TrickBot начал использовать скомпрометированные IoT-устройства в качестве прокси для C2
По словам MSTIC (Центра анализа угроз Microsoft), недавно сообщивших об этом нововведении, для этого юзают скомпрометированные роутеры MikroTik. Трафик на такие девайсы идет через нестандартные порты, что позволяет TrickBot избегать обнаружения стандартными системами безопасности.
Компрометация маршрутизаторов происходит с использованием комбинации методов, а именно проверки паролей по умолчанию, банального брутфорса и эксплуатации CVE-2018-14847, исправленной уязвимости в RouterOS. После вредонос меняет пароль доступа к админке для сохранения доступа к взломанным девайсам. Далее вредонос редиректит трафик между 449 и 80 портами, создавая таким образом тоннель связи зараженных девайсов и C2.
Сам TrickBot дебютировал как банковский троян в далеком 2016 году и в дальнейшем благодаря модульной архитектуре, позволяющей адаптироваться к различным сетям/девайсам, превратился в сложный и устойчивый вредонос. Его операторы также продавали доступ к корпоративным сетям и заргузку на зараженные машины различных пейлодов, вроде рансомвари Conti. Что интересно, на текущий момент улучшение функционала ботнета происходят на фоне сообщений о переходе инфраструктуры TrickBot в автономный режим (из-за объединения с Conti).
@NeKaspersky
По словам MSTIC (Центра анализа угроз Microsoft), недавно сообщивших об этом нововведении, для этого юзают скомпрометированные роутеры MikroTik. Трафик на такие девайсы идет через нестандартные порты, что позволяет TrickBot избегать обнаружения стандартными системами безопасности.
Компрометация маршрутизаторов происходит с использованием комбинации методов, а именно проверки паролей по умолчанию, банального брутфорса и эксплуатации CVE-2018-14847, исправленной уязвимости в RouterOS. После вредонос меняет пароль доступа к админке для сохранения доступа к взломанным девайсам. Далее вредонос редиректит трафик между 449 и 80 портами, создавая таким образом тоннель связи зараженных девайсов и C2.
Сам TrickBot дебютировал как банковский троян в далеком 2016 году и в дальнейшем благодаря модульной архитектуре, позволяющей адаптироваться к различным сетям/девайсам, превратился в сложный и устойчивый вредонос. Его операторы также продавали доступ к корпоративным сетям и заргузку на зараженные машины различных пейлодов, вроде рансомвари Conti. Что интересно, на текущий момент улучшение функционала ботнета происходят на фоне сообщений о переходе инфраструктуры TrickBot в автономный режим (из-за объединения с Conti).
@NeKaspersky
👍7
Open source, который мы заслужили
Разработчик из США добавил в популярный open source пакет вредоносный код, который заменяет данные пользователей из России и Белоруссии на эмодзи сердечка.
Код появился в новых версиях библиотеки без предупреждения, из-за чего многие лишились своих проектов.
Теперь к разработчику и комьюнити потеряли доверие. Его мирный протест оказался вредительством.
Кстати, код определяет IP-адрес, но вы же знаете, как его скрыть?
Имя разработчика: Брэндон Нозаки Миллер с ником RIAEvangelist
@NeKaspersky
Разработчик из США добавил в популярный open source пакет вредоносный код, который заменяет данные пользователей из России и Белоруссии на эмодзи сердечка.
Код появился в новых версиях библиотеки без предупреждения, из-за чего многие лишились своих проектов.
Теперь к разработчику и комьюнити потеряли доверие. Его мирный протест оказался вредительством.
Кстати, код определяет IP-адрес, но вы же знаете, как его скрыть?
Имя разработчика: Брэндон Нозаки Миллер с ником RIAEvangelist
@NeKaspersky
💩34👍6🤮3❤1
Исследователи обнаружили новую группировку, предоставляющую Conti доступ в сети корпораций
С таким заявлением вчера выступили Влад Столяров и Benoit Sevens из гугловской Threat Analysis Group (TAG). По их словам, Экзотическая Лилия (Exotic Lily) — так в TAG окрестили этих брокеров начального доступа — была замечена в эксплуатации исправленной уязвимости (CVE-2021-40444) в движке MSHTML за авторством Microsoft в рамках достаточно масштабных фишинговых кампаний: ежедневно отправляли 5к+ email-ов с «деловыми предложениями» 650 организациям по всему миру.
Впервые растительных ребят заметили еще в сентябре 2021 года, когда те участвовали в деплое рансомвари Conti и Diavol. Изначально рассылаемый ими спам был достаточно таргетированным (интересовались компаниями из сектора информационных технологий, кибербезопасности и здравоохранения), но уже с ноября того же года они обратили внимание на куда более широкий спектр организаций. Вредоносные сообщения отсылались от лица различных компаний. Достаточно часто, например, мошенники притворялись сотрудниками Amazon, при этом создавая в LinkedIn поддельные профили, аватарки для которых генерировались с помощью нейронок. В других случаях использовали данные реальных сотрудников, вытягивая их из профильных баз данных, вроде Rocketreach и CrunchBase.
Когда диалог с жертвой уже построен, Exotic Lily не стесняясь грузили полезную нагрузку во вполне себе легитимные облачные файлообменники, вроде WeTransfer, Transfernow или OneDrive, используя при этом возможность перечисленных платформ отправлять пользователям, с которыми поделились файлом, соответствующие уведомления. Смысл подобных действий заключается в том, что письмо, содержащее ссылку, приходит не с рандомного почтового сервиса, зарегистрированного 1.5 дня назад, но от лица крупной компании с хорошей репутацией, что позволяет усыпить бдительность некоторых анти-спам систем.
В случае с MSHTML делали слегка иначе: поскольку речь идет о RCE-уязвимости, общаться с кем-то по почте не требуется, так что при эксплуатации без лишних прелюдий загружали Bumblebee — кастомный дроппер, в задачи которого входит сбор информации о зараженной системе и отправка ее домой, а также получение оттуда полезной нагрузки, запускаемой в дальнейшем.
Забавно и то, что анализ таймлайна коммуникаций группировки, проведенный TAG, указывает, что ее члены работают в основном с 9 до 5 по будням, проявляя достаточно малую активность в выходные (может еще и в офис ходят?), и, вероятно, находятся в часовом поясе Центральной или Восточной Европы.
@NeKaspersky
С таким заявлением вчера выступили Влад Столяров и Benoit Sevens из гугловской Threat Analysis Group (TAG). По их словам, Экзотическая Лилия (Exotic Lily) — так в TAG окрестили этих брокеров начального доступа — была замечена в эксплуатации исправленной уязвимости (CVE-2021-40444) в движке MSHTML за авторством Microsoft в рамках достаточно масштабных фишинговых кампаний: ежедневно отправляли 5к+ email-ов с «деловыми предложениями» 650 организациям по всему миру.
Впервые растительных ребят заметили еще в сентябре 2021 года, когда те участвовали в деплое рансомвари Conti и Diavol. Изначально рассылаемый ими спам был достаточно таргетированным (интересовались компаниями из сектора информационных технологий, кибербезопасности и здравоохранения), но уже с ноября того же года они обратили внимание на куда более широкий спектр организаций. Вредоносные сообщения отсылались от лица различных компаний. Достаточно часто, например, мошенники притворялись сотрудниками Amazon, при этом создавая в LinkedIn поддельные профили, аватарки для которых генерировались с помощью нейронок. В других случаях использовали данные реальных сотрудников, вытягивая их из профильных баз данных, вроде Rocketreach и CrunchBase.
Когда диалог с жертвой уже построен, Exotic Lily не стесняясь грузили полезную нагрузку во вполне себе легитимные облачные файлообменники, вроде WeTransfer, Transfernow или OneDrive, используя при этом возможность перечисленных платформ отправлять пользователям, с которыми поделились файлом, соответствующие уведомления. Смысл подобных действий заключается в том, что письмо, содержащее ссылку, приходит не с рандомного почтового сервиса, зарегистрированного 1.5 дня назад, но от лица крупной компании с хорошей репутацией, что позволяет усыпить бдительность некоторых анти-спам систем.
В случае с MSHTML делали слегка иначе: поскольку речь идет о RCE-уязвимости, общаться с кем-то по почте не требуется, так что при эксплуатации без лишних прелюдий загружали Bumblebee — кастомный дроппер, в задачи которого входит сбор информации о зараженной системе и отправка ее домой, а также получение оттуда полезной нагрузки, запускаемой в дальнейшем.
Забавно и то, что анализ таймлайна коммуникаций группировки, проведенный TAG, указывает, что ее члены работают в основном с 9 до 5 по будням, проявляя достаточно малую активность в выходные (может еще и в офис ходят?), и, вероятно, находятся в часовом поясе Центральной или Восточной Европы.
@NeKaspersky
❤1
Ростех и «Открытая мобильная платформа» презентовали трастофон Ayya T1 на российской ОС Аврора вместо Android. Сколько он стоит — неизвестно. Но предыдущая версия на Android продаётся за 19 000. Производители говорят, что у него повышенный уровень приватности.
@NeKaspersky
@NeKaspersky
Хабр
Появилась модификация отечественного смартфона Ayya T1 на ОС Аврора
Ростех и «Открытая мобильная платформа» (разработчики Авроры) рассказали изданию CNews о появлении отечественного трастфона Ayya T1 на российской ОС Аврора вместо Android. Смартфон для доверенного...
😁15💩8🔥3👎2
Тем временем DarkTracer привлекают внимание к недавнему посту LockBit 2.0: на своем .onion сайте они заявили о том, что finances[.]gouv[.]cg (МинФин Конго) пали их жертвой. Украденные данные грозятся опубликовать в 0 часов 23 марта, если, конечно, вымогатели не получат свою «честно заработанную» крипту.
Официальных заявлений пока не было, так что можем немного поспекулировать. С порога предложим отнестись к этому скептически: даже если не принимать во внимание слухи о том, что группировка ранее добавляла в свой список компании, но не предоставляла никакого тому подтверждения, можем обратиться к похожему кейсу, о котором мы писали в конце января. Тогда рансомварщики заявили о краже данных Министерства Юстиции Франции, и последнее как раз отказалось платить выкуп. В итоге данные были опубликованы, но в серьезности утечки возникают определенные сомнения: там оказались данные с всего лишь одной машины.
@NeKaspersky
Официальных заявлений пока не было, так что можем немного поспекулировать. С порога предложим отнестись к этому скептически: даже если не принимать во внимание слухи о том, что группировка ранее добавляла в свой список компании, но не предоставляла никакого тому подтверждения, можем обратиться к похожему кейсу, о котором мы писали в конце января. Тогда рансомварщики заявили о краже данных Министерства Юстиции Франции, и последнее как раз отказалось платить выкуп. В итоге данные были опубликованы, но в серьезности утечки возникают определенные сомнения: там оказались данные с всего лишь одной машины.
@NeKaspersky
Пользователи жалуются на сбои в работе Pornhub: сайт не открывается с выключенным VPN.🗿🗿🗿
😁21🔥1
Проект по портированию Linux на m1 маки теперь в альфе
После долгого молчания вчера Asashi Linux выступили с таким заявлением в своем блоге. Для тех, кто не знаком, Asashi — это те ребята, которые достаточно быстро запушили патчи для работы ядра на Apple Silicon и работают над своим дистрибутивом. Цель проекта — сделать Linux в целом пригодным для повседневного использования на процессорах m1.
На текущий момент Linux ставится рядом с macOS, т.к. пока нет способа апдейтить фирмварь (местный аналог UEFI, прошивки других девайсов) из-под Linux. Система пока что достаточно сырая (альфа все-таки) и рассчитана в первую очередь на разработчиков и тестеров, которые смогут предоставлять развернутый фидбек.
Что завели:
• Wi-Fi, NVMe;
• USB2 в Thunderbolt портах и USB3 в Mac Mini;
• Дисплей, вкл/выкл подсветки и датчик закрытия крышки;
• Клаву/тачпад;
• Отображение инфы о статусе батареи/зарядки;
• RTC (real-time clock);
• Ethernet (на десктопах);
• SD-кардридер (на M1 Pro/Max);
• Смена частоты проца;
• Джек для наушников (только дефолтный M1, без Pro/Max);
• HDMI (только Mac Mini).
Скоро обещают закончить с USB3, динамиками и контроллером дисплея (полноценная смена яркости, V-Sync, DPMS).
Пока нет, и вряд ли будет в ближайшее время:
• DisplayPort и HDMI на макбуках;
• Thunderbolt;
• Bluetooth;
• Режим простоя проца (deep idle), GPU-ускорение и Neural Engine;
• режим сна;
• Камера;
• Тачбар.
Как итог, сообществу Asashi уже удалось проделать колоссальную работу по портированию Linux на полностью закрытую систему. Для тех, кто хочет потестить все самостоятельно/помочь проекту, вся дополнительная информация в обсуждаемом посте.
P.S. Asashi основан на Archlinux ARM (BTW).
@NeKaspersky
После долгого молчания вчера Asashi Linux выступили с таким заявлением в своем блоге. Для тех, кто не знаком, Asashi — это те ребята, которые достаточно быстро запушили патчи для работы ядра на Apple Silicon и работают над своим дистрибутивом. Цель проекта — сделать Linux в целом пригодным для повседневного использования на процессорах m1.
На текущий момент Linux ставится рядом с macOS, т.к. пока нет способа апдейтить фирмварь (местный аналог UEFI, прошивки других девайсов) из-под Linux. Система пока что достаточно сырая (альфа все-таки) и рассчитана в первую очередь на разработчиков и тестеров, которые смогут предоставлять развернутый фидбек.
Что завели:
• Wi-Fi, NVMe;
• USB2 в Thunderbolt портах и USB3 в Mac Mini;
• Дисплей, вкл/выкл подсветки и датчик закрытия крышки;
• Клаву/тачпад;
• Отображение инфы о статусе батареи/зарядки;
• RTC (real-time clock);
• Ethernet (на десктопах);
• SD-кардридер (на M1 Pro/Max);
• Смена частоты проца;
• Джек для наушников (только дефолтный M1, без Pro/Max);
• HDMI (только Mac Mini).
Скоро обещают закончить с USB3, динамиками и контроллером дисплея (полноценная смена яркости, V-Sync, DPMS).
Пока нет, и вряд ли будет в ближайшее время:
• DisplayPort и HDMI на макбуках;
• Thunderbolt;
• Bluetooth;
• Режим простоя проца (deep idle), GPU-ускорение и Neural Engine;
• режим сна;
• Камера;
• Тачбар.
Как итог, сообществу Asashi уже удалось проделать колоссальную работу по портированию Linux на полностью закрытую систему. Для тех, кто хочет потестить все самостоятельно/помочь проекту, вся дополнительная информация в обсуждаемом посте.
P.S. Asashi основан на Archlinux ARM (BTW).
@NeKaspersky
👍17
Обнаружен Unix-руткит, заражающий банкоматы для кражи данных карт
Как сообщают исследователи из Mandiant, за вредоносом стоит финансово мотивированная группировка LightBasin. Ранее их целью становились телекоммуникационные компании, а в 2020 году они компрометировали поставщиков управляемых услуг (MSP) для кражи средств их клиентов. Сейчас LightBasin заинтересовались данными банковских карт, используя их для проведения мошеннических транзакций.
Сам руткит является модулем ядра с именем «Caketap» и развертывается на серверах под оракловской Solaris. При загрузке он прячет сетевые подключения, процессы и файлы, а также хукает ряд системных функций для получения команд извне.
Исследователи обнаружили, что этот кекс способен на следующее:
• Добавить себя в список загруженных модулей ядра;
• Добавить/удалить сетевой фильтр;
• Не фильтровать вывод getdents64 в текущем TTY/фильтровать везде;
• Изменить список того, что нужно фильтровать;
• Вернуть текущий конфиг.
Поясняем: getdents64 — системный вызов, возвращающий содержимое директории. Следовательно, софт, который ставит на него хук, имеет возможность спрятать файлы, видимые другому софту.
Итак, цель Caketap - стащить данные проверки банковской карты и ее PIN, а затем использовать полученные данные для несанкционированных транзакций. Он перехватывает сообщения, предназначенные для «модуля безопасности платежного оборудования» (HSM), используемого для генерации, управления и проверки криптографических ключей для PIN-кодов, магнитных карт и карт с чипами. Для достижения своей цели руткит ловит те из них, что указывают на невалидные транзакции, и подменяет их на легитимные.
@NeKaspersky
Как сообщают исследователи из Mandiant, за вредоносом стоит финансово мотивированная группировка LightBasin. Ранее их целью становились телекоммуникационные компании, а в 2020 году они компрометировали поставщиков управляемых услуг (MSP) для кражи средств их клиентов. Сейчас LightBasin заинтересовались данными банковских карт, используя их для проведения мошеннических транзакций.
Сам руткит является модулем ядра с именем «Caketap» и развертывается на серверах под оракловской Solaris. При загрузке он прячет сетевые подключения, процессы и файлы, а также хукает ряд системных функций для получения команд извне.
Исследователи обнаружили, что этот кекс способен на следующее:
• Добавить себя в список загруженных модулей ядра;
• Добавить/удалить сетевой фильтр;
• Не фильтровать вывод getdents64 в текущем TTY/фильтровать везде;
• Изменить список того, что нужно фильтровать;
• Вернуть текущий конфиг.
Поясняем: getdents64 — системный вызов, возвращающий содержимое директории. Следовательно, софт, который ставит на него хук, имеет возможность спрятать файлы, видимые другому софту.
Итак, цель Caketap - стащить данные проверки банковской карты и ее PIN, а затем использовать полученные данные для несанкционированных транзакций. Он перехватывает сообщения, предназначенные для «модуля безопасности платежного оборудования» (HSM), используемого для генерации, управления и проверки криптографических ключей для PIN-кодов, магнитных карт и карт с чипами. Для достижения своей цели руткит ловит те из них, что указывают на невалидные транзакции, и подменяет их на легитимные.
@NeKaspersky
👍8💩1
Исходники очередного шифровальщика Conti слиты в сеть
Навязывать вымогателям идеалы опенсорсного софта продолжает тот же человек, что сильно осерчал на Conti, когда те выступили в поддержку действий российского правительства и в прошлом месяце слил почти 170,000 сообщений членов группировки. Тогда же в сети оказалась первая и вторая версия их шифровальщика (вторая лежала в запароленном архиве, но пароль удалось достаточно быстро крякнуть).
И вот буквально вчера та же участь постигла v3, которую захостили зачем-то в VirusTotal (с последующей публикацией линка в Twitter). Хотя архив запаролен, ключ можно найти в последующих твитах. Эти сырцы более чем на год новее, чем предыдущие: последние изменения датируются 25 января 2021 года. Сама утечка, как и в прошлый раз, представляет собой проект Visual Studio и собирается в шифровальщик (
В общем, ожидаем наплыв новой рансомвари «по мотивам»: это достаточно классическая практика. Недавно, например, вследствие слива сырцов Babuk родились Rook и Pandora.
@NeKaspersky
Навязывать вымогателям идеалы опенсорсного софта продолжает тот же человек, что сильно осерчал на Conti, когда те выступили в поддержку действий российского правительства и в прошлом месяце слил почти 170,000 сообщений членов группировки. Тогда же в сети оказалась первая и вторая версия их шифровальщика (вторая лежала в запароленном архиве, но пароль удалось достаточно быстро крякнуть).
И вот буквально вчера та же участь постигла v3, которую захостили зачем-то в VirusTotal (с последующей публикацией линка в Twitter). Хотя архив запаролен, ключ можно найти в последующих твитах. Эти сырцы более чем на год новее, чем предыдущие: последние изменения датируются 25 января 2021 года. Сама утечка, как и в прошлый раз, представляет собой проект Visual Studio и собирается в шифровальщик (
cryptor.exe, cryptor_dll.dll) и декриптор (decryptor.exe).В общем, ожидаем наплыв новой рансомвари «по мотивам»: это достаточно классическая практика. Недавно, например, вследствие слива сырцов Babuk родились Rook и Pandora.
@NeKaspersky
👍1😱1
Россияне могут остаться без бургеров и стейков из-за атаки на крупнейший в России агрохолдинг.
В результате атаки шифровальщика на агрохолдинг «Мираторг» пострадало не менее 15 компаний.
Для атаки на информационные системы «Мираторга» хакеры использовали вредоносное ПО, замаскированное под системный троянский файл Win32:Bitlocker/l!rsm.
Вирус использовал уязвимости ОС на базе Microsoft для шифровки данных в дисковой системе заражённых компьютеров, серверов и рабочих станций.
В компании сказали, что нивелируют последствия в течении нескольких суток. Про выкуп за дешифратор ничего не сообщается, но говорят, что подбирать ключ для расшифровки файлов будут своими силами. Также добавили, что сделают все дабы избежать перебоев в поставках продукции.
Возможная причина случившегося — умышленная диверсия.
@NeKaspersky
В результате атаки шифровальщика на агрохолдинг «Мираторг» пострадало не менее 15 компаний.
Для атаки на информационные системы «Мираторга» хакеры использовали вредоносное ПО, замаскированное под системный троянский файл Win32:Bitlocker/l!rsm.
Вирус использовал уязвимости ОС на базе Microsoft для шифровки данных в дисковой системе заражённых компьютеров, серверов и рабочих станций.
В компании сказали, что нивелируют последствия в течении нескольких суток. Про выкуп за дешифратор ничего не сообщается, но говорят, что подбирать ключ для расшифровки файлов будут своими силами. Также добавили, что сделают все дабы избежать перебоев в поставках продукции.
Возможная причина случившегося — умышленная диверсия.
@NeKaspersky
😱6😁5👍1🤮1
В Play Store (снова) нашли малварь
На этот раз к ней привлекли внимание исследователи из Pradeo. Вредонос, названный Facestealer-ом был загружен более 100,000 раз, нацелен на воровство креденшлов из Facebook-а. На текущий момент зараженное приложение «Craftsart Cartoon Photo Tools» все еще не удалено.
Как только пользователь запускает приложение, открывается страница входа в Facebook, при этом приложение невозможно использовать без прохождения «аутентификации». Ожидаемо, введенные данные сразу улетают злоумышленникам и затем используются для финансовых махинаций, рассылки фишинговых ссылок и распространение фейковых новостей. Приложение также общается с доменом, который использовался в течение семи лет различными вредоносными мобильными приложениями. Все из них некоторое время были доступны в Google Play, а затем удалены.
Чтобы скрыть вредоносную активность и распространять малварь через магазины приложений, злоумышленники воспользовались достаточно распространенным способом — сделали «репак» существующего приложения и внедрили в него сравнительно небольшой кусок своего кода.
@NeKaspersky
На этот раз к ней привлекли внимание исследователи из Pradeo. Вредонос, названный Facestealer-ом был загружен более 100,000 раз, нацелен на воровство креденшлов из Facebook-а. На текущий момент зараженное приложение «Craftsart Cartoon Photo Tools» все еще не удалено.
Как только пользователь запускает приложение, открывается страница входа в Facebook, при этом приложение невозможно использовать без прохождения «аутентификации». Ожидаемо, введенные данные сразу улетают злоумышленникам и затем используются для финансовых махинаций, рассылки фишинговых ссылок и распространение фейковых новостей. Приложение также общается с доменом, который использовался в течение семи лет различными вредоносными мобильными приложениями. Все из них некоторое время были доступны в Google Play, а затем удалены.
Чтобы скрыть вредоносную активность и распространять малварь через магазины приложений, злоумышленники воспользовались достаточно распространенным способом — сделали «репак» существующего приложения и внедрили в него сравнительно небольшой кусок своего кода.
@NeKaspersky
👍5💩2🔥1
Выявлена новая критическая уязвимость в Western Digital EdgeRove, ставящая под угрозу пользователей Windows и macOS.
В фирменном файловом проводнике Western Digital EdgeRover выявлена новая уязвимость. Она позволяет злоумышленнику повышать привилегии и выходить за пределы песочницы, что при удачном исполнении приведет к раскрытию конфиденциальной информации или к DoS.
Само приложение EdgeRover предназначено для того, чтобы помочь пользователю получить доступ к цифровому контенту и управлять им. Кроме того, оно предоставляет инструменты для управления рядом поддерживаемых устройств Western Digital и SanDisk.
Связанной с EdgeRover уязвимости присвоили идентификатор CVE-2022-22998. По оценке серьезности CVSS v3 уязвимость получила целых 9.1 балла, такой уровень опасности позволяет назвать её критической. Сама по себе она представляет собой ошибку обхода каталогов, связанную с некорректной обработкой прав доступа к файлам и каталогам. Но нужно отметить и тот факт, что для корректной работы уязвимости злоумышленник должен заранее каким-то образом скомпрометировать вашу систему.
Не будем забывать и то, что это уже не первая критическая уязвимость, выявленная в EdgeRover в этом году. Ведь еще в январе 2022 года уже были выпущены исправления нескольких уязвимостей, связанных с некорректным взаимодействием с набором инструментов обработки медиаданных FFmpeg. Одна из уязвимостей позволяла изменять файлы и потоки данных, а также организовывать DDoS-атаки.
Чтобы избежать всех неприятных и опасных исходов использования уязвимости, Western Digital разместила на своем сайте уведомление о необходимом обновлении до версии 1.5.1-594 и новее, для операционных систем (ОС) Windows и macOS. Однако если вы переживаете за появление новых уязвимостей, можно использовать файловый менеджер по умолчанию, который поставляется с вашей ОС.
@NeKaspersky
В фирменном файловом проводнике Western Digital EdgeRover выявлена новая уязвимость. Она позволяет злоумышленнику повышать привилегии и выходить за пределы песочницы, что при удачном исполнении приведет к раскрытию конфиденциальной информации или к DoS.
Само приложение EdgeRover предназначено для того, чтобы помочь пользователю получить доступ к цифровому контенту и управлять им. Кроме того, оно предоставляет инструменты для управления рядом поддерживаемых устройств Western Digital и SanDisk.
Связанной с EdgeRover уязвимости присвоили идентификатор CVE-2022-22998. По оценке серьезности CVSS v3 уязвимость получила целых 9.1 балла, такой уровень опасности позволяет назвать её критической. Сама по себе она представляет собой ошибку обхода каталогов, связанную с некорректной обработкой прав доступа к файлам и каталогам. Но нужно отметить и тот факт, что для корректной работы уязвимости злоумышленник должен заранее каким-то образом скомпрометировать вашу систему.
Не будем забывать и то, что это уже не первая критическая уязвимость, выявленная в EdgeRover в этом году. Ведь еще в январе 2022 года уже были выпущены исправления нескольких уязвимостей, связанных с некорректным взаимодействием с набором инструментов обработки медиаданных FFmpeg. Одна из уязвимостей позволяла изменять файлы и потоки данных, а также организовывать DDoS-атаки.
Чтобы избежать всех неприятных и опасных исходов использования уязвимости, Western Digital разместила на своем сайте уведомление о необходимом обновлении до версии 1.5.1-594 и новее, для операционных систем (ОС) Windows и macOS. Однако если вы переживаете за появление новых уязвимостей, можно использовать файловый менеджер по умолчанию, который поставляется с вашей ОС.
@NeKaspersky
Western Digital
WDC-22004 EdgeRover Desktop App Version 1.5.1-594 | Western Digital
Western Digital delivers innovative storage solutions—HDDs, systems & personal data storage—powering innovation, reliability & future-ready performance.
Юзаете пиратскую винду? BitRAT идет к вам!
Да-да, сейчас у злоумышленников новая кампания: распространяют упомянутый RAT под видом софта для активации Windows. Сам Bitrat представляет собой достаточно продвинутый «инструмент удаленного доступа», способный записывать нажатия клавиш, мониторить буфер обмена, получать видео/аудио фиды, воровать сохраненные в браузерах учетки и майнить XMR. Он продается на форумах всего за $20 за пожизненный доступ, следовательно, не имеет никакой централизованной стратегии по распространению, и покупатели пользуются для этого самыми разными подходами: фишинг, эксплуатация уязвимостей, другие трояны и т.п.
Конкретно эта кампания, обнаружена исследователями AhnLab и заключается, как нетрудно догадаться, в распространении фейкового активатора Windows 10 Pro
Фейковый активатор имеет простенький графический интерфейс с кнопками «rearm», «activate windows 10», и менюшкой выбора способа активации, хотя на деле является обычным дроппером, вытаскивающим вредонос с хардкоднутого сервера и добавляющим его в исключения Windows Defender-а. Далее скачанный пейлод распаковывается в
@NeKaspersky
Да-да, сейчас у злоумышленников новая кампания: распространяют упомянутый RAT под видом софта для активации Windows. Сам Bitrat представляет собой достаточно продвинутый «инструмент удаленного доступа», способный записывать нажатия клавиш, мониторить буфер обмена, получать видео/аудио фиды, воровать сохраненные в браузерах учетки и майнить XMR. Он продается на форумах всего за $20 за пожизненный доступ, следовательно, не имеет никакой централизованной стратегии по распространению, и покупатели пользуются для этого самыми разными подходами: фишинг, эксплуатация уязвимостей, другие трояны и т.п.
Конкретно эта кампания, обнаружена исследователями AhnLab и заключается, как нетрудно догадаться, в распространении фейкового активатора Windows 10 Pro
W10DigitalActiviation.exe через т.н. webhards — популярные в Южной Корее файлопомойки, ссылки на которые распространяются преимущественно через соцсетки и Discord. Основываясь на этом факте и наличии в коде специфичных для языка символов, эксперты считают, что распространитель этого вредоноса является корейцем.Фейковый активатор имеет простенький графический интерфейс с кнопками «rearm», «activate windows 10», и менюшкой выбора способа активации, хотя на деле является обычным дроппером, вытаскивающим вредонос с хардкоднутого сервера и добавляющим его в исключения Windows Defender-а. Далее скачанный пейлод распаковывается в
%TEMP% как Software_Reporter_Tool.exe и добавляется в автозагрузку, после чего дроппер самоуничтожается.@NeKaspersky
👍14🔥3😱3
Кто-то использовал слитую в начале марта базу пользователей «Яндекс.Еды» и превратил ее в карту. На карте можно пробить адрес и получить информацию о пользователе.
Среди данных ФИО, телефон, адрес, email, ОС смартфона и суммарные траты в «Еде» за полгода.
https://saverudata.org/map/ — тут можно проверить информацию о себе и запросить удаление.
Среди данных ФИО, телефон, адрес, email, ОС смартфона и суммарные траты в «Еде» за полгода.
https://saverudata.org/map/ — тут можно проверить информацию о себе и запросить удаление.
😱21👍7😁3🤮3
Роскомнадзор оштрафует Яндекс за утечку персональных данных.
По протоколу компании грозит штраф в размере от 60 тысяч до 100 тысяч рублей. То есть максимум 100 000 рублей.
Ну и зачем тратить огромные деньги на защиту данных пользователей, когда можно заплатить 100 000 после утечки данных и продолжать монополизировать рынок?
@NeKaspersky
По протоколу компании грозит штраф в размере от 60 тысяч до 100 тысяч рублей. То есть максимум 100 000 рублей.
Ну и зачем тратить огромные деньги на защиту данных пользователей, когда можно заплатить 100 000 после утечки данных и продолжать монополизировать рынок?
@NeKaspersky
👍24😁16🤮8💩6
Нашли малварь для macOS, используемую apt-группировкой Storm Cloud
Событие интересно хотя бы потому, что обнаружение подобной кастомной малвари случается сравнительно редко: ее авторы не очень хотят, чтобы заражение можно было определить по следам, оставляемым вредоносом во время работы, и активно их подтирают. Конкретно этот сэмпл был выгружен исследователями Volexity из оперативки скомпрометированного MacBook Pro под управлением macOS 11.6 (Big Sur) и использовался в ходе кампании по кибершпионажу в конце 2021 года.
Итак, обнаруженный вредонос, получивший название GIMMICK, является мультиплатформенной малварью и написан на Objective C в случае версии для macOS и .NET и Delphi в случае Windows. Обе версии используют одну и ту же архитектуру C2, пути к файлам, ведут себя сильно похожим образом и пользуется сервисами Google Drive, поэтому, несмотря на различия в коде, их объединили под именем одной тулзы.
GIMMICK запускается либо самим пользователем, либо как демон в системе и инстоллится как бинарник с именем PLIST. Затем он выполняет несколько шагов декодирования собственных данных, и коннектится к гуглодиску, используя хардкоднутые креденшлы OAuth2.
После инициализации GIMMICK загружает три вредоносных компонента:
Вредонос умеет примерно следующее:
• Возвращать инфу о хост-системе;
• Качать файлы на клиент/выгружать их оттуда;
• Запускать системные команды и возвращать их результат;
• Отстукиваться C2 о том, что вредонос еще жив;
• Обновлять содержимое гуглодиска раз в определенное время;
• Возвращать информацию о времени работы.
По словам исследователей, надежность GIMMICK обусловлена его асинхронной природой (т.е. вредонос способен выполнять несколько тасков одновременно). Более того, перенос подобного софта на macOS является нетривиальной задачей, что подчеркивает, что малварьмейкеры у Storm Cloud знают свое дело.
@NeKaspersky
Событие интересно хотя бы потому, что обнаружение подобной кастомной малвари случается сравнительно редко: ее авторы не очень хотят, чтобы заражение можно было определить по следам, оставляемым вредоносом во время работы, и активно их подтирают. Конкретно этот сэмпл был выгружен исследователями Volexity из оперативки скомпрометированного MacBook Pro под управлением macOS 11.6 (Big Sur) и использовался в ходе кампании по кибершпионажу в конце 2021 года.
Итак, обнаруженный вредонос, получивший название GIMMICK, является мультиплатформенной малварью и написан на Objective C в случае версии для macOS и .NET и Delphi в случае Windows. Обе версии используют одну и ту же архитектуру C2, пути к файлам, ведут себя сильно похожим образом и пользуется сервисами Google Drive, поэтому, несмотря на различия в коде, их объединили под именем одной тулзы.
GIMMICK запускается либо самим пользователем, либо как демон в системе и инстоллится как бинарник с именем PLIST. Затем он выполняет несколько шагов декодирования собственных данных, и коннектится к гуглодиску, используя хардкоднутые креденшлы OAuth2.
После инициализации GIMMICK загружает три вредоносных компонента:
Drivemanager, FileManager и GCDTimerManager. Первый отвечает за связь с гуглодиском через прокси и загрузку/выгрузку файлов оттуда, а также сохраняет структуру его директорий в памяти; второй управляет локальным каталогом, где хранятся информация о C2 и список задач; третий осуществляет управление объектами GCD.Вредонос умеет примерно следующее:
• Возвращать инфу о хост-системе;
• Качать файлы на клиент/выгружать их оттуда;
• Запускать системные команды и возвращать их результат;
• Отстукиваться C2 о том, что вредонос еще жив;
• Обновлять содержимое гуглодиска раз в определенное время;
• Возвращать информацию о времени работы.
По словам исследователей, надежность GIMMICK обусловлена его асинхронной природой (т.е. вредонос способен выполнять несколько тасков одновременно). Более того, перенос подобного софта на macOS является нетривиальной задачей, что подчеркивает, что малварьмейкеры у Storm Cloud знают свое дело.
@NeKaspersky
👍10
Бенчмарки, которые мы заслужили: исследователи проверили, какая рансомварь шифрует быстрее
В эксперименте, проведенном компанией Splunk для определения возможности своевременно отреагировать на атаки, приняли участие 100 шифровальщиков (10 семейств по 10 сэмплов на семейство). Плюс каждый сэмпл тестировался на 4 хостах с различной производительностью под управлением win10/win server 2019. Перед каждым участником ставилась задача зашифровать 98,561 файл общим объемом ~53гб, в то время как их производительность оценивали с помощью нескольких различных инструментов: встроенного в винду журналирования, Windows Perfmon, Microsoft Sysmon, Zeek и Stoq.
Как оказалось, в среднем вредоносу нужно 42 минуты 52 секунды для шифрования всей машины, но некоторые образцы значительно отклонялись от этого значения. Заслуженные последние места получили Maze и PYSA, пыхтевшие над данными почти по 2 часа, в то время как LockBit справился за каких-то 5 минут 50 секунд, а сразу за ним финишировал Babuk, которому потребовалось 6.5 минут. Далее шли Avaddon (13:15), Ryuk (14:30), Revil (24:16), BlackMatter (43:03), Darkside (44:52) и Conti (59:34).
В итоге Splunk сделали из полученных данных следующие выводы: организациям следует переключить внимание с реагирования на инциденты на предотвращение заражения, поскольку среднее время обнаружения компрометации составляет три дня и позволяет даже самой медлительной рансомвари завершить процесс.
@NeKaspersky
В эксперименте, проведенном компанией Splunk для определения возможности своевременно отреагировать на атаки, приняли участие 100 шифровальщиков (10 семейств по 10 сэмплов на семейство). Плюс каждый сэмпл тестировался на 4 хостах с различной производительностью под управлением win10/win server 2019. Перед каждым участником ставилась задача зашифровать 98,561 файл общим объемом ~53гб, в то время как их производительность оценивали с помощью нескольких различных инструментов: встроенного в винду журналирования, Windows Perfmon, Microsoft Sysmon, Zeek и Stoq.
Как оказалось, в среднем вредоносу нужно 42 минуты 52 секунды для шифрования всей машины, но некоторые образцы значительно отклонялись от этого значения. Заслуженные последние места получили Maze и PYSA, пыхтевшие над данными почти по 2 часа, в то время как LockBit справился за каких-то 5 минут 50 секунд, а сразу за ним финишировал Babuk, которому потребовалось 6.5 минут. Далее шли Avaddon (13:15), Ryuk (14:30), Revil (24:16), BlackMatter (43:03), Darkside (44:52) и Conti (59:34).
В итоге Splunk сделали из полученных данных следующие выводы: организациям следует переключить внимание с реагирования на инциденты на предотвращение заражения, поскольку среднее время обнаружения компрометации составляет три дня и позволяет даже самой медлительной рансомвари завершить процесс.
@NeKaspersky
👍6😁6🔥1
Теперь вы поняли, почему кибербезопасность — это не только интересы кучки людей, окончивших МФТИ и МГТУ?
Теперь вы поняли, что хакеры — это не полумифические герои голливудского фильма фантастического жанра?
Это давно уже часть жизни всех. И утечка данных Яндекс.Еда, атака шифровальщиков на Мираторг, атака на Wildberries — звенья одной цепочки, как любят говорить сотрудники телеканала «Дождь».
Либо ты интересуешься кибербезопасностью, либо хакеры и утечки данных касаются тебя лично.
Теперь вы поняли, что хакеры — это не полумифические герои голливудского фильма фантастического жанра?
Это давно уже часть жизни всех. И утечка данных Яндекс.Еда, атака шифровальщиков на Мираторг, атака на Wildberries — звенья одной цепочки, как любят говорить сотрудники телеканала «Дождь».
Либо ты интересуешься кибербезопасностью, либо хакеры и утечки данных касаются тебя лично.
👍36🔥6