Очередные проделки операторов ransomware.
В этот раз наехали на одного из мировых лидеров по производству всяких принтеро-копиров Konica Minolta.
Еще 30 июля начал испытывать проблемы сайт поддержки mykmbs .com, а вскоре стали выдавать ошибку некоторые принтеры, отображавшие "Сбой сервисного уведомления". Konica Minolta же давали стандартный ответ о "техническом сбое".
Как выяснили BleepingComputer, компания подверглась атаке появившегося в июне этого года вымогателя RansomEXX - журналисты смогли раздобыть записку с требованием выплаты выкупа. При этом, по их утверждениям, новый вид ransomware не имеет функции кражи конфиденциальной информации перед выкупом (пока).
Konica Minolta - это технологический гигант с доходом более 9 млрд. долларов по результатам прошлого года. То есть информационная безопасность, по идее, должна быть поставлена на хорошем уровне. По идее.
Между тем, в последнее время некоторые из нас имели общение со специалистами по инфосеку из ряда крупных российских организаций. И когда в разговоре речь заходила о ransomware, то все качали головами и говорили "Да-да, это существенная проблема". Только вот всерьез эту угрозу практически никто не воспринимает, по крайней мере у нас сложилось такое впечатление. Ну, то есть это как смерчи в США - они вроде и есть, и даже очень реальные, но к нам отношения особого не имеют.
Кто готов пожертвовать своим core business, дабы остальные поменяли точку зрения?
В этот раз наехали на одного из мировых лидеров по производству всяких принтеро-копиров Konica Minolta.
Еще 30 июля начал испытывать проблемы сайт поддержки mykmbs .com, а вскоре стали выдавать ошибку некоторые принтеры, отображавшие "Сбой сервисного уведомления". Konica Minolta же давали стандартный ответ о "техническом сбое".
Как выяснили BleepingComputer, компания подверглась атаке появившегося в июне этого года вымогателя RansomEXX - журналисты смогли раздобыть записку с требованием выплаты выкупа. При этом, по их утверждениям, новый вид ransomware не имеет функции кражи конфиденциальной информации перед выкупом (пока).
Konica Minolta - это технологический гигант с доходом более 9 млрд. долларов по результатам прошлого года. То есть информационная безопасность, по идее, должна быть поставлена на хорошем уровне. По идее.
Между тем, в последнее время некоторые из нас имели общение со специалистами по инфосеку из ряда крупных российских организаций. И когда в разговоре речь заходила о ransomware, то все качали головами и говорили "Да-да, это существенная проблема". Только вот всерьез эту угрозу практически никто не воспринимает, по крайней мере у нас сложилось такое впечатление. Ну, то есть это как смерчи в США - они вроде и есть, и даже очень реальные, но к нам отношения особого не имеют.
Кто готов пожертвовать своим core business, дабы остальные поменяли точку зрения?
BleepingComputer
Business technology giant Konica Minolta hit by new ransomware
Business technology giant Konica Minolta was hit with a ransomware attack at the end of July that impacted services for almost a week, BleepingComputer has learned.
Мир сошел с ума - Моссад рекрутит инфосек специалистов через LinkedIn.
Ждем сообщений в Одноклассниках от ФСБ - "Эй, парень.. Тс-с-с... Ты знаешь что такое APT? А̶ ̶р̶а̶с̶с̶к̶а̶ж̶е̶ш̶ь̶? А не хочешь попробовать немного контрразведки?"
Ждем сообщений в Одноклассниках от ФСБ - "Эй, парень.. Тс-с-с... Ты знаешь что такое APT? А̶ ̶р̶а̶с̶с̶к̶а̶ж̶е̶ш̶ь̶? А не хочешь попробовать немного контрразведки?"
Twitter
האקר סטנדרטי
I’m getting a lot of attention from recruiters these days, but this one caught my eyes and not for the first reason comes to mind. Mossad recruiting via Linkedin...😳 I’m Israeli... shouldn’t you have all my details up to underwear size?
Как там вам, пользователи, приватность ваша? Не свободновата? А то вы только скажите, желающие ее ограничить вокруг толпами ходят.
Motherboard пишет, что получила подтверждение покупки Секретной Службой США (USSS) лицензии на использование приватного сервиса Locate X от компании Babel Street.
Что делает Locate X? Анонимно собирает данные о геолокации пользователей смартфонов, используя информацию различных мобильных приложений.
В марте этого года издание Protocol сообщило, что на Locate X подписана Погранично-таможенная служба США (USCBP), а сейчас появилось документальное подтверждение в отношении USSS - контракт на годовую лицензию сервиса с сентября 2017 по сентябрь 2018 года.
Естественно, что для получения данных геолокации таким способом американским спецслужбам (кстати, и USCBP, и USSS структурно входят в Министерство внутренней безопасности США (DHS) никакой судебный ордер не требуется.
Американские сенаторы обеспокоены возмущены и требуют соблюдения Четвертой поправки к Конституции США, дабы оградить американских граждан от пристального внимания DHS.
Ну а неамериканские граждане, такие как мы с вами, разумеется никого не интересуют. Вместе с тем, глупо полагать, что американские правоохранительные органы откажутся от возможности сбора сведений о месте пребывания в отношении лиц, проживающих в других странах. Вся информация, которая по крупицам просачивается в паблик, свидетельствует, что при наличие доступа к каким-либо данным американцы начинают фанатично их собирать и скирдовать в кучу, благо ЦОДов хватает.
Так что помните об этом, когда едете, к примеру, в Крым и включаете там разрешение на получение геоданных погодному приложению.
Motherboard пишет, что получила подтверждение покупки Секретной Службой США (USSS) лицензии на использование приватного сервиса Locate X от компании Babel Street.
Что делает Locate X? Анонимно собирает данные о геолокации пользователей смартфонов, используя информацию различных мобильных приложений.
В марте этого года издание Protocol сообщило, что на Locate X подписана Погранично-таможенная служба США (USCBP), а сейчас появилось документальное подтверждение в отношении USSS - контракт на годовую лицензию сервиса с сентября 2017 по сентябрь 2018 года.
Естественно, что для получения данных геолокации таким способом американским спецслужбам (кстати, и USCBP, и USSS структурно входят в Министерство внутренней безопасности США (DHS) никакой судебный ордер не требуется.
Американские сенаторы обеспокоены возмущены и требуют соблюдения Четвертой поправки к Конституции США, дабы оградить американских граждан от пристального внимания DHS.
Ну а неамериканские граждане, такие как мы с вами, разумеется никого не интересуют. Вместе с тем, глупо полагать, что американские правоохранительные органы откажутся от возможности сбора сведений о месте пребывания в отношении лиц, проживающих в других странах. Вся информация, которая по крупицам просачивается в паблик, свидетельствует, что при наличие доступа к каким-либо данным американцы начинают фанатично их собирать и скирдовать в кучу, благо ЦОДов хватает.
Так что помните об этом, когда едете, к примеру, в Крым и включаете там разрешение на получение геоданных погодному приложению.
Vice
Secret Service Bought Phone Location Data from Apps, Contract Confirms
An internal Secret Service document describes the purchase of Locate X, a product that uses location data harvested from ordinary apps.
Американская Brown-Forman Corporation, производящая в числе прочих один из самых известных алкогольных продуктов в мире - виски Jack Daniel's, стала жертвой оператора ransomware Sodinokibi (они же REvil).
Представители компании сообщили, что смогли защититься от шифрования важной информации, видимо, путем эффективного резервного копирования.
А вот от чего они не смогли защититься, так это от кражи конфиденциальной информации. REvil заявили, что успешно увели 1 Тб корпоративных данных и теперь будут сливать их в паблик по частям, чтобы побудить Brown-Forman заплатить выкуп.
Даже никаких комментариев давать не будем, уже все, что только можно, сказали раньше. Ransomware, однозначно, - самая опасная угроза в современном Интернете.
Представители компании сообщили, что смогли защититься от шифрования важной информации, видимо, путем эффективного резервного копирования.
А вот от чего они не смогли защититься, так это от кражи конфиденциальной информации. REvil заявили, что успешно увели 1 Тб корпоративных данных и теперь будут сливать их в паблик по частям, чтобы побудить Brown-Forman заплатить выкуп.
Даже никаких комментариев давать не будем, уже все, что только можно, сказали раньше. Ransomware, однозначно, - самая опасная угроза в современном Интернете.
Infosecurity Magazine
Jack Daniel’s-Maker Suffers REvil Ransomware Breach
Attackers claim to have 1TB of stolen data in their possession
И опять ransomware.
Carnival Corp, крупнейший оператор круизных лайнеров в мире, владеющий флотом из 600 судов и имеющий доход более 20 млрд. долларов в 2019 году, стал жертвой вымогателя.
В документе, поданном в американскую Комиссию по ценным бумагам (SEC), корпорация сообщила, что 15 августа один из брендов корпорации был успешно взломан оператором неназванного ransomware, в результате чего часть конфиденциальных сведений, включая личные данные клиентов и сотрудников Carnival Corp., была похищена и зашифрована.
При этом Carnival ожидают, что украденная информация может попасть в паблик, а следовательно выкуп вымогателям заплачен не был.
И можно было бы пожалеть несчастных судовладельцев, да вот исследователи из Bad Packets подсказывают, что взлом, скорее всего, произошел по причине наличия у Carnival Corp. множества уязвимых перед CVE-2019-19781 серверов Citrix, а также непропатченных фаерволов от Palo Alto Networks, уязвимых перед CVE- 2020-2021.
Для понимания - первая ошибка была исправлена в соответствующих обновлениях в январе 2020 года, а вторая - в конце июня. И если "эффективные" топ-менеджеры мультимиллиардного бизнеса не в состоянии наладить такой элементарный бизнес-процесс, как своевременное обновление имеющегося ПО, то они сами себе буратины.
Carnival Corp, крупнейший оператор круизных лайнеров в мире, владеющий флотом из 600 судов и имеющий доход более 20 млрд. долларов в 2019 году, стал жертвой вымогателя.
В документе, поданном в американскую Комиссию по ценным бумагам (SEC), корпорация сообщила, что 15 августа один из брендов корпорации был успешно взломан оператором неназванного ransomware, в результате чего часть конфиденциальных сведений, включая личные данные клиентов и сотрудников Carnival Corp., была похищена и зашифрована.
При этом Carnival ожидают, что украденная информация может попасть в паблик, а следовательно выкуп вымогателям заплачен не был.
И можно было бы пожалеть несчастных судовладельцев, да вот исследователи из Bad Packets подсказывают, что взлом, скорее всего, произошел по причине наличия у Carnival Corp. множества уязвимых перед CVE-2019-19781 серверов Citrix, а также непропатченных фаерволов от Palo Alto Networks, уязвимых перед CVE- 2020-2021.
Для понимания - первая ошибка была исправлена в соответствующих обновлениях в январе 2020 года, а вторая - в конце июня. И если "эффективные" топ-менеджеры мультимиллиардного бизнеса не в состоянии наладить такой элементарный бизнес-процесс, как своевременное обновление имеющегося ПО, то они сами себе буратины.
www.documentcloud.org
Carnival 8K Other Events CCL 17 Aug 20
Мы неоднократно высказывали сомнения по поводу планируемого мировыми автопроизводителями широкого использования беспроводных подключений для обновлений и поддержки различных систем автомобиля. К примеру, вот здесь.
Тайваньские китайцы, прикидывающиеся японцами, а именно Trend Micro, тоже озаботились этими вопросами и провели исследование Безопасность вождения в подключенных к сети машинах. Результаты неутешительны - уже сейчас ресерчеры идентифицировали 29 видов атак, из которых 17% несут высокий риск для водителей.
Но рассмотрим отчет Trend Micro подробнее.
Исследователи заявляют, что в настоящее время новая модель автомобиля работает под управлением 100 млн. строк кода в среднем. Обычные машины имеют на борту как минимум 30 электронных блоков управления (ЭБУ), оснащенных микропроцессорами, в люксовых же моделях эта цифра достигает 100. Все это соединяется по различным каналам - CAN-шина, Ethernet, LIN (Local Interconnet Network), MOST (Media Oriented Systems Transport) и пр. А сверху на все это хозяйство пытаются нахлобучить спутниковый канал связи, Wi-Fi, eSIM и т.д.
Trend Micro проанализировали уже известные атаки по беспроводному каналу связи.
1. Открытая исследователями в 2015 году атака на Jeep, которая повлекла за собой отзыв более 1,4 млн. автомобилей. Тогда через ошибку в модуле 3G связи от телеком оператора Sprint удалось взломать головное мультимедийное устройство и смоделировать команды CAN-шины, в результате чего добиться отключения двигателя, отказа тормозной системы и удаленного управления рулевым колесом.
2. Атака на Tesla Model S в 2016 году. Исследователи из Tencent Keen Security Lab, используя цепочку уязвимостей, смогли сделать поддельную точку Wi-Fi доступа, применяемую авторизованными мастерскими и электрозаправками, пробиться к CAN-шине и отключить ESP, ABS и усилитель руля.
3. В 2017 году Tencent Keen Security Lab удалось расширить атаку на Tesla Model S и получить доступ к автопилоту автомобиля.
4. В 2018 году все те же ресерчеры из Tencent Keen Security Lab смогли разработать сразу три атаки на автомобили BMW - одну через USB-порт, а две других - удаленные. В первой из удаленных атак они обманули сервис BMW ConnectedDrive путем использования поддельной мобильной базовой станции и добрались до CAN-шины. Во второй - через ту же поддельную базовую станцию исследователи отправили вредоносные SMS-сообщения и, используя ряд уязвимостей, смогли произвольно сбрасывать любой ЭБУ прямо во время движения, а также дистанционно менять положение водительского сиденья.
На основе проведенного анализа Trend Micro построили модель угроз DREAD (Damage potential, Reproducibility, Exploitability, Affected users, Discoverability) и оценили в соответствии с ней потенциальные атаки. Также они разработали ряд рекомендаций для автопроизводителей, в которые входят сегментация сети автомобиля, использование файрволов и антивирусного ПО, шифрование и многое другое.
Короче говоря, Trend Micro как бы сообщают - если вы хотите сделать из автомобиля компьютер на колесах, то и меры информационной безопасности следует применять соответствующие.
Тайваньские китайцы, прикидывающиеся японцами, а именно Trend Micro, тоже озаботились этими вопросами и провели исследование Безопасность вождения в подключенных к сети машинах. Результаты неутешительны - уже сейчас ресерчеры идентифицировали 29 видов атак, из которых 17% несут высокий риск для водителей.
Но рассмотрим отчет Trend Micro подробнее.
Исследователи заявляют, что в настоящее время новая модель автомобиля работает под управлением 100 млн. строк кода в среднем. Обычные машины имеют на борту как минимум 30 электронных блоков управления (ЭБУ), оснащенных микропроцессорами, в люксовых же моделях эта цифра достигает 100. Все это соединяется по различным каналам - CAN-шина, Ethernet, LIN (Local Interconnet Network), MOST (Media Oriented Systems Transport) и пр. А сверху на все это хозяйство пытаются нахлобучить спутниковый канал связи, Wi-Fi, eSIM и т.д.
Trend Micro проанализировали уже известные атаки по беспроводному каналу связи.
1. Открытая исследователями в 2015 году атака на Jeep, которая повлекла за собой отзыв более 1,4 млн. автомобилей. Тогда через ошибку в модуле 3G связи от телеком оператора Sprint удалось взломать головное мультимедийное устройство и смоделировать команды CAN-шины, в результате чего добиться отключения двигателя, отказа тормозной системы и удаленного управления рулевым колесом.
2. Атака на Tesla Model S в 2016 году. Исследователи из Tencent Keen Security Lab, используя цепочку уязвимостей, смогли сделать поддельную точку Wi-Fi доступа, применяемую авторизованными мастерскими и электрозаправками, пробиться к CAN-шине и отключить ESP, ABS и усилитель руля.
3. В 2017 году Tencent Keen Security Lab удалось расширить атаку на Tesla Model S и получить доступ к автопилоту автомобиля.
4. В 2018 году все те же ресерчеры из Tencent Keen Security Lab смогли разработать сразу три атаки на автомобили BMW - одну через USB-порт, а две других - удаленные. В первой из удаленных атак они обманули сервис BMW ConnectedDrive путем использования поддельной мобильной базовой станции и добрались до CAN-шины. Во второй - через ту же поддельную базовую станцию исследователи отправили вредоносные SMS-сообщения и, используя ряд уязвимостей, смогли произвольно сбрасывать любой ЭБУ прямо во время движения, а также дистанционно менять положение водительского сиденья.
На основе проведенного анализа Trend Micro построили модель угроз DREAD (Damage potential, Reproducibility, Exploitability, Affected users, Discoverability) и оценили в соответствии с ней потенциальные атаки. Также они разработали ряд рекомендаций для автопроизводителей, в которые входят сегментация сети автомобиля, использование файрволов и антивирусного ПО, шифрование и многое другое.
Короче говоря, Trend Micro как бы сообщают - если вы хотите сделать из автомобиля компьютер на колесах, то и меры информационной безопасности следует применять соответствующие.
Trendmicro
The Cybersecurity Blind Spots of Connected Cars
Connected cars face a range of ever-increasing and ever-progressing cyberthreats. Our forward-looking research provides an in-depth examination of the risks connected cars might run into.
Американское Агентство кибербезопасности (CISA) совместно с ФБР вчера выпустили отчет о новом вредоносе, используемом северокорейской APT Lazarus (американцы традиционно называют групп Hidden Cobra).
Вредонос представляет собой RAT (троян удаленного доступа), получивший название BLINDINGCAN. Он предназначен для сбора информации с зараженного хоста и ее эксфильтрации, а также обладает функционалом по очистке следов своего присутствия в атакованной системе.
Механизм распространения BLINDINGCAN - целевой фишинг, объектами атаки являлись сотрудники оборонного и аэрокосмического сектора. Северокорейские хакеры выдавали себя за рекрутеров крупных корпораций, а в ходе собеседования присылали файлы с вредоносным вложением.
Одной из используемых шаблонных фраз было предложение "работы мечты" (dream job). Поэтому инфосек вендор ClearSky назвал эту кампанию северокорейских хакеров Operation Dream Job.
А мы в который раз убеждаемся, что Lazarus - самая активная прогосударственная хакерская группа на планете.
#APT #Lazarus
Вредонос представляет собой RAT (троян удаленного доступа), получивший название BLINDINGCAN. Он предназначен для сбора информации с зараженного хоста и ее эксфильтрации, а также обладает функционалом по очистке следов своего присутствия в атакованной системе.
Механизм распространения BLINDINGCAN - целевой фишинг, объектами атаки являлись сотрудники оборонного и аэрокосмического сектора. Северокорейские хакеры выдавали себя за рекрутеров крупных корпораций, а в ходе собеседования присылали файлы с вредоносным вложением.
Одной из используемых шаблонных фраз было предложение "работы мечты" (dream job). Поэтому инфосек вендор ClearSky назвал эту кампанию северокорейских хакеров Operation Dream Job.
А мы в который раз убеждаемся, что Lazarus - самая активная прогосударственная хакерская группа на планете.
#APT #Lazarus
Shadow Intelligence сообщает, что некий хакер (русскоязычный) с псевдонимом gookee продает на одном из специализированных ресурсов доступ к серверу Sony Network под управлением Windows Server 2012.
В сообщении gookee прекрасно вообще все. Это просто квинтэссенция современного инфосека - бессмысленные хакеры и бесполезные сотрудники подразделений ИБ.
В сообщении gookee прекрасно вообще все. Это просто квинтэссенция современного инфосека - бессмысленные хакеры и бесполезные сотрудники подразделений ИБ.
Исследователи Национального университета Сингапура разработали атаку, которую назвали SpiKey, позволяющую создавать дубликат ключа на основе звука, который он издает, когда его вставляют в замок.
Атака выглядит следующим образом.
Злоумышленник скрытно записывает звук вставляемого в замок ключа и обрабатывает его с помощью специального ПО, чтобы вычислить расстояния между соседними выступами ключа и глубину впадин.
После обработки преступник получает несколько вариантов ключа, которые затем распечатывает на 3D принтере.
Для доказательства работоспособности разработанной атаки исследователи продемонстрировали как их технология, основываясь на реальных аудиозаписях, смогла сузить множество из 330 тысяч возможных комбинаций ключа до трех вариантов.
Сингапурцы рекомендуют не открывать двери при соседях и посторонних лицах. Но мы-то с вами понимаем, что все эти предосторожности бесполезны. Поскольку злодеи смогут подслушать звук вставляемого ключа с помощью атаки Lamphone, про которую мы писали раньше, позволяющей снимать звуки со светодиодных лампочек на расстоянии.
Поэтому мы рекомендуем открывать замки в полном одиночестве и при выключенном свете. И под одеялом.
Атака выглядит следующим образом.
Злоумышленник скрытно записывает звук вставляемого в замок ключа и обрабатывает его с помощью специального ПО, чтобы вычислить расстояния между соседними выступами ключа и глубину впадин.
После обработки преступник получает несколько вариантов ключа, которые затем распечатывает на 3D принтере.
Для доказательства работоспособности разработанной атаки исследователи продемонстрировали как их технология, основываясь на реальных аудиозаписях, смогла сузить множество из 330 тысяч возможных комбинаций ключа до трех вариантов.
Сингапурцы рекомендуют не открывать двери при соседях и посторонних лицах. Но мы-то с вами понимаем, что все эти предосторожности бесполезны. Поскольку злодеи смогут подслушать звук вставляемого ключа с помощью атаки Lamphone, про которую мы писали раньше, позволяющей снимать звуки со светодиодных лампочек на расстоянии.
Поэтому мы рекомендуем открывать замки в полном одиночестве и при выключенном свете. И под одеялом.
Threat Post
The Sounds a Key Make Can Produce 3D-Printed Replica
Researchers reveal technology called SpiKey that can ‘listen’ to the clicks a key makes in a lock and create a duplicate from the sounds.
Месяц назад мы писали про пакистанскую APT 36, она же Transparent Tribe и Mythic Leopard, которая занимается кибершпионажем, предположительно, в интересах Пакистанской межведомственной разведки (ISI).
Сегодня Касперские опубликовали новый отчет, в котором описали использующееся пакистанскими хакерами в 2017-2020 годах malware, включая Crimson RAT.
Среди прочего вредоносного инструментария Касперские сообщили про USBWorm, который, по их словам, ранее не описывался, хотя и периодически наблюдался в последние годы.
USBWorm предназначен для сбора сведений со съемных носителей, распространения с их помощью, а также для загрузки и установки на зараженную машину "тонкого клиента" Crimson RAT. Короче говоря, с его помощью пакистанцы атакуют физически изолированные сети.
При попадании в скомпрометированную систему (как правило, устанавливается Crimson RAT) USBWorm начинает мониторинг подключаемых съемных носителей, в которых он заражает все имеющиеся каталоги и собирает с них информацию. Затем для каждого каталога он создает свою копию, при этом имитирует иконку каталога, а настоящий каталог скрывает. Соответственно, при попытке доступа к каталогу пользователь собственноручно запускает вредонос, который заражает машину, а потом открывает настоящий каталог.
Если червь находится на хосте, то он ищет все файлы с интересующими его расширениями, после чего копирует их в отдельный каталог. Если же он запущен со съемного носителя, то сначала он проверяет заражена ли система, если нет - то загружает "тонкий клиент" Crimson RAT.
Как утверждают исследователи, они обнаружили более 1000 заражений принадлежащими Transparent Tribe вредоносами в 27 странах., большинство из которых связано с USBWorm. Основные цели, как и всегда у пакистанцев, - Индия и Афганистан, в других странах - преимущественно их посольства.
Сегодня Касперские опубликовали новый отчет, в котором описали использующееся пакистанскими хакерами в 2017-2020 годах malware, включая Crimson RAT.
Среди прочего вредоносного инструментария Касперские сообщили про USBWorm, который, по их словам, ранее не описывался, хотя и периодически наблюдался в последние годы.
USBWorm предназначен для сбора сведений со съемных носителей, распространения с их помощью, а также для загрузки и установки на зараженную машину "тонкого клиента" Crimson RAT. Короче говоря, с его помощью пакистанцы атакуют физически изолированные сети.
При попадании в скомпрометированную систему (как правило, устанавливается Crimson RAT) USBWorm начинает мониторинг подключаемых съемных носителей, в которых он заражает все имеющиеся каталоги и собирает с них информацию. Затем для каждого каталога он создает свою копию, при этом имитирует иконку каталога, а настоящий каталог скрывает. Соответственно, при попытке доступа к каталогу пользователь собственноручно запускает вредонос, который заражает машину, а потом открывает настоящий каталог.
Если червь находится на хосте, то он ищет все файлы с интересующими его расширениями, после чего копирует их в отдельный каталог. Если же он запущен со съемного носителя, то сначала он проверяет заражена ли система, если нет - то загружает "тонкий клиент" Crimson RAT.
Как утверждают исследователи, они обнаружили более 1000 заражений принадлежащими Transparent Tribe вредоносами в 27 странах., большинство из которых связано с USBWorm. Основные цели, как и всегда у пакистанцев, - Индия и Афганистан, в других странах - преимущественно их посольства.
Securelist
Transparent Tribe: Evolution analysis, part 1 | Securelist
Transparent Tribe, also known as PROJECTM and MYTHIC LEOPARD, is a highly prolific group whose activities can be traced as far back as 2013.
Вчера стало известно о том, что прокуратура Северной Каролины предъявила обвинения Джо Салливану, бывшему CSO компании Uber в 2015-2017 годах. Его обвиняют в сокрытии взлома компании в 2016 году.
Во взломе виновны двое хакеров - американец Брэндон Гловер и канадец Василе Мереакра, которых осудили в прошлом году. Осенью 2016 года они скомпрометировали несколько учетных записей сотрудников Uber на GitHub, в результате чего получили учетные данные от AWS (Amazon Web Service) внутренней инфраструктуры компании.
Хакеры обнаружили и похитили персональные данные 57 млн. клиентов Uber и 600 тыс. водителей. После этого, 14 ноября 2016 года, они направили анонимное письмо Салливану, в котором сообщили о взломе. Вместо того, чтобы заявить о преступлении, последний решил скрыть факт проникновения, поскольку только за 10 дней до этого его опрашивали в Федеральной торговой комиссии США (FTS) о взломе Uber, произошедшем в 2014 году.
В декабре 2016 года Салливан организовал передачу хакерам 100 тыс. долларов в BTC под видом программы Bug Bounty, при этом личности злоумышленников не были раскрыты. Позже безопасность компании установила хакеров, но это повлекло лишь заключение с ними нового соглашения в рамках Bug Bounty, в правоохранительные органы Салливан так и не обратился.
О факте взлома Uber стало известно лишь в декабре 2017 года, после того как в компанию пришло новое руководство, включая нового директора по безопасности.
Теперь Салливана обвиняют в косвенной помощи хакерам, поскольку после взлома Uber они совершили и другие взломы, которые могли быть предотвращены если бы CSO компании сообщил об этом в полицию или ФБР. Ему грозит до 8 лет лишения свободы.
Остается узнать - был ли золотой парашют Салливана настолько хорош, чтобы компенсировать потенциальную отсидку. Ведь на преступление он пошел, чтобы прикрыть репутацию своего работодателя.
Во взломе виновны двое хакеров - американец Брэндон Гловер и канадец Василе Мереакра, которых осудили в прошлом году. Осенью 2016 года они скомпрометировали несколько учетных записей сотрудников Uber на GitHub, в результате чего получили учетные данные от AWS (Amazon Web Service) внутренней инфраструктуры компании.
Хакеры обнаружили и похитили персональные данные 57 млн. клиентов Uber и 600 тыс. водителей. После этого, 14 ноября 2016 года, они направили анонимное письмо Салливану, в котором сообщили о взломе. Вместо того, чтобы заявить о преступлении, последний решил скрыть факт проникновения, поскольку только за 10 дней до этого его опрашивали в Федеральной торговой комиссии США (FTS) о взломе Uber, произошедшем в 2014 году.
В декабре 2016 года Салливан организовал передачу хакерам 100 тыс. долларов в BTC под видом программы Bug Bounty, при этом личности злоумышленников не были раскрыты. Позже безопасность компании установила хакеров, но это повлекло лишь заключение с ними нового соглашения в рамках Bug Bounty, в правоохранительные органы Салливан так и не обратился.
О факте взлома Uber стало известно лишь в декабре 2017 года, после того как в компанию пришло новое руководство, включая нового директора по безопасности.
Теперь Салливана обвиняют в косвенной помощи хакерам, поскольку после взлома Uber они совершили и другие взломы, которые могли быть предотвращены если бы CSO компании сообщил об этом в полицию или ФБР. Ему грозит до 8 лет лишения свободы.
Остается узнать - был ли золотой парашют Салливана настолько хорош, чтобы компенсировать потенциальную отсидку. Ведь на преступление он пошел, чтобы прикрыть репутацию своего работодателя.
Университет штата Юты подвергся атаке неустановленного ransomware, в результате чего был вынужден выплатить вымогателям 457 тыс. долларов.
19 июля информационная безопасность Университета выявила атаку ransomware на сервера Университетского колледжа социальных и поведенческих наук (CSBS). Информация на взломанных серверах была похищена, а затем зашифрована.
Несмотря на то, что данные получилось восстановить из резервных копий, Университет принял решение заплатить выкуп чтобы предотвратить слив в паблик украденных данных, поскольку в них содержались сведения в отношении студентов и сотрудников Университета.
Инфосек эксперты склоняются к тому, что за атакой стоял оператор ransomware NetWalker, который специализируется на взломах сетей американских учебных заведений, а от одного из них он недавно поимел более 1,1 млн. долларов.
Университет заявил, что выкуп был выплачен за счет киберстраховки. Как нам кажется, с учетом все большей актуальности угроз ransomware, страховой продукт "Страховка на случай нападения кибервымогателей" будет в скором будущем весьма востребованным. Дарим идею бесплатно.
19 июля информационная безопасность Университета выявила атаку ransomware на сервера Университетского колледжа социальных и поведенческих наук (CSBS). Информация на взломанных серверах была похищена, а затем зашифрована.
Несмотря на то, что данные получилось восстановить из резервных копий, Университет принял решение заплатить выкуп чтобы предотвратить слив в паблик украденных данных, поскольку в них содержались сведения в отношении студентов и сотрудников Университета.
Инфосек эксперты склоняются к тому, что за атакой стоял оператор ransomware NetWalker, который специализируется на взломах сетей американских учебных заведений, а от одного из них он недавно поимел более 1,1 млн. долларов.
Университет заявил, что выкуп был выплачен за счет киберстраховки. Как нам кажется, с учетом все большей актуальности угроз ransomware, страховой продукт "Страховка на случай нападения кибервымогателей" будет в скором будущем весьма востребованным. Дарим идею бесплатно.
BleepingComputer
University of Utah hit by ransomware, pays $457K ransom
The University of Utah has paid a $457,000 ransomware to prevent threat actors from releasing files stolen during a ransomware attack.
Совсем недавно мы писали про то, что АНБ выпустили совместный с ФБР отчет, в котором описали выявленный вредонос для Linux под названием Drovorub за авторством хакерской группы Fancy Bear, за которой, как утверждается, стоит ГРУ. Новость разошлась по всем мировым СМИ.
Американцы заявили, что Drovorub - многокомпонентная система, включающая руткит модуля ядра, предназначенный для скрытия вредоносной деятельности. Основное его предназначение - поиск и эксфильтрация информации.
Нас изначально смутило то, что, как уверяло АНБ, Drovorub - это внутреннее название вредоноса, используемое членами Fancy Bear. Ну серьезно, это очень странное название, похожее на искусственно придуманное людьми, которые владеют языком, но не являются его нативными носителями. Древоруб звучит более правильно.
И вот ситуация становится все страннее и страннее. Прошло целых 10 дней с момента заявления АНБ, а в инфосек комьюнити не могут найти сэмплов Drovorub'а. То есть их вообще ни у кого нет!
Вроде и не хочется верить, что американские спецслужбы могли сделать подлог, потому что рано или поздно такое всплывет и скандал будет чудовищным. С другой стороны, тот факт, что американцы не делятся сэмплами - это совершенное неуважение к комьюнити и к пользователям. И невольно такое поведение наводит на определенные мысли.
Ну а то, что американцы в последнее время без каких-либо сомнений нарушают все писанные и неписанные правила - мы уже писали.
Американцы заявили, что Drovorub - многокомпонентная система, включающая руткит модуля ядра, предназначенный для скрытия вредоносной деятельности. Основное его предназначение - поиск и эксфильтрация информации.
Нас изначально смутило то, что, как уверяло АНБ, Drovorub - это внутреннее название вредоноса, используемое членами Fancy Bear. Ну серьезно, это очень странное название, похожее на искусственно придуманное людьми, которые владеют языком, но не являются его нативными носителями. Древоруб звучит более правильно.
И вот ситуация становится все страннее и страннее. Прошло целых 10 дней с момента заявления АНБ, а в инфосек комьюнити не могут найти сэмплов Drovorub'а. То есть их вообще ни у кого нет!
Вроде и не хочется верить, что американские спецслужбы могли сделать подлог, потому что рано или поздно такое всплывет и скандал будет чудовищным. С другой стороны, тот факт, что американцы не делятся сэмплами - это совершенное неуважение к комьюнити и к пользователям. И невольно такое поведение наводит на определенные мысли.
Ну а то, что американцы в последнее время без каких-либо сомнений нарушают все писанные и неписанные правила - мы уже писали.
Telegram
SecAtor
Вчера АНБ выпустили совместный с ФБР отчет, в котором описали выявленный вредонос для Linux под названием Drovorub за авторством хакерской группы Fancy Bear, за которой, как утверждается, стоит ГРУ.
По утверждению американцев, Drovorub - многокомпонентная…
По утверждению американцев, Drovorub - многокомпонентная…
Видимо, "сингапурская компания" Group-IB решила не отставать от Касперских, которые в последние недели штампуют любопытные отчеты просто пачками, и выдали интересный материал в отношении коммерческой иранской группы, использующей вымогатель Dharma.
Dharma (ранее CrySiS) - один из старейших вымогателей, работающий по схеме RaaS (ransomware as a service), когда оператор ransomware предоставляет клиентам свою вредоносную инфраструктуру и получает с от 30 до 40% выкупа. Оператор Dharma известен невысокими предъявляемыми требованиями к потенциальным партнерам, в отличие, например, от владельцев Sodinjkibi (aka REvil), которые предварительно проводят целые собеседования, чтобы убедиться, что клиенты являются хорошими хакерами.
В марте исходники Dharma были выставлены на продажу на двух русскоязычных форумах - мы писали об этом здесь. Вероятно иранцы его тогда и купили.
ГрИБы утверждают, что новые пользователи Dharma обладают очень низким хакерским скиллом. Используя доступное в сети хакерское ПО они сканируют сеть на предмет открытых портов RDP (Remote Desktop Protocol, удаленный рабочий стол) и пытаются забрутфорсить учетные данные. В случае успеха злоумышленники пробуют использовать старую уязвимость CVE-2017-0213 для Windows, чтобы повысить привилегии.
По мнению Group-IB, у иранских хакеров нет четкого плана как расширять свое присутствие в скомпрометированных сетях. Так что в каждом конкретном случае они решают что делать дальше для бокового перемещения по сети.
Основные цели - в России, Японии, Китае и Индии. В результате удаленной работы множества сотрудников из-за пандемии резко увеличилось количество плохо сконфигурированных RDP-подключений, поэтому иранским хакерам всегда есть чем поживиться. Тем более, что просят они сравнительно немного - от 1 до 5 BTC (приблизительно от 12 до 60 тыс. долларов по текущему курсу).
Dharma (ранее CrySiS) - один из старейших вымогателей, работающий по схеме RaaS (ransomware as a service), когда оператор ransomware предоставляет клиентам свою вредоносную инфраструктуру и получает с от 30 до 40% выкупа. Оператор Dharma известен невысокими предъявляемыми требованиями к потенциальным партнерам, в отличие, например, от владельцев Sodinjkibi (aka REvil), которые предварительно проводят целые собеседования, чтобы убедиться, что клиенты являются хорошими хакерами.
В марте исходники Dharma были выставлены на продажу на двух русскоязычных форумах - мы писали об этом здесь. Вероятно иранцы его тогда и купили.
ГрИБы утверждают, что новые пользователи Dharma обладают очень низким хакерским скиллом. Используя доступное в сети хакерское ПО они сканируют сеть на предмет открытых портов RDP (Remote Desktop Protocol, удаленный рабочий стол) и пытаются забрутфорсить учетные данные. В случае успеха злоумышленники пробуют использовать старую уязвимость CVE-2017-0213 для Windows, чтобы повысить привилегии.
По мнению Group-IB, у иранских хакеров нет четкого плана как расширять свое присутствие в скомпрометированных сетях. Так что в каждом конкретном случае они решают что делать дальше для бокового перемещения по сети.
Основные цели - в России, Японии, Китае и Индии. В результате удаленной работы множества сотрудников из-за пандемии резко увеличилось количество плохо сконфигурированных RDP-подключений, поэтому иранским хакерам всегда есть чем поживиться. Тем более, что просят они сравнительно немного - от 1 до 5 BTC (приблизительно от 12 до 60 тыс. долларов по текущему курсу).
Group-IB
Cybercriminal greeners from Iran attack companies worldwide for financial gain
Group-IB, a global threat hunting and intelligence company headquartered in Singapore, has detected financially motivated attacks carried out by Iranian newbie threat actors in June. The attackers used Dharma ransomware and a mix of publicly available tools…
Как сообщают The Hacker News, системный администратор А. Никочи сообщил о выявленной уязвимости в Google Drive, которая потенциально может быть использована злоумышленниками для распространения вредоносов.
Дырка находится в функции Управление версиями, которая позволяет произвольно менять расширение у загружаемого под видом новой версии файла. Никочи создал демонстрационный ролик, в котором показал как легитимная версия файла может быть заменена на вредонос. Подобные уловки могут быть использованы хакерами в ходе целевого фишинга.
Google в курсе проблемы, но пока ее не исправили. Будьте аккуратнее.
Дырка находится в функции Управление версиями, которая позволяет произвольно менять расширение у загружаемого под видом новой версии файла. Никочи создал демонстрационный ролик, в котором показал как легитимная версия файла может быть заменена на вредонос. Подобные уловки могут быть использованы хакерами в ходе целевого фишинга.
Google в курсе проблемы, но пока ее не исправили. Будьте аккуратнее.
Китайские исследователи из Shadow Chaser Group, которые давно следят за индийской APT SideWinder, обнаружили новую фишинговую атаку за авторством индийцев, направленную на афганские правительственные организации.
В качестве приманки используется документ от лица офиса Совета национальной безопасности Афганистана.
Вот так индийцы работают на афганском направлении.
В качестве приманки используется документ от лица офиса Совета национальной безопасности Афганистана.
Вот так индийцы работают на афганском направлении.
Новая команда DarkTracer, похоже японская, в рамках продвижения своего проекта по киберразведке выложила в сеть результаты своего анализа - список из 280 организаций, ставших жертвами 12 операторов ransomware.
Twitter
DarkTracer
[Updated] List of victim organizations(280) attacked by ransomware groups(12) released on the DarkWeb [Raw data] https://t.co/lQjbVBPixH #DarkTracer #DarkWeb #Ransomware #AKO #Avaddon #Clop #Conti #DarkSide #DoppelPaymer #MAZE #Nefilim #NetWalker #Pysa #Ragnar_Locker…
Мы, видимо, в последнее время так много писали про Касперских, что нас стали спрашивать - не сидим ли мы у них на зарплате. Но мы, серьезно, не виноваты, что птенцы Евгения Валентиновича Маска в последний месяц выдают на гора один интересный отчет за другим.
Кстати, когда мы подряд давали несколько постов про хорошие обзоры Trend Micro никто нас про зарплату от японцев не спрашивал. Обидно.
Мы это пишем, как подписчики наверное догадались, к очередному интересному материалу Касперских.
Исследователи обнаружили очень редкую разновидность APT, которая не является ни прогосударственной, ни коммерческой. Новой хакерской группе дали название Death Stalker. Она занимается тем, что в рамках корпоративных войн по заказу взламывает юридические и финансовые компании, чтобы получить доступ к конфиденциальной информации. Эдакие солдаты удачи сетевого мира.
Найденный Касперскими PowerShell-имплант, который Death Stalker использует в целевом фишинге и получивший название Powersing, весьма сложен и свидетельствует о высоком уровне его разработчиков. Он эффективно шифруется, проверяет наличие sandbox и виртуальных машин.
Death Stalker используют общедоступные сервисы для передачи команд своим вредоносам - ресерчеры нашли такие сообщения в Google+, Reddit, Tumblr, Twitter, YouTube и др. Причем делает это в несколько этапов. Из первого сообщения Powersing считывает ключ AES, который затем использует для расшифровки числа из другого сообщения, а уже из полученного целого числа извлекает IP-адрес управляющего центра.
Проведя поиск подобных управляющих сообщений исследователи установили, что группа работает как минимум с августа 2017 года. Также они установили возможную связь Powersing с другими вредоносами - Janicab и Evilnum, которые используют похожие механизмы получения адресов управляющих центров. Исходя из этого, ресерчеры cо "средней вероятностью" утверждают, что Janicab и Evilnum также управляются Death Stalker.
Это же подтверждают некие "дополнительные данные, предоставленные отраслевыми партнерами", но Касперские их никому не покажут. Нахрена тогда про них писать...
Активность Powersing была зафиксирована в Аргентине, Китае, Кипре, Израиле, Ливане, Швейцарии, Тайване, Турции, Великобритании и ОАЭ. И если предположения Касперских про то, что Death Stalker используют также и Janicab, верны, то это означает, что хакерская группа активно работает как минимум с 2012 года.
#APT #DeathStalker
Кстати, когда мы подряд давали несколько постов про хорошие обзоры Trend Micro никто нас про зарплату от японцев не спрашивал. Обидно.
Мы это пишем, как подписчики наверное догадались, к очередному интересному материалу Касперских.
Исследователи обнаружили очень редкую разновидность APT, которая не является ни прогосударственной, ни коммерческой. Новой хакерской группе дали название Death Stalker. Она занимается тем, что в рамках корпоративных войн по заказу взламывает юридические и финансовые компании, чтобы получить доступ к конфиденциальной информации. Эдакие солдаты удачи сетевого мира.
Найденный Касперскими PowerShell-имплант, который Death Stalker использует в целевом фишинге и получивший название Powersing, весьма сложен и свидетельствует о высоком уровне его разработчиков. Он эффективно шифруется, проверяет наличие sandbox и виртуальных машин.
Death Stalker используют общедоступные сервисы для передачи команд своим вредоносам - ресерчеры нашли такие сообщения в Google+, Reddit, Tumblr, Twitter, YouTube и др. Причем делает это в несколько этапов. Из первого сообщения Powersing считывает ключ AES, который затем использует для расшифровки числа из другого сообщения, а уже из полученного целого числа извлекает IP-адрес управляющего центра.
Проведя поиск подобных управляющих сообщений исследователи установили, что группа работает как минимум с августа 2017 года. Также они установили возможную связь Powersing с другими вредоносами - Janicab и Evilnum, которые используют похожие механизмы получения адресов управляющих центров. Исходя из этого, ресерчеры cо "средней вероятностью" утверждают, что Janicab и Evilnum также управляются Death Stalker.
Это же подтверждают некие "дополнительные данные, предоставленные отраслевыми партнерами", но Касперские их никому не покажут. Нахрена тогда про них писать...
Активность Powersing была зафиксирована в Аргентине, Китае, Кипре, Израиле, Ливане, Швейцарии, Тайване, Турции, Великобритании и ОАЭ. И если предположения Касперских про то, что Death Stalker используют также и Janicab, верны, то это означает, что хакерская группа активно работает как минимум с 2012 года.
#APT #DeathStalker
Securelist
Lifting the veil on DeathStalker, a mercenary triumvirate
DeathStalker is a group of mercenaries offering hacking-for-hire services, or acting as some sort of information broker in financial circles.
Когда читаешь инфосек новости, то понимаешь, что выражение "хуцпа" не там придумано - оно должно было возникнуть в Китае. Хотя кто знает, может быть и есть какой-нибудь секретный иероглиф, обозначающий беспредельную наглость и борзость.
Инфосек компания Snyk опубликовала отчет, в котором сообщила об обнаружении вредоносного функционала в популярном SDK для iOS-приложений от китайской рекламной платформы Mintegral. Исследователи дали ему название SourMint.
Этот SDK предоставляет разработчикам удобный функционал для встраивания рекламы в свои приложения и пользуется большой популярностью - он применяется более чем в 1200 iOS-приложениях, которые имеют в совокупности более 300 млн. загрузок в месяц.
Оказывается SourMint перехватывает клики, которые производит пользователь на чужих рекламных объявлениях и сообщает iOS, что пользователь кликнул по рекламным объявлениям Mintegral.
Однако этим вредоносный функционал SDK не ограничивается. SourMint собирает данные в отношении URL-запросов, сделанных пользователем из приложений, в которых SDK используется, а затем отправляет данные на удаленный сервер. При этом еще и пытается их закодировать.
Snyk сообщают, что впервые вредоносный функционал появился в SourMint в июле 2019 года. Apple пока отмораживается и пытается свалить всю ответственность на разработчиков приложений, использующих этот SDK.
Оно и понятно, зачем Apple ломать свой рекламный рынок. Вот только пока списка приложений, использующих SourMint, никто не опубликовал. А это значит, что пользовательские данные по прежнему под угрозой.
Инфосек компания Snyk опубликовала отчет, в котором сообщила об обнаружении вредоносного функционала в популярном SDK для iOS-приложений от китайской рекламной платформы Mintegral. Исследователи дали ему название SourMint.
Этот SDK предоставляет разработчикам удобный функционал для встраивания рекламы в свои приложения и пользуется большой популярностью - он применяется более чем в 1200 iOS-приложениях, которые имеют в совокупности более 300 млн. загрузок в месяц.
Оказывается SourMint перехватывает клики, которые производит пользователь на чужих рекламных объявлениях и сообщает iOS, что пользователь кликнул по рекламным объявлениям Mintegral.
Однако этим вредоносный функционал SDK не ограничивается. SourMint собирает данные в отношении URL-запросов, сделанных пользователем из приложений, в которых SDK используется, а затем отправляет данные на удаленный сервер. При этом еще и пытается их закодировать.
Snyk сообщают, что впервые вредоносный функционал появился в SourMint в июле 2019 года. Apple пока отмораживается и пытается свалить всю ответственность на разработчиков приложений, использующих этот SDK.
Оно и понятно, зачем Apple ломать свой рекламный рынок. Вот только пока списка приложений, использующих SourMint, никто не опубликовал. А это значит, что пользовательские данные по прежнему под угрозой.
Польские исследователи из REDTEAM. PL в апреле этого года обнаружили уязвимость в браузере Safari, которую хакеры могут применять для кражи данных с устройства пользователей как на iOS, так и на macOS.
Ошибка скрывается в механизме обработки Web Share API, предназначенного для обмена ссылками и контентом. Safari пропускает ссылки, в которых содержится путь к локальному файлу, в силу чего, злоумышленник, убедивший пользователя перейти по специально созданной ссылке может получить его информацию. Например, историю браузера.
Исследователи сразу же сообщили об ошибке в Apple, которые сначала подтвердили наличие проблемы, далее упали во фриз, а затем, спустя четыре месяца, в середине августа сообщили REDTEAM. PL, что планируют закрыть уязвимость весной 2021 года и попросили не сообщать публике ее детали. Но, поскольку общепринятый срок в 90 дней на закрытие известной уязвимости прошел, поляки приняли решение опубликовать материалы.
Вопщемта, в очередной раз Apple всем продемонстрировали, что на безопасность пользователей им насрать. Ну а мы и не удивляемся уже.
В блоге по ссылке есть и демонстрационное видео, и PoC-код.
Ошибка скрывается в механизме обработки Web Share API, предназначенного для обмена ссылками и контентом. Safari пропускает ссылки, в которых содержится путь к локальному файлу, в силу чего, злоумышленник, убедивший пользователя перейти по специально созданной ссылке может получить его информацию. Например, историю браузера.
Исследователи сразу же сообщили об ошибке в Apple, которые сначала подтвердили наличие проблемы, далее упали во фриз, а затем, спустя четыре месяца, в середине августа сообщили REDTEAM. PL, что планируют закрыть уязвимость весной 2021 года и попросили не сообщать публике ее детали. Но, поскольку общепринятый срок в 90 дней на закрытие известной уязвимости прошел, поляки приняли решение опубликовать материалы.
Вопщемта, в очередной раз Apple всем продемонстрировали, что на безопасность пользователей им насрать. Ну а мы и не удивляемся уже.
В блоге по ссылке есть и демонстрационное видео, и PoC-код.
blog.redteam.pl
Stealing local files using Safari Web Share API
red team, blue team, penetration testing, red teaming, threat hunting, digital forensics, incident response, cyber security, IT security