Ведущая южнокорейская инфосек компания Ahnlab выкатила на гора большой отчет о последней активности Andariel, специализирующейся на кибершпионаже подгруппы самой известной северокорейской APT Lazarus.
Тот самый случай, когда комментировать - только портить. Поэтому читайте на здоровье, благо онлайн-переводчики с корейского работают прекрасно.
Тот самый случай, когда комментировать - только портить. Поэтому читайте на здоровье, благо онлайн-переводчики с корейского работают прекрасно.
ASEC
Andariel 그룹의 새로운 공격 활동 분석 - ASEC
목차1. 과거 공격 사례…. 1.1. Innorix Agent 악용 사례…….. 1.1.1. NukeSped 변종 – Volgmer…….. 1.1.2. Andardoor…….. 1.1.3. 1th Troy Reverse Shell…. 1.2. 국내 기업 공격 사례…….. 1.2.1. TigerRat…….. 1.2.2. Black RAT…….. 1.2.3. NukeSped 변종2. 최근 공격 사례…. 2.1. Innorix Agent 악용 사례…….. 2.1.1.…
В продолжение темы APT Lazarus - Cisco Talos выпустили отчет в двух частях (1, 2) о киберкампании северокорейской хакерской группы 2023 года, направленной на магистральных Интернет-провайдеров и организации здравоохранения в Европе и США.
Атаки с использованием уязвимости CVE-2022-47966 в Zoho ManageEngine начались всего через 5 дней после появления в паблике ее PoC. После успешной эксплуатации и получения первоначального доступа жертве загружался QuiteRAT - дальнейшее упрощенное развитие используемого Lazarus ранее MagicRAT, который имеет размер в 5 раз меньше предшественника.
В ходе дальнейшего изучения вредоносной инфраструктуры, используемой в данной киберкампании, исследователи обнаружили новый троян удаленного доступа, который используется подгруппой Andariel, получивший название CollectionRAT.
Также Talos заявили, что "Lazarus все больше полагается на инструменты с открытым кодом" и в качестве примера привели платформу DeimosC2 на базе GoLang, аналог CobaltStrike и Sliver, а также инструмент обратного туннелирования PuTTy Link.
Тащемта Lazarus продолжает оставаться, пожалуй, самой активной APT в мире, постоянно развиваясь и совершенствуя свои вредоносные инструменты, инфраструктуру.
Атаки с использованием уязвимости CVE-2022-47966 в Zoho ManageEngine начались всего через 5 дней после появления в паблике ее PoC. После успешной эксплуатации и получения первоначального доступа жертве загружался QuiteRAT - дальнейшее упрощенное развитие используемого Lazarus ранее MagicRAT, который имеет размер в 5 раз меньше предшественника.
В ходе дальнейшего изучения вредоносной инфраструктуры, используемой в данной киберкампании, исследователи обнаружили новый троян удаленного доступа, который используется подгруппой Andariel, получивший название CollectionRAT.
Также Talos заявили, что "Lazarus все больше полагается на инструменты с открытым кодом" и в качестве примера привели платформу DeimosC2 на базе GoLang, аналог CobaltStrike и Sliver, а также инструмент обратного туннелирования PuTTy Link.
Тащемта Lazarus продолжает оставаться, пожалуй, самой активной APT в мире, постоянно развиваясь и совершенствуя свои вредоносные инструменты, инфраструктуру.
Cisco Talos Blog
Lazarus Group exploits ManageEngine vulnerability to deploy QuiteRAT
This is the third documented campaign attributed to this actor in less than a year, with the actor reusing the same infrastructure throughout these operations.
В догонку к раскрытым ресерчерами из Group-IB подробностям кампании с использованием 0-day в WinRAR, о которых мы сообщали на прошлой неделе, на днях был представлен PoC для упомянутой CVE-2023-38831.
Тем не менее, наблюдение за кампанией, нацеленной на криптотрейдеров, продолжается, как и сама кампания, к которой в ближайшее время присовокупятся и новые инциденты с учетом последних новостей.
Но будем посмотреть.
Тем не менее, наблюдение за кампанией, нацеленной на криптотрейдеров, продолжается, как и сама кампания, к которой в ближайшее время присовокупятся и новые инциденты с учетом последних новостей.
Но будем посмотреть.
Telegram
SecAtor
Ресерчеры из Group-IB раскрыли подробности кампании с использованием 0-day в WinRAR, в рамках которой киберпреступники с апреля 2023 года нацеливались на трейдеров.
Общее количество зараженных устройств, как и сумма возможного финансового ущерба остаются…
Общее количество зараженных устройств, как и сумма возможного финансового ущерба остаются…
Ресерчеры из DevSecOps Phylum обнаружили семь вредоносных пакетов в Crates, официальном репозитории пакетов для Rust, что стало вторым инцидентом после того, как в мае 2022 года Rust Security Response и команда crates сообщили о существовании вредоносного крейта rustdecimal.
По мнению ресерчеров, новые находки могут свидетельствовать о признаках подготовки к более широкой кампании. Все семь пакетов изначально были опубликованы без содержимого, а затем в течение нескольких дней получали дополнительные обновления с подозрительным кодом.
Функционал кода был направлен на тайный сбор информации о зараженных платформах, отправляя данные в Telegram-канал. Все выявленные пакеты использовали опечатки (названия, похожие на названия более популярных библиотек) для того, чтобы обманом заставить разработчиков случайно имплементировать их в свои проекты.
Полагаясь на практику наблюдения за аналогичными кампаниями, нацеленными на другие репозитории пакетов, Phylum ожидает, что в последующем злоумышленник будет отправлять обновления с более вредоносным контентом после идентификации систем, достойных заражения.
Phylum пока не предоставили никаких подробностей о злоумышленнике, но отметили о своих опасениях по поводу возможной активности северокорейских APT, которые стремятся скомпрометировать разработчиков и использовать их машины для вторжений в крупные компании или для атак на цепочки поставок.
Ведь буквально в конце июля GitHub опубликовал предупреждение о том, что северокорейские хакеры выдают себя за инженеров-программистов и просят разработчиков известных компаний работать над совместными проектами. Многие из этих проектов содержали вредоносное ПО или импортировали вредоносные пакеты npm (JavaScript).
Поскольку Rust становится все более популярным среди компаний-разработчиков ПО, стоит ожидать аналогичного внимания к экосистеме со стороны киберпреступников.
В виду того, что в Crates используются те же «слабые» методы отправки пакетов, что и в npm и PyPI, экосистема Rust имеет неплохой потенциал для эксплуатации.
По мнению ресерчеров, новые находки могут свидетельствовать о признаках подготовки к более широкой кампании. Все семь пакетов изначально были опубликованы без содержимого, а затем в течение нескольких дней получали дополнительные обновления с подозрительным кодом.
Функционал кода был направлен на тайный сбор информации о зараженных платформах, отправляя данные в Telegram-канал. Все выявленные пакеты использовали опечатки (названия, похожие на названия более популярных библиотек) для того, чтобы обманом заставить разработчиков случайно имплементировать их в свои проекты.
Полагаясь на практику наблюдения за аналогичными кампаниями, нацеленными на другие репозитории пакетов, Phylum ожидает, что в последующем злоумышленник будет отправлять обновления с более вредоносным контентом после идентификации систем, достойных заражения.
Phylum пока не предоставили никаких подробностей о злоумышленнике, но отметили о своих опасениях по поводу возможной активности северокорейских APT, которые стремятся скомпрометировать разработчиков и использовать их машины для вторжений в крупные компании или для атак на цепочки поставок.
Ведь буквально в конце июля GitHub опубликовал предупреждение о том, что северокорейские хакеры выдают себя за инженеров-программистов и просят разработчиков известных компаний работать над совместными проектами. Многие из этих проектов содержали вредоносное ПО или импортировали вредоносные пакеты npm (JavaScript).
Поскольку Rust становится все более популярным среди компаний-разработчиков ПО, стоит ожидать аналогичного внимания к экосистеме со стороны киберпреступников.
В виду того, что в Crates используются те же «слабые» методы отправки пакетов, что и в npm и PyPI, экосистема Rust имеет неплохой потенциал для эксплуатации.
Phylum Research | Software Supply Chain Security
Rust Malware Staged on Crates.io
Phylum routinely identifies malware and other software supply chain attacks targeting high-value, critical assets: an organization’s software developers. Most recently, we’ve reported on a flurry of sophisticated attacks targeting JavaScript developers, respawning…
Anonymous Sudan решили отвлечься от наведения порчи на инфраструктуру Кении и вчера на целый час завалили Twitter.
В связи с этим хотим обратиться к расовым суданским хакерам на русском и арабском языках.
Товарищи сыны суданского народа! Не могли бы вы не трогать Twitter, мы там читаем новости про информационную безопасность. Спасибо!
الرفاق أبناء الشعب السوداني! هل يمكنك ألا تلمس تويتر، فنحن نقرأ أخبارًا حول أمن المعلومات هناك. شكرًا لك!
В связи с этим хотим обратиться к расовым суданским хакерам на русском и арабском языках.
Товарищи сыны суданского народа! Не могли бы вы не трогать Twitter, мы там читаем новости про информационную безопасность. Спасибо!
الرفاق أبناء الشعب السوداني! هل يمكنك ألا تلمس تويتر، فنحن نقرأ أخبارًا حول أمن المعلومات هناك. شكرًا لك!
Почти год назад мы писали, как LockBit сами стали жертвой утечки. Один из разработчиков в команде вымогателей слил исходники новой версии ПО LockBit 3.0, включая и сборщик для новейшего шифровальщика.
Наши тогдашние предположения о том, что ransomware широко расползется по киберподполью подтвердили исследователи из Лаборатории Касперского, которые отследили и изучили более сотни новых вариантов, созданных с помощью утекшего LockBit 3.0 Ransomware Builder.
По факту этот инструмент позволял любому создать свою собственную версию программы-вымогателя.
Сразу после утечки исследователи ЛК в ходе реагирования на инцидент обнаружили вторжение ransomware, которая использовала код Lockbit 3, но с совершенно другой схемой вымогательства выкупа.
Злоумышленник использовал записку о выкупе с заголовком, связанным с ранее неизвестной группой под названием NATIONAL HAZARD AGENCY.
В обновленной записке о выкупе была прямо указана сумма, подлежащая уплате за получение ключей расшифровки, а также перенаправление в службу Tox и электронную почту, в отличие от LockBit, которая, как правило, не упоминала в записке сумму и имела собственную платформу для переговоров.
Причем NATIONAL HAZARD AGENCY - далеко не единственная банда киберпреступников, которая нашла применение утекшему в сеть сборщика LockBit 3.0, среди других злоумышленников отметились, как известно, Bl00dy и Buhti.
Телеметрия Лаборатории Касперского зафиксировала в общей сложности 396 различных образцов LockBit, из которых 312 артефактов были созданы с использованием просочившихся сборщиков.
Причем в 77 образцах в записке о выкупе не упоминается LockBit. Были идентифицированы и другие образцы, созданные с использованием неизвестных билдеров, датированные июнем и июлем 2022 года.
Измененная записка о выкупе без ссылки на Lockbit или с другим контактным адресом (почта/URL), безусловно, указывает на возможное злоупотребление конструктором другими лицами, кроме «оригинального» Lockbit.
Наши тогдашние предположения о том, что ransomware широко расползется по киберподполью подтвердили исследователи из Лаборатории Касперского, которые отследили и изучили более сотни новых вариантов, созданных с помощью утекшего LockBit 3.0 Ransomware Builder.
По факту этот инструмент позволял любому создать свою собственную версию программы-вымогателя.
Сразу после утечки исследователи ЛК в ходе реагирования на инцидент обнаружили вторжение ransomware, которая использовала код Lockbit 3, но с совершенно другой схемой вымогательства выкупа.
Злоумышленник использовал записку о выкупе с заголовком, связанным с ранее неизвестной группой под названием NATIONAL HAZARD AGENCY.
В обновленной записке о выкупе была прямо указана сумма, подлежащая уплате за получение ключей расшифровки, а также перенаправление в службу Tox и электронную почту, в отличие от LockBit, которая, как правило, не упоминала в записке сумму и имела собственную платформу для переговоров.
Причем NATIONAL HAZARD AGENCY - далеко не единственная банда киберпреступников, которая нашла применение утекшему в сеть сборщика LockBit 3.0, среди других злоумышленников отметились, как известно, Bl00dy и Buhti.
Телеметрия Лаборатории Касперского зафиксировала в общей сложности 396 различных образцов LockBit, из которых 312 артефактов были созданы с использованием просочившихся сборщиков.
Причем в 77 образцах в записке о выкупе не упоминается LockBit. Были идентифицированы и другие образцы, созданные с использованием неизвестных билдеров, датированные июнем и июлем 2022 года.
Измененная записка о выкупе без ссылки на Lockbit или с другим контактным адресом (почта/URL), безусловно, указывает на возможное злоупотребление конструктором другими лицами, кроме «оригинального» Lockbit.
Securelist
Lockbit leak, research opportunities on tools leaked from TAs
In September of 2022, multiple security news professionals wrote about and confirmed the leakage of a builder for Lockbit 3 ransomware. In this post we provide the analysis of the builder and recently discovered builds.
Один из крупнейших в мире провайдеров облачных и хостинговых услуг Leaseweb сообщил о восстановлении критических систем после недавнего нарушения безопасности.
Голландский облачный провайдер сообщил о проведении расследования, связанного с обнаруженными признаками аномальной активности в некоторых частях его инфраструктуры.
Заподозрив неладное, Leaseweb отключил некоторые из затронутых систем для снижения рисков безопасности.
Судя по контексту, какие-то системы все-таки затронуты и есть потерпевшие, раз компания привлекла к работе спецов Digital Forensics and Incident Response (DFIR).
Отключение некоторой части облачной инфраструктуры, привело к простою небольшого числа облачных клиентов и, как сообщает поставщик, его команда трудится над восстановлением критически важных систем, пострадавших в результате этого инцидента.
Представители Leaseweb пока отмалчиваются и не разглашают каких-либо деталей, скудно комментируя, что никакие данные о клиентах или компании не утекли и не были утеряны.
Однако один из клиентов - ATPS Online, предоставляющая ПО учета рабочего времени для организаций, все же сообщила, что стала жертвой возможной кибератаки на LeaseWeb.
Голландский облачный провайдер сообщил о проведении расследования, связанного с обнаруженными признаками аномальной активности в некоторых частях его инфраструктуры.
Заподозрив неладное, Leaseweb отключил некоторые из затронутых систем для снижения рисков безопасности.
Судя по контексту, какие-то системы все-таки затронуты и есть потерпевшие, раз компания привлекла к работе спецов Digital Forensics and Incident Response (DFIR).
Отключение некоторой части облачной инфраструктуры, привело к простою небольшого числа облачных клиентов и, как сообщает поставщик, его команда трудится над восстановлением критически важных систем, пострадавших в результате этого инцидента.
Представители Leaseweb пока отмалчиваются и не разглашают каких-либо деталей, скудно комментируя, что никакие данные о клиентах или компании не утекли и не были утеряны.
Однако один из клиентов - ATPS Online, предоставляющая ПО учета рабочего времени для организаций, все же сообщила, что стала жертвой возможной кибератаки на LeaseWeb.
VPNGids.nl
'LeaseWeb doelwit van een cyberaanval' - VPNGids.nl
Het klantenportaal is inmiddels weer online en externe beveiligingsexperts onderzoeken momenteel de oorzaak en impact van het incident.
Sophos X-Ops сообщает, что злоумышленник, отслеживаемый как STAC4663 и, предположительно, с умеренной уверенностью связанный с хакерской группой FIN8, использует RCE-уязвимость CVE-2023-3519 для компрометации неисправленных систем Citrix NetScaler в ходе атак на уровне домена.
CVE-2023-3519 имеет оценку CVSS: 9,8, затрагивает Citrix NetScaler ADC и NetScaler Gateway, была обнаружена как активно используемая 0-day еще в середине июля 2023 года.
Вендор выпустил обновления безопасности для нее 18 июля. Однако киберпреступники предположительно продавали эксплойт для уязвимости как минимум с 6 июля 2023 года.
2 августа Shadowserver сообщила об обнаружении 640 веб-шеллов на скомпрометированных серверах Citrix, а две недели спустя Fox-IT увеличила это число до 1952.
К середине августа более 31 000 экземпляров Citrix NetScaler оставались уязвимыми для CVE-2023-3519, то есть более чем через месяц после выхода обновления безопасности, что открывает для злоумышленников широкий горизонт возможностей в плане атак.
По мнению исследователей Sophos, новая серия атак на Citrix NetScaler является частью той же кампании, о которой Fox-IT сообщала ранее в этом месяце.
Sophos отслеживает эту кампанию с середины августа и фиксирует, что злоумышленник выполняет инъекции полезной нагрузки, использует BlueVPS, развертывает запутанные сценарии PowerShell и устанавливает веб-шеллы PHP на компьютеры жертв.
Сходство с другой атакой, которую аналитики Sophos наблюдали ранее летом, привело аналитиков к выводу, что эти две волны связаны между собой.
Полезная нагрузка, доставленная в ходе недавних атак и внедренная в wuauclt.exe или wmiprvse.exe, все еще анализируется. Тем не менее, судя по профилю злоумышленника, Sophos считает, что это часть цепочки атак с использованием ransomware BlackCat/ALPHV.
Выводы о связи с предыдущей кампанией злоумышленника основаны на обнаружении доменов, plink, BlueVPS, необычных сценариях PowerShell и безопасном копировании PuTTY.
Наконец, злоумышленники используют IP-адрес C2 (45.66.248[.]189) для размещения вредоносного ПО и второй IP-адрес C2 (85.239.53[.]49), что и в предыдущей кампании.
Sophos опубликовала IoC для этой кампании на GitHub для возможного обнаружения и защиты от угрозы, настоятельно рекомендуя применить обновления на Citrix ADC и Gateway согласно бюллетеню по безопасности поставщика.
CVE-2023-3519 имеет оценку CVSS: 9,8, затрагивает Citrix NetScaler ADC и NetScaler Gateway, была обнаружена как активно используемая 0-day еще в середине июля 2023 года.
Вендор выпустил обновления безопасности для нее 18 июля. Однако киберпреступники предположительно продавали эксплойт для уязвимости как минимум с 6 июля 2023 года.
2 августа Shadowserver сообщила об обнаружении 640 веб-шеллов на скомпрометированных серверах Citrix, а две недели спустя Fox-IT увеличила это число до 1952.
К середине августа более 31 000 экземпляров Citrix NetScaler оставались уязвимыми для CVE-2023-3519, то есть более чем через месяц после выхода обновления безопасности, что открывает для злоумышленников широкий горизонт возможностей в плане атак.
По мнению исследователей Sophos, новая серия атак на Citrix NetScaler является частью той же кампании, о которой Fox-IT сообщала ранее в этом месяце.
Sophos отслеживает эту кампанию с середины августа и фиксирует, что злоумышленник выполняет инъекции полезной нагрузки, использует BlueVPS, развертывает запутанные сценарии PowerShell и устанавливает веб-шеллы PHP на компьютеры жертв.
Сходство с другой атакой, которую аналитики Sophos наблюдали ранее летом, привело аналитиков к выводу, что эти две волны связаны между собой.
Полезная нагрузка, доставленная в ходе недавних атак и внедренная в wuauclt.exe или wmiprvse.exe, все еще анализируется. Тем не менее, судя по профилю злоумышленника, Sophos считает, что это часть цепочки атак с использованием ransomware BlackCat/ALPHV.
Выводы о связи с предыдущей кампанией злоумышленника основаны на обнаружении доменов, plink, BlueVPS, необычных сценариях PowerShell и безопасном копировании PuTTY.
Наконец, злоумышленники используют IP-адрес C2 (45.66.248[.]189) для размещения вредоносного ПО и второй IP-адрес C2 (85.239.53[.]49), что и в предыдущей кампании.
Sophos опубликовала IoC для этой кампании на GitHub для возможного обнаружения и защиты от угрозы, настоятельно рекомендуя применить обновления на Citrix ADC и Gateway согласно бюллетеню по безопасности поставщика.
GitHub
IoCs/2023-08-25 Citrix CVE-2023-3519 attacks.csv at master · sophoslabs/IoCs
Sophos-originated indicators-of-compromise from published reports - sophoslabs/IoCs
ReliaQuest сообщают, что QakBot, SocGholish и Raspberry Robin - это три самых популярных загрузчика вредоносных ПО, на которые приходится до 80% наблюдавшихся инцидентов.
За период с 1 января по 31 июля этого года на QakBot пришлось 30% инцидентов, на SocGholish - 27% из них, а на Raspberry Robin - 23%.
По данным компании, не во всех изучаемых инцидентах фиксировалась компрометация сети, поскольку в ряде случаев загрузчик был обнаружен и нейтрализован до того, как смог вызвать серьезные проблемы.
Активный с 2009 года, QakBot (QBot или Quakbot) изначально представлял собой банковский троян, но позже превратился в загрузчик вредоносного ПО, который мог развертывать дополнительные полезные нагрузки, красть конфиденциальную информацию и обеспечивать горизонтальное перемещение.
QakBot, обычно доставлялся через фишинговые электронные письма и был связан с группой вымогателей BlackBasta, состоящей из бывших членов Conti.
Ресерчеры характеризуют QakBot как развивающуюся, постоянную угрозу, используемую для массированных атак на различные отрасли или регионы.
Его операторы изобретательны и быстро адаптируются к изменяющимся условиям, и, вероятно, продолжать проявлять активность в обозримом будущем.
SocGholish (также известный как FakeUpdates), активный как минимум с 2018 года, развертывается посредством попутных загрузок с использованием широкой сети взломанных веб-сайтов с фейковыми обновлениями.
Загрузчик был связан с Evil Corp, действовавшей как минимум с 2007 года, а также с брокером первичного доступа (IAB), известным как Exotic Lily.
В первой половине 2023 года было замечено, что операторы SocGholish проводили агрессивные атаки на водопои, используя взломанные веб-сайты крупных организаций.
Червь Raspberry Robin для Windows, впервые обнаруженный в сентябре 2021 года, в основном распространяется через съемные устройства, такие как USB-накопители, и был связан с различными злоумышленниками, включая Evil Corp и Silence.
Было замечено, что Raspberry Robin использует широкий спектр семейств ransomware и вредоносных ПО, включая Cl0p, LockBit, TrueBot и другие, в атаках, нацеленных на финучреждения, правительственные организации, а также телекоммуникационные и производственные компании, дислоцированные, преимущественно, в Европе.
По данным ReliaQuest, в дополнение к этим трем загрузчикам в течение первых семи месяцев года высокой активностью также пользовались Gootloader, Chromeloader, Guloader и Ursnif.
За период с 1 января по 31 июля этого года на QakBot пришлось 30% инцидентов, на SocGholish - 27% из них, а на Raspberry Robin - 23%.
По данным компании, не во всех изучаемых инцидентах фиксировалась компрометация сети, поскольку в ряде случаев загрузчик был обнаружен и нейтрализован до того, как смог вызвать серьезные проблемы.
Активный с 2009 года, QakBot (QBot или Quakbot) изначально представлял собой банковский троян, но позже превратился в загрузчик вредоносного ПО, который мог развертывать дополнительные полезные нагрузки, красть конфиденциальную информацию и обеспечивать горизонтальное перемещение.
QakBot, обычно доставлялся через фишинговые электронные письма и был связан с группой вымогателей BlackBasta, состоящей из бывших членов Conti.
Ресерчеры характеризуют QakBot как развивающуюся, постоянную угрозу, используемую для массированных атак на различные отрасли или регионы.
Его операторы изобретательны и быстро адаптируются к изменяющимся условиям, и, вероятно, продолжать проявлять активность в обозримом будущем.
SocGholish (также известный как FakeUpdates), активный как минимум с 2018 года, развертывается посредством попутных загрузок с использованием широкой сети взломанных веб-сайтов с фейковыми обновлениями.
Загрузчик был связан с Evil Corp, действовавшей как минимум с 2007 года, а также с брокером первичного доступа (IAB), известным как Exotic Lily.
В первой половине 2023 года было замечено, что операторы SocGholish проводили агрессивные атаки на водопои, используя взломанные веб-сайты крупных организаций.
Червь Raspberry Robin для Windows, впервые обнаруженный в сентябре 2021 года, в основном распространяется через съемные устройства, такие как USB-накопители, и был связан с различными злоумышленниками, включая Evil Corp и Silence.
Было замечено, что Raspberry Robin использует широкий спектр семейств ransomware и вредоносных ПО, включая Cl0p, LockBit, TrueBot и другие, в атаках, нацеленных на финучреждения, правительственные организации, а также телекоммуникационные и производственные компании, дислоцированные, преимущественно, в Европе.
По данным ReliaQuest, в дополнение к этим трем загрузчикам в течение первых семи месяцев года высокой активностью также пользовались Gootloader, Chromeloader, Guloader и Ursnif.
ReliaQuest
3 Malware Loaders You Can’t (Shouldn't) Ignore - ReliaQuest
Loader malware is working behind the scenes in many organizations' environments, doing the heavy lifting that helps an infection spread. ReliaQuest has picked out the most commonly observed loaders and outlined why SOC analysts should worry about them, plus…
Forwarded from Russian OSINT
Написал для Вас познавательную статью о проекте под названием
1️⃣ Генерация "разоблачительных материалов"
2️⃣ Имитация живых журналистов с аватарами
3️⃣ Cоздание иллюзии реального общения у аудитории
4️⃣ Получение трафика из социальных сетей на сайт
5️⃣ Троллинг несогласных в социальных сетях
6️⃣ Атака на аккаунты 🇷🇺🇨🇳🇮🇷государств, СМИ
7️⃣ Воздействие на ценности и политические убеждения аудитории оппонента
8️⃣ Использование разных стилей для написания статей, юмор, травля несогласных в комментах
Ресерчеры утверждают, что эксперимент "CounterCloud" обошёлся им в 32 000 рублей (около $400) в месяц. Что если
Несмотря на существующие недостатки ИИ-системы, предполагается, что в будущем, подобные ИИ-экосистемы смогут перманентно в режиме
Получается своего рода
Please open Telegram to view this post
VIEW IN TELEGRAM
Исследователи watchTowr Labs опубликовали PoC-эксплойт для уязвимостей в межсетевых экранах Juniper SRX, позволяющий реализовать RCE в JunOS.
В середине августа Juniper устранила CVE-2023-36844, CVE-2023-36845, CVE-2023-36846, CVE-2023-36847 средней степени серьезности (CVSS 5.3), затрагивающие компонент J-Web ОС Juniper Networks Junos на сериях SRX и EX.
Помимо исправления в качестве обходного пути компания также предложила отключить J-Web или ограничить доступ только доверенным хостам.
Однако объединив уязвимости, неаутентифицированный сетевой злоумышленник может получить возможность удаленно выполнять код в JunOS на уязвимых устройствах.
Исследователи watchTowr Labs воспользовались уязвимостью загрузки перед аутентификацией (CVE-2023-36846) для доставки произвольного PHP-файла в ограниченный каталог со случайным именем файла.
Затем они воспользовались той же уязвимой функцией для загрузки файла конфигурации PHP, который использует указанный выше файл и загружает его с помощью директивы auto_prepend_file.
Поскольку все переменные среды можно установить с помощью HTTP-запросов, исследователи воспользовались CVE-2023-36845, чтобы перезаписать переменную среды, PHPRC загрузить файл конфигурации PHP и запустить выполнение первоначально загруженного файла PHP.
Кроме того, исследователи watchTowr также представили подробное последовательное описание процесса воспроизведения, объединения и эксплуатации этих уязвимостей.
Учитывая публичную доступность PoC, простоту эксплуатации и привилегированное положение, которое устройства JunOS занимают в сети, watchTowr предупреждают о неизбежной широкомасштабной эксплуатации вышеупомянутых проблем.
В середине августа Juniper устранила CVE-2023-36844, CVE-2023-36845, CVE-2023-36846, CVE-2023-36847 средней степени серьезности (CVSS 5.3), затрагивающие компонент J-Web ОС Juniper Networks Junos на сериях SRX и EX.
Помимо исправления в качестве обходного пути компания также предложила отключить J-Web или ограничить доступ только доверенным хостам.
Однако объединив уязвимости, неаутентифицированный сетевой злоумышленник может получить возможность удаленно выполнять код в JunOS на уязвимых устройствах.
Исследователи watchTowr Labs воспользовались уязвимостью загрузки перед аутентификацией (CVE-2023-36846) для доставки произвольного PHP-файла в ограниченный каталог со случайным именем файла.
Затем они воспользовались той же уязвимой функцией для загрузки файла конфигурации PHP, который использует указанный выше файл и загружает его с помощью директивы auto_prepend_file.
Поскольку все переменные среды можно установить с помощью HTTP-запросов, исследователи воспользовались CVE-2023-36845, чтобы перезаписать переменную среды, PHPRC загрузить файл конфигурации PHP и запустить выполнение первоначально загруженного файла PHP.
Кроме того, исследователи watchTowr также представили подробное последовательное описание процесса воспроизведения, объединения и эксплуатации этих уязвимостей.
Учитывая публичную доступность PoC, простоту эксплуатации и привилегированное положение, которое устройства JunOS занимают в сети, watchTowr предупреждают о неизбежной широкомасштабной эксплуатации вышеупомянутых проблем.
GitHub
GitHub - watchtowrlabs/juniper-rce_cve-2023-36844
Contribute to watchtowrlabs/juniper-rce_cve-2023-36844 development by creating an account on GitHub.
Обновленная версия вредоносного ботнета под названием KmsdBot теперь нацелена на IoT-устройства c расширенными возможностями и поверхностью атаки.
К таким выводам пришли исследователи Akamai, отметившие в результате проведенного анализа, что бинарный файл теперь включает поддержку сканирования Telnet и большего количества архитектур ЦП.
Последняя итерация, наблюдаемая с 16 июля 2023 года, произошла через несколько месяцев после того, как выяснилось, что ботнет реализуется в качестве DDoS-услуг в киберподполье.
При этом он активно поддерживается, в связи с чем обеспечивает высокую эффективность в реальных атаках.
KmsdBot был впервые изучен и задокументирован в ноябре 2022 года.
Вредоносное ПО на базе Golang нацелено на различные компании, начиная от игровых компаний, провайдеров облачного хостинга и заканчивая брендами роскошных автомобилей, но с тем пор и использовался в атаках на румынские правительственные и испанские образовательные сайты.
Вредоносное ПО имеет функционал сканирования широких диапазонов IP-адресов на предмет открытых портов SSH и брута по спискам паролей, загруженным с сервера, контролируемого злоумышленниками.
Новые обновления включают сканирование Telnet и проверки легитимных служб telnet, а также позволяют охватить больше архитектур ЦП, обычно встречающихся в устройствах IoT.
Обновленные возможности были замечены с середины июля 2023 года.
Как и сканер SSH, сканер Telnet вызывает функцию, которая генерирует случайный IP-адрес, а затем пытается подключиться к порту 23 по этому IP-адресу.
Однако сканер Telnet не останавливается на простом прослушивании порта, проверяя также содержит ли принимающий буфер данные.
Атака на Telnet осуществляется путем загрузки текстового файла (telnet.txt), содержащего список часто используемых ненадежных паролей и их комбинаций для широкого спектра приложений, в основном с полагаясь на то, что многие устройства IoT имеют дефолтные учетные данные.
Устойчивая кампания по распространению вредоносного ПО KmsdBot показывает, что устройства Интернета вещей широко распространены в Интернете и уязвимы, что делает их привлекательными целями для создания сети зараженных систем.
С технической точки зрения добавление возможностей сканирования telnet предполагает расширение поверхности атаки ботнета, позволяя ему атаковать более широкий круг устройств.
Более того, по мере того, как вредоносное ПО развивается и добавляет поддержку большего количества архитектур ЦП, оно представляет собой серьезную угрозу безопасности устройств, подключенных к Интернету, что усиливает необходимость принятия мер безопасности и регулярных обновлений.
К таким выводам пришли исследователи Akamai, отметившие в результате проведенного анализа, что бинарный файл теперь включает поддержку сканирования Telnet и большего количества архитектур ЦП.
Последняя итерация, наблюдаемая с 16 июля 2023 года, произошла через несколько месяцев после того, как выяснилось, что ботнет реализуется в качестве DDoS-услуг в киберподполье.
При этом он активно поддерживается, в связи с чем обеспечивает высокую эффективность в реальных атаках.
KmsdBot был впервые изучен и задокументирован в ноябре 2022 года.
Вредоносное ПО на базе Golang нацелено на различные компании, начиная от игровых компаний, провайдеров облачного хостинга и заканчивая брендами роскошных автомобилей, но с тем пор и использовался в атаках на румынские правительственные и испанские образовательные сайты.
Вредоносное ПО имеет функционал сканирования широких диапазонов IP-адресов на предмет открытых портов SSH и брута по спискам паролей, загруженным с сервера, контролируемого злоумышленниками.
Новые обновления включают сканирование Telnet и проверки легитимных служб telnet, а также позволяют охватить больше архитектур ЦП, обычно встречающихся в устройствах IoT.
Обновленные возможности были замечены с середины июля 2023 года.
Как и сканер SSH, сканер Telnet вызывает функцию, которая генерирует случайный IP-адрес, а затем пытается подключиться к порту 23 по этому IP-адресу.
Однако сканер Telnet не останавливается на простом прослушивании порта, проверяя также содержит ли принимающий буфер данные.
Атака на Telnet осуществляется путем загрузки текстового файла (telnet.txt), содержащего список часто используемых ненадежных паролей и их комбинаций для широкого спектра приложений, в основном с полагаясь на то, что многие устройства IoT имеют дефолтные учетные данные.
Устойчивая кампания по распространению вредоносного ПО KmsdBot показывает, что устройства Интернета вещей широко распространены в Интернете и уязвимы, что делает их привлекательными целями для создания сети зараженных систем.
С технической точки зрения добавление возможностей сканирования telnet предполагает расширение поверхности атаки ботнета, позволяя ему атаковать более широкий круг устройств.
Более того, по мере того, как вредоносное ПО развивается и добавляет поддержку большего количества архитектур ЦП, оно представляет собой серьезную угрозу безопасности устройств, подключенных к Интернету, что усиливает необходимость принятия мер безопасности и регулярных обновлений.
Akamai
Updated Kmsdx Binary Shows KmsdBot Is Targeting the IoT Landscape | Akamai
KmsdBot is back — and, this time, it’s going after IoT devices. Read about the updates to the binary and their effects, which reinforce the need for robust security measures.
Forwarded from Social Engineering
🖖🏻 Приветствую тебя, user_name.
• Прежде чем читать о взломах, которые вошли в топ-3 последних лет, хотелось бы напомнить, что методы Социальной Инженерии всегда идут в обход аналитических инструментов разума и действуют преимущественно на уровне эмоций. Что это значит? Это означает то, что методы #СИ завершаются успехом даже в том случае, когда интеллект атакующего заметно ниже, чем у жертвы.• А теперь ближе к делу. Предлагаю ознакомиться с увлекательными кейсами последних лет, которые показывают, что социальная инженерия по-прежнему представляет собой серьезную угрозу — возможно, даже большую, чем когда-либо.
• https://www.kaspersky.ru/blog/social-engineering-cases/35808/
• Другие увлекательные истории: [1], [2], [3], [4], [5].
S.E. ▪️ infosec.work ▪️ #История
Please open Telegram to view this post
VIEW IN TELEGRAM
А каким файлообменником ты пользуешься? Если Skype - у нас для тебя плохие новости.
Журналисты рассказали, как злоумышленники могут узнать твой IP-адрес в Skype.
О проблеме сообщил независимый исследователь Йосси, обнаруживший, что для реализации коварного замысла достаточно отправить жертве ссылку в мобильном приложении и дождаться пока цель просто откроет сообщение.
Хуки с деаноном юзеров Skype далеко не ноу-хау и, вероятно, еще кто-то помнит про различные skype resolver’ы, когда айпишник можно было установить и безо всяких ссылок.
Но, то были лохматые времена и касались пользователей десктоп приложений, а теперь проблема, как раз таки затрагивает юзеров мобильной версии приложения Skype.
Потенциально знание IP-адреса может позволить злоумышленникам найти физическое местоположение цели, что создает некоторый риск их приватности, безопасности и благополучия.
Специалист сообщил о проблеме в Microsoft в начале месяца, но, похоже, компания преуменьшила значение проблемы и даже не ответила о планах устранения недостатка.
Однако после того, как 404 Media связались с Microsoft для комментария, IT-гигант объявил, что планирует исправить проблему в предстоящем обновлении.
На самом деле вычислить по IP не самое простое дело, да еще и по мобильному, который спрятан за NAT-ом, но в 404 Media накинули, что «атака может представлять серьезную угрозу для активистов, политических диссидентов, журналистов и тех, кто является целью киберпреступников».
Как сообщалось, проблему можно легко эксплуатировать, манипулируя определенным параметром, связанным с ссылкой, но делиться деталями атаки не стали, поскольку недостаток еще не исправлен.
Журналисты рассказали, как злоумышленники могут узнать твой IP-адрес в Skype.
О проблеме сообщил независимый исследователь Йосси, обнаруживший, что для реализации коварного замысла достаточно отправить жертве ссылку в мобильном приложении и дождаться пока цель просто откроет сообщение.
Хуки с деаноном юзеров Skype далеко не ноу-хау и, вероятно, еще кто-то помнит про различные skype resolver’ы, когда айпишник можно было установить и безо всяких ссылок.
Но, то были лохматые времена и касались пользователей десктоп приложений, а теперь проблема, как раз таки затрагивает юзеров мобильной версии приложения Skype.
Потенциально знание IP-адреса может позволить злоумышленникам найти физическое местоположение цели, что создает некоторый риск их приватности, безопасности и благополучия.
Специалист сообщил о проблеме в Microsoft в начале месяца, но, похоже, компания преуменьшила значение проблемы и даже не ответила о планах устранения недостатка.
Однако после того, как 404 Media связались с Microsoft для комментария, IT-гигант объявил, что планирует исправить проблему в предстоящем обновлении.
На самом деле вычислить по IP не самое простое дело, да еще и по мобильному, который спрятан за NAT-ом, но в 404 Media накинули, что «атака может представлять серьезную угрозу для активистов, политических диссидентов, журналистов и тех, кто является целью киберпреступников».
Как сообщалось, проблему можно легко эксплуатировать, манипулируя определенным параметром, связанным с ссылкой, но делиться деталями атаки не стали, поскольку недостаток еще не исправлен.
404 Media
Hackers Can Silently Grab Your IP Through Skype. Microsoft Is In No Rush to Fix It
A security researcher has found it’s possible to reveal a Skype app user’s IP address without the target needing to even click a link. Microsoft said the vulnerability does not need immediate attention.
Американские силовики рапортуют о нейтрализации серверной инфраструктуры ботнета Qakbot, что позволило им произвести массовое удаление вредоносного ПО из зараженных систем.
Также известный как Qbot и Pinkslipbot ботнет активен с 2008 года, действуя изначально как банковский троян.
С середины 2010-х годов обрел функционал загрузчика, заражая системы в ходе спам-кампаний, реализуя затем доступ к зараженным системам другим киберпреступникам.
За последние три года Qakbot служил начальной точкой входа для многих ransomware, включая Conti, ProLock, Egregor, REvil, MegaCortex и Black Basta.
Как сообщает ФБР, в операции, получившей условное наименование Duck Hunt, принимали участие спецслужбы Европы (Франции, Германии, Нидерландов, Великобритании, Румынии и Латвии), которые помогли американским агентам получить доступ к компьютерам администратора Qakbot.
И впоследствии составить карту серверной инфраструктуры и захватить десятки серверов, находившихся в управлении операторов Qakbot, а затем уже перенаправить трафик в системы бюро.
По данным силовиков, Qakbot заразил более 700 000 систем по всему миру, из которых более 200 000 были расположены в США.
Все это позволило идентифицировать все зараженные системы Qakbot и доставить в зараженные системы разработанный ФБР Windows DLL (или модуль удаления Qakbot).
Как отметили SecureWorks, этот пользовательский DLL-файл выдал QPCMD_BOT_SHUTDOWN команду вредоносному ПО Qakbot, работающему на зараженных устройствах, что привело к прекращению работы вредоносного процесса.
Техническую поддержку на этом этапе ФБР оказывали Zscaler, CISA, Microsoft, Shadowserver Foundation и Have I Been Pwned.
ФБР отдельно пояснило, что инструмент удаления был одобрен судьей с очень ограниченными возможностями - только для удаления вредоносного ПО с зараженных устройств (ну, ну).
Помило перехвата инфраструктуры Минюст США также принял меры к конфискации у банды Qakbot 8,6 млн. дол., а полиция Нидерландов изъяла 7,6 млрд. учетных данных с захваченных серверов.
Пока что операция ограничилась конфискацией, информацией об арестах или официальных обвинениях ФБР не предоставила, но это не исключает того, что они могли иметь место. Видимо, с задержанными могут проводитсья негласные оперативные мероприятия.
Хотя в это слабо верится. Как помниться, аналогичным образом операции проводились в 2020 и 2021 годах в отношении Emotet и Trickbot, которые после этого смогли вернуться в рабочие рельсы и продолжают эволюционировать.
Но для медали от Конгресса США такой победы офицерам из ФБР будет вполне достаточно, а что там за модуль - это уже совсем другая история. Будем посмотреть.
Также известный как Qbot и Pinkslipbot ботнет активен с 2008 года, действуя изначально как банковский троян.
С середины 2010-х годов обрел функционал загрузчика, заражая системы в ходе спам-кампаний, реализуя затем доступ к зараженным системам другим киберпреступникам.
За последние три года Qakbot служил начальной точкой входа для многих ransomware, включая Conti, ProLock, Egregor, REvil, MegaCortex и Black Basta.
Как сообщает ФБР, в операции, получившей условное наименование Duck Hunt, принимали участие спецслужбы Европы (Франции, Германии, Нидерландов, Великобритании, Румынии и Латвии), которые помогли американским агентам получить доступ к компьютерам администратора Qakbot.
И впоследствии составить карту серверной инфраструктуры и захватить десятки серверов, находившихся в управлении операторов Qakbot, а затем уже перенаправить трафик в системы бюро.
По данным силовиков, Qakbot заразил более 700 000 систем по всему миру, из которых более 200 000 были расположены в США.
Все это позволило идентифицировать все зараженные системы Qakbot и доставить в зараженные системы разработанный ФБР Windows DLL (или модуль удаления Qakbot).
Как отметили SecureWorks, этот пользовательский DLL-файл выдал QPCMD_BOT_SHUTDOWN команду вредоносному ПО Qakbot, работающему на зараженных устройствах, что привело к прекращению работы вредоносного процесса.
Техническую поддержку на этом этапе ФБР оказывали Zscaler, CISA, Microsoft, Shadowserver Foundation и Have I Been Pwned.
ФБР отдельно пояснило, что инструмент удаления был одобрен судьей с очень ограниченными возможностями - только для удаления вредоносного ПО с зараженных устройств (ну, ну).
Помило перехвата инфраструктуры Минюст США также принял меры к конфискации у банды Qakbot 8,6 млн. дол., а полиция Нидерландов изъяла 7,6 млрд. учетных данных с захваченных серверов.
Пока что операция ограничилась конфискацией, информацией об арестах или официальных обвинениях ФБР не предоставила, но это не исключает того, что они могли иметь место. Видимо, с задержанными могут проводитсья негласные оперативные мероприятия.
Хотя в это слабо верится. Как помниться, аналогичным образом операции проводились в 2020 и 2021 годах в отношении Emotet и Trickbot, которые после этого смогли вернуться в рабочие рельсы и продолжают эволюционировать.
Но для медали от Конгресса США такой победы офицерам из ФБР будет вполне достаточно, а что там за модуль - это уже совсем другая история. Будем посмотреть.
Federal Bureau of Investigation
FBI, Partners Dismantle Qakbot Infrastructure in Multinational Cyber Takedown | Federal Bureau of Investigation
The FBI and the Justice Department announced a multinational operation to disrupt and dismantle the malware and botnet known as Qakbot.
Как сообщают Sky News, данные 47 000 сотрудников столичной полиции Великобритании были украдены из систем одного из ее поставщиков.
Столичная полиция находится в состоянии повышенной готовности после серьезного нарушения безопасности, в результате которого были взломаны данные офицеров и штабов.
Согласно заявлению Метрополитена, нарушение произошло после того, как киберпреступникам удалось проникнуть в ИТ-системы подрядчика, ответственного за печать ордеров и пропусков сотрудников.
Представитель столичной полиции подтвердил журналистам Sky News инцидент и отметил, что любая потенциальная утечка информации вызывает у сотрудников ведомства невероятное беспокойство и гнев.
По данным Метрополитена, у компании-подрядчика был доступ к именам, званиям, фотографиям, уровням проверки и размерам заработной платы офицеров и персонала. При этом она не хранила личную информацию, такую как адреса, номера телефонов или финансовые данные.
По тревоге подняли даже Национальное агентство по борьбе с преступностью, которое проводит оценку возможных рисков попадания списков в руки террористов или организованных преступных групп.
Офицерам же порекомендовали сохранять бдительность.
Новый инцидент стал своеобразным продолжением недавней истории, когда сами английские копы слили в сеть данные на своих сотрудников, а затем аналогичным образом и сведения о делах и расследованиях, так что досаду и горечь офицеров понять можно.
Вообще же англичанам в последние дни достается особенно сильно.
Пару дней назад, по непонятным техническим причинам Британская авиадиспетчерская служба ограничила все полеты, что вызвало массовые задержки и отмены рейсов для тысяч пассажиров в Великобритании, а также других аэропортах в ЕС и за рубежом.
Столичная полиция находится в состоянии повышенной готовности после серьезного нарушения безопасности, в результате которого были взломаны данные офицеров и штабов.
Согласно заявлению Метрополитена, нарушение произошло после того, как киберпреступникам удалось проникнуть в ИТ-системы подрядчика, ответственного за печать ордеров и пропусков сотрудников.
Представитель столичной полиции подтвердил журналистам Sky News инцидент и отметил, что любая потенциальная утечка информации вызывает у сотрудников ведомства невероятное беспокойство и гнев.
По данным Метрополитена, у компании-подрядчика был доступ к именам, званиям, фотографиям, уровням проверки и размерам заработной платы офицеров и персонала. При этом она не хранила личную информацию, такую как адреса, номера телефонов или финансовые данные.
По тревоге подняли даже Национальное агентство по борьбе с преступностью, которое проводит оценку возможных рисков попадания списков в руки террористов или организованных преступных групп.
Офицерам же порекомендовали сохранять бдительность.
Новый инцидент стал своеобразным продолжением недавней истории, когда сами английские копы слили в сеть данные на своих сотрудников, а затем аналогичным образом и сведения о делах и расследованиях, так что досаду и горечь офицеров понять можно.
Вообще же англичанам в последние дни достается особенно сильно.
Пару дней назад, по непонятным техническим причинам Британская авиадиспетчерская служба ограничила все полеты, что вызвало массовые задержки и отмены рейсов для тысяч пассажиров в Великобритании, а также других аэропортах в ЕС и за рубежом.
Sky News
Met Police IT security breach could do 'incalculable damage in the wrong hands'
The security breach took place when cybercriminals successfully breached the IT systems of a contractor in charge of producing warrant cards and staff passes.
Японский CERT сообщает о новой атаке MalDoc в PDF, которая обходит обнаружение, встраивая вредоносные Word-файлы в PDF-файлы.
Метод достаточно хитрый и был обнаружен в июле 2023 года.
Хитрость кроется в встроенном вредоносном файле, который имеет магические числа и файловую структуру PDF, однако его также можно открыть с помощью Microsoft Office.
Собственно, при открытии файла .doc в Microsoft Word он ведет себя вредоносно, причем большинство сканирующих движков и инструментов распознают его как PDF.
Обычно злоумышленники используют такие техники, чтобы уклоняться от обнаружения или запутывания инструментов анализа, поскольку такие файлы могут казаться безвредными в одном формате, скрывая вредоносный код в другом.
В данном случае PDF-документ содержит Word-документ с макросом VBS для загрузки и установки вредоносного файла MSI, если он будет открыт как doc-файл в Microsoft Office.
Однако JPCERT не раскрыла подробностей о том, какой тип вредоносного ПО устанавливается.
Сам метод встраивания одного типа файла в другой не является новым, поскольку такие фичи хорошо документированы, но MalDoc отличается тем, что дает возможность уклоняться от обнаружения традиционными инструментами анализа PDF, такими как 'pdfid' или другие, которые будут исследовать только внешний слой файла, являющийся легитимной структурой в PDF.
В своем сообщении JPCERT предложил несколько способов обнаружения и предотвращения атаки MalDoc, одним из которых является использование инструментов анализа Word для обнаружения встроенных вредоносных файлов.
Ну и куда без классических рекомендаций с обновлением антивирусных средств и ПО для блокировки макросов в Word.
Метод достаточно хитрый и был обнаружен в июле 2023 года.
Хитрость кроется в встроенном вредоносном файле, который имеет магические числа и файловую структуру PDF, однако его также можно открыть с помощью Microsoft Office.
Собственно, при открытии файла .doc в Microsoft Word он ведет себя вредоносно, причем большинство сканирующих движков и инструментов распознают его как PDF.
Обычно злоумышленники используют такие техники, чтобы уклоняться от обнаружения или запутывания инструментов анализа, поскольку такие файлы могут казаться безвредными в одном формате, скрывая вредоносный код в другом.
В данном случае PDF-документ содержит Word-документ с макросом VBS для загрузки и установки вредоносного файла MSI, если он будет открыт как doc-файл в Microsoft Office.
Однако JPCERT не раскрыла подробностей о том, какой тип вредоносного ПО устанавливается.
Сам метод встраивания одного типа файла в другой не является новым, поскольку такие фичи хорошо документированы, но MalDoc отличается тем, что дает возможность уклоняться от обнаружения традиционными инструментами анализа PDF, такими как 'pdfid' или другие, которые будут исследовать только внешний слой файла, являющийся легитимной структурой в PDF.
В своем сообщении JPCERT предложил несколько способов обнаружения и предотвращения атаки MalDoc, одним из которых является использование инструментов анализа Word для обнаружения встроенных вредоносных файлов.
Ну и куда без классических рекомендаций с обновлением антивирусных средств и ПО для блокировки макросов в Word.
JPCERT/CC Eyes
MalDoc in PDF - Detection bypass by embedding a malicious Word file into a PDF file – - JPCERT/CC Eyes
JPCERT/CC has confirmed that a new technique was used in an attack that occurred in July, which bypasses detection by embedding a malicious Word file into a PDF file. This blog article calls the technique “MalDoc in PDF” hereafter and...
Исследователи F.A.C.C.T. раскрыли связь вымогателей Shadow c хактивистами из группы Twelve.
Среди многочисленных вымогателей, нацеленных на российский сегмент, наиболее изощренной является недавно обнаруженная, но довольно амбициозная группа — Shadow.
За последние полгода жертвами вымогателей становились промышленные, логистические, энергетические компании.
Похищая конфиденциальные данные и полностью шифруя инфраструктуру жертвы, Shadow выкатывают солидный по российским меркам выкуп в размере 140-190 млн руб.
Для шифрования Windows-систем используется запароленная версия программы-вымогателя LockBit, созданная с помощью одного из опубликованных в сентябре 2022 года билдера.
В текстовом файле с требованием выкупа атакующие помещают ссылку в Tor и идентификатор для доступа жертвы к чату с атакующими.
Одной из "визитных карточек" группы стал перехват сессий Telegram на компьютерах жертвы, благодаря чему члены банды могут получать информацию о ее действиях, список контактов сотрудников компании, а также напрямую писать в лс руководителям компании.
Анализ нескольких атак Shadow позвоили найти допущенную атакующими ошибку, когда она набрали первоначально в своей консоли команду PowerShell на украинской раскладке. Допускали хакеры ошибки и при шифровании ИТ-инфраструктуры.
А вообще TTPs, используемые в атаках Shadow, идентичны и в некотором смысле шаблонны, как будто, атакующие действуют в соответствии с разработанными внутренними "мануалами".
Что касается Twelve: для атак использовалась также запароленная версия LockBit, но в создаваемом ею текстовом файле указывалось лишь название и отсутствовали какие-либо контактные данные.
Как известно, именно Twelve весной 2023 года взяла на себя ответственность за кибератаку на структуры ФТС РФ, а в мае — на российского производителя гидравлического оборудования.
После того, как во время недавнего реагирования F.A.C.C.T успешно отбили атаку Shadow в отношении одной крупной организации, вымогатели в отместку провели мощный DDoS на ее веб-сайт.
Дальнейший анализ позволил им выйти на связь вымогателей с хактивистами Twelve.
Оказалось, что в своих атаках на российские компании и организации обе группы используют схожие TTPs, а в некоторых кампаниях — и общую инфраструктуру.
Специалисты F.A.C.C.T. полагают, что F.A.C.C.T. что Shadow и Twelve являются частью одной группы, атакующей Россию. Целью является нанесение максимального ущерба российским частным компаниям и правительственным организациям.
Однако, если в случае с Shadow их движет финансовая мотивация, то у Twelve цель - это саботаж: они полностью уничтожают ИТ-инфраструктуру жертвы, не требуя денег.
Среди многочисленных вымогателей, нацеленных на российский сегмент, наиболее изощренной является недавно обнаруженная, но довольно амбициозная группа — Shadow.
За последние полгода жертвами вымогателей становились промышленные, логистические, энергетические компании.
Похищая конфиденциальные данные и полностью шифруя инфраструктуру жертвы, Shadow выкатывают солидный по российским меркам выкуп в размере 140-190 млн руб.
Для шифрования Windows-систем используется запароленная версия программы-вымогателя LockBit, созданная с помощью одного из опубликованных в сентябре 2022 года билдера.
В текстовом файле с требованием выкупа атакующие помещают ссылку в Tor и идентификатор для доступа жертвы к чату с атакующими.
Одной из "визитных карточек" группы стал перехват сессий Telegram на компьютерах жертвы, благодаря чему члены банды могут получать информацию о ее действиях, список контактов сотрудников компании, а также напрямую писать в лс руководителям компании.
Анализ нескольких атак Shadow позвоили найти допущенную атакующими ошибку, когда она набрали первоначально в своей консоли команду PowerShell на украинской раскладке. Допускали хакеры ошибки и при шифровании ИТ-инфраструктуры.
А вообще TTPs, используемые в атаках Shadow, идентичны и в некотором смысле шаблонны, как будто, атакующие действуют в соответствии с разработанными внутренними "мануалами".
Что касается Twelve: для атак использовалась также запароленная версия LockBit, но в создаваемом ею текстовом файле указывалось лишь название и отсутствовали какие-либо контактные данные.
Как известно, именно Twelve весной 2023 года взяла на себя ответственность за кибератаку на структуры ФТС РФ, а в мае — на российского производителя гидравлического оборудования.
После того, как во время недавнего реагирования F.A.C.C.T успешно отбили атаку Shadow в отношении одной крупной организации, вымогатели в отместку провели мощный DDoS на ее веб-сайт.
Дальнейший анализ позволил им выйти на связь вымогателей с хактивистами Twelve.
Оказалось, что в своих атаках на российские компании и организации обе группы используют схожие TTPs, а в некоторых кампаниях — и общую инфраструктуру.
Специалисты F.A.C.C.T. полагают, что F.A.C.C.T. что Shadow и Twelve являются частью одной группы, атакующей Россию. Целью является нанесение максимального ущерба российским частным компаниям и правительственным организациям.
Однако, если в случае с Shadow их движет финансовая мотивация, то у Twelve цель - это саботаж: они полностью уничтожают ИТ-инфраструктуру жертвы, не требуя денег.
Хабр
Тени исчезают в полдень: F.A.C.C.T. установила связь вымогателей Shadow c хактивистами из группы Twelve
Среди многочисленных вымогателей, атакующих российский бизнес, наиболее изощренной является недавно обнаруженная, но довольно амбициозная группа — Shadow. Тщательно готовясь к проведению каждой атаки,...
Внимание! Внимание! Приближается ватный пост!
Кстати, хотим сказать всем задвигателям телег про "кремлевские методички" и "вату" - мы в курсе даже кто и когда придумал и крутил этот всратый мем про "рашку - квадратный ватник". Ну и кто тут теперь старпер?
Но вернемся к повесточке. Намедни два друга, хомут и подпруга, - Ирина Бороган и Андрей Солдатов, некогда авторы такого же всратого как и мем про ватник ресурса agentura. ru, - разместили на CEPA. org статью про нелегкий выбор российских технологических гигантов. Само собой, авторы в настоящее время находятся по ту сторону баррикад, в этих ваших европейских Палестинах.
Статья также получилась всратой.
В двух словах суть такова - крупные российские IT-игроки встали перед выбором:вилкой в глаз или в жопу раз остаться работать в России под угрозой потенциальных западных санкций либо свалить из проклятой Рашки, осудить действия тоталитарного режыма и схлопнуть российский сегмент бизнес.
В качестве примеров - Яндекс, в лице Воложа, с протестной стороны, и Лаборатория Касперского, в лице сами-знаете-кого, с прокровавых позиций.
Яндекс - все плохо, компанию дербанит гебуха, Воложсделался казах пьет и ждет новостей в части снятия европейских санкций.
Касперские - санкции США наложили еще в 2016 году, доля на российском рынке решений кибербезопасности выросла до 94% (хз, откуда они такую цифру взяли), Евгений Валентинович (tm) постит радостные фоточки из Кении.
Короче, несмотря, на угрозы в конце статьи "привлечь однажды неправильно маневрирующие компании к ответственности", с точки зрения мотивации для IT-бизнеса статья добивается целей, прямо противоположных тому, для чего она писалась.
А вообще, что-то все эти статейки про российскую "IT и инфосек оппозицию" густо пошли. Небось затеяли чего...
Кстати, хотим сказать всем задвигателям телег про "кремлевские методички" и "вату" - мы в курсе даже кто и когда придумал и крутил этот всратый мем про "рашку - квадратный ватник". Ну и кто тут теперь старпер?
Но вернемся к повесточке. Намедни два друга, хомут и подпруга, - Ирина Бороган и Андрей Солдатов, некогда авторы такого же всратого как и мем про ватник ресурса agentura. ru, - разместили на CEPA. org статью про нелегкий выбор российских технологических гигантов. Само собой, авторы в настоящее время находятся по ту сторону баррикад, в этих ваших европейских Палестинах.
Статья также получилась всратой.
В двух словах суть такова - крупные российские IT-игроки встали перед выбором:
В качестве примеров - Яндекс, в лице Воложа, с протестной стороны, и Лаборатория Касперского, в лице сами-знаете-кого, с прокровавых позиций.
Яндекс - все плохо, компанию дербанит гебуха, Волож
Касперские - санкции США наложили еще в 2016 году, доля на российском рынке решений кибербезопасности выросла до 94% (хз, откуда они такую цифру взяли), Евгений Валентинович (tm) постит радостные фоточки из Кении.
Короче, несмотря, на угрозы в конце статьи "привлечь однажды неправильно маневрирующие компании к ответственности", с точки зрения мотивации для IT-бизнеса статья добивается целей, прямо противоположных тому, для чего она писалась.
А вообще, что-то все эти статейки про российскую "IT и инфосек оппозицию" густо пошли. Небось затеяли чего...
CEPA
Russia’s Tech Giants — A Wartime Choice of Bad or Worse
Russia’s invasion of Ukraine forced tech businesses to choose whether to do business as usual or leave Russia and avoid the taint of the war.