Полезные знания Обзор событий по кибербезопасности

MM1234567.png


Злоумышленники не оставляют попыток продавить компанию и заставить выплатить выкуп.
image


Согласно сообщению , которое Medibank опубликовала 1 декабря, хакеры опубликовали в дарквебе еще один дамп украденных данных из-за того, что компания отказалась платить выкуп. Медстраховщик заявляет, что IT-специалисты компании продолжают активно анализировать слитые данные.

По словам представителей Medibank, пока нет никаких признаков того, что в руки хакеров попали финансовые или банковские данные клиентов. Как показало первичное расследование, все шесть ZIP-архивов со слитыми данными содержат в себе неполную и плохо структурированную информацию о клиентах компании, которую тяжело использовать для проведения различного рода преступных махинаций.

Напомним, сейчас в руках злоумышленников находятся:
  • Все личные данные клиентов ahm и большой набор заявлений с жалобами на здоровье;
  • Персональные данные всех иностранных клиентов-студентов, а также их заявления;
  • Все личные данные клиентов Medibank и информация о состоянии их здоровья.

Вся история с Medibank началась 12 октября, когда IT-команда Medibank зафиксировала подозрительную активность в своей сети . Тогда компания заявила, что в ходе инцидента системы не пострадали от вымогательского ПО, а все данные пользователей находятся в целости и сохранности.

Жертвами злоумышленников стали более 100 компаний по всему миру.
image


CISA и ФБР в новом совместном сообщили, что по состоянию на август 2022 года группировка кибервымогателей Cuba смогла собрать со 100 жертв по всему миру более $60 млн. С момента выпуска предыдущего такого отчета в декабре 2021 года, число американских организаций, ставших жертвами группировки, удвоилось.

Суммы выкупов и выплат тоже стали больше. Для сравнения, в прошлом году хакеры заработали около $40 млн.

По данным ФБР, больше всего от Cuba страдают финансовые, правительственные, медицинские, производственные и IT-компании. Как сообщают специалисты, злоумышленники за этот год планировали собрать более $145 млн.

Кроме того, с начала года группировка сильно изменила тактики, методы и процедуры, а также добавила в свой арсенал троян RomCom и шифровальщика Industrial Spy.

Но несмотря на мрачную картину, которую рисует отчет, платформа ID-Ransomware сообщает, что Cuba атакует довольно “лениво”, с большими промежутками времени между атаками.

Домены с большой «выдержкой» обходят средства защиты и нацелены на определенных жертв.
image


Исследователи Confiant обнаружили , что очень терпеливая группа хакеров использует устаревшие домены, чтобы обходить инструменты защиты и проводить мошеннические кампании.

В ходе кампании CashRewindo киберпреступники внедряют вредоносный код в онлайн-рекламу на легитимных сайтах, чтобы направлять посетителей сайта на страницы, которые могут устанавливать вредоносное ПО или проводить мошенничество с инвестициями в криптовалюту.

Обычно мошенники, которые проводят кампании по распространению вредоносной рекламы, раскручивают домен и быстро вводят его в действие. Но CashRewindo использует домены, которые были зарегистрированы много лет назад и оставались бездействующими.

Эксперты Confiant приписали хакерам 486 доменов, некоторые них были зарегистрированы еще в 2006 году, но не были активированы до сих пор. Другие были активированы через несколько недель после регистрации.

Исследователи предполагают, что либо злоумышленники покупают домены на рынках, либо ждут, пока они устареют. Это позволяет хакерам обойти системы безопасности, которые классифицируют домены как надежные из-за времени их регистрации. Старые домены без истории вредоносной активности считаются доверенными и с меньшей вероятностью будут считаться подозрительными.

Злоумышленники полагаются не только на возраст домена, чтобы избежать обнаружения. Хакеры также переключаются между мошенническими объявлениями и безобидными формулировками, чтобы избежать срабатывания средств обнаружения «ненормативной лексики». В начале кампании CashRewindo использует безобидную рекламу, а затем переключается на рекламу с призывом к действию.

Чтобы не потерять доступ к бесценным знаниям, операторы библиотек размещают сайты в даркнете.
image


Онлайн-библиотека Genesis (LibGen), крупнейшее пиратское хранилище академических статей, столкнулась с большими трудностями из-за закрытия части инфраструктуры. В 2019 году у LibGen было в среднем 5 разных сайтов-зеркал . Сейчас, как отметили пользователи Reddit на этой неделе , таких сайтов стало 2.


После недавнего ареста операторов пиратской онлайн-библиотеки Z-Library спецслужбы отключили и изъяли 249 доменов библиотеки, что сделало сайт недоступным в Интернете. Однако, сайт оставался работать через домены «.onion» в сети Tor. Но затем пользователи столкнулись с проблемой доступа и к теневой версии библиотеки.

Закрытие очередного сайтам LibGen вызвало обеспокоенность среди «теневых архивариусов» — термин для добровольных цифровых библиотек, которые поддерживают онлайн-репозитории, такие как LibGen и Z-Library, в которых хранятся огромные коллекции пиратских книг, исследовательских работ и других материалов.

Теневые библиотеки перешли на более устойчивые системы размещения, такие как IPFS, BitTorrent и Tor. К сайтам в этих сетях правоохранительным органам намного сложнее получить доступ. LibGen тоже относится к таким сервисам, которые перенесли свои хранилища в Tor. Теперь пользователи надеются, что этот переход вернет прежнюю популярность онлайн-библиотеки LibGen.

Как выяснилось, связь ботнета с операторами можно оборвать одной некорректной командой.
image


Инцидент произошел в ходе тестирования ботнета, построенного на вредоносе KmsdBot. Изучая возможности ботнета, исследователи Akamai случайно послали ботам команду с синтаксической ошибкой, что привело к отключению ботнета.

Про ботнет сообщили специалисты Akamai Security Research в середине прошлого месяца. В его основе лежит KmsdBot – написанный на языке Go вредонос, который использует SSH для проникновения в системы жертв. Закрепившись в системе жертвы, вредоносная программа подключает пользователя к ботнету и использует его устройство для майнинга криптовалюты Monero и проведения DDoS-атак. Среди основных целей KmsdBot были игровые компании, ИБ-фирмы и даже производители люксовых автомобилей.

Но почему ботнет удалось отключить одной командой? Как говорят исследователи Akamai, причины всего две:
  • Отсутствие механизма, позволяющего закрепиться в зараженной системе. Это означает то, что систему жертвы придется заражать сначала, если он был удален или по какой-то причине потерял связь с C&C-сервером.
  • Отсутствие механизма, проверяющего команды на наличие ошибок. В случае с Akamai, сбой работы всего ботнета был вызван выполнением атакующей команды в которой была синтаксическая ошибка – пропущен пробел между адресом целевого сайта и портом.
content-img(866).png

Скриншот с выполнением неправильной команды.

Как мы говорили выше, у ботнета не было механизма, позволяющего закрепиться в системе жертвы. А раз все боты потеряли связь с C&C-сервером, операторам придется заново заражать жертв и налаживать ботнет.

Жертвами вредоноса Schoolyard Bully стали Android-пользователи по всему миру.
image


Schoolyard Bully – троян, маскирующийся под обучающие приложения. Приложения-приманки уже удалены из Google Play, но их все еще можно скачать в неофициальных магазинах приложений.

Как сообщают специалисты Zimperium, обнаружившие вредоноса, Schoolyard Bully использует JavaScript-инъекцию для кражи учетных данных Facebook. Делается это легко – страница для регистрации через Facebook запускается в виде WebView с вредоносным JS-кодом внутри. Активируясь, этот код передает на C&C-сервер злоумышленников номер телефона, адрес электронной почты и пароль жертвы.

Чтобы избежать обнаружения антивирусами, троян использует нативные библиотеки, такие как "libabc.so".

И хотя вредонос чаще всего находили в приложениях на вьетнамском языке, иногда он светился и в других приложениях, которые доступны более чем в 70 странах, что подчеркивает масштаб атак.

Эксперты описали новый способ атаки отравления артефактов.
image


Исследователи компании ИБ-компании Legit Security , что злоумышленник отправляет изменения в репозитории с открытым исходным кодом на GitHub. Это может привести к тому, что программные проекты, включающие последнюю версию компонента, будут компилировать обновления с вредоносным кодом.

По словам экспертов, эта уязвимость «отравления артефактов» может повлиять на программные проекты, использующие GitHub Actions (сервис для автоматизации конвейеров разработки), путем запуска процесса сборки в тот момент, когда изменение обнаружено в программной зависимости.

Legit Security смоделировала атаку на проект, на котором основан язык Rust, в результате чего проект был перекомпилирован с использованием вредоносной версии популярной программной библиотеки GCC.

Атака использует автоматизированный процесс сборки через GitHub Actions. Уязвимый шаблон мог позволить злоумышленнику выполнять код привилегированным образом в рамках конвейера разработки, похищая секреты репозитория и подделывая код.

Другими словами, в уязвимом рабочем процессе любой пользователь GitHub может создать форк, который создаст артефакт. Затем нужно внедрить этот артефакт в исходный процесс сборки репозитория и изменить его выходные данные.

После эксплуатации злоумышленник может изменить ветки репозитория, запросы на вытягивание (pull requests), эксплуатировать ошибки, выпуски и все объекты, доступные для разрешений токена рабочего процесса. Поскольку Rust не ограничивал токен рабочего процесса для определенных областей, то хакеру доступны следующие разрешения:

Разрешения, которые получает злоумышленник

В зависимости от конкретной конфигурации Rust киберпреступник может использовать эти разрешения для расширения атаки за пределы уязвимого репозитория на дополнительные активы Rust и бокового перемещения внутри организации.


Схема атаки на GitHub Actions

Технический директор Legit Security Лиав Каспи сказал, что проблема затрагивает большое количество проектов с открытым исходным кодом, потому что сопровождающие обычно сначала тестируют предоставленный код, а уже после тестов анализируют его.

GitHub подтвердил проблему и заплатил вознаграждение за информацию, а Rust уже исправил уязвимость.

Из-за кибератаки в первую очередь страдают клиенты компании – люди теряют сознание в 12-часовых очередях к врачам.
image


Keralty – это колумбийский поставщик медицинских услуг, который управляет международной сетью из 12 больниц и 371 медицинского центра в Латинской Америке, Испании, США и Азии. В компании работают 24 000 сотрудников, которые оказывают медицинскую помощь более чем 6 миллионам пациентов.

Во вторник представители Keralty сообщили, что компания и две ее “дочки” (EPS Sanitas и Colsanitas) подверглись кибератаке 27 ноября. Из-за атаки начались перебои в работе IT-систем, появились ошибки в расписаниях для врачей и перестали работать веб-сайты.

По сообщениям местных СМИ, из-за всего происходящего страдают в первую очередь клиенты – люди стоят в очередях по 12 часов и теряют сознание из-за отсутствия медицинской помощи. Компания заявила, что все сотрудники работают по 24 часа в сутки, чтобы как можно скорее восстановить все поврежденные системы и продолжить работу в прежнем режиме. Кроме того, Keralty уже связалась с правоохранительными органами и начала расследование.

Первым запиской о выкупе поделился пользователь Twitter под ником xfalexx.
content-img(863).png

Скриншот записки о выкупе.

Эксперты выяснили, что эта записка принадлежит группировке RansomHouse, а вымогательское ПО называется Mario. Этот вредонос шифрует данные на устройствах под управлением Windows и Linux, добавляет расширение “.mario” к зашифрованным файлам и оставляет записки о выкупе под названием "How To Restore Your Files.txt".

Хакеры из RansomHouse хвастаются, что именно они 27 ноября провели атаку на Keralty и украли 3 ТБ данных. Однако точного подтверждения их громким заявлениям пока что нет.

Каким образом сертификаты попали в руки хакеров – неизвестно.
image


Сертификаты подписи системных приложений Android использовались злоумышленниками для подписи вредоносных приложений.

OEM-производители устройств Android используют сертификаты или ключи для подписи основных образов ПЗУ Anfroid устройств и связанных приложений. Если вредоносное приложение подписано тем же сертификатом, что и легитимное, и ему присвоен идентификатор пользователя с высокими привилегиями, это приложение также получит доступ на уровне системы к Android устройству.

Такие привилегии предоставляют доступ к конфиденциальным разрешениям, которые обычно не предоставляются приложениям, сюда входит:
  • управление текущими вызовами;
  • установка или удаление пакетов;
  • сбор информации об устройстве и др.

Это неправомерное использование ключей платформы было обнаружено реверс-инженером Google по безопасности Android Лукашем Северски.

Северски обнаружил несколько образцов вредоносных программ, подписанных с использованием 10 сертификатов и предоставил хэши SHA256 для каждого из образцов и сертификатов с цифровой подписью. На данный момент неизвестно, кто злоупотребил этими сертификатами и каким образом распространялись образцы вредоносного ПО.

Поиск этих хэшей в VirusTotal показал, что некоторые из сертификатов принадлежат Samsung Electronics, LG Electronics, Revoview и Mediatek. Вредоносное ПО, подписанное с помощью сертификатов компаний, включает:​
  • троян HiddenAds – отображает рекламу на экране блокировки, которая занимает весь экран устройства;
  • инфостилер – похищает конфиденциальную информацию о пользователе и его учетные данные;
  • Metasploit – инструмент для пентеста, который можно использовать для разработки и распространения эксплойтов;
  • дроппер – приложения, которые содержат в себе дополнительные полезные нагрузки для заражения устройства.
Чтобы увидеть все приложения, подписанные этими потенциально скомпрометированными сертификатами, можно использовать APKMirror для их поиска (список приложений, подписанных сертификатом Samsung , и одно приложение, подписанное сертификатом LG ). Google проинформировал всех затронутых поставщиков и посоветовал им сменить сертификаты своих платформ, расследовать утечку и свести к минимуму количество приложений, подписанных их сертификатами, чтобы предотвратить будущие инциденты.

Киберпреступники проникли в облачное хранилище компании, используя данные из августовского взлома.
image


Разработчик популярного менеджера паролей LastPass заявил, что начал расследование взлома облачного хранилища, которое он использовал вместе со своей дочерней компанией GoTo.

"Недавно мы обнаружили необычную активность в облачном сервисе хранения данных стороннего провайдера, которым в настоящее время пользуются как LastPass, так и дочерняя компания GoTo", – заявил генеральный директор LastPass Карим Тубба.

Для проникновения в облачное хранилище хакеры использовали данные, полученные в ходе августовского инцидента.

Однако есть и хорошие новости – представители компании сообщили, что пароли клиентов не попали в руки киберпреступников и остаются надежно зашифрованными благодаря архитектуре LastPass Zero Knowledge.

LastPass сообщила о произошедшем правоохранительные органы и наняла специалистов компании Mandiant для расследования киберинцидента. Компания подчеркнула, что продолжит внедрять дополнительные меры безопасности для обнаружения и пресечения дальнейших хакерских атак.

Хакеры активно использовали Heliconia для эксплуатации неисправленных уязвимостей в браузерах Chrome и Firefox.
image


О возможной связи набора хакерских инструментов Heliconia с барселонской компанией Variston IT сообщили специалисты Google Threat Analysis Group (TAG). По данным экспертов, инструменты могут быть использованы не только против Chrome и Firefox, но и против Microsoft Defender.

“Heliconia предоставляет все необходимое для развертывания полезной нагрузки на целевом устройстве”, – заявили в Google. Об этом IT-гиганту стало известно от анонимного информатора, который передал исследователям компании много важной информации о Heliconia. Полученная информация помогла специалистам Google в ходе проведения расследования.

И пускай используемые инструментарием бреши в защите были исправлены, исследователи TAG считают, что хакеры активно использовали их до патчей.

Variston отказалась отвечать на обвинения специалистов, заявив, что работает в “соответствующих международных и национальных правовых рамках”.
 
MM1234567.png


В этот раз все кончилось хорошо – защитные системы Armorblox остановили атаку.
image


По словам исследователей из Armorblox, которые и обнаружили атаку, целью злоумышленников стали более 10 000 почтовых ящиков. Хакеры обошли защиту почты Microsoft Office 365 и почти смогли добраться до своих жертв.

Киберпреступники рассылали письмо под заголовком "Мы приостановили ваш доступ к сервисам Apple", которое должно было попасть в почтовые ящики тысяч людей. Эксперты проанализировали письмо и пришли к выводу, что атака должна была пройти по следующему сценарию:
  • Жертве приходило письмо с легитимного домена, связанного с Apple (icloud[.]com);
  • Текст письма убеждал жертву в том, что IT-гигант не может подтвердить подлинность ее карты и требует повторную проверку. В письме злоумышленники психологически давят на жертву, утверждая, что если получатель она не сможет подтвердить свою карту, то потеряет доступ к FaceTime и iCloud;
  • Если жертва ведется на текст письма, то дальше переходит по прикрепленной к нему ссылке и вводит на ней свои данные, которые затем попадают в руки злоумышленников.
Исследователи отмечают, что злоумышленники использовали бренд Apple в своих целях на фоне распродаж "Черная пятница" и "Киберпонедельник", чтобы усыпить бдительность своих жертв и с легкостью завоевать их доверие. Кроме того, защитные системы Microsoft пометили письмо от киберпреступников как безопасное. И оно попало бы в почтовые ящики более чем 10 000 пользователей, если бы не системы Armorblox, остановившие эту атаку.

Исследователи нашли семь опасных уязвимостей, позволяющих перехватывать нажатия клавиш и выполнять произвольный код.
image


В трех Android-приложениях, позволяющих использовать смартфон в качестве беспроводной клавиатуры или мыши, было обнаружено семь опасных уязвимостей. Речь идет о приложениях Lazy Mouse, PC Keyboard и Telepad, которые в сумме имеют более 2 млн загрузок в Google Play.

Бреши в защите были обнаружены еще в августе этого года исследователями из компании Synopsys, которые безуспешно пытались связаться с разработчиками. Однако после нескольких неудачных попыток исследователи просто опубликовали отчет , в котором подробно рассказали про каждую из обнаруженных уязвимостей:
  • CVE-2022-45477 (9,8 баллов из 10 по шкале CVSS) – уязвимость в Telepad, позволяющая удаленному неавторизованному пользователю отправлять на сервер инструкции для выполнения произвольного кода;
  • CVE-2022-45478 (5,1 балла из 10 по шкале CVSS) – уязвимость в Telepad, позволяющая злоумышленнику провести атаку «Человек посередине» (MITM) и получить все нажатия клавиш в виде простого текста;
  • CVE-2022-45479 (9,8 баллов из 10 по шкале CVSS) – уязвимость в PC Keyboard, позволяющая удаленному неавторизованному пользователю отправлять на сервер инструкции для выполнения произвольного кода;
  • CVE-2022-45480 (5,1 балла из 10 по шкале CVSS) – уязвимость в PC Keyboard, позволяющая злоумышленнику провести атаку «Человек посередине» (MITM) и получить все нажатия клавиш в виде простого текста;
  • CVE-2022-45481 (9,8 баллов из 10 по шкале CVSS) – отсутствие необходимости устанавливать пароль в стандартной конфигурации Lazy Mouse, что позволяет хакерам выполнять вредоносный код без авторизации;
  • CVE-2022-45482 (9,8 баллов из 10 по шкале CVSS) – уязвимость в сервере Lazy Mouse, позволяющая с легкостью проводить брутфорс-атаки;
  • CVE-2022-45483 (5,1 балла из 10 по шкале CVSS) – уязвимость в Lazy Mouse, позволяющая злоумышленнику провести атаку «Человек посередине» (MITM) и получить все нажатия клавиш в виде простого текста;
Стоит отметить, что ни одно из рассмотренных приложений не получало обновления более двух лет, поэтому специалисты рекомендуют пользователям как можно скорее удалить эти приложения.

Эксперты предполагают, что за серией кибератак на веб-сайт Святого Престола стоят российские хакеры.
image


Согласно заявлению представителя Ватикана Маттео Бруни, в связи с непрерывными кибератаками IT-специалистам пришлось временно отключить сайт и начать расследование. Сайт не работал в среду и четверг, но к утру пятницы его работа была восстановлена.

Пока неясно, кто стоит за кибератакой. Однако, специалисты вспоминают инциденты, когда киберпреступники нападали на Ватикан из-за заявлений Папы Франциска. Например, ранее турецкий хакер взломал сайт Святого Престола после того, как Папа назвал массовые убийства армян турками в 1915 году "геноцидом".

На этот раз вину за атаки возложили на российских хакеров. Дело в том, что попытки взломать сайт начались через день после того, как наши политики раскритиковали Папу Франциска за его комментарии о спецоперации в недавнем интервью иезуитскому журналу America. Самой странной частью его интервью стали обвинения чеченцев и бурятов в особой жестокости. "Как правило, самыми жестокими, пожалуй, являются те, кто из России, но не придерживаются русской традиции, такие как чеченцы, буряты и так далее", – сказал Папа Римский.

Хакеры улучшают техники атак, чтобы еще легче обходить системы защиты.
image


Согласно новому отчету ИБ-компании Volexity, северокорейская хакерская группа Lazarus проводит новую кампанию, распространяя поддельные криптовалютные приложения под вымышленным брендом «BloxHolder» для установки вредоносного ПО AppleJeus, чтобы получить начальный доступ к сетям и украсть криптоактивы.

Новая кампания Lazarus началась в июне 2022 года и действовала как минимум до октября 2022 года. В этой кампании злоумышленники использовали домен «bloxholder[.]com», клон автоматизированной платформы для торговли криптовалютой HaasOnline.

Настоящий (слева) и клонированный сайт (справа)

Фишинговый сайт распространял MSI-установщик Windows, который выдавал себя за приложение BloxHolder. На самом деле это было северокорейское вредоносное ПО для кражи криптовалюты AppleJeus , которое доставляется под видом легитимного приложения для торговли биткоином QT Bitcoin Trader.

После установки через цепочку заражения MSI AppleJeus создает запланированную задачу и помещает дополнительные файлы в папку «%APPDATA%\Roaming\Bloxholder\». Затем вредоносное ПО отправляет на сервер управления и контроля (C&C) через POST-запрос следующую информацию о системе:
  • MAC-адрес;
  • имя компьютера;
  • версия ОС.
Так вредоносное ПО определяет в какой среде оно работает – на виртуальной машине или в песочнице.

Также в недавних кампаниях группировка использует технику DLL Sideloading для установки вредоносного ПО из доверенного процесса, избегая обнаружения AV-систем.

Цепочка атаки DLL Sideloading

Исследователи Volexity заявили, что причина, по которой Lazarus выбрала технику DLL Sideloading неясна, но может заключаться в том, чтобы препятствовать анализу вредоносного ПО.

Еще одна новая особенность последних образцов AppleJeus заключается в том, что все его строки и вызовы API теперь запутываются с помощью специального алгоритма, что делает их более незаметными для продуктов безопасности.

Выдавая себя за полезные утилиты и оптимизаторы системы, вредоносы вызывают сбои в работе и спамят рекламой.
image


Новый набор вредоносных и фишинговых Android-приложений был обнаружен исследователями Dr. Web. Как говорят специалисты, эти приложения выдают себя за полезные утилиты и оптимизаторы системы, но на самом деле являются причиной сбоев в работе устройства, надоедливой рекламы и ухудшения пользовательского опыта.

Одним из приложений, про которое рассказали исследователи, было TubeBox, которое до сих пор доступно в Google Play.
content-img(873).png


Приложение обещает пользователям денежные вознаграждения за просмотр видео и рекламы в приложении. Однако пользователи никогда не смогут получить свое вознаграждение – TubeBox выдает различные ошибки при попытке получить награду за просмотр рекламы.
content-img(874).png


Исследователи считают, что таким образом разработчики приложения пытаются удержать жертву, чтобы показать ей как можно больше рекламы.

Как сообщают исследователи Dr.Web, до октября этого года в Google Play было еще несколько приложений, использующих похожую стратегию:
  • Bluetooth device auto connect (bt autoconnect group) – 1,000,000 загрузок;
  • Bluetooth & Wi-Fi & USB driver (simple things for everyone) – 100,000 загрузок;
  • Volume, Music Equalizer (bt autoconnect group) – 50,000 загрузок;
  • Fast Cleaner & Cooling Master (Hippo VPN LLC) – загрузок.
content-img(875).png


Все вышеперечисленные приложения использовались для заработка с показов рекламы на зараженных устройствах. Но в случае с Fast Cleaner & Cooling Master, злоумышленники решили пойти еще дальше, делая из смартфона жертвы прокси-сервер, через который операторы направляли свой трафик.

Еще исследователи обнаружили несколько мошеннических приложений, нацеленных на пользователей из России. Каждое из них имело в среднем по 10 000 загрузок в Google Play. Эти приложения продвигались с помощью рекламы, в которой жертвам обещали гарантированную прибыль от инвестиций. Но в реальности все было совсем не так – приложения переводили пользователей на фишинговые веб-сайты, где злоумышленники просто похищали личные данные пользователей.

Чтобы защититься от таких приложений, эксперты настоятельно рекомендуют смотреть на отзывы, внимательно изучать политику конфиденциальности и держать функцию Google Play Protect включенной.

Директор компании Томас Марки уже более 6 месяцев не выходит на связь. А без руководителя не получается уладить ни финансовые, ни технические вопросы.
image


Участники проекта Fosshost, безвозмездно предоставляющего виртуальные серверы для свободных проектов, объявили о невозможности дальнейшего предоставления услуг и ожидании скорого отключения серверов компании.

Издание opennet.ru поясняет, что проблемы связаны с тем, что директор компании Томас Марки уже более 6 месяцев не выходит на связь после ареста полицией Великобритании за совершение противоправных действий. А без руководителя не получается уладить ни финансовые, ни технические вопросы хостинга.

Дело в том, что только Томас имел доступ к оборудованию в датацентре и счетам, которые можно было использовать для оплаты размещения серверов в датацентре. К примеру, один из серверов уже около месяца находится не работает, так как нет возможности его перезагрузить. В сложившейся ситуации оставшиеся в проекте волонтёры не могут гарантировать дальнейшую работоспособность инфраструктуры и ожидают скорого отключения серверов из-за невозможности оплатить их размещение.

Пользователям хостинга рекомендовано немедленно создать резервные копии и как можно скорее перенести свои проекты на другие площадки, предоставляющие бесплатные виртуальные серверы открытым проектам, например, Radix .

Следует отметить, что FossHost - это популярный хостинг для таких открытых проектов как GNOME, KDE Files и OpenIndiana, Armbian, BlackArch, BlackBerry, Aquarius (W3), Manjaro and Whonix, Xfce, Xubuntu DDE и Ubuntu Unity.

Евросоюз уже поставил Украине необходимое оборудование, программное и аппаратное обеспечение.
image


Европейский союз профинансировал создание киберлаборатории для Вооруженных Сил Украины. Об этом сообщается на официальном сайте ЕС.

«Эта киберлаборатория обеспечит учебную среду для проверки и укрепления практических навыков военных специалистов по киберзащите с помощью реалистичных виртуальных сценариев и моделирования в реальном времени, которые помогут быстрее и эффективнее выявлять, отслеживать и защищать от будущих кибератак», — говорится в публикации.

Также отмечается, что Евросоюз уже предоставил Украине необходимое оборудование, программное и аппаратное обеспечение.
 
MM1234567.png


Из-за подлой атаки врачам пришлось отменить все операции и срочно перевести пациентов в другие больницы.
image


Как сообщает издание Franceinfo, в выходные знаменитая учебная больница Андре Миньо подверглась кибератаке, которая вынудила учреждение отключить все компьютерные сети. Это привело к отмене всех операций и переводу некоторых пациентов в другие больницы.

Министр здравоохранения Франции Франсуа Браун подтвердил сообщения о кибератаке и заявил, что больница была переведена в режим чрезвычайного положения, чтобы данные не попали в руки хакеров. Сейчас все силы персонала направлены на поддержку работы амбулаторных служб и отделения скорой помощи, так как там требуется больше людей для контроля критически важной аппаратуры, которая больше не объединена в сеть.

Сообщается, что все экраны больничных компьютеров оказались заблокированы, из-за чего администрация временно ограничила прием пациентов и оставила компьютерную систему отключенной в целях безопасности.

И несмотря на то, что в сообщениях СМИ не было никаких технических деталей, специалисты считают, что инцидент был делом рук хакеров. Кроме того, пока неизвестно, удалось ли злоумышленникам украсть какие-либо данные в ходе кибератаки.

Источник файлов и жертвы злоумышленников неизвестны.
image


Исследователи Palo Alto Unit 42 описали 3 новых загрузчика Cobalt Strike , каждый из которых загружает разные типы имплантатов – SMB Beacon, DLL Beacon и стейджер Cobalt Strike.

SMB Beacon (KoboldLoader)

Чтобы обойти песочницы, которые перехватывают только функции пользовательского режима высокого уровня, он вызывает встроенные функции API. Чтобы усложнить анализ, он исполняет функции с помощью хэша вместо использования простых текстовых строк.

KoboldLoader создает дочерний процесс инструмента Windows «sethc.exe», затем создает новый раздел и сопоставляет с ним расшифрованный загрузчик маяка Cobalt Strike. Окончательное выполнение загрузчика Cobalt Strike происходит путем вызова «RtlCreateUserThread».

DLL Beacon (MagnetLoader)

MagnetLoader имитирует законную библиотеку Windows. Все экспортированные функции MagnetLoader вызывают одну и ту же основную подпрограмму вредоносного ПО. При вызове какой-либо функции запускается точка входа DLL, в которой вредоносное ПО загружает оригинальную библиотеку «mscms.dll» и разрешает все подделываемые функции.

Загрузчик маяка Cobalt Strike расшифровывается в буфер памяти и запускается, используя параметр обратного вызова функции Windows API «EnumChildWindows». Вредоносное ПО может злоупотреблять этим параметром, чтобы косвенно вызывать адрес через функцию обратного вызова и скрывать поток выполнения.

Стейджер (LithiumLoader)

LithiumLoader распространяется через легитимный установочный пакет FortiClient VPN, созданный злоумышленником и представленный VirusTotal как «FortiClientVPN_windows.exe». Поскольку файл подписан, он не обнаруживается антивирусным ПО.

Программа установки представляет собой самораспаковывающийся RAR-архив, содержащий следующие файлы:


При запуске установщика все файлы автоматически помещаются в локальную папку «%AppData%» и запускаются оба исполняемых файла. Во время выполнения установщика FortiClient VPN инструмент WinGup дополнительно загружает вредоносную библиотеку «libcurl.dll», импортируя некоторые функции из легитимной копии библиотеки «libcurl».

При компиляции библиотеки LithiumLoader в легитимную библиотеку внедряется вредоносный сценарий одной из функций. Затем эта функция запускает шелл-код стейджера Cobalt Strike косвенно через функцию обратного вызова «EnumSystemGeoID». Шелл-код стейджера Cobalt Strike заимствован из Metasploit и представляет собой обратную полезную нагрузку HTTP-оболочки.

Написал один раз – работает везде.
image


Исследователи Sysdig обнаружили, что хакеры используют open-source утилиту Linux PRoot в атаках BYOF (BRYOF-атака, Bring Your Own Filesystem), чтобы обеспечить согласованный репозиторий вредоносных инструментов, которые работают во многих дистрибутивах Linux.

PRoot — это утилита с открытым исходным кодом, которая позволяет пользователю настроить изолированную корневую файловую систему в Linux. В обнаруженных атаках хакер использует PRoot для развертывания вредоносной файловой системы на уже скомпрометированных системах, которые включают инструменты сетевого сканирования - «masscan» и «nmap», криптомайнер XMRig и их файлы конфигурации.

Файловая система содержит все необходимое для атаки, аккуратно упакованное в сжатый Gzip tar-файл со всеми необходимыми зависимостями, загруженный из доверенных служб облачного хостинга, таких как DropBox.

Вредоносная гостевая файловая система

Поскольку PRoot компилируется статически и не требует никаких зависимостей, злоумышленник просто загружает предварительно скомпилированный двоичный файл из GitLab и монтирует его в загруженной и извлеченной файловой системе. В большинстве случаев киберпреступники распаковывали файловую систему в «/tmp/Proot/», а затем активировали криптомайнер XMRig.

По словам исследователей, хакер может использовать PRoot для загрузки других полезных нагрузок помимо XMRig, что потенциально может нанести более серьезный ущерб взломанной системе. Наличие «masscan» в файловой системе вредоносного ПО указывает на то, что хакеры планируют взломать также и другие системы на взломанной машине.

Использование утилиты PRoot делает эти атаки независимыми от платформы и распространения, что делает их более эффективными и незаметными. Кроме того, предварительно настроенная файловая система PRoot позволяет киберпреступнику использовать набор инструментов во многих конфигурациях ОС без необходимости переноса своих вредоносных программ на целевую архитектуру или включения зависимостей и инструментов сборки.

Атаки с использованием PRoot позволяет злоумышленнику не думать об архитектуре или дистрибутиве цели, поскольку этот инструмент устраняет проблемы с совместимостью исполняемых файлов, настройкой среды и выполнением вредоносных программ. Такие атаки убирают необходимость настройки среды, и позволяют хакеру быстро масштабировать свои вредоносные кампании.

Уязвимость могла быть использована для вызова сбоев в работе утилиты или запуска произвольного кода.
image


Разработчики FreeBSD выпустили обновления для устранения критической уязвимости в утилите ping, которая отслеживается как CVE-2022-23093 и может быть использована для удаленного выполнения кода. Брешь в защите вызвана переполнением буфера при обработке входящих ICMP-сообщений. Как выяснили разработчики FreeBSD, функция pr_pack(), которая копирует выделенные IP- и ICMP-заголовки в буферы стека для дальнейшей обработки. При этом она не учитывает что в пакете после заголовка IP могут присутствовать дополнительные расширенные заголовки. Если такие все же будут, то pr_pack() перезапишет до 40 байт в стеке.

Успешная эксплуатация уязвимости может привести к сбоям в работе утилиты, а также позволяет удаленному хакеру выполнить произвольный код с root-привилегиями. Это работает так из-за того, что для отправки и приёма ICMP-сообщений ping использует raw-сокеты и выполняется с повышенными привилегиями (утилита поставляется с флагом setuid root).

Как говорят сопровождающие FreeBSD, опасность CVE-2022-23093 значительно снижает то, что ping запускается в состоянии изоляции системных вызовов, что не дает с легкостью получить доступ к системе после эксплуатации уязвимости.

Известно, что уязвимости подвержены все существующие версии FreeBSD. Исправление включено в обновления 13.1-RELEASE-p5, 12.4-RC2-p2 и 12.3-RELEASE-p10.

За преступление ответственна китайская хакерская группировка APT-41 или Winnti.
image


Китайские хакеры украли десятки миллионов долларов, выделенных в качестве пособия американцам, переболевшим коронавирусом. Об этом сообщает NBC News со ссылкой на Секретную службу США.

По информации спецслужб, кражу средств налогоплательщиков совершила киберпреступная группа APT41 из Чэнду, которую связывают с китайским правительством. Это первое киберпреступление, связанное с COVID-19 с участием иностранных хакеров, которое США признало публично. Однако данная кража может быть лишь верхушкой айсберга.

Издание уточняет, что с 2020 года хакерская группировка похитила не менее $20 млн в виде пособий, охватив 2 тыс. счетов и более 40 тыс. финансовых операций. В том числе пострадали счета фонда страхования по безработице и управления по делам малого бизнеса более чем в 10 штатах.

Как сообщается, в настоящее время удалось вернуть половину украденных средств.

Эксперты Positive Technologies проанализировали кибератаки III квартала 2022 года.
image


По данным исследования , число атак увеличилось на 10% по сравнению со II кварталом. Аналитики Positive Technologies отметили существенный рост доли использования вредоносного ПО для атак на Linux, а также рост популярности наборов для проведения фишинговых атак.

В отчете говорится, что в начале второго полугодия фокус внимания злоумышленников сместился с нарушения основной деятельности организаций на похищение учетных данных, развитие фишинговых инструментов и подходов для проведения атак методами социальной инженерии.

Среди украденных данных эксперты отмечают увеличение доли утечек учетных данных с 9% до 17%. Такой рост вызван распространением наборов для проведения фишинговых атак, что привело к многочисленным кампаниям по сбору учетных данных.

Эксперты отмечают, что в сети активно распространяется модель «фишинг как услуга». Причем провести подобную атаку способен даже злоумышленник с низким уровнем квалификации.

Аналитики Positive Technologies изучили ситуацию с хакерскими атаками в России в III квартале 2022 года.
image


В III квартале 2022 г. число хакерских атак на системы на базе открытого кода Linux в мире увеличилось более чем в два раза по сравнению со II кварталом 2022 г. Доля инцидентов с участием Linux выросла с 12% до 30%. Об этом в своем отчете сообщили аналитики Positive Technologies. Эксперты подтверждают, что тенденция релевантна и для России.

«Множество набирающих популярность решений виртуализации и облачных технологий базируются на системах под управлением Linux. Ландшафт атак на подобные решения расширяется с каждым днем, а последствия становятся только серьезнее из-за повсеместного внедрения виртуализации и облаков в бизнес-процессы», — пояснили в компании.

Согласно данным отчета, частота атак на Windows не поменялась, по сравнению со II кварталом 2022 г. (89% против 87%). На операционную систему Android приходится 5% атак (9% во II квартале 2022 г.), на iOS – 1%, еще 1% – на другие системы.

Отечественные разработчики ОС на Linux подтверждают тенденцию, и связывают ее с замещением Windows в российских компаниях.
 
MM1234567.png


Тактика киберпреступников указала на следующие цели группировок.
image


Исследователи Insikt Group из Recorded Future обнаружили , что группировка SEABORGIUM (так же известная как Callisto, COLDRIVER и TA446) подделала страницу входа Microsoft американского поставщика военного оборудования в качестве фишинговой приманки. Поддельная страница входа имитирует страницу компании Global Ordnance.



Хакеры использовали инфраструктуру и TTPs для создания фишинговых страниц и дальнейшего сбора учетных данных. Более того, тактика SEABORGIUM пересекается с TTPs группировки TAG-53 и включает использование:
  • доменных имен с определенной конструкцией шаблона и TLS-сертификатами Let’s Encrypt;
  • определенных хостинг-провайдеров;
  • небольшого кластера автономных систем.
Insikt Group обнаружила 38 зарегистрированных доменов, используемых группой с января, причем большинство из них зарегистрированы NameCheap, Porkbun, REG.RU и regway.

Имена большинства доменов имитировали популярные сервисы, такие как «cloud-safety.online», «share-drive-ua.com» и «nonviolent-conflict-service.com». Все домены имели TLS-сертификаты X.509 от Let’s Encrypt — некоммерческим центром сертификации, который предоставляет сертификаты более 300 млн. сайтов.

Домены предназначены для того, чтобы подделать сайты:
  • оборонных компаний UMO Poland, Global Ordnance и Sangrail LTD;
  • комиссии по международному правосудию и подотчетности;
  • спутниковой компании Blue Sky Network.
На 9-ти доменах были ссылки на организации, на которые может быть нацелена группа. Причем 7 из них направлены на определенные отрасли, которые, по словам экспертов, будут интересны другим группировкам из России. Исследователи также добавили, что 2 мошеннических домена предназначены для маскировки под МВД России.

Группа Insikt отметила, что использование группой специально разработанной инфраструктуры указывает на «долгосрочное использование аналогичных методов для своих стратегических кампаний».

«Специалисты работают в сетях незаметно и используют свой доступ для атак на учреждения Украины».
image


Согласно новому отчету ИБ-компании Lupovis , российские хакеры используют свое присутствие в корпоративных сетях в Великобритании, США и других странах для атак на Украину.

Lupovis установила в сети приманки, чтобы заманить киберпреступников и изучить их . Исследователи обнаружили около 60 хакеров, причем многие из них скомпрометировали приманки через 1 минуту после их запуска. Злоумышленники пытались провести различные атаки, начиная от разведки систем и заканчивая их «вербовкой» в ботнеты, а также использованием SQL-инъекций и других уязвимостей.

Более того, в ходе атак киберпреступники взломали сети нескольких международных компаний, в том числе:
  • фирму из списка Fortune 500;
  • более 15 организаций здравоохранения;
  • систему мониторинга плотин.
Взломанные организации базировались в Великобритании, Франции, США, Бразилии и Южной Африке. Хакеры перенаправлялись через их сети для проведения кибератак на Украину. Другими словами, злоумышленники работают в сетях незаметно и используют свой доступ для атак на учреждения Украины. Эксперты предполагают, что атаки проводили не правительственные хакеры, а обычные киберпреступники.

Причиной паники стала кибератака с использованием ПО Prestige, затронувшая Украину и Польшу.
image


Автором столь громких заявлений стал Клинт Уоттс, Генеральный директор Центра анализа цифровых угроз Microsoft , который ранее работал в сфере национальной безопасности Соединённых Штатов Америки. Согласно его публикации в корпоративном блоге, европейские клиенты Microsoft должны быть готовы к “серии разрушительных кибератак”, якобы планируемых российскими хакерами.

В своем сообщении Уоттс сослался на атаку с использованием вымогательского ПО Prestige, затронувшую логистические компании Украины и Польши. Стоит отметить, что изначально исследователи Microsoft не знали, кто является разработчиком этой программы, но потом “удачно” связали ее с российской хакерской группировкой Sandworm.

По словам Уоттса, Microsoft видит в этом возможную угрозу расширения кибератак на страны и компании, обеспечивающие Украину гуманитарной помощью и оружием. Кроме того, он считает, что будут проводиться операции по “оказанию давления на Европу в киберпространстве”.

Как считают эксперты Microsoft, в ходе кибератак российские киберпреступные группировки использовали широкий спектр вайперов и программ-вымогателей, жертвами которых стали около 50 украинских организаций. Также компания считает что есть "косвенная связь" между кинетическими и кибернетическими операциями на территории Украины.

Китайские специалисты используют эффективные инструменты для шпионажа за ТКК-компанией.
image


Исследователи Bitdefender заявили , что китайская APT-группа BackdoorDiplomacy проводит кибершпионскую кампанию против телекоммуникационной фирмы на Ближнем Востоке. Шпионская деятельность началась 19 августа 2021 года в результате успешного использования уязвимостей ProxyShell в Microsoft Exchange Server.

В ходе первоначальной компрометации хакеры использовали двоичные файлы, доставленные методом боковой загрузки (Sideloading), затем они использовали сочетание легитимных и хакерских инструментов для проведения разведки, сбора данных, бокового перемещения по сети и уклонения от обнаружения.

«Атрибуты файлов вредоносных инструментов показали, что первыми развернутыми инструментами были прокси-сервер NPS и бэкдор IRAFAU. Начиная с февраля 2022 года злоумышленники использовали другой инструмент — бэкдор Quarian, наряду со многими другими сканерами и инструментами прокси/туннелирования.

О шпионских мотивах атаки свидетельствует использование кейлоггеров и скриптов PowerShell, предназначенных для сбора содержимого электронной почты. Бэкдор IRAFAU используется для сбора информации и бокового перемещения. Этому способствует загрузка файлов с сервера управления и контроля (C&C) и выгрузка файлов на него, а также включение удаленной оболочки и запуск произвольных файлов.

Второй бэкдор представляет собой обновленную версию Quarian (он же Turian или Whitebird), которая обладает более широким набором возможностей для управления скомпрометированным хостом.

Также используется инструмент под названием Impersoni-fake-ator, встроенный в легитимные утилиты DebugView и Putty, и предназначенный для сбора системных метаданных и выполнения расшифрованной полезной нагрузки, полученной с C&C-сервера.

Также BackdoorDiplomacy использует инструмент удаленного администрирования ToRat и троян AsyncRAT .

BackdoorDiplomacy впервые была обнаружена ESET в июне 2021 года , при этом атаки в основном были направлены на дипломатические учреждения и телекоммуникационные компании в Африке и на Ближнем Востоке для развертывания Quarian.



Bitdefender связывает атаки с BackdoorDiplomacy из-за дублирования в C&C-инфраструктуре, которая использовалась группой в предыдущих кампаниях.

Пользуясь ошибками разработчиков Google, злоумышленники незаметно собирают конфиденциальные данные пользователей.
image


Хакеры, связанные с иранским правительством, проводят кампанию социальной инженерии и фишинга, направленную против правозащитников, журналистов, исследователей, ученых, дипломатов и политиков, работающих на Ближнем Востоке. Жертвами стали не менее 20 человек. Об этом заявила организация Human Rights Watch (HRW).

В ходе кампании была скомпрометирована электронная почта и украдены конфиденциальные данные, принадлежащие трём целям:
  • корреспондент крупной американской газеты;
  • защитница прав женщин из стран Персидского залива;
  • консультант по защите интересов Refugees International Николас Ноэ из Ливана.
Злоумышленники получили доступ к:
  • электронной почте;
  • облачному хранилищу;
  • календарям;
  • контактам.
А также украли все данные, связанные с аккаунтами Google, в виде архивных файлов через Google Takeout.

Цепочка заражения начинается с того, что жертва получает подозрительное сообщение в WhatsApp под предлогом приглашения на конференцию. В сообщении жертву убеждают перейти по ссылке на фишинговый сайт, имитирующий страницу входа в Microsoft, Google и Yahoo!, и захватить введенные учетные данные. 15 из 20 жертв получили одни и те же сообщения WhatsApp в период с 15 сентября по 25 ноября.


Эти фишинговые страницы также могут быть использованы в AiTM-атаке для взлома учетных записей c двухфакторной аутентификацией (2FA).

HRW также указала на недостатки в средствах защиты Google, поскольку предупреждения безопасности из-за активности в аккаунте Google не отображают какие-либо уведомления. Из-за этого жертвы атак даже не знали, что «их учетные записи Gmail были скомпрометированы или их данные выгружены через Google Takeout»



Активность угроз свидетельствует о более широкой кампании, в которой используются сокращатели URL-адресов для направления жертв на фишинговые страницы. Это поведение характерно для APT-группа, связанных с Ираном, таких как APT42 и Phosphorus .

Ранее исследователи из Mandiant отмечали, что группировка APT42 действует от имени Корпуса стражей исламской революции (КСИР) , а ее тактики, техники и процедуры (TTPs) очень напоминают APT35 – другую иранскую группу, известную как Charming Kitten и Phosphorus.

APT42 отдает предпочтение целевому фишингу против корпоративных и личных учетных записей электронной почты . Жертвами APT42 являются как минимум 14 стран, в том числе США, Австралия, страны Европы и Ближнего Востока, и среди них правительственные чиновники, бывшие иранские политики, члены иранской диаспоры и оппозиционных групп, журналисты и ученые.

В результате взлома организация не работала почти три недели.
image


Как говорит Кетти Нивьябанди, генеральный секретарь канадского отделения Amnesty International, за взломом систем компании стоят Китай и Гонконг, а первые кибератаки начались 5 октября. Слова Кетти подтверждает американская ИБ-компания Secureworks и в качестве доказательства приводит анализ целевой информации, инструментов и поведения хакеров – все указывает на то, что за взломом стоит стоит китайская государственная группировка.

"Как организация, выступающая за права человека во всем мире, мы прекрасно понимаем, что можем стать мишенью для государств, которые хотят нарушить нашу работу или исподтишка следить за ней. Это нас не запугает", – сказала Нивьябанди.

"Данный факт кибершпионажа говорит о все более опасном контексте, в котором сегодня должны ориентироваться активисты и журналисты, а также гражданское общество. Наша работа по расследованию этих атак как никогда важна и актуальна. Мы продолжим освещать нарушения прав человека, где бы они ни происходили, и осуждать использование правительствами цифровой слежки", – добавила она.

Канадское отделение Amnesty International уже приняло меры по укреплению своей безопасности и начало восстановление систем в безопасном режиме. Хорошей новостью стало то, что в руки злоумышленников не попали личные данные членов организации.

Утечка данных студентов вынуждает повысить кибербезопасность страны.
image


Группировка «Team Mysterious Bangladesh» заявила, что скомпрометировала системы Центрального совета высшего образования Индии (CBHE). Об этом сообщили эксперты ИБ-компании CloudSEK.

Злоумышленники заявили о том, что они украли информацию о студентах Индии, датируемую с 2004 по 2022 год. Они поделились скриншотами утечки, которая содержит многочисленную информацию, в том числе:
  • имена;
  • Aadhaar-номера (ID жителей страны);
  • коды пользователей индийской финансовой системы (IFS-коды).
По словам экспертов, доступ к панели администратора платформы CBHE Delhi позволяет любому пользователю просмотреть результаты экзаменов и личные данные всех студентов с 2004 по 2022 год и даже удалить или добавить записи.

Скриншот украденных данных студентов

Киберпреступники получили доступ к панели администратора, что позволило им скомпрометировать данные CBHE Delhi. Кроме того, киберпреступники совершили «дефейс» сайта CBHE Delhi и указали на главной странице свои имена.


Украденная информация может быть использована для:
  • получения начального доступа к инфраструктуре фирмы;
  • брутфорс-атакам (в случае со слабыми паролями);
  • проведения атак программ-вымогателей;
  • эксфильтрации данных;
  • сохранения постоянства в системе.
Чтобы защититься от подобных угроз, CloudSEK предложила предприятиям исправлять уязвимости в конечных точках и не хранить конфиденциальную информацию в репозиториях «.git». Системные администраторы также должны отслеживать аномалии в учетных записях пользователей, которые могут свидетельствовать о захвате учетных записей.
 

Деанон пользователей Telegram, разоблачение кибершпионов из КНДР и другие события кибербезопасности.

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.
  • Эксперты разоблачили хакеров APT43, занимающихся шпионажем в пользу КНДР.
  • СМИ узнали об инструменте Ростеха для деанона пользователей Telegram.
  • GitHub удалил репозиторий с исходным кодом Twitter.
  • В Украине задержали банду фишеров, похитивших у жителей ЕС $4,3 млн.

Эксперты разоблачили хакеров APT43, занимающихся шпионажем в пользу КНДР

Аналитики Mandiant представили отчет о северокорейской хакерской группировке APT43, занимающейся шпионажем и кражей криптовалют.

По мнению экспертов, за киберпреступниками стоит Генеральное бюро разведки КНДР, а их главными целями являются правительственные и исследовательские организации в США, Европе, Японии и Южной Корее.

APT43 рассылает жертвам фишинговые электронные письма от вымышленных должностных лиц, перенаправляя их на подконтрольные сайты для сбора учетных данных. В последующем это помогает хакерам авторизовываться в целевых системах.

Для кражи средств группировка использует вредоносные Android-приложения, нацеленные на владельцев криптовалют из Китая.

Украденные активы отмываются через миксеры и сервисы облачного майнинга с использованием подставных псевдонимов и адресов. При этом за оборудование и инфраструктуру APT43 платит с помощью PayPal, American Express и краденных биткоинов.

GitHub удалил репозиторий с исходным кодом Twitter

Администрация сервиса GitHub удалила частный репозиторий пользователя FreeSpeechEnthusiast, содержащий исходный код Twitter после DMCA-уведомления от соцсети.

В частности, там размещалась информация об уязвимостях в системе безопасности, которые могут позволить хакерам извлечь данные пользователей или отключить сайт Twitter, рассказали источники The New York Times.

Сейчас соцсеть пытается через суд обязать GitHub предоставить идентифицирующую информацию о виновнике утечки и лицах, получивших к ней доступ.

Неизвестно, как долго исходный код Twitter находился в сети. Однако, по информации СМИ, речь идет о «как минимум нескольких месяцах».

Trend Micro нашла ворующую криптовалюты малварь OpcJacker

Исследователи компании Trend Micro обнаружили малварь OpcJacker, которая с середины 2022 года распространялась под видом криптовалютных приложений и других легитимных программ на поддельных сайтах.

Функции OpcJacker включают кейлоггер, создание скриншотов, кражу конфиденциальных данных из браузеров, загрузку дополнительных модулей и подмену криптовалютных адресов в буфере обмена.

Попав на устройство жертвы, малварь заменяет легитимную библиотеку DLL внутри установленной программы на вредоносную. Это позволяет начать загрузку дополнительного зловреда — шифровальщика Babadeda с модифицированной полезной нагрузкой.

opcjacker-1

Данные: Trend Micro.

Основная цель вредоноса пока неизвестна, но его возможности по краже криптовалют указывают на финансовую мотивацию злоумышленника, полагают эксперты.

РКН выступил против анонимных номеров на базе блокчейна

Роскомнадзор предложил использовать оборудование, установленное у провайдеров в рамках закона о суверенном рунете, для ограничения доступа к средствам анонимизации. Об этом сообщает «Коммерсант».

К таковым ведомство отдельно отнесло сервисы по использованию виртуальных номеров телефона. Под это описание подпадают и номера на блокчейн-платформе Fragment, которые можно покупать за криптовалюту для анонимной регистрации в Telegram.

В случае принятия правительством поправки вступят в силу с 1 марта 2024 года.

В Украине задержали банду фишеров, похитивших у жителей ЕС $4,3 млн

Киберполиция Украины разоблачила участников международной преступной организации, которые с помощью фишинга воровали данные банковских карт.

hqdefault.jpg


Фигуранты создали более 100 фишинговых сайтов с дешевыми товарами, ориентированными на европейских пользователей. Вся указанная клиентами платежная информация автоматически становилась известна злоумышленникам. В дальнейшем они присваивали деньги с их счетов.

Группировка также создала call-центры в Виннице и Львове, операторы которых убеждали потенциальных жертв совершать покупки.

Установлено более 1000 пострадавших из Чехии, Польши, Франции, Испании, Португалии и других стран ЕС. Общая сумма ущерба превышает 160 млн гривен ($4,3 млн).

В ходе серии обысков правоохранители изъяли мобильные телефоны, SIM-карты и компьютерную технику. По фактам мошенничества и создания преступного сообщества открыто уголовное производство. Злоумышленникам грозит до 12 лет тюрьмы с конфискацией.

Двое организаторов арестованы. Также на территории ЕС задержаны еще 10 участников преступной группы. Следствие продолжается.

СМИ узнали об инструменте Ростеха для деанона пользователей Telegram

Российская госкорпорация Ростех купила платформу, которая позволяет раскрывать личности анонимных пользователей Telegram. Об этом говорится в совместном расследовании The Bell и «Медузы».

По их сведениям, программный комплекс под названием «Охотник» исследует свыше 700 открытых источников данных, включая соцсети, блоги, форумы, мессенджеры, доски объявлений, блокчейны криптовалют, даркнет и государственные автоматизированные сервисы.

Полученные имена, никнеймы, адреса электронных почт, номера телефонов, криптокошельки и IP-адреса позволяют установить ассоциации и в конечном итоге идентифицировать администраторов Telegram-каналов.

Журналисты полагают, что основным объектом внимания Ростеха являются авторы, критически настроенные по отношению к государственной политике РФ.

При этом представители общественной организации «РосКомСвобода» указали, что используя только точки данных деанонимизировать владельца канала невозможно. Они предположили, что параллельно госкорпорация эксплуатирует уязвимость нулевого дня в платформе или работает с инсайдером внутри Telegram.

В свою очередь представитель мессенджера заявил в комментарии Bleeping Computer, что наиболее распространенный способ для деанона администраторов канала является получение платежей за рекламный контент, предоставление доступа сторонним ботам или использование неофициальных приложений Telegram.

В планах Ростеха в течение 2023 года продать «Охотник» всем управлениям МВД РФ и оперативно-техническим подразделениям ФСБ.






 

Утечка из Пентагона, секс-торговцы в семейном приложении и другие события кибербезопасности.


Мы собрали наиболее важные новости из мира кибербезопасности за неделю.
  • В США задержали подозреваемого в сливе секретных документов Пентагона.
  • Хакеры похитили данные 400 000 пользователей медиаплеера Kodi.
  • Секс-торговцы использовали популярное в США приложение для семейной безопасности.
  • Более миллиона сайтов WordPress оказались заражены малварью Balada Injector.

В США задержали подозреваемого в сливе секретных документов Пентагона

ФБР арестовало 21-летнего нацгвардейца ВВС США Джека Тейшейру, подозреваемого в утечке секретных документов Пентагона и американской разведки. Об этом сообщает .

Данные: The New York Times.

По данным издания, Тейшейра являлся админом Discord-сервера Thug Shaker Central, в котором состояли любители «Орудия, видеоигр и расистских мемов». Именно на нем были выложены сотни страниц секретных правительственных документов.

Один из членов этой группы рассказал NYT, что лично знает человека под ником O.G., сливавшего информацию. Другие участники описали его как бесспорного лидера, который имел доступ к разведывательным данным.

Журналисты считают, что этим человеком и был Тейшейра. Детали интерьера в его доме совпали с деталями на фотографиях утекших документов.

Представители Пентагона считают, что слив организован преднамеренно. Утечка содержит информацию о войне в Украине, в том числе сведения о состоянии украинской армии, оценки США о возможности контрнаступления ВСУ, а также аналитику разведки «непредвиденных сценариев» развития войны, в том числе «удара Украины по Кремлю».

Кроме того, в сеть утекли документы с информацией по Китаю, Ирану, Южной Корее, Израилю и другим странам. При этом эксперты отмечали, что часть документов была отредактирована.

В случае доказательства вины Тейшейре грозит лишение свободы на десятки лет.

Хакеры похитили данные 400 000 пользователей медиаплеера Kodi

Форум MyBB опенсорсного медиаплеера Kodi подвергся кибератаке. Взломщики похитили базы данных, содержащие записи, личные сообщения и учетную информацию пользователей, а затем попытались их продать.

Инцидент произошел в феврале, однако известно о нем стало только сейчас.

kodi-breached

Данные: .

Согласно заявлению разработчиков, хакеры вошли в консоль администратора под учетными данными неактивного сотрудника. После этого они создали резервные копии БД и скачали уже существующие бэкапы.

Закрытый в настоящее время форум Kodi насчитывает около 400 000 участников.

Команда объявила, что все их пароли следует по умолчанию считать скомпрометированными.

Администрация намерена ввести в эксплуатацию новый сервер для форума и Wiki проекта.

ФБР предупредило об опасности бесплатных зарядных станций в общественных местах

Владельцев мобильных устройств предупредили об опасности использования зарядных станций в аэропортах, отелях и торговых центрах. Уведомление об этом выпустило ФБР.

По словам ведомства, злоумышленники нашли способы внедрять через общедоступные USB-порты вредоносные ПО с целью мониторинга устройств.

В ФБР советовали использовать только собственные портативные зарядки и электрическую розетку.

Более миллиона сайтов WordPress оказались заражены малварью Balada Injector

Исследователи Sucuri обнаружили более миллиона сайтов WordPress, зараженных зловредом Balada Injector.

Малварь впервые заметили в 2017 году, однако ее активное распространение пришлось на март текущего года.

Balada Injector внедряет вредоносный код, через который злоумышленники получают доступ к базе данных сайта и крадут конфиденциальную информацию. С помощью малвари можно модифицировать страницы и перенаправлять посетителей на фишинговые ссылки, а также добавлять аккаунты фейковых администраторов WordPress и оставлять бэкдоры для постоянного доступа.

Согласно выводам Sucuri, большинство пострадавших сайтов работали на устаревших версиях WordPress с уязвимыми темами или плагинами. Распространению Balada Injector способствовала возможность малвари самостоятельно обходить базовые меры безопасности, включая CAPTCHA и простую 2FA.

Секс-торговцы использовали популярное в США приложение для семейной безопасности

Популярный в США сервис для мониторинга местоположения членов семей и друзей Life360 использовался злоумышленниками, занимающимися секс-торговлей. Доказательства этого обнаружил .

По данным издания, с 2018 года приложение, которое отображает координаты пользователя в реальном времени на карте, фигурировало как минимум в девяти судебных делах, касающихся сексуальных преступлений.

В 2019 году Минюст США предоставил суду Флориды заявления жертв Алстона Уильямса, который якобы использовал Life360 для наблюдения за несовершеннолетними и взрослыми. Позже его приговорили к пожизненному заключению за преступления, связанные с торговлей людьми.

В 2022 году суд вынес обвинительный приговор жителю Сакраменто Роберту Пьеру Дункану за сексуальную эксплуатацию 17-летней девушки. В материалах дела сообщалось, что он использовал Life360, чтобы следить за «каждым ее шагом» и «отслеживать, как долго [жертва] находилась в машине и куда она двигалась в поисках клиентов».

В 2023 году 18-летняя сотрудница Amazon из Сан-Диего сообщила, что до работы в технологическом гиганте ее принуждали к секс-бизнесу. Согласно документам, с которыми ознакомился Forbes, предполагаемый торговец людьми обязал девушку приносить не менее $6000 в неделю, а также заставил ее установить на телефон приложение Life360.

CEO Life360 Крис Халлс подтвердил, что за последние восемь месяцев компания получила четыре запроса от правоохранительных органов на предоставление данных, связанных с расследованиями торговли людьми в целях сексуальной эксплуатации. Однако он отметил, что проблема «не обсуждалась на руководящем уровне, вероятно, из-за ее редкости».

Life360 является одним из самых популярных приложений для семейной безопасности в Америке. В целом сервис насчитывает более 50 млн активных пользователей в 195 странах.

В даркнете нашли вредоносные приложения для Google Play стоимостью до $20 000

Эксперты «Лаборатории Касперского» проанализировали объявления о продаже вредоносных приложений для Google Play на нескольких форумах в даркнете.

Цены на программы стартуют от $2000 и доходят до $20 000. При этом стоимость аккаунта разработчика, необходимого для загрузки приложений в магазин, варьируется от $60 до $200.

image001-5

Пример объявления о продаже загрузчика вредоносного кода для Google Play. Данные: «Лаборатория Касперского».

Чаще всего вредоносный код злоумышленники предлагают встраивать в криптовалютные трекеры, различные финансовые приложения, сканеры QR-кодов или сервисы для знакомств. Авторы объявлений указывают, сколько раз были скачаны такие программы, чтобы показать потенциальный охват жертв.

За дополнительную плату злоумышленники могут обфусцировать код вредоноса, чтобы усложнить обнаружение защитными решениями.

Аккаунты Telegram начали похищать под видом доступа к контенту для взрослых

Злоумышленники выманивают учетные данные русскоязычных пользователей Telegram через авторизацию в боте, который якобы позволяет искать интимные фотографии. Об этом сообщили эксперты «Лаборатории Касперского».

Жертву направляют на фишинговую страницу, где запрашивают номер телефона и код подтверждения. В результате эти данные уходят киберпреступникам.

В дальнейшем полученный доступ к аккаунтам они используют для кражи конфиденциальных данных, шантажа и рассылки мошеннических сообщений от имени взломанного пользователя.

Эксперты рекомендовали не переходить по ссылкам из подозрительных сообщений и настроить двухфакторную аутентификацию аккаунта.









 

Две уязвимости затронули десятки провайдеров биткоин-кошельков.

Эксперты Fireblocks обнаружили в реализации широко используемых криптографических протоколов GG18, GG20 и Lindell17 две уязвимости нулевого дня под общим названием BitForge. Проблема коснулась более 15 поставщиков криптокошельков, использующих технологию многосторонних вычислений (MPC), включая Coinbase, ZenGo и Binance.

Opera-Snimok_2023-08-11_212338_twitter.com_
Данные: X.

Обе уязвимости позволяют злоумышленникам восстанавливать сид-фразы и похищать активы.

Первая из них затрагивает схемы пороговых подписей GG18 и GG20, позволяя нескольким сторонам генерировать ключи и совместно подписывать транзакции.

«В зависимости от параметров имплементации злоумышленник может отправить специально подготовленное сообщение и извлечь шарды ключа в виде 16-битных фрагментов, таким образом получив сид-фразу за 16 повторений», — объяснили в Fireblocks.

Вторая уязвимость в протоколе Lindell17 2PC имеет аналогичную природу и позволяет извлечь весь приватный ключ примерно за 200 попыток подписи.

«Проблема проявляется в некорректной обработке прерываний кошельками. Это вынуждает их продолжать операции подписи, что непреднамеренно раскрывает биты закрытого ключа», — отметили эксперты.
Уязвимости впервые обнаружили в мае 2023 года. На момент написания Binance, Coinbase и ZenGo уже исправили проблему.

Эксперты Fireblocks создали специальный инструмент для проверки других провайдеров кошельков на предмет риска из-за проблемной имплементации MPC.

Исследователи взломали доступ к платным функциям Tesla.

Сотрудники Технического университета Берлина разработали метод джейлбрейка информационно-развлекательных систем в последних моделях Tesla и смогли разблокировать платные функции автомобиля. Об этом сообщает Bleeping Computer.

Атака проводилась с помощью перепадов напряжения, подаваемого на процессор AMD, который выступает в качестве корня доверия для системы.

Полученные в результате этого root-права позволили исследователям извлечь уникальный ключ RSA, который Tesla использует для аутентификации автомобиля в сервисной сети. Также они смогли активировать программно заблокированные функции, включая подогрев сидений и быстрый разгон.

Авторы джейлбрейка уведомили автопроизводителя о своих выводах. Компания работает над устранением проблем.

Интерпол ликвидировал фишинговую платформу 16shop.

В ходе операции Интерпола остановлена деятельность PhaaS-платформы 16shop, ответственной за взлом более 70 000 человек в 43 странах.

Хакеры продавали фишинговые наборы по цене от $60 до $150, нацеленные на учетные записи Apple, PayPal, American Express, Amazon и Cash App. В ходе этих атак киберпреступники похищали адреса электронной почты, пароли, удостоверения личности, данные банковских карт и номера телефонов.

Правоохранители арестовали 21-летнего оператора 16shop и задержали двух его подельников в Японии и Индонезии.

Ученые разработали атаку со считыванием звуков нажатия клавиатуры.

Группа британских исследователей разработала акустическую атаку по сторонним каналам, которая позволяет с точностью до 95% считывать записанные на телефон нажатия клавиатуры.

Для обучения классификатора ученые многократно нажимали клавиши на MacBook Pro 2021 года, записывая звук на iPhone 13 mini, а также через сервис Zoom и Skype. В результате они получили спектрограммы звуковых волн, визуализирующих различия для каждой клавиши.

keystrokes-recording
Сэмплирование звука нажатия клавиш. Данные: arxiv.org.

Применение атаки может привести к утечке паролей, сообщений или другой конфиденциальной информации.

Для защиты данных исследователи рекомендовали изменять стиль ввода, использовать случайные пароли и применять программные аудиофильтры нажатий клавиш.

Zoom начнет собирать данные пользователей для обучения ИИ.

Сервис видеоконференций Zoom добавил в пункт о намерении собирать контент звонков для обучения моделей искусственного интеллекта без возможности отказаться от обновления. Об этом сообщает Stack Diary.

Opera-Snimok_2023-08-11_214522_twitter.com_
Данные: X.

Впрочем сервис заверил, что пользователи смогут самостоятельно решать, активировать ли функции генеративного ИИ и делиться ли контентом во время видеоконференций в целях улучшения продукта.

По словам компании, создаваемые в процессе использования сервиса данные будут оставаться в исключительном владении Zoom.

В Ираке заблокировали Telegram.

Министерство связи Ирака «из соображений национальной безопасности» заблокировало мессенджер Telegram. Об этом сообщает Reuters.

Ранее ведомство неоднократно, но безрезультатно обращалось к разработчикам приложения с требованием закрыть «платформы, которые сливают данные официальных государственных учреждений и личные данные граждан».

Представители Telegram не комментировали блокировку.

У «ЛитРес» произошла утечка данных

5 августа неизвестный хакер выложил данные пользователей сервиса электронных книг «ЛитРес». Об этом сообщает Telegram-канал «Утечки информации».

В свободный доступ попало более 3 млн строк, содержащих имя и фамилию, 590 000 уникальных адресов почты и хешированные пароли.

2023-08-11-16.31.28
Данные: Telegram-канал «Утечки информации».

Источник утверждает, что полный дамп содержит 97 млн строк.

Ранее этот этот же хакер «сливал» информацию «СберЛогистики», образовательного портала GeekBrains и службы доставки Delivery Club.

Представители «ЛитРес» подтвердили утечку, сообщив, что платежная информация пользователей не пострадала. Сервис начал проверку, а также ужесточил контроль за хранением данных.





 

Условия запрета Telegram в Украине, малварь для блокчейн-инженера и другие события кибербезопасности.

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.
  • Новый вредонос от Lazarus нацелился на разработчиков биткоин-бирж.
  • В Украине назвали условия для блокировки Telegram.
  • Boeing подтвердил кибератаку на одно из своих подразделений.
  • Хакеры DumpForums заявили о взломе платежной системы «Мир».

Новый вредонос от Lazarus нацелился на разработчиков биткоин-бирж

Специалисты Elastic Security Labs обнаружили вредонос KandyKorn для macOS, который нацелен на блокчейн-разработчиков. Его уже связали с северокорейской хакерской группировкой Lazarus.

Первоначально малварь распространялась через профильные сообщества в Discord внутри ZIP-архива под названием Cross-platform Bridges.zip. Он якобы содержал арбитражного кроссплатформенного бота для торговли криптовалютами.

image31-2

Данные: Elastic Security Labs.

В реальности файл импортировал 13 вредоносных модулей, которые способны похищать данные и манипулировать ими. Полная распаковка KandyKorn состоит из пяти этапов.

image21-4

Данные: Elastic Security Labs.

Эксперты предупредили, что угроза по-прежнему активна и предоставили для идентификации вредоносной активности на компьютере.

В Украине назвали условия для блокировки Telegram

Совет нацбезопасности и обороны Украины готов немедленно заблокировать мессенджер Telegram в случае обращения уполномоченных служб. Об этом сообщил секретарь СНБО Алексей Данилов в интервью местному изданию .

По его словам, Telegram является «опасным и уязвимым», особенно с точки зрения национальной безопасности, поскольку «при необходимости через него можно получить доступ к телефону» пользователя.

«Если нам поступят документы соответствующих служб, имеющих на это право, — поверьте, за нами не заржавеет [заблокировать Telegram]», — заявил Данилов.
Секретарь СНБО также рассказал, что лично никогда не пользовался Telegram из-за его анонимности:

«Я не против того, чтобы существовали мессенджеры, но я бы хотел, чтобы за каждым этим ником был вполне понятный человек».

Boeing подтвердил кибератаку на свои системы

Аэрокосмический гигант Boeing подтвердил изданию Bleeping Computer факт кибератаки на свой бизнес по производству и дистрибуции запчастей. Это произошло вскоре после того, как на сайте вымогателей LockBit появилась информация о предположительном взломе систем компании.

По утверждению хакеров, они завладели «огромным количеством конфиденциальных данных» и угрожали опубликовать их, если не получат выкуп.

Boeing-lockbit-1536x831-1

Данные: Bleeping Computer.

Хотя Boeing еще не подтвердил связь между заявлениями LockBit и инцидентом, страница утечки на сайте хакеров теперь удалена.

В компании подчеркнули, что ситуация не отразилась на безопасности полетов, и в настоящее время продолжается расследование.

Сервисный сайт Boeing на момент написания был недоступен и сообщал о неких «технических проблемах».

Параллельно с этим 30 октября об атаке неназванной программы-шифровальщика также сообщили в профсоюзе APA, в который входят 15 000 пилотов American Airlines.

Организация работает над восстановлением систем из резервных копий. Пока неизвестно, была ли скомпрометирована личная информация пилотов и точное количество пострадавших.

Хакеры DumpForums заявили о взломе платежной системы «Мир»

30 октября произошла кибератака на сайт НСПК — оператора платежной системы «Мир». Ответственность за инцидент взяла хакерская группировка DumpForums.

«Мы выгрузили множество интересной информации из серверов платежной системы “Мир”, здорово провели время в их внутренней сети и теперь готовы заявить о взломе крупнейшего платежного оператора», — написали они в своем Telegram-канале.
Также хакеры оставили на главной странице сайта «послание администраторам».

Snimok-ekrana-2023-11-03-v-22.26.41

Данные: DumpForums.

В НСПК утечку данных отрицают. В комментарии пресс-служба компании заявила, что сайт «не содержит никаких конфиденциальных данных, а также не имеет отношения к платежной инфраструктуре».

«Обработка всех платежей по банковским картам и операций через СБП осуществляется в штатном режиме», — добавили в НСПК.

Двух жителей Сибири обвинили в помощи украинским хакерам

Сотрудники ФСБ в Томске и Кемеровской области задержали двух мужчин, которые предположительно оказывали содействие украинским хакерам в кибератаках на критическую инфраструктуру РФ. Об этом сообщает .

Один из фигурантов — студент Томского госуниверситета систем управления и радиоэлектроники, второй — по версии следствия, член украинских кибервойск.

Каждому предъявлено обвинение в государственной измене. Максимальное наказание по статье — до 20 лет тюрьмы.

В Telegram-каналах обнаружили шпионский мод для WhatsApp

Эксперты «Лаборатории Касперского» обнаружили модификацию WhatsApp, зараженную трояном-шпионом для устройств Android. Вредонос распространяется через Telegram-каналы на арабском и азербайджанском языках.


Троян CanesSpy способен похищать конфиденциальную информацию со смартфона, включая список контактов и документы, а также инициировать запись звука с микрофона устройства. Шпионский модуль активируется после включения телефона или в момент его зарядки.

С 5 по 31 октября решения «Лаборатории Касперского» предотвратили более 340 000 атак с его использованием в десятках стран мира. Основные случаи заражения зафиксированы в Азербайджане, Саудовской Аравии, Йемене, Турции и Египте. Российские пользователи также столкнулись с этой угрозой.

Popular_spy_in_WhatsApp_mods_06_ru

Данные: «Лаборатория Касперского».

Эксперты уведомили Telegram о наличии вредоносного ПО в обнаруженных каналах.





 
  • Теги
    cyber hack probiv
  • Сверху Снизу