Результаты исследования Sekoia показали, что FakeBat LaaS стал одним из самых распространенных в этом году штаммов вредоносных загрузчиков, распространяемых посредством атак Drive-by Download.

FakeBat, в первую очередь, нацелен на загрузку и выполнение полезной нагрузки следующего этапа, такой как IcedID, Lumma, RedLine, SmokeLoader, SectopRAT и Ursnif.

Атаки Drive-by подразумевают задействование поисковой оптимизации (SEO), вредоносную рекламу и внедрение вредоносного кода во взломанные сайты, побуждая пользователей загружать фейковые установщики ПО или обновления браузера.

FakeBat, также известный как EugenLoader и PaykLoader, реализуется по модели подписки LaaS на хакерских форумах русскоязычным селлером Eugenfest (он же Payk_34) как минимум с декабря 2022 года.

Загрузчик предназначен для обхода механизмов безопасности и обеспечивает клиентам возможность создавать сборки с использованием шаблонов для троянизации легитимного ПО, а также отслеживать установки с течением времени через панель администрирования.

В то время как в более ранних версиях для сборок вредоносного ПО использовался формат MSI, в последних итерациях, наблюдаемых с сентября 2023 года, используется формат MSIX и добавлена цифровая подпись в установщик с действительным сертификатом для обхода защиты Microsoft SmartScreen.

Вредоносное ПО доступно по цене за 1000 долларов в неделю и 2500 долларов в месяц за MSI, за 1500 долларов в неделю и 4000 долларов в месяц за формат MSIX и за 1800 долларов в неделю и 5000 долларов в месяц за комбинированный пакет MSI и сигнатур.

Sekoia обнаружила различные кластеры активности, распространяющие FakeBat тремя основными способами, соответствующие кампаниям, вероятно, связанным с FIN7, Nitrogen и BATLOADER.

Среди основных методов: продвижение в качестве популярного ПО с помощью вредоносной рекламы Google, фейковые обновления браузера через взломанные сайты, а также схемы социнженерии через соцсетях.

В дополнение к размещению полезных нагрузок С2-серверы FakeBat с большой вероятностью фильтруют трафик на основе таких характеристик, как значение User-Agent, IP-адрес и местоположение, что позволяет распространять вредоносное ПО по определенным целям.

FakeBat IoC и технические подробности доступны в репозитории Sekoia на GitHub, почти также и правила YARA.

Позитивы поделились аналитикой по результатам подведения ежегодных итогов пентестов за 2023 год, охватывающей 28 реализованных проектов, при этом 39% из протестированных организаций состояли в рейтинге RAEX-600.

Подробно на цифрах, трендовых уязвимостях и проблемах останавливаться не будем, рекомендуем с ними ознакомиться в расширенном исследовании, где есть и соответствующие им рекомендации, а сфокусируемся на ключевых показателях.

В целом, результаты оказались традиционно неутешительными, пентесты показали в подавляющем большинстве достаточно низкий уровень защищенности в протестированных организациях.

Из основного:

- Как и в 2022 году в 96% проектов организации оказались не защищены от проникновения злоумышленников в их внутреннюю сеть. В тех, где был получен доступ к внутренней сети, установить полный контроль над ресурсами домена удалось в 100%.

- Самое быстрое проникновение в локальную внутреннюю сеть организации было реализовано в первый же день с момента начала работ. В среднем специалистам на это потребовалось 10 дней.

- Во всех организациях удалось установить полный контроль над ИТ-инфраструктурой.

- В 63% протестированных компаний злоумышленник с низкой квалификацией сможет проникнуть в корпоративную сеть извне.

- В 64% проектов злоумышленник мог бы получить несанкционированный доступ к важной конфиденциальной информации, а в 96% - учетные данные сотрудников. 

- В 21% проектах были обнаружены следы компрометации. Иными словами, реальные злоумышленники ранее взламывали ИТ-инфраструктуру этих организаций.

- В 70% проектах по внешнему тестированию были найдены критически опасные уязвимости, связанные с использованием устаревшего ПО, в 19% проектах были обнаружены уязвимости, связанные с небезопасным кодом веб-приложений.

- 19% организаций были подвержены критически опасным уязвимостям парольной политики.

- В 11% было подтверждено наличие критически опасных уязвимостей из-за некорректной конфигурации используемого ПО.

Без комментариев.

͏Twilio подтвердила недавний инцидент с утечкой базы данных с номерами телефонов миллионов пользователей приложения Authy.

Authy - это мобильное приложение, которое обеспечивает генерацию кодов MFa на сайтах, где эта функция подключена. 

В конце июня небезызвестный ShinyHunters выставил на продажу в даркнете текстовый CSV с телефонными номерами, зарегистрированными в сервисе Authy.

Файл включает 33 420 546 строк, каждая из которых содержит идентификатор учетной записи, номер телефона, столбец over_the_top, статус учетной записи и количество устройств.

Twilio пояснила, что злоумышленники спарсили список, используя неаутентифицированную конечную точку API, как случае с аналогичными утечками через API Twitter и Facebook (признана экстремистской в России).

Украденные данные потенциально позволяет верифицировать номера телефонов миллионов пользователей Authy и делает их уязвимыми для фишинга через SMS и атак с подменой SIM-карт.

При этом разработчики не обнаружили никаких доказательств того, что злоумышленники получили доступ к системам Twilio или другим конфиденциальным данным.

В качестве мер предосторожности Twilio выпустила обновления безопасности и рекомендует пользователям обновиться до Authy Android (v25.1.0) и iOS App (v26.1.0), призывая сохранять бдительность в отношении фишинговых и смишинговых атак.

Конечно, неясно, как эти обновления помогут защитить пользователей от злоумышленников, использующихутекшие данные в атаках.

Возможно, это связано с другим инцидентом, в который также угодила Twilio, когда незащищенный контейнер AWS S3 стороннего поставщика раскрыл данные, связанные с отправляемыми SMS-сообщениями.

Как-то мы уже были свидетелями того, как логи инфостиллеров помогали выйти на самих злоумышленников, но оказывается могут быть задействованы и по другим направлениям.

Новый подход успешно, как заявляется, обкатали исследователи Insikt Group из Recorded Future, которые в своем отчете рассказали, как им удалось вычислить 3324 уникальных аккаунта, связанных с распространением CSAM (сексуальное насилие над детьми).

Поскольку этот тип вредоносного ПО обычно распространяется через пиратское ПО, вредоносную рекламу и фейковые обновления, стиллеры могут в течение длительного времени красть данные из зараженных систем, причем жертва даже не подозревает об этом.

К ним в числе прочих относятся и пользователи CSAM, которые раскрывают все креды своих счетов, электронную почту и другие личные данные, включая и учетные данные, используемые для доступа к CSAM-ресурсам с регистрацией.

Используя другие украденные у цели данные, аналитики Insikt могли отследить учетные записи по именам пользователей на различных платформах, получить их IP-адреса и в некоторых случаях системную информацию.

Insikt использовала логи, собранные с февраля 2021 года по февраль 2024 года, для идентификации CSAM путем сопоставления украденных учетных данных с двадцатью известными доменами CSAM.

После чего сопоставили реквизиты с собственными OSINT-массивами.

Как правило, украденные с помощью стиллеров учетные данные задействуется для взлома других аккаунтов, проведения целевых атак или продажи их в даркнете другим заинтересованным хакерам.

Собранные же Insikt сведения, добытые с Redline, Raccoon и Vidar через даркнет, ушли в ином направлении, а именно переданы силовикам для оперативной разработки и привлечения к ответственности.

Метод хорош, конечно, однако конкретные источники получения логов исследователи не приводят, что наводит на мысли о возможной легализации представленных данных.

Впрочем, вестник вашингтонского обкома особо никогда не скрывал своей аффилированности.

Microsoft обнаружила и раскрыла подробности критических ошибок в Rockwell Automation PanelView Plus.

RCE- уязвимость CVE-2023-2071 (оценка CVSS: 9,8) связана с неправильной проверков входных данных в PanelView Plus и включает в себя два пользовательских класса, которые можно использовать для загрузки вредоносной DLL на устройство с помощью специально созданных вредоносных пакетов.

DoS-проблема CVE-2023-29464 (оценка CVSS: 8,2) использует тот же пользовательский класс и позволяет неаутентифицированному актору считывать данные из памяти с помощью специально созданных вредоносных пакетов и приводить к DoS путем отправки пакета, размер которого превышает размер буфера.

Успешная эксплуатация этих двух уязвимостей позволяет злоумышленнику удаленно выполнить код, привести к раскрытию информации или состоянию DoS.

В то время как CVE-2023-2071 влияет на FactoryTalk View Machine Edition (версии 13.0, 12.0 и более ранние), CVE-2023-29464 затрагивает FactoryTalk Linx (версии 6.30, 6.20 и более ранние).

Предупреждения об уязвимостях были выпущены Rockwell Automation еще 12 сентября 2023 года и 12 октября 2023 года соответственно.

Как работает Лаборатория Касперского?
Люди/Бизнес/Технологии

- Истории успеха сотрудников Лаборатории Касперского
- Самые скилловые реверсеры в мире?
- Западные медиа атаки и их влияние на бизнес

Проект ITRussia рассказывает о крупнейших Tech компаниях России и о молодых стартапах!

Подписывайтесь, участвуйте в розыгрышах и будьте в тренде tech рынка России!

Обзор Лаборатории Касперского: https://youtu.be/eo-RwPrgRDs?si=xNCUcMGxVFENwmOp

Google выкатила исправления для 25 уязвимостей в Android, включая критическую ошибку повышения привилегий.

Самая серьезная из этих проблем CVE-2024-31320 затрагивает версии Android 12 и 12L и связана с компонентом Framework.

Как поясняет Google, она может привести к локальному повышению привилегий без необходимости дополнительных привилегий выполнения.

Дефект был устранен в рамках исправления безопасности 2024-07-01, которое также устраняет семь других проблем высокой степени серьезности, включая три EoP-ошибки в Framework, еще три таких же и одну уязвимость раскрытия информации в System.

Вторая часть обновления безопасности Android за июль 2024 года поступает на устройства как уровень исправления безопасности 2024-07-05 и устраняет 17 уязвимостей в компонентах Kernel, Arm, Imagination Technologies, MediaTek и Qualcomm.

Устройства с уровнем безопасности 2024-07-05 содержат исправления для всех 25 ошибок.

Пользователям рекомендуется обновить свои устройства, как только оно станет доступным.

В этом месяце Google не представила новых исправлений в рамках обновления безопасности Android Automotive, но отметила, что обновление содержит все исправления, которые содержатся в исправлении безопасности уровня 2024-07-05.

По Pixel бюллетень безопасности с подробным описанием патчей еще не вышел.

Исследователи AhnLab ASEC сообщают об атаках на серверы HTTP File Server (HFS) от Rejett с использованием критической CVE-2024-23692, обнаруженной в августе 2023 года и публично раскрытой в мае этого года.

Уязвимость внедрения шаблона позволяет неаутентифицированным удаленным злоумышленникам отправлять специально созданный HTTP-запрос для выполнения произвольных команд в уязвимой системе, затрагивая версии до 2.3m включительно.

При этом Rejetto предупреждает пользователей, что версии с 2.3m по 2.4 опасны и не должны больше использоваться из-за ошибки, которая позволяет злоумышленникам полностью скомпрометировать системы, а исправления отсутствует.

Несмотря на это, HFS 2.3m по-прежнему пользуется большой популярностью среди пользователей, небольших групп, образовательных учреждений и разработчиков, и, как обнаружили AhnLab, также востребована хакерами.

PoC-эксплойты и модуль Metasploit стали доступны сразу вскоре после раскрытия и, по данным ASEC, тогда же и началась эксплуатация в дикой природе.

В ходе наблюдаемых атак хакеры ведут сбор системной информации, устанавливают бэкдоры и различные штаммы вредоносного ПО.

Злоумышленники выполняют команды типа whoami и arp для сбора информации о системе и текущем пользователе, обнаружения подключенных устройств и общего планирования последующих действий.

Во многих случаях злоумышленники завершают процесс HFS после добавления нового пользователя в группу администраторов, чтобы воспрепятствовать другим попыткам использовать его.

На следующих этапах атак ASEC наблюдала установку XMRig для майнинга Monero, одна из которых была приписана группе LemonDuck.

Среди других полезных нагрузок, доставленных на взломанные компьютеры: XenoRAT (вместе с XMRig), Gh0stRAT (для удаленного управления и кражи данных), PlugX (бэкдор для постоянного доступа), а также GoThief (инфостллер).

Рекомендуемый безопасный вариант продукта - 0.52.x, который, несмотря на более низкую версию, в настоящее время является последним релизом HFS от разработчика.

Он веб-ориентирован, требует минимальной настройки, поставляется с поддержкой HTTPS, динамического DNS и аутентификации для административной панели.

В отчете AhnLab представлен набор IoC, в том числе хэши вредоносного ПО, IP-адреса C2, а также URL-адреса для загрузки вредоносного ПО, используемого в атаках.

͏Влед за MOAB («Мать всех утечек») с 12 ТБ и 26 млрд. записей подкатила еще одна грандиозная утечка RockYou2024, включающая 10 млрд. паролей, став крупнейшей подборкой в своем роде.

Подборку с ошеломляющими 9 948 575 739 уникальными текстовыми паролями обнаружили исследователи Cybernews 4 июля на популярном хакерском форуме ObamaCare.

Ресерчеры сравнили пароли из утечки RockYou2024 с данными Leaked Password Checker от Cybernews, результаты показали, что они были получены как из старых, так и новых утечек данных.

По сути, RockYou2024 представляет собой подборку реальных паролей, используемых людьми по всему миру, максимализируя риски атак с подстановкой учетных данных, как в случае с Snowflake, Santander, Ticketmaster, Advance Auto Parts, QuoteWizard и др.

Причем, как выяснили исследователи, в основу новой RockYou2024 легла трехгодичная подборка RockYou2021, которая в свое время также была крупнейшей, включала 8,4 млрд. паролей в виде обычного текста и являлась расширением аналогичной от 2009 года.

Автор RockYou2024 по факту обогатил предыдущую, добавив еще 1,5 миллиарда паролей с 2021 по 2024 год из новых утечек и увеличив тем самым набор данных на 15 процентов.

Таким образом, последняя версия RockYou содержит информацию, собранную из более чем 4000 баз данных за более чем два десятилетия.

Cybernews полагает, что в сочетании с наводнившими даркнет утечками, которые, например, содержат адреса электронной почты и другие учетные данные, RockYou2024 может способствовать каскаду таких утечек и сопутствующих целевых атак.

Исследователи Dr.Web расчехлили Linux-версию известного трояна TgRat.

Вредоносное ПО принадлежит к типу троянов удалённого доступа, более известному под довольно неблагозвучной, но очень меткой аббревиатурой RAT.

Изначально TgRat, написанный для ОС Windows, был найден в 2022 году и представлял собой небольшую вредоносную ПО, предназначенную для выгрузки данных с конкретной скомпрометированной машины.

Не так давно вирусные аналитики Dr.Web обнаружили его собрата, адаптированного для работы в ОС Linux.

Запрос на расследование инцидента поступил в вирусную лабораторию от компании, предоставляющей услуги хостинга.

Как выяснилось был обнаружен подозрительный файл на сервере одного из клиентов, который дроппером трояна.

Он распаковывал в систему троян  Linux.BackDoor.TgRat.2.

Этот троян также создавался для атаки на конкретные компьютеры: при запуске он сверяет хеш имени машины со строкой, вшитой в тело трояна.

Если значения не совпадают, TgRat завершает свой процесс. А в случае успешного запуска подключается к сети и реализует довольно необычную схему взаимодействия со своим С2, в качестве которого выступает Telegram-бот.

Как отмечают специалисты, популярность мессенджера и рутинность трафика к серверам Telegram способствуют маскировке вредоносного ПО в скомпрометированной сети.

Управление трояном осуществляется через закрытую группу в Telegram, к которой подключен бот.

В отличие от своего собрата для Windows, код трояна был зашифрован RSA, а для выполнения команд использовался интерпретатор bash, что позволяло выполнять целые скрипты в рамках одного сообщения.

Каждый экземпляр трояна имеет свой собственный идентификатор — таким образом злоумышленники могли отправлять команды нескольким ботам, подключив их все к одному чату.

Данная атака, несмотря на её необычность в плане выбора схемы взаимодействия между трояном и управляющим сервером, может быть выявлена при внимательном анализе сетевого трафика: обмен данными с серверами Telegram может быть характерным для пользовательских компьютеров, но никак не для сервера в локальной сети.

По результатам исследования ресерчеры Dr.Web также представили индикаторы компрометации.

Исследователи Cybereason проследили за эволюцией вредоносного ПО GootLoader, который продолжает активно использоваться для доставки дополнительной полезной нагрузки в скомпрометированные хосты.

Обновления полезной нагрузки GootLoader привели к появлению нескольких версий, в настоящее время активно задействуется GootLoader 3.

Несмотря на то, что вредоносное ПО GootLoader со временем претерпело изменения, стратегии заражения и общая функциональность остаются прежними, как и при возрождении вредоносного ПО в 2020 году.

GootLoader, вредоносный загрузчик, часть банковского трояна Gootkit, связан с субъектом угрозы Hive0127 (он же UNC2565).

Он реализует JavaScript для загрузки инструментов пост-эксплуатации, распространяется с помощью вредоносного SEO.

Обычно служит каналом для доставки различных полезных нагрузок, таких как Cobalt Strike, Gootkit, IcedID, Kronos, REvil и SystemBC.

В последние месяцы разработчики GootLoader также запустили собственный инструмент C2 и горизонтального перемещения под названием GootBot, что свидетельствует о том, что группа расширяет свой рынок, завоевывая более широкую клиентскую базу

Цепочки атак включают взлом сайтов для размещения полезной нагрузки JavaScript GootLoader, выдавая ее за юридические документы и соглашения, которая при запуске устанавливает сохранение с помощью запланированной задачи.

Затем и выполняет дополнительный JavaScript, активируя скрипт PowerShell для сбора системной информации и ожидания дальнейших инструкций.

Атаки также примечательны использованием кодирования исходного кода, обфускации потока управления и размера полезной нагрузки для противодействия анализу и обнаружению.

Другая техника подразумевает внедрение вредоносного ПО в легитимные файлы библиотеки JavaScript, такие как jQuery, Lodash, Maplace.js и tui-chart.

Технический и сравнительный анализ всех версий - в отчете.

В git-сервисе китайских разработчиков Gogs обнаружены четыре неисправленных уязвимости, в том числе три критических с оценкой CVSS: 9,9.

Среди них:
- CVE-2024-39930 (CVSS: 9,9, внедрение аргумента во встроенный SSH-сервер),
- CVE-2024-39931 (CVSS: 9,9, удаление внутренних файлов), - CVE-2024-39932 (CVSS: 9,9, внедрение аргумента во время предварительного просмотра изменений),
- CVE-2024-39933 (CVSS: 7,7, внедрение аргумента при маркировке новых релизов).

По данным SonarSource, успешная эксплуатация первых трех недостатков может позволить злоумышленнику выполнять произвольные команды на сервере Gogs, в то время как четвертая уязвимость позволяет злоумышленникам читать произвольные файлы, включая исходный код и конфигурацию.

Другими словами, злоумышленник, злоупотребляя уязвимостями, может просмотреть, изменить или удалить любой код, нацелиться на внутренние хосты, доступные с сервера Gogs, а также выдать себя за других пользователей или получить больше привилегий.

При этом все четыре уязвимости требуют аутентификации.

Кроме того, для активации CVE-2024-39930 необходимо, чтобы был включен встроенный сервер SSH, использовался исполняемый файл env, а у злоумышленника был действительный закрытый ключ SSH.

Если в экземпляре Gogs включена регистрация, злоумышленник может просто создать учетную запись и зарегистрировать свой ключ SSH.

В противном случае придется взломать другую учетную запись или украсть закрытый ключ SSH пользователя.

Экземпляры Gogs на Windows не поддаются эксплуатации, как и образ Docker.

Однако те, которые работают на Debian и Ubuntu, уязвимы из-за того, что двоичный файл env поддерживает опцию "--split-string".

По данным Shodan, в Интернете доступно около 7300 экземпляров Gogs, причем почти 60% из них находятся в Китае, за которым следуют США, Германия, Россия и Гонконг.

В настоящее время неясно, сколько из этих открытых серверов уязвимы к вышеупомянутым недостаткам.

При этом SonarSource также пока не имеет никакой информацией о том, эксплуатируются ли эти проблемы в дикой природе.

Тем не менее, весьма удивила исследователей реакция разработчиков проекта, которые так и не внесли исправления, прекратив какой-либо диалог, после получения первоначального отчета 28 апреля 2023 года.

При отсутствии обновления пользователям рекомендуется отключить встроенный SSH-сервер, отключить регистрацию пользователей для предотвращения массовой эксплуатации и рассмотреть возможность перехода на Gitea.

SonarSource также выпустила патч, который, правда, по их признанию, еще не был тщательно протестирован. Но хотя бы.

На одной известной площадке выкатили на продажу достаточно необычный экспонат.

Речь идет об уязвимости в платформе HackerOne bug bounty, которая позволяет злоумышленнику с действительными учетными данными обходить 2FA для доступа к аккаунтам и, что самое замечательное, к сообщениям об ошибках.

Кроме того, обладатель волшебной палочки сможет заполучить причитающееся исследователям вознаграждение, подменив платежные реквизиты.

Исследователи из Лаборатории Касперского расчехлили новую APT, нацеленная на российские госструктуры с целью кибершпионажа.

Злоумышленник, получивший название CloudSorcerer, задействует сложное средство кибершпионажа, предназначенное для скрытого мониторинга, сбора и эксфильтрации данных через облачные службы Microsoft Graph, Yandex Cloud и Dropbox.

При этом использует общедоступные облачные сервисы для инфраструктуры C2, взаимодействуя с ними через API с помощью токенов аутентификации.

Согласно отчету, APT вручную запускает CloudSorcerer на скомпрометированных машинах, работает как отдельные модули в зависимости от запущенного процесса, в котором он выполняется, но запускается из одного исполняемого файла.

Вредоносное ПО способно функционировать как бэкдор, инициировать модуль связи C2, а также внедрять шелл-код в explorer.exe, msiexec.exe или mspaint.exe.

Модуль бэкдора реализует сбор различной системной информации о компьютере. Данные хранятся в специально созданной структуре и записываются в именованный канал, подключенный к модулю связи.

Ввесь обмен данными организован с использованием четко определенных структур с различными целями, таких как структуры команд бэкдора и структуры сбора информации.

На основе команд, полученных через тот же канал, вредоносная ПО может собирать дополнительную информацию, выполнять команды оболочки, операции с файлами и внедрять шелл-код в процессы.

Широкий диапазон дополнительных функций реализуются при получении определенного идентификатора команды.

Примечательно, что модуль связи C2 организует первоначальное подключение к странице GitHub с форками трех публичных проектов или mail[.]ru. Обе страницы содержат одну и ту же закодированную шестнадцатеричную строку.

Первый расшифрованный байт шестнадцатеричной строки указывает вредоносной ПО, какую облачную службу использовать.

Следующие байты представляют собой строку токена авторизации, который использует облачный API для аутентификации.

Модуль C2 взаимодействует с облачными сервисами, считывая данные, получая закодированные команды, декодируя их с помощью таблицы кодов символов и отправляя их через именованный канал в модуль бэкдора. И наоборот.

По принципу действия CloudSorcerer напоминает APT CloudWizard, однако код новой вредоносной ПО совершенно иной.

Ресечреры полагают, что за CloudSorcerer стоит новая APT, применившая аналогичный метод взаимодействия с публичными облачными службами.

IoC, MITRE ATT&CK и правила YARA - в отчете.

͏ИБшник растет...🤗

Avast выпустила дешифратор для DoNex ransomware, в том числе и для всех его прошлых версий.

DoNex ransomware - это ребрендинг DarkRace 2024 года, который, в свою очередь, был ребрендингом вируса-вымогателя Muse 2023 года, впервые разработанного в апреле 2022 года.

DoNex реализует прерывистое шифрование для файлов размером более 1 МБ.

С помощью функции CryptGenRandom() генерируется ключ шифрования, который инициализирует симметричный ключ ChaCha20, используемый для шифрования файлов жертвы, после чего ключ ChaCha20 шифруется с помощью RSA-4096 и добавляется в конец каждого файла.

Такая тактика увеличивает скорость шифрования файлов, но допускает ошибки, которые можно использовать для восстановления зашифрованных данных без выплаты выкупа.

При этом Avast не уточнила конкретно, в чем заключается уязвимость. Вероятно, может быть связана с повторным использованием ключей, предсказуемой генерацией ключей, неправильным заполнением или другими проблемами.

Как отмечают исследователи, уязвимость затрагивает все версии вымогателя семейства DoNex, включая замаскированный под Lockbit 3.0 вариант, использовавшийся под названием Muse в ноябре 2022 года.

По данным Avast, в последнее время DoNex была нацелен на компании в США, Италии и Бельгии, но в целом имела более широкий географический охват, включая и Россию.

Уязвимость в криптографической схеме программы-вымогателя при этом была найдена еще в марте 2024 года, но не придавалась огласке.

Компания оказывала помощь жертвам по восстановлению зашифрованных данных в частном порядке.

После того, как она была публично раскрыта на конференции Recon 2024 в прошлом месяце, Avast решила выпустить дешифратор.

Дешифратор Avast для DoNex и предыдущих вариантов доступен здесь.

Пользователям рекомендуется выбирать 64-битную версию, так как этап взлома пароля требует большого объема памяти.

Инструмент дешифратора должен запускаться пользователем с правами администратора и потребует пару зашифрованных и исходных файлов.

Avast рекомендует пользователям предоставить в качестве образца файл максимально возможного размера и обязательно создать перед этим резервную копию зашифрованных файлов.

Исследователи Cyberthint профилировали APT Sea Turtle, также известную как Sea Turtle, Teal Kurma, Marbled Dust, SILICON и Cosmic Wolf, которая базируется в Турции.

Хакеры действуют с 2017 года и изначально засветили на перехвате DNS.

В 2021 году связать их с турецкой стороной смогли исследователи Microsoft, которые присвоили группе наименование SILICON.

Несмотря на то, что активность APT фиксировалась многими, до настоящего времени сведения по группе имеются лишь в ограниченном числе источников.

Группа реализует сбор политической и экономической разведывательной информации.

Основные цели Sea Turtle, преимущественно, включают организации в Европе, на Ближнем Востоке и в Северной Африке, прежде всего, представляющие интерес для Турецкой республики: провайдеры, IT-вендоры, медиа и политические структуры (например, РПК).

В своем отчете Cyberthint упомянули некоторые приемы и подробности деятельности группы, связанные с нарушением доступа cPanel, задействованием инструментов Adminer и SnappyTCP, а также SSH для уклонения от обнаружения.

Структурированные TTPs и IoC - в отчете.