͏Начавшая карьеру в сфере ransomware банда-новичок, именуемая RansomedVC, сделала громкое заявление о взломе всех систем Sony Group Corporation, о чем появилась соответствующая отметка на DLS.
В ней указывается, что данные Sony теперь уйдут с молотка, ведь, если верить RansomedVC, корпорация отказалась от выкупа. При этом сама Sony пока еще никак комментировала возможный инцидент.
В качестве доказательств взлома киберпреступники предоставили несколько файлов, включая несколько файлов Java и скрины, очевидно демонстрирующие доступ к исходному коду и приложениям, связанным с Sony Creators Cloud. Один из утекших файлов - это презентация PowerPoint с пометкой «конфиденциально» и, судя по всему, имеет отношение к отделу качества Sony, но датирована 2017 годом.
RansomedVC - это сравнительно новая группа вымогателей, которую Malwarebytes впервые отследила в августе 2023 года после того, как она опубликовала на своем сайте информацию о девяти жертвах.
Группа следует излюбленной легенде, распространенной среди коллег, согласно которой их роль сводится к своего рода пентестерам, но в случае с RansomedVC добавляется тема с GDPR для оправдания атак и давления на жертв, согласно которой необходимо сообщать о любых уязвимостях, которые они обнаруживают в сетях своих жертв.
Помимо этого, RansomedVC позиционируют себя как сервис «цифрового налога за мир» и угрожает жертвам штрафами за утечку данных, если выкуп не будет выплачен. Требования о выкупе варьируются от нескольких тысяч до 1 млн. долл.
Возвращаясь к инциденту с Sony, всплывают новые обстоятельства: в даркнете считают, что вымогатели соскамились и пытаются пропиариться, а якобы в Sony никакие корпоративные данные не были украдены и услуги не пострадали. Заявленные данные были получены из другой утечки.
Тем не менее, Sony инициировала расследование после заявления вымогателей, детали которого не раскрываются.
Удастся ли RansomedVC повторить кампанию Lazarus станет известно по результатам проверки, а пока будем относиться к подобным заявлениям с определений долей скепсиса.
В ней указывается, что данные Sony теперь уйдут с молотка, ведь, если верить RansomedVC, корпорация отказалась от выкупа. При этом сама Sony пока еще никак комментировала возможный инцидент.
В качестве доказательств взлома киберпреступники предоставили несколько файлов, включая несколько файлов Java и скрины, очевидно демонстрирующие доступ к исходному коду и приложениям, связанным с Sony Creators Cloud. Один из утекших файлов - это презентация PowerPoint с пометкой «конфиденциально» и, судя по всему, имеет отношение к отделу качества Sony, но датирована 2017 годом.
RansomedVC - это сравнительно новая группа вымогателей, которую Malwarebytes впервые отследила в августе 2023 года после того, как она опубликовала на своем сайте информацию о девяти жертвах.
Группа следует излюбленной легенде, распространенной среди коллег, согласно которой их роль сводится к своего рода пентестерам, но в случае с RansomedVC добавляется тема с GDPR для оправдания атак и давления на жертв, согласно которой необходимо сообщать о любых уязвимостях, которые они обнаруживают в сетях своих жертв.
Помимо этого, RansomedVC позиционируют себя как сервис «цифрового налога за мир» и угрожает жертвам штрафами за утечку данных, если выкуп не будет выплачен. Требования о выкупе варьируются от нескольких тысяч до 1 млн. долл.
Возвращаясь к инциденту с Sony, всплывают новые обстоятельства: в даркнете считают, что вымогатели соскамились и пытаются пропиариться, а якобы в Sony никакие корпоративные данные не были украдены и услуги не пострадали. Заявленные данные были получены из другой утечки.
Тем не менее, Sony инициировала расследование после заявления вымогателей, детали которого не раскрываются.
Удастся ли RansomedVC повторить кампанию Lazarus станет известно по результатам проверки, а пока будем относиться к подобным заявлениям с определений долей скепсиса.
Министерство финансов Кувейта попало под раздачу ransomware и пытается оправиться от атаки.
Как сообщают источники, атака началась 18 сентября, и чиновники немедленно попытались локализовать затронутые системы.
В понедельник Минфин отчитался, что Национальный киберцентр страны работает 24/7, чтобы решить проблему, и привлек на помощь передовые инфосек-компании.
Видимо для Кувейта атака началась, ровно тогда, когда у злоумышленников она уже закончилась, поскольку в тот же понедельник группа вымогателей Rhysida добавила жертву на свой DLS, предоставив правительству неделю на оплату выкупа. Размер гонорара пока публично не оглашался.
Ранее группировка уже предпринимала столь деструктивные атаки, когда положила в штатах Prospect Medical Holdings, которая управляет 16 больницами, и в результате инцидента была вынуждена перенаправлять скорые помощи.
Кувейт под прицелом злоумышленников тоже не впервые, еще в прошлом году на территории страны были атакованы несколько магазинов Ikea группой вымогателей Vice Society, которая, как полагают исследователи, может иметь связи с Rhysida.
Кстати, все эти атаки произошли на фоне того, как Совет национальной безопасности США призвал правительства других стран отказаться от выплат выкупа бандам вымогателей.
Одно дело рассуждать, совсем другое поднимать инфраструктуру - уже после состоявшегося инцидента, так что у правительства Кувейта теперь есть все условия, чтобы на практике апробировать рекомендации звездно-полосатых.
Как сообщают источники, атака началась 18 сентября, и чиновники немедленно попытались локализовать затронутые системы.
В понедельник Минфин отчитался, что Национальный киберцентр страны работает 24/7, чтобы решить проблему, и привлек на помощь передовые инфосек-компании.
Видимо для Кувейта атака началась, ровно тогда, когда у злоумышленников она уже закончилась, поскольку в тот же понедельник группа вымогателей Rhysida добавила жертву на свой DLS, предоставив правительству неделю на оплату выкупа. Размер гонорара пока публично не оглашался.
Ранее группировка уже предпринимала столь деструктивные атаки, когда положила в штатах Prospect Medical Holdings, которая управляет 16 больницами, и в результате инцидента была вынуждена перенаправлять скорые помощи.
Кувейт под прицелом злоумышленников тоже не впервые, еще в прошлом году на территории страны были атакованы несколько магазинов Ikea группой вымогателей Vice Society, которая, как полагают исследователи, может иметь связи с Rhysida.
Кстати, все эти атаки произошли на фоне того, как Совет национальной безопасности США призвал правительства других стран отказаться от выплат выкупа бандам вымогателей.
Одно дело рассуждать, совсем другое поднимать инфраструктуру - уже после состоявшегося инцидента, так что у правительства Кувейта теперь есть все условия, чтобы на практике апробировать рекомендации звездно-полосатых.
Economy Middle East
Kuwait’s ministry of finance recovery efforts post major ransomware attack
Kuwait’s Ministry of Finance (MoF) disclosed that the National Cyber Center of the country has been tirelessly working to resolve a ransomware attack that targeted the ministry last week. The attack was launched on September 18, and prompted swift action…
Вероятно, отчаявшись и будучи совершенно обескураженным от увиденного хакер решил поделиться с инфосеком подробностями атаки на Conduent, где про ИБ не слышали от слова совсем.
Проникнуть в периметр хакеру удалось после взлома электронной почты сотрудника ИБ, откуда за 3 последующие месяца был получен доступ ко всей инфраструктуре.
После смены пароля, для входа использовалась электронка одного из руководителей отдела кадров, к которой был добавлен собственный MFA, что обеспечило еще 6-7 месяцев.
За это время хакер выкрал всю почту и документацию, перечитал все чаты, зачистил все переписки и файлы, к которым мог получить доступ. Но так и не был обнаружен.
Как подытожил автор, компания является ярким примером того, чего не следует делать, а вместо потенциальной АРТ - к счастью, почти год в ее сети пробыл «скучающий придурок».
В этой истории прекрасно все, но особый изыск ей придает тот факт, что Conduent - это американская компания с доходом в 4,14 млрд. долл.
Проникнуть в периметр хакеру удалось после взлома электронной почты сотрудника ИБ, откуда за 3 последующие месяца был получен доступ ко всей инфраструктуре.
После смены пароля, для входа использовалась электронка одного из руководителей отдела кадров, к которой был добавлен собственный MFA, что обеспечило еще 6-7 месяцев.
За это время хакер выкрал всю почту и документацию, перечитал все чаты, зачистил все переписки и файлы, к которым мог получить доступ. Но так и не был обнаружен.
Как подытожил автор, компания является ярким примером того, чего не следует делать, а вместо потенциальной АРТ - к счастью, почти год в ее сети пробыл «скучающий придурок».
В этой истории прекрасно все, но особый изыск ей придает тот факт, что Conduent - это американская компания с доходом в 4,14 млрд. долл.
Крупная логистическая компания KNP Logistics, дочка Knights of Old со 158-летней историей, вынуждена уволить около 730 сотрудников в результате ransomware-атаки.
KNP Logistics Group была образована в 2016 году в результате слияния Knights of Old с базирующейся в Дерби компанией Nelson Distribution Limited, включая Steve Porter Transport Limited с острова Уайт и Merlin Supply Chain Solutions Limited, расположенную в Айлипе и Лутоне.
В июне этого года компания подверглась крупной атаке с использованием программы-вымогателя, которая затронула практически все ключевые системы, процессы и финансовую информацию, нанеся непоправимый ущерб и серьезные бюджетные издержки.
Как бы ни старались совладельцы бизнеса Раджнеш Миттал и Филип Армстронг, привлечь дополнительные инвестиции и финансирование не удалось, в связи с чем они были вынуждены принимать жесткие административные меры.
Как сообщает BBC, по итогу все сотрудники группы, за исключением 170, были уволены, а входящая в конгломерат Nelson Distribution Limited была продана.
Теперь некогда одна из крупнейших частных логистических групп в Великобритании по факту уходит, теряя свой статус и оставляя большую часть рынка.
Интересно, есть ли среди уволенных 730 сотрудников лица, отвечавшие в компанию за информационную безопасность...
KNP Logistics Group была образована в 2016 году в результате слияния Knights of Old с базирующейся в Дерби компанией Nelson Distribution Limited, включая Steve Porter Transport Limited с острова Уайт и Merlin Supply Chain Solutions Limited, расположенную в Айлипе и Лутоне.
В июне этого года компания подверглась крупной атаке с использованием программы-вымогателя, которая затронула практически все ключевые системы, процессы и финансовую информацию, нанеся непоправимый ущерб и серьезные бюджетные издержки.
Как бы ни старались совладельцы бизнеса Раджнеш Миттал и Филип Армстронг, привлечь дополнительные инвестиции и финансирование не удалось, в связи с чем они были вынуждены принимать жесткие административные меры.
Как сообщает BBC, по итогу все сотрудники группы, за исключением 170, были уволены, а входящая в конгломерат Nelson Distribution Limited была продана.
Теперь некогда одна из крупнейших частных логистических групп в Великобритании по факту уходит, теряя свой статус и оставляя большую часть рынка.
Интересно, есть ли среди уволенных 730 сотрудников лица, отвечавшие в компанию за информационную безопасность...
BBC News
Kettering logistics firm enters administration with 730 jobs lost
Administrators say the company was financially crippled by a cyber attack in June.
Исследователи F.A.C.C.T. продолжают отслеживать вымогателей Shadow, которые теперь опустошают бюджеты своих жертв под новым брендом C0met.
Причем еще в начале лета исследователям удалось найти взаимосвязь Shadow с другой преступной группой, также атаковавшей крупный российский бизнес - Twelve, обнаружив общие инструменты, TTPs, а в нескольких атаках — и общую инфраструктуру.
Вымогатели из Shadow работают исключительно «за кеш»: банда следует классической модели вымогательства, крадет и шифрует данные, а затем требуя крупный выкуп (в размере 5-10% от годового дохода компании) за расшифровку и не разглашение похищенной конфиденциальной информации.
Twelve же напротив позиционировала себя в качестве хактивистов: на финальном этапе атаки злоумышленники уничтожали ИТ-инфраструктуру жертвы, осуществляя шифрование всех данных без возможности расшифровки.
Именно Twelve весной 2023 взяла на себя ответственность за взлом ФТС РФ, а в мае - за атаку на российского производителя гидравлического оборудования.
Обе группировки практикуют взлом телег пользователей из числа сотрудников целевых оршганизаций, а переписку и данные используют для разведки.
А после шифрования участники банды создают группы Telegram по теме инцидента, в которые добавляет ИТ-специалистов и руководство компании-жертвы.
Теперь, как заметили исследователи, группировка Shadow провела ребрендинг и стада именоваться Comet (C0met).
Атакующие, как и прежде, используют в атаках модифицированную версию программы LockBit 3 (Black), созданную с помощью одной и той же версии утекшего в паблик билдера, а для Linux-систем - ransomnware, созданную на основе исходников Babuk.
Примечательно, что члены группировки Comet заявляют об интернациональном составе группировки и таргетинге в том числе и за пределами России.
Преступники "прикрываются" сложностью анализа зашифрованной версии LockBit 3, а соответственно и атрибуции таких версий LockBit 3 (Black) к конкретной преступной группе.
Однако, по информации F.A.C.C.T., жертвы Shadow и Twelve, а теперь и Comet замечены лишь в РФ: Москва, Санкт-Петербург, Барнаул, Екатеринбург, Ижевск, Череповец и др.
Так что не далеко ушли.
Причем еще в начале лета исследователям удалось найти взаимосвязь Shadow с другой преступной группой, также атаковавшей крупный российский бизнес - Twelve, обнаружив общие инструменты, TTPs, а в нескольких атаках — и общую инфраструктуру.
Вымогатели из Shadow работают исключительно «за кеш»: банда следует классической модели вымогательства, крадет и шифрует данные, а затем требуя крупный выкуп (в размере 5-10% от годового дохода компании) за расшифровку и не разглашение похищенной конфиденциальной информации.
Twelve же напротив позиционировала себя в качестве хактивистов: на финальном этапе атаки злоумышленники уничтожали ИТ-инфраструктуру жертвы, осуществляя шифрование всех данных без возможности расшифровки.
Именно Twelve весной 2023 взяла на себя ответственность за взлом ФТС РФ, а в мае - за атаку на российского производителя гидравлического оборудования.
Обе группировки практикуют взлом телег пользователей из числа сотрудников целевых оршганизаций, а переписку и данные используют для разведки.
А после шифрования участники банды создают группы Telegram по теме инцидента, в которые добавляет ИТ-специалистов и руководство компании-жертвы.
Теперь, как заметили исследователи, группировка Shadow провела ребрендинг и стада именоваться Comet (C0met).
Атакующие, как и прежде, используют в атаках модифицированную версию программы LockBit 3 (Black), созданную с помощью одной и той же версии утекшего в паблик билдера, а для Linux-систем - ransomnware, созданную на основе исходников Babuk.
Примечательно, что члены группировки Comet заявляют об интернациональном составе группировки и таргетинге в том числе и за пределами России.
Преступники "прикрываются" сложностью анализа зашифрованной версии LockBit 3, а соответственно и атрибуции таких версий LockBit 3 (Black) к конкретной преступной группе.
Однако, по информации F.A.C.C.T., жертвы Shadow и Twelve, а теперь и Comet замечены лишь в РФ: Москва, Санкт-Петербург, Барнаул, Екатеринбург, Ижевск, Череповец и др.
Так что не далеко ушли.
Хабр
Ребрендинг Shadow: теперь вымогатели чистят бюджеты компаний под именем C0met
В последний день лета мы опубликовали новость о взаимосвязи двух преступных группировок, атакующих крупный российский бизнес. Речь шла о группах Shadow и Twelve . Напомним, что вымогатели из Shadow...
Forwarded from Russian OSINT
Как сообщает Arstechnica, исследователи в своём новом ресерче утверждают, что 6 основных поставщиков GPU уязвимы к недавно обнаруженной атаке, которая позволяет вредоносным сайтам считывать имена пользователей, пароли и другие конфиденциальные визуальные данные.
Сross-origin attack предусматривает то, что вредоносный сайт с одного домена, например, example. com может эффективно считывать пиксели, отображаемые на сайте example. org или другого домена. Злоумышленники способны реконструировать их таким образом, что смогут увидеть слова или изображения, отображаемые на втором сайте. Такая утечка якобы нарушает важнейший принцип безопасности, который формирует один из самых фундаментальных рубежей защиты Интернета, сообщает Arstechnica.
Атака
🖇Статья GPU. zip будет опубликована на 45-м симпозиуме IEEE по безопасности и конфиденциальности
- Повлияет ли на меня GPU.zip?
- Скорее всего, да. Мы протестировали интегрированные GPU от AMD, Apple, Arm, Intel и Qualcomm, а также один дискретный GPU от Nvidia. По крайней мере, предварительные результаты свидетельствуют о том, что все протестированные GPU затронуты.
Please open Telegram to view this post
VIEW IN TELEGRAM
Децентрализованная P2P-сеть Mixin Network, базирующаяся в Гонконге подверглась взлому, ущерб от которого составил около $200 млн.
Команда проекта приостановила вывод средств на время расследования и столкнулась с волной противоречий и негодований, в связи с раскрытием информации о хакерской атаке.
На фоне новости о взломе курс нативного токена сети XIN упал на более чем 8% и, согласно CoinGecko, торгуется на уровне в $194.
23 сентября база данных облачного провайдера Mixin была взломана, что привело к потере активов, в связи с чем сразу же были приостановлены услуги по вводу и выводу средств.
Но больше всего клиентов возмутило даже не это, а заявление основателя Mixin, Сяодонг Фэна, который предложил план компенсации, в рамках которого сервис готов возместить лишь до 50% активов пользователей.
Некоторые держатели токенов вовсе обвинили разработчиков в излишней централизации сети, что, по их мнению, и послужило единой точкой отказа.
Разработчики уже связались с компанией Google и аналитиками из SlowMist для расследования инцидента, итоги которого обещают быть весьма интригующими.
Но, как обычно, будем посмотреть.
Команда проекта приостановила вывод средств на время расследования и столкнулась с волной противоречий и негодований, в связи с раскрытием информации о хакерской атаке.
На фоне новости о взломе курс нативного токена сети XIN упал на более чем 8% и, согласно CoinGecko, торгуется на уровне в $194.
23 сентября база данных облачного провайдера Mixin была взломана, что привело к потере активов, в связи с чем сразу же были приостановлены услуги по вводу и выводу средств.
Но больше всего клиентов возмутило даже не это, а заявление основателя Mixin, Сяодонг Фэна, который предложил план компенсации, в рамках которого сервис готов возместить лишь до 50% активов пользователей.
Некоторые держатели токенов вовсе обвинили разработчиков в излишней централизации сети, что, по их мнению, и послужило единой точкой отказа.
Разработчики уже связались с компанией Google и аналитиками из SlowMist для расследования инцидента, итоги которого обещают быть весьма интригующими.
Но, как обычно, будем посмотреть.
Cointelegraph
$200M Mixin Network hack draws controversy
The incident targeted Mixin’s centralized cloud servers.
Исследователи Dr.Web сообщают, что киберпреступники активно используют серьезную уязвимость Openfire в актах для шифрования серверов и установки криптомайнеров.
Openfire — это широко используемый сервер XMPP на основе Java с более чем 9 миллионами загрузок и широко используемый для организации безопасных межплатформенных чатов.
CVE-2023-32315 представляет собой обход аутентификации в консоли администрирования Openfire, позволяющий неаутентифицированным злоумышленникам создавать учетные записи администратора на уязвимых серверах.
Используя новые учетные записи, злоумышленники могут устанавливать вредоносные плагины Java (файлы JAR), посредством которых выполнять команды, полученные через HTTP-запросы GET и POST.
Ошибка затрагивает все версии Openfire от 3.10.0, начиная с 2015 года, до 4.6.7 и от 4.7.0 до 4.7.4.
Несмотря на то, что разработчики устранили проблему в версиях 4.6.8, 4.7.5 и 4.8.0 еще в мае 2023 года, исследователи VulnCheck к середине августа 2023 года наблюдали более 3000 серверов Openfire, работающих под управлением уязвимых версий.
Первый случай активной эксплуатации исследователи Dr. Web заметили в июне 2023 года в ходе расследования атаки ransomnware, реализованную с использованием CVE-2023-32315 для взлома сервера.
Злоумышленники создали нового пользователя-администратора в Openfire, вошли в систему для установки вредоносного плагина JAR, который позволял выполнять команды оболочки на сервере, запускал и передавал в POST-запросе написанный на Java код.
Некоторые из вредоносных JAVA-плагинов, обнаруженных Dr. Web, включали: helloworld-openfire-plugin-assembly.jar, Product.jar и bookmarks-openfire-plugin-assembly.jar.
Далее с использование приманки Dr. Web обнаружила другие дополнительные трояны, которые применяются в реальных атаках.
Первая из дополнительных полезных нагрузок - троян для майнинга криптовалют на базе Go, известный как Kinsing.
Его операторы используют уязвимость для создания учетной записи администратора с именем OpenfireSupport, а затем устанавливают вредоносный плагин под названием plugin.jar, который извлекает полезную нагрузку майнера и устанавливает ее на сервер.
В другом случае злоумышленники вместо него установили бэкдор на базе C, упакованный в UPX, следуя аналогичной цепочке заражения.
Третий сценарий атаки, наблюдаемый аналитиками, заключается в использовании вредоносного плагина Openfire для получения информации о скомпрометированном сервере (сетевых подключениях, IP-адресах, пользовательских данных и версии ядра системы).
В общей сложности Dr. Web наблюдала наблюдала четыре различных сценария атак с использованием CVE-2023-32315. В связи с чем, настоятельно рекомендуют клиентам как можно скорее применить доступные обновления безопасности.
Openfire — это широко используемый сервер XMPP на основе Java с более чем 9 миллионами загрузок и широко используемый для организации безопасных межплатформенных чатов.
CVE-2023-32315 представляет собой обход аутентификации в консоли администрирования Openfire, позволяющий неаутентифицированным злоумышленникам создавать учетные записи администратора на уязвимых серверах.
Используя новые учетные записи, злоумышленники могут устанавливать вредоносные плагины Java (файлы JAR), посредством которых выполнять команды, полученные через HTTP-запросы GET и POST.
Ошибка затрагивает все версии Openfire от 3.10.0, начиная с 2015 года, до 4.6.7 и от 4.7.0 до 4.7.4.
Несмотря на то, что разработчики устранили проблему в версиях 4.6.8, 4.7.5 и 4.8.0 еще в мае 2023 года, исследователи VulnCheck к середине августа 2023 года наблюдали более 3000 серверов Openfire, работающих под управлением уязвимых версий.
Первый случай активной эксплуатации исследователи Dr. Web заметили в июне 2023 года в ходе расследования атаки ransomnware, реализованную с использованием CVE-2023-32315 для взлома сервера.
Злоумышленники создали нового пользователя-администратора в Openfire, вошли в систему для установки вредоносного плагина JAR, который позволял выполнять команды оболочки на сервере, запускал и передавал в POST-запросе написанный на Java код.
Некоторые из вредоносных JAVA-плагинов, обнаруженных Dr. Web, включали: helloworld-openfire-plugin-assembly.jar, Product.jar и bookmarks-openfire-plugin-assembly.jar.
Далее с использование приманки Dr. Web обнаружила другие дополнительные трояны, которые применяются в реальных атаках.
Первая из дополнительных полезных нагрузок - троян для майнинга криптовалют на базе Go, известный как Kinsing.
Его операторы используют уязвимость для создания учетной записи администратора с именем OpenfireSupport, а затем устанавливают вредоносный плагин под названием plugin.jar, который извлекает полезную нагрузку майнера и устанавливает ее на сервер.
В другом случае злоумышленники вместо него установили бэкдор на базе C, упакованный в UPX, следуя аналогичной цепочке заражения.
Третий сценарий атаки, наблюдаемый аналитиками, заключается в использовании вредоносного плагина Openfire для получения информации о скомпрометированном сервере (сетевых подключениях, IP-адресах, пользовательских данных и версии ядра системы).
В общей сложности Dr. Web наблюдала наблюдала четыре различных сценария атак с использованием CVE-2023-32315. В связи с чем, настоятельно рекомендуют клиентам как можно скорее применить доступные обновления безопасности.
Dr.Web
Vulnerability in Openfire messaging software allows unauthorized access to compromised servers
Doctor Web is notifying users about the spread of malicious plugins for the Openfire messaging server. To date, more than 3,000 servers worldwide that have Openfire software installed on them have been affected by a vulnerability that lets hackers gain access…
Вслед за Qihoo 360 исследователи китайской Xitan Laboratory единым эшелоном продолжают масштабный пендослив, вдребезги разбивая парадигму западного инфосека, где злые тоталитарные хакеры обязательно атрибутируются только с Россией, КНР, Ираном и Северной Корей.
Новую волну критики после резкого заявления МГБ КНР с разоблачением американских киберопераций вызвал отчет Xitan Laboratory с аналитикой по пяти бэкдорам, которые использовались АНБ США для взлома Сианьского Северо-Западного политехнического университета в июне прошлого года.
Новые открытия были основаны на в ходе изучения аналитики Национального центра реагирования на компьютерные вирусы и отчетов об 360 Security Company в сочетании с отчетами зарубежных исследований об американских APT.
По итогу был раскрыт их арсенал, который включал такие бэкдоры, как NOPEN (для периферийных устройств и систем Linux), FireJet (для хостов Windows), SecondDate (реализует атаку типа MITM с позиций сетевого оборудования), CunningHeretic (для обеспечения устойчивости) и StoicSurgeon (используется в сочетании с NOPEN для реализации различных скрытых функций).
Первый из них АНБ США внедряла благодаря различным уязвимостям для управлениями пограничными устройствами и сетевым оборудованием на основе unix/linux систем, включая FreeBSD, SunOS, HP-UX, Solaris, Linux и тд.
SecondDate является одним из наиболее важных инструментов в атаках и обычно используется в сочетании с Foxacid. Малварь обычно функционирует в серверах шлюзах, пограничных маршрутизаторах и устройствах межсетевого экрана в течение длительного времени.
FuryJet - это троян для удаленного управления, имеющий графический интерфейс, способный генерировать более 20 видов полезных нагрузок и обладающий эффективными функциями антианализа и антиотладки. Его можно комбинировать с Eternal Blue, Eternal Romance, Double Pulsar и другими уязвимостями Windows из набора Equation Toolkit для проведения атак.
CunningHeretic представляет простой инструмент для внедрения бэкдоров, который удаляется после запуска. Он реализует повышение привилегий, может скрываться в целевом устройстве в течение длительного времени и запускаться автоматически вместе с системой, используется преимущественно для достижения устойчивости.
Последний из них - это усовершенствованный руткит-бэкдор для четырех типов ОС, включая Linux, Solaris, JunOS и FreeBSD, который можно использовать в сочетании с модулем Dewdrop. Применяется в основном для сокрытия файлов и процессов NOPEN во избежание обнаружения.
В своем отчете китайцы дали также некоторые технические спецификации для всех названных инструментов, анонсируя представить новые подробности шпионского арсенала американских АРТ, а также связанных с ним инцидентов.
В свою очередь, американцы не остались в долгу и выкатили свои заработки. Но об чуть позже.
Новую волну критики после резкого заявления МГБ КНР с разоблачением американских киберопераций вызвал отчет Xitan Laboratory с аналитикой по пяти бэкдорам, которые использовались АНБ США для взлома Сианьского Северо-Западного политехнического университета в июне прошлого года.
Новые открытия были основаны на в ходе изучения аналитики Национального центра реагирования на компьютерные вирусы и отчетов об 360 Security Company в сочетании с отчетами зарубежных исследований об американских APT.
По итогу был раскрыт их арсенал, который включал такие бэкдоры, как NOPEN (для периферийных устройств и систем Linux), FireJet (для хостов Windows), SecondDate (реализует атаку типа MITM с позиций сетевого оборудования), CunningHeretic (для обеспечения устойчивости) и StoicSurgeon (используется в сочетании с NOPEN для реализации различных скрытых функций).
Первый из них АНБ США внедряла благодаря различным уязвимостям для управлениями пограничными устройствами и сетевым оборудованием на основе unix/linux систем, включая FreeBSD, SunOS, HP-UX, Solaris, Linux и тд.
SecondDate является одним из наиболее важных инструментов в атаках и обычно используется в сочетании с Foxacid. Малварь обычно функционирует в серверах шлюзах, пограничных маршрутизаторах и устройствах межсетевого экрана в течение длительного времени.
FuryJet - это троян для удаленного управления, имеющий графический интерфейс, способный генерировать более 20 видов полезных нагрузок и обладающий эффективными функциями антианализа и антиотладки. Его можно комбинировать с Eternal Blue, Eternal Romance, Double Pulsar и другими уязвимостями Windows из набора Equation Toolkit для проведения атак.
CunningHeretic представляет простой инструмент для внедрения бэкдоров, который удаляется после запуска. Он реализует повышение привилегий, может скрываться в целевом устройстве в течение длительного времени и запускаться автоматически вместе с системой, используется преимущественно для достижения устойчивости.
Последний из них - это усовершенствованный руткит-бэкдор для четырех типов ОС, включая Linux, Solaris, JunOS и FreeBSD, который можно использовать в сочетании с модулем Dewdrop. Применяется в основном для сокрытия файлов и процессов NOPEN во избежание обнаружения.
В своем отчете китайцы дали также некоторые технические спецификации для всех названных инструментов, анонсируя представить новые подробности шпионского арсенала американских АРТ, а также связанных с ним инцидентов.
В свою очередь, американцы не остались в долгу и выкатили свои заработки. Но об чуть позже.
Telegram
SecAtor
Китайцы из Qihoo 360 вносят яркий диссонанс в стройное хоровое пение западных инфосек компаний, у которых злые тоталитарные хакеры бывают только в России, КНР, Иране и Северной Корее. А у всех западных стран и их саттелитов демократия и лапки.
Вот честно…
Вот честно…
Google исправила пятую 0-day в Chrome, используемую в дикой природе.
Уязвимость высокой степени серьезности вызвана проблемой переполнения буфера кучи в кодировке VP8 библиотеки видеокодеков с открытым исходным кодом libvpx.
Последствия эксплуатации могут быть разными: от сбоев приложения до RCE.
Согласно заявлению компании, ей известно о существовании рабочего эксплойта для CVE-2023-5217.
Об ошибке сообщил исследователи Google Threat Analysis Group в понедельник, 25 сентября.
До недавнего времени компания не раскрывала технических подробностей и ставшие ей известными обстоятельства эксплуатации в реальных атаках.
Однако сегодня Мэдди Стоун из Google TAG сообщила, что уязвимость нулевого дня CVE-2023-5217 была использована для установки шпионского ПО, какого именно пока не ясно.
Есть предположение, что новая уязвимость может быть продолжением недавнего раскрытия Citizen Lab и Google TAG предыдущей уязвимости нулевого дня, отлеживаемой как CVE-2023-4863.
Кстати, если изначально компания отметила ее как недостаток в Chrome, то позже присвоила еще одну CVE (CVE-2023-5129) и максимальный уровень серьезности 10/10.
Проблема активно использовалась для развертывания шпионского ПО совместно с как CVE-2023-41064. Обе были объединены в рамках эксплойта с нулевым щелчком под названием BLASTPASS.
Позже исследователи Rezilion увидели, что масштаб этой уязвимости гораздо шире, чем предполагалось изначально.
При более глобальном изучении выяснилось, что бага затрагивает библиотеку libwebp, которая, в свою очередь, реализована в большом количестве проектов, включая Signal, 1Password, Mozilla Firefox, Microsoft Edge, Apple Safari, Android browser и др.
Учитывая популярность libwebp, проблема потенциально затрагивает миллионы различных приложений по всему миру и значительно расширяет поверхность атаки, вызывая серьезные опасения как у разработчиков, так и у пользователей.
Уязвимость высокой степени серьезности вызвана проблемой переполнения буфера кучи в кодировке VP8 библиотеки видеокодеков с открытым исходным кодом libvpx.
Последствия эксплуатации могут быть разными: от сбоев приложения до RCE.
Согласно заявлению компании, ей известно о существовании рабочего эксплойта для CVE-2023-5217.
Об ошибке сообщил исследователи Google Threat Analysis Group в понедельник, 25 сентября.
До недавнего времени компания не раскрывала технических подробностей и ставшие ей известными обстоятельства эксплуатации в реальных атаках.
Однако сегодня Мэдди Стоун из Google TAG сообщила, что уязвимость нулевого дня CVE-2023-5217 была использована для установки шпионского ПО, какого именно пока не ясно.
Есть предположение, что новая уязвимость может быть продолжением недавнего раскрытия Citizen Lab и Google TAG предыдущей уязвимости нулевого дня, отлеживаемой как CVE-2023-4863.
Кстати, если изначально компания отметила ее как недостаток в Chrome, то позже присвоила еще одну CVE (CVE-2023-5129) и максимальный уровень серьезности 10/10.
Проблема активно использовалась для развертывания шпионского ПО совместно с как CVE-2023-41064. Обе были объединены в рамках эксплойта с нулевым щелчком под названием BLASTPASS.
Позже исследователи Rezilion увидели, что масштаб этой уязвимости гораздо шире, чем предполагалось изначально.
При более глобальном изучении выяснилось, что бага затрагивает библиотеку libwebp, которая, в свою очередь, реализована в большом количестве проектов, включая Signal, 1Password, Mozilla Firefox, Microsoft Edge, Apple Safari, Android browser и др.
Учитывая популярность libwebp, проблема потенциально затрагивает миллионы различных приложений по всему миру и значительно расширяет поверхность атаки, вызывая серьезные опасения как у разработчиков, так и у пользователей.
Chrome Releases
Stable Channel Update for Desktop
The Stable channel has been updated to 117.0.5938.132 for Windows, Mac and Linux, which will roll out over the coming days/weeks. A full lis...
Масштабная атака с использованием ransomware обрушилась на Johnson Controls International, у которой после этого разансомились почти все системы, включая серверы VMware ESXi, что в значительной степени повлияло на деятельность компании и ее дочерних компаний.
Johnson Controls — международный консорциум со штатом более 100 000 сотрудников, объединяющий York, Tyco, Luxaire, Coleman, Ruskin, Grinnel, Simplex, специализирующийся на производстве промышленных системы управления, оборудования для безопасности и кондиционирования.
Проникновение в корпоративную сеть было реализовано через подразделения в азиатском регионе, после чего злоумышленники смогли добраться и до головного офиса.
Сразу после атаки компания частично отключила свои ИТ-системы, многие из ее дочерних компаний, в том числе York, Simplex и Ruskin, ушли в оффлайн, перестал работать клиентский портал Simplex, остановилось производство.
Сегодня исследователи Nextron Systems обнаружили образец шифровальщика Dark Angels VMware ESXi с запиской о выкупе, в которой упоминалась Johnson Controls.
После чего стала известна и сумма выкупа, которая составила немалых 51 миллион долларов. Злоумышленники также утверждают, что в результате атаки украли более 27 ТБ корпоративных данных и пошифровали VMWare ESXi компании.
Ответственная за инцидент банда вымогателей Dark Angels активна с мая 2022 года, когда были выявлены ее первые жертвы по всему миру, практикуют типичное двойное вымогательство.
Злоумышленники первоначально использовали шифраторы Windows и VMware ESXi, собранные на основе утечки исходников Babuk.
Однако, как заметили MalwareHunterTeam, шифратор Linux, использованный в атаке Johnson Controls, тот же, что и у Ragnar Locker периода 2021 года.
В апреле 2023 года Dark Angels запустили свой DLS под названием Dunghill Leaks, сейчас на нем перечислено девять жертв, включая Sabre и Sysco, которые также подтвердили киберинциденты.
Johnson Controls, в свою очередь, подтвердила инцидент, представив форму 8-K в SEC, заявив о привлечении специалистов для расследования и взаимодействии со страховщиками.
Платить, вероятно, не будут. Но поглядим.
Johnson Controls — международный консорциум со штатом более 100 000 сотрудников, объединяющий York, Tyco, Luxaire, Coleman, Ruskin, Grinnel, Simplex, специализирующийся на производстве промышленных системы управления, оборудования для безопасности и кондиционирования.
Проникновение в корпоративную сеть было реализовано через подразделения в азиатском регионе, после чего злоумышленники смогли добраться и до головного офиса.
Сразу после атаки компания частично отключила свои ИТ-системы, многие из ее дочерних компаний, в том числе York, Simplex и Ruskin, ушли в оффлайн, перестал работать клиентский портал Simplex, остановилось производство.
Сегодня исследователи Nextron Systems обнаружили образец шифровальщика Dark Angels VMware ESXi с запиской о выкупе, в которой упоминалась Johnson Controls.
После чего стала известна и сумма выкупа, которая составила немалых 51 миллион долларов. Злоумышленники также утверждают, что в результате атаки украли более 27 ТБ корпоративных данных и пошифровали VMWare ESXi компании.
Ответственная за инцидент банда вымогателей Dark Angels активна с мая 2022 года, когда были выявлены ее первые жертвы по всему миру, практикуют типичное двойное вымогательство.
Злоумышленники первоначально использовали шифраторы Windows и VMware ESXi, собранные на основе утечки исходников Babuk.
Однако, как заметили MalwareHunterTeam, шифратор Linux, использованный в атаке Johnson Controls, тот же, что и у Ragnar Locker периода 2021 года.
В апреле 2023 года Dark Angels запустили свой DLS под названием Dunghill Leaks, сейчас на нем перечислено девять жертв, включая Sabre и Sysco, которые также подтвердили киберинциденты.
Johnson Controls, в свою очередь, подтвердила инцидент, представив форму 8-K в SEC, заявив о привлечении специалистов для расследования и взаимодействии со страховщиками.
Платить, вероятно, не будут. Но поглядим.
Reddit
From the HVAC community on Reddit
Explore this post and more from the HVAC community
Forwarded from Social Engineering
🖖🏻 Приветствую тебя, user_name.
• Делюсь очень полезным чек-листом, который содержит полезные советы и хитрости на тему пентеста Wi-Fi сетей. Материал содержит следующую информацию:• Что использовать?
• Настройка;
• Мониторинг;
• Пентест;
- WPA/WPA2 Handshake;
- PMKID Attack;
- ARP Request Replay Attack;
- High-rate Injection test;
- WPS PIN (а вдруг включен);
- Атака на WPA/WPA2-Enterprise (MGT);
- WPA/WPA2-Personal (PSK) Rogue AP Evil Twin;
- Базовая точка доступа WPA/WPA2-PSK;
- WPA/WPA2-PSK AP Evil Twin + Captive Portal Attack;
- WPA/WPA2-PSK AP Evil Twin + (половинный) захват рукопожатия WPA;
- WPA/WPA2-Enterprise (MGT) Rogue AP Evil Twin;
- WPA/WPA2-Enterprise AP Evil Twin + Кража учетных данных RADIUS;
- EAP Downgrade Attack;
- WPA/WPA2-Enterprise AP Evil Twin + Captive Portal Attack;
- WPA/WPA2-Enterprise AP Evil Twin + NetNTLM Hash Capture;
- Krack (ни разу не пригодилось);
• Словари;
• Password Spraying;
• Mind карта для пентеста wifi;
• MacStealer: Wi-Fi Client Isolation Bypass.
• Добавляйте в избранное и больше практикуйтесь.
S.E. ▪️ infosec.work
Please open Telegram to view this post
VIEW IN TELEGRAM
Лондонский поставщик аналитических услуг по управлению киберрисками Darkbeam Labs сам оказался в зоне риска, оставив интерфейс Elasticsearch и Kibana незащищенным, тем самым обнародовав записи с электронными письмами и паролями пользователей от ранее зарегистрированных и незарегистрированных утечек данных.
В рубрике "О себе" поставщик достаточно пафосно пишет, что их команда ветеранов вооруженных сил Великобритании и экспертов по кибербезопасности предоставляет полный спектр возможностей, необходимых предприятиям для защиты себя, своих сотрудников и клиентов от вреда, причиняемого атакой на поставщика.
Осталось добавить, что спектр возможностей теперь расширился и у злоумышленников.
По данным SecurityDiscovery, обнаружившей утечку, ныне закрытый экземпляр содержал более 3,8 миллиарда записей.
Очевидно, что DarkBeam собирает информацию, дабы предупреждать своих клиентов в случае утечки данных, но инцидент, скорее всего, теперь затронет не только пользователей DarkBeam.
Официальных комментариев о проблеме поставщик пока не дал, но как бы и так понятно, что Е#@HbIй стыд.
В рубрике "О себе" поставщик достаточно пафосно пишет, что их команда ветеранов вооруженных сил Великобритании и экспертов по кибербезопасности предоставляет полный спектр возможностей, необходимых предприятиям для защиты себя, своих сотрудников и клиентов от вреда, причиняемого атакой на поставщика.
Осталось добавить, что спектр возможностей теперь расширился и у злоумышленников.
По данным SecurityDiscovery, обнаружившей утечку, ныне закрытый экземпляр содержал более 3,8 миллиарда записей.
Очевидно, что DarkBeam собирает информацию, дабы предупреждать своих клиентов в случае утечки данных, но инцидент, скорее всего, теперь затронет не только пользователей DarkBeam.
Официальных комментариев о проблеме поставщик пока не дал, но как бы и так понятно, что Е#@HbIй стыд.
tom's guide
Billions of usernames and passwords leaked online — what you should do right now
The usernames and passwords of billions of users have been exposed online after the digital risk protection company DarkBeam left an online database unprotected.
Cisco анонсировала исправления для множества уязвимостей, включая уязвимость средней серьезности в ПО IOS и IOS XE, которая, по-видимому, использовалась в атаках.
CVE-2023-20109 влияет на функцию Group Encrypted Transport VPN (GET VPN) в IOS и IOS XE и может привести к RCE. Для успешной эксплуатации уязвимости необходимо, чтобы злоумышленник имел действительные учетные данные и административный контроль над членом группы или сервером ключей.
Проблема связана с недостаточной проверкой атрибутов в протоколах группового домена интерпретации (GDOI) и G-IKEv2 функции GET VPN.
Она затрагивает все продукты Cisco, работающие под управлением уязвимой версии IOS или IOS XE с включенным протоколом GDOI или G-IKEv2.
Для ошибки не существует способов обхода, в связи с чем Cisco рекомендует клиентам выполнить обновление, особенно принимая во внимание зафиксированные в ходе внутреннего расследования попытки эксплуатации этой уязвимости.
Кроме того, Cisco также выпустила исправления для устранения множества недостатков в продукте Catalyst SD-WAN Manager, включая критическую ошибку (CVE-2023-20252, оценка CVSS 9,8) в API-интерфейсах SAML, которая могла позволить злоумышленнику, не прошедшему проверку подлинности, получить несанкционированный доступ к приложению от имени произвольного пользователя.
Уязвимость была устранена вместе с другими четырьмя ошибками высокой степени серьезности, которые можно было использовать для обхода авторизации и отката конфигураций контроллера, доступа к базе данных Elasticsearch системы, доступа к другому арендатору, управляемому на том же экземпляре, или вызвать DoS.
Другие серьезные проблемы, приводящие к RCE, DoS, доступу к данным, а также краже файлов, были устранены с помощью обновлений ПО для IOS, IOS XE и Cisco DNA Center.
Технический гигант также исправил несколько других проблем средней серьезности, влияющих на его продукты.
Cisco заявляет, что, за исключением CVE-2023-20109, ей не известно ни об одной из этих уязвимостей, которые использовались бы в атаках.
CVE-2023-20109 влияет на функцию Group Encrypted Transport VPN (GET VPN) в IOS и IOS XE и может привести к RCE. Для успешной эксплуатации уязвимости необходимо, чтобы злоумышленник имел действительные учетные данные и административный контроль над членом группы или сервером ключей.
Проблема связана с недостаточной проверкой атрибутов в протоколах группового домена интерпретации (GDOI) и G-IKEv2 функции GET VPN.
Она затрагивает все продукты Cisco, работающие под управлением уязвимой версии IOS или IOS XE с включенным протоколом GDOI или G-IKEv2.
Для ошибки не существует способов обхода, в связи с чем Cisco рекомендует клиентам выполнить обновление, особенно принимая во внимание зафиксированные в ходе внутреннего расследования попытки эксплуатации этой уязвимости.
Кроме того, Cisco также выпустила исправления для устранения множества недостатков в продукте Catalyst SD-WAN Manager, включая критическую ошибку (CVE-2023-20252, оценка CVSS 9,8) в API-интерфейсах SAML, которая могла позволить злоумышленнику, не прошедшему проверку подлинности, получить несанкционированный доступ к приложению от имени произвольного пользователя.
Уязвимость была устранена вместе с другими четырьмя ошибками высокой степени серьезности, которые можно было использовать для обхода авторизации и отката конфигураций контроллера, доступа к базе данных Elasticsearch системы, доступа к другому арендатору, управляемому на том же экземпляре, или вызвать DoS.
Другие серьезные проблемы, приводящие к RCE, DoS, доступу к данным, а также краже файлов, были устранены с помощью обновлений ПО для IOS, IOS XE и Cisco DNA Center.
Технический гигант также исправил несколько других проблем средней серьезности, влияющих на его продукты.
Cisco заявляет, что, за исключением CVE-2023-20109, ей не известно ни об одной из этих уязвимостей, которые использовались бы в атаках.
Cisco
Cisco Security Advisory: Cisco IOS and IOS XE Software Cisco Group Encrypted Transport VPN Software Out-of-Bounds Write Vulnerability
A vulnerability in the Cisco Group Encrypted Transport VPN (GET VPN) feature of Cisco IOS Software and Cisco IOS XE Software could allow an authenticated, remote attacker who has administrative control of either a group member or a key server to execute arbitrary…
Пока киберпреступники стремятся зарабатывать деньги - они будут создавать все новое вредоносное ПО, а пока они продолжают создавать вредоносное ПО, исследователи Лаборатории Касперского, как они заверили в своем блоге, будут продолжать его анализировать, публиковать отчеты и обеспечивать защиту.
Именно поэтому решили представить наиболее важные выдержки из своих недавних частных отчетов о новых версиях похитителя Lumma и банковского трояна Zanubis для Android, а также вредоносном ПО ASMCrypt, обнаруженном в даркнете и связанном с загрузчиком DoubleFinger.
Как упоминалось ранее в блоге ЛК, на одной из темных площадок ресерчеры заметили рекламу нового варианта криптора/загрузчика под названием ASMCrypt.
Фактически, после тщательного анализа с высокой степенью уверенности они полагают, что ASMCrypt является более продвинутой версией DoubleFinger. Однако работает по-другому и является своего рода «прикрытием» для реального сервиса, работающего в сети TOR.
После приобретения клиент получает двоичный файл ASMCrypt, который подключается к серверной службе вредоносного ПО через сеть TOR, используя жестко запрограммированные учетные данные. Если все в порядке, открывается меню с различными опциями (метод инъекции, процесс, в который должна быть внедрена полезная нагрузка, имя папки для сохранения при запуске, тип заглушки).
После выбора всех нужных параметров и нажатия кнопки сборки приложение создает зашифрованный большой объект, спрятанный внутри файла png. Когда вредоносная DLL запускается в системе-жертве, она загружает файл png, расшифровывает его, загружает в память и затем запускает.
Lumma на 46% совпадает со стилетом Arkei, который написан на C++, впервые появился в мае 2018 года и за последние пару лет несколько раз подвергался ребрендингу (Vidar, Oski, Mars).
При этом основной функционал оставался прежним: кража кэшированных файлов, файлов конфигурации и логов из криптокошельков.
Lumma распространяется через поддельный веб-сайт, имитирующий настоящий сайт с расширением .docx в .pdf. При загрузке файла он возвращается с двойным расширением pdf.exe. Попала в поле зрения исследователей в августе 2022 года, с тех пор Lumma претерпела ряд изменений, подробно описанных в отчете.
Zanubis, банковский троян для Android, впервые появился примерно в августе 2022 года и был нацелен на пользователей финансовых учреждений и криптовалютных бирж в Перу.
Основной путь заражения Zanubis — позиционирование в качестве реальных Android-приложений для получения разрешения на доступ и полного контроля над устройством.
Более свежие образцы Zanubis были обнаружены в дикой природе примерно в апреле 2023 года. Вредоносная программа была замаскирована под официальное Android-приложение перуанской правительственной организации SUNAT.
Zanubis запутывается с помощью Obfuscapk, популярного обфускатора для APK-файлов.
Связь с C2 осуществляется с помощью WebSockets и библиотеки Socket.IO. Последнее позволяет вредоносному ПО устанавливать постоянное соединение с C2, что обеспечивает возможность аварийного переключения.
При этом он устанавливает два соединения с одним и тем же сервером C2, но они выполняют разные типы действий, а второе соединение устанавливается только по запросу C2 и предоставляет дополнительные возможности для C2.
Согласно анализу, целевыми приложениями являются банки и финансовые учреждения в Перу. Список целевых приложений включает более 40 наименований пакетов.
Более подробные технические детали и индикаторы компрометации - в отчете исследователей ЛК.
Именно поэтому решили представить наиболее важные выдержки из своих недавних частных отчетов о новых версиях похитителя Lumma и банковского трояна Zanubis для Android, а также вредоносном ПО ASMCrypt, обнаруженном в даркнете и связанном с загрузчиком DoubleFinger.
Как упоминалось ранее в блоге ЛК, на одной из темных площадок ресерчеры заметили рекламу нового варианта криптора/загрузчика под названием ASMCrypt.
Фактически, после тщательного анализа с высокой степенью уверенности они полагают, что ASMCrypt является более продвинутой версией DoubleFinger. Однако работает по-другому и является своего рода «прикрытием» для реального сервиса, работающего в сети TOR.
После приобретения клиент получает двоичный файл ASMCrypt, который подключается к серверной службе вредоносного ПО через сеть TOR, используя жестко запрограммированные учетные данные. Если все в порядке, открывается меню с различными опциями (метод инъекции, процесс, в который должна быть внедрена полезная нагрузка, имя папки для сохранения при запуске, тип заглушки).
После выбора всех нужных параметров и нажатия кнопки сборки приложение создает зашифрованный большой объект, спрятанный внутри файла png. Когда вредоносная DLL запускается в системе-жертве, она загружает файл png, расшифровывает его, загружает в память и затем запускает.
Lumma на 46% совпадает со стилетом Arkei, который написан на C++, впервые появился в мае 2018 года и за последние пару лет несколько раз подвергался ребрендингу (Vidar, Oski, Mars).
При этом основной функционал оставался прежним: кража кэшированных файлов, файлов конфигурации и логов из криптокошельков.
Lumma распространяется через поддельный веб-сайт, имитирующий настоящий сайт с расширением .docx в .pdf. При загрузке файла он возвращается с двойным расширением pdf.exe. Попала в поле зрения исследователей в августе 2022 года, с тех пор Lumma претерпела ряд изменений, подробно описанных в отчете.
Zanubis, банковский троян для Android, впервые появился примерно в августе 2022 года и был нацелен на пользователей финансовых учреждений и криптовалютных бирж в Перу.
Основной путь заражения Zanubis — позиционирование в качестве реальных Android-приложений для получения разрешения на доступ и полного контроля над устройством.
Более свежие образцы Zanubis были обнаружены в дикой природе примерно в апреле 2023 года. Вредоносная программа была замаскирована под официальное Android-приложение перуанской правительственной организации SUNAT.
Zanubis запутывается с помощью Obfuscapk, популярного обфускатора для APK-файлов.
Связь с C2 осуществляется с помощью WebSockets и библиотеки Socket.IO. Последнее позволяет вредоносному ПО устанавливать постоянное соединение с C2, что обеспечивает возможность аварийного переключения.
При этом он устанавливает два соединения с одним и тем же сервером C2, но они выполняют разные типы действий, а второе соединение устанавливается только по запросу C2 и предоставляет дополнительные возможности для C2.
Согласно анализу, целевыми приложениями являются банки и финансовые учреждения в Перу. Список целевых приложений включает более 40 наименований пакетов.
Более подробные технические детали и индикаторы компрометации - в отчете исследователей ЛК.
Securelist
Kaspersky crimeware report: ASMCrypt, Lumma and Zanubis
In this report, we share our latest crimeware findings: the ASMCrypt cryptor/loader related to DoubleFinger, a new Lumma stealer and a new version of Zanubis Android banking trojan.
Старый метод атаки на шифрование RSA, известный как "временная атака" снова стал актуален.
Впервые проблему обнаружил Даниэл Блейхенбахер еще в 1998 году и, как оказалось, атаку Блейхенбахера можно использовать для расшифровки сообщений RSA и сейчас, о чем сообщил исследователь из Red Hat Хуберт Карио.
Суть уязвимости заключается в том, что атакующий, который может наблюдать за временем выполнения операции дешифрования с использованием приватного ключа, может расшифровать захваченные сообщения RSA. С течением времени недостатки устранили.
Однако новая получившая название атака Марвина, о которой собственно повествует чешский исследователь, заключается в том, что, используя более статистически строгие методы, чем у Блейхенбахера, может быть успешной в отношении ряда криптографических реализаций, включая OpenSSL, GnuTLS, NSS от Mozilla (который, по словам Карио, остается уязвимым, несмотря на патч), pyca/cryptography (только частично исправлен), M2Crypto и OpenSSL-ibmca.
Исследователь работал над проблемой несколько лет и заявил, что, хотя патчи были выпущены, они не исправляют проблему должным образом и атаки в стиле Блейхенбахера на расшифровку RSA все еще возможны, а уязвимые реализации широко распространены в использовании.
Карио успешно атаковал несколько реализаций, используя только время операции расшифровки, и показал, что и многие другие уязвимы.
Исследователь опубликовал скрипты для проверки реализаций на уязвимость и заявил, что системные журналы могут дать некоторое представление о том, была ли атака запущена против системы.
Однако главное, что необходимо, так это перестать использовать шифрование RSA PKCS#1 v1.5, даже если это нужно для совместимости.
Впервые проблему обнаружил Даниэл Блейхенбахер еще в 1998 году и, как оказалось, атаку Блейхенбахера можно использовать для расшифровки сообщений RSA и сейчас, о чем сообщил исследователь из Red Hat Хуберт Карио.
Суть уязвимости заключается в том, что атакующий, который может наблюдать за временем выполнения операции дешифрования с использованием приватного ключа, может расшифровать захваченные сообщения RSA. С течением времени недостатки устранили.
Однако новая получившая название атака Марвина, о которой собственно повествует чешский исследователь, заключается в том, что, используя более статистически строгие методы, чем у Блейхенбахера, может быть успешной в отношении ряда криптографических реализаций, включая OpenSSL, GnuTLS, NSS от Mozilla (который, по словам Карио, остается уязвимым, несмотря на патч), pyca/cryptography (только частично исправлен), M2Crypto и OpenSSL-ibmca.
Исследователь работал над проблемой несколько лет и заявил, что, хотя патчи были выпущены, они не исправляют проблему должным образом и атаки в стиле Блейхенбахера на расшифровку RSA все еще возможны, а уязвимые реализации широко распространены в использовании.
Карио успешно атаковал несколько реализаций, используя только время операции расшифровки, и показал, что и многие другие уязвимы.
Исследователь опубликовал скрипты для проверки реализаций на уязвимость и заявил, что системные журналы могут дать некоторое представление о том, была ли атака запущена против системы.
Однако главное, что необходимо, так это перестать использовать шифрование RSA PKCS#1 v1.5, даже если это нужно для совместимости.
iTnews
"Marvin" breathes new life into Bleichenbacher's timing oracle attack
RSA PKCS#1 v1.5 encryption is ancient and should not be used.