Сегодня мы, как и обещали, начинаем выпускать посты про APT (терминология описана здесь, крупные хакерские группы, как правило прогосударственные.
Неожиданно, мы начнем не с российских Fancy Bear или Turla, не с ЦРУшной Longhorn и даже не с различных китайских Panda. Начнем мы с Индии.
Неделю назад Malwarebytes выпустили отчет "APT и COVID-19", который мы с интересом прочитали. И с удивлением обнаружили в нем описываемую активность индийской APT-C-09, направленную на Китай. Памятуя историю с DarkHotel мы решили присмотреться поближе.
Встречайте – APT-C-09, больше известная как Patchwork и Dropping Elephant, а также как Chinastrats и Quilted Tiger. Индийская хакерская прокси, предположительно активная с 2013 года.
Основные цели APT – государственные организации, а также крупные отраслевые структуры Китая, Японии, стран Ближнего Востока, США, Британии, Бангладеш, Шри Ланки и Пакистана.
Хакерская группа основана бывшим подполковником индийской армии Брайаном Мирандой, который более 20 лет прослужил в различных армейских подразделениях, в том числе в Разведывательном Корпусе. Специалист в областях кибербезопасности, кибер-криминалистики, информационных войн, киберразведки.
По выходу на пенсию Миранда основал инфосек компанию Phronesis Corporate Intelligence Services Pvt Ltd., под прикрытием которой и работает APT-C-09.
Основные методы группы – атаки типа spear-phishing (целевой фишинг, рассылка фишинговых сообщений специально сформированному перечню интересующих хакеров адресатов) и watering hole (атака на водопой, взлом и заражение информационного ресурса, который посещают интересующие хакеров пользователи).
Группа привлекла к себе внимание сразу нескольких инфосек-вендоров в 2015-2016 годах, когда развернула крупную киберкампанию в отношении ресурсов США, Китая, Японии и Британии. Интересующими ее отраслями были государственные структуры, авиация, СМИ, энергетика, финансы, фармакалогия. Эта кибероперация известна под названием MONSOON. И мы рассмотрим ее и другую активность индийских хакеров в следующем посте про APT.
#APT #APTC09 #Patchwork #DroppingElephant
Неожиданно, мы начнем не с российских Fancy Bear или Turla, не с ЦРУшной Longhorn и даже не с различных китайских Panda. Начнем мы с Индии.
Неделю назад Malwarebytes выпустили отчет "APT и COVID-19", который мы с интересом прочитали. И с удивлением обнаружили в нем описываемую активность индийской APT-C-09, направленную на Китай. Памятуя историю с DarkHotel мы решили присмотреться поближе.
Встречайте – APT-C-09, больше известная как Patchwork и Dropping Elephant, а также как Chinastrats и Quilted Tiger. Индийская хакерская прокси, предположительно активная с 2013 года.
Основные цели APT – государственные организации, а также крупные отраслевые структуры Китая, Японии, стран Ближнего Востока, США, Британии, Бангладеш, Шри Ланки и Пакистана.
Хакерская группа основана бывшим подполковником индийской армии Брайаном Мирандой, который более 20 лет прослужил в различных армейских подразделениях, в том числе в Разведывательном Корпусе. Специалист в областях кибербезопасности, кибер-криминалистики, информационных войн, киберразведки.
По выходу на пенсию Миранда основал инфосек компанию Phronesis Corporate Intelligence Services Pvt Ltd., под прикрытием которой и работает APT-C-09.
Основные методы группы – атаки типа spear-phishing (целевой фишинг, рассылка фишинговых сообщений специально сформированному перечню интересующих хакеров адресатов) и watering hole (атака на водопой, взлом и заражение информационного ресурса, который посещают интересующие хакеров пользователи).
Группа привлекла к себе внимание сразу нескольких инфосек-вендоров в 2015-2016 годах, когда развернула крупную киберкампанию в отношении ресурсов США, Китая, Японии и Британии. Интересующими ее отраслями были государственные структуры, авиация, СМИ, энергетика, финансы, фармакалогия. Эта кибероперация известна под названием MONSOON. И мы рассмотрим ее и другую активность индийских хакеров в следующем посте про APT.
#APT #APTC09 #Patchwork #DroppingElephant
Telegram
SecAtor
В связи с бушующей в мире эпидемией коронавируса отрасль инфосек новостей несколько скукожилась. Все сидят дома, обсуждают COVID-19, интересных кейсов все меньше.
Инсайдов – кот наплакал, источники самоизолируются и на конспиративные встречи у тополя ходить…
Инсайдов – кот наплакал, источники самоизолируются и на конспиративные встречи у тополя ходить…
Количество фишинга на тему коронавируса составляет около 20% от всех фишинговых рассылок, выявляемых Google.
Компания сообщает, что запущенное в феврале 2020 года новое поколение сканера электронной переписки Gmail успешно защищает пользователей от фишинга и спама.
Сканер активно использует технологии машинного обучения и блокирует в среднем 240 млн. спам-писем в день, а также около 100 млн. фишинговых электронных сообщений.
Интересным фактом является то, что на протяжении последней недели в среднем ежедневно Google блокирует около 18 млн. фишинговых писем, в которых в качестве приманки и используется тема COVID-19.
Удивительно, что коронавирус еще не занимает 90% во вредоносных рассылках. По крайней мере, с новостями дела обстоят именно так.
Компания сообщает, что запущенное в феврале 2020 года новое поколение сканера электронной переписки Gmail успешно защищает пользователей от фишинга и спама.
Сканер активно использует технологии машинного обучения и блокирует в среднем 240 млн. спам-писем в день, а также около 100 млн. фишинговых электронных сообщений.
Интересным фактом является то, что на протяжении последней недели в среднем ежедневно Google блокирует около 18 млн. фишинговых писем, в которых в качестве приманки и используется тема COVID-19.
Удивительно, что коронавирус еще не занимает 90% во вредоносных рассылках. По крайней мере, с новостями дела обстоят именно так.
Google Cloud Blog
Protecting against cyber threats during COVID-19 and beyond | Google Cloud Blog
COVID-19-related phishing and malware threats and steps to effectively deal with them
По сообщению ZDNet на известном хакерском форуме вчера были размещены данные 20 млн. пользователей бразильского альтернативного магазина Android-приложений Aptoide.
Данные включают в себя адреса электронной почты, хешированные пароли, регистрационные данные, включая IP-адрес регистрации и данные использовавшегося устройства. Вся информация относится к 2016-2018 годам.
По словам выложившего их хакера, всего в его наличии есть сведения более чем о 39 млн. пользователях ресурса.
Данные включают в себя адреса электронной почты, хешированные пароли, регистрационные данные, включая IP-адрес регистрации и данные использовавшегося устройства. Вся информация относится к 2016-2018 годам.
По словам выложившего их хакера, всего в его наличии есть сведения более чем о 39 млн. пользователях ресурса.
ZDNet
Details of 20 million Aptoide app store users leaked on hacking forum
Hacker claims to be in possession of 39 million Aptoide user records. Leaks 20 million today.
Совершенно замечательная история от BleepingComputer.
Тайваньское подразделение Digital Crimes Unit (DCU) компании Microsoft в августе 2019 года выявило ботнет из 400 тыс. скомпрометированных устройств. Сеть была универсальной и использовалась как для осуществления DDoS-атак, так и для фишинга, загрузки вредоносов и пр.
Microsoft DCU передали информацию в отношении ботнета в Бюро расследования Министерства юстиции Тайваня (MJIB), которое провело разыскные мероприятия и нашло его управляющий центр. Им оказалась консоль управления светодиодным освещением (!), которая была скомпрометирована злоумышленниками.
Внимательно следите за своим холодильником, возможно в данный момент он управляет DDoS-атакой на Пентагон!
Тайваньское подразделение Digital Crimes Unit (DCU) компании Microsoft в августе 2019 года выявило ботнет из 400 тыс. скомпрометированных устройств. Сеть была универсальной и использовалась как для осуществления DDoS-атак, так и для фишинга, загрузки вредоносов и пр.
Microsoft DCU передали информацию в отношении ботнета в Бюро расследования Министерства юстиции Тайваня (MJIB), которое провело разыскные мероприятия и нашло его управляющий центр. Им оказалась консоль управления светодиодным освещением (!), которая была скомпрометирована злоумышленниками.
Внимательно следите за своим холодильником, возможно в данный момент он управляет DDoS-атакой на Пентагон!
BleepingComputer
Microsoft helped stop a botnet controlled via an LED light console
Microsoft says that its Digital Crimes Unit (DCU) discovered and helped take down a botnet of 400,000 compromised devices controlled with the help of an LED light control console.
"Некоммерческая организация Tor Project, стоящая за разработкой одноимённого безопасного браузера", ага, как же.
Вообще-то за разработкой Tor стояло Разведуправление Минобороны США (РУМО).
Коллеги, учите матчасть.
Вообще-то за разработкой Tor стояло Разведуправление Минобороны США (РУМО).
Коллеги, учите матчасть.
Forwarded from AM Live
Tor Project вынужден уволить 37% штата из-за пандемии COVID-19
https://www.anti-malware.ru/news/2020-04-20-1447/32492
https://www.anti-malware.ru/news/2020-04-20-1447/32492
Anti-Malware
Tor Project вынужден уволить 37% штата из-за пандемии COVID-19
Некоммерческая организация Tor Project, стоящая за разработкой одноимённого безопасного браузера, тоже пострадала от пандемии новой коронавирусной инфекции COVID-19. Дошло до сокращения части штата,
ZDNet пишет, что вчера на одном из хакерских форумов была размещена база учетных данных почти 23 миллионов пользователей онлайн-игры Webkinz World.
Сама новость особо примечательной не является, если бы не одно но - Webkinz World это онлайн-игра исключительно для детей, запущенная канадской компанией по производству игрушек Ganz.
В слитой базе данных содержатся логины и MD5-хеши соответствующих паролей. Последние, как известно, давно не считаются стойкими.
Кроме того, якобы хакеры украли также хеши адресов электронной почты родителей, но в слитой базе данных они не содержатся.
Были ли получены хакерами какие-либо регистрационные данные детей - не известно. Webkinz World утверждают, что нет, но в таких случаях рассчитывать на искренность представителей подломанной стороны не приходится.
Сама история, конечно, странная. Мы не можем представить себе с какой целью изначально хакеры ломали детскую онлайн-игру. Нереализованные комплексы? Желание получить самый крутой плюшевый меч?
По нашему мнению, безопасность регистрационных данных детей в сети - это действительно серьезная проблема. Детских сервисов полно, часть из них просит указать о себе какие-то сведения, загружают фотографии и видео, а вопросы информационной безопасности, наверняка, являются делом десятым.
Следи за собой, будь осторожен (с)
Сама новость особо примечательной не является, если бы не одно но - Webkinz World это онлайн-игра исключительно для детей, запущенная канадской компанией по производству игрушек Ganz.
В слитой базе данных содержатся логины и MD5-хеши соответствующих паролей. Последние, как известно, давно не считаются стойкими.
Кроме того, якобы хакеры украли также хеши адресов электронной почты родителей, но в слитой базе данных они не содержатся.
Были ли получены хакерами какие-либо регистрационные данные детей - не известно. Webkinz World утверждают, что нет, но в таких случаях рассчитывать на искренность представителей подломанной стороны не приходится.
Сама история, конечно, странная. Мы не можем представить себе с какой целью изначально хакеры ломали детскую онлайн-игру. Нереализованные комплексы? Желание получить самый крутой плюшевый меч?
По нашему мнению, безопасность регистрационных данных детей в сети - это действительно серьезная проблема. Детских сервисов полно, часть из них просит указать о себе какие-то сведения, загружают фотографии и видео, а вопросы информационной безопасности, наверняка, являются делом десятым.
Следи за собой, будь осторожен (с)
В Королевстве Нидерландов небольшой инфосек скандальчик.
Голландское Министерство здравоохранения разместило в сети исходники семи приложений для публичной проверки, одним из которых являлось мобильное приложение для отслеживания распространения коронавируса Covid19 Alert.
Неожиданно оказалось, что разработчик приложения Immotef забыл в исходнике кусок базы данных из другого своего приложения, а в этой БД хранились в открытом виде сведения о 200 пользователях, включая полные имена, адреса электронной почты и хеши паролей.
Как только это вскрылось информация была убрана из сети, а разработчики Covid19 Alert сообщили, что допустили ошибку из-за спешки в подготовке исходников.
Покажите это кто-нибудь Здольникову (https://t.me/itsorm), а то у него на кисельных берегах европейского инфосека от розовых поней не протолкнуться. И все с радугами в одном месте, что характерно.
Голландское Министерство здравоохранения разместило в сети исходники семи приложений для публичной проверки, одним из которых являлось мобильное приложение для отслеживания распространения коронавируса Covid19 Alert.
Неожиданно оказалось, что разработчик приложения Immotef забыл в исходнике кусок базы данных из другого своего приложения, а в этой БД хранились в открытом виде сведения о 200 пользователях, включая полные имена, адреса электронной почты и хеши паролей.
Как только это вскрылось информация была убрана из сети, а разработчики Covid19 Alert сообщили, что допустили ошибку из-за спешки в подготовке исходников.
Покажите это кто-нибудь Здольникову (https://t.me/itsorm), а то у него на кисельных берегах европейского инфосека от розовых поней не протолкнуться. И все с радугами в одном месте, что характерно.
ZDNET
Proposed government coronavirus tracking app falls at the first hurdle due to data breach
The source code of a proposed app for tracing COVID-19 exposed user data after being published online.
Ransomware продолжают свое торжественное шествие. Теперь и в NASDAQ-100.
Американский ИТ-гигант Cognizant подтвердил, что попал под каток Maze ransomware. Проблемы затронули как внутренние сети, так и услуги клиентам компании.
Cognizant является ИТ-корпорацией, входящей в NASDAQ-100. Капитализация компании составляет более 30 млрд. долларов, на нее работает больше 250 тыс. сотрудников. Не Apple конечно, так и конец времен еще не наступил.
Похоже, что у операторов Maze в этом месяце revenue будет много больше обычного.
Американский ИТ-гигант Cognizant подтвердил, что попал под каток Maze ransomware. Проблемы затронули как внутренние сети, так и услуги клиентам компании.
Cognizant является ИТ-корпорацией, входящей в NASDAQ-100. Капитализация компании составляет более 30 млрд. долларов, на нее работает больше 250 тыс. сотрудников. Не Apple конечно, так и конец времен еще не наступил.
Похоже, что у операторов Maze в этом месяце revenue будет много больше обычного.
News | Cognizant Technology Solutions
Cognizant Security Incident Update
Cognizant can confirm that a security incident involving our internal systems, and causing service disruptions for some of our clients, is the result of a Maze ransomware attack. Our internal...
Продолжаем наши расследования деятельности крупных хакерских групп, они же APT.
В прошлый раз мы обсуждали индийскую APT-C-09 aka Patchwork. А сегодня рассмотрим ее конкретные операции.
В декабре 2015 года Patchwork развернула большую кампанию, которая, спустя почти полгода, попала в поле зрения сразу нескольких инфосек вендоров – Forcepoint, Cymmetria, Касперский, CrowdStrike. Каждый дал ей свое название, но мы для определенности возьмем MONSOON.
Основным наблюдаемым приемом в процессе MONSOON был целевой фишинг, хотя встречались и "атаки на водопой". Масштаб был внушительным – более 110 стран и 6000 конкретных целей.
В процессе кампании APT применяла множество инструментов, взятых с различных хакерских ресурсов, к примеру свободно распространяемые бэкдоры. Вместе с тем, были и уникальные разработки – такие как BADNEWS и TINYTYPHON (которая, впрочем, была переработана из червя MyDoom).
Вообще, в ходе этой кампании APT-C-09 демонстрировали уникальный сплав изобретательности и раздолбайства. Что, в принципе, для индийцев неудивительно – наверняка подготовку к атакам они разбавляли танцами.
Так, применяя достаточно интересные приемы по скрытию своих управляющих центров они, в то же время, ухитрились запалить индийские статические IP-адреса в процессе входа на эти самые управляющие центры.
Основной приманкой служили документы на китайскую государственную тематику – фейковые военные отчеты, дипломатические письма, обзоры вопросов безопасности и пр. Также использовались поддельные новостные ресурсы про Китай и специально созданные аккаунты в крупных социальных сетях. Кстати говоря, последние были зарегистрированы в декабре 2014 года, что говорит о том, что позиции для MONSOON готовились заблаговременно.
Анализируя профиль потенциальных жертв MONSOON и использовавшиеся приманки можно утверждать, что с большой долей вероятности целью киберкампании было добывание любой информации, связанной с внешнеполиической деятельностью Китая и его взаимоотношениями с другими странами.
Основанием для старта киберкампании могло послужить подписание в 2015 году соглашения между Поднебесной и Пакистаном по созданию китайско-пакистанского экономического коридора, что грозило серьезно изменить баланс сил в регионе не в пользу Дели.
Вместе с тем, в ходе обострения в сентябре 2016 года отношений между Индией и Пакистаном, возникшего в результате нападения пропакистанских боевиков на лагерь индийской армии в штате Джамму и Кашмир, китайское руководство поддержало Индию, заявив, что Китай решительно отвергает любые проявления терроризма. Волшебным образом это заявление совпало со спадом активности MONSOON.
Некоторые инфосек эксперты в ходе расследования MONSOON высказывали предположение, что индийская хакерская группа, стоящая за атакой, ответственна также за кибероперацию Hangover, которая была выявлена в 2013 году.
Hangover, по некоторым данным, продолжалась около 3 лет и была направлена на госучреждения Пакистана, США, Ирана и, частично, Китая, а также, неожиданно, на норвежского сотового оператора Telenor.
Однако, делать однозначные выводы в данном случае сложно, между двумя атаками были и сходства и серьезные различия. Наши "любимые" FireEye так вообще утверждали, что за Hangover стоит Китай. Но у них всегда виноват либо Китай, либо Иран, либо Россия, либо малыш Ким.
Еще одной интересной активностью APT-C-09, коррелирующей до недель с геополитическими событиями вокруг Индии, стала направленная на Пакистан фишинговая кампания, которая произошла летом 2019 года.
Как известно, в этот момент произошло резкое обострение обстановки вокруг штата Джамму и Кашмир после отмены его особого статуса властями Индии. Команда RedDrip китайского инфосек вендора QiAnXin получила данные о целевом фишинге, использующем тему Кашмира в качестве приманки. Ряд признаков указывал на APT-C-09 как на источник атаки.
Впрочем, пакистанцы тоже активно работали против Индии в киберпространстве. И в одном из последующих постов, посвященных APT, мы обязательно коснемся наших задорных друзей из Исламабада.
#APT #APTC09 #Patchwork
В прошлый раз мы обсуждали индийскую APT-C-09 aka Patchwork. А сегодня рассмотрим ее конкретные операции.
В декабре 2015 года Patchwork развернула большую кампанию, которая, спустя почти полгода, попала в поле зрения сразу нескольких инфосек вендоров – Forcepoint, Cymmetria, Касперский, CrowdStrike. Каждый дал ей свое название, но мы для определенности возьмем MONSOON.
Основным наблюдаемым приемом в процессе MONSOON был целевой фишинг, хотя встречались и "атаки на водопой". Масштаб был внушительным – более 110 стран и 6000 конкретных целей.
В процессе кампании APT применяла множество инструментов, взятых с различных хакерских ресурсов, к примеру свободно распространяемые бэкдоры. Вместе с тем, были и уникальные разработки – такие как BADNEWS и TINYTYPHON (которая, впрочем, была переработана из червя MyDoom).
Вообще, в ходе этой кампании APT-C-09 демонстрировали уникальный сплав изобретательности и раздолбайства. Что, в принципе, для индийцев неудивительно – наверняка подготовку к атакам они разбавляли танцами.
Так, применяя достаточно интересные приемы по скрытию своих управляющих центров они, в то же время, ухитрились запалить индийские статические IP-адреса в процессе входа на эти самые управляющие центры.
Основной приманкой служили документы на китайскую государственную тематику – фейковые военные отчеты, дипломатические письма, обзоры вопросов безопасности и пр. Также использовались поддельные новостные ресурсы про Китай и специально созданные аккаунты в крупных социальных сетях. Кстати говоря, последние были зарегистрированы в декабре 2014 года, что говорит о том, что позиции для MONSOON готовились заблаговременно.
Анализируя профиль потенциальных жертв MONSOON и использовавшиеся приманки можно утверждать, что с большой долей вероятности целью киберкампании было добывание любой информации, связанной с внешнеполиической деятельностью Китая и его взаимоотношениями с другими странами.
Основанием для старта киберкампании могло послужить подписание в 2015 году соглашения между Поднебесной и Пакистаном по созданию китайско-пакистанского экономического коридора, что грозило серьезно изменить баланс сил в регионе не в пользу Дели.
Вместе с тем, в ходе обострения в сентябре 2016 года отношений между Индией и Пакистаном, возникшего в результате нападения пропакистанских боевиков на лагерь индийской армии в штате Джамму и Кашмир, китайское руководство поддержало Индию, заявив, что Китай решительно отвергает любые проявления терроризма. Волшебным образом это заявление совпало со спадом активности MONSOON.
Некоторые инфосек эксперты в ходе расследования MONSOON высказывали предположение, что индийская хакерская группа, стоящая за атакой, ответственна также за кибероперацию Hangover, которая была выявлена в 2013 году.
Hangover, по некоторым данным, продолжалась около 3 лет и была направлена на госучреждения Пакистана, США, Ирана и, частично, Китая, а также, неожиданно, на норвежского сотового оператора Telenor.
Однако, делать однозначные выводы в данном случае сложно, между двумя атаками были и сходства и серьезные различия. Наши "любимые" FireEye так вообще утверждали, что за Hangover стоит Китай. Но у них всегда виноват либо Китай, либо Иран, либо Россия, либо малыш Ким.
Еще одной интересной активностью APT-C-09, коррелирующей до недель с геополитическими событиями вокруг Индии, стала направленная на Пакистан фишинговая кампания, которая произошла летом 2019 года.
Как известно, в этот момент произошло резкое обострение обстановки вокруг штата Джамму и Кашмир после отмены его особого статуса властями Индии. Команда RedDrip китайского инфосек вендора QiAnXin получила данные о целевом фишинге, использующем тему Кашмира в качестве приманки. Ряд признаков указывал на APT-C-09 как на источник атаки.
Впрочем, пакистанцы тоже активно работали против Индии в киберпространстве. И в одном из последующих постов, посвященных APT, мы обязательно коснемся наших задорных друзей из Исламабада.
#APT #APTC09 #Patchwork
Telegram
SecAtor
Сегодня мы, как и обещали, начинаем выпускать посты про APT (терминология описана здесь, крупные хакерские группы, как правило прогосударственные.
Неожиданно, мы начнем не с российских Fancy Bear или Turla, не с ЦРУшной Longhorn и даже не с различных китайских…
Неожиданно, мы начнем не с российских Fancy Bear или Turla, не с ЦРУшной Longhorn и даже не с различных китайских…
А вчера, пока мы готовили пост про MONSOON, японские ресерчеры из Ricerca Security запилили таки эксплойт CVE-2020-0796, приводящий к удаленному исполнению кода в целевой системе. Мы писали про эту уязвимость в марте.
Впрочем, мы надеемся, что все сознательные люди уже давно пропатчили свои операционки от Microsoft и эта уязвимость SMBv3 им не страшна. В противном случае - тикайте с городу.
Впрочем, мы надеемся, что все сознательные люди уже давно пропатчили свои операционки от Microsoft и эта уязвимость SMBv3 им не страшна. В противном случае - тикайте с городу.
Blogspot
"I'll ask your body": SMBGhost pre-auth RCE abusing Direct Memory Access structs
Posted by hugeh0ge, Ricerca Security NOTE: We have decided to make our PoC exclusively available to our customers to avoid abuse by scr...
Друзья, и мы снова обращаемся к вам за помощью.
Если у кого-нибудь, случаем, в распоряжении оказался отчет Blackberry "Decade of the RATs. Novel Cross-Platform APT Attacks Targeting Linux, Windows and Android", мы были бы признательны за возможность с ним ознакомиться.
Скинуть, как и прежде, можно нам на почту. Правда, наш адрес немного изменился, но все есть в прикрепленном посте.
Заранее благодарны.
Если у кого-нибудь, случаем, в распоряжении оказался отчет Blackberry "Decade of the RATs. Novel Cross-Platform APT Attacks Targeting Linux, Windows and Android", мы были бы признательны за возможность с ним ознакомиться.
Скинуть, как и прежде, можно нам на почту. Правда, наш адрес немного изменился, но все есть в прикрепленном посте.
Заранее благодарны.
BleepingComputer сообщает, что в дарквебе появилась в продаже база данных пользователей Facebook, ранее замеченная в открытом доступе известным исследователем Бобом Дьяченко.
Тогда провайдер оперативно отключил сервер, на котором хранились сведения, а Дьяченко предположил, что это была украденная хакерами информация Facebook, которую просто плохо сконфигурировали.
БД содержала более чем 267 млн. записей о пользователях Facebook, включающих имя пользователя, его телефон, адрес электронной почты и идентификатор социальной сети.
Сейчас же исследователи инфосек компании Cyble нашли ее в продаже в дарквебе и на хакерских форумах всего за 500 фунтов стерлингов.
О, эти известные золотые стандарты информационной безопасности Facebook. Цукерберг, кажется, слил и продал уже все пользовательские данные, которые только можно слить или продать.
Тогда провайдер оперативно отключил сервер, на котором хранились сведения, а Дьяченко предположил, что это была украденная хакерами информация Facebook, которую просто плохо сконфигурировали.
БД содержала более чем 267 млн. записей о пользователях Facebook, включающих имя пользователя, его телефон, адрес электронной почты и идентификатор социальной сети.
Сейчас же исследователи инфосек компании Cyble нашли ее в продаже в дарквебе и на хакерских форумах всего за 500 фунтов стерлингов.
О, эти известные золотые стандарты информационной безопасности Facebook. Цукерберг, кажется, слил и продал уже все пользовательские данные, которые только можно слить или продать.
BleepingComputer
267 million Facebook profiles sold for $600 on the dark web
Threat actors are selling over 267 million Facebook profiles for £500 ($623) on dark web sites and hacker forums. While none of these records include passwords, they do contain information that could allow attackers to perform spear phishing or SMS attacks…
ZDNet сообщает, что APT Winnti, вероятно, нацелилась на производителя известной корейской онлайн-игры Ragnarok Online.
Данный вывод сделан из отчета немецкой инфосек компании QuoIntelligence, которая исследовав выявленный в конце февраля образец дроппера, предположительно принадлежащего Winnti, выявила в нем строку "0x1A0: "GRAVITY".
Проведя мозговой штурм, исследователи из Франкфурта-на-Майне пришли к выводу, что эта строчка относится к южнокорейской компании Gravity Co., Ltd, производителя Ragnarok Online.
Тут сразу надо дать пояснения.
Вот мы беглым поиском нашли кроме корейского производителя онлайн-игр еще и американскую компанию Gravity Payments, осуществляющую денежные переводы и имевшую в 2018 году оборот в 10,2 млрд. долларов. А также компанию Gravity Industries, производителя джетпаков.
Почему же немцы не предположили, что китайцев (а Winnti - это китайская APT) заинтересовали, например, технологии производства джетпаков?
А вот почему. Исследователи из QuoIntelligence уверены, что Winnti и APT41 это одна и та же группа. А уже APT41 действительно, по некоторым данным, специализировалась на производителях видеоигр. Между тем, это совсем не факт.
Некоторые инфосек вендоры, например ESET, допускали, что Winnti в той или иной мере ассоциированы с APT41. А тот же FireEye считает, что это разные группы и именует APT41 как DoubleDragon.
Но новость уже разошлась и все пишут, что Winnti aka APT41 атакует Ragnarok Online.
Вот такая она, эта индустрия инфосек новостей.
А мы, пожалуй, следующими рассмотрим как раз APT41 и Winnti. Тем более, что они в последнее время достаточно активны.
#APT #Winnti #APT41
Данный вывод сделан из отчета немецкой инфосек компании QuoIntelligence, которая исследовав выявленный в конце февраля образец дроппера, предположительно принадлежащего Winnti, выявила в нем строку "0x1A0: "GRAVITY".
Проведя мозговой штурм, исследователи из Франкфурта-на-Майне пришли к выводу, что эта строчка относится к южнокорейской компании Gravity Co., Ltd, производителя Ragnarok Online.
Тут сразу надо дать пояснения.
Вот мы беглым поиском нашли кроме корейского производителя онлайн-игр еще и американскую компанию Gravity Payments, осуществляющую денежные переводы и имевшую в 2018 году оборот в 10,2 млрд. долларов. А также компанию Gravity Industries, производителя джетпаков.
Почему же немцы не предположили, что китайцев (а Winnti - это китайская APT) заинтересовали, например, технологии производства джетпаков?
А вот почему. Исследователи из QuoIntelligence уверены, что Winnti и APT41 это одна и та же группа. А уже APT41 действительно, по некоторым данным, специализировалась на производителях видеоигр. Между тем, это совсем не факт.
Некоторые инфосек вендоры, например ESET, допускали, что Winnti в той или иной мере ассоциированы с APT41. А тот же FireEye считает, что это разные группы и именует APT41 как DoubleDragon.
Но новость уже разошлась и все пишут, что Winnti aka APT41 атакует Ragnarok Online.
Вот такая она, эта индустрия инфосек новостей.
А мы, пожалуй, следующими рассмотрим как раз APT41 и Winnti. Тем более, что они в последнее время достаточно активны.
#APT #Winnti #APT41
ZDNet
Chinese hackers targeted company behind 'Ragnarok Online' MMORPG
Security firm finds new Chinese malware aimed at the Gravity game maker's network. Unclear if the attempted intrusion succeeded.
Спасибо всем, кто отозвался и прислал отчет Blackberry "Decade of the RATs. Novel Cross-Platform APT Attacks Targeting Linux, Windows and Android".
Будем почитать.
Будем почитать.
Появились новости, что северокорейские хакеры проводят фишинг на высокопоставленных дипломатических работников (подробностей нет).
Один из используемых фейковых сайтов - kaspersky-pro(.)com
https://twitter.com/issuemakerslab/status/1252605779942584321
Один из используемых фейковых сайтов - kaspersky-pro(.)com
https://twitter.com/issuemakerslab/status/1252605779942584321
Twitter
IssueMakersLab
North Korea's RGB-D5 used Google Drive phishing to attack key figures in diplomatic organizations. They are believed to have been exploited by various servers, one of which is kaspersky-pro(.)com.
И еще один алерт.
Последние часы кто-то активно распространяет в Твиттере слухи о якобы имевшем место взломе ресурсов Всемирной организации здравоохранения, фонда Gates Foundation Билла Гейтса и Уханьской лаборатории.
При этом в качестве "доказательств" прикладываются выборки из старых дампов. Ждем "обжыгающей правды"?
Смотрите внимательно, вполне возможно, что скоро и в нашем уютном Телеграмчике скоро появится. Если что - можете смело ссылаться на этот пост.
https://twitter.com/campuscodi/status/1252583490736066561
Последние часы кто-то активно распространяет в Твиттере слухи о якобы имевшем место взломе ресурсов Всемирной организации здравоохранения, фонда Gates Foundation Билла Гейтса и Уханьской лаборатории.
При этом в качестве "доказательств" прикладываются выборки из старых дампов. Ждем "обжыгающей правды"?
Смотрите внимательно, вполне возможно, что скоро и в нашем уютном Телеграмчике скоро появится. Если что - можете смело ссылаться на этот пост.
https://twitter.com/campuscodi/status/1252583490736066561
Кстати говоря, когда мы готовили пост про активность индийской группы APT-C-09, она же Patchwork, мы совершенно упустили из виду то, с чего начали ее рассмотрение.
А именно, фишинговую атаку на китайские ресурсы, использующую тему COVID-19, про которую Malwarebytes упомянули в своем отчете.
Информации про эту киберкомпанию индийских хакеров крайне мало. Достоверно известно лишь, что она стартовала в начале февраля и использовала документы на китайском языке под видом информационных писем китайских медицинских организаций.
А в письме файл .xls, а в файле подгружаемый скрипт, а скрипт подгружает бэкдор̶,̶ ̶а̶ ̶в̶ ̶н̶е̶м̶ ̶я̶й̶ц̶о̶,̶ ̶а̶ ̶в̶ ̶я̶й̶ц̶е̶ ̶и̶г̶л̶а̶... Все, как обычно, короче.
Нам интересно не это. Предыдущие операции APT-C-09 показывают, что группа работает определенно в интересах госорганов Индии. То есть ее активность спланирована и имеет четкую цель.
Конечно, использование APT-C-09 темы в своем фишинге COVID-19 могло быть ситуативным, как наиболее хайповой темы в Китае на тот момент. А могло быть и по другому - индийцы пытались добраться до ресурсов китайских медицинских ведомств. Это означает, что индийская разведка всерьез озаботилась вопросом коронавируса еще в начале февраля, раньше других.
К сожалению, данных об адресатах февральского фишинга APT-C-09 в доступности нет. Поэтому мы можем только гадать, но точно узнаем вряд ли.
#APT #APTC09 #Patchwork
А именно, фишинговую атаку на китайские ресурсы, использующую тему COVID-19, про которую Malwarebytes упомянули в своем отчете.
Информации про эту киберкомпанию индийских хакеров крайне мало. Достоверно известно лишь, что она стартовала в начале февраля и использовала документы на китайском языке под видом информационных писем китайских медицинских организаций.
А в письме файл .xls, а в файле подгружаемый скрипт, а скрипт подгружает бэкдор̶,̶ ̶а̶ ̶в̶ ̶н̶е̶м̶ ̶я̶й̶ц̶о̶,̶ ̶а̶ ̶в̶ ̶я̶й̶ц̶е̶ ̶и̶г̶л̶а̶... Все, как обычно, короче.
Нам интересно не это. Предыдущие операции APT-C-09 показывают, что группа работает определенно в интересах госорганов Индии. То есть ее активность спланирована и имеет четкую цель.
Конечно, использование APT-C-09 темы в своем фишинге COVID-19 могло быть ситуативным, как наиболее хайповой темы в Китае на тот момент. А могло быть и по другому - индийцы пытались добраться до ресурсов китайских медицинских ведомств. Это означает, что индийская разведка всерьез озаботилась вопросом коронавируса еще в начале февраля, раньше других.
К сожалению, данных об адресатах февральского фишинга APT-C-09 в доступности нет. Поэтому мы можем только гадать, но точно узнаем вряд ли.
#APT #APTC09 #Patchwork
Telegram
SecAtor
Продолжаем наши расследования деятельности крупных хакерских групп, они же APT.
В прошлый раз мы обсуждали индийскую APT-C-09 aka Patchwork. А сегодня рассмотрим ее конкретные операции.
В декабре 2015 года Patchwork развернула большую кампанию, которая…
В прошлый раз мы обсуждали индийскую APT-C-09 aka Patchwork. А сегодня рассмотрим ее конкретные операции.
В декабре 2015 года Patchwork развернула большую кампанию, которая…
Наткнулись на краткий обзор 10 самых известных вирусов за последние 30 лет от Panda Security.
Ничего особенно нового, но если кто-то не слышал про Win95.CIH (а тут такие есть вообще?) - можно потратить 5 минут на прочтение.
Другим же можно просто поностальгировать.
Ничего особенно нового, но если кто-то не слышал про Win95.CIH (а тут такие есть вообще?) - можно потратить 5 минут на прочтение.
Другим же можно просто поностальгировать.
Panda Security Mediacenter
30 years of cyberattacks: from Barrotes to WannaCry
Panda Security takes a look at some of the cyberattacks that have made an impact over the last 30 years, on the occasion of our 30th anniversary.
Румынские анивирусники Bitdefender сообщили о том, что выявили серию фишинговых атак, которые, судя по всему, были связаны с проведением в середине апреля консультаций между ОПЕК+ и группой нефтедобывающих стран по ограничению добычи нефти.
Первая фишинговая кампания началась 31 марта и была нацелена на ряд производителей нефти из Малайзии, Ирана и США. Вторая серия кибератак была направлена на несколько филлипинских компаний, специализирующихся на доставке нефти с помощью танкеров.
Обе кампании были хорошо подготовлены, атаковавшие использовали профессиональный сленг и правильную структуру сообщений, чтобы заинтересовать потенциальных жертв. Так, в одном из случае фишинговые письма рассылались от имени египетской нефтеинжиниринговой фирмы ENPPI.
И в обеих кампаниях конечной целью было подсадить в систему жертвы Agent Tesla, который одновременно имеет функции инфостиллера и RAT.
Как всегда задаемся вопросом - кто мог быть бенефициаром этой интересной кибероперации. На поверхности лежит очевидный ответ - прогосударственная APT, желающая добыть информацию о намерениях участников сделки для получения переговорных преимуществ.
Однако, мы склоняемся к более оригинальной версии. Судя по тому, что один из векторов атаки был направлен на танкерные компании, за атаками стоит коммерческая хакерская группировка, действующая в интересах крупного биржевого игрока.
Потому что знание инсайдов нефтяных переговоров и состояния танкерного парка может помочь поднять много бабла. А там, где много бабла, там и хакеры ко двору.
Первая фишинговая кампания началась 31 марта и была нацелена на ряд производителей нефти из Малайзии, Ирана и США. Вторая серия кибератак была направлена на несколько филлипинских компаний, специализирующихся на доставке нефти с помощью танкеров.
Обе кампании были хорошо подготовлены, атаковавшие использовали профессиональный сленг и правильную структуру сообщений, чтобы заинтересовать потенциальных жертв. Так, в одном из случае фишинговые письма рассылались от имени египетской нефтеинжиниринговой фирмы ENPPI.
И в обеих кампаниях конечной целью было подсадить в систему жертвы Agent Tesla, который одновременно имеет функции инфостиллера и RAT.
Как всегда задаемся вопросом - кто мог быть бенефициаром этой интересной кибероперации. На поверхности лежит очевидный ответ - прогосударственная APT, желающая добыть информацию о намерениях участников сделки для получения переговорных преимуществ.
Однако, мы склоняемся к более оригинальной версии. Судя по тому, что один из векторов атаки был направлен на танкерные компании, за атаками стоит коммерческая хакерская группировка, действующая в интересах крупного биржевого игрока.
Потому что знание инсайдов нефтяных переговоров и состояния танкерного парка может помочь поднять много бабла. А там, где много бабла, там и хакеры ко двору.
BleepingComputer
Spearphishing campaigns target oil, gas companies with spyware
Cybercriminals are targeting the oil and gas industry sector with highly targeted spearphishing campaigns impersonating shipment companies and engineering contractors while attempting to infect their targets with Agent Tesla info-stealer malware payloads.
Хьюстон, у нас проблемы!
Исследователи инфосек компании ZecOps сообщили сегодня, что выявили использование в дикой природе двух 0-day уязвимостей, одна из которых позволяет удаленное исполнение кода на всей линейке устройств Apple под управлением iOS. Уязвимы все iPhone и iPad, начиная с iOS 6 (то есть с iPhone 5).
Основную угрозу представляется уязвимость, которая использует переполнение кучи в предустановленном приложении Mail, что позволяет удаленно исполнять код в этом приложении, прислав жертве специально сформированное почтовое сообщение. Таким образом атакующий получает доступ к содержимому электронной почты и может полностью его модифицировать.
Вместе с тем, ZecOps предполагают, что существует еще одна невыявленная уязвимость нулевого дня в ядре ОС, которая в совокупности с дыркой в приложении Mail позволяет получить полный контроль над атакуемым устройством.
Особую опасность выявленной 0-day уязвимости представляет то, что в iOS 13 ее можно использовать без какого-либо действия со стороны пользователя (т.н. "0-click"), даже в фоновом режиме. В iOS 12 требуется, чтобы пользователь щелкнул по почтовому сообщению.
Более того, в случае использование соответствующего эксплойта жертва не заметит никаких аномалий, кроме возможного временного замедления работы почтового приложения на iOS 12. Присланные вредоносные сообщения злоумышленник, как правило, удаляет после удачной атаки.
ZecOps утверждают, что атаки с использованием этих уязвимостей происходят как минимум с января 2018 года, одним из акторов является неустановленная прогосударственная APT.
На данный момент соответствующего апдейта iOS нет, Apple обещает пофиксить дырку в ближайшем обновлении.
Поэтому рекомендации следующие:
- не использовать приложение Mail, а использовать Outlook или Gmail;
- с нетерпением ждать апдейта iOS, по факту его появления сразу обновить устройство.
Исследователи инфосек компании ZecOps сообщили сегодня, что выявили использование в дикой природе двух 0-day уязвимостей, одна из которых позволяет удаленное исполнение кода на всей линейке устройств Apple под управлением iOS. Уязвимы все iPhone и iPad, начиная с iOS 6 (то есть с iPhone 5).
Основную угрозу представляется уязвимость, которая использует переполнение кучи в предустановленном приложении Mail, что позволяет удаленно исполнять код в этом приложении, прислав жертве специально сформированное почтовое сообщение. Таким образом атакующий получает доступ к содержимому электронной почты и может полностью его модифицировать.
Вместе с тем, ZecOps предполагают, что существует еще одна невыявленная уязвимость нулевого дня в ядре ОС, которая в совокупности с дыркой в приложении Mail позволяет получить полный контроль над атакуемым устройством.
Особую опасность выявленной 0-day уязвимости представляет то, что в iOS 13 ее можно использовать без какого-либо действия со стороны пользователя (т.н. "0-click"), даже в фоновом режиме. В iOS 12 требуется, чтобы пользователь щелкнул по почтовому сообщению.
Более того, в случае использование соответствующего эксплойта жертва не заметит никаких аномалий, кроме возможного временного замедления работы почтового приложения на iOS 12. Присланные вредоносные сообщения злоумышленник, как правило, удаляет после удачной атаки.
ZecOps утверждают, что атаки с использованием этих уязвимостей происходят как минимум с января 2018 года, одним из акторов является неустановленная прогосударственная APT.
На данный момент соответствующего апдейта iOS нет, Apple обещает пофиксить дырку в ближайшем обновлении.
Поэтому рекомендации следующие:
- не использовать приложение Mail, а использовать Outlook или Gmail;
- с нетерпением ждать апдейта iOS, по факту его появления сразу обновить устройство.
Jamf
Jamf Threat Labs | Blog