отставали.
Несмотря на то что Европол ликвидировал инфраструктуру FluBot (он же Polph или Cabassous), Google Play заполонили загрузчики других семейств банковских троянцев, таких как Sharkbot, Anatsa/Teaban, Octo/Coper и Xenomorph, распространяемых под видом полезных приложений.
Популярным вектором распространения мобильных зловредов оставалась эксплуатация названий популярных игр: зловреды и нежелательные приложения имитируют пиратскую версию игры или читы.
Чаще всего использовались в качестве приманки Minecraft, Roblox, Grand Theft Auto, PUBG и FIFA, в сами приложения распространялись преимущественно в соцсетях и с помощью сомнительных веб-сайтов.
Количество атак мобильных троянцев-вымогателей также продолжило идти на спад, который не прекращается с конца 2021 года.
В целом, в Лаборатории Касперского отметили, что снижение динамики мобильных атак компенсировалось совершенствованием функциональности вредоносного ПО и векторов его распространения, большая часть которых реализуется через легитимные каналы.
В 2022 году наибольшую долю среди новых обнаруженных угроз составили RiskWare-приложения, потеснив предыдущего лидера рейтинга — рекламное ПО.
При этом, как и прежде, большинство атак совершалось с использованием вредоносного ПО.
Securelist
Mobile cyberthreat report for 2022
Android threat report by Kaspersky for 2022: malware on Google Play and inside the Vidmate in-app store, mobile malware statistics.
Исследователи Proofpoint поделились своими недавними наблюдениями за TA569, который является активным злоумышленником, прославившимся внедрением веб-инъекций, ведущих к полезной нагрузке JavaScript, известной как SocGholish, о которой ресерчеры впервые сообщали в своем прошлогоднем отчете.
За последние несколько месяцев исследователи Proofpoint увидели изменения ТТPs, используемых TA569, которые прежде всего были связаны с увеличением количества вариантов инъекций, а также полезных нагрузок, отличающихся от стандартных пакетов JavaScript SocGholish «Fake Update».
Цепочка заражения начинается при посещении пользователем веб-сайта, скомпрометированного инъекцией TA569. Это может быть нажатие на ссылку, полученную по электронной почте, или непосредственное посещение веб-сайта.
Браузер жертвы интерпретирует внедренный JavaScript, и если среда соответствует определенным критериям, будет представлена приманка.
Наиболее распространенная приманка, используемая для доставки вредоносного ПО SocGholish, — это поддельное обновление браузера, которое отображается в полноэкранном формате, как если бы оно было с самого внедренного сайта.
Proofpoint обнаружила также и другие приманки, используемые TA569 для доставки других вредоносных ПО, в том числе распределенную защиту от DDoS, поддельные обновления ПО безопасности, головоломки с капчей и другие темы, связанные с «обновлениями».
При нажатии на приманку загружается файл, содержащий полезную нагрузку вредоносного ПО. Тип файла зависит от полезной нагрузки и включает файлы .js, .zip или .iso среди прочих.
Пользователь должен запустить файл, чтобы вредоносное ПО запустилось на хосте. Эти различные RAT и похитители информации, такие как SocGholish, могут подготовить почву для последующих заражений.
Proofpoint считает TA569 брокером начального доступа (IAB) или независимым киберпреступником, который обеспечивает проникновение в основные цели, а затем продает доступ другим группам для доставки дополнительных полезных нагрузок, таких как программы-вымогатели.
TA569 может удалять инъекции со взломанных веб-сайтов только для того, чтобы позже повторно добавить их на те же веб-сайты.
Предполагается, что TA569 не только является IAB, но и использует свою обширную сеть инъекций и инфраструктуру, предлагая услугу с оплатой за установку (PPI) другим субъектам угроз и облегчая таким образом обслуживание загрузок и заражение жертв.
В новом отчете Proofpoint подробно описывает инъекции, используемые TA569 для распространения различных полезных нагрузок, а также то, что конечный пользователь увидит при посещении взломанного веб-сайта.
Для защиты от TA569 исследователи предлагает следующие меры: информирование пользователей об этой активности, использование набора правил для блокировки полезных доменов и блокировка выполнения файлов .js в чем угодно, кроме текстового редактора.
За последние несколько месяцев исследователи Proofpoint увидели изменения ТТPs, используемых TA569, которые прежде всего были связаны с увеличением количества вариантов инъекций, а также полезных нагрузок, отличающихся от стандартных пакетов JavaScript SocGholish «Fake Update».
Цепочка заражения начинается при посещении пользователем веб-сайта, скомпрометированного инъекцией TA569. Это может быть нажатие на ссылку, полученную по электронной почте, или непосредственное посещение веб-сайта.
Браузер жертвы интерпретирует внедренный JavaScript, и если среда соответствует определенным критериям, будет представлена приманка.
Наиболее распространенная приманка, используемая для доставки вредоносного ПО SocGholish, — это поддельное обновление браузера, которое отображается в полноэкранном формате, как если бы оно было с самого внедренного сайта.
Proofpoint обнаружила также и другие приманки, используемые TA569 для доставки других вредоносных ПО, в том числе распределенную защиту от DDoS, поддельные обновления ПО безопасности, головоломки с капчей и другие темы, связанные с «обновлениями».
При нажатии на приманку загружается файл, содержащий полезную нагрузку вредоносного ПО. Тип файла зависит от полезной нагрузки и включает файлы .js, .zip или .iso среди прочих.
Пользователь должен запустить файл, чтобы вредоносное ПО запустилось на хосте. Эти различные RAT и похитители информации, такие как SocGholish, могут подготовить почву для последующих заражений.
Proofpoint считает TA569 брокером начального доступа (IAB) или независимым киберпреступником, который обеспечивает проникновение в основные цели, а затем продает доступ другим группам для доставки дополнительных полезных нагрузок, таких как программы-вымогатели.
TA569 может удалять инъекции со взломанных веб-сайтов только для того, чтобы позже повторно добавить их на те же веб-сайты.
Предполагается, что TA569 не только является IAB, но и использует свою обширную сеть инъекций и инфраструктуру, предлагая услугу с оплатой за установку (PPI) другим субъектам угроз и облегчая таким образом обслуживание загрузок и заражение жертв.
В новом отчете Proofpoint подробно описывает инъекции, используемые TA569 для распространения различных полезных нагрузок, а также то, что конечный пользователь увидит при посещении взломанного веб-сайта.
Для защиты от TA569 исследователи предлагает следующие меры: информирование пользователей об этой активности, использование набора правил для блокировки полезных доменов и блокировка выполнения файлов .js в чем угодно, кроме текстового редактора.
Proofpoint
SocGholish Malware: A Real Threat from a Fake Update | Proofpoint US
SocGholish malware is a very real threat from a very fake update. Proofpoint breaks down the threat, what it is, how it's delivered, and more.
Румынская Bitdefender выпустила универсальный дешифратор для набирающей популярность MortalKombat Ransomware Strain.
MortalKombat — это новый штамм ransomware, появившийся в январе 2023 года. Он базируется на семействе массовых программ-вымогателей Xorist, и был замечен в атаках на организации в США, Филиппинах, Великобритании и Турции.
Xorist, обнаруживаемый начиная с 2010 года, распространяется как сборщик программ-вымогателей, позволяющий злоумышленникам создавать и настраивать собственные версии вредоносных ПО.
Платформа включает в себя заметку о выкупе, наименование файла заметки, список целевых расширений, обои и расширение, которое будет использоваться для зашифрованных файлов. Расшифровщик для Xorist был предоставлен Emsisoft еще в мае 2016 года.
В свою очередь, MortalKombat использовался в недавних атаках, предпринятых неназванным финансово мотивированным злоумышленником в рамках фишинговой кампании, направленной на широкий круг организаций.
Как сообщали Cisco Talos ранее в этом месяце, MortalKombat шифрует различные файлы в файловой системе компьютера-жертвы, включая файлы системы, приложения, базы данных, резервных копий и файлов VM, а также файлы в удаленных местах, отображаемые как логические диски на компьютере-жертве.
Хотя программа-вымогатель не выполняет функции очистки и не удаляет теневые копии томов, она повреждает проводник Windows, отключает командное окно «Выполнить» и удаляет все приложения и папки из автозагрузки Windows.
Также известно, что ransomware повреждает удаленные файлы в папке «Корзина», изменяет имена и типы файлов и вносит изменения в реестр Windows для обеспечения устойчивости. Угрозы, стоящие за этой кампанией, и их операционная модель пока неизвестны.
Как и предшественник, MortalKombat распространяется через фишинговые электронные письма и нацелен на открытые экземпляры RDP. Вредоносное ПО внедряется через загрузчик BAT, который также доставляет вредоносное ПО Laplas Clipper.
MortalKombat — не единственный вариант Xorist, появившийся в мире угроз за последние несколько месяцев. В ноябре 2022 года Fortinet FortiGuard Labs представила еще одну версию, которая оставляет записку о выкупе на испанском языке.
Разработка также началась чуть более чем через месяц после того, как Avast опубликовал бесплатный дешифратор для программы-вымогателя BianLian, чтобы помочь жертвам вредоносного ПО восстанавливать заблокированные файлы без необходимости платить злоумышленникам.
MortalKombat — это новый штамм ransomware, появившийся в январе 2023 года. Он базируется на семействе массовых программ-вымогателей Xorist, и был замечен в атаках на организации в США, Филиппинах, Великобритании и Турции.
Xorist, обнаруживаемый начиная с 2010 года, распространяется как сборщик программ-вымогателей, позволяющий злоумышленникам создавать и настраивать собственные версии вредоносных ПО.
Платформа включает в себя заметку о выкупе, наименование файла заметки, список целевых расширений, обои и расширение, которое будет использоваться для зашифрованных файлов. Расшифровщик для Xorist был предоставлен Emsisoft еще в мае 2016 года.
В свою очередь, MortalKombat использовался в недавних атаках, предпринятых неназванным финансово мотивированным злоумышленником в рамках фишинговой кампании, направленной на широкий круг организаций.
Как сообщали Cisco Talos ранее в этом месяце, MortalKombat шифрует различные файлы в файловой системе компьютера-жертвы, включая файлы системы, приложения, базы данных, резервных копий и файлов VM, а также файлы в удаленных местах, отображаемые как логические диски на компьютере-жертве.
Хотя программа-вымогатель не выполняет функции очистки и не удаляет теневые копии томов, она повреждает проводник Windows, отключает командное окно «Выполнить» и удаляет все приложения и папки из автозагрузки Windows.
Также известно, что ransomware повреждает удаленные файлы в папке «Корзина», изменяет имена и типы файлов и вносит изменения в реестр Windows для обеспечения устойчивости. Угрозы, стоящие за этой кампанией, и их операционная модель пока неизвестны.
Как и предшественник, MortalKombat распространяется через фишинговые электронные письма и нацелен на открытые экземпляры RDP. Вредоносное ПО внедряется через загрузчик BAT, который также доставляет вредоносное ПО Laplas Clipper.
MortalKombat — не единственный вариант Xorist, появившийся в мире угроз за последние несколько месяцев. В ноябре 2022 года Fortinet FortiGuard Labs представила еще одну версию, которая оставляет записку о выкупе на испанском языке.
Разработка также началась чуть более чем через месяц после того, как Avast опубликовал бесплатный дешифратор для программы-вымогателя BianLian, чтобы помочь жертвам вредоносного ПО восстанавливать заблокированные файлы без необходимости платить злоумышленникам.
Bitdefender Labs
Bitdefender Releases Decryptor for MortalKombat Ransomware
A new decryptor for the MortalKombat ransomware is now available for download.
1 млн рублей за уязвимость на Standoff 365 🔥
Standoff 365 — платформа для этичных хакеров, которая включает в себя программы багбаунти и полигон для киберучений.
Если вы хотели сделать больно Standoff, сейчас самое время. Платформа запустила собственную открытую программу багбаунти и готова выплачивать исследователям до 1 млн рублей за самые опасные уязвимости.
В скоуп входят все поддомены сайта платформы — standoff365.com.
👀 Искать уязвимости на платформе Standoff 365 ↓
bugbounty.standoff365.com/programs/standoff-365
Standoff 365 — платформа для этичных хакеров, которая включает в себя программы багбаунти и полигон для киберучений.
Если вы хотели сделать больно Standoff, сейчас самое время. Платформа запустила собственную открытую программу багбаунти и готова выплачивать исследователям до 1 млн рублей за самые опасные уязвимости.
В скоуп входят все поддомены сайта платформы — standoff365.com.
👀 Искать уязвимости на платформе Standoff 365 ↓
bugbounty.standoff365.com/programs/standoff-365