ZDNet пишет, что вчера на одном из хакерских форумов была размещена база учетных данных почти 23 миллионов пользователей онлайн-игры Webkinz World.

Сама новость особо примечательной не является, если бы не одно но - Webkinz World это онлайн-игра исключительно для детей, запущенная канадской компанией по производству игрушек Ganz.

В слитой базе данных содержатся логины и MD5-хеши соответствующих паролей. Последние, как известно, давно не считаются стойкими.

Кроме того, якобы хакеры украли также хеши адресов электронной почты родителей, но в слитой базе данных они не содержатся.

Были ли получены хакерами какие-либо регистрационные данные детей - не известно. Webkinz World утверждают, что нет, но в таких случаях рассчитывать на искренность представителей подломанной стороны не приходится.

Сама история, конечно, странная. Мы не можем представить себе с какой целью изначально хакеры ломали детскую онлайн-игру. Нереализованные комплексы? Желание получить самый крутой плюшевый меч?

По нашему мнению, безопасность регистрационных данных детей в сети - это действительно серьезная проблема. Детских сервисов полно, часть из них просит указать о себе какие-то сведения, загружают фотографии и видео, а вопросы информационной безопасности, наверняка, являются делом десятым.

Следи за собой, будь осторожен (с)

В Королевстве Нидерландов небольшой инфосек скандальчик.

Голландское Министерство здравоохранения разместило в сети исходники семи приложений для публичной проверки, одним из которых являлось мобильное приложение для отслеживания распространения коронавируса Covid19 Alert.

Неожиданно оказалось, что разработчик приложения Immotef забыл в исходнике кусок базы данных из другого своего приложения, а в этой БД хранились в открытом виде сведения о 200 пользователях, включая полные имена, адреса электронной почты и хеши паролей.

Как только это вскрылось информация была убрана из сети, а разработчики Covid19 Alert сообщили, что допустили ошибку из-за спешки в подготовке исходников.

Покажите это кто-нибудь Здольникову (https://t.me/itsorm), а то у него на кисельных берегах европейского инфосека от розовых поней не протолкнуться. И все с радугами в одном месте, что характерно.

Ransomware продолжают свое торжественное шествие. Теперь и в NASDAQ-100.

Американский ИТ-гигант Cognizant подтвердил, что попал под каток Maze ransomware. Проблемы затронули как внутренние сети, так и услуги клиентам компании.

Cognizant является ИТ-корпорацией, входящей в NASDAQ-100. Капитализация компании составляет более 30 млрд. долларов, на нее работает больше 250 тыс. сотрудников. Не Apple конечно, так и конец времен еще не наступил.

Похоже, что у операторов Maze в этом месяце revenue будет много больше обычного.

Продолжаем наши расследования деятельности крупных хакерских групп, они же APT.

В прошлый раз мы обсуждали индийскую APT-C-09 aka Patchwork. А сегодня рассмотрим ее конкретные операции.

В декабре 2015 года Patchwork развернула большую кампанию, которая, спустя почти полгода, попала в поле зрения сразу нескольких инфосек вендоров – Forcepoint, Cymmetria, Касперский, CrowdStrike. Каждый дал ей свое название, но мы для определенности возьмем MONSOON.

Основным наблюдаемым приемом в процессе MONSOON был целевой фишинг, хотя встречались и "атаки на водопой". Масштаб был внушительным – более 110 стран и 6000 конкретных целей.

В процессе кампании APT применяла множество инструментов, взятых с различных хакерских ресурсов, к примеру свободно распространяемые бэкдоры. Вместе с тем, были и уникальные разработки – такие как BADNEWS и TINYTYPHON (которая, впрочем, была переработана из червя MyDoom).

Вообще, в ходе этой кампании APT-C-09 демонстрировали уникальный сплав изобретательности и раздолбайства. Что, в принципе, для индийцев неудивительно – наверняка подготовку к атакам они разбавляли танцами.

Так, применяя достаточно интересные приемы по скрытию своих управляющих центров они, в то же время, ухитрились запалить индийские статические IP-адреса в процессе входа на эти самые управляющие центры.

Основной приманкой служили документы на китайскую государственную тематику – фейковые военные отчеты, дипломатические письма, обзоры вопросов безопасности и пр. Также использовались поддельные новостные ресурсы про Китай и специально созданные аккаунты в крупных социальных сетях. Кстати говоря, последние были зарегистрированы в декабре 2014 года, что говорит о том, что позиции для MONSOON готовились заблаговременно.

Анализируя профиль потенциальных жертв MONSOON и использовавшиеся приманки можно утверждать, что с большой долей вероятности целью киберкампании было добывание любой информации, связанной с внешнеполиической деятельностью Китая и его взаимоотношениями с другими странами.

Основанием для старта киберкампании могло послужить подписание в 2015 году соглашения между Поднебесной и Пакистаном по созданию китайско-пакистанского экономического коридора, что грозило серьезно изменить баланс сил в регионе не в пользу Дели.

Вместе с тем, в ходе обострения в сентябре 2016 года отношений между Индией и Пакистаном, возникшего в результате нападения пропакистанских боевиков на лагерь индийской армии в штате Джамму и Кашмир, китайское руководство поддержало Индию, заявив, что Китай решительно отвергает любые проявления терроризма. Волшебным образом это заявление совпало со спадом активности MONSOON.

Некоторые инфосек эксперты в ходе расследования MONSOON высказывали предположение, что индийская хакерская группа, стоящая за атакой, ответственна также за кибероперацию Hangover, которая была выявлена в 2013 году.

Hangover, по некоторым данным, продолжалась около 3 лет и была направлена на госучреждения Пакистана, США, Ирана и, частично, Китая, а также, неожиданно, на норвежского сотового оператора Telenor.

Однако, делать однозначные выводы в данном случае сложно, между двумя атаками были и сходства и серьезные различия. Наши "любимые" FireEye так вообще утверждали, что за Hangover стоит Китай. Но у них всегда виноват либо Китай, либо Иран, либо Россия, либо малыш Ким.

Еще одной интересной активностью APT-C-09, коррелирующей до недель с геополитическими событиями вокруг Индии, стала направленная на Пакистан фишинговая кампания, которая произошла летом 2019 года.

Как известно, в этот момент произошло резкое обострение обстановки вокруг штата Джамму и Кашмир после отмены его особого статуса властями Индии. Команда RedDrip китайского инфосек вендора QiAnXin получила данные о целевом фишинге, использующем тему Кашмира в качестве приманки. Ряд признаков указывал на APT-C-09 как на источник атаки.

Впрочем, пакистанцы тоже активно работали против Индии в киберпространстве. И в одном из последующих постов, посвященных APT, мы обязательно коснемся наших задорных друзей из Исламабада.

#APT #APTC09 #Patchwork

А вчера, пока мы готовили пост про MONSOON, японские ресерчеры из Ricerca Security запилили таки эксплойт CVE-2020-0796, приводящий к удаленному исполнению кода в целевой системе. Мы писали про эту уязвимость в марте.

Впрочем, мы надеемся, что все сознательные люди уже давно пропатчили свои операционки от Microsoft и эта уязвимость SMBv3 им не страшна. В противном случае - тикайте с городу.

Друзья, и мы снова обращаемся к вам за помощью.

Если у кого-нибудь, случаем, в распоряжении оказался отчет Blackberry "Decade of the RATs. Novel Cross-Platform APT Attacks Targeting Linux, Windows and Android", мы были бы признательны за возможность с ним ознакомиться.

Скинуть, как и прежде, можно нам на почту. Правда, наш адрес немного изменился, но все есть в прикрепленном посте.

Заранее благодарны.

BleepingComputer сообщает, что в дарквебе появилась в продаже база данных пользователей Facebook, ранее замеченная в открытом доступе известным исследователем Бобом Дьяченко.

Тогда провайдер оперативно отключил сервер, на котором хранились сведения, а Дьяченко предположил, что это была украденная хакерами информация Facebook, которую просто плохо сконфигурировали.

БД содержала более чем 267 млн. записей о пользователях Facebook, включающих имя пользователя, его телефон, адрес электронной почты и идентификатор социальной сети.

Сейчас же исследователи инфосек компании Cyble нашли ее в продаже в дарквебе и на хакерских форумах всего за 500 фунтов стерлингов.

О, эти известные золотые стандарты информационной безопасности Facebook. Цукерберг, кажется, слил и продал уже все пользовательские данные, которые только можно слить или продать.

ZDNet сообщает, что APT Winnti, вероятно, нацелилась на производителя известной корейской онлайн-игры Ragnarok Online.

Данный вывод сделан из отчета немецкой инфосек компании QuoIntelligence, которая исследовав выявленный в конце февраля образец дроппера, предположительно принадлежащего Winnti, выявила в нем строку "0x1A0: "GRAVITY".

Проведя мозговой штурм, исследователи из Франкфурта-на-Майне пришли к выводу, что эта строчка относится к южнокорейской компании Gravity Co., Ltd, производителя Ragnarok Online.

Тут сразу надо дать пояснения.

Вот мы беглым поиском нашли кроме корейского производителя онлайн-игр еще и американскую компанию Gravity Payments, осуществляющую денежные переводы и имевшую в 2018 году оборот в 10,2 млрд. долларов. А также компанию Gravity Industries, производителя джетпаков.

Почему же немцы не предположили, что китайцев (а Winnti - это китайская APT) заинтересовали, например, технологии производства джетпаков?

А вот почему. Исследователи из QuoIntelligence уверены, что Winnti и APT41 это одна и та же группа. А уже APT41 действительно, по некоторым данным, специализировалась на производителях видеоигр. Между тем, это совсем не факт.

Некоторые инфосек вендоры, например ESET, допускали, что Winnti в той или иной мере ассоциированы с APT41. А тот же FireEye считает, что это разные группы и именует APT41 как DoubleDragon.

Но новость уже разошлась и все пишут, что Winnti aka APT41 атакует Ragnarok Online.

Вот такая она, эта индустрия инфосек новостей.

А мы, пожалуй, следующими рассмотрим как раз APT41 и Winnti. Тем более, что они в последнее время достаточно активны.

#APT #Winnti #APT41

Спасибо всем, кто отозвался и прислал отчет Blackberry "Decade of the RATs. Novel Cross-Platform APT Attacks Targeting Linux, Windows and Android".

Будем почитать.

Появились новости, что северокорейские хакеры проводят фишинг на высокопоставленных дипломатических работников (подробностей нет).

Один из используемых фейковых сайтов - kaspersky-pro(.)com

https://twitter.com/issuemakerslab/status/1252605779942584321

И еще один алерт.

Последние часы кто-то активно распространяет в Твиттере слухи о якобы имевшем место взломе ресурсов Всемирной организации здравоохранения, фонда Gates Foundation Билла Гейтса и Уханьской лаборатории.

При этом в качестве "доказательств" прикладываются выборки из старых дампов. Ждем "обжыгающей правды"?

Смотрите внимательно, вполне возможно, что скоро и в нашем уютном Телеграмчике скоро появится. Если что - можете смело ссылаться на этот пост.

https://twitter.com/campuscodi/status/1252583490736066561

Кстати говоря, когда мы готовили пост про активность индийской группы APT-C-09, она же Patchwork, мы совершенно упустили из виду то, с чего начали ее рассмотрение.

А именно, фишинговую атаку на китайские ресурсы, использующую тему COVID-19, про которую Malwarebytes упомянули в своем отчете.

Информации про эту киберкомпанию индийских хакеров крайне мало. Достоверно известно лишь, что она стартовала в начале февраля и использовала документы на китайском языке под видом информационных писем китайских медицинских организаций.

А в письме файл .xls, а в файле подгружаемый скрипт, а скрипт подгружает бэкдор̶,̶ ̶а̶ ̶в̶ ̶н̶е̶м̶ ̶я̶й̶ц̶о̶,̶ ̶а̶ ̶в̶ ̶я̶й̶ц̶е̶ ̶и̶г̶л̶а̶... Все, как обычно, короче.

Нам интересно не это. Предыдущие операции APT-C-09 показывают, что группа работает определенно в интересах госорганов Индии. То есть ее активность спланирована и имеет четкую цель.

Конечно, использование APT-C-09 темы в своем фишинге COVID-19 могло быть ситуативным, как наиболее хайповой темы в Китае на тот момент. А могло быть и по другому - индийцы пытались добраться до ресурсов китайских медицинских ведомств. Это означает, что индийская разведка всерьез озаботилась вопросом коронавируса еще в начале февраля, раньше других.

К сожалению, данных об адресатах февральского фишинга APT-C-09 в доступности нет. Поэтому мы можем только гадать, но точно узнаем вряд ли.

#APT #APTC09 #Patchwork

Наткнулись на краткий обзор 10 самых известных вирусов за последние 30 лет от Panda Security.

Ничего особенно нового, но если кто-то не слышал про Win95.CIH (а тут такие есть вообще?) - можно потратить 5 минут на прочтение.

Другим же можно просто поностальгировать.

Румынские анивирусники Bitdefender сообщили о том, что выявили серию фишинговых атак, которые, судя по всему, были связаны с проведением в середине апреля консультаций между ОПЕК+ и группой нефтедобывающих стран по ограничению добычи нефти.

Первая фишинговая кампания началась 31 марта и была нацелена на ряд производителей нефти из Малайзии, Ирана и США. Вторая серия кибератак была направлена на несколько филлипинских компаний, специализирующихся на доставке нефти с помощью танкеров.

Обе кампании были хорошо подготовлены, атаковавшие использовали профессиональный сленг и правильную структуру сообщений, чтобы заинтересовать потенциальных жертв. Так, в одном из случае фишинговые письма рассылались от имени египетской нефтеинжиниринговой фирмы ENPPI.

И в обеих кампаниях конечной целью было подсадить в систему жертвы Agent Tesla, который одновременно имеет функции инфостиллера и RAT.

Как всегда задаемся вопросом - кто мог быть бенефициаром этой интересной кибероперации. На поверхности лежит очевидный ответ - прогосударственная APT, желающая добыть информацию о намерениях участников сделки для получения переговорных преимуществ.

Однако, мы склоняемся к более оригинальной версии. Судя по тому, что один из векторов атаки был направлен на танкерные компании, за атаками стоит коммерческая хакерская группировка, действующая в интересах крупного биржевого игрока.

Потому что знание инсайдов нефтяных переговоров и состояния танкерного парка может помочь поднять много бабла. А там, где много бабла, там и хакеры ко двору.

Хьюстон, у нас проблемы!

Исследователи инфосек компании ZecOps сообщили сегодня, что выявили использование в дикой природе двух 0-day уязвимостей, одна из которых позволяет удаленное исполнение кода на всей линейке устройств Apple под управлением iOS. Уязвимы все iPhone и iPad, начиная с iOS 6 (то есть с iPhone 5).

Основную угрозу представляется уязвимость, которая использует переполнение кучи в предустановленном приложении Mail, что позволяет удаленно исполнять код в этом приложении, прислав жертве специально сформированное почтовое сообщение. Таким образом атакующий получает доступ к содержимому электронной почты и может полностью его модифицировать.

Вместе с тем, ZecOps предполагают, что существует еще одна невыявленная уязвимость нулевого дня в ядре ОС, которая в совокупности с дыркой в приложении Mail позволяет получить полный контроль над атакуемым устройством.

Особую опасность выявленной 0-day уязвимости представляет то, что в iOS 13 ее можно использовать без какого-либо действия со стороны пользователя (т.н. "0-click"), даже в фоновом режиме. В iOS 12 требуется, чтобы пользователь щелкнул по почтовому сообщению.

Более того, в случае использование соответствующего эксплойта жертва не заметит никаких аномалий, кроме возможного временного замедления работы почтового приложения на iOS 12. Присланные вредоносные сообщения злоумышленник, как правило, удаляет после удачной атаки.

ZecOps утверждают, что атаки с использованием этих уязвимостей происходят как минимум с января 2018 года, одним из акторов является неустановленная прогосударственная APT.

На данный момент соответствующего апдейта iOS нет, Apple обещает пофиксить дырку в ближайшем обновлении.

Поэтому рекомендации следующие:
- не использовать приложение Mail, а использовать Outlook или Gmail;
- с нетерпением ждать апдейта iOS, по факту его появления сразу обновить устройство.

​​ZDNet составили список ransomware, операторы которых используют новую тактику по публичному размещению конфиденциальных данных жертвы в Интернете, если она отказывается платить выкуп.

Таковых на сегодня журналисты насчитали 9 штук:
- CLOP;
- DOPPELPAYMER;
- MAZE (мы писали про них на днях);
- NEFILIM;
- NEMTY;
- RAGNALOCKER (и про них недавно писали);
- SODINOKIBI (про этих вообще куча постов);
- SEKHMET;
- SNATCH.

С учетом того, что пару месяцев назад таковых насчитывалось ровно пять, новая тактика вымогательства стала весьма популярной и берется на вооружение все большим количеством операторов ransomware.

Вангуем, что в ближайшее время их станет еще больше. И, если что, с этими негодяями придется договариваться. Потому что эффективного механизма противодействия пока не имеется.

А у нас, похоже, нарисовался чемпион по скорости реакции на коронавирус среди прогосударственных APT.

Как сообщает FireEye, с января по апрель этого года APT32, также известная под названиями Ocean Lotus, Cobalt Kitty и др., проводила активную фишинговую кампанию, направленную на китайские правительственные органы. FireEye полагает, что атака проводилась в целях сбора информации о COVID-19.

APT32 - это вьетнамская хакерская прокси, работающая, как минимум, с 2014 года и неоднократно замеченная в проведении киберопераций в интересах вьетнамского правительства.

По данным FireEye, фишинговая кампания была ориентирована на китайское МЧС и правительство провинции Хубэй, в которой находился эпицентр заражения коронавирусом город Ухань (FireEye пишет "провинция Ухань", вероятно это ошибка). Первое фишинговое письмо, адресованное в МЧС Китая, было зафиксировано 6 января (!!!).

Вспомните, что вы делали 6 января? Отходили от Нового Года, встречали Рождество, планировали мероприятия на первую рабочую неделю 2020 года. Про COVID-19 никто и слыхом не слыхал. А вьетнамские хакеры уже разворачивали кибероперацию по добыванию информации в отношении вспышки коронавируса. Оперативность реакции поражает.

И вот теперь к тому, что нас крайне беспокоит. Данный случай уже второй, который позволяет предположить, что китайские власти действительно скрывают некую информацию, способную существенно помочь в борьбе с коронавирусом.

Когда мы высказывали эту версию в случае с атаками на китайские государственные ресурсы южнокорейцев из DarkHotel и говорили о возможной связи той кампании с успехами Южной Кореи в борьбе с вирусом, мы, честно говоря, в большей степени занимались конспирологией.

Однако теперь, когда мы смотрим на информацию о деятельности вьетнамских хакеров и на цифры заболевших коронавирусом по Вьетнаму, у нас глаз начинает дергаться.

Знаете сколько всего зараженных в азиатской стране, соседней с Китаем и с не самым высоким уровнем медицины в мире? 268, из которых 224 выздоровели. А умерших нет совсем.

Вот такая хакерская арифметика.

#APT #APT32 #OceanLotus

Голландские исследователи из Tesorion провели анализ кодов двух семейств ransomware Nemty и Nefilim и пришли к выводу, что эти вредоносы являются родственными

Подобные предположения ранее уже высказывались, в частности журналистами Bleeping Computer, однако технических подтверждений не было.

И вот теперь голландцы, проведя анализ, нашли в обоих ransomware куски кода, скомпилированные из практически идентичных исходников. Кроме того, Nemty 2.6 при шифровании игнорирует файлы с расширением Nefilim (обратное, кстати, не верно). А вот Nemty 2.2 такого исключения не содержит.

Nemty и Nefilim содержат еще ряд принципиальных сходств, например, один и тот же список расширений, игнорируемых при шифровании (вплоть до их порядка), а также список игнорируемых каталогов.

Tesorion полагают, что поскольку у этих ransomware разные модели использования (Nemty - Ransomware as a Service, а Nefilim используется под конкретную крупную цель), то Nefilim является дальнейшим концептуальным развитием Nemty. Тем более, что оператор последнего сообщил, что планирует отказаться от модели RaaS.

Кстати, в коде Nefilim нашлась строчка из песни Drip Catcher модного российского исполнителя песен ртом Kizaru. Что еще больше придает этой ransomware сходство с Nemty, авторы которого прописали в коде лирику Скриптонита.

Новый скандал с двойными стандартами Facebook.

Как известно, социальная сеть включилась в активную борьбу с распространением ложной информации о коронавирусе. "Мы убрали сотни тысяч фрагментов дезинформации, связанных с COVID-19" - заявил Цукерберг.

Однако некоммерческий проект The MarkUp выяснил, что несмотря на грозную риторику, про бабло Facebook не забывает. Так, в категорию "любители псевдонауки" социальная сеть записала аж 78 млн. пользователей. А потом продавала рекламу, ориентированную на этих людей.

И только в понедельник, после обращения The MarkUp, представитель компании сообщил, что Facebook исключили эту категорию интересов из рекламной выдачи. Насколько это соответствует реальности - пока непонятно.

А журналисты вспомнили, что в 2019 году Цукерберга ловили на рекламной категории пользователей "любители теории заговоров" и "противники вакцин". А в 2017 году у Facebook была рекламная группа "ненавистник евреев".

Те они еще поборники морали, эти крупные бизнесмены.

​​Фонд свободы прессы (FPF) сравнил 13 приложений для видеоконференций с целью выяснить, какое из них является более безопасным и конфиденциальным.

Оценка проводилась по 4 параметрам:
- поддержка сквозного шифрования;
- поддержка приватного размещения;
- требуется ли аккаунт для того, чтобы присоединиться к встрече;
- как много людей могут присоединиться к встрече.

Сквозное шифрование поддерживает только половина из них, а self-hosting есть у лишь трех приложений. А часть хранит те или иные пользовательские данные на своих серверах.

Короче, можете сами решить, что вам больше подойдет.

Apple демонстрирует искусство PR с человеческим лицом (все по заветам г-на Грефа). А точнее как не надо реагировать на инциденты информационной безопасности если ты крупная компания.

Напомним, что два дня назад инфосек компания ZecOps заявила об использовании в дикой природе двух 0-day уязвимостей в яблочном приложении Mail, позволяющих полностью контролировать переписку атакованного пользователя на всей линейке устройств iPad и iPhone.

ZecOps сообщила, что зафиксировала использование эксплойтов в отношении:
- сотрудников американских компаний из списка Fortune 500;
- директора компании -перевозчика из Японии;
- немецкий VIP;
- MSSP (Managed Security Service Provider) из Саудовской Аравии и Израиля;
- европейский журналист;
- а также подозрение на взлом руководителя одной из швейцарских компаний.

На это Apple отвечает как и ожидалось - "я не я и корова не моя". А точнее, так - "Мы изучили отчет ZecOps и пришли к выводу, что выявленные ошибки угрозы пользователям не представляют. В ближайших обновлениях мы их закроем."

ZecOps же обещают выложить больше технической информации об ошибках и фактах их использования после выхода патча.

Так что расслабляться не следует. Все говорит о том, что Apple просто отмораживается.