Оборонный сектор Индии под ударом новой кампании, получившей название RusticWeb.

Первый детект был зафиксирован в октябре 2023 года, когда злоумышленники использовали ранее не документированный вредоносный софт написанный на Rust, а также зашифрованные команды PowerShell для извлечения конфиденциальных документов.

Специалисты отмечают, что операция RusticWeb может быть связана с проправительственной APT из Пакистана, поскольку имеются сходства с другими субъектами угрозы этой страны, такими как Transparent Tribe и SideCopy.

Атака начинается по классике с фишингового письма, где посредством СИ жертву убеждают открыть PDF-файлик, который в последствии запускает малварь и в фоновом режиме сканируется файловая система, пока жертва увлеченно просматривает поддельный файл.

Вредоносная программа собирает информацию о системе и передает ее на C2.

Во второй цепочке заражений, обнаруженной специалистами, применялся аналогичный многоступенчатый процесс атаки, но вместо вредоносной программы на Rust использовался скрипт PowerShell.

Помимо оборонки Индии мишенями злоумышленников были также различные государственные структуры.

Пакистанские хакеры поднашумели, и теперь совместно c SEQRITE следствие ведут такие колобки, как ThreatMon и Cyble.

🍯 70+ бесплатных приманок для ловли хакеров.

• Предлагаем ознакомиться с подборкой open source ханипотов, которые можно использовать для защиты своих серверов и локальных сетей от кибератак, но для начала давайте разберемся, что такое ханипот и зачем он нужен.

• Honeypot — это приманка для хакеров, которая имитирует реальную цель атаки. Он может имитировать любой цифровой актив, например, сервер, приложение, устройство или даже отдельный документ. Такие приманки создаются специально, чтобы привлечь внимание злоумышленников и отвлечь их от настоящих целей.

• В статье описываются 70 open source ханипотов, которые можно поставить и попробовать прямо сейчас: https://habr.com/ru/post/731172/

#ИБ #Honeypot

Не прошло и года после взлома Rockstar Games, как в сети появились исходники Grand Theft Auto 5.

Видимо переговоры зашли в тупик или хакеры просто забили, но факт остается фактом и утечка уже в сети.

Напомним, Rockstar Games был взломан в 2022 году членами хакерской группы Lapsus$, которые получили доступ к внутреннему серверу Slack компании и Confluence wiki.

Все же, тогда злоумышленники не врали, когда утверждали, что украли исходный код GTA 5 и тестовую сборку GTA 6.

Ссылки на скачивание были размещены на многих площадках, включая Discord, Telegram и на теневых ресурсах, которые хакеры использовали для слива утечек.

В телеге некто Phil опубликовал ссылки на украденный исходный код, поделившись скриншотом одной из папок на своем канале и поблагодарил хакера из Lapsus$.

Вероятно, за барыш с Rocksta договориться не получилось и мотивацией злоумышленников стала монетизация читов для игры, на которую повелось не мало любителей GTA.

Специалисты уже оценили утечку, которая выглядит более чем легитимно, но от официальных заявлений отказались поскольку ждут официальных комментариев от Rockstar.

Исследователи из Лаборатории Касперского подвели итоги титанического расследования сложнейшей угрозы, получившей название Операция Триангуляция.

В течение года они занимались реверс-инжинирингом цепочки атак, пытаясь раскрыть все детали, лежащие в основе кибершпионской кампании, которую они первоначально обнаружили в начале 2023 года.

Помимо разбора уже известных 0-day исследователи представили самую интересную особенность iOS-устройств, которой был присвоен CVE-2023-38606, которая была закрыта 24 июля с выходом iOS/iPadOS 16.6.

Для инициирования вредоносного кода в памяти злоумышленники использовали недокументированную функциональность процессоров Apple, которая фактически никак не используется в коде iOS, но позволяла обходить аппаратные средства защиты чувствительных областей памяти ядра и получать полный контроль над устройством.

Ресерчеры объясняют, что CVE-2023-38606 нацелена на неизвестные регистры MMIO в процессорах Apple A12-A16 Bionic, вероятно, связанные с сопроцессором графического процессора чипа.

Триангуляция использует эти регистры для манипулирования аппаратными функциями и управления прямым доступом к памяти во время атаки.

В Лаборатории полагают, что включение этой недокументированной аппаратной функции в готовую версию iPhone либо было ошибкой (что маловероятно), либо использовалось инженерами Apple для отладки и тестирования.

Задействование таких малоизвестных аппаратных функций для реализации шпионских атак на владельцев iPhone, дают все основания полагать, что за Триангуляцией стоит настолько серьезный актор, что даже обеспокоился сам Илон Маск.

Видимо понимая, что он тоже может быть посажен на киберкукан демократическими демократами под лозунги Apple, заявляющих, что "We have never worked with any government to insert a backdoor into any Apple product and never will".

В целом, у исследователей осталось еще много нерешенных вопросов по CVE-2023-38606.

Ведь до сих пор неизвестно, как злоумышленники узнали про механизм использования недокументированной аппаратной функции и каково было ее первоначальное назначение.

Не ясно также, была ли она разработана Apple или это компонент стороннего производителя.

Но теперь совершенно очевидно другое: системы, базирующиеся на принципе защиты «безопасность через неизвестность», никогда не будут по-настоящему безопасными.

@SE_VirusTotal_bot — проверит Ваш файл или ссылку на предмет угроз и выдаст подробный отчет по итогу анализа.

Бот реализован на api VirusTotal и может осуществить проверку с помощью 70 различных антивирусов.

📦 Готовая лаборатория для анализа уязвимостей Active Directory.

• Репозитории, который представляет из себя уязвимою лабораторию для анализа уязвимостей в среде #AD. Благодаря GOAD, ты можешь получить полезные знания и применить их на практике. Всю необходимую информацию, можно найти тут: https://github.com/Orange-Cyberdefense/GOAD

#Пентест #AD