GhostEmperor’s_infection_chain_&_post_exploitation_toolset_Kaspersky.pdf
2.8 MB
FontOnLake (Eset - 2021).pdf
652.5 KB
#reverse #apt
Разбор Linux-малвари FontOnLake
Специалисты ESET рассказали о малвари FontOnLake, которая сочетает в себе компоненты бэкдора и руткита. Известно, что вредонос используется в направленных атаках против организаций в Юго-Восточной Азии.
https://proglib.io/w/c9593482
Разбор Linux-малвари FontOnLake
Специалисты ESET рассказали о малвари FontOnLake, которая сочетает в себе компоненты бэкдора и руткита. Известно, что вредонос используется в направленных атаках против организаций в Юго-Восточной Азии.
https://proglib.io/w/c9593482
🌐 Браузерный zero-day на сайте криптовалютной игры
На прошлой неделе в Индонезии прошла очередная конференция по кибербезопасности Security Analyst Summit, организованная «Лабораторией Касперского».
Один из ключевых докладов конференции был посвящен истории обнаружения уязвимости нулевого дня в браузере Google Chrome еще в мае этого года.
С помощью уязвимости атаковались посетители веб-сайта онлайн-игры, использующей инструменты децентрализованного финансирования. Подробный анализ двух уязвимостей, приводящих к выполнению произвольного кода на компьютере жертвы, также опубликован на сайте Securelist.
👉 Читать & Краткий обзор
#apt #hacking
На прошлой неделе в Индонезии прошла очередная конференция по кибербезопасности Security Analyst Summit, организованная «Лабораторией Касперского».
Один из ключевых докладов конференции был посвящен истории обнаружения уязвимости нулевого дня в браузере Google Chrome еще в мае этого года.
С помощью уязвимости атаковались посетители веб-сайта онлайн-игры, использующей инструменты децентрализованного финансирования. Подробный анализ двух уязвимостей, приводящих к выполнению произвольного кода на компьютере жертвы, также опубликован на сайте Securelist.
👉 Читать & Краткий обзор
#apt #hacking
🤑 Вы уже наверняка знаете, что с кошельков криптобиржи Bybit было выведено ETH на сумму более $1,4 млрд… и замешана в этом Lazarus
Но как это произошло с технической стороны? Потихоньку начинают появляться подробности. Оставим в оригинале:
1) malicious JS injected into Safe{Wallet} at http://app.safe.global/_next/static/chunks/pages/_app-4f0dcee809cce622.js (because apparently, one of the nk devs just casually pushed it to production 🤡)
2) the JS modified executeTransaction() only if the signer was in a predefined list (Bybit’s multisig owners).
3) modified transaction now sets operation: 1 (delegatecall) to attacker address instead of a normal call.
4) delegatecall hits the attacker contract, which changed Safe contract's first storage slot which is masterCopy to a another attacker contract.
5) new masterCopy contract contained sweepETH() & sweepERC20(), draining $1.5B
Самое интересное — размеры выплат по программе багбаунти. Тот самый случай, когда продешевили🤷♂️
#apt #news #назлобудня
Но как это произошло с технической стороны? Потихоньку начинают появляться подробности. Оставим в оригинале:
1) malicious JS injected into Safe{Wallet} at http://app.safe.global/_next/static/chunks/pages/_app-4f0dcee809cce622.js (because apparently, one of the nk devs just casually pushed it to production 🤡)
2) the JS modified executeTransaction() only if the signer was in a predefined list (Bybit’s multisig owners).
3) modified transaction now sets operation: 1 (delegatecall) to attacker address instead of a normal call.
4) delegatecall hits the attacker contract, which changed Safe contract's first storage slot which is masterCopy to a another attacker contract.
5) new masterCopy contract contained sweepETH() & sweepERC20(), draining $1.5B
Самое интересное — размеры выплат по программе багбаунти. Тот самый случай, когда продешевили
#apt #news #назлобудня
Please open Telegram to view this post
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
Считающийся первым известным кибер-оружием, Stuxnet был нацелен на иранскую ядерную программу и использовал тонкий и прекрасно спроектированный механизм.
Он остается одним из самых интересных образцов когда-либо созданного вредоносного кода. Можно сказать, что в цифровом мире атаки Stuxnet являются кибер-эквивалентом атак на Нагасаки и Хиросиму в 1945 году.
Чтобы успешно проникнуть в тщательно охраняемые установки, где Иран разрабатывает свою ядерную программу, атакующим пришлось решить сложную задачу: как вредоносный код может попасть в место, которое не имеет прямого подключения к интернету? Нападение на отдельные «высокопрофильные» организации было решением, и, вероятно, успешным.
👉 Подробнее читайте в статье Kaspersky «Stuxnet: первые жертвы»
#security #apt
Please open Telegram to view this post
VIEW IN TELEGRAM