Исследователи BI.ZONE сообщают о возвращении группировки Red Wolf с новой кампанией, ориентированной на промышленный шпионаж.

Как известно, Red Wolf активна как минимум с июня 2018 года на территории России, Германии, Украины, Канады, Норвегии и Великобритании.

Группировка стремится оставаться незамеченной после проникновения как можно дольше (до 6 месяцев), поэтому разбивает процесс компрометации на этапы, обходя традиционные средства защиты.

Атакующие продолжают использовать фишинговые электронные письма для получения доступа к интересующим их организациям.

При этом для доставки ВПО на скомпрометированную систему используются IMG‑файлы, которые, в свою очередь, содержат LNK‑файлы.

Открытие такого файла приводит к запуску обфусцированного DLL‑файла, цели которого — загрузка на устройство жертвы и запуск RedCurl.FSABIN.

Таким образом атакующие получают возможность выполнять команды в скомпрометированной системе, а также загружать дополнительные инструменты для решения задач постэксплуатации.

В арсенале группировки - фреймворк собственной разработки, а также ряд общедоступных инструментов, включая LaZagne и AD Explorer. Для решения задач постэксплуатации активно используется PowerShell.

Несмотря на использование распространенных техник, Red Wolf до сих пор еще удается эффективно противодействовать традиционным средствам защиты, сводя возможность обнаружения к минимуму.

Это позволяет злоумышленнику оставаться незамеченным в скомпрометированной инфраструктуре продолжительное время, эффективно достигая поставленных целей.

Детальная информация о группировке, ее ТТР, а также дополнительные индикаторы компрометации доступны в отчете исследователей BI.ZONE.

💸 Tinkoff CTF.

🖖🏻 Приветствую тебя, user_name.

•  Любопытство — это ключ к совершенству. Один из способов задействовать силу любопытства — хакерские квесты. Они лежат на пересечении игр в альтернативную реальность (ARG) и CTF-соревнований, но не просто развлекают, а дают совершенно реальные навыки.

•  15 июля в 9:00 мск пройдут соревнования по спортивному хакингу, организованные Тинькофф. Ивент будет проходить в 13 городах России и Белоруссии, а общий призовой фонд составит более 1 млн. рублей.

•  Соревнования рассчитаны на разработчиков и других мидл— и сеньор-специалистов, а также аналитиков. Если ты хочешь узнать больше про информационную безопасность, тебе точно будет интересно.

•  В зависимости от своего опыта в сфере информационной безопасности команды могут подать заявки в Лигу новичков - для тех, кто ранее не участвовал в подобных соревнованиях и хочет проверить свои навыки, или Лигу опытных - для специалистов сферы инфобезопасности, уже участвовавших в CTF. К слову, ты можешь найти команду единомышленников в телеграм-чате, ну или собрать собственную команду.

•  Регистрация участия уже началась и закончится в 23:59 мск 14 июля. Регистрация доступна по ссылке: https://ctf.tinkoff.ru/   

S.E. ▪️ infosec.work

​☑️ Проверка на наличие учетных записей сотрудников различных компаний через OneDrive.

🖖🏻 Приветствую тебя, user_name.

• После прочтения темы сегодняшнего материала, ты вероятно задаешься вопросом: Для чего это нужно? Ну... может быть для таргет атак с использованием фишинга и методов социальной инженерии? А может для понимания, что такая дыра в безопасности существует и какие риски несет за собой данный метод? Каждый размышляет по своему...

• Изучая зарубежные ресурсы по информационной безопасности, я наткнулся на очень интересую статью, в которой описан метода перебора сотрудников различных компаний через OneDrive. На что я больше всего обратил внимание, так это возможности данного метода:

- Метод абсолютно тихий, т.к. компании-жертвы не видят наши запросы;
- Для перебора не требуется аутентификация;
- Нет никаких ограничений по скорости.

• OneDrive является частью SharePoint. Он предназначен для хранения личных файлов и напрямую связан с учетной записью Azure/M365. Всякий раз, когда пользователь входит в различные службы Microsoft, такие как Excel или Word, OneDrive активируется и создается личный URL-адрес, содержащий адрес электронной почты пользователя. Этот личный URL-адрес на самом деле является UPN учетной записи пользователя или основным именем пользователя (User Principal Name).

• Поскольку личный URL-адрес напрямую связан с учетной записью пользователя, с помощью него возможно проверить наличие сотрудников через перебор директорий в ссылке по определенному формату. Данный метод невозможно обнаружить, так как это простой HTTP-запрос HEAD к серверу Microsoft. Аутентификация при этом не осуществляется.

• Итого: интеграция корпоративных решений с использованием OneDrive находится на рекордно высоком уровне. Множество действий с приложениями, такими как Excel, Word и т.д., непреднамеренно создают URL-адрес OneDrive, независимо от того, используют ли его реально пользователи или нет. Прибавьте к этому относительную неосведомленность большинства компаний о варианте подобной атаки и неспособности ее обнаружить, и мы получим идеальный вариант перебора сотрудников компании под нашу потребность.

• Полное описание метода и полезный инструмент автоматизации перебора доступны по ссылке: https://www.trustedsec.com/blog/onedrive-to-enum-them-all/

S.E. ▪️ infosec.work

🪝 Целевой фишинг и социальная инженерия. Методы известных групп.

🖖🏻 Приветствую тебя, user_name.

• Человеческий фактор всегда будет лазейкой для хакеров в системе безопасности даже самой крупной компании. Если предположить, что незначительный процент сотрудников запустит вредоносное ПО в сети организации (особенно это касается привилегированных сотрудников), то это будет означать компрометацию всей компании.

• Как правило, успеху фишинг-атак способствует низкий уровень осведомленности пользователей о правилах работы с почтой в компании. Основной защитой от массового фишинга остаются спам-фильтры, но это не спасает от spear phishing (таргетированного фишинга). Давайте приведу самый простейший пример:

- Заходим на LinkedIn, определяем ключевых сотрудников для организации атаки spear-phishing, их имена, фамилии, контактные данные (электронную почту). Используя эти данные, несложно найти аккаунты этих сотрудников в других социальных сетях, например в Facebook. При помощи различных инструментов и сервисов, мы можем собрать интересную статистику своих жертв, например где и в каких отелях они отдыхали или останавливались. Далее от имени отеля мы можем отправить сообщение с напоминанием об оплате некоторых услуг и прикрепленным инвойсом в виде PDF-документа. Profit!

• Простой пример разобрали, теперь самое время поделиться очень полезным материалом, в котором собраны актуальные тактики, техники и методы известных хакерских групп. Материал является актуальным и будет крайне полезен социальным инженерам и специалистам в области информационной безопасности: https://raw.githubusercontent.com/

S.E. ▪️ infosec.work

🧺 ИТ-Пикник года.

🖖🏻 Приветствую тебя, user_name.

• На днях появилась информация, что в Москве пройдет главный ИТ-Пикник года - крупнейший семейный it-фестиваль. Главные it-компании России и более 30 тысяч разработчиков, аналитиков и других айтишников со своими семьями соберутся в одном месте , чтобы знакомиться, узнавать интересное про технологии и науку и просто отдыхать.

• Посетителей ждет большое количество лекций, мастер-классов и познавательных секций.

• Программа ИТ-пикника построена вокруг интересов ИТ-специалистов и включает мероприятия для взрослых и детей:

🔵 Свыше 15 интерактивных зон для взрослых и детей любого возраста;
🔵 Музыкальная программа с участием известных артистов;
🔵 Секретный музыкальный хэдлайнер.

• Мероприятие состоится 2 сентября в музее-заповеднике «Коломенское». Обязательно приходите всей семьей и принимайте участие.

• Билеты на «ИТ-Пикник» можно получить за благотворительный взнос. Для этого нужно зарегистрироваться на сайте. Каждый участник с билетом может бесплатно привести с собой одного взрослого и/или до двух детей. Все деньги, собранные на мероприятии, получат благотворительные фонды, перечисленные на официальном сайте фестиваля.

• Регистрируйтесь и не упустите такую уникальную возможность: https://it-picnic.ru

S.E. ▪️ infosec.work