Исследователи F.A.C.C.T. раскрыли связь вымогателей Shadow c хактивистами из группы Twelve.

Среди многочисленных вымогателей, нацеленных на российский сегмент, наиболее изощренной является недавно обнаруженная, но довольно амбициозная группа — Shadow.

За последние полгода жертвами вымогателей становились промышленные, логистические, энергетические компании.

Похищая конфиденциальные данные и полностью шифруя инфраструктуру жертвы, Shadow выкатывают солидный по российским меркам выкуп в размере 140-190 млн руб.

Для шифрования Windows-систем используется запароленная версия программы-вымогателя LockBit, созданная с помощью одного из опубликованных в сентябре 2022 года билдера.

В текстовом файле с требованием выкупа атакующие помещают ссылку в Tor и идентификатор для доступа жертвы к чату с атакующими. 

Одной из "визитных карточек" группы стал перехват сессий Telegram на компьютерах жертвы, благодаря чему члены банды могут получать информацию о ее действиях, список контактов сотрудников компании, а также напрямую писать в лс руководителям компании.

Анализ нескольких атак Shadow позвоили найти допущенную атакующими ошибку, когда она набрали первоначально в своей консоли команду PowerShell на украинской раскладке. Допускали хакеры ошибки и при шифровании ИТ-инфраструктуры.

А вообще TTPs, используемые в атаках Shadow, идентичны и в некотором смысле шаблонны, как будто, атакующие действуют в соответствии с разработанными внутренними "мануалами".

Что касается Twelve: для атак использовалась также запароленная версия LockBit, но в создаваемом ею текстовом файле указывалось лишь название и отсутствовали какие-либо контактные данные.

Как известно, именно Twelve весной 2023 года взяла на себя ответственность за кибератаку на структуры ФТС РФ, а в мае — на российского производителя гидравлического оборудования.

После того, как во время недавнего реагирования F.A.C.C.T успешно отбили атаку Shadow в отношении одной крупной организации, вымогатели в отместку провели мощный DDoS на ее веб-сайт.

Дальнейший анализ позволил им выйти на связь вымогателей с хактивистами Twelve.

Оказалось, что в своих атаках на российские компании и организации обе группы используют схожие TTPs, а в некоторых кампаниях — и общую инфраструктуру.

Специалисты F.A.C.C.T. полагают, что F.A.C.C.T. что Shadow и Twelve являются частью одной группы, атакующей Россию. Целью является нанесение максимального ущерба российским частным компаниям и правительственным организациям.

Однако, если в случае с Shadow их движет финансовая мотивация, то у Twelve цель - это саботаж: они полностью уничтожают ИТ-инфраструктуру жертвы, не требуя денег.

Внимание! Внимание! Приближается ватный пост!

Кстати, хотим сказать всем задвигателям телег про "кремлевские методички" и "вату" - мы в курсе даже кто и когда придумал и крутил этот всратый мем про "рашку - квадратный ватник". Ну и кто тут теперь старпер?

Но вернемся к повесточке. Намедни два друга, хомут и подпруга, - Ирина Бороган и Андрей Солдатов, некогда авторы такого же всратого как и мем про ватник ресурса agentura. ru, - разместили на CEPA. org статью про нелегкий выбор российских технологических гигантов. Само собой, авторы в настоящее время находятся по ту сторону баррикад, в этих ваших европейских Палестинах.

Статья также получилась всратой.

В двух словах суть такова - крупные российские IT-игроки встали перед выбором: вилкой в глаз или в жопу раз остаться работать в России под угрозой потенциальных западных санкций либо свалить из проклятой Рашки, осудить действия тоталитарного режыма и схлопнуть российский сегмент бизнес.

В качестве примеров - Яндекс, в лице Воложа, с протестной стороны, и Лаборатория Касперского, в лице сами-знаете-кого, с прокровавых позиций.

Яндекс - все плохо, компанию дербанит гебуха, Волож сделался казах пьет и ждет новостей в части снятия европейских санкций.

Касперские - санкции США наложили еще в 2016 году, доля на российском рынке решений кибербезопасности выросла до 94% (хз, откуда они такую цифру взяли), Евгений Валентинович (tm) постит радостные фоточки из Кении.

Короче, несмотря, на угрозы в конце статьи "привлечь однажды неправильно маневрирующие компании к ответственности", с точки зрения мотивации для IT-бизнеса статья добивается целей, прямо противоположных тому, для чего она писалась.

А вообще, что-то все эти статейки про российскую "IT и инфосек оппозицию" густо пошли. Небось затеяли чего...

Исследователи Zscaler ThreatLabz проанализировали и расчехлили KillChain злоумышленника DuckTail.

DuckTail — это кампания, в которой участвуют несколько акторов, базирующихся во Вьетнаме и использующих одни и те же TTPs.

Злоумышленники, в первую очередь, нацелены на пользователей, работающих в сфере цифрового маркетинга и рекламы, проявляя интерес к бизнес-аккаунтам Facebook и TikTok, а также рекламным аккаунтам Google.

Злоумышленники атакуют рекламные аккаунты, чтобы получить доступ к рекламным бюджетам. Украденные аккаунты впоследствии реализуются в специализированных Telegram-группах. Цены варьируются от 15 долларов за низкосортный аккаунт до 340 - за ценный.

Основным вектором распространения DuckTail по-прежнему остается социальная инженерия посредством обмена сообщениями в LinkedIn.

Злоумышленники создают поддельные профили рекрутеров в LinkedIn и объявления о вакансиях, выдавая себя за популярные компании, чтобы заманить ничего не подозревающих жертв. При этом используют Google Translate для общения с потенциальными жертвами.

Вредоносное ПО DuckTail крадет сохраненные сеансовые файлы cookie из браузеров с помощью кода, специально предназначенного для захвата бизнес-аккаунтов Facebook.

Чаще всего вредоносная нагрузка DuckTail представляет собой исполняемый файл .NET. Однако некоторые полезные нагрузки Ducktail представлены в виде надстройки Excel или расширения браузера.

Исполняемый файл обычно поставляется в архиве вместе с файлами изображений и видео. Вредоносные архивы часто размещаются на общедоступных облачных хостингах, таких как iCloud, Google Drive, Dropbox, Transfer.sh и OneDrive.

В некоторых случаях злоумышленники используют Trello, платформу управления проектами, в качестве облачного хостинга, загружая архивы в виде вложений к картам Trello и предоставляя жертвам прямую ссылку для скачивания на карту.

Еще одной широко злоупотребляемой платформой является Rebrandly - сервис сокращения URL-адресов, который ими используется для распространения ссылок для скачивания.

Другой метод заражения - создание веб-страниц, которые якобы предлагают маркетинговые руководства и маркетинговое ПО, но на самом деле доставляют вредоносное ПО DuckTail.

Примечательно, что злоумышленники DuckTail успешно освоили в качестве инструмента ChatGPT и Google Bard AI, чтобы заманивать жертв для установки вредоносного ПО.

Для передачи и обмена украденной информацией злоумышленники используют Telegram, Facebook и Zalo. На вооружении у злоумышленников также и боты в телеге для автоматической обработки данных, поступающих от новых жертв.

Злоумышленники DuckTail используют частные прокси для авторизации в скомпрометированных аккаунтах, а также злоупотребляют функцией в Facebook «зашифрованные уведомления» для того, чтобы помешать жертве восстановить свою учетную запись.

И, как выяснили ресерчеры, OPSEC от слова совсем не практикуется: злоумышленников никак не волнует попадание их исходного IP в пользовательский интерфейс сервиса S5 Proxy, не говоря уже и про другие огрехи.

Подкатил новый обзор об эскалации угроз во втором квартале 2023 года от мастодонта отечественного инфосека Лаборатории Касперского.

Много для кого камнем преткновения стали атаки на цепочки поставок VoIP-решения 3CXDesktopApp, в ходе которых и было обнаружено распространение бэкдора Gopuram, где атакующие умудрились внедрить вредоносный код в библиотеку для обработки мультимедиа libffmpeg, скачивающий полезную нагрузку с серверов злоумышленников.

Примечательно, что бэкдор Gopuram на компьютерах одной криптовалютной компании в Юго-Восточной Азии был зафиксирован вместе с бэкдором AppleJeus, приписываемым группе Lazarus.

Рост заражений Gopuram пришелся на март 2023 года и был связан с атакой на цепочку поставок 3CX, причем атаки были направлены исключительно на криптовалютные компании. В том числе и поэтому была проведена параллель между кампанией 3CX и APT-группой Lazarus.

Более того, Gopuram был развернут на менее чем 10 зараженных машинах, что указывает на хирургическую точность злоумышленников при выборе цели.

В заключении специалистов говорится, что группа Lazarus, и без того известная своими продвинутыми техническими навыками, сменила направленность атак и усовершенствовала свои TTPs в рамках кампании DeathNote.

Что касается киберпреступных групп Tomiris и Turla, то у исследователей возникли некоторые сложности в их атрибуции.

Tomiris, впервые упомянутая в сентябре 2021 года, активно атаковала дипломатические организации в странах СНГ и Афганистане и использует разнообразные вредоносные инструменты и методы атаки, включая фишинг, перехват DNS и эксплуатацию уязвимостей.

В январе группе приписывали атаки на украинские организации, однако ряд специалистов считают, что за ними стояла группировка Turla. Бытует мнение, что это вовсе одна группировка, в то время как авторы статьи утверждают, что, несмотря на возможные связи, Turla и Tomiris — это две разные группы с различными целями и методами.

Не утихает угроза с CommonMagic и использование модульного фреймворка CloudWizard, которая затронула правительственные, сельскохозяйственные и транспортные организации в Донецке, Луганске и Крыму. Кто конкретно стоит за атаками доподлинно не известно, но данный регион был объектом повышенного интереса со стороны таких APT-групп, как Gamaredon, CloudAtlas и BlackEnerg.

Следующей APT заслуживающей отдельного внимания является GoldenJackal, которая активно атакует правительственные и дипломатические организации на Ближнем Востоке и в Южной Азии.

Главная особенность GoldenJackal — это специфичный набор зловредных имплантов на .NET: JackalControl, JackalWorm, JackalSteal, JackalPerInfo и JackalScreenWatcher, распространяемых посредством съемных носителей и используемых для контроля целевых систем. Пока нет достаточной информации о векторах заражения, которые использует эта группа, однако расследование показало, что группа применяла установщики Skype и вредоносные документы Word.

В своем обзоре не прошли мимо новости, которая взбудоражила общественность, связанной с обнаруженной в июне кампании под названием Операция Триангуляция (Operation Triangulation), где используется ранее неизвестное вредоносное ПО для iOS (шпионское зловред TriangleDB), распространяемое через сообщения iMessage без взаимодействия с пользователем. В ходе расследования выяснилось, что были заражены iPhone десятков сотрудников самой Лаборатории и полагаем, что в ближайшем будущем всплывет еще очень много интересных подробностей.

В совокупности вышел вполне себе всеобъемлющий отчет, включающий помимо прочего и группу Andariel (подразделение Lazarus) с новым семейством зловредов, использующих шифровальщик Maui вместе с эксплойтом Log4j, а также всплеск заражений банковским троянцем QBot и целый кластер малварей предназначенных для майнинга и кражи криптовалюты, таких как Minas, Satacom и DoubleFinger.

Исследовательская группа Cybernews сообщает о беспрецедентной утечке, допущенной со стороны Совета национальной безопасности США (NSC).

NSC является некоммерческой организацией и проводит обучение по вопросам безопасности. На своей цифровой платформе NSC предоставляет онлайн-ресурсы почти 55 000 своим членам.

Благодаря умелым действиям подрядчиков NSC в течение пяти месяцев оставались раскрыты тысячи учетных данных, принадлежащих 2000 компаниям, включая правительственные организации и крупные корпорации.

Ресерчеры Cybernews, традиционно рыская по сети, обнаружили публичный доступ к веб-каталогам, которые включали тысячи учетных данных таких компаний, как Shell, BP, Exxon, Chevron, Siemens, Intel, HP, Dell, Intel, IBM, AMD, Boeing, Pfizer, Eli Lilly, Ford, Toyota, Volkswagen, General Motors, Rolls Royce, Tesla, Verizon, Cingular, Vodafone, ATT, Sprint, Comcast, Amazon, Home Depot, Honeywell, Coca Cola, UPS.

Своебразной изюминкой сего пиршества стали: Минюстиции, ВМС США, ФБР, Пентагон, NASA, Управление по охране труда (OSHA), Федеральное управление гражданской авиации (FAA).

Все они, вероятно, имели учетные записи на платформе для доступа к учебным материалам или участия в мероприятиях, организованных NSC.

Уязвимость представляла риск не только для систем NSC, но и для компаний, использующих ее услуги, поскольку утечка могла быть использована для получения первоначального доступа к корпоративным сетям с последующей кражей, саботажем или ransowmare.

7 марта исследователи Cybernews обнаружили субдомен NSC, который, вероятно, использовался в ходе разработки. На нем был опубликован список всех веб-каталогов, что позволило получить доступ к большинству файлов сервера, включая резервную копию базы данных.

В общей сложности в резервной копии было сохранено около 9500 уникальных учетных данных, а также около 2000 различных корпоративных доменов электронной почты, принадлежащих компаниям.

Открытые пароли хешировались с использованием алгоритма SHA-512, применялись и соли. Однако они хранились вместе с хэшами паролей и кодировались только с использованием Base64, что значительно облегчает получение текстовой версии соли и впоследствии весь процесс взлома пароля (может занять до 6 часов).

Так что вполне вероятно, что значительная часть из них может быть взломана. Исследователи прогнозируют успешный взлом примерно 80% хэшей.

При всем при этом, как выяснилось далее, все данные были общедоступны в течение 5 месяцев, поскольку утечка была впервые проиндексирована поисковыми системами аж 31 января 2023 года.

Большие вопросы к разработчикам, конечно, но даже ответы на них уже вряд ли уберегут в какой-то перспективе пользователей платформы, которые потенциально могут столкнуться с всплеском спама, фишинговых атак и прочих вредоносных воздействий.

Splunk исправила множество серьезных уязвимостей, затрагивающих Splunk Enterprise и IT Service Intelligence, включая недостатки в сторонних пакетах.

Самая серьезная из ошибок, CVE-2023-40595 (оценка CVSS 8,8), описывается как проблема удаленного выполнения кода, которую можно использовать с помощью специально созданных запросов.

Эксплойт требует использования команды Collect SPL, которая записывает файл в установке Splunk Enterprise. Затем злоумышленник может использовать этот файл для отправки сериализованной полезной нагрузки, что может привести к RCE внутри полезной нагрузки.

Следующая CVE-2023-40598, уязвимость внедрения команд, влияет на устаревшую внутреннюю функцию, которую можно использовать для RCE.

Уязвимость связана с runshellscript, которую используют скриптовые действия по оповещению. Эта команда, наряду с поиском внешних команд, позволяет злоумышленнику использовать эту уязвимость для внедрения и выполнения команд в привилегированном контексте из экземпляра платформы Splunk.

В последних выпусках Splunk Enterprise также устранена XSS-ошибка (CVE-2023-40592), проблема прохождения абсолютного пути, приводящая к RCE (CVE-2023-40597), а также ошибка повышения привилегий, возникающая из-за небезопасной ссылки на путь в DLL (CVE-2023-40596).

Все уязвимости были устранены с выпуском версий Splunk Enterprise 8.2.12, 9.0.6 и 9.1.1, в которых дополнительно исправлены две уязвимости средней серьезности, связанные с DoS.

Splunk также анонсировала исправления для ошибки внедрения журналов без аутентификации (CVE-2023-4571, оценка CVSS 8,6) в IT Service Intelligence.

Эта проблема позволяет злоумышленнику внедрить escape-коды ANSI в файлы журналов, что приводит к RCE при чтении файла журнала в уязвимом терминальном приложении.

Несмотря на то, что уязвимость не влияет напрямую на IT Service Intelligence, косвенное влияние обусловлено разрешениями, которые имеет терминальное приложение, а также тем, откуда и как пользователь читает вредоносные файлы журналов.

Splunk исправила уязвимость в версиях IT Service Intelligence 4.13.3 и 4.15.3.

Разработчик ПО не упоминает ни о какой из этих уязвимостей, которые бы использовались в реальных атаках.

Хактивисты продолжают кошмарить Японию, массово взламывая маршрутизаторы по всей Японии и оставляя гневные сообщения на экранах входа в систему.

Послание направлено против решения правительства сбросить очищенную воду с АЭС Фукусима в Тихий океан на прошлой неделе. 

По сообщениям местных, взломам подверглось около 1500 маршрутизаторов, и все - модели Seiko SkyBridge и SkySpider.

Несколько групп хактивистов, включая The Five Families, объединившие ThreatSec, GhostSec, Stormous, Blackforums и SiegedSec, объявили о своих намерениях атаковать японские организации в прошлом месяце после того, как правительство объявило, что получило разрешение ООН на сброс воды из Фукусимы в океан.

Ранее, как мы уже писали, хакерская группа Anonymous, неоднократно заявляла в SNS, что они осуществили DDoS-атаки в связи с выпуском очищенной воды, что привело к выводу из строя ресурсов японских организаций в сфере энергетики. В NTT Security Japan назвали кампанию довольно масштабной атакой на Японию.

Но пока неясно, кто провел новую вредоносную операцию. Причем, как заявили власти, поставщик выпустил исправления для эксплуатируемых уязвимостей еще в феврале этого года.

Исследователи Group-IB в новом отчете разбирают scam-as-a-service Classiscam, доходы киберпреступников благодаря которой с момента ее появления в 2019 году достигли 64,5 мил. дол. И спустя четыре года продолжает работать.

Кампании Classiscam изначально начинались на тематических сайтах, на которых мошенники размещали фейковую рекламу и использовали методы социнженерии, чтобы убедить пользователей платить за товары переводами на банковские карты.

С тех пор кампании Classiscam стали более автоматизированными и их можно запускать на множестве других сервисов, включая маркеплейсы или каршеринговые платформы.

Большинство жертв пришлось на Европу (62,2%), за ними следуют Ближний Восток и Африка (18,2%), а также Азиатско-Тихоокеанский регион (13%). Наибольшее количество мошеннических транзакций, зарегистрированных в Classiscam, приходится на Германию, Польшу, Испанию, Италию и Румынию.

Пользователи из Великобритании потеряли в среднем наибольшую сумму денег из-за Classiscammers, поскольку средняя стоимость транзакции составила 865 долларов США. Следующими в этом списке были пользователи из Люксембурга (848 долларов за транзакцию), Италии (774 доллара) и Дании (730 долларов).

Classiscam, впервые обнаруженный в 2019 году, представляет собой обобщающий термин для операции, охватывающей 1366 различных групп в Telegram. Сначала эта деятельность была нацелена на Россию, а затем распространилась по всему миру, проникнув в 79 стран и выдав себя за 251 бренд. Массовые атаки начались во время пандемии COVID-19 в 2020 году, вызванной ростом онлайн-покупок.

Group-IB сообщила, что Classiscam — это то же самое, что и Telekopye, о котором на прошлой неделе поведала словацкая ESET, назвав ее фишинговым набором для создания поддельных страниц на основе готовых шаблонов.

Обман пользователей достигается путем перехода в чаты мессенджеров, где ссылки не блокируются. Фишинговые страницы создаются на лету с помощью ботов в Telegram.

Кампании, ориентированные на определенную группу стран, также включают поддельные страницы входа в систему для местных банков. Учетные данные собираются мошенниками для дальнейшей авторизации и перевода деньги на подконтрольные счета.

Всего Classiscammers создали ресурсы, имитирующие страницы входа 35 банков в 15 странах. Среди целевых банков были банки из Бельгии, Канады, Чехии, Франции, Германии, Польши, Сингапура и Испании.

Операторы Classiscam могут выступать как в роли покупателей, так и в роли продавцов. В первом случае злоумышленники заявляют, что оплата за товар была произведена, и обманом заставляют жертву (т.е. продавца) оплатить доставку или ввести данные своей карты для завершения проверки через фишинговую страницу.

Группы Classiscam раньше имели пирамидальную иерархию, состоящую из трех отдельных уровней: администраторы, которые отвечали за набор новых участников и создание мошеннических страниц; работники, общавшиеся с пострадавшими; и звонившие, выдававшие себя за специалистов техподдержки.

По состоянию на весну 2023 года эта пирамида расширилась, и группы Classiscam теперь содержат большее количество людей, выполняющих все более специализированные задачи.

Значительное изменение в методах работы некоторых группировок связано с использованием инфостиллеров для сбора паролей от учетных записей браузеров и передачи данных. Group-IB сообщила, что выявила 32 такие группы, которые перешли от проведения традиционных атак Classiscam к запуску воровских кампаний.

По мере того, как семьи воров становятся более надежными, многогранными и доступными, они не только снижают барьер для входа в финансово мотивированную киберпреступность, но также выступают в качестве прекурсора для ransomware, шпионажа и других задач после компрометации.

EclecticIQ выпустила бесплатный инструмент расшифровки для жертв ramsomware Key Group, который позволит восстановить данные без уплаты выкупа.

Key Group, также известная как keygroup777, известна продажей личной информации (PII) и доступом к взломанным устройствам, а также вымогательством у жертв денежных средств.

Ресерчеры смогли отследить, что группа использует приватные каналы в Telegram для общения с участниками и обмена подробностями о ПО. Кроме того, EclecticIQ полагают, что группа начала использовать NjRAT для удаленного доступа к устройствам жертвы.

Key Group впервые представила свой штамм 6 января и с тех пор продолжает использовать его в атаках.

На компьютере жертвы Key Group удаляет теневые копии тома (с помощью готовых инструментов) и резервные копии, созданные с помощью инструмента Windows Server Backup, а также пытается отключить функции безопасности, включая экран и среду восстановления Windows.

Программа-вымогатель также может отключать механизмы обновления средств защиты от вредоносных ПО различных поставщиков, включая Avast, ESET и Kaspersky.

Анализируя угрозу, исследователи EclecticIQ обнаружили несколько криптографических ошибок, которые позволили им разработать дешифратор для программы-вымогателя.

Они заметили, что программа-вымогатель использует шифрование AES и статический ключ в кодировке Base64 для шифрования файлов жертв, не применяя достаточного количества соли к зашифрованным данным.

Как пояснили в EclecticIQ, соль была статической и использовалась для каждого процесса шифрования, что представляло собой существенный недостаток в процедуре шифрования.

Однако в записках о выкупе, оставленных на скомпрометированных компьютерах, злоумышленники пугали жертв тем, что файлы были зашифрованы с помощью алгоритма шифрования военного уровня, поэтому данные можно будет восстановить, исключительно заплатив выкуп.

EclecticIQ заявляет, что ее бесплатный инструмент расшифровки можно использовать для расшифровки файлов с расширением keygroup777tg, но предупреждает, что этот инструмент является экспериментальным и может не работать со всеми образцами Key Group.

Инструмент представляет собой скрипт Python и доступен в конце отчета EclecticIQ. При этом работает только с образцами, собранными после 3 августа.

Исследователь из Cisco Talos Эдмунд Брумагин обнаружил, что малварь SapphireStealer используется несколькими субъектами угрозы, причем злоумышленники самостоятельно расширяют его функционал и создают собственные уникальные экземпляры вредоносного ПО.

Как считает исследователь, стиллер в том числе использовался для получения конфиденциальной информации, например корпоративные учетные данные, которые часто перепродавались другим субъектам, использующим доступ для дополнительных атак, включая операции, связанные с шпионажем или вымогательством.

В целом SapphireStealer мало чем отличается по функционалу от других подобных вредоносов, предлагаемых в даркнете, с функциями сбора информации о хосте, данных браузера, файлах, скриншотах и отправки данных в виде ZIP-файла через простой почтовый протокол передачи SMTP.

Однако его исходный код был опубликован в паблик в конце декабря 2022 года, что позволило злоумышленникам экспериментировать с вредоносным ПО, создавая версии, которые затрудняют его обнаружение.

Например, добавление таких гибких методов вывода данных с использованием веб-хука Discord или API Telegram.

Автор вредоносного ПО настолько расщедрился, что также слил в паблик загрузчик вредоносного ПО на .NET под названием FUD-Loader, который позволяет извлекать дополнительные пейлоады с серверов распространения, контролируемых злоумышленником.

После обнародования исходников специалисты Talos обнаружили, что загрузчик вредоносного ПО использовался в атаках для доставки инструментов удаленного администрирования, таких как DCRat, njRAT, DarkComet и Agent Tesla.

͏И снова здравствуйте!

Исследователи из Pulse Security сообщают о весьма простом способе взлома зашифрованного компьютера Linux.

Чтобы обойти полное шифрование TPM в Ubuntu достаточно лишь очень быстро нажать клавишу ENTER во время загрузки.

Используя уязвимость, злоумышленник, имеющий физический доступ к зашифрованной системе Ubuntu 20.04 Linux (если он использует RedHat Clevis и dracut), может получить локальный root-доступ к компьютеру во время раннего процесса загрузки, вручную разблокировать шифрование диска на основе TPM и прочитать конфиденциальную информацию, хранящуюся на диске компьютера.

Когда вы включаете зашифрованный компьютер Linux, вам, вероятно, придется ввести два пароля, прежде чем вы сможете его использовать: сначала вам нужно ввести пароль шифрования диска, чтобы разблокировать LUKS (настройка единого ключа Linux), а затем вам нужно ввести пароль пользователя для входа в систему

Как правило, компьютер с Linux, использующий автоматическое шифрование диска с защитой TPM, по-прежнему позволяет пользователю просматривать выходные данные процесса загрузки и, при необходимости, вручную вводить пароль для расшифровки с клавиатуры. Пока происходит автоматическая разблокировка TPM, пользователю предлагается запрос пароля и возможность ввести данные.

Еще в 2016 году в сценарии запуска Debian cryptsetup также была уязвимость, позволявшая злоумышленнику просто удерживать клавишу Enter, получить root-доступ к среде ранней загрузки. На этот раз спецы Pulse Security решили опробовать что-то подобное.

Существует ограниченный промежуток времени, прежде чем TPM разблокирует диск и процесс загрузки автоматически перейдет к приглашению для входа в систему. Используя микроконтроллер Atmel ATMEGA32U4, можно эмулировать клавиатуру, которая отправляет виртуальные нажатия клавиш с максимальной скоростью, которую принимает компьютер.

Через секунду после подключения эта программа начинает имитировать нажатие Enter на виртуальной клавиатуре каждые 10 миллисекунд. Это примерно в 10 раз быстрее, чем обычная частота повторения, которую можно получить, просто удерживая клавишу, и Linux, похоже, распознает около 70 символов в секунду, используя этот метод (или одно нажатие клавиши примерно каждые 15 миллисекунд).

Отправка таких быстрых нажатий клавиш позволяет быстро достигать максимального количества попыток ввода пароля, в то же время удерживая систему от автоматической разблокировки диска из-за ограничения скорости подбора пароля, что приводит к доступу к корневой оболочки в среде ранней загрузки.

Отсюда легко вручную использовать TPM, чтобы разблокировать диск с помощью инструмента Clevis и смонтировать корневой том для взлома.

В России продолжаются веерные блокировки VPN, и в случае с AtlasVPN Linux - это даже очень неплохо.

Анонимный исследователь опубликовал подробности [в архиве] об обнаруженной 0-day в клиенте AtlasVPN, которую он считает не ошибкой, а лазейкой, что также подтвердили независимые эксперты.

Linux-клиент AtlasVPN состоит из двух частей. Демон (atlasvpnd), который управляет подключениями, и клиент (atlasvpn), которым пользователь управляет для подключения, отключения и получения списка служб. 

Демон AtlasVPN в Linux запускает HTTP-сервер по адресу 127.0.0.1:8076, который принимает команды CLI без какой-либо аутентификации.

Уязвимость позволяет злоумышленникам заманивать пользователей AtlasVPN на вредоносные сайты, где они могут отправлять запросы на локальный сервер для выполнения вредоносных операций, включая POST на адрес 127.0.0.1:8076/connection/stop для мгновенного отключения вашего VPN.

Если затем он выполнит еще один запрос, это приведет к утечке реального IP-адреса пользователя на любой веб-сайт с использованием кода эксплойта.

Самое занимательное в этой истории то, что публикация подробностей и PoC на Reddit последовали после упорного молчания и игнорирования баги со стороны самой компании. Но для кого бага, а для кого - фича.

Вслед за Южной Кореей на стороне США с обвинениями в тайных кибероперациях и кибершпионаже в адрес КНР подключилась теперь и Германия.

Правительство ФРГ заявило, что китайские APT захватывают маршрутизаторы SOHO, устройства NAS и системы умного дома для проведения операций кибершпионажа, используя взломанные в качестве сети прокси-серверов для сокрытия источника атак.

Согласно рекомендациям, опубликованным Федеральным ведомством по защите конституции Германии (BFV) на прошлой неделе, отмечено, что китайские АРТ, в частности, APT15 (Vixen Panda, Ke3chang Vixen Panda, Ke3chang) и APT31 (Zirconium, Judgment Panda), активно используют эту тактику.

Как заявляют в BFV, не называя конкретных жертв, объектами атак стали правительственные и политические органы.

Однако, как сообщают DerStandardDerStandard, DerSpeigelDerSpeigel и ZDF, одной из жертв APT15 в ходе атак с использованием взломанных маршрутизаторов могло стать скомпрометированное в декабре 2021 года Федеральное агентство картографии и геодезии (BKG), которое готовит высокодетализированные карты для спецслужб.

Стоит отметить, что взломанные маршрутизаторы и IoT-устройств в качестве прокси для сокрытия атакующей инфраструктуры за последнее десятилетие получило широкое распространение.

Впервые, его использовали именно спецслужбы США, а затем уже технологию освоили и другие. Причем, некоторые APT, такие как APT28 и OceanLotus, создают и управляют собственными прокси-сетями, такими как VPNFilter и Torii Torii, а некоторые арендуют прокси у операторов IoT-ботнетов. Mirai и еже с ними хорошо подсобили в этом вопросе.

В свою очередь, китайские APT можно сказать опоздали с внедрением прокси-сетей для сокрытия своих операций, как видно из недавних отчетов.

Всего через несколько дней после выпуска крупного обновления безопасности, опубликован код эксплойта для критической уязвимости обхода аутентификации SSH в инструменте анализа VMware Aria Operations for Networks (ранее известном как vRealize Network Insight).

CVE-2023-34039 была обнаружена аналитиками из ProjectDiscovery Research и исправлена VMware в прошлую среду с выпуском версии 6.11.

Успешная эксплуатация позволяет удаленным злоумышленникам обойти аутентификацию SSH на непропатченных устройствах и получить доступ к интерфейсу командной строки инструмента в атаках низкой сложности, которые не требуют взаимодействия с пользователем из-за «отсутствия генерации уникального криптографического ключа».

VMware подтвердила, что код эксплойта CVE-2023-34039 был опубликован в Интернете, через два дня после раскрытия критической баги.

PoC нацелен на все версии Aria Operations for Networks с 6.0 по 6.10. Он был разработан и выпущен исследователем Summoning Team Синой Хейркхой.

Основной причиной проблемы он назвал - жестко запрограммированные ключи SSH, оставшиеся после того, как VMware забыла повторно сгенерировать авторизованные ключи SSH, и чтобы создать полнофункциональный эксплойт, ему пришлось собрать все ключи из разных версий этого продукта.

На неделе VMware также исправила уязвимость записи произвольного файла (CVE-2023-20890), которая позволяет злоумышленникам реализовать RCE после получения доступа администратора к целевому устройству (PoC CVE-2023-34039 может позволить им получить root-права после успешного атаки).

В свете этого администраторам настоятельно рекомендуется как можно скорее обновить свои устройства Aria Operations for Networks до последней версии в качестве превентивной меры против потенциальных входящих атак.

Interlabs в своем отчете сообщают о новом RAT на открытом исходном коде, который используется северокорейской APT Kimsuky (aka APT43, Emerald Sleet, Nickel Kimball и Velvet Chollima) для нацеливанная на журналистов и активистов в Южной Корее.

Обнаружить и изучить новый троян, получивший название SuperBear, удалось после того, как была атакована одна из ненадеванных жертв фишинговой кампании, с которой связались в конце августа 2023 года и направили вредоносный файл LNK.

Причем та же кампания наблюдалась исследователями Qihoo 360.

Файл LNK при выполнении запускает команду PowerShell для выполнения сценария Visual Basic, который, в свою очередь, извлекает полезные данные следующего этапа с реального, но скомпрометированного веб-сайта WordPress.

К ним относятся двоичный файл Autoit3.exe («solmir.pdb») и сценарий AutoIt («solmir_1.pdb»), запускаемый с использованием первого.

Сценарий AutoIt, в свою очередь, выполняет внедрение процесса, используя технику очистки процесса, при которой вредоносный код вставляется в процесс, находящийся в приостановленном состоянии.

В этом случае создается экземпляр Explorer.exe для внедрения ранее не встречавшегося RAT, SuperBear, который устанавливает связь с удаленным сервером для извлечения данных, загрузки и запуска дополнительных команд оболочки и библиотек динамической компоновки (DDL).

Действие по умолчанию для сервера C2, по всей видимости, дает указание клиентам извлечь и обработать системные данные.

При этом вредоносное ПО названо так потому, что вредоносная DLL попытается создать для него случайное имя файла, и если он не может быть назван SuperBear.

Атаку со средней степенью уверенностью связывают с северокорейской Kimsuky, ссылаясь на сходство с первоначальным вектором и используемыми командами PowerShell.

Ранее в феврале Interlab уже наблюдала, как представители северокорейских АРТ атаковали журналиста в Южной Корее с помощью вредоносного ПО для Android, получившего название RambleOn, использую социнженерию.

Очередной скандал в благородном семействе произошел в последние деньки минувшего лета.

Известные своим вредным поведением исследователи из канадской Citizen Lab, ранее неоднократно курощавшие коммерческие компании, специализирующиеся на легальном взломе (от их рук "пострадали" NSO Group, Cytrox, FinFisher и другие), наконец-то обратили свое внимание на SS7.

Кто не знает, что такое SS7 (он же ОКС-7) и его дырки, - тот счастливый человек. Кто знает - тот конченный параноик, использующий вместо телефонной связи почтовых голубей. Либо оптихуист.

Не будем растекаться мыслью по древу - с помощью SS7 можно делать с телефонной связью (в том числе с мобильной) в приципе все, вплоть до введения в состояние грогги целых региональных коммутаторов путем пробития с ноги в щщи HLR. Конечно от этого можно защититься. Но, во-первых, это геморрно, во-вторых - дорого. "Хрен с ними, с абонентами" - так думают большинство телефонных компаний в мире.

Хотя и тут есть один подвох. Заключается он в том, что для атак через SS7 необходимо иметь доступ в этот самый SS7. А туда не всех пускают, а только авторизованных операторов связи. Поэтому многие операторы в странах третьего мира (и не только) дают за денежки доступ в сигнальную сеть всяким фейковым ОПСОСам, а те уже не стесняются. Помогает этим негодяям то, что SS7 хреново защищен, все что хочешь можно подделать, а в самом сигнальном сегменте шарят ровно 3,5 коммутаторщика. Terra Incognita, етить!

Citizen Lab обнаружили, что GT (Global Title), своеобразный аналог IP-адресов в SS7, принадлежащие оператору Digital Pacific, базирующемуся на островах Тихого Океана, активно используются различными мутными фирмешками для идентификации сотовых телефонов и пробива их геолокации. В том числе разных журналистов и правозащитных правозащитников.

Вишенка на торте - прошлым летом Digital Pacific была куплена австралийским оператором Telstra, при этом 1,3 млрд долларов США было выделено в качестве поддержки сделки австралийским правительством. Под предлогом "противодействию китайскому шпионажу в Тихоокеанском регионе".

Китайских шпионов, понятное дело, не пустили. Пустили побольше своих.

Ведь совершенно понятно, совершенно, что существенная часть мутных частных компаний по мобильному пробиву является не более чем прокладкой между спецслужбами разведсообщества FiveEyes и операторами сотовой связи. Потому что буратинку всегда можно слить в случае кипеша и поставить нового.

Поэтому этот скандал, так же как и большинство предыдущих, касающихся деятельности госорганов AUKUS и прочих НАТО, ничем не закончится. А поскольку мы относим себя к оптихуистам, то скажем на это - ну и хрен с ним.

Во Франции уголовное дело PyLocky с обвиняемым алжирским хакером BX1 (ака Daniel HB) дошло до суда и развалилось из-за технической ошибки в судебных документах.

Но и это еще не все.

Французские прокуроры обвинили 34-летнего Хамзу Бенделладжа в организации атак с помощью программы-вымогателя PyLocky на французские компании, которые он проводил прямо из тюремной камеры в США.

За Бенделладжем, входившим в десятку самых разыскиваемых хакеров, пять лет гонялись американские спецслужбы по обвинению в хищении десятков миллионов долларов у более чем двухсот американских и европейских финучреждений с помощью трояна SpyEYE, заразившим более 60 миллионов компьютеров по всему миру.

Бенделладж был арестован 7 января 2013 года тайской полицией во время остановки в Бангкоке. Он получил прозвище Smiling Hacker из-за постоянной улыбки на лице во время задержания и следственных действий.

В мае 2013 года его экстрадировали в США. Его судили в Атланте, где 25 июня 2015 года он признал себя виновным. Через год суд приговорил его к 15 годам тюремного заключения и 3 годам условно.

В ходе судебного процесса во Франции юристы хакера обнаружили, что в следственных документах содержались неправильные формулировки, в которых упоминалась программа-вымогатель JobCrypter, а не инкриминируемая PyLocky.

В результате чего судья был вынужден прекратить дело после того, как обвинение подтвердило процессуальную ошибку.

Так что BX1 продолжает улыбаться, и, вероятно, подрабатывать с зоны.

͏Мы хотели было написать очередной новостной пост по следам последнего отчета Security Joes в отношении наблюдения в дикой природе атак на объектное хранилище MinIO, однако подумали - какого черта?!

Две критичные уязвимости были выявлены и закрыты еще в марте этого года, а в апреле в паблике появился их эксплойт. Между тем, как утверждают Security Joes, в сети доступны более 52 тысяч экземпляров MinIO, из которых только 38% обновлены до неуязвимой версии. В России, кстати, всего наружу торчит около 1800 MinIO, а значит примерно 1100 установок дырявые.

Если админ за полгода (!) не обновил один из ключевых объектов своей инфраструктуры, то нам его совершенно не жаль - он просто мудак. И его начальник, который его держит на должности - мудак. И директор HR, который нанял таких специалистов - мудак. И генеральный директор компании вместе с учредителями, допустившие такую кадровую политику в ущерб информационной безопасности своих данных, - мудаки. Нам их всех ничуть не жаль, они должны страдать.

Пора вводить новый вид атак - атака на цепочку мудаков. Она куда более распространена, чем атаки на цепочку поставок или цепочку зависимостей.

Давненько не было LockBit в нашей ленте, но зато, если редко - то всегда метко.

На днях группа опубличила гигабайты конфиденциальных данных британской компании Zaun, в том числе связанная с британскими военными, разведывательными и исследовательскими базами.

Компания со штаб-квартирой в Вулвергемптоне специализируется на строительстве оградительных сооружений для исправительных учреждений, военных баз и объектов коммунального назначения.

В уведомлении об утечке, Zaun сообщила, что кибератака произошла в 5-6 августа. При этом компания смогла предотвратить ее до того, как данные были зашифрованы, а инцидент не прервал операционную деятельность.

Но при всем этом, как они сами признались, взлом произошел через компьютер с Windows 7, на котором было установлено ПО для одной из наших производственных машин. И дословно: Машина удалена, уязвимость закрыта.

LockBit взяла на себя ответственность за эту атаку 13 августа. Банда поставила Zaun условие в срок до 29 августа произвести выплату выкупа – после чего опубликовала часть данных на своем DLS.

Как отмечают представители Zaun, вымогателям в ходе атаки удалось все же эксфильтровать данные, предполагая, что это 10 ГБ, потенциально включающих некоторые электронные письма, заказы, чертежи и файлы проектов, но не содержащих секретные сведения.

Вместе с тем, The Daily Mirror отмечают, что в опубликованных LockBit файлах были тысячи страниц проектов и чертежей, которые могут помочь потенциальным нарушителям или диверсантам проникнуть, к примеру, на военно-морскую базу HMNB Клайд, базу атомных подводных лодок, лабораторию химического оружия Портон-Даун и комплекс связи GCHQ в Буде, Корнуолл.

Кроме того, утекли подробные чертежи ограждений по периметру Каудора, объекта британской армии в Пембрукшире, и документы, относящиеся к ряду тюрем, включая категории А - Лонг Лартин в Вустершире и Уайтмур в Кембриджшире.

Региональный отдел по борьбе с киберпреступностью Уэст-Мидлендса совместно с Национальным центром кибербезопасности (NCSC) в настоящее время начал расследование.

Парламентарии тем временем считают, что инцидент может нанести очень серьезный ущерб безопасности, требуя пояснений от правительства, почему компьютерные системы этой фирмы были настолько уязвимы.

К слову, еще один из примеров атаки на цепочку мудаков - на лицо, как говорится.

Positive Technologies поделились подробностями реализации атаки, которая привела к остановке центрифуги для обогащения урана, пусть хоть и на виртуальной, но АЭС.

В рамках Standoff 11 организаторы представили виртуальное государство F с атомной промышленностью. В атомной промышленности выделили основные отраслевые элементы и этапы — от добычи урановой руды до захоронения отходов.

По сценарию кибербитвы для атак были доступны АЭС (включая электроподстанцию) и завод по обогащению урана. Задачей атакующих (red team) было реализовать недопустимые события на виртуальной АЭС, а защитников (blue team) — расследовать атаку.

На второй день противостояния на виртуальном заводе перестали работать несколько центрифуг. Атакующим удалось проникнуть во внутреннюю сеть предприятия и отправить контроллеру соответствующую команду.

Цепочка реализованных в ходе Standoff событий наглядно демонстрирует, что даже самые защищенные системы и критическая инфраструктура подвержены уязвимостям.

Атака началась с обычного фишингового письма. После того, как пользователь открыл зараженный документ, red team удалось переместиться через несколько устройств и по итогу получить доступ к узлу оператора ПЛК. Именно оттуда они остановили центрифугу для обогащения урана.

В реальной жизни изменение скорости вращения центрифуг может привести к остановке обогащения урана и обнулить весь процесс.

К тому же при неправильном изменении частоты вращения центрифуга может выйти из строя, а ее восстановление займет месяцы, как это было в случае со Stuxnet, отбросившим ядерную программу Ирана на два года назад.

Ретроспективу событий, сохранившихся в SOC, распутали специалисты PT Expert Security Center, о чем в подробностях поведали в блоге.