Новый вредонос Nodersok заразил тысячи компьютеров на базе Windows
Вредоносное ПО устанавливает Node.js, чтобы превратить системы в прокси-серверы и совершать мошеннические операции.
Тысячи компьютеров на базе Windows по всему миру за последние несколько недель были заражены новым видом вредоносного ПО. Вредонос под названием Nodersok загружает и устанавливает копию инфраструктуры Node.js для преобразования зараженных систем в прокси-серверы и проведения мошеннических операций.
Вредоносная программа, названная Nodersok (в отчете Microsoft) и Divergent (в отчете Cisco Talos), впервые была обнаружена летом нынешнего года и распространялась с помощью вредоносной рекламы, которая принудительно загружала файлы HTA (HTML Application) на компьютеры пользователей. Запуск HTA-файлов начинал многоэтапный процесс заражения с использованием скриптов Excel, JavaScript и PowerShell, которые в конечном итоге загружали и устанавливали вредоносное ПО Nodersok.
Сама вредоносная программа имеет несколько компонентов, включая PowerShell-модуль, который пытается отключить Защитника Windows и Центр обновления Windows, а также компонент для повышения привилегий вредоносного ПО до уровня SYSTEM. Но есть также два компонента, которые являются легитимными приложениями, а именно: WinDivert и Node.js. Первое представляет собой приложение для захвата и взаимодействия с сетевыми пакетами, а второе — известный инструмент для запуска JavaScript на web-серверах.
Легитимные приложения используются для запуска прокси-сервера SOCKS на зараженных хостах. Исследователи из компании Microsoft утверждают, что вредоносная программа превращает зараженные хосты в прокси-серверы для передачи вредоносного трафика. По словам специалистов из Cisco Talos, с другой стороны, прокси используются для мошеннических операций.
Так или иначе, создатели Nodersok могут в любой момент развернуть другие модули для выполнения дополнительных задач или даже запустить вымогательское ПО или банковские трояны.
Источник: https://www.securitylab.ru/news/501410.php
Вредоносное ПО устанавливает Node.js, чтобы превратить системы в прокси-серверы и совершать мошеннические операции.
Тысячи компьютеров на базе Windows по всему миру за последние несколько недель были заражены новым видом вредоносного ПО. Вредонос под названием Nodersok загружает и устанавливает копию инфраструктуры Node.js для преобразования зараженных систем в прокси-серверы и проведения мошеннических операций.
Вредоносная программа, названная Nodersok (в отчете Microsoft) и Divergent (в отчете Cisco Talos), впервые была обнаружена летом нынешнего года и распространялась с помощью вредоносной рекламы, которая принудительно загружала файлы HTA (HTML Application) на компьютеры пользователей. Запуск HTA-файлов начинал многоэтапный процесс заражения с использованием скриптов Excel, JavaScript и PowerShell, которые в конечном итоге загружали и устанавливали вредоносное ПО Nodersok.
Сама вредоносная программа имеет несколько компонентов, включая PowerShell-модуль, который пытается отключить Защитника Windows и Центр обновления Windows, а также компонент для повышения привилегий вредоносного ПО до уровня SYSTEM. Но есть также два компонента, которые являются легитимными приложениями, а именно: WinDivert и Node.js. Первое представляет собой приложение для захвата и взаимодействия с сетевыми пакетами, а второе — известный инструмент для запуска JavaScript на web-серверах.
Легитимные приложения используются для запуска прокси-сервера SOCKS на зараженных хостах. Исследователи из компании Microsoft утверждают, что вредоносная программа превращает зараженные хосты в прокси-серверы для передачи вредоносного трафика. По словам специалистов из Cisco Talos, с другой стороны, прокси используются для мошеннических операций.
Так или иначе, создатели Nodersok могут в любой момент развернуть другие модули для выполнения дополнительных задач или даже запустить вымогательское ПО или банковские трояны.
Источник: https://www.securitylab.ru/news/501410.php
www.securitylab.ru
Новый вредонос Nodersok заразил тысячи компьютеров на базе Windows
Вредоносное ПО устанавливает Node.js, чтобы превратить системы в прокси-серверы и совершать мошеннические операции.
Навыки программирования.
Для этических хакеров это фундаментальный фактор. Изучение основных концепций и структур, характерных для любого языка
программирования, предоставит тестеру преимущество при поиске уязвимостей.
Вы должны не только иметь базовые знания о языках программирования, но и разбираться в работе процессоров, системной памяти, буферов, указателей, типов данных, регистров и кэша. Эти понятия реализуемы практически на любом языке программирования, в том числе C/C++, Python, Perl и Assembly.
Из книги: "Kali Linux. Тестирование на проникновение и безопасность"
Для этических хакеров это фундаментальный фактор. Изучение основных концепций и структур, характерных для любого языка
программирования, предоставит тестеру преимущество при поиске уязвимостей.
Вы должны не только иметь базовые знания о языках программирования, но и разбираться в работе процессоров, системной памяти, буферов, указателей, типов данных, регистров и кэша. Эти понятия реализуемы практически на любом языке программирования, в том числе C/C++, Python, Perl и Assembly.
Из книги: "Kali Linux. Тестирование на проникновение и безопасность"
Обзор инцидентов безопасности за период с 23 по 29 сентября 2019 года
Коротко о главных событиях минувшей недели.
На прошедшей неделе немецкий концерн Rheinmetall сообщил о кибератаке, в результате которой была нарушена работа заводов компании в Бразилии, Мексике и США. Инцидент затронул IT-инфраструктуру подразделения Rheinmetall Automotive. Подробности инцидента не разглашаются, также в компании не сообщили, каким именно вредоносом оказались заражены системы предприятия.
За последние несколько недель тысячи компьютеров на базе Windows в странах по всему миру подверглись атакам с использованием редкого вредоносного ПО под названием Nodersok. Программа загружает и устанавливает копию инфраструктуры Node.js для превращения зараженных систем в прокси-серверы и проведения мошеннических операций. Для инфицирования системы Nodersok задействует два легитимных инструмента - WinDivert и Node.js. Первый представляет собой приложение для захвата и взаимодействия с сетевыми пакетами, а второе — известный инструмент для запуска JavaScript на web-серверах.
В России активизировались мошенники, подменяющие номера телефонов банков. По данным Центробанка РФ, за прошедшее лето злоумышленники подменили 198 номеров, однако участники рынка утверждают, что реальная цифра намного выше. В период с июня по август специалисты Банка России направили операторам связи данные о более чем 2,5 тыс. телефонных номеров, с которых мошенники звонили клиентам финорганизаций. В результате в 218 случаях операторы заблокировали номера, в 59 – ограничили использование финансовых сервисов, а в 198 случаях была обнаружена подмена номера банка. В более чем 2 тыс. случаев операторы отказались принимать меры «ввиду отсутствия правовых оснований».
В Сети обнаружен ботнет, использующий недавно опубликованный эксплоит для уязвимости в форумном движке vBulletin, для наращивания собственной армии ботов. Атаки осуществлялись из разных стран, чаще всего из Бразилии, Вьетнама и Индии.
Сотрудники украинской киберполиции обезвредили преступную группировку, промышлявшую незаконной перерегистрацией арестованного имущества. Участники группировки заражали компьютеры нотариусов и госслужащих вредоносным ПО, с помощью которого вмешивались в работу государственных реестров и переоформляли права собственности на недвижимое имущество на третьих лиц.
Исследователи в области безопасности сообщили о вредоносной кампании, нацеленной на транспортные и судоходные организации, действующие за пределами Кувейта в Персидском заливе. В рамках кибератак группировка xHunt использовала бэкдоры Sakabota, Hisoka, Netero и Killua.
Источник: https://www.securitylab.ru/news/501475.php
Коротко о главных событиях минувшей недели.
На прошедшей неделе немецкий концерн Rheinmetall сообщил о кибератаке, в результате которой была нарушена работа заводов компании в Бразилии, Мексике и США. Инцидент затронул IT-инфраструктуру подразделения Rheinmetall Automotive. Подробности инцидента не разглашаются, также в компании не сообщили, каким именно вредоносом оказались заражены системы предприятия.
За последние несколько недель тысячи компьютеров на базе Windows в странах по всему миру подверглись атакам с использованием редкого вредоносного ПО под названием Nodersok. Программа загружает и устанавливает копию инфраструктуры Node.js для превращения зараженных систем в прокси-серверы и проведения мошеннических операций. Для инфицирования системы Nodersok задействует два легитимных инструмента - WinDivert и Node.js. Первый представляет собой приложение для захвата и взаимодействия с сетевыми пакетами, а второе — известный инструмент для запуска JavaScript на web-серверах.
В России активизировались мошенники, подменяющие номера телефонов банков. По данным Центробанка РФ, за прошедшее лето злоумышленники подменили 198 номеров, однако участники рынка утверждают, что реальная цифра намного выше. В период с июня по август специалисты Банка России направили операторам связи данные о более чем 2,5 тыс. телефонных номеров, с которых мошенники звонили клиентам финорганизаций. В результате в 218 случаях операторы заблокировали номера, в 59 – ограничили использование финансовых сервисов, а в 198 случаях была обнаружена подмена номера банка. В более чем 2 тыс. случаев операторы отказались принимать меры «ввиду отсутствия правовых оснований».
В Сети обнаружен ботнет, использующий недавно опубликованный эксплоит для уязвимости в форумном движке vBulletin, для наращивания собственной армии ботов. Атаки осуществлялись из разных стран, чаще всего из Бразилии, Вьетнама и Индии.
Сотрудники украинской киберполиции обезвредили преступную группировку, промышлявшую незаконной перерегистрацией арестованного имущества. Участники группировки заражали компьютеры нотариусов и госслужащих вредоносным ПО, с помощью которого вмешивались в работу государственных реестров и переоформляли права собственности на недвижимое имущество на третьих лиц.
Исследователи в области безопасности сообщили о вредоносной кампании, нацеленной на транспортные и судоходные организации, действующие за пределами Кувейта в Персидском заливе. В рамках кибератак группировка xHunt использовала бэкдоры Sakabota, Hisoka, Netero и Killua.
Источник: https://www.securitylab.ru/news/501475.php
www.securitylab.ru
Обзор инцидентов безопасности за период с 23 по 29 сентября 2019 года
Коротко о главных событиях минувшей недели.
Название: "Расследование компьютерных преступлений"
Год: 2012
Авторы: Крис Просис, Кевин Мандиа
Книга старая, но для основ информационной безопасности подойдет.
https://vk.com/hacker_timcore?w=wall-44038255_4106
Год: 2012
Авторы: Крис Просис, Кевин Мандиа
Книга старая, но для основ информационной безопасности подойдет.
https://vk.com/hacker_timcore?w=wall-44038255_4106
В инструменте АНБ Ghidra обнаружена очередная уязвимость
Уязвимость в инструменте обратного инжиниринга Ghidra позволяет выполнять код на системах.
На сайте Национального института стандартов и технологий США (National Institute of Standards and Technology, NIST) опубликована информация об уязвимости (CVE-2019-16941) в декомпиляторе Ghidra — бесплатном программном обеспечении с открытым исходным кодом для обратной разработки, которое Агентство национальной безопасности США обнародовало ранее в нынешнем году. Эксплуатация уязвимости позволяет злоумышленнику удаленно скомпрометировать целевые системы.
Проблема затрагивает версию Ghidra 9.0.4 и младше и проявляется при «включенном экспериментальном режиме». Произвольный код возможно выполнить в том случае, «если функция чтения XML-файлов в Bit Patterns Explorer используется с измененным документом XML». Другими словами, эксплуатация потребует от пользователя загрузки вредоносного файла XML через плагин, обойдя обычный процесс загрузки проекта.
По словам специалистов, поскольку эта функция является экспериментальной, наличие в ней ошибок и уязвимостей следовало ожидать. Несмотря на описание уязвимости на сайте NIST, исследователи отмечают, что она не может быть проэксплуатирована удаленно. Патч для данной проблемы в настоящее время находится в разработке.
Источник: https://www.securitylab.ru/news/501515.php
Уязвимость в инструменте обратного инжиниринга Ghidra позволяет выполнять код на системах.
На сайте Национального института стандартов и технологий США (National Institute of Standards and Technology, NIST) опубликована информация об уязвимости (CVE-2019-16941) в декомпиляторе Ghidra — бесплатном программном обеспечении с открытым исходным кодом для обратной разработки, которое Агентство национальной безопасности США обнародовало ранее в нынешнем году. Эксплуатация уязвимости позволяет злоумышленнику удаленно скомпрометировать целевые системы.
Проблема затрагивает версию Ghidra 9.0.4 и младше и проявляется при «включенном экспериментальном режиме». Произвольный код возможно выполнить в том случае, «если функция чтения XML-файлов в Bit Patterns Explorer используется с измененным документом XML». Другими словами, эксплуатация потребует от пользователя загрузки вредоносного файла XML через плагин, обойдя обычный процесс загрузки проекта.
По словам специалистов, поскольку эта функция является экспериментальной, наличие в ней ошибок и уязвимостей следовало ожидать. Несмотря на описание уязвимости на сайте NIST, исследователи отмечают, что она не может быть проэксплуатирована удаленно. Патч для данной проблемы в настоящее время находится в разработке.
Источник: https://www.securitylab.ru/news/501515.php
www.securitylab.ru
В инструменте АНБ Ghidra обнаружена очередная уязвимость
Уязвимость в инструменте обратного инжиниринга Ghidra позволяет выполнять код на системах.
Прохождение CTF Мистер Робот. Практический курс для хакеров.
Данная книга предназначена для людей, которые интересуются
соревнованием, под названием CTF (capture the flag).
Оно было позаимствовано из серии игр Doom, и Quake (если я не
ошибаюсь). Разновидностей CTF существует достаточное большое
количество, но два вида все-таки можно выделить – это классический CTF (attack-defense), и CTF (jeopardy).
Итак, ближе к делу...
На vulnhab-е нашел интересную виртуальную машину, которая называется «Mr-Robot:1». Как Вы уже догадались из названия, она основана по мотивам одноименного сериала «Мистер Робот», по первому сезону.
Данная книга предназначена для людей, которые интересуются
соревнованием, под названием CTF (capture the flag).
Оно было позаимствовано из серии игр Doom, и Quake (если я не
ошибаюсь). Разновидностей CTF существует достаточное большое
количество, но два вида все-таки можно выделить – это классический CTF (attack-defense), и CTF (jeopardy).
Итак, ближе к делу...
На vulnhab-е нашел интересную виртуальную машину, которая называется «Mr-Robot:1». Как Вы уже догадались из названия, она основана по мотивам одноименного сериала «Мистер Робот», по первому сезону.
Преступники атаковали нефтяные компании США с помощью трояна Adwind
Злоумышленники в первую очередь интересуются документами, файлами и другими локально сохраненными данными.
Неизвестные киберпреступники организовали атаку на компании в сфере нефтяной промышленности США. В рамках вредоносной кампании для кражи данных использовался троян для удаленного доступа (RAT) Adwind (другие названия jRAT, AlienSpy, JSocket и Sockrat), который ранее применялся против компаний электроэнергетического сектора.
По словам исследователей из Netskope, атаки осуществляются с домена, принадлежащего австралийскому интернет-провайдеру Westnet. Остается неясным, является ли участники группировки клиентами Westnet или они скомпрометировали учетные записи клиентов и используют их для распространения Adwind.
Adwind RAT предлагается на ряде торговых площадок в даркнете по модели вредоносное ПО-как-услуга (malware-as-a-service) и за последние два года неоднократно использовался в различных кампаниях. Вредонос способен шифровать и фильтровать данные, захватывать изображения web-камеры, проверять жесткие диски на наличие определенных файлов на основе расширений в конфигурации вредоносного ПО, внедрять вредоносный код в легитимные процессы для избежания обнаружения и мониторить состояние системы. ПО изменяет параметры реестра для обеспечения персистентности и может отключать межсетевые экраны, антивирусные решения и другие службы безопасности на зараженных устройствах.
По словам исследователей, в новом варианте Adwind преступники реализовали сложные методы обфускации. Анализ вредоносного ПО показал, что оно использует несколько встроенных JAR-архивов (Java Archive) перед распаковкой окончательной полезной нагрузки. Уровень обфускации был настолько эффективным, что только 5 из 56 антивирусных решений на VirusTotal смогли обнаружить вредоносное ПО.
Согласно проведенному анализу, злоумышленники в первую очередь интересуются документами, файлами и другими локально сохраненными данными. Они также заинтересованы в поиске такой информации, как FTP-пароли и SSH-ключи, которые могут дать больший доступ к сети.
Источник: https://www.securitylab.ru/news/501535.php
Злоумышленники в первую очередь интересуются документами, файлами и другими локально сохраненными данными.
Неизвестные киберпреступники организовали атаку на компании в сфере нефтяной промышленности США. В рамках вредоносной кампании для кражи данных использовался троян для удаленного доступа (RAT) Adwind (другие названия jRAT, AlienSpy, JSocket и Sockrat), который ранее применялся против компаний электроэнергетического сектора.
По словам исследователей из Netskope, атаки осуществляются с домена, принадлежащего австралийскому интернет-провайдеру Westnet. Остается неясным, является ли участники группировки клиентами Westnet или они скомпрометировали учетные записи клиентов и используют их для распространения Adwind.
Adwind RAT предлагается на ряде торговых площадок в даркнете по модели вредоносное ПО-как-услуга (malware-as-a-service) и за последние два года неоднократно использовался в различных кампаниях. Вредонос способен шифровать и фильтровать данные, захватывать изображения web-камеры, проверять жесткие диски на наличие определенных файлов на основе расширений в конфигурации вредоносного ПО, внедрять вредоносный код в легитимные процессы для избежания обнаружения и мониторить состояние системы. ПО изменяет параметры реестра для обеспечения персистентности и может отключать межсетевые экраны, антивирусные решения и другие службы безопасности на зараженных устройствах.
По словам исследователей, в новом варианте Adwind преступники реализовали сложные методы обфускации. Анализ вредоносного ПО показал, что оно использует несколько встроенных JAR-архивов (Java Archive) перед распаковкой окончательной полезной нагрузки. Уровень обфускации был настолько эффективным, что только 5 из 56 антивирусных решений на VirusTotal смогли обнаружить вредоносное ПО.
Согласно проведенному анализу, злоумышленники в первую очередь интересуются документами, файлами и другими локально сохраненными данными. Они также заинтересованы в поиске такой информации, как FTP-пароли и SSH-ключи, которые могут дать больший доступ к сети.
Источник: https://www.securitylab.ru/news/501535.php
www.securitylab.ru
Преступники атаковали нефтяные компании США с помощью трояна Adwind
Злоумышленники в первую очередь интересуются документами, файлами и другими локально сохраненными данными.
Сбербанк расследует возможную утечку данных своих клиентов
В Сети выставлены на продажу данные 60 млн кредитных карт, предположительно принадлежащих клиентам Сбербанка.
На черном рынке в Сети выставлены на продажу данные, предположительно принадлежащие клиентам Сбербанка.
Финансовой организации стало известно об инциденте вечером в среду, 2 октября. Как сообщается в пресс-релизе Сбербанка, возможная утечка записей по кредитным картам затрагивает как минимум 200 человек. Однако сами продавцы уверяют, что в их распоряжении находится информация по 60 млн кредитных карт, как действующих, так и закрытых (в настоящее время у банка насчитывается порядка 18 млн активных карт), пишет «КоммерсантЪ».
«Пробный» фрагмент базы из 200 строк продавец предоставляет потенциальным покупателям для ознакомления. В нем содержится информация по клиентам принадлежащего Сбербанку Уральского территориально банка, в том числе персональные данные и подробности о кредитной карте и операциях с нею. Стоимость данных составляет 5 руб. за строку.
Судя по всему, утечка могла произойти 24 августа нынешнего года. Указанные в БД слова way4 и w4 вероятно относятся к используемой Сбербанком процессинговой платформе Way4.
В настоящее время специалисты финорганизации проводят служебное расследование потенциальной утечки. Основная версия следствия заключается в том, что данные были похищены и «слиты» кем-то из сотрудников, поскольку БД изолирована от Сети и проникнуть в нее можно только изнутри. Вероятность получения данных путем «пробива» клиентов с помощью подкупа сотрудника финорганизации также исключается.
«Похищенная информация в любом случае никак не угрожает сохранности средств клиентов», - уверяют в Сбербанке.
Источник: https://www.securitylab.ru/news/501540.php
В Сети выставлены на продажу данные 60 млн кредитных карт, предположительно принадлежащих клиентам Сбербанка.
На черном рынке в Сети выставлены на продажу данные, предположительно принадлежащие клиентам Сбербанка.
Финансовой организации стало известно об инциденте вечером в среду, 2 октября. Как сообщается в пресс-релизе Сбербанка, возможная утечка записей по кредитным картам затрагивает как минимум 200 человек. Однако сами продавцы уверяют, что в их распоряжении находится информация по 60 млн кредитных карт, как действующих, так и закрытых (в настоящее время у банка насчитывается порядка 18 млн активных карт), пишет «КоммерсантЪ».
«Пробный» фрагмент базы из 200 строк продавец предоставляет потенциальным покупателям для ознакомления. В нем содержится информация по клиентам принадлежащего Сбербанку Уральского территориально банка, в том числе персональные данные и подробности о кредитной карте и операциях с нею. Стоимость данных составляет 5 руб. за строку.
Судя по всему, утечка могла произойти 24 августа нынешнего года. Указанные в БД слова way4 и w4 вероятно относятся к используемой Сбербанком процессинговой платформе Way4.
В настоящее время специалисты финорганизации проводят служебное расследование потенциальной утечки. Основная версия следствия заключается в том, что данные были похищены и «слиты» кем-то из сотрудников, поскольку БД изолирована от Сети и проникнуть в нее можно только изнутри. Вероятность получения данных путем «пробива» клиентов с помощью подкупа сотрудника финорганизации также исключается.
«Похищенная информация в любом случае никак не угрожает сохранности средств клиентов», - уверяют в Сбербанке.
Источник: https://www.securitylab.ru/news/501540.php
SecurityLab.ru
Сбербанк расследует возможную утечку данных своих клиентов
В Сети выставлены на продажу данные 60 млн кредитных карт, предположительно принадлежащих клиентам Сбербанка.