В мае этого года российская компания, специализирующаяся на производстве и продаже оборудования, стала жертвой атаки вымогателей.

Зашифрованные файлы имели расширение BLackShadow.

При расследовании инцидента специалисты компании F.A.C.C.T. испытали устойчивое чувство дежавю: подобные TTP в последнее время встречаются все чаще и чаще.

В таких атаках не используются изощренные методы и инновации, а злоумышленники не тратят силы и время на кражу информации и ее последующую публикацию с целью дополнительного шантажа жертвы.

Их вполне устраивает небольшой, но стабильный гонорар — 5-30 тыс.дол. в биткоинах, да и жертвам вполне по силам выплачивать такие суммы.

Но интересно другое: в той майской атаке применялась незнакомая ransomware, а у нее сразу нашлось два "близких родственника" — программы, шифрующие файлы с расширениями BLackSh и BlackStore соответственно.

А в середине июля 2023 была найдена программа-вымогатель, использующая расширение Black для зашифрованных файлов.

Так появилось семейство, которое исследователи назвали BlackShadow.

Основной таргетинг: компании малого и среднего бизнеса по всему миру, преимущественно из России. Первая активность датируется январем 2023 года.

В качестве начального вектора атаки используются скомпрометированные службы удаленного доступа.

Учетные данные злоумышленники получают в результате перебора или приобретаются у брокеров первоначального доступа или операторов стилеров.

Ransomware не имеет широких функциональных возможностей, но эффективно шифрует данные без возможности их расшифровки при отсутствии закрытого ключа.

Атакующие не похищают данные жертвы, соответственно не имеют DLS. Для взаимодействия с жертвой злоумышленники преимущественно используют электронную почту.


В своем отчете ресерчеры приводят подробный анализ Kill Chain и индикаторы компрометации, а также делятся рекомендациями.

С 4 июня 2023 года специалисты из Cisco Talos наблюдают за пока неустановленным субъектом угрозы, который начал использовать новый вариант вредоносного ПО Yashma для атак с вымогательством на различные объекты в Болгарии, Китае и Вьетнаме.

Согласно отчету, хакерская группа имеет вьетнамские корни и применяет необычную технику для доставки заметок о выкупе.

Вместо классического встраивания соответствующих строк о выкупе в бинарный файл, они загружают их из контролируемого злоумышленником репозитория GitHub.

Вредонос Yashma был впервые описан в мае 2022 года и является переименованной версией вируса-вымогателя Chaos.

Стоит отметить, что требование о выкупе имеет сходство с хорошо известным WannaCry, что, возможно, было сделано для запутывания в атрибуции.

Кроме того, за месяц до появления Yashma, создатель малвари Chaos слил исходники на теневых площадках, что вызвало ускоренный рост появления новых вариантов вымогательского ПО и как следствие большего количества атак.

В компании уже отметили значительное увеличение атак с ransomware по сравнению с подсчетами Malwarebytes, в которых за прошлый год только в США, Германии, Франции и Великобритании было зафиксировано более 1900 инцидентов.

Подкатил PatchTuesday от Microsoft за август 2023 с исправлениями 87 уязвимостей, включая 2 активно эксплуатируемые и 23 уязвимости RCE, из которых 6 оцениваются как критические.

В целом исправлено 18 уязвимостей повышения привилегий, 3 - обхода функций безопасности, 23 - RCE, 10 - раскрытия информации, 8 - DoS, 12 - спуфинга.

Помимо указанных, 12 ошибок исправлено в Microsoft Edge (Chromium).

Вторник исправлений в этом месяце исправляет две уязвимости нулевого дня, обе из которых использовались в атаках, а одна из них была публично раскрыта.

Microsoft классифицирует уязвимость как уязвимость нулевого дня, если она публично раскрывается или активно эксплуатируется без официального исправления.

Упоминаемые две активно эксплуатируемые 0-day - CVE-2023-36884 и CVE-2023-38180.

Первая из проблем в Microsoft Office Defense была обнаружена Volexity еще в июле и тогда ее она не исправила, но предоставила рекомендации по ее устранению.

CVE-2023-36884 позволяла злоумышленникам создавать специально созданные документы Microsoft Office, которые могли обходить функцию безопасности Mark of the Web (MoTW), заставляя файлы открываться без отображения предупреждения безопасности и выполнять RCE.

0-day была замечена в атаках группы RomCom в финансовых и шпионских целях.

Группа известна тем, что применяла в атаках программу-вымогатель Industrial Spy, переименованную в Underground, под которой они продолжают вымогать деньги у жертв.

Другая исправленная CVE-2023-38180 представляет собой уязвимость .NET и Visual Studio, связанную с DoS.

По ней Microsoft стала делиться какими-либо дополнительными подробностями относительно того, как эта уязвимость использовалась в атаках, и не раскрыла, кто ее обнаружил.

Полный перечень всех исправленных ошибок с описанием каждой из них и систем, на которые влияют можно просмотреть здесь.

Большой куш сорвали хакеры в Великобритании.

Новый масштабный инцидент теперь можно назвать в честь известного кинофильма с альтернативным названием Спиз…и.

На днях Избирком Великобритании выпустил уведомление об утечке данных избирателей за последние 8 лет.

Раскрытие произошло спустя десять месяцев после того, как Избирком впервые обнаружил нарушение в октябре 2022 года, и по прошествии двух лет после неправомерного доступа.

Оказалось, что злоумышленники взломали их системы гораздо раньше, в августе 2021 года.

В рамках кибератаки злоумышленники получили доступ к серверам госагентства, на которых хранится электронная почта, системы управления и справочные списки избирателей.

Украденные реестры включают установочные данные, фото, контакты и адреса всех жителей Великобритании, которые участвовали в голосованиях в период с 2014 по 2022 год, а также данные зарубежных избирателей.

В течение длительного времени хакеры фактически контролировали всю электронную корреспонденцию, включающую все внутренние и внешние коммуникаций агентства.

Руководство Избиркома всячески пытается замять инцидент, заявляя об отсутствии угроз выборам или регистрации избирателей, а также приуменьшая влияние утечки.

Несмотря на то, что ряд сведений из реестра об избирателях носит общедоступный характер, данные о личных контактах британцев будут весьма востребованы в даркнете.

Таким образом, в ближайшие годы британцам, по всей видимости, придется пережить массовые вредоносные кампании и кибератаки, а может даже и звонки из служб безопасности, Скотленд-Ярда и Банка Англии.

В рамках августовского PatchTuesday Siemens устранила выпустила 13 бюллетеней, охватывающих более 30 уязвимостей в своих продуктах.

Три бюллетеня Siemens были посвящены серьезным уязвимостям, исправленным в продуктах Ruggedcom.

В одном бюллетене рассматриваются пять уязвимостей, в том числе четыре критических и одна высокой степени серьезности, в серверном приложении Ruggedcom Crossbow.

Проблемы можно использовать для вызова DoS, повышения привилегий, выполнения произвольных SQL-запросов к базе данных и записи произвольных файлов в целевую систему. Все они были обнаружены NCSC Великобритании.

Siemens также проинформировала клиентов о критической уязвимости изоляции зеркального порта в устройствах Ruggedcom ROS.

Уязвимые продукты недостаточно блокируют передачу данных через порт в зеркальную сеть.

Злоумышленник может использовать такое поведение для передачи вредоносных пакетов в системы в зеркальной сети, что может повлиять на их конфигурацию и поведение во время выполнения.

Устройства ROS также подвержены DoS-уязвимости высокой степени серьезности, о которой Siemens сообщила в отдельном бюллетене.

Промышленный гигант проинформировал об уязвимостях высокой степени опасности, которые можно использовать с помощью специально созданных файлов.

Среди затронутых продуктов: Sicam Toolbox II, Parasolid, Teamcenter Visualization, JT2Go, JT Open, JT Utilities, Solid Edge и Siemens Software Center (SSC).

Два бюллетеня описывают влияние двух уязвимостей OpenSSL средней и высокой степени серьезности на продукты Simatic.

В отличие от коллег Schneider Electric выпустила только одну новую рекомендацию в отношении проблемы повреждения памяти средней серьезности, затрагивающей экранный редактор Pro-face GP-Pro EX HMI и ПО для логического программирования.

Исследователи раскрыли подробности новой атаки по побочным каналам под названием Inception, нацеленной на процессоры AMD.

Inception была обнаружена исследователями Цюрихского университета ETH в Швейцарии и позволяет локальному злоумышленнику получить потенциально конфиденциальные данные, такие как пароли или ключи шифрования, из любого места в памяти компьютера с процессором AMD Zen.

Inception — это атака с временным выполнением, в которой используется метод обучения переходному выполнению (TTE) и атака, получившая название Phantom Speculation (CVE-2022-23825).

Inception, отслеживаемая как CVE-2023-20569, представляет собой новую атаку, которая сочетает в себе описанные выше концепции, позволяя злоумышленнику заставить ЦП поверить в то, что инструкция XOR (простая двоичная операция) является инструкцией рекурсивного вызова.

Это приводит к переполнению буфера стека возврата целевым адресом, контролируемым злоумышленником, что позволяет ему считать произвольные данные из непривилегированных процессов, запущенных на любом процессоре AMD Zen.

Скорость утечки данных, достигнутая с помощью Inception, составляет 39 байт/с, что потребует около полсекунды для кражи 16-символьного пароля и 6,5 секунд для ключа RSA.

Ресерчеры представили отдельные статьи с подробным описанием атак Inception и Phantom, а для Inception PoC и ролик с демонстрацией эксплойта в действии.

В свою очередь, AMD в своем бюллетене подтверждает выводы исследователей, полагая, что Inception может привести к раскрытию информации.

Производитель чипов выпустил патчи для микрокода и другие меры по смягчению последствий, также рекомендуя клиентам использовать передовые методы обеспечения безопасности.

Как пояснили в AMD, эта атака аналогична предыдущим атакам на основе прогнозирования ветвлений, таким как Spectrev2 и Branch Type Confusion (BTC)/ RetBleed.

Как и в случае с аналогичными атаками, спекуляция ограничена текущим адресным пространством, и для ее использования злоумышленник должен знать его и контролировать достаточное количество регистров во время спекуляции RET (возврат из процедуры).

В компании считают, что уязвимость может быть использована только локально — например, с помощью вредоносного ПО, отмечая при этом, что пока не известно о каком-либо злонамеренном использовании.

Плохие новости, которые так или иначе затрагивают львиную долю населения, поскольку процессоры Intel подвержены серьезной уязвимости, позволяющей злоумышленникам красть конфиденциальные данные.

О проблеме сообщил старший научный сотрудник Google Даниэль Могими и назвал ее Downfall.

Суть ошибки кроется в том, что она позволяет считывать данные из других программ и областей памяти, что создает возможность получать доступ к данным других пользователей, использующих тот же компьютер, и похищать их.

Например, вредоносное приложение, полученное из магазина приложений, может использовать атаку Downfall для кражи конфиденциальной информации, например пароли, ключи шифрования и личные данные, такие как банковские реквизиты, личные электронные письма и сообщения.

Баг отслеживается как CVE-2022-40982. Почему 2022? Да потому, что Intel был уведомлен о проблеме еще 24 августа 2022 года, но обнародовали недостаток только сегодня, чтобы у производителя было время выпустить обновления микрокода, исправляющее уязвимость.

Последние обновления прошивки действительно исправляют недостаток, но с потерей производительности.

Специалист подробно описал уязвимость, а также привел несколько примеров на основе микроархитектур Intel от Skylake до Ice Lake.

По его словам, затронуты миллиарды процессоров Intel, которые используются как в частных пользовательских компьютерах, так и в облачных серверах.

Intel рекомендует пользователям уязвимых процессоров обновить прошивку до последней версии.

Однако при определенных обстоятельствах это может привести к потере производительности до 50 процентов.

Уязвимости подвержены все ПК или ноутбуки с процессорами Intel Core от 6-го поколения «Skylake» до 11-го поколения «Tiger Lake», что означает, что баг существует как минимум с 2015 года, когда был выпущен Skylake.

Процессоры Intel Xeon также находятся под угрозой и из-за доминирующего положения в области серверных процессоров практически каждый пользователь Интернета может быть затронут.

Долго мы смотрели-смотрели, никак не комментировали, но в конце концов не вытерпели.

Хотим обратиться к товарищам из некоторых скороспелых инфосек каналов.

Товарищи, зачем же вы так палитесь? Ваш четко выраженный негатив в отношении одних игроков российского инфосека, а также комплиментарность и позитив в отношении других, явным образом указывают на принадлежность канала одному из этих самых игроков.

Тоньчее надо, тоньчее.

Серьезная утечка затронула всех служащих из Полицейской службы Северной Ирландии (PSNI).

Данные 10 000 действующих полицейских были подчистую слиты.

Но на этот раз конфиденциальные данные разгласили сами сотрудники в ответ на поступивший запрос о свободе информации (FOI) в отношении предоставления информации о численности PSNI.

В соответствии с местным законодательством, запрос о свободе информации — это официальный запрос, инициированный физическим лицом или организацией в госучреждение для получения доступа к информации.

Основная цель - способствовать прозрачности, подотчетности и открытости правительства.

Утечка включает имена и звания, места дислокации и структурную принадлежность всех действующих сотрудников и представляет серьезный риск, особенно на фоне многолетнего конфликта с Ирландской республиканской армией.

В результате проведенного расследования, полицейские PSNI пришли к выводу, что утечка данных была вызвана простой человеческой ошибкой.

Ответственный за исполнение поступившего запроса сотрудник PSNI сверстал сводную Exel-таблицу, которую затем выложил в сеть, где провисела в общем доступе более 2 часов до ее удаления.

Высшие должностные лица публично угрожают владельцам утекшего списка преследованием за незаконный оборот указанных сведений, называя все это нарушением монументальных масштабов.

На самом деле все было бы серьезнее, если запрашивалось количество дел и осведомителей - вот это была бы табличка.

В общем, хакеры нервно курят в сторонке.

Очередное утро, когда держатели криптоактивов проснулись в мокром поту после того, как исследователи обнаружили несколько 0-day, затрагивающих крупные платформы, такие как Coinbase, ZenGo и Binance.

Исследователи из Fireblocks сообщили о нарбое недостатков под общим названием BitForge, влияющих на различные популярные криптокошельки, использующие технологию многосторонних вычислений (MPC).

Прозвучит громко, но выявленные недостатки позволяют хакерам красть цифровые активы, хранящиеся на уязвимых кошельках за несколько секунд, причем не зная ни пользователя, ни поставщика. Но пока данных об инцидентах не получено.

Три самых популярных протокола MPC подверженных уязвимостям — это GG-18, GG-20 и Lindell 17.

Пока все же суть проблем - как тайна за семью печатями и в случае если не будут решены, то потенциально приведут к серьезным последствиям для миллионов розничных и институциональных клиентов. Правда PoC на GitHub уже доступны.

Учитывая, что цепочки блоков общедоступны, то держателям крипты действительно есть, о чем переживать.

Известно, что первая уязвимость (CVE-2023-33241), затрагивает пороговые схемы подписи (TSS) GG18 и GG20, которые считаются новаторскими, а также основополагающими для индустрии кошельков MPC, позволяя нескольким сторонам генерировать ключи и совместно подписывать транзакции.

Уязвимость, обнаруженная в протоколе Lindell17 2PC (CVE-2023-33242), имеет аналогичную природу и позволяет злоумышленнику извлечь весь закрытый ключ примерно после 200 попыток подписи.

Второй сценарий нацелен на секретный ключ клиента, используя скомпрометированный сервер для его получения с помощью специально созданных сообщений. Опять же, для полного извлечения ключа требуется 256 запросов.

Если масштаб бедствия подтвердится, то для обнаруживших недостатки специалистов должно быть отдельное место в раю.

Дорогие подписчики, хотелось бы обратиться по поводу вчерашнего поста. К сожалению, мы остались непонятыми.

А ведь вся информация, которую мы хотели довести, была внутри поста.

Сачкуете, подписчики, сачкуете!

Ресерчеры из GoSecure подвели итоги исследования, в рамках которого в течение 3 лет с помощью ханипота фиксировались тысячи различных RDP-атак, на основании которых удалось классифицировать и выделить пять основных классов злоумышленников.

Приманка показала, как мошенники устанавливают вредоносное ПО, майнят крипту, реализуют DDoS-атаки и мошеннические кампании.

RDP — наиболее критический вектор атаки, используемый киберпреступниками, в том числе группами программ-вымогателей.

Чтобы изучать кибератаки по мере их развития, исследователи создали инструмент перехвата RDP с открытым исходным кодом с возможностями контроля экрана, клавиатуры, мыши, буфера обмена и сбора файлов.

С помощью PyRDP исследователям удалось собрать большое количество информации, включая более 190 миллионов событий, 100 часов видеоматериалов и 470 файлов, используемых злоумышленниками.

Ресечеры отмечают, что исследование демонстрирует значительный потенциал перехвата криминальных сред RDP в ключе работы правоохранительных органов и blueteam.

В следующих публикациях они также пообещали поделиться подробной информацией об инструментах, которые использовали различные субъекты угроз.

Пока же приводят классификацию злоумышленников по категориям, за основу которой были взять типажи из популярной игры Dungeons & Dragons (DnD).

- Рейнджеры: исследуют все папки компьютера, проверяют характеристики сети и производительности хоста и запускают разведку, используя программы или скрипты. Никаких других значимых действий не предпринимают. Оценивают скомпрометированную систему.

- Воры: пытаются монетизировать полученный RDP-доступ. Меняют учетные данные и выполняют различные действия для реализации своего доступома, используя traffmonetizer (прокси-программы), браузеры (участвующие в схемах оплаты за серфинг), устанавливают крипто-майнеры, загружают эмуляторы Android (мобильное мошенничество) и т.д.

- Варвары: используют большой набор инструментов для взлома еще большего количества других систем. Работают брутом, со списками IP-адресов, имен пользователей и паролей.

- Wizards: используют RDP-доступ в качестве канала для подключения к другому компьютеру, который был скомпрометирован аналогичным образом. Скрывают свою личность, задействуя скомпрометированные хосты.

- Барды: отсутствие явных хакерских навыков. Получают доступ к системе для выполнения поиска вредоносных программ с помощью Google или ведут просмотр порнографии. Обычно приобретают RDP-доступ у IAB.

Ресерчеры из Лаборатории Касперского опубликовали третью часть отчёта (часть 1, часть 2) об атаках на восточноевропейские промышленные предприятия, проливая свет на продвинутые бэкдоры APT31 (ака Bronze Vinewood, Judgment Panda или Violet Typhoon) и тактику кражи данных.

Злоумышленники экфильтруют данные и доставляют вредоносное ПО последующего этапа через облачное хранилище данных, а также файлообменные сервисы.

Они используют командные серверы на обычных VPS, а также стек имплантов для сбора данных в физически изолированных сетях с помощью зараженных сменных носителей данных.

В общей сложности обнаружено более 15 имплантов и их вариантов, установленных в разных сочетаниях.

Весь стек можно разделить на три категории, каждый из которых сосредоточен на разных аспектах цепочки атак: настройка сохраняемости, сбор конфиденциальных данных и передача информации на удаленный сервер, находящийся под контролем злоумышленников.

В большинстве имплантов злоумышленники применяют сходные реализации техники подмены DLL (DLL hijacking), которые часто связывают с вредоносным ПО Shadowpad, и методы внедрения в память, а также шифрование RC4, позволяющее скрывать вредоносную нагрузку и избегать обнаружения.

Для шифрованного обмена данными с серверами управления к имплантам статически прилинковывалась библиотека libssl.dll или libcurl.dll.

Стек имплантов заключительной фазы атаки для выгрузки информации состоит из трёх модулей.

Каждый из модулей гибко конфигурируем и злоумышленники могут заменить любой из них в зависимости от своих потребностей.

Обнаруженные в инцидентах модули способны выгружать данные на Dropbox, Яндекс.Диск, а также 16 разных сервисов временного хранения файлов.

Основным каналом эксфильтрации является выгрузка RAR-файлов на Dropbox.

Лаборатория Касперского нашла и дополнительные инструменты, используемые для ручной загрузки данных.

Причем один из имплантов настроен на отправку данных через почтовый сервис Яндекса.

ВПО способно собирать подготовленные архивы с других компьютеров из сети, что позволяет злоумышленникам выводить украденные данные с хостов, не имеющих прямого подключения к Интернету.

Полученные данные свидетельствуют о тщательном планировании и способности злоумышленника адаптироваться к новым возможностям в целях кибершпионажа.