͏Microsoft релизнула новую функцию ИИ-ноутбуков на Windows 11 под названием Recall, которая по факту позволит вести круглосуточный мониторинг всего, что пользователь делает на своем компьютере благодаря постоянным скринам экрана.

Исследователи уже назвали алгоритм АНБшным, несмотря на все заверения разработчиков относительного локального задействования Recall.

Бурные дискуссии на этот счет уже переполняют X и даже сам Илон Макс не смог не отреагировать, назвав завирусившийся видос с 30 млн.просмотров, где Сатья Наделла рассказывает про плюсы Recall, эпизодом из сериала Черное зеркало.

Тем временем, искушенные пользователи Apple после очередного обновления:

Подведем итоги нашего бесплатного курса "Linux для новичков". Курс был составлен из различных модулей, предназначенных для ознакомления с основными аспектами работы в операционной системе Linux.

В рамках курса были изучены основы работы с файлами и директориями, управление пользователями и группами, сетевые возможности Linux, мониторинг, журналирование и проверка безопасности. Также были рассмотрены темы работы с данными и дисками в Linux, туннелирование трафика и полезные инструменты для взлома.

Неделя 1: Введение в Linux
• Что такое Linux и почему его выбирают?
• Основные дистрибутивы Linux: Ubuntu, Fedora, CentOS и др.
• Установка Linux: дуализм с Windows, LiveCD и виртуальные машины.
• Основные команды командной строки Linux: cd, ls, mkdir, rm и др.
• Структура файловой системы Linux: /bin, /etc, /home и др.
• Пакетный менеджер APT для установки и обновления программ.
• Основы текстового редактора nano: открытие, редактирование и сохранение файлов.

Неделя 2: Работа с файлами и директориями
• Основные команды для работы с файлами и директориями: cp, mv, rm и др.
• Работа с архивами в Linux: создание, разархивирование, просмотр.
• Поиск файлов и содержимого в Linux: команды find и grep.
• Управление правами доступа к файлам и директориям в Linux: chmod и chown.
• Символьные и жесткие ссылки: создание и использование.
• Управление процессами и задачами в Linux: команды ps, top, kill и др.
• Автоматическое выполнение задач с помощью cron.

Неделя 3: Управление пользователями и группами
• Создание и удаление пользователей в Linux: команды useradd и userdel.
• Управление паролями пользователей: команда passwd.
• Назначение пользователей в группы: команда usermod.
• Создание и удаление групп в Linux: команды groupadd и groupdel.
• Управление правами доступа к файлам и директориям для пользователей и групп.
• Просмотр информации о пользователях и группах: команды id, whoami и др.
• Ограничение доступа пользователей к определенным ресурсам: команды chroot и sudo.

Неделя 4: Сетевые возможности Linux
• Конфигурация сети в Linux: настройка IP-адреса, маски подсети, шлюза.
• Проверка сетевого подключения: команда ping.
• Конфигурация сетевых интерфейсов: команды ifconfig и ip.
• Работа с удаленными хостами через SSH: подключение, передача файлов.
• Конфигурация DNS-сервера в Linux: файл /etc/resolv.conf.
• Настройка файрвола в Linux: команда iptables.
• Основы настройки и использования сетевых служб в Linux: FTP, Samba и др.
• Основы настройки и использования сетевых служб в Linux: Apache.

Неделя 5: Мониторинг, журналирование, проверка безопасности.
• Лог файлы системы Linux
• Как настроить центральный сервер ведения логов с помощью Rsyslog в Linux.
• Анализ лог-файлов: команды grep, awk, sed.
• Настройка системы мониторинга и аудита: утилиты auditd, nmon.
• Система мониторинга Zabbix
• Мониторинг сети с помощью tcpdump
• Проверка безопасности системы с помощью LinPEAS

Неделя 6: Работа с данными и дисками в Linux
• Использование утилиты rsync для синхронизации данных.
• Основы языка сценариев Bash: переменные, условия, циклы.
• Создание и выполнение сценариев Bash: утилита bash.
• Работа с образами дисков: команды dd, ddrescue.
• Восстановление данных с помощью LiveCD.
• Создание и настройка RAID-массивов для защиты данных.
• Дефрагментация диска Linux

Неделя7: Туннелирование трафика
• Установка и настройка OpenVPN сервера на Ubuntu
• Простая настройка WireGuard Linux.
• Настройка Shadowsocks.
• Pivoting: Chisel
• SSH туннели
• Проксирование трафика с помощью proxychains
• Pivoting: Lugolo-ng

Неделя 8: Полезные инструменты для взлома
• nmap 1 часть
• nmap 2 часть
• nmap 3 часть
• crackmapexec
• metasploit
• Burp Suite
• sqlmap

Не забывайте сохранить и поделиться нашим бесплатным курсом "Linux для новичков"!

#Linux #обучениеlinux #статьипоLinux

LH | Новости | Курсы | Мемы

Поставщик решений для резервного копирования Veeam предупредила клиентов о критической уязвимость Backup Enterprise Manager, которая позволяет неаутентифицированным злоумышленникам авторизоваться в веб-интерфейсе VBEM от имени любого пользователя.

Проблема отслеживается CVE-2024-29849 и имеет оценку CVSS 9,8/10. Однако не все среды подвержены атакам, поскольку VBEM не включен по умолчанию.

Уязвимость исправлена с выпуском версии VBEM 12.1.2.172, однако администратором до выполнения обновления следует смягчить недостаток, отключив службы VeeamEnterpriseManagerSvc (Veeam Backup Enterprise Manager) и VeeamRESTSvc (Veeam RESTful API).

Кроме того, Veeam исправила еще две высокосерьёзные уязвимости VBEM: CVE-2024-29850 и CVE-2024-29851.

Первая позволяет перехватывать учетные записи через ретранслятор NTLM, а другая позволяет пользователям с высокими привилегиями похитить NTLM-хэш учетной записи службы Veeam Backup Enterprise Manager.

Засекаем таймер и ждем, когда вновь выявленные недостатки будут использованы для взлома хостов инфраструктуры резервного копирования, как это было в марте 2023 года, когда статусы клиентов Veeam навестили вымогатели.

Но будем посмотреть.

͏Команда ученых из Университета Цинхуа в Пекине обнаружила новый метод запуска широкомасштабных DDoS-атак с использованием DNS-трафика.

Новая атака называется получила название DNSBomb и представляет собой вариант DDoS-атаки формата 2003 года с использованием TCP-импульсов.

Новая атака использует ту же концепцию, но повторно реализует ее с использованием программного обеспечения DNS и современной инфраструктуры DNS-серверов.

Если простыми словами, DNSBomb работает, отправляя медленный поток измененных DNS-запросов на DNS-серверы, которые пересылают данные, увеличивая размер пакета и удерживая его, чтобы затем выпулить все сразу в импульсе DNS-трафика прямо на цель.

DNSBomb присвоен CVE-2024-33655, а исследование с подробными техническими деталями по ней будет представлено на этой неделе на симпозиуме IEEE по безопасности и конфиденциальности в Сан-Франциско.

Исследовательская группа утверждает, что протестировала свою технику на 10 основных программах DNS и 46 общедоступных службах DNS и смогла запустить DNSBomb со скоростью до 8,7 Гбит/с, при этом DNS-трафик был увеличен до 20 000 от первоначального размера.

Подобные цифры в реализации DNSBomb помимо исследователей заинтересовали также разработчиков ботнетов и операторов услуг по DDoS.

Правда, исследователи сообщили об атаке всем пострадавшим сторонам, при этом 24 организации уже подтвердили результаты исследования и выпустили соответствующие исправления.

͏Ведущий ICS-производитель Rockwell Automation неожиданно обратилась к клиентам с требованием «НЕМЕДЛЕННО» отрубить от сети свои устройства ICS.

В качестве объяснения для своих предупреждений компания сослась на усиление вредоносной киберактивности в отношении КИИ на фоне нарастания геополитической напряженности.

Поставщик призвал как можно скорее изолировать те устройства ICS, прямо не предназначенные для общедоступного подключения к Интернет, что гарантирует компрометации тех из них, которые возможно, еще не исправлены от уязвимостей. Правда, каких именно в уведомлении поставщика не сообщается.

Rockwell также отметила о необходимости принятия мер по смягчению для защиты устройств от следующих уязвимостей: CVE-2021-22681, CVE-2022-1159, CVE-2023-3595, CVE-2023-46290, CVE-2024-21914, CVE-2024-21915 и CVE-2024-21917.

Даже CISA репостнула у себя сообщение Rockwell Automation в отношении отключения устройств ICS.

Видимо, что-то знают, но молчат.

После шквала мемов, сопровождающих скандал по поводу конфиденциальности пользовательских данных в яблочных девайсах, Apple решила экстренно выпустить iOS 17.5.1.

Обнаруженный баг был вызван тем, что фотографии удалялись из приложения Photos, но не из файлового менеджера, а после обновления до iOS 17.5 удаленные таким образом фото вновь появились в ленте медиатеки.

Похоже, что баг был связан с процессом переиндексации после обновления iOS, при котором система по ошибке пересохранила фотографии из файлового менеджера в приложении Photos.

Тем не менее, англоязычные владельцы сразу же преуспели в конспирологию и начали муссировать слухи про негласные договоренности Apple со спецслужбами по поводу "mirroring" данных и изображений.

Конечно, никаких доказательств никто так и нашел, но неприятный осадочек остался.

͏Тем временем Apple делится «удаленными» фотографиями пользователей с кураторами из АНБ.

GitHub выпустила исправления для критической уязвимости в Enterprise Server, которая позволяет неаутентифицированным злоумышленникам получить административные привилегии.

CVE-2024-4985 имеет максимальную оценку из возможных CVSS 10/10 и затрагивает все версии Enterprise Server до 3.13.0 с аутентификацией единого входа SAML (SSO) и включенной дополнительной функцией зашифрованных утверждений.

Эксплуатация открывает несанкционированный доступ к серверу с правами администратора без необходимости предварительной аутентификации с помощью подделки ответа SAML.

Однако, согласно GitHub, поскольку зашифрованные утверждения не включены по умолчанию, экземпляры, использующие аутентификацию SAML SSO без этой функции, не подвержены недостатку, как Enterprise Server без единого входа SAML.

GitHub исправила уязвимость, выпустив в срочном порядке версии Enterprise Server 3.9.15, 3.10.12, 3.11.10 и 3.12.4.

Разработчик не располагает сведениями об эксплуатации уязвимости в дикой природе, но с учетом серьезности CVE-2024-4985, пользователям рекомендуется как можно скорее обновить GitHub Enterprise Server до исправленной версии.

Поскольку максимальный уровень серьезности CVE-2024-4985 подвергает пользователей непропатченных версий невероятно высокому риску взлома сети злоумышленниками.

Исследователи Cybernews предупреждают о новой атаке на цепочку мудаков, обнаружив в сети 224 962 вероятно уязвимых экземпляров Atlassian Confluence Data Center и Confluence Server.

Традиционно больше всего (мудаков) их оказалось в США (53 195) и Японии (22 007), но и во Франции (11 562) и Германии (11 373) - тоже имеются.

По мнению исследователей, все они подвергаются потенциальному воздействию недавно обнаруженной критической уязвимости, которая отслеживается как CVE-2024-21683 и имеет оценку CVSS 8,3.

Она позволяет злоумышленнику, прошедшему проверку подлинности, выполнить произвольный код и не требует взаимодействия с пользователем, а скомпрометированная система при этом может быть использована в качестве опорной точки для продвижения внутри сети.

Ошибка в Atlassian Confluence Data Center и Confluence Server была исправлена, но несмотря на это исправить дефекты серого вещества владельцам обнаруженных сотен тысяч экземпляров пока не удалось.

По всей видимости, в самое ближайшее время этим займутся банды вымогателей и APT, правда за лечение придется заплатить.

Исследователи Mandiant поделились своими соображениями относительно того, как APT для уклонения от обнаружения задействуют прокси-сети, или сети оперативной ретрансляции ORB, созданные по типу ботнета из коммерческих VPS-сервисов и взломанных устройств.

Независимо от типа используемых устройств, сеть ORB включает обязательный набор необходимых компонентов:
- сервер администрирования узлов ACOS,
- узел ретрансляции (позволяет аутентифицироваться в сети и ретранслировать трафик),
- узлы обхода (основные узлы в сети ORB),
- выходные/промежуточные узлы (для запуска атак на цели),
- сервер-жертва (инфраструктура жертвы, взаимодействующая с узлом в сети ORB).

По данным ресерчеров, все чаще к ORB обращаются именно китайские APT в реализации своих операций кибершпионажа, две из которых им удалось задетектить.

Один из отлеживаемых кластеров прокси - ORB3/SPACEHOP, описывается как очень активная сеть, используемая множеством злоумышленников, связанных с Китаем, включая APT5 и APT15 для разведки и эксплуатации уязвимостей.

В декабре 2022 года SPACEHOP задействовалась для  эксплуатации критической CVE-2022-27518 в Citrix ADC, которую АНБ связало с APT5 (Manganese, Mulberry Typhoon, Bronze Fleetwood, Keyhole Panda, и UNC2630).

По данным Mandiant, SPACEHOP - это высокоорганизованная сеть, использующая сервер ретрансляции в Гонконге или Китае у облачного провайдера и поддерживающая структуру C2 с открытым исходным кодом для управления нижестоящими узлами.

Узлы ретрансляции представляют собой клонированные образы на базе Linux, выполняющие роль перенаправления вредоносного трафика на выходной узел, который взаимодействует с целевыми средами жертвы.

Другая ORB2/FLORAHOX представляет собой гибридную сеть, состоящую из сервера ACOS, скомпрометированных устройств (маршрутизаторов и IoT) и VPS, которые пропускают трафик через TOR и различные типы взломанных маршрутизаторов, включая устройства с EoL CISCO, ASUS и Draytek.

Исследователи полагают, что эта сетка используется в кампаниях кибершпионажа различными участниками угроз, связанных с Китаем, чтобы скрыть трафик от источника.

Судя по всему, сеть содержит несколько подсетей, состоящих из взломанных устройств, задействованных имплантатом маршрутизатора FLOWERWATER, а также других полезных нагрузок на базе маршрутизатора.

Несмотря на то, что ORB2/FLORAHOX используется многими злоумышленниками, Mandiant полагает, что за ней может стоять APT31/Zirconium.

Помимо FLOWERWATER для навигации по сети ORB2 и ранее существовавшим узлам на основе входных данных командной строки задействовались также и дополнительные полезные данные и инструменты, в том числе туннелер маршрутизатора MIPS PETALTOWER, сценарии bash SHIMMERPICK.

В целом ресерчеры резюмировали, что подобная практика с ORB достаточно усложняет решение задач по защите корпоративной среды, негативно влияя, прежде всего, на обнаружение и атрибуцию, а также размывая индикаторы атакующей инфраструктуры.

Лаборатория Касперского продолжает отслеживать и разбирать все новые версии различных стилеров, которые по-прежнему представляют актуальную угрозу и пользуются повышенным спросом в киберподполье.

Стилеры опасны своими последствиями, обеспечивая злоумышленников необходимой конфиденциальной информацией для задействования в других вредоносных целях, приводя по итогу к ощутимым финансовым потерям.

В новом отчете специалисты разобрали усовершенствованный вариант уже известной Sys01, а также два совершенно новых стилера - Acrid и ScarletStealer с различной сложностью и функциональностью.

Acrid - это новый стилер, обнаруженный в декабре прошлого года. Написан на C++ для 32-разрядных систем.

При этом компиляция для 32-разрядной среды, вероятно, обусловлена техникой Heaven’s Gate, которая позволяет 32-разрядным приложениям получать доступ к 64-разрядной среде, чтобы обойти определенные меры безопасности.

Функциональность стилера типична для вредоносного ПО такого типа, собранные данные архивируются и отправляются на командный сервер злоумышленников.

Уровень сложности стилера - средний, в нем есть некоторые изощренные детали, вроде шифрования строк, но нет ничего инновационного.

ScarletStealer, напротив, довольно необычный стилер. Большая часть его функциональности содержится в других бинарных файлах (приложениях и расширениях Chrome), которые он загружает.

При этом стилер очень слабо развит в плане функциональности и содержит множество ошибок, недоработок и избыточного кода. В связи с чем довольно странно, что этот стилер распространяется через длинную цепочку загрузчиков (последний из которых — это Penguish) и подписан цифровым сертификатом.

Его жертвы в основном находятся в Бразилии, Турции, Индонезии, Алжире, Египте, Индии, Вьетнаме, США, Южной Африке и Португалии.

И, наконец, SYS01 (Album Stealer, S1deload Stealer) - относительно малоизвестный стилер, существующий как минимум с 2022 года и попадавший в поле зрения Bitdefender, Zscaler и Morphisec. Он эволюционировал с C# до стилера на PHP, а ЛК заметили сочетание двух полезных нагрузок - на C# и на PHP.

Единственное, что не изменилось в новой версии стилера, - это вектор заражения. Как и раньше, пользователей обманом побуждают загрузить вредоносный ZIP-архив, замаскированный под видео для взрослых, через страницу на Facebook.

Открытие приводит к запуску полезной нагрузки, которая представляет собой вредоносный PHP-файл, закодированный с помощью ionCube. Он вызывает скрипт install.bat, а тот выполняет команду PowerShell для запуска runalayer и финальной полезной нагрузки Newb.

Последняя версия содержит функциональность для кражи данных, связанных с Facebook и из браузера, а также реализует функции бэкдора.

Жертвы наблюдаемой кампании - по всему миру, но большинство - в Алжире (чуть более 15%).

Индикаторы компрометации - в отчете Лаборатории Касперского.

Если ситуацию с восставшими из пепла фотографиями после обновления до iOS 17.5 благодаря Synactiv в итоге удалось разрулить, отбросив сомнения по поводу проблем с iCloud (правда, все же остается непонятным зачем фото хранятся в памяти телефона после их удаления), то совсем недавно назрела новая дилемма.

Исследователи из Университета Мэриленда выявили серьёзные проблемы с безопасностью данных в системах геолокации Apple, которые к тому же затрагивают и Starlink.

Как оказалось, Apple собирает информацию о Wi-Fi точках доступа (BSSID), видимых её устройствами, что позволяет определять местоположение без постоянного использования GPS. Аналогичные системы кстати работают и в Google.

В отличие от Google, система позиционирования Wi-Fi Apple (WPS) способна возвращает геолокацию до 400 близлежащих BSSID по запросу через официальный API.

Ученые полагают, что эти данные можно собирать для создания полномасштабной карты устройств с поддержкой Wi-Fi по всему миру, включая устройства сторонних производителей.

При этом периодические обновления массивов позволят отслеживать перемещение конкретных лиц и групп в течение определенного периода времени.

Ученые запросили информацию о более чем миллиарде случайно сгенерированных BSSID и получили данные о 488 миллионах точек доступа. Причем им удалось точно отследить и перемещение терминалов Starlink в зоне проведения СВО, а также перемещения беженцев на юг Сектора Газа в ходе израильско-палестинского конфликта.

В ответ на результаты исследования, Starlink выпустила обновления ПО, которые рандомизируют BSSID устройств, что затрудняет их отслеживание. Исследователи отметили, что в последние месяцы количество устройств Starlink, местоположение которых можно было бы определять с помощью системы Apple, действительно снизилось.

Apple также отреагировала на исследование и внесла изменения в свою политику конфиденциальности, а в марте 2024 года позволила пользователям исключать свои Wi-Fi точки доступа из системы, добавив суффикс «_nomap» к имени сети.

Однако, по мнению исследователей, Apple следует все же внедрить дополнительные меры для ограничения злоупотреблений своим API, например, ограничение скорости запросов.

Так что, вопросов (больше - риторических) к Apple становится все больше.

Такими темпами Google «пятилетку за год» осилит, если продолжит в неделю по 0-day закрывать.

Восьмой активно эксплуатируемый ноль за текущий год исправила Google в браузере Chrome, выпустив экстренное обновление безопасности.

Проблема была обнаружена ресерчером Google Клеманом Лесинем и отслеживается как CVE-2024-5274. Она представляет собой серьезную путаницу типов в V8, движке JavaScript Chrome, которая может привести к сбоям, повреждению данных, а также RCE.

Google не поделилась техническими подробностями об уязвимости, но заявляет о своей осведомленности в наличии рабочего эксплойта для CVE-2024-5274 и попытках ее эксплуатации в дикой природе.

Исправления Chrome доступны в качестве версии 125.0.6422.112/.113 для Windows и Mac, а пользователи Linux получат обновления для версии 125.0.6422.112 в ближайшие недели.

Исследователи кибербезопасности из Rapid7 и S2W обнаружили троян-бэкдор GateDoor в популярном приложении Justice AV Solutions (JAVS) для просмотра записей заседаний, используемого в судебных, исправительных и юридических учреждениях по всему миру.

Неизвестные злоумышленники реализовали атаку на цепочку поставок, внедрив вредоносное ПО в установщик JAVS Viewer версии 8.3.7, который имеет более 10 000 загрузок.

Модификация официального установщика с внедрением в его вредоносного двоичного fffmpeg.exe, вероятно, была произведена в апреле и затронула клиентов, воспользовавшихся им до середины мая.

Расследовавшая этот инцидент в цепочке поставок (теперь отслеживается как CVE-2024-4978) Rapid7 отмечает, что S2W Talon впервые обнаружила  зараженный установщик JAVS в начале апреля и связала его с вредоносным ПО Rustdoor/GateDoor.

Найденная вредоносная ПО написана на Go и представляет собой версию RustDoor для Windows, бэкдора на основе Rust, который может заражать системы macOS.

Предыдущие отчеты Bitdefender и S2W связывали обе версии вредоносного ПО с серверной инфраструктурой, которой ранее управляла соскамившаяся банда вымогателей AlphV (BlackCat).

Анализируя инцидент, связанный с CVE-2024-4978, произошедший 10 мая, Rapid7 обнаружила, что вредоносное ПО отправляет системную информацию на свой C2 после установки и запуска.

Затем выполняет два запутанных сценария PowerShell для отключения отслеживания событий для Windows (ETW) и обхода интерфейса сканирования на наличие вредоносных программ AMSI.

Затем дополнительная вредоносная нагрузка с сервера C2 сбрасывает сценарии Python, которые начинают собирать учетные данные из браузеров в системе.

Rapid7 поделилась рекомендауиями по детектированию угрозы, вредоносной версией приложения JAVS Viewer, настоятельно призывая затронутых клиентов в случае обнаружения выполнить полную переустановку и сменить все пароли в системе.

В свою очередь, Justice AV Solutions, также отреагировала на инцидент, удалив вредоносный установщик со своих серверов и теперь проводит аудит всех программных продуктов JAVS.

Предварительно инцидент локализован, но до сих пор разработчики пытаются выяснить, как злоумышленнику удалось разместить на своих серверах файл с бэкдором.

Ресерчеры Check Point раскрывают новую кампанию кибершпионажа китайской APT Sharp Panda, нацеленную на правительства стран Африки и Карибского бассейна.

Вновь наблюдаемую активность исследователи отслеживают как под новым названием Sharp Dragon, отмечая расширение географии таргета, усовершенствованный подход и более глубокое понимание своих целей.

В кампании задействуется Cobalt Strike Beacon в качестве полезной нагрузки, обеспечивая бэкдорные функции, такие как связь C2 и выполнение команд, при этом минимизируя раскрытие пользовательских инструментов.

Злоумышленник впервые был замечен в июне 2021 года в ходе атак на правительство Юго-Восточной Азии с использованием бэкдора для Windows, получившего название VictoryDLL.

Последующие атаки Sharp Dragon были нацелены на правительственные учреждения в Юго-Восточной Азии с целью доставки модульного Soul, который затем используется для получения дополнительных компонентов с сервера С2 для сбора информации.

Бэкдор Soul находится в разработке с октября 2017 года, перенимая функции у Gh0st RAT - вредоносного ПО, обычно ассоциируемого с различными китайскими APT-группами, и у других общедоступных инструментов.

Еще одна замеченная серия атак была нацелена на правительственных чиновников из стран Большой двадцатки в июне 2023 года.

Особенностью деятельности Sharp Panda является использование N-day уязвимостей (например, CVE-2023-0669) для проникновения в инфраструктуру для последующего использования в качестве серверов C2, а также задействование легитимного Cobalt Strike поверх пользовательских бэкдоров.

Последняя серия атак на правительства стран Африки и Карибского бассейна реализуется по хитрой схеме, в рамках которой нацеливание происходит с помощью взломанной почты известных лиц в Юго-Восточной Азии для рассылки фишинговых писем и заражения новых целей.

Сообщения включают вредоносные вложения, которые используют Royal Road Rich Text Format (RTF) для запуска загрузчика с именем 5.t, отвечающего за разведку и запуск Cobalt Strike Beacon, позволяя собирать информацию о целевой среде.

Использование Cobalt Strike не только сводит к минимуму воздействие пользовательских инструментов, но и предполагает более утонченный подход к реализации атак.

Индикаторы компрометации и детальный разбор новых атак - в отчете.

Исследователи Malwarebytes сообщают об обнаружении вредоносной кампании, связанной с продвижением нового браузера Arc в качестве приманки для заражения пользователей вредоносным ПО с использованием рекламных инструментов.

Разработчики The Browser Company из Кремниевой долины с шумихой зашли на рынок в качестве стартапа и в июле 2023 года представили свой браузер Arc для MacOS, а версию для Windows выпустили всего пару недель назад.

Продукт получил многочисленные восторженные отзывы, а ажиотаж не остался без внимания со стороны киберпреступников, которые оперативно запустили вредоносную рекламу в Google.

Внимательно изучив размещенные объявления с помощью Центра прозрачности рекламы Google, ресерчеры смогли связать их с рекламодателем из Украины «ПРИВАТНЕ ПІДПРИЄМСТВО «САЛОН "СОФТ».

Злоумышленник также зарегистрировал доменные имена, на которые перенаправлялись жертвы. Шаблон даже включал в себя некоторые заголовки новостей, посвященные выпуску Windows.

Загружая Arc для Windows с их сайтов, доставляется вредоносное ПО. При этом злоумышленник задействовал уникальный способ его упаковки, который раньше еще не встречался.

Основной установщик (ArcBrowser.exe) - это исполняемый файл, который содержит два других исполняемых файла. В качестве приманки один из них - установщик Windows для легального Arc.

В фоновом режиме Arc.exe связывается с облачной платформой MEGA через API разработчика, которая используется в качестве сервера С2 для отправки и получения данных.

Первый запрос аутентифицирует злоумышленника (используется одноразовый адрес электронной почты из yopmail). За ним следует серия запросов и ответов, которые закодированы, предположительно, с пользовательскими данными.

Далее идет запрос к удаленному сайту на загрузку полезной нагрузки следующего этапа, при выполнении которой задействуется поддельное изображение PNG, скрывающее вредоносный код.

Далее получается еще одна полезная нагрузка, сбрасываемая на диск как JRWeb.exe. Кроме того, была замечена и другая версия boostrap.exe, которая не извлекала файл PNG, использующая исполняемый файл Python для внедрения кода в MSBuild.exe, как и предыдущая.

Впоследствии вредоносная программ запрашивает через https://textbin[.]net/raw/it4ooicdbv вредоносный IP-адрес (предположительно, другого сервера С2) и по итогу доставляет стилера.

По поводу вредоносной рекламы уже постучались в Google, а индикаторы компрометации - в отчете.

Кто куда, а мы на дачу

ICQ все.

Good night, sweet prince

Исследователи из Лаборатории Касперского расчехлили новую ransomware ShrinkLocker, которая для шифрования корпоративных систем использует Windows BitLocker.

Несмотря на то, что тенденция задействования BitLocker для шифрования не является чем-то новым, ресерчеры утверждают, что ShrinkLocker обладает ранее неизвестными функциями, позволяющими максимизировать ущерб от атаки.

ShrinkLocker написан на VBScript, поддержка которого будет кстати прекращена Microsoft поэтапно к 2027 году.

Одна из его возможностей — определение конкретной версии Windows на целевом компьютере с помощью инструментария управления Windows (WMI) с классом Win32_OperatingSystem.

Атака реализуется только в том случае, если соблюдены определенные параметры, такие как текущий домен, соответствующий цели, и версия ОС, более новая, чем Vista. В противном случае ShrinkLocker автоматически завершится и удалит себя.

В случае соответствия вредоносная ПО активирует утилиту diskpart в Windows, чтобы сжать каждый незагрузочный раздел на 100 МБ, разбив нераспределенное пространство на новые первичные тома того же размера.

Исследователи ЛК отмечают, что в Windows 2008 и 2012 ShrinkLocker сначала сохраняла загрузочные файлы вместе с индексами остальных томов. Причем те же операции по изменению размера выполняются и в других версиях ОС Windows, но с другим фрагментом кода.

Затем вредоносная программа задействует инструмент командной строки BCDEdit для переустановки загрузочных файлов на вновь созданных разделах.

ShrinkLocker также модифицирует реестр для дезактивации подключений к удаленному рабочему столу или включения шифрования BitLocker на хостах без доверенного платформенного модуля (TPM).

Вместо файла с требованием выкупа злоумышленник в качестве метки новых загрузочных разделов оставляет контактный адрес электронной почты (onboardingbinder[at]proton[dot]me, conspiracyid9[at]protonmail[dot]com).

Завершив шифрование удаляет средства защиты BitLocker (в том числе TPM, PIN-код, ключ запуска, пароль, пароль и ключ восстановления), лишая жертву возможности восстановить ключ.

Сгенерированный по определенному алгоритму для шифрования файлов ключ доставляется через TryCloudflare, позволяющий взаимодействовать с CloudFlare Tunnel без добавления сайта в DNS CloudFlare.

На заключительном этапе атаки ShrinkLocker завершает работу систему, заставляя вступить в силу все изменения, оставив пользователя с заблокированными дискамми и без возможности восстановить BitLocker.

Учитывая, что BitLocker позволяет выдать эффектное уведомление в качестве записки о выкупе на экране восстановления вместо метки диска, это свидетельствует о нацеливании ShrinkLocker без явного намерения финансовой выгоды, а скорее - для нанесения ущерба жертвам, замеченным в Мексике, Индонезии и Иордании.

Практические рекомендации и индикаторы компрометации угрозы - в отчете.