Проверьте своё ПО: Lazarus атакует цепочку поставок пакетов npm
Используя многоуровневый способ загрузки, хакеры тщательно скрывают свою активность.
Китайская ИБ-компания QiAnXin обнаружила новую кампанию группировка Lazarus, в ходе которой используются npm-пакеты для атак на цепочку поставок с помощью многоуровневого метода загрузки для сокрытия следов атаки.
На основе характеристик кода образцов загрузки и других связанных образцов исследователи связали их с образцами предыдущих атак Lazarus, учитывая, что Lazarus часто использует атаки на цепочку поставок.
Многоуровневый метод загрузки вредоносного ПО включает в себя следующие этапы:
Загрузка и расшифровка встроенного файла PE, который содержит код для второго этапа загрузки. Расшифровка обычно выполняется с использованием XOR-шифрования.
Загрузка и выполнение второго файла PE, который содержит код для установления связи с C2-сервером и доставки последующей полезной нагрузки.
Использование многоуровневого метода загрузки позволяет атакующим скрыть следы атаки от антивирусного программного обеспечения. Если антивирусное ПО обнаружит первый файл PE, оно может заблокировать его загрузку. Однако, если антивирусное ПО не обнаружит первый файл PE, оно не сможет обнаружить и второй файл PE, который является более опасным.
Образцы также используют методы запутывания для связи с C2-сервером для избегания обнаружения и анализа, в частности RSA-шифрование. Другим методом запутывания является использование методов сжатия с использованием алгоритма gzip. Это затрудняет анализ содержимого связи.
IT Дайджест / IT Новости / IT / Технологии
Используя многоуровневый способ загрузки, хакеры тщательно скрывают свою активность.
Китайская ИБ-компания QiAnXin обнаружила новую кампанию группировка Lazarus, в ходе которой используются npm-пакеты для атак на цепочку поставок с помощью многоуровневого метода загрузки для сокрытия следов атаки.
На основе характеристик кода образцов загрузки и других связанных образцов исследователи связали их с образцами предыдущих атак Lazarus, учитывая, что Lazarus часто использует атаки на цепочку поставок.
Многоуровневый метод загрузки вредоносного ПО включает в себя следующие этапы:
Загрузка и расшифровка встроенного файла PE, который содержит код для второго этапа загрузки. Расшифровка обычно выполняется с использованием XOR-шифрования.
Загрузка и выполнение второго файла PE, который содержит код для установления связи с C2-сервером и доставки последующей полезной нагрузки.
Использование многоуровневого метода загрузки позволяет атакующим скрыть следы атаки от антивирусного программного обеспечения. Если антивирусное ПО обнаружит первый файл PE, оно может заблокировать его загрузку. Однако, если антивирусное ПО не обнаружит первый файл PE, оно не сможет обнаружить и второй файл PE, который является более опасным.
Образцы также используют методы запутывания для связи с C2-сервером для избегания обнаружения и анализа, в частности RSA-шифрование. Другим методом запутывания является использование методов сжатия с использованием алгоритма gzip. Это затрудняет анализ содержимого связи.
IT Дайджест / IT Новости / IT / Технологии
❤1👍1
Запуск в начале 2024: Wi-Fi 7 предвещает эпоху сверхбыстрого интернета, опережая Wi-Fi 6 в разы
Сетевые инновации не заставили себя ждать : Wi-Fi 7, официально сертифицированный и ожидаемый в начале 2024 года, обещает значительный прорыв в скорости и стабильности соединения по сравнению с текущим стандартом Wi-Fi 6. Эта технология обещает перевернуть имеющиеся у людей представления о беспроводной связи.
Уже сейчас производители оборудования, такие как Intel и Broadcom, потихоньку представляют устройства, способные работать с Wi-Fi 7. Прошлогодние испытания показали скорость до 5 Гбит/с, что значительно превышает максимум Wi-Fi 6 около 1,7 Гбит/с. Такой скачок достигается благодаря использованию частот 2,4 ГГц, 5 ГГц и 6 ГГц, а также за счёт доступа к супершироким каналам на 320 МГц в диапазоне 6 ГГц.
Wi-Fi 7 также повышает скорость передачи данных на 20% посредством обновления с 1024 QAM до 4K QAM. Дополнительным бонусом является улучшенная стабильность соединения, которая особенно актуальна для приложений виртуальной и дополненной реальности.
Intel планирует выпустить ПК, поддерживающие Wi-Fi 7, уже в следующем году, ожидая широкое распространение технологии к 2025 году. Qualcomm также высоко оценивает перспективы нового стандарта, включая его в свою программу FastConnect наряду с 5G.
Производители, такие как Netgear, TP-Link, Asus, Amazon и Gigabyte, уже используют черновые спецификации Wi-Fi 7. Amazon выпустила роутер Eero Max 7 за $600 с максимальной скоростью 4.3 Гбит/с, а Gigabyte представила PCIe-адаптер для обновления настольных ПК до Wi-Fi 7 со скоростью до 5,8 Гбит/с.
IT Дайджест / IT Новости / IT / Технологии
Сетевые инновации не заставили себя ждать : Wi-Fi 7, официально сертифицированный и ожидаемый в начале 2024 года, обещает значительный прорыв в скорости и стабильности соединения по сравнению с текущим стандартом Wi-Fi 6. Эта технология обещает перевернуть имеющиеся у людей представления о беспроводной связи.
Уже сейчас производители оборудования, такие как Intel и Broadcom, потихоньку представляют устройства, способные работать с Wi-Fi 7. Прошлогодние испытания показали скорость до 5 Гбит/с, что значительно превышает максимум Wi-Fi 6 около 1,7 Гбит/с. Такой скачок достигается благодаря использованию частот 2,4 ГГц, 5 ГГц и 6 ГГц, а также за счёт доступа к супершироким каналам на 320 МГц в диапазоне 6 ГГц.
Wi-Fi 7 также повышает скорость передачи данных на 20% посредством обновления с 1024 QAM до 4K QAM. Дополнительным бонусом является улучшенная стабильность соединения, которая особенно актуальна для приложений виртуальной и дополненной реальности.
Intel планирует выпустить ПК, поддерживающие Wi-Fi 7, уже в следующем году, ожидая широкое распространение технологии к 2025 году. Qualcomm также высоко оценивает перспективы нового стандарта, включая его в свою программу FastConnect наряду с 5G.
Производители, такие как Netgear, TP-Link, Asus, Amazon и Gigabyte, уже используют черновые спецификации Wi-Fi 7. Amazon выпустила роутер Eero Max 7 за $600 с максимальной скоростью 4.3 Гбит/с, а Gigabyte представила PCIe-адаптер для обновления настольных ПК до Wi-Fi 7 со скоростью до 5,8 Гбит/с.
IT Дайджест / IT Новости / IT / Технологии
👍4❤2🔥1
У Сбербанка украли данные участников марафона 8-летней давности
В публичный доступ попала база SQLite на 60 тыс. записей с персональными данными. Их владельцами предположительно являются участники «Зелёного марафона», проведенного в 2015 году.
Организатором этих ежегодных всероссийских мероприятий является Сбербанк. В забегах, проходящих в разных городах России, принимают участие также дети.
Об обнаружении файла с ПДн в составе слитого в Сеть приложения SBRF_Search сообщили сегодня, 12 декабря, в телеграм-канале «Утечки информации». По словам исследователей, база содержит 59 729 записей со следующей информацией:
- ФИО;
- адрес имейл (около 40 тыс. уникальных адресов, включая 4,5 тыс. sberbank ru);
- телефон (порядка 46 тыс. уникальных номеров);
- пол;
- должность и стаж;
- город;
- дата регистрации;
- ссылки на соцсети.
IT Дайджест / IT Новости / IT / Технологии
В публичный доступ попала база SQLite на 60 тыс. записей с персональными данными. Их владельцами предположительно являются участники «Зелёного марафона», проведенного в 2015 году.
Организатором этих ежегодных всероссийских мероприятий является Сбербанк. В забегах, проходящих в разных городах России, принимают участие также дети.
Об обнаружении файла с ПДн в составе слитого в Сеть приложения SBRF_Search сообщили сегодня, 12 декабря, в телеграм-канале «Утечки информации». По словам исследователей, база содержит 59 729 записей со следующей информацией:
- ФИО;
- адрес имейл (около 40 тыс. уникальных адресов, включая 4,5 тыс. sberbank ru);
- телефон (порядка 46 тыс. уникальных номеров);
- пол;
- должность и стаж;
- город;
- дата регистрации;
- ссылки на соцсети.
IT Дайджест / IT Новости / IT / Технологии
👍3
Из офиса за решётку: уволенный инженер разрушил ИТ-инфраструктуру коммерческого банка США
38-летний Миклос Дэниел Броуди, инженер облачных сервисов (Cloud-инженер), был приговорен к 2 годам тюремного заключения и выплате компенсации в размере $529 000 за уничтожение репозиториев кода своего бывшего работодателя в отместку за увольнение из компании.
First Republic Bank был коммерческим банком в США, в котором работало более 7 000 человек, а годовой доход составлял $6,75 млрд. Банк закрылся 1 мая 2023 года и был продан JPMorgan Chase.
По данным Министерства юстиции США, Броуди был уволен 11 марта 2020 года из банка First Republic Bank (FRB) в Сан-Франциско, где он работал Cloud-инженером. В судебных документах говорится, что Броуди был уволен с работы после того, как он нарушил политику компании, подключив USB-накопитель с порнографией к компьютерам компании.
После увольнения Броуди якобы отказался вернуть свой рабочий ноутбук и вместо этого использовал свою все еще действующую учетную запись для доступа к компьютерной сети банка и причинения ущерба, который оценивается в более чем $220 000.
До прекращения доступа к сети FRB 12 марта Броуди выполнил следующие действия:
удалил репозитории кодов банка;
запустил вредоносный скрипт для уничтожения серверов FRB;
запустил вредоносный сценарий для удаления журналов;
оставил комментарии в коде банка с насмешками в адрес бывших коллег;
выдавал себя за других сотрудников банка, чтобы получить доступ к сети компании от их имени и внести изменения в конфигурацию;
отправил на свою электронную почту собственный код, над которым он работал в качестве сотрудника, и который был оценен в более чем $5 000.
IT Дайджест / IT Новости / IT / Технологии
38-летний Миклос Дэниел Броуди, инженер облачных сервисов (Cloud-инженер), был приговорен к 2 годам тюремного заключения и выплате компенсации в размере $529 000 за уничтожение репозиториев кода своего бывшего работодателя в отместку за увольнение из компании.
First Republic Bank был коммерческим банком в США, в котором работало более 7 000 человек, а годовой доход составлял $6,75 млрд. Банк закрылся 1 мая 2023 года и был продан JPMorgan Chase.
По данным Министерства юстиции США, Броуди был уволен 11 марта 2020 года из банка First Republic Bank (FRB) в Сан-Франциско, где он работал Cloud-инженером. В судебных документах говорится, что Броуди был уволен с работы после того, как он нарушил политику компании, подключив USB-накопитель с порнографией к компьютерам компании.
После увольнения Броуди якобы отказался вернуть свой рабочий ноутбук и вместо этого использовал свою все еще действующую учетную запись для доступа к компьютерной сети банка и причинения ущерба, который оценивается в более чем $220 000.
До прекращения доступа к сети FRB 12 марта Броуди выполнил следующие действия:
удалил репозитории кодов банка;
запустил вредоносный скрипт для уничтожения серверов FRB;
запустил вредоносный сценарий для удаления журналов;
оставил комментарии в коде банка с насмешками в адрес бывших коллег;
выдавал себя за других сотрудников банка, чтобы получить доступ к сети компании от их имени и внести изменения в конфигурацию;
отправил на свою электронную почту собственный код, над которым он работал в качестве сотрудника, и который был оценен в более чем $5 000.
IT Дайджест / IT Новости / IT / Технологии
👍11
Налоговая система России не подверглась взлому
Ведомство опровергло сообщения о кибератаке со стороны Украины.
Федеральная налоговая служба (ФНС) заявила, что информация о том, что украинские хакеры взломали и уничтожили инфраструктуру российских налоговых сервисов, является ложной. Об этом сообщает «Коммерсантъ» со ссылкой на ответ ведомства.
Ранее в интернете появилась информация, что Главное управление разведки Минобороны Украины (ГУР) провело кибератаку на ФНС России, в результате которой были заражены все серверы, удалены конфигурационные файлы, база данных и ее резервные копии.
Однако в ФНС опровергли эти заявления. Ведомство уверяет, что все сервисы ФНС России, сайт и другие каналы взаимодействия как с другими ведомствами, так и с налогоплательщиками работают в штатном режим. В ФНС также добавили, что не получали никаких жалоб от пользователей на сбои в работе.
IT Дайджест / IT Новости / IT / Технологии
Ведомство опровергло сообщения о кибератаке со стороны Украины.
Федеральная налоговая служба (ФНС) заявила, что информация о том, что украинские хакеры взломали и уничтожили инфраструктуру российских налоговых сервисов, является ложной. Об этом сообщает «Коммерсантъ» со ссылкой на ответ ведомства.
Ранее в интернете появилась информация, что Главное управление разведки Минобороны Украины (ГУР) провело кибератаку на ФНС России, в результате которой были заражены все серверы, удалены конфигурационные файлы, база данных и ее резервные копии.
Однако в ФНС опровергли эти заявления. Ведомство уверяет, что все сервисы ФНС России, сайт и другие каналы взаимодействия как с другими ведомствами, так и с налогоплательщиками работают в штатном режим. В ФНС также добавили, что не получали никаких жалоб от пользователей на сбои в работе.
IT Дайджест / IT Новости / IT / Технологии
👍5😁4❤2🖕2
Новостник Кибербеза
⚡️Масштабный сбой в работе украинского оператора Kyivstar. В пресс-службе компании сообщили, что на сеть Kyivstar совершили мощную хакерскую атаку, которая стала причиной технического сбоя. Также в компании утверждают, что персональные данные абонентов не…
Хакеры из группировки «Солнцепек», берут на себя полную ответственность за кибератаку на «Киевстар».
IT Дайджест / IT Новости / IT / Технологии
Мы уничтожили 10 тысяч компьютеров, более 4 тысяч серверов, все системы облачного хранения данных и резервного копирования.
IT Дайджест / IT Новости / IT / Технологии
🔥12👍5🤡3👎1
Резюме с подвохом: хакеры обманывают рекрутеров, чтобы заполучить ценные данные компаний
Как стало известно из последнего отчета компании Proofpoint , опубликованного 12 декабря, таинственная киберпреступная группировка TA4557 с октября текущего года атакует рекрутеров, используя изощренные методы и вредоносные программы.
Известно, что TA4557 — это киберпреступная группировка, мотивированная финансовой выгодой. На протяжении 2022 и 2023 годов злоумышленники откликались на реально существующие вакансии и внедряли вредоносные ссылки в резюме соискателей.
Злоумышленники создают целевые сайты, имитирующие платформы для поиска работы. Эти ресурсы выглядят правдоподобно, так что рекрутеры не подозревают об опасности.
После перехода на поддельный сайт жертву просят пройти серию тестов и проверок, якобы для заполнения профиля и поиска подходящих кандидатов. На самом деле каждый такой тест незаметно продвигает атаку на новый этап.
Когда все проверки пройдены, пользователя перенаправляют на страницу с резюме в текстовом виде или профиль конкретного кандидата. Там под видом капчи запускается загрузка вредоносного файла с расширением .LNK. Этот файл использует уязвимости легитимных программ для выполнения PowerShell-скрипта LOTL (Living Off The Land).
Запущенный скрипт выполняет дешифровку и инициализацию основной вредоносной программы. Она устанавливает бэкдор More_Eggs и создаёт скрытый процесс MSXSL, маскируясь под стандартные системные службы.
IT Дайджест / IT Новости / IT / Технологии
Как стало известно из последнего отчета компании Proofpoint , опубликованного 12 декабря, таинственная киберпреступная группировка TA4557 с октября текущего года атакует рекрутеров, используя изощренные методы и вредоносные программы.
Известно, что TA4557 — это киберпреступная группировка, мотивированная финансовой выгодой. На протяжении 2022 и 2023 годов злоумышленники откликались на реально существующие вакансии и внедряли вредоносные ссылки в резюме соискателей.
Злоумышленники создают целевые сайты, имитирующие платформы для поиска работы. Эти ресурсы выглядят правдоподобно, так что рекрутеры не подозревают об опасности.
После перехода на поддельный сайт жертву просят пройти серию тестов и проверок, якобы для заполнения профиля и поиска подходящих кандидатов. На самом деле каждый такой тест незаметно продвигает атаку на новый этап.
Когда все проверки пройдены, пользователя перенаправляют на страницу с резюме в текстовом виде или профиль конкретного кандидата. Там под видом капчи запускается загрузка вредоносного файла с расширением .LNK. Этот файл использует уязвимости легитимных программ для выполнения PowerShell-скрипта LOTL (Living Off The Land).
Запущенный скрипт выполняет дешифровку и инициализацию основной вредоносной программы. Она устанавливает бэкдор More_Eggs и создаёт скрытый процесс MSXSL, маскируясь под стандартные системные службы.
IT Дайджест / IT Новости / IT / Технологии
👍5🔥1
В даркнете продают клиентскую базу магазина спортивной снаряги Everlast
На одном из теневых форумов выставлена на продажу база данных пользователей сайта everlast com. Судя по содержанию записей, владельцы аккаунтов в основном создают их для покупки спортивной экипировки бренда Everlast из первых рук.
О новой неприятной находке сообщил телеграм-канал «Утечки информации». Украденная база содержит 400 тыс. строк с такой информацией, как имя, пол, имейл, хеш пароля, адрес для доставки товаров, дата создания и активность аккаунта, ID группы пользователей, ID интернет-магазина, данные об использовании услуг (биллинг платежей).
Команда проверила имейл-адреса из опубликованного фрагмента, используя функцию регистрации аккаунта на everlast com. Оказалось, что их владельцы действительно числятся в базе сайта.
IT Дайджест / IT Новости / IT / Технологии
На одном из теневых форумов выставлена на продажу база данных пользователей сайта everlast com. Судя по содержанию записей, владельцы аккаунтов в основном создают их для покупки спортивной экипировки бренда Everlast из первых рук.
О новой неприятной находке сообщил телеграм-канал «Утечки информации». Украденная база содержит 400 тыс. строк с такой информацией, как имя, пол, имейл, хеш пароля, адрес для доставки товаров, дата создания и активность аккаунта, ID группы пользователей, ID интернет-магазина, данные об использовании услуг (биллинг платежей).
Команда проверила имейл-адреса из опубликованного фрагмента, используя функцию регистрации аккаунта на everlast com. Оказалось, что их владельцы действительно числятся в базе сайта.
IT Дайджест / IT Новости / IT / Технологии
👍3
Уничтожены данные более 500 тыс. клиентов криптобирж
Специалисты Cybernews обнаружили, что личные данные пользователей девяти криптовалютных бирж были раскрыты и доступны онлайн более двух месяцев. Инцидент затронул более 500 000 клиентов.
Исследователи подтвердили утечку данных на следующих платформах:
Sova[.]gg
coinstart[.]cc
pocket-exchange[.]com
onemoment[.]cc
cripta[.]cc
metka[.]cc
alt-coin[.]cc
ferma[.]cc
in-to[.]cc
Несмотря на то, что затронутые биржи не крупные, масштаб утечки значителен. Собранные данные включают в себя чувствительную информацию:
полные имена пользователей;
номера кредитных карт;
email-адреса;
IP-адреса;
суммы для запросов на оплату или снятие средств;
различные данные для аутентификации (например, user agent).
Всего утечка раскрыла более 615 000 запросов на платежи и более 28 000 запросов на вывод средств.
Учитывая, что криптовалютные биржи часто используются для сокрытия незаконных транзакций, данная утечка будет полезна правоохранительным органам и исследователям кибербезопасности во всем мире.
Первоначально утечка была обнаружена 10 октября, а сервер, на котором она находилась, по-прежнему доступен на данный момент. Хотя IP-адрес сервера был активен, все данные уже были уничтожены вредоносным скриптом. Неясно, кто стоит за утечкой и последующим уничтожением данных.
IT Дайджест / IT Новости / IT / Технологии
Специалисты Cybernews обнаружили, что личные данные пользователей девяти криптовалютных бирж были раскрыты и доступны онлайн более двух месяцев. Инцидент затронул более 500 000 клиентов.
Исследователи подтвердили утечку данных на следующих платформах:
Sova[.]gg
coinstart[.]cc
pocket-exchange[.]com
onemoment[.]cc
cripta[.]cc
metka[.]cc
alt-coin[.]cc
ferma[.]cc
in-to[.]cc
Несмотря на то, что затронутые биржи не крупные, масштаб утечки значителен. Собранные данные включают в себя чувствительную информацию:
полные имена пользователей;
номера кредитных карт;
email-адреса;
IP-адреса;
суммы для запросов на оплату или снятие средств;
различные данные для аутентификации (например, user agent).
Всего утечка раскрыла более 615 000 запросов на платежи и более 28 000 запросов на вывод средств.
Учитывая, что криптовалютные биржи часто используются для сокрытия незаконных транзакций, данная утечка будет полезна правоохранительным органам и исследователям кибербезопасности во всем мире.
Первоначально утечка была обнаружена 10 октября, а сервер, на котором она находилась, по-прежнему доступен на данный момент. Хотя IP-адрес сервера был активен, все данные уже были уничтожены вредоносным скриптом. Неясно, кто стоит за утечкой и последующим уничтожением данных.
IT Дайджест / IT Новости / IT / Технологии
👍3
Кибернаёмники — невидимые солдаты в международных информационных войнах
Индийский аналитический центр Observer Research Foundation (ORF), базирующийся в городе Дели, недавно выдвинул тезис о необходимости международного реагирования на действия так называемых «кибернаёмников». В числе примеров таких наёмников приводятся известная северокорейская группировка Lazarus и израильская компания NSO Group, занимающаяся продажей шпионского ПО.
Автор отчёта, девушка по имени Фитри Бинтанг Тимур , утверждает, что такие группировки следует рассматривать как наёмников в сфере кибербезопасности. Она ссылается на определение наёмников по Женевской конвенции как «субъектов, мотивированных финансовой или материальной выгодой, готовых воевать за страну заказчика». В современном мире это означает использование информационных технологий и сетей для проведения киберопераций.
Как примеры таких действий, Тимур привела разработку и распространение вредоносного ПО группой Lazarus по заказу правительства Северной Кореи, а также продажу израильской компанией NSO Group своего шпионского программного обеспечения Pegasus правительствам многих стран, несмотря на его нелегитимность и спорный статус.
Отчёт подчёркивает, что рынок кибернаёмников растёт, так как они позволяют государствам усиливать свои наступательные возможности, сохраняя при этом «правдоподобное отрицание вовлечённости за счёт неузнаваемости».
Также отмечается, что использование кибернаёмников экономически выгодно: они не требуют отдела кадров, обучения и других затрат на персонал. Страны, не имеющие возможности содержать собственные подразделения национальных хакеров, могут нанимать кибернаёмников для достижения своих целей.
IT Дайджест / IT Новости / IT / Технологии
Индийский аналитический центр Observer Research Foundation (ORF), базирующийся в городе Дели, недавно выдвинул тезис о необходимости международного реагирования на действия так называемых «кибернаёмников». В числе примеров таких наёмников приводятся известная северокорейская группировка Lazarus и израильская компания NSO Group, занимающаяся продажей шпионского ПО.
Автор отчёта, девушка по имени Фитри Бинтанг Тимур , утверждает, что такие группировки следует рассматривать как наёмников в сфере кибербезопасности. Она ссылается на определение наёмников по Женевской конвенции как «субъектов, мотивированных финансовой или материальной выгодой, готовых воевать за страну заказчика». В современном мире это означает использование информационных технологий и сетей для проведения киберопераций.
Как примеры таких действий, Тимур привела разработку и распространение вредоносного ПО группой Lazarus по заказу правительства Северной Кореи, а также продажу израильской компанией NSO Group своего шпионского программного обеспечения Pegasus правительствам многих стран, несмотря на его нелегитимность и спорный статус.
Отчёт подчёркивает, что рынок кибернаёмников растёт, так как они позволяют государствам усиливать свои наступательные возможности, сохраняя при этом «правдоподобное отрицание вовлечённости за счёт неузнаваемости».
Также отмечается, что использование кибернаёмников экономически выгодно: они не требуют отдела кадров, обучения и других затрат на персонал. Страны, не имеющие возможности содержать собственные подразделения национальных хакеров, могут нанимать кибернаёмников для достижения своих целей.
IT Дайджест / IT Новости / IT / Технологии
👍2🔥2
Lazarus использует уязвимость Log4Shell двухлетней давности для доставки троянов
Эксперты предупредили, что северокорейская хакерская группа Lazarus продолжает эксплуатировать уязвимость Log4Shell (CVE-2021-44228). Теперь баг используется для развертывания трех ранее неизвестных семейств малвари, написанных на языке DLang.
По информации Cisco Talos, проблема Log4Shell используется для доставки троянов удаленного доступа NineRAT и DLRAT, а также загрузчика вредоносного ПО BottomLoader. Отмечается, что язык программирования D (DLang) редко встречается в киберпреступных операциях, и Lazarus, вероятно, выбрали его для разработки новой малвари умышленно, стараясь избежать обнаружения.
Эксперты называют эту кампанию Operation Blacksmith. Сообщается, что она началась примерно в марте 2023 года и была направлена на производственные, сельскохозяйственные и охранные компании по всему миру.
Вредонос NineRAT, является первым из двух новых RAT Lazarus. Он использует API Telegram для связи с управляющим сервером, включая получение команд и эксфильтрацию файлов со взломанных компьютеров.
В состав NineRAT входит дроппер, который отвечает за обеспечение устойчивости и запуск основных двоичных файлов малвари.
Вредоносная программа поддерживает следующие команды, которые принимаются через Telegram:
info — сбор предварительной информации о зараженной системе;
setmtoken — задать значение токена;
setbtoken — задать новый токен бота;
setinterval — задать временной интервал между запросами к Telegram-каналу;
setleep — установить период времени, в течение которого малварь должна находиться в спящем режиме;
upgrade — обновление до новой версии;
exit — завершить выполнение вредоносной программы;
uninstall — удалить себя;
sendfile — отправить файл с зараженной машины на управляющий сервер.
Второй вредонос, DLRAT, представляет собой троян и загрузчик, который Lazarus использует для внедрения дополнительных полезных нагрузок в зараженную систему.
IT Дайджест / IT Новости / IT / Технологии
Эксперты предупредили, что северокорейская хакерская группа Lazarus продолжает эксплуатировать уязвимость Log4Shell (CVE-2021-44228). Теперь баг используется для развертывания трех ранее неизвестных семейств малвари, написанных на языке DLang.
По информации Cisco Talos, проблема Log4Shell используется для доставки троянов удаленного доступа NineRAT и DLRAT, а также загрузчика вредоносного ПО BottomLoader. Отмечается, что язык программирования D (DLang) редко встречается в киберпреступных операциях, и Lazarus, вероятно, выбрали его для разработки новой малвари умышленно, стараясь избежать обнаружения.
Эксперты называют эту кампанию Operation Blacksmith. Сообщается, что она началась примерно в марте 2023 года и была направлена на производственные, сельскохозяйственные и охранные компании по всему миру.
Вредонос NineRAT, является первым из двух новых RAT Lazarus. Он использует API Telegram для связи с управляющим сервером, включая получение команд и эксфильтрацию файлов со взломанных компьютеров.
В состав NineRAT входит дроппер, который отвечает за обеспечение устойчивости и запуск основных двоичных файлов малвари.
Вредоносная программа поддерживает следующие команды, которые принимаются через Telegram:
info — сбор предварительной информации о зараженной системе;
setmtoken — задать значение токена;
setbtoken — задать новый токен бота;
setinterval — задать временной интервал между запросами к Telegram-каналу;
setleep — установить период времени, в течение которого малварь должна находиться в спящем режиме;
upgrade — обновление до новой версии;
exit — завершить выполнение вредоносной программы;
uninstall — удалить себя;
sendfile — отправить файл с зараженной машины на управляющий сервер.
Второй вредонос, DLRAT, представляет собой троян и загрузчик, который Lazarus использует для внедрения дополнительных полезных нагрузок в зараженную систему.
IT Дайджест / IT Новости / IT / Технологии
❤2🔥2👍1
Зимняя сказка для хакеров: на темном рынке OLVX появляется все больше праздничных предложений
Теневой ресурс OLVX Marketplace , обнаруженный летом этого года, значительно увеличил свою клиентскую базу осенью.
В отличие от других нелегальных рынков, которые сконцентрированы на продаже подделок, наркотиков и взломанных подарочных карт, OLVX предоставляет услуги и инструменты для киберпреступлений.
По данным ZeroFox, с наступлением праздничного сезона портал начал активно расширять свой ассортимент. Преступники предлагают своим коллегам различные фишинговые наборы, доступ к удаленным рабочим столам, логины и пароли от панелей управления, программы для рассылки спама, украденные данные, доступ к чужим почтовым ящикам и многое другое. Такой выбор товаров делает OLVX выдающимся ресурсом для хакеров.
OLVX использует сервис Cloudflare, чтобы скрыть местонахождение своих серверов. При этом улучшается доступность сайта, который расположен не в теневом, а в открытом сегменте интернета. Для привлечения новых клиентов администраторы используют методы поисковой оптимизации. Платформа принимает в качестве оплаты как обычные деньги, так и криптовалюту.
Ценовая политика OLVX вполне демократичная: доступ к панелям управления или удаленным рабочим протоколам обойдется менее чем в 10 долларов. В то же время, наборы скомпрометированных учетных данных, используемых для массовых атак, могут достигать стоимости в 200 долларов. Фишинговые инструменты предлагаются по цене от 20 до 150 долларов, хотя более продвинутые наборы стоят дороже.
IT Дайджест / IT Новости / IT / Технологии
Теневой ресурс OLVX Marketplace , обнаруженный летом этого года, значительно увеличил свою клиентскую базу осенью.
В отличие от других нелегальных рынков, которые сконцентрированы на продаже подделок, наркотиков и взломанных подарочных карт, OLVX предоставляет услуги и инструменты для киберпреступлений.
По данным ZeroFox, с наступлением праздничного сезона портал начал активно расширять свой ассортимент. Преступники предлагают своим коллегам различные фишинговые наборы, доступ к удаленным рабочим столам, логины и пароли от панелей управления, программы для рассылки спама, украденные данные, доступ к чужим почтовым ящикам и многое другое. Такой выбор товаров делает OLVX выдающимся ресурсом для хакеров.
OLVX использует сервис Cloudflare, чтобы скрыть местонахождение своих серверов. При этом улучшается доступность сайта, который расположен не в теневом, а в открытом сегменте интернета. Для привлечения новых клиентов администраторы используют методы поисковой оптимизации. Платформа принимает в качестве оплаты как обычные деньги, так и криптовалюту.
Ценовая политика OLVX вполне демократичная: доступ к панелям управления или удаленным рабочим протоколам обойдется менее чем в 10 долларов. В то же время, наборы скомпрометированных учетных данных, используемых для массовых атак, могут достигать стоимости в 200 долларов. Фишинговые инструменты предлагаются по цене от 20 до 150 долларов, хотя более продвинутые наборы стоят дороже.
IT Дайджест / IT Новости / IT / Технологии
👍3❤1
Тактика GambleForce: простые методы помогают обмануть сложные системы безопасности
Новая хакерская группировка GambleForce использует примитивные и устаревшие методы атак для взлома правительственных учреждений и компаний в Азиатско-Тихоокеанском регионе. Об этом сообщает сингапурская кибербезопасная фирма Group-IB .
GambleForce действует с сентября 2023 года и изначально нацеливалась на игорный бизнес. Однако в последнее время хакеры расширили сферу своих интересов, взламывая государственные сайты, туристические фирмы и онлайн-магазины. На данный момент известно о 20 жертвах, в основном базирующихся в Австралии, Китае, Индонезии, Филиппинах, Индии, Южной Корее, Таиланде и Бразилии.
Для атак злоумышленники используют набор публично доступных инструментов для пентестинга. При этом они не вносят в них никаких уникальных модификаций и оставляют практически все настройки по умолчанию.
Основным методом заражения служат SQL-инъекции – один из старейших приемов, при котором злоумышленник внедряет вредоносный SQL-код в запросы к базе данных. Как отмечают эксперты, многие компании до сих пор уязвимы для этой угрозы из-за того, что не устраняют фундаментальные недостатки в своей защите.
Цели атак GambleForce пока неясны. В некоторых случаях хакеры прекращали атаку после проведения разведки, а в других успешно извлекали данные пользователей, включая логины, хэшированные пароли и списки таблиц из доступных баз данных.
IT Дайджест / IT Новости / IT / Технологии
Новая хакерская группировка GambleForce использует примитивные и устаревшие методы атак для взлома правительственных учреждений и компаний в Азиатско-Тихоокеанском регионе. Об этом сообщает сингапурская кибербезопасная фирма Group-IB .
GambleForce действует с сентября 2023 года и изначально нацеливалась на игорный бизнес. Однако в последнее время хакеры расширили сферу своих интересов, взламывая государственные сайты, туристические фирмы и онлайн-магазины. На данный момент известно о 20 жертвах, в основном базирующихся в Австралии, Китае, Индонезии, Филиппинах, Индии, Южной Корее, Таиланде и Бразилии.
Для атак злоумышленники используют набор публично доступных инструментов для пентестинга. При этом они не вносят в них никаких уникальных модификаций и оставляют практически все настройки по умолчанию.
Основным методом заражения служат SQL-инъекции – один из старейших приемов, при котором злоумышленник внедряет вредоносный SQL-код в запросы к базе данных. Как отмечают эксперты, многие компании до сих пор уязвимы для этой угрозы из-за того, что не устраняют фундаментальные недостатки в своей защите.
Цели атак GambleForce пока неясны. В некоторых случаях хакеры прекращали атаку после проведения разведки, а в других успешно извлекали данные пользователей, включая логины, хэшированные пароли и списки таблиц из доступных баз данных.
IT Дайджест / IT Новости / IT / Технологии
🔥3👍1
Sony расследует возможную атаку на Insomniac Games
Sony сообщила, что расследует сообщения о вымогательской атаке на ее дочернюю компанию Insomniac Games, стоящую за такими популярными играми, как Spider-Man, Spyro the Dragon и так далее.
В начале текущей недели вымогательская группировка Rhysida заявила, что взломала Insomniac Games и дала игровым разработчикам шесть дней на то, чтобы отреагировать и выплатить выкуп, сумма которого не разглашается.
Как теперь сообщили представители Sony Interactive Entertainment, им уже известно об этих заявлениях и о том, что «Insomniac Games якобы стала жертвой кибератаки».
«В настоящее время мы расследуем эту ситуацию, — заявили в компании. — У нас нет оснований полагать, что атаке подверглись какие-либо другие подразделения SIE или Sony».
Напомним, что группировка Rhysida появилась в конце мая 2023 года и уже успела совершить ряд крупных атак на государственные учреждения в Португалии, Доминиканской Республике, Кувейте, Чили и на карибском острове Мартиника.
IT Дайджест / IT Новости / IT / Технологии
Sony сообщила, что расследует сообщения о вымогательской атаке на ее дочернюю компанию Insomniac Games, стоящую за такими популярными играми, как Spider-Man, Spyro the Dragon и так далее.
В начале текущей недели вымогательская группировка Rhysida заявила, что взломала Insomniac Games и дала игровым разработчикам шесть дней на то, чтобы отреагировать и выплатить выкуп, сумма которого не разглашается.
Как теперь сообщили представители Sony Interactive Entertainment, им уже известно об этих заявлениях и о том, что «Insomniac Games якобы стала жертвой кибератаки».
«В настоящее время мы расследуем эту ситуацию, — заявили в компании. — У нас нет оснований полагать, что атаке подверглись какие-либо другие подразделения SIE или Sony».
Напомним, что группировка Rhysida появилась в конце мая 2023 года и уже успела совершить ряд крупных атак на государственные учреждения в Португалии, Доминиканской Республике, Кувейте, Чили и на карибском острове Мартиника.
IT Дайджест / IT Новости / IT / Технологии
👍2🔥1
Иранская группа OilRig уже год находится в сетях Израиля благодаря Microsoft Exchange
Согласно новому отчету ИБ-компании ESET, спонсируемая правительством Ирана группировка OilRig в течение 2022 года развернула 3 различных загрузчика вредоносного ПО для обеспечения постоянного доступа к организациям в Израиле.
Среди целей атак находятся организации в сфере здравоохранения, производственная компания и местная государственная организация. Все они ранее уже подвергались атакам со стороны OilRig. Подробности о том, как именно были скомпрометированы цели, пока неизвестны, как и то, смогли ли атакующие сохранить своё присутствие в сетях для развертывания загрузчиков в разные моменты 2022 года.
ODAgent – это загрузчик на C#/.NET, который использует API Microsoft OneDrive для коммуникации в качестве C2-сервера, позволяя злоумышленнику загружать и выполнять полезные данные, а также удалять промежуточные файлы.
OilBooster, подобно ODAgent, использует API Microsoft OneDrive в роли C2-сервера. Также OilBooster использует API Microsoft Graph для подключения к учетной записи Microsoft Office 365. API используется для взаимодействия с учетной записью OneDrive злоумышленника, чтобы получать команды и полезные данные из папок, специфичных для жертвы.
SampleCheck5000 взаимодействует с общим почтовым аккаунтом Microsoft Exchange, используя API веб-служб Office Exchange для загрузки и выполнения дополнительных инструментов OilRig.
OilCheck использует технику SampleCheck5000 для извлечения команд из черновиков сообщений, но вместо API EWS использует API Microsoft Graph для сетевых коммуникаций.
IT Дайджест / IT Новости / IT / Технологии
Согласно новому отчету ИБ-компании ESET, спонсируемая правительством Ирана группировка OilRig в течение 2022 года развернула 3 различных загрузчика вредоносного ПО для обеспечения постоянного доступа к организациям в Израиле.
Среди целей атак находятся организации в сфере здравоохранения, производственная компания и местная государственная организация. Все они ранее уже подвергались атакам со стороны OilRig. Подробности о том, как именно были скомпрометированы цели, пока неизвестны, как и то, смогли ли атакующие сохранить своё присутствие в сетях для развертывания загрузчиков в разные моменты 2022 года.
ODAgent – это загрузчик на C#/.NET, который использует API Microsoft OneDrive для коммуникации в качестве C2-сервера, позволяя злоумышленнику загружать и выполнять полезные данные, а также удалять промежуточные файлы.
OilBooster, подобно ODAgent, использует API Microsoft OneDrive в роли C2-сервера. Также OilBooster использует API Microsoft Graph для подключения к учетной записи Microsoft Office 365. API используется для взаимодействия с учетной записью OneDrive злоумышленника, чтобы получать команды и полезные данные из папок, специфичных для жертвы.
SampleCheck5000 взаимодействует с общим почтовым аккаунтом Microsoft Exchange, используя API веб-служб Office Exchange для загрузки и выполнения дополнительных инструментов OilRig.
OilCheck использует технику SampleCheck5000 для извлечения команд из черновиков сообщений, но вместо API EWS использует API Microsoft Graph для сетевых коммуникаций.
IT Дайджест / IT Новости / IT / Технологии
😱2