Motherboard выяснили, что у брокеров, специализирующихся на продаже 0-day уязвимостей, появилось предложение двух уязвимостей нулевого дня для ZOOM.
Одна из 0-day уязвимостей относится к клиенту ZOOM под Windows и позволяет осуществить удаленное исполнение кода в атакуемой системе, однако может быть использована только в комплексе с другими имеющимися ошибками.
За данные об этой дырке хакеры просят 500 тыс. долларов, но, по мнению экспертов, эта цена завышена вдвое.
Вторая 0-day уязвимость присутствует в ZOOM под Мак, но не приводит к удаленному исполнению кода. Соответственно, ценность ее гораздо меньше.
Похоже, что два совета CISO, сформированные ZOOM для консультаций по вопросам информационной безопасности, пока что не очень помогают.
Одна из 0-day уязвимостей относится к клиенту ZOOM под Windows и позволяет осуществить удаленное исполнение кода в атакуемой системе, однако может быть использована только в комплексе с другими имеющимися ошибками.
За данные об этой дырке хакеры просят 500 тыс. долларов, но, по мнению экспертов, эта цена завышена вдвое.
Вторая 0-day уязвимость присутствует в ZOOM под Мак, но не приводит к удаленному исполнению кода. Соответственно, ценность ее гораздо меньше.
Похоже, что два совета CISO, сформированные ZOOM для консультаций по вопросам информационной безопасности, пока что не очень помогают.
Vice
Hackers Are Selling a Critical Zoom Zero-Day Exploit for $500,000
People who trade in zero-day exploits say there are two Zoom zero-days, one for Windows and one for MacOS, on the market.
Евгений Валентинович Маск в условиях коронавирусной самоизоляции на острове Тристан-да-Кунья с голодухи сожрал всех своих ресерчеров.
И теперь вынужден ретвитить спецов из Cisco Talos.
Конец императора тайги.
И теперь вынужден ретвитить спецов из Cisco Talos.
Конец императора тайги.
Twitter
Eugene Kaspersky
Faking fingerprints — doable, but hard ⇒ https://t.co/uoBGtqEY0o ⇐ @r00tbsd and @_vventura from @talossecurity found a way to create fake fingerprints to fool many devices, although it took a lot of effort
Хулиганы-зумбомберы добрались до Конгресса США.
Как сообщает ZDNet, 3 апреля Комитет по надзору и реформам Палаты представителей Конгресса США (по логике Палата - это аналог нашей Думы, в реале - аналог нашего Совета Федерации) проводил совещание в ZOOM, в процессе которого его зазумбомбили 3 раза.
Подробностей о том, что конкретно это было - порно, оскорбление или угрозы, - ZDNet не дает.
Мы сначала огорчились за американских законодателей. Но потом увидели, что видеоконференция представляла собой брифинг для членов Совета по правам женщин в Афганистане со Специальным генеральным инспектором по восстановлению Афганистана.
И поняли, что некоторые американские политики оторваны от текущей жизни еще сильнее наших. По крайней мере, бордюр можно потрогать руками. В отличие от прав афганских женщин.
Как сообщает ZDNet, 3 апреля Комитет по надзору и реформам Палаты представителей Конгресса США (по логике Палата - это аналог нашей Думы, в реале - аналог нашего Совета Федерации) проводил совещание в ZOOM, в процессе которого его зазумбомбили 3 раза.
Подробностей о том, что конкретно это было - порно, оскорбление или угрозы, - ZDNet не дает.
Мы сначала огорчились за американских законодателей. Но потом увидели, что видеоконференция представляла собой брифинг для членов Совета по правам женщин в Афганистане со Специальным генеральным инспектором по восстановлению Афганистана.
И поняли, что некоторые американские политики оторваны от текущей жизни еще сильнее наших. По крайней мере, бордюр можно потрогать руками. В отличие от прав афганских женщин.
ZDNET
Zoom-bombing disrupted a House Oversight Committee meeting
Zoom-bombing has now disrupted a meeting at the highest level of the US government.
Американское правительство объявило награду в 5 млн. долларов за информацию о северокорейских хакерах.
Госдеп, ФБР, Министерство финансов и Министерство национальной безопасности США выпустили руководство, посвященное деятельности северокорейских APT.
Американцы заявляют, что в рамках операции Hidden Cobra северокорейские хакеры в 2019 году заработали для КНДР более 2 млрд. долларов в результате серии атак, направленных на банки и криптообменники.
Госдеп США сообщает, что готов заплатить до 5 млн. долларов за любую информацию о киберактивности северокорейских APT, включая прошлые или текущие операции, которая приведет к идентификации или обнаружению конкретных лиц, а также к срыву такой активности.
Основным сторонним экспертом, как всегда, выступила FireEye.
Кстати, мы про северокорейские APT тоже обязательно поговорим. Их там есть - APT37 (aka Konni, Ricochet Chollima), Kimsuki (aka Velvet Chollima) и другие.
#APT
Госдеп, ФБР, Министерство финансов и Министерство национальной безопасности США выпустили руководство, посвященное деятельности северокорейских APT.
Американцы заявляют, что в рамках операции Hidden Cobra северокорейские хакеры в 2019 году заработали для КНДР более 2 млрд. долларов в результате серии атак, направленных на банки и криптообменники.
Госдеп США сообщает, что готов заплатить до 5 млн. долларов за любую информацию о киберактивности северокорейских APT, включая прошлые или текущие операции, которая приведет к идентификации или обнаружению конкретных лиц, а также к срыву такой активности.
Основным сторонним экспертом, как всегда, выступила FireEye.
Кстати, мы про северокорейские APT тоже обязательно поговорим. Их там есть - APT37 (aka Konni, Ricochet Chollima), Kimsuki (aka Velvet Chollima) и другие.
#APT
BleepingComputer
US issues guidance on North Korean hackers, offers $5M reward
The U.S. government has issued guidance on North Korean hacking activity in a joint advisory published by the U.S. Departments of State, Treasury, and Homeland Security, and the FBI.
После последнего обновления Windows в ряде случаев встроенный антивирус Microsoft Windows Defender стал крашиться, сообщает Bleeping Computer.
В ходе проведения полного сканирования системы после проверки определенного количества файлов Windows Defender зависает. При этом в процессе быстрой проверки никаких проблем не возникает.
Обновление Windows Defender не помогает. Но, что интересно, зависание антивируса происходит не на всех компьютерах.
Microsoft пока ситуацию не комментирует. Да и не удивительно, для мелкомягких подобные последствия апдейтов уже вошли в привычку - две уязвимости закрыли, три новых появилось.
В ходе проведения полного сканирования системы после проверки определенного количества файлов Windows Defender зависает. При этом в процессе быстрой проверки никаких проблем не возникает.
Обновление Windows Defender не помогает. Но, что интересно, зависание антивируса происходит не на всех компьютерах.
Microsoft пока ситуацию не комментирует. Да и не удивительно, для мелкомягких подобные последствия апдейтов уже вошли в привычку - две уязвимости закрыли, три новых появилось.
BleepingComputer
Windows Defender broken by recent updates, how to fix
When performing a full antivirus scan using Windows Defender, a recent definition update or Windows update is causing the program to crash in the middle of a scan.
Сегодня мы, как и обещали, начинаем выпускать посты про APT (терминология описана здесь, крупные хакерские группы, как правило прогосударственные.
Неожиданно, мы начнем не с российских Fancy Bear или Turla, не с ЦРУшной Longhorn и даже не с различных китайских Panda. Начнем мы с Индии.
Неделю назад Malwarebytes выпустили отчет "APT и COVID-19", который мы с интересом прочитали. И с удивлением обнаружили в нем описываемую активность индийской APT-C-09, направленную на Китай. Памятуя историю с DarkHotel мы решили присмотреться поближе.
Встречайте – APT-C-09, больше известная как Patchwork и Dropping Elephant, а также как Chinastrats и Quilted Tiger. Индийская хакерская прокси, предположительно активная с 2013 года.
Основные цели APT – государственные организации, а также крупные отраслевые структуры Китая, Японии, стран Ближнего Востока, США, Британии, Бангладеш, Шри Ланки и Пакистана.
Хакерская группа основана бывшим подполковником индийской армии Брайаном Мирандой, который более 20 лет прослужил в различных армейских подразделениях, в том числе в Разведывательном Корпусе. Специалист в областях кибербезопасности, кибер-криминалистики, информационных войн, киберразведки.
По выходу на пенсию Миранда основал инфосек компанию Phronesis Corporate Intelligence Services Pvt Ltd., под прикрытием которой и работает APT-C-09.
Основные методы группы – атаки типа spear-phishing (целевой фишинг, рассылка фишинговых сообщений специально сформированному перечню интересующих хакеров адресатов) и watering hole (атака на водопой, взлом и заражение информационного ресурса, который посещают интересующие хакеров пользователи).
Группа привлекла к себе внимание сразу нескольких инфосек-вендоров в 2015-2016 годах, когда развернула крупную киберкампанию в отношении ресурсов США, Китая, Японии и Британии. Интересующими ее отраслями были государственные структуры, авиация, СМИ, энергетика, финансы, фармакалогия. Эта кибероперация известна под названием MONSOON. И мы рассмотрим ее и другую активность индийских хакеров в следующем посте про APT.
#APT #APTC09 #Patchwork #DroppingElephant
Неожиданно, мы начнем не с российских Fancy Bear или Turla, не с ЦРУшной Longhorn и даже не с различных китайских Panda. Начнем мы с Индии.
Неделю назад Malwarebytes выпустили отчет "APT и COVID-19", который мы с интересом прочитали. И с удивлением обнаружили в нем описываемую активность индийской APT-C-09, направленную на Китай. Памятуя историю с DarkHotel мы решили присмотреться поближе.
Встречайте – APT-C-09, больше известная как Patchwork и Dropping Elephant, а также как Chinastrats и Quilted Tiger. Индийская хакерская прокси, предположительно активная с 2013 года.
Основные цели APT – государственные организации, а также крупные отраслевые структуры Китая, Японии, стран Ближнего Востока, США, Британии, Бангладеш, Шри Ланки и Пакистана.
Хакерская группа основана бывшим подполковником индийской армии Брайаном Мирандой, который более 20 лет прослужил в различных армейских подразделениях, в том числе в Разведывательном Корпусе. Специалист в областях кибербезопасности, кибер-криминалистики, информационных войн, киберразведки.
По выходу на пенсию Миранда основал инфосек компанию Phronesis Corporate Intelligence Services Pvt Ltd., под прикрытием которой и работает APT-C-09.
Основные методы группы – атаки типа spear-phishing (целевой фишинг, рассылка фишинговых сообщений специально сформированному перечню интересующих хакеров адресатов) и watering hole (атака на водопой, взлом и заражение информационного ресурса, который посещают интересующие хакеров пользователи).
Группа привлекла к себе внимание сразу нескольких инфосек-вендоров в 2015-2016 годах, когда развернула крупную киберкампанию в отношении ресурсов США, Китая, Японии и Британии. Интересующими ее отраслями были государственные структуры, авиация, СМИ, энергетика, финансы, фармакалогия. Эта кибероперация известна под названием MONSOON. И мы рассмотрим ее и другую активность индийских хакеров в следующем посте про APT.
#APT #APTC09 #Patchwork #DroppingElephant
Telegram
SecAtor
В связи с бушующей в мире эпидемией коронавируса отрасль инфосек новостей несколько скукожилась. Все сидят дома, обсуждают COVID-19, интересных кейсов все меньше.
Инсайдов – кот наплакал, источники самоизолируются и на конспиративные встречи у тополя ходить…
Инсайдов – кот наплакал, источники самоизолируются и на конспиративные встречи у тополя ходить…
Количество фишинга на тему коронавируса составляет около 20% от всех фишинговых рассылок, выявляемых Google.
Компания сообщает, что запущенное в феврале 2020 года новое поколение сканера электронной переписки Gmail успешно защищает пользователей от фишинга и спама.
Сканер активно использует технологии машинного обучения и блокирует в среднем 240 млн. спам-писем в день, а также около 100 млн. фишинговых электронных сообщений.
Интересным фактом является то, что на протяжении последней недели в среднем ежедневно Google блокирует около 18 млн. фишинговых писем, в которых в качестве приманки и используется тема COVID-19.
Удивительно, что коронавирус еще не занимает 90% во вредоносных рассылках. По крайней мере, с новостями дела обстоят именно так.
Компания сообщает, что запущенное в феврале 2020 года новое поколение сканера электронной переписки Gmail успешно защищает пользователей от фишинга и спама.
Сканер активно использует технологии машинного обучения и блокирует в среднем 240 млн. спам-писем в день, а также около 100 млн. фишинговых электронных сообщений.
Интересным фактом является то, что на протяжении последней недели в среднем ежедневно Google блокирует около 18 млн. фишинговых писем, в которых в качестве приманки и используется тема COVID-19.
Удивительно, что коронавирус еще не занимает 90% во вредоносных рассылках. По крайней мере, с новостями дела обстоят именно так.
Google Cloud Blog
Protecting against cyber threats during COVID-19 and beyond | Google Cloud Blog
COVID-19-related phishing and malware threats and steps to effectively deal with them
По сообщению ZDNet на известном хакерском форуме вчера были размещены данные 20 млн. пользователей бразильского альтернативного магазина Android-приложений Aptoide.
Данные включают в себя адреса электронной почты, хешированные пароли, регистрационные данные, включая IP-адрес регистрации и данные использовавшегося устройства. Вся информация относится к 2016-2018 годам.
По словам выложившего их хакера, всего в его наличии есть сведения более чем о 39 млн. пользователях ресурса.
Данные включают в себя адреса электронной почты, хешированные пароли, регистрационные данные, включая IP-адрес регистрации и данные использовавшегося устройства. Вся информация относится к 2016-2018 годам.
По словам выложившего их хакера, всего в его наличии есть сведения более чем о 39 млн. пользователях ресурса.
ZDNet
Details of 20 million Aptoide app store users leaked on hacking forum
Hacker claims to be in possession of 39 million Aptoide user records. Leaks 20 million today.
Совершенно замечательная история от BleepingComputer.
Тайваньское подразделение Digital Crimes Unit (DCU) компании Microsoft в августе 2019 года выявило ботнет из 400 тыс. скомпрометированных устройств. Сеть была универсальной и использовалась как для осуществления DDoS-атак, так и для фишинга, загрузки вредоносов и пр.
Microsoft DCU передали информацию в отношении ботнета в Бюро расследования Министерства юстиции Тайваня (MJIB), которое провело разыскные мероприятия и нашло его управляющий центр. Им оказалась консоль управления светодиодным освещением (!), которая была скомпрометирована злоумышленниками.
Внимательно следите за своим холодильником, возможно в данный момент он управляет DDoS-атакой на Пентагон!
Тайваньское подразделение Digital Crimes Unit (DCU) компании Microsoft в августе 2019 года выявило ботнет из 400 тыс. скомпрометированных устройств. Сеть была универсальной и использовалась как для осуществления DDoS-атак, так и для фишинга, загрузки вредоносов и пр.
Microsoft DCU передали информацию в отношении ботнета в Бюро расследования Министерства юстиции Тайваня (MJIB), которое провело разыскные мероприятия и нашло его управляющий центр. Им оказалась консоль управления светодиодным освещением (!), которая была скомпрометирована злоумышленниками.
Внимательно следите за своим холодильником, возможно в данный момент он управляет DDoS-атакой на Пентагон!
BleepingComputer
Microsoft helped stop a botnet controlled via an LED light console
Microsoft says that its Digital Crimes Unit (DCU) discovered and helped take down a botnet of 400,000 compromised devices controlled with the help of an LED light control console.
"Некоммерческая организация Tor Project, стоящая за разработкой одноимённого безопасного браузера", ага, как же.
Вообще-то за разработкой Tor стояло Разведуправление Минобороны США (РУМО).
Коллеги, учите матчасть.
Вообще-то за разработкой Tor стояло Разведуправление Минобороны США (РУМО).
Коллеги, учите матчасть.
Forwarded from AM Live
Tor Project вынужден уволить 37% штата из-за пандемии COVID-19
https://www.anti-malware.ru/news/2020-04-20-1447/32492
https://www.anti-malware.ru/news/2020-04-20-1447/32492
Anti-Malware
Tor Project вынужден уволить 37% штата из-за пандемии COVID-19
Некоммерческая организация Tor Project, стоящая за разработкой одноимённого безопасного браузера, тоже пострадала от пандемии новой коронавирусной инфекции COVID-19. Дошло до сокращения части штата,
ZDNet пишет, что вчера на одном из хакерских форумов была размещена база учетных данных почти 23 миллионов пользователей онлайн-игры Webkinz World.
Сама новость особо примечательной не является, если бы не одно но - Webkinz World это онлайн-игра исключительно для детей, запущенная канадской компанией по производству игрушек Ganz.
В слитой базе данных содержатся логины и MD5-хеши соответствующих паролей. Последние, как известно, давно не считаются стойкими.
Кроме того, якобы хакеры украли также хеши адресов электронной почты родителей, но в слитой базе данных они не содержатся.
Были ли получены хакерами какие-либо регистрационные данные детей - не известно. Webkinz World утверждают, что нет, но в таких случаях рассчитывать на искренность представителей подломанной стороны не приходится.
Сама история, конечно, странная. Мы не можем представить себе с какой целью изначально хакеры ломали детскую онлайн-игру. Нереализованные комплексы? Желание получить самый крутой плюшевый меч?
По нашему мнению, безопасность регистрационных данных детей в сети - это действительно серьезная проблема. Детских сервисов полно, часть из них просит указать о себе какие-то сведения, загружают фотографии и видео, а вопросы информационной безопасности, наверняка, являются делом десятым.
Следи за собой, будь осторожен (с)
Сама новость особо примечательной не является, если бы не одно но - Webkinz World это онлайн-игра исключительно для детей, запущенная канадской компанией по производству игрушек Ganz.
В слитой базе данных содержатся логины и MD5-хеши соответствующих паролей. Последние, как известно, давно не считаются стойкими.
Кроме того, якобы хакеры украли также хеши адресов электронной почты родителей, но в слитой базе данных они не содержатся.
Были ли получены хакерами какие-либо регистрационные данные детей - не известно. Webkinz World утверждают, что нет, но в таких случаях рассчитывать на искренность представителей подломанной стороны не приходится.
Сама история, конечно, странная. Мы не можем представить себе с какой целью изначально хакеры ломали детскую онлайн-игру. Нереализованные комплексы? Желание получить самый крутой плюшевый меч?
По нашему мнению, безопасность регистрационных данных детей в сети - это действительно серьезная проблема. Детских сервисов полно, часть из них просит указать о себе какие-то сведения, загружают фотографии и видео, а вопросы информационной безопасности, наверняка, являются делом десятым.
Следи за собой, будь осторожен (с)
В Королевстве Нидерландов небольшой инфосек скандальчик.
Голландское Министерство здравоохранения разместило в сети исходники семи приложений для публичной проверки, одним из которых являлось мобильное приложение для отслеживания распространения коронавируса Covid19 Alert.
Неожиданно оказалось, что разработчик приложения Immotef забыл в исходнике кусок базы данных из другого своего приложения, а в этой БД хранились в открытом виде сведения о 200 пользователях, включая полные имена, адреса электронной почты и хеши паролей.
Как только это вскрылось информация была убрана из сети, а разработчики Covid19 Alert сообщили, что допустили ошибку из-за спешки в подготовке исходников.
Покажите это кто-нибудь Здольникову (https://t.me/itsorm), а то у него на кисельных берегах европейского инфосека от розовых поней не протолкнуться. И все с радугами в одном месте, что характерно.
Голландское Министерство здравоохранения разместило в сети исходники семи приложений для публичной проверки, одним из которых являлось мобильное приложение для отслеживания распространения коронавируса Covid19 Alert.
Неожиданно оказалось, что разработчик приложения Immotef забыл в исходнике кусок базы данных из другого своего приложения, а в этой БД хранились в открытом виде сведения о 200 пользователях, включая полные имена, адреса электронной почты и хеши паролей.
Как только это вскрылось информация была убрана из сети, а разработчики Covid19 Alert сообщили, что допустили ошибку из-за спешки в подготовке исходников.
Покажите это кто-нибудь Здольникову (https://t.me/itsorm), а то у него на кисельных берегах европейского инфосека от розовых поней не протолкнуться. И все с радугами в одном месте, что характерно.
ZDNET
Proposed government coronavirus tracking app falls at the first hurdle due to data breach
The source code of a proposed app for tracing COVID-19 exposed user data after being published online.
Ransomware продолжают свое торжественное шествие. Теперь и в NASDAQ-100.
Американский ИТ-гигант Cognizant подтвердил, что попал под каток Maze ransomware. Проблемы затронули как внутренние сети, так и услуги клиентам компании.
Cognizant является ИТ-корпорацией, входящей в NASDAQ-100. Капитализация компании составляет более 30 млрд. долларов, на нее работает больше 250 тыс. сотрудников. Не Apple конечно, так и конец времен еще не наступил.
Похоже, что у операторов Maze в этом месяце revenue будет много больше обычного.
Американский ИТ-гигант Cognizant подтвердил, что попал под каток Maze ransomware. Проблемы затронули как внутренние сети, так и услуги клиентам компании.
Cognizant является ИТ-корпорацией, входящей в NASDAQ-100. Капитализация компании составляет более 30 млрд. долларов, на нее работает больше 250 тыс. сотрудников. Не Apple конечно, так и конец времен еще не наступил.
Похоже, что у операторов Maze в этом месяце revenue будет много больше обычного.
News | Cognizant Technology Solutions
Cognizant Security Incident Update
Cognizant can confirm that a security incident involving our internal systems, and causing service disruptions for some of our clients, is the result of a Maze ransomware attack. Our internal...
Продолжаем наши расследования деятельности крупных хакерских групп, они же APT.
В прошлый раз мы обсуждали индийскую APT-C-09 aka Patchwork. А сегодня рассмотрим ее конкретные операции.
В декабре 2015 года Patchwork развернула большую кампанию, которая, спустя почти полгода, попала в поле зрения сразу нескольких инфосек вендоров – Forcepoint, Cymmetria, Касперский, CrowdStrike. Каждый дал ей свое название, но мы для определенности возьмем MONSOON.
Основным наблюдаемым приемом в процессе MONSOON был целевой фишинг, хотя встречались и "атаки на водопой". Масштаб был внушительным – более 110 стран и 6000 конкретных целей.
В процессе кампании APT применяла множество инструментов, взятых с различных хакерских ресурсов, к примеру свободно распространяемые бэкдоры. Вместе с тем, были и уникальные разработки – такие как BADNEWS и TINYTYPHON (которая, впрочем, была переработана из червя MyDoom).
Вообще, в ходе этой кампании APT-C-09 демонстрировали уникальный сплав изобретательности и раздолбайства. Что, в принципе, для индийцев неудивительно – наверняка подготовку к атакам они разбавляли танцами.
Так, применяя достаточно интересные приемы по скрытию своих управляющих центров они, в то же время, ухитрились запалить индийские статические IP-адреса в процессе входа на эти самые управляющие центры.
Основной приманкой служили документы на китайскую государственную тематику – фейковые военные отчеты, дипломатические письма, обзоры вопросов безопасности и пр. Также использовались поддельные новостные ресурсы про Китай и специально созданные аккаунты в крупных социальных сетях. Кстати говоря, последние были зарегистрированы в декабре 2014 года, что говорит о том, что позиции для MONSOON готовились заблаговременно.
Анализируя профиль потенциальных жертв MONSOON и использовавшиеся приманки можно утверждать, что с большой долей вероятности целью киберкампании было добывание любой информации, связанной с внешнеполиической деятельностью Китая и его взаимоотношениями с другими странами.
Основанием для старта киберкампании могло послужить подписание в 2015 году соглашения между Поднебесной и Пакистаном по созданию китайско-пакистанского экономического коридора, что грозило серьезно изменить баланс сил в регионе не в пользу Дели.
Вместе с тем, в ходе обострения в сентябре 2016 года отношений между Индией и Пакистаном, возникшего в результате нападения пропакистанских боевиков на лагерь индийской армии в штате Джамму и Кашмир, китайское руководство поддержало Индию, заявив, что Китай решительно отвергает любые проявления терроризма. Волшебным образом это заявление совпало со спадом активности MONSOON.
Некоторые инфосек эксперты в ходе расследования MONSOON высказывали предположение, что индийская хакерская группа, стоящая за атакой, ответственна также за кибероперацию Hangover, которая была выявлена в 2013 году.
Hangover, по некоторым данным, продолжалась около 3 лет и была направлена на госучреждения Пакистана, США, Ирана и, частично, Китая, а также, неожиданно, на норвежского сотового оператора Telenor.
Однако, делать однозначные выводы в данном случае сложно, между двумя атаками были и сходства и серьезные различия. Наши "любимые" FireEye так вообще утверждали, что за Hangover стоит Китай. Но у них всегда виноват либо Китай, либо Иран, либо Россия, либо малыш Ким.
Еще одной интересной активностью APT-C-09, коррелирующей до недель с геополитическими событиями вокруг Индии, стала направленная на Пакистан фишинговая кампания, которая произошла летом 2019 года.
Как известно, в этот момент произошло резкое обострение обстановки вокруг штата Джамму и Кашмир после отмены его особого статуса властями Индии. Команда RedDrip китайского инфосек вендора QiAnXin получила данные о целевом фишинге, использующем тему Кашмира в качестве приманки. Ряд признаков указывал на APT-C-09 как на источник атаки.
Впрочем, пакистанцы тоже активно работали против Индии в киберпространстве. И в одном из последующих постов, посвященных APT, мы обязательно коснемся наших задорных друзей из Исламабада.
#APT #APTC09 #Patchwork
В прошлый раз мы обсуждали индийскую APT-C-09 aka Patchwork. А сегодня рассмотрим ее конкретные операции.
В декабре 2015 года Patchwork развернула большую кампанию, которая, спустя почти полгода, попала в поле зрения сразу нескольких инфосек вендоров – Forcepoint, Cymmetria, Касперский, CrowdStrike. Каждый дал ей свое название, но мы для определенности возьмем MONSOON.
Основным наблюдаемым приемом в процессе MONSOON был целевой фишинг, хотя встречались и "атаки на водопой". Масштаб был внушительным – более 110 стран и 6000 конкретных целей.
В процессе кампании APT применяла множество инструментов, взятых с различных хакерских ресурсов, к примеру свободно распространяемые бэкдоры. Вместе с тем, были и уникальные разработки – такие как BADNEWS и TINYTYPHON (которая, впрочем, была переработана из червя MyDoom).
Вообще, в ходе этой кампании APT-C-09 демонстрировали уникальный сплав изобретательности и раздолбайства. Что, в принципе, для индийцев неудивительно – наверняка подготовку к атакам они разбавляли танцами.
Так, применяя достаточно интересные приемы по скрытию своих управляющих центров они, в то же время, ухитрились запалить индийские статические IP-адреса в процессе входа на эти самые управляющие центры.
Основной приманкой служили документы на китайскую государственную тематику – фейковые военные отчеты, дипломатические письма, обзоры вопросов безопасности и пр. Также использовались поддельные новостные ресурсы про Китай и специально созданные аккаунты в крупных социальных сетях. Кстати говоря, последние были зарегистрированы в декабре 2014 года, что говорит о том, что позиции для MONSOON готовились заблаговременно.
Анализируя профиль потенциальных жертв MONSOON и использовавшиеся приманки можно утверждать, что с большой долей вероятности целью киберкампании было добывание любой информации, связанной с внешнеполиической деятельностью Китая и его взаимоотношениями с другими странами.
Основанием для старта киберкампании могло послужить подписание в 2015 году соглашения между Поднебесной и Пакистаном по созданию китайско-пакистанского экономического коридора, что грозило серьезно изменить баланс сил в регионе не в пользу Дели.
Вместе с тем, в ходе обострения в сентябре 2016 года отношений между Индией и Пакистаном, возникшего в результате нападения пропакистанских боевиков на лагерь индийской армии в штате Джамму и Кашмир, китайское руководство поддержало Индию, заявив, что Китай решительно отвергает любые проявления терроризма. Волшебным образом это заявление совпало со спадом активности MONSOON.
Некоторые инфосек эксперты в ходе расследования MONSOON высказывали предположение, что индийская хакерская группа, стоящая за атакой, ответственна также за кибероперацию Hangover, которая была выявлена в 2013 году.
Hangover, по некоторым данным, продолжалась около 3 лет и была направлена на госучреждения Пакистана, США, Ирана и, частично, Китая, а также, неожиданно, на норвежского сотового оператора Telenor.
Однако, делать однозначные выводы в данном случае сложно, между двумя атаками были и сходства и серьезные различия. Наши "любимые" FireEye так вообще утверждали, что за Hangover стоит Китай. Но у них всегда виноват либо Китай, либо Иран, либо Россия, либо малыш Ким.
Еще одной интересной активностью APT-C-09, коррелирующей до недель с геополитическими событиями вокруг Индии, стала направленная на Пакистан фишинговая кампания, которая произошла летом 2019 года.
Как известно, в этот момент произошло резкое обострение обстановки вокруг штата Джамму и Кашмир после отмены его особого статуса властями Индии. Команда RedDrip китайского инфосек вендора QiAnXin получила данные о целевом фишинге, использующем тему Кашмира в качестве приманки. Ряд признаков указывал на APT-C-09 как на источник атаки.
Впрочем, пакистанцы тоже активно работали против Индии в киберпространстве. И в одном из последующих постов, посвященных APT, мы обязательно коснемся наших задорных друзей из Исламабада.
#APT #APTC09 #Patchwork
Telegram
SecAtor
Сегодня мы, как и обещали, начинаем выпускать посты про APT (терминология описана здесь, крупные хакерские группы, как правило прогосударственные.
Неожиданно, мы начнем не с российских Fancy Bear или Turla, не с ЦРУшной Longhorn и даже не с различных китайских…
Неожиданно, мы начнем не с российских Fancy Bear или Turla, не с ЦРУшной Longhorn и даже не с различных китайских…
А вчера, пока мы готовили пост про MONSOON, японские ресерчеры из Ricerca Security запилили таки эксплойт CVE-2020-0796, приводящий к удаленному исполнению кода в целевой системе. Мы писали про эту уязвимость в марте.
Впрочем, мы надеемся, что все сознательные люди уже давно пропатчили свои операционки от Microsoft и эта уязвимость SMBv3 им не страшна. В противном случае - тикайте с городу.
Впрочем, мы надеемся, что все сознательные люди уже давно пропатчили свои операционки от Microsoft и эта уязвимость SMBv3 им не страшна. В противном случае - тикайте с городу.
Blogspot
"I'll ask your body": SMBGhost pre-auth RCE abusing Direct Memory Access structs
Posted by hugeh0ge, Ricerca Security NOTE: We have decided to make our PoC exclusively available to our customers to avoid abuse by scr...
Друзья, и мы снова обращаемся к вам за помощью.
Если у кого-нибудь, случаем, в распоряжении оказался отчет Blackberry "Decade of the RATs. Novel Cross-Platform APT Attacks Targeting Linux, Windows and Android", мы были бы признательны за возможность с ним ознакомиться.
Скинуть, как и прежде, можно нам на почту. Правда, наш адрес немного изменился, но все есть в прикрепленном посте.
Заранее благодарны.
Если у кого-нибудь, случаем, в распоряжении оказался отчет Blackberry "Decade of the RATs. Novel Cross-Platform APT Attacks Targeting Linux, Windows and Android", мы были бы признательны за возможность с ним ознакомиться.
Скинуть, как и прежде, можно нам на почту. Правда, наш адрес немного изменился, но все есть в прикрепленном посте.
Заранее благодарны.
BleepingComputer сообщает, что в дарквебе появилась в продаже база данных пользователей Facebook, ранее замеченная в открытом доступе известным исследователем Бобом Дьяченко.
Тогда провайдер оперативно отключил сервер, на котором хранились сведения, а Дьяченко предположил, что это была украденная хакерами информация Facebook, которую просто плохо сконфигурировали.
БД содержала более чем 267 млн. записей о пользователях Facebook, включающих имя пользователя, его телефон, адрес электронной почты и идентификатор социальной сети.
Сейчас же исследователи инфосек компании Cyble нашли ее в продаже в дарквебе и на хакерских форумах всего за 500 фунтов стерлингов.
О, эти известные золотые стандарты информационной безопасности Facebook. Цукерберг, кажется, слил и продал уже все пользовательские данные, которые только можно слить или продать.
Тогда провайдер оперативно отключил сервер, на котором хранились сведения, а Дьяченко предположил, что это была украденная хакерами информация Facebook, которую просто плохо сконфигурировали.
БД содержала более чем 267 млн. записей о пользователях Facebook, включающих имя пользователя, его телефон, адрес электронной почты и идентификатор социальной сети.
Сейчас же исследователи инфосек компании Cyble нашли ее в продаже в дарквебе и на хакерских форумах всего за 500 фунтов стерлингов.
О, эти известные золотые стандарты информационной безопасности Facebook. Цукерберг, кажется, слил и продал уже все пользовательские данные, которые только можно слить или продать.
BleepingComputer
267 million Facebook profiles sold for $600 on the dark web
Threat actors are selling over 267 million Facebook profiles for £500 ($623) on dark web sites and hacker forums. While none of these records include passwords, they do contain information that could allow attackers to perform spear phishing or SMS attacks…
ZDNet сообщает, что APT Winnti, вероятно, нацелилась на производителя известной корейской онлайн-игры Ragnarok Online.
Данный вывод сделан из отчета немецкой инфосек компании QuoIntelligence, которая исследовав выявленный в конце февраля образец дроппера, предположительно принадлежащего Winnti, выявила в нем строку "0x1A0: "GRAVITY".
Проведя мозговой штурм, исследователи из Франкфурта-на-Майне пришли к выводу, что эта строчка относится к южнокорейской компании Gravity Co., Ltd, производителя Ragnarok Online.
Тут сразу надо дать пояснения.
Вот мы беглым поиском нашли кроме корейского производителя онлайн-игр еще и американскую компанию Gravity Payments, осуществляющую денежные переводы и имевшую в 2018 году оборот в 10,2 млрд. долларов. А также компанию Gravity Industries, производителя джетпаков.
Почему же немцы не предположили, что китайцев (а Winnti - это китайская APT) заинтересовали, например, технологии производства джетпаков?
А вот почему. Исследователи из QuoIntelligence уверены, что Winnti и APT41 это одна и та же группа. А уже APT41 действительно, по некоторым данным, специализировалась на производителях видеоигр. Между тем, это совсем не факт.
Некоторые инфосек вендоры, например ESET, допускали, что Winnti в той или иной мере ассоциированы с APT41. А тот же FireEye считает, что это разные группы и именует APT41 как DoubleDragon.
Но новость уже разошлась и все пишут, что Winnti aka APT41 атакует Ragnarok Online.
Вот такая она, эта индустрия инфосек новостей.
А мы, пожалуй, следующими рассмотрим как раз APT41 и Winnti. Тем более, что они в последнее время достаточно активны.
#APT #Winnti #APT41
Данный вывод сделан из отчета немецкой инфосек компании QuoIntelligence, которая исследовав выявленный в конце февраля образец дроппера, предположительно принадлежащего Winnti, выявила в нем строку "0x1A0: "GRAVITY".
Проведя мозговой штурм, исследователи из Франкфурта-на-Майне пришли к выводу, что эта строчка относится к южнокорейской компании Gravity Co., Ltd, производителя Ragnarok Online.
Тут сразу надо дать пояснения.
Вот мы беглым поиском нашли кроме корейского производителя онлайн-игр еще и американскую компанию Gravity Payments, осуществляющую денежные переводы и имевшую в 2018 году оборот в 10,2 млрд. долларов. А также компанию Gravity Industries, производителя джетпаков.
Почему же немцы не предположили, что китайцев (а Winnti - это китайская APT) заинтересовали, например, технологии производства джетпаков?
А вот почему. Исследователи из QuoIntelligence уверены, что Winnti и APT41 это одна и та же группа. А уже APT41 действительно, по некоторым данным, специализировалась на производителях видеоигр. Между тем, это совсем не факт.
Некоторые инфосек вендоры, например ESET, допускали, что Winnti в той или иной мере ассоциированы с APT41. А тот же FireEye считает, что это разные группы и именует APT41 как DoubleDragon.
Но новость уже разошлась и все пишут, что Winnti aka APT41 атакует Ragnarok Online.
Вот такая она, эта индустрия инфосек новостей.
А мы, пожалуй, следующими рассмотрим как раз APT41 и Winnti. Тем более, что они в последнее время достаточно активны.
#APT #Winnti #APT41
ZDNet
Chinese hackers targeted company behind 'Ragnarok Online' MMORPG
Security firm finds new Chinese malware aimed at the Gravity game maker's network. Unclear if the attempted intrusion succeeded.
Спасибо всем, кто отозвался и прислал отчет Blackberry "Decade of the RATs. Novel Cross-Platform APT Attacks Targeting Linux, Windows and Android".
Будем почитать.
Будем почитать.
Появились новости, что северокорейские хакеры проводят фишинг на высокопоставленных дипломатических работников (подробностей нет).
Один из используемых фейковых сайтов - kaspersky-pro(.)com
https://twitter.com/issuemakerslab/status/1252605779942584321
Один из используемых фейковых сайтов - kaspersky-pro(.)com
https://twitter.com/issuemakerslab/status/1252605779942584321
Twitter
IssueMakersLab
North Korea's RGB-D5 used Google Drive phishing to attack key figures in diplomatic organizations. They are believed to have been exploited by various servers, one of which is kaspersky-pro(.)com.