Бизоны сообщают о новых атаках активной с 2023 года Mysterious Werewolf на военно-промышленного комплекса РФ с помощью бэкдора RingSpy, написанного на Python.

Злоумышленники продолжают активно полагаться на фишинговые письма с приложенным архивом, который содержит легитимный документ в формате PDF, а также вредоносный файл CMD.

После открытия архива и двойного щелчка по документу эксплоит запускает файл CMD с использованием уязвимости CVE-2023-38831 в WinRAR для доставки в скомпрометированную систему нового оригинального инструмента - RingSpy.

Вредоносное ПО стало заменой агента Athena фреймворка Mythic, который Mysterious Werewolf применяла в предыдущих атаках.

RingSpy позволяет злоумышленнику удаленно выполнять команды, получать результат и скачивать файлы с сетевых ресурсов.

Mysterious Werewolf продолжает использовать легитимные сервисы для взаимодействия со скомпрометированными системами: в качестве командного сервера выступает бот в Telegram.

Индикаторы компрометации и MITRE ATT&CK - в отчете.

Сегодня день не задался у многих: у Microsoft Office с их 365 (на самом деле помним, как было и 364), затем пользователей Xiaomi накрыла волна «окирпичивания» их мобильных девайсов после обновления Hyper OS, а владельцы 3D-принтеров Anycubic по всему миру получили месседж от хакера.

Послание отправил некий хакер-альтруист, которые обнаружил уязвимость, позволяющую потенциальным злоумышленникам контролировать печать на принтерах через API службы MQTT.

И дабы не тратить время на объяснения и оповещение разработчиков хакер пошел с козырей и продемонстрировал атаку на устройства сам, в результате которой смог загрузить файл с предупреждением о найденной проблеме.

В результате на девайсы был доставлен файл с названием hacked_machine_readme.gcode, содержащий месседж о критической ошибке и дружеский совет пользователям отключить свои принтеры от интернета до тех пор, пока компания не устранит проблему.

Сообщалось, что под угрозой находятся более 290 тыс. принтеров по всему миру, но позже на форуме Reddit хакер уточнил, что фактическое количество затронутых устройств может быть значительно меньше, поскольку одно и то же предупреждение могло быть отправлено на один и тот же принтер несколько раз.

После появления сообщений о взломе временно перестало работать приложение Anycubic, которое выдавало ошибку "сеть недоступна".

Вероятно, это было вызвано с действиями компании по отключению сетевых функций в целях безопасности.

Так уж получилось, что о насущной проблеме хакер уведомил клиентов сам, при этом он все же связался с Anycubic и транслировал о проблеме, что дает надежду на скорое ее решение.

Anycubic, в свою очередь, еще не предоставила никаких официальных комментариев по поводу инцидента.

📦 Zip-файлы: история, объяснение и реализация.

• Формат Zip был создан более 30 лет назад на основе технологий пятидесятых и семидесятых годов. И хотя с тех пор многое изменилось, Zip-файлы, по сути, остались теми же и сегодня более распространены, чем когда-либо. Думаю, будет полезно хорошо разбираться в том, как они работают.

• В статье очень подробно объясняется, как работают Zip-файлы и схема сжатия: LZ77-сжатие, алгоритм Хаффмана, алгоритм Deflate и прочее.

• История;
- PKZip;
- Info-ZIP and zlib;
- WinZip;
• Сжатие Lempel-Ziv (LZ77);
• Код Хаффмана;
- Алгоритм Хаффмана;
- Канонические коды Хаффмана;
- Эффективное декодирование Хаффмана;
• Deflate;
- Битовые потоки;
- Распаковка (Inflation);
- Несжатые Deflate-блоки;
- Deflate-блоки с применением фиксированных кодов Хаффмана;
- Deflate-блоки с применением динамических кодов Хаффмана;
- Сжатие (Deflation);
• Формат Zip-файлов;
- Обзор;
- Структуры данных;
- Конец записи центрального каталога;
- Центральный заголовок файла;
- Локальный заголовок файла;
- Реализация Zip-считывания;
- Реализация Zip-записи;
• HWZip;
- Инструкции по сборки;
• Заключение;
• Упражнения;
• Полезные материалы.

#Разное

Как мы и полагали, все инсинуации с инфраструктурой вымогателей - лишь небольшой хук, который вряд ли приведет к нокдауну RaaS, с чем также солидарны исследователи Wired.

Вслед за подбитыми LockBit и уже замеченными Bl00dy и Black Basta к эксплуатации ConnectWise ScreenConnect приступили операторы банды вымогателей ALPHV/BlackCat.

Активность заметили исследователи Huntress в ходе реагирования на инцидент у одного из своих клиентов, экземпляр ScreenConnect которого был скомпрометирован 22 февраля 2024 года менее чем за три минуты для доставки исполняемого файла BlackCat ransomware.

Как и в случае с LockBit разработчики ALPHV не только успешно восстановились после атак спецслужб, но и выкатили новую своего штамма программы-вымогателя.

Новая версия, отслеживаемая как  версия 2.0 или обновление Spynx, уже была замечена в недавних атаках в этом месяце. Программа способна шифровать файлы в системах Windows, Linux и VMware.

Некоторые из новых атак AlphV затронули учреждения здравоохранения в США, которые группировка ранее обещала не атаковать.

Но табу, по всей видимости, были сняты после посягательств со стороны силовиков и теперь RaaS станет только вредоноснее.

Будем посмотреть.

Исследователи из BI.ZONE сообщают об обнаружении ранее неизвестного злоумышленника, который активен как минимум с 2022 года и теперь отслеживается как Fluffy Wolf.

Группировка Fluffy Wolf действует просто, но достаточно эффективно: как минимум 5% сотрудников организаций скачивают и открывают вредоносные вложения.

Первоначальный доступ реализуется с помощью фишинговой рассылки с вложенными архивами, защищенными паролем.

Архивы содержат исполняемые файлы, замаскированные под акты сверки расчетов. Основная цель — доставить в скомпрометированную систему набор инструментов, который мог включать легитимное средство Remote Utilities, стилер Meta Stealer, WarZone RAT или майнер XMRig.

С их помощью атакующие получают удаленный доступ, крадут учетные данные или используют ресурсы взломанной инфраструктуры для майнинга.

В одной из последних кампаний злоумышленники рассылали фишинговые электронные письма с темой «Акты на подпись» от имени одной из строительных компаний с архивом, пароль для которого был в названии файла.

Архив включал Akt_Sverka_1C_Doc_28112023_PDF.com, который загружал и инсталлировал средство удаленного доступа Remote Utilities, а также запускал коммерческое ВПО Meta Stealer.

Арендовать клон популярного стилера RedLine на месяц можно за 150 долларов, купить пожизненную лицензию - за 1000 долларов, а главное у него отсутствуют ограничения для атак по России и СНГ.

Исследователи также отследили предыдущие кампании Fluffy Wolf и выявили варианты атак с различными комбинациями загрузчиков и полезной нагрузки.

Таким образом злоумышленники продолжают экспериментировать с легитимным ПО для удаленного доступа, добавляя в свой арсенал всё новые варианты.

При этом коммерческое ВПО и его «взломанные» варианты способствуют расширению ландшафта угроз, позволяя реализовывать успешные атаки даже злоумышленникам с низким уровнем технической подготовки.

Специалисты Sucuri предупреждают о масштабной кампании, нацеленной на сайты WordPress, связанной с внедрением в них скриптов, которые реализуют через браузеры посетителей брут паролей для других ресурсов.

Вероятно, произошла переоценка целей, поскольку ранее злоумышленники использовали подобные скрипты для внедрения AngelDrainer и кражи криптовалюты, отправляя месседж пользователям, чтобы те подключали свои кошельки к зараженным сайтам.

Однако в конце февраля тактика хакеров изменилась с сторону использования скриптов для захвата браузеров посетителей с целью брутфорса. Исследователи полагают, что это может быть обусловлено желанием хакеров создать более обширный портфель сайтов, с которых можно будет запускать дальнейшие атаки в более крупном масштабе.

Вредоносный код встраивается в HTML-шаблоны и при посещении сайта скрипты загружаются в браузер. Эти скрипты заставляют браузер тихо связываться с сервером злоумышленников по адресу 'https://dynamic-linx[.]com/getTask.php', чтобы получить задачу по подбору паролей.

Эта задача представляет собой файл JSON, содержащий параметры атаки методом перебора: идентификатор, URL-адрес веб-сайта, имя учетной записи, число, обозначающее текущий пакет паролей, которые необходимо пройти, и сто паролей, которые нужно попробовать.

Сам же скрипт использует интерфейс XMLRPC сайта WordPress и, если пароль оказывается верным, злоумышленник получает уведомление и может далее может подключиться к сайту и получить загруженный файл, содержащий пару имени пользователя и пароля в кодировке Base64.

При этом вредоносный скрипт продолжит получать новые задачи, пока страница будет остаеаться открытой в браузере посетителя.

По данным Sucuri, уже более 1700 сайтов были взломаны и содержат эти скрипты или их загрузчики. К примеру, среди них был обнаружен веб-сайт Эквадорской ассоциации частных банков, который пылесосил пароли ничего не подозревающих его посетителей.

В отчете доступны индикаторы компрометации и рекомендации по выявлению угрозы.