Продолжаем наши расследования деятельности крупных хакерских групп, они же APT.
В прошлый раз мы обсуждали индийскую APT-C-09 aka Patchwork. А сегодня рассмотрим ее конкретные операции.
В декабре 2015 года Patchwork развернула большую кампанию, которая, спустя почти полгода, попала в поле зрения сразу нескольких инфосек вендоров – Forcepoint, Cymmetria, Касперский, CrowdStrike. Каждый дал ей свое название, но мы для определенности возьмем MONSOON.
Основным наблюдаемым приемом в процессе MONSOON был целевой фишинг, хотя встречались и "атаки на водопой". Масштаб был внушительным – более 110 стран и 6000 конкретных целей.
В процессе кампании APT применяла множество инструментов, взятых с различных хакерских ресурсов, к примеру свободно распространяемые бэкдоры. Вместе с тем, были и уникальные разработки – такие как BADNEWS и TINYTYPHON (которая, впрочем, была переработана из червя MyDoom).
Вообще, в ходе этой кампании APT-C-09 демонстрировали уникальный сплав изобретательности и раздолбайства. Что, в принципе, для индийцев неудивительно – наверняка подготовку к атакам они разбавляли танцами.
Так, применяя достаточно интересные приемы по скрытию своих управляющих центров они, в то же время, ухитрились запалить индийские статические IP-адреса в процессе входа на эти самые управляющие центры.
Основной приманкой служили документы на китайскую государственную тематику – фейковые военные отчеты, дипломатические письма, обзоры вопросов безопасности и пр. Также использовались поддельные новостные ресурсы про Китай и специально созданные аккаунты в крупных социальных сетях. Кстати говоря, последние были зарегистрированы в декабре 2014 года, что говорит о том, что позиции для MONSOON готовились заблаговременно.
Анализируя профиль потенциальных жертв MONSOON и использовавшиеся приманки можно утверждать, что с большой долей вероятности целью киберкампании было добывание любой информации, связанной с внешнеполиической деятельностью Китая и его взаимоотношениями с другими странами.
Основанием для старта киберкампании могло послужить подписание в 2015 году соглашения между Поднебесной и Пакистаном по созданию китайско-пакистанского экономического коридора, что грозило серьезно изменить баланс сил в регионе не в пользу Дели.
Вместе с тем, в ходе обострения в сентябре 2016 года отношений между Индией и Пакистаном, возникшего в результате нападения пропакистанских боевиков на лагерь индийской армии в штате Джамму и Кашмир, китайское руководство поддержало Индию, заявив, что Китай решительно отвергает любые проявления терроризма. Волшебным образом это заявление совпало со спадом активности MONSOON.
Некоторые инфосек эксперты в ходе расследования MONSOON высказывали предположение, что индийская хакерская группа, стоящая за атакой, ответственна также за кибероперацию Hangover, которая была выявлена в 2013 году.
Hangover, по некоторым данным, продолжалась около 3 лет и была направлена на госучреждения Пакистана, США, Ирана и, частично, Китая, а также, неожиданно, на норвежского сотового оператора Telenor.
Однако, делать однозначные выводы в данном случае сложно, между двумя атаками были и сходства и серьезные различия. Наши "любимые" FireEye так вообще утверждали, что за Hangover стоит Китай. Но у них всегда виноват либо Китай, либо Иран, либо Россия, либо малыш Ким.
Еще одной интересной активностью APT-C-09, коррелирующей до недель с геополитическими событиями вокруг Индии, стала направленная на Пакистан фишинговая кампания, которая произошла летом 2019 года.
Как известно, в этот момент произошло резкое обострение обстановки вокруг штата Джамму и Кашмир после отмены его особого статуса властями Индии. Команда RedDrip китайского инфосек вендора QiAnXin получила данные о целевом фишинге, использующем тему Кашмира в качестве приманки. Ряд признаков указывал на APT-C-09 как на источник атаки.
Впрочем, пакистанцы тоже активно работали против Индии в киберпространстве. И в одном из последующих постов, посвященных APT, мы обязательно коснемся наших задорных друзей из Исламабада.
#APT #APTC09 #Patchwork
В прошлый раз мы обсуждали индийскую APT-C-09 aka Patchwork. А сегодня рассмотрим ее конкретные операции.
В декабре 2015 года Patchwork развернула большую кампанию, которая, спустя почти полгода, попала в поле зрения сразу нескольких инфосек вендоров – Forcepoint, Cymmetria, Касперский, CrowdStrike. Каждый дал ей свое название, но мы для определенности возьмем MONSOON.
Основным наблюдаемым приемом в процессе MONSOON был целевой фишинг, хотя встречались и "атаки на водопой". Масштаб был внушительным – более 110 стран и 6000 конкретных целей.
В процессе кампании APT применяла множество инструментов, взятых с различных хакерских ресурсов, к примеру свободно распространяемые бэкдоры. Вместе с тем, были и уникальные разработки – такие как BADNEWS и TINYTYPHON (которая, впрочем, была переработана из червя MyDoom).
Вообще, в ходе этой кампании APT-C-09 демонстрировали уникальный сплав изобретательности и раздолбайства. Что, в принципе, для индийцев неудивительно – наверняка подготовку к атакам они разбавляли танцами.
Так, применяя достаточно интересные приемы по скрытию своих управляющих центров они, в то же время, ухитрились запалить индийские статические IP-адреса в процессе входа на эти самые управляющие центры.
Основной приманкой служили документы на китайскую государственную тематику – фейковые военные отчеты, дипломатические письма, обзоры вопросов безопасности и пр. Также использовались поддельные новостные ресурсы про Китай и специально созданные аккаунты в крупных социальных сетях. Кстати говоря, последние были зарегистрированы в декабре 2014 года, что говорит о том, что позиции для MONSOON готовились заблаговременно.
Анализируя профиль потенциальных жертв MONSOON и использовавшиеся приманки можно утверждать, что с большой долей вероятности целью киберкампании было добывание любой информации, связанной с внешнеполиической деятельностью Китая и его взаимоотношениями с другими странами.
Основанием для старта киберкампании могло послужить подписание в 2015 году соглашения между Поднебесной и Пакистаном по созданию китайско-пакистанского экономического коридора, что грозило серьезно изменить баланс сил в регионе не в пользу Дели.
Вместе с тем, в ходе обострения в сентябре 2016 года отношений между Индией и Пакистаном, возникшего в результате нападения пропакистанских боевиков на лагерь индийской армии в штате Джамму и Кашмир, китайское руководство поддержало Индию, заявив, что Китай решительно отвергает любые проявления терроризма. Волшебным образом это заявление совпало со спадом активности MONSOON.
Некоторые инфосек эксперты в ходе расследования MONSOON высказывали предположение, что индийская хакерская группа, стоящая за атакой, ответственна также за кибероперацию Hangover, которая была выявлена в 2013 году.
Hangover, по некоторым данным, продолжалась около 3 лет и была направлена на госучреждения Пакистана, США, Ирана и, частично, Китая, а также, неожиданно, на норвежского сотового оператора Telenor.
Однако, делать однозначные выводы в данном случае сложно, между двумя атаками были и сходства и серьезные различия. Наши "любимые" FireEye так вообще утверждали, что за Hangover стоит Китай. Но у них всегда виноват либо Китай, либо Иран, либо Россия, либо малыш Ким.
Еще одной интересной активностью APT-C-09, коррелирующей до недель с геополитическими событиями вокруг Индии, стала направленная на Пакистан фишинговая кампания, которая произошла летом 2019 года.
Как известно, в этот момент произошло резкое обострение обстановки вокруг штата Джамму и Кашмир после отмены его особого статуса властями Индии. Команда RedDrip китайского инфосек вендора QiAnXin получила данные о целевом фишинге, использующем тему Кашмира в качестве приманки. Ряд признаков указывал на APT-C-09 как на источник атаки.
Впрочем, пакистанцы тоже активно работали против Индии в киберпространстве. И в одном из последующих постов, посвященных APT, мы обязательно коснемся наших задорных друзей из Исламабада.
#APT #APTC09 #Patchwork
Telegram
SecAtor
Сегодня мы, как и обещали, начинаем выпускать посты про APT (терминология описана здесь, крупные хакерские группы, как правило прогосударственные.
Неожиданно, мы начнем не с российских Fancy Bear или Turla, не с ЦРУшной Longhorn и даже не с различных китайских…
Неожиданно, мы начнем не с российских Fancy Bear или Turla, не с ЦРУшной Longhorn и даже не с различных китайских…
А вчера, пока мы готовили пост про MONSOON, японские ресерчеры из Ricerca Security запилили таки эксплойт CVE-2020-0796, приводящий к удаленному исполнению кода в целевой системе. Мы писали про эту уязвимость в марте.
Впрочем, мы надеемся, что все сознательные люди уже давно пропатчили свои операционки от Microsoft и эта уязвимость SMBv3 им не страшна. В противном случае - тикайте с городу.
Впрочем, мы надеемся, что все сознательные люди уже давно пропатчили свои операционки от Microsoft и эта уязвимость SMBv3 им не страшна. В противном случае - тикайте с городу.
Blogspot
"I'll ask your body": SMBGhost pre-auth RCE abusing Direct Memory Access structs
Posted by hugeh0ge, Ricerca Security NOTE: We have decided to make our PoC exclusively available to our customers to avoid abuse by scr...
Друзья, и мы снова обращаемся к вам за помощью.
Если у кого-нибудь, случаем, в распоряжении оказался отчет Blackberry "Decade of the RATs. Novel Cross-Platform APT Attacks Targeting Linux, Windows and Android", мы были бы признательны за возможность с ним ознакомиться.
Скинуть, как и прежде, можно нам на почту. Правда, наш адрес немного изменился, но все есть в прикрепленном посте.
Заранее благодарны.
Если у кого-нибудь, случаем, в распоряжении оказался отчет Blackberry "Decade of the RATs. Novel Cross-Platform APT Attacks Targeting Linux, Windows and Android", мы были бы признательны за возможность с ним ознакомиться.
Скинуть, как и прежде, можно нам на почту. Правда, наш адрес немного изменился, но все есть в прикрепленном посте.
Заранее благодарны.
BleepingComputer сообщает, что в дарквебе появилась в продаже база данных пользователей Facebook, ранее замеченная в открытом доступе известным исследователем Бобом Дьяченко.
Тогда провайдер оперативно отключил сервер, на котором хранились сведения, а Дьяченко предположил, что это была украденная хакерами информация Facebook, которую просто плохо сконфигурировали.
БД содержала более чем 267 млн. записей о пользователях Facebook, включающих имя пользователя, его телефон, адрес электронной почты и идентификатор социальной сети.
Сейчас же исследователи инфосек компании Cyble нашли ее в продаже в дарквебе и на хакерских форумах всего за 500 фунтов стерлингов.
О, эти известные золотые стандарты информационной безопасности Facebook. Цукерберг, кажется, слил и продал уже все пользовательские данные, которые только можно слить или продать.
Тогда провайдер оперативно отключил сервер, на котором хранились сведения, а Дьяченко предположил, что это была украденная хакерами информация Facebook, которую просто плохо сконфигурировали.
БД содержала более чем 267 млн. записей о пользователях Facebook, включающих имя пользователя, его телефон, адрес электронной почты и идентификатор социальной сети.
Сейчас же исследователи инфосек компании Cyble нашли ее в продаже в дарквебе и на хакерских форумах всего за 500 фунтов стерлингов.
О, эти известные золотые стандарты информационной безопасности Facebook. Цукерберг, кажется, слил и продал уже все пользовательские данные, которые только можно слить или продать.
BleepingComputer
267 million Facebook profiles sold for $600 on the dark web
Threat actors are selling over 267 million Facebook profiles for £500 ($623) on dark web sites and hacker forums. While none of these records include passwords, they do contain information that could allow attackers to perform spear phishing or SMS attacks…
ZDNet сообщает, что APT Winnti, вероятно, нацелилась на производителя известной корейской онлайн-игры Ragnarok Online.
Данный вывод сделан из отчета немецкой инфосек компании QuoIntelligence, которая исследовав выявленный в конце февраля образец дроппера, предположительно принадлежащего Winnti, выявила в нем строку "0x1A0: "GRAVITY".
Проведя мозговой штурм, исследователи из Франкфурта-на-Майне пришли к выводу, что эта строчка относится к южнокорейской компании Gravity Co., Ltd, производителя Ragnarok Online.
Тут сразу надо дать пояснения.
Вот мы беглым поиском нашли кроме корейского производителя онлайн-игр еще и американскую компанию Gravity Payments, осуществляющую денежные переводы и имевшую в 2018 году оборот в 10,2 млрд. долларов. А также компанию Gravity Industries, производителя джетпаков.
Почему же немцы не предположили, что китайцев (а Winnti - это китайская APT) заинтересовали, например, технологии производства джетпаков?
А вот почему. Исследователи из QuoIntelligence уверены, что Winnti и APT41 это одна и та же группа. А уже APT41 действительно, по некоторым данным, специализировалась на производителях видеоигр. Между тем, это совсем не факт.
Некоторые инфосек вендоры, например ESET, допускали, что Winnti в той или иной мере ассоциированы с APT41. А тот же FireEye считает, что это разные группы и именует APT41 как DoubleDragon.
Но новость уже разошлась и все пишут, что Winnti aka APT41 атакует Ragnarok Online.
Вот такая она, эта индустрия инфосек новостей.
А мы, пожалуй, следующими рассмотрим как раз APT41 и Winnti. Тем более, что они в последнее время достаточно активны.
#APT #Winnti #APT41
Данный вывод сделан из отчета немецкой инфосек компании QuoIntelligence, которая исследовав выявленный в конце февраля образец дроппера, предположительно принадлежащего Winnti, выявила в нем строку "0x1A0: "GRAVITY".
Проведя мозговой штурм, исследователи из Франкфурта-на-Майне пришли к выводу, что эта строчка относится к южнокорейской компании Gravity Co., Ltd, производителя Ragnarok Online.
Тут сразу надо дать пояснения.
Вот мы беглым поиском нашли кроме корейского производителя онлайн-игр еще и американскую компанию Gravity Payments, осуществляющую денежные переводы и имевшую в 2018 году оборот в 10,2 млрд. долларов. А также компанию Gravity Industries, производителя джетпаков.
Почему же немцы не предположили, что китайцев (а Winnti - это китайская APT) заинтересовали, например, технологии производства джетпаков?
А вот почему. Исследователи из QuoIntelligence уверены, что Winnti и APT41 это одна и та же группа. А уже APT41 действительно, по некоторым данным, специализировалась на производителях видеоигр. Между тем, это совсем не факт.
Некоторые инфосек вендоры, например ESET, допускали, что Winnti в той или иной мере ассоциированы с APT41. А тот же FireEye считает, что это разные группы и именует APT41 как DoubleDragon.
Но новость уже разошлась и все пишут, что Winnti aka APT41 атакует Ragnarok Online.
Вот такая она, эта индустрия инфосек новостей.
А мы, пожалуй, следующими рассмотрим как раз APT41 и Winnti. Тем более, что они в последнее время достаточно активны.
#APT #Winnti #APT41
ZDNet
Chinese hackers targeted company behind 'Ragnarok Online' MMORPG
Security firm finds new Chinese malware aimed at the Gravity game maker's network. Unclear if the attempted intrusion succeeded.
Спасибо всем, кто отозвался и прислал отчет Blackberry "Decade of the RATs. Novel Cross-Platform APT Attacks Targeting Linux, Windows and Android".
Будем почитать.
Будем почитать.
Появились новости, что северокорейские хакеры проводят фишинг на высокопоставленных дипломатических работников (подробностей нет).
Один из используемых фейковых сайтов - kaspersky-pro(.)com
https://twitter.com/issuemakerslab/status/1252605779942584321
Один из используемых фейковых сайтов - kaspersky-pro(.)com
https://twitter.com/issuemakerslab/status/1252605779942584321
Twitter
IssueMakersLab
North Korea's RGB-D5 used Google Drive phishing to attack key figures in diplomatic organizations. They are believed to have been exploited by various servers, one of which is kaspersky-pro(.)com.
И еще один алерт.
Последние часы кто-то активно распространяет в Твиттере слухи о якобы имевшем место взломе ресурсов Всемирной организации здравоохранения, фонда Gates Foundation Билла Гейтса и Уханьской лаборатории.
При этом в качестве "доказательств" прикладываются выборки из старых дампов. Ждем "обжыгающей правды"?
Смотрите внимательно, вполне возможно, что скоро и в нашем уютном Телеграмчике скоро появится. Если что - можете смело ссылаться на этот пост.
https://twitter.com/campuscodi/status/1252583490736066561
Последние часы кто-то активно распространяет в Твиттере слухи о якобы имевшем место взломе ресурсов Всемирной организации здравоохранения, фонда Gates Foundation Билла Гейтса и Уханьской лаборатории.
При этом в качестве "доказательств" прикладываются выборки из старых дампов. Ждем "обжыгающей правды"?
Смотрите внимательно, вполне возможно, что скоро и в нашем уютном Телеграмчике скоро появится. Если что - можете смело ссылаться на этот пост.
https://twitter.com/campuscodi/status/1252583490736066561
Кстати говоря, когда мы готовили пост про активность индийской группы APT-C-09, она же Patchwork, мы совершенно упустили из виду то, с чего начали ее рассмотрение.
А именно, фишинговую атаку на китайские ресурсы, использующую тему COVID-19, про которую Malwarebytes упомянули в своем отчете.
Информации про эту киберкомпанию индийских хакеров крайне мало. Достоверно известно лишь, что она стартовала в начале февраля и использовала документы на китайском языке под видом информационных писем китайских медицинских организаций.
А в письме файл .xls, а в файле подгружаемый скрипт, а скрипт подгружает бэкдор̶,̶ ̶а̶ ̶в̶ ̶н̶е̶м̶ ̶я̶й̶ц̶о̶,̶ ̶а̶ ̶в̶ ̶я̶й̶ц̶е̶ ̶и̶г̶л̶а̶... Все, как обычно, короче.
Нам интересно не это. Предыдущие операции APT-C-09 показывают, что группа работает определенно в интересах госорганов Индии. То есть ее активность спланирована и имеет четкую цель.
Конечно, использование APT-C-09 темы в своем фишинге COVID-19 могло быть ситуативным, как наиболее хайповой темы в Китае на тот момент. А могло быть и по другому - индийцы пытались добраться до ресурсов китайских медицинских ведомств. Это означает, что индийская разведка всерьез озаботилась вопросом коронавируса еще в начале февраля, раньше других.
К сожалению, данных об адресатах февральского фишинга APT-C-09 в доступности нет. Поэтому мы можем только гадать, но точно узнаем вряд ли.
#APT #APTC09 #Patchwork
А именно, фишинговую атаку на китайские ресурсы, использующую тему COVID-19, про которую Malwarebytes упомянули в своем отчете.
Информации про эту киберкомпанию индийских хакеров крайне мало. Достоверно известно лишь, что она стартовала в начале февраля и использовала документы на китайском языке под видом информационных писем китайских медицинских организаций.
А в письме файл .xls, а в файле подгружаемый скрипт, а скрипт подгружает бэкдор̶,̶ ̶а̶ ̶в̶ ̶н̶е̶м̶ ̶я̶й̶ц̶о̶,̶ ̶а̶ ̶в̶ ̶я̶й̶ц̶е̶ ̶и̶г̶л̶а̶... Все, как обычно, короче.
Нам интересно не это. Предыдущие операции APT-C-09 показывают, что группа работает определенно в интересах госорганов Индии. То есть ее активность спланирована и имеет четкую цель.
Конечно, использование APT-C-09 темы в своем фишинге COVID-19 могло быть ситуативным, как наиболее хайповой темы в Китае на тот момент. А могло быть и по другому - индийцы пытались добраться до ресурсов китайских медицинских ведомств. Это означает, что индийская разведка всерьез озаботилась вопросом коронавируса еще в начале февраля, раньше других.
К сожалению, данных об адресатах февральского фишинга APT-C-09 в доступности нет. Поэтому мы можем только гадать, но точно узнаем вряд ли.
#APT #APTC09 #Patchwork
Telegram
SecAtor
Продолжаем наши расследования деятельности крупных хакерских групп, они же APT.
В прошлый раз мы обсуждали индийскую APT-C-09 aka Patchwork. А сегодня рассмотрим ее конкретные операции.
В декабре 2015 года Patchwork развернула большую кампанию, которая…
В прошлый раз мы обсуждали индийскую APT-C-09 aka Patchwork. А сегодня рассмотрим ее конкретные операции.
В декабре 2015 года Patchwork развернула большую кампанию, которая…
Наткнулись на краткий обзор 10 самых известных вирусов за последние 30 лет от Panda Security.
Ничего особенно нового, но если кто-то не слышал про Win95.CIH (а тут такие есть вообще?) - можно потратить 5 минут на прочтение.
Другим же можно просто поностальгировать.
Ничего особенно нового, но если кто-то не слышал про Win95.CIH (а тут такие есть вообще?) - можно потратить 5 минут на прочтение.
Другим же можно просто поностальгировать.
Panda Security Mediacenter
30 years of cyberattacks: from Barrotes to WannaCry
Panda Security takes a look at some of the cyberattacks that have made an impact over the last 30 years, on the occasion of our 30th anniversary.
Румынские анивирусники Bitdefender сообщили о том, что выявили серию фишинговых атак, которые, судя по всему, были связаны с проведением в середине апреля консультаций между ОПЕК+ и группой нефтедобывающих стран по ограничению добычи нефти.
Первая фишинговая кампания началась 31 марта и была нацелена на ряд производителей нефти из Малайзии, Ирана и США. Вторая серия кибератак была направлена на несколько филлипинских компаний, специализирующихся на доставке нефти с помощью танкеров.
Обе кампании были хорошо подготовлены, атаковавшие использовали профессиональный сленг и правильную структуру сообщений, чтобы заинтересовать потенциальных жертв. Так, в одном из случае фишинговые письма рассылались от имени египетской нефтеинжиниринговой фирмы ENPPI.
И в обеих кампаниях конечной целью было подсадить в систему жертвы Agent Tesla, который одновременно имеет функции инфостиллера и RAT.
Как всегда задаемся вопросом - кто мог быть бенефициаром этой интересной кибероперации. На поверхности лежит очевидный ответ - прогосударственная APT, желающая добыть информацию о намерениях участников сделки для получения переговорных преимуществ.
Однако, мы склоняемся к более оригинальной версии. Судя по тому, что один из векторов атаки был направлен на танкерные компании, за атаками стоит коммерческая хакерская группировка, действующая в интересах крупного биржевого игрока.
Потому что знание инсайдов нефтяных переговоров и состояния танкерного парка может помочь поднять много бабла. А там, где много бабла, там и хакеры ко двору.
Первая фишинговая кампания началась 31 марта и была нацелена на ряд производителей нефти из Малайзии, Ирана и США. Вторая серия кибератак была направлена на несколько филлипинских компаний, специализирующихся на доставке нефти с помощью танкеров.
Обе кампании были хорошо подготовлены, атаковавшие использовали профессиональный сленг и правильную структуру сообщений, чтобы заинтересовать потенциальных жертв. Так, в одном из случае фишинговые письма рассылались от имени египетской нефтеинжиниринговой фирмы ENPPI.
И в обеих кампаниях конечной целью было подсадить в систему жертвы Agent Tesla, который одновременно имеет функции инфостиллера и RAT.
Как всегда задаемся вопросом - кто мог быть бенефициаром этой интересной кибероперации. На поверхности лежит очевидный ответ - прогосударственная APT, желающая добыть информацию о намерениях участников сделки для получения переговорных преимуществ.
Однако, мы склоняемся к более оригинальной версии. Судя по тому, что один из векторов атаки был направлен на танкерные компании, за атаками стоит коммерческая хакерская группировка, действующая в интересах крупного биржевого игрока.
Потому что знание инсайдов нефтяных переговоров и состояния танкерного парка может помочь поднять много бабла. А там, где много бабла, там и хакеры ко двору.
BleepingComputer
Spearphishing campaigns target oil, gas companies with spyware
Cybercriminals are targeting the oil and gas industry sector with highly targeted spearphishing campaigns impersonating shipment companies and engineering contractors while attempting to infect their targets with Agent Tesla info-stealer malware payloads.
Хьюстон, у нас проблемы!
Исследователи инфосек компании ZecOps сообщили сегодня, что выявили использование в дикой природе двух 0-day уязвимостей, одна из которых позволяет удаленное исполнение кода на всей линейке устройств Apple под управлением iOS. Уязвимы все iPhone и iPad, начиная с iOS 6 (то есть с iPhone 5).
Основную угрозу представляется уязвимость, которая использует переполнение кучи в предустановленном приложении Mail, что позволяет удаленно исполнять код в этом приложении, прислав жертве специально сформированное почтовое сообщение. Таким образом атакующий получает доступ к содержимому электронной почты и может полностью его модифицировать.
Вместе с тем, ZecOps предполагают, что существует еще одна невыявленная уязвимость нулевого дня в ядре ОС, которая в совокупности с дыркой в приложении Mail позволяет получить полный контроль над атакуемым устройством.
Особую опасность выявленной 0-day уязвимости представляет то, что в iOS 13 ее можно использовать без какого-либо действия со стороны пользователя (т.н. "0-click"), даже в фоновом режиме. В iOS 12 требуется, чтобы пользователь щелкнул по почтовому сообщению.
Более того, в случае использование соответствующего эксплойта жертва не заметит никаких аномалий, кроме возможного временного замедления работы почтового приложения на iOS 12. Присланные вредоносные сообщения злоумышленник, как правило, удаляет после удачной атаки.
ZecOps утверждают, что атаки с использованием этих уязвимостей происходят как минимум с января 2018 года, одним из акторов является неустановленная прогосударственная APT.
На данный момент соответствующего апдейта iOS нет, Apple обещает пофиксить дырку в ближайшем обновлении.
Поэтому рекомендации следующие:
- не использовать приложение Mail, а использовать Outlook или Gmail;
- с нетерпением ждать апдейта iOS, по факту его появления сразу обновить устройство.
Исследователи инфосек компании ZecOps сообщили сегодня, что выявили использование в дикой природе двух 0-day уязвимостей, одна из которых позволяет удаленное исполнение кода на всей линейке устройств Apple под управлением iOS. Уязвимы все iPhone и iPad, начиная с iOS 6 (то есть с iPhone 5).
Основную угрозу представляется уязвимость, которая использует переполнение кучи в предустановленном приложении Mail, что позволяет удаленно исполнять код в этом приложении, прислав жертве специально сформированное почтовое сообщение. Таким образом атакующий получает доступ к содержимому электронной почты и может полностью его модифицировать.
Вместе с тем, ZecOps предполагают, что существует еще одна невыявленная уязвимость нулевого дня в ядре ОС, которая в совокупности с дыркой в приложении Mail позволяет получить полный контроль над атакуемым устройством.
Особую опасность выявленной 0-day уязвимости представляет то, что в iOS 13 ее можно использовать без какого-либо действия со стороны пользователя (т.н. "0-click"), даже в фоновом режиме. В iOS 12 требуется, чтобы пользователь щелкнул по почтовому сообщению.
Более того, в случае использование соответствующего эксплойта жертва не заметит никаких аномалий, кроме возможного временного замедления работы почтового приложения на iOS 12. Присланные вредоносные сообщения злоумышленник, как правило, удаляет после удачной атаки.
ZecOps утверждают, что атаки с использованием этих уязвимостей происходят как минимум с января 2018 года, одним из акторов является неустановленная прогосударственная APT.
На данный момент соответствующего апдейта iOS нет, Apple обещает пофиксить дырку в ближайшем обновлении.
Поэтому рекомендации следующие:
- не использовать приложение Mail, а использовать Outlook или Gmail;
- с нетерпением ждать апдейта iOS, по факту его появления сразу обновить устройство.
Jamf
Jamf Threat Labs | Blog
ZDNet составили список ransomware, операторы которых используют новую тактику по публичному размещению конфиденциальных данных жертвы в Интернете, если она отказывается платить выкуп.
Таковых на сегодня журналисты насчитали 9 штук:
- CLOP;
- DOPPELPAYMER;
- MAZE (мы писали про них на днях);
- NEFILIM;
- NEMTY;
- RAGNALOCKER (и про них недавно писали);
- SODINOKIBI (про этих вообще куча постов);
- SEKHMET;
- SNATCH.
С учетом того, что пару месяцев назад таковых насчитывалось ровно пять, новая тактика вымогательства стала весьма популярной и берется на вооружение все большим количеством операторов ransomware.
Вангуем, что в ближайшее время их станет еще больше. И, если что, с этими негодяями придется договариваться. Потому что эффективного механизма противодействия пока не имеется.
Таковых на сегодня журналисты насчитали 9 штук:
- CLOP;
- DOPPELPAYMER;
- MAZE (мы писали про них на днях);
- NEFILIM;
- NEMTY;
- RAGNALOCKER (и про них недавно писали);
- SODINOKIBI (про этих вообще куча постов);
- SEKHMET;
- SNATCH.
С учетом того, что пару месяцев назад таковых насчитывалось ровно пять, новая тактика вымогательства стала весьма популярной и берется на вооружение все большим количеством операторов ransomware.
Вангуем, что в ближайшее время их станет еще больше. И, если что, с этими негодяями придется договариваться. Потому что эффективного механизма противодействия пока не имеется.
ZDNET
Here's a list of all the ransomware gangs who will steal and leak your data if you don't pay
Ransomware gangs are getting more aggressive these days about pursuing payments and have begun stealing and threatening to leak sensitive documents if victims don't pay the requested ransom demand.
А у нас, похоже, нарисовался чемпион по скорости реакции на коронавирус среди прогосударственных APT.
Как сообщает FireEye, с января по апрель этого года APT32, также известная под названиями Ocean Lotus, Cobalt Kitty и др., проводила активную фишинговую кампанию, направленную на китайские правительственные органы. FireEye полагает, что атака проводилась в целях сбора информации о COVID-19.
APT32 - это вьетнамская хакерская прокси, работающая, как минимум, с 2014 года и неоднократно замеченная в проведении киберопераций в интересах вьетнамского правительства.
По данным FireEye, фишинговая кампания была ориентирована на китайское МЧС и правительство провинции Хубэй, в которой находился эпицентр заражения коронавирусом город Ухань (FireEye пишет "провинция Ухань", вероятно это ошибка). Первое фишинговое письмо, адресованное в МЧС Китая, было зафиксировано 6 января (!!!).
Вспомните, что вы делали 6 января? Отходили от Нового Года, встречали Рождество, планировали мероприятия на первую рабочую неделю 2020 года. Про COVID-19 никто и слыхом не слыхал. А вьетнамские хакеры уже разворачивали кибероперацию по добыванию информации в отношении вспышки коронавируса. Оперативность реакции поражает.
И вот теперь к тому, что нас крайне беспокоит. Данный случай уже второй, который позволяет предположить, что китайские власти действительно скрывают некую информацию, способную существенно помочь в борьбе с коронавирусом.
Когда мы высказывали эту версию в случае с атаками на китайские государственные ресурсы южнокорейцев из DarkHotel и говорили о возможной связи той кампании с успехами Южной Кореи в борьбе с вирусом, мы, честно говоря, в большей степени занимались конспирологией.
Однако теперь, когда мы смотрим на информацию о деятельности вьетнамских хакеров и на цифры заболевших коронавирусом по Вьетнаму, у нас глаз начинает дергаться.
Знаете сколько всего зараженных в азиатской стране, соседней с Китаем и с не самым высоким уровнем медицины в мире? 268, из которых 224 выздоровели. А умерших нет совсем.
Вот такая хакерская арифметика.
#APT #APT32 #OceanLotus
Как сообщает FireEye, с января по апрель этого года APT32, также известная под названиями Ocean Lotus, Cobalt Kitty и др., проводила активную фишинговую кампанию, направленную на китайские правительственные органы. FireEye полагает, что атака проводилась в целях сбора информации о COVID-19.
APT32 - это вьетнамская хакерская прокси, работающая, как минимум, с 2014 года и неоднократно замеченная в проведении киберопераций в интересах вьетнамского правительства.
По данным FireEye, фишинговая кампания была ориентирована на китайское МЧС и правительство провинции Хубэй, в которой находился эпицентр заражения коронавирусом город Ухань (FireEye пишет "провинция Ухань", вероятно это ошибка). Первое фишинговое письмо, адресованное в МЧС Китая, было зафиксировано 6 января (!!!).
Вспомните, что вы делали 6 января? Отходили от Нового Года, встречали Рождество, планировали мероприятия на первую рабочую неделю 2020 года. Про COVID-19 никто и слыхом не слыхал. А вьетнамские хакеры уже разворачивали кибероперацию по добыванию информации в отношении вспышки коронавируса. Оперативность реакции поражает.
И вот теперь к тому, что нас крайне беспокоит. Данный случай уже второй, который позволяет предположить, что китайские власти действительно скрывают некую информацию, способную существенно помочь в борьбе с коронавирусом.
Когда мы высказывали эту версию в случае с атаками на китайские государственные ресурсы южнокорейцев из DarkHotel и говорили о возможной связи той кампании с успехами Южной Кореи в борьбе с вирусом, мы, честно говоря, в большей степени занимались конспирологией.
Однако теперь, когда мы смотрим на информацию о деятельности вьетнамских хакеров и на цифры заболевших коронавирусом по Вьетнаму, у нас глаз начинает дергаться.
Знаете сколько всего зараженных в азиатской стране, соседней с Китаем и с не самым высоким уровнем медицины в мире? 268, из которых 224 выздоровели. А умерших нет совсем.
Вот такая хакерская арифметика.
#APT #APT32 #OceanLotus
Google Cloud Blog
Vietnamese Threat Actors APT32 Targets Wuhan Government | Google Cloud Blog
Vietnamese threat actors APT32 targets the Chinese Ministry of Emergency Management in the latest example of Covid-19 related espionage.
Голландские исследователи из Tesorion провели анализ кодов двух семейств ransomware Nemty и Nefilim и пришли к выводу, что эти вредоносы являются родственными
Подобные предположения ранее уже высказывались, в частности журналистами Bleeping Computer, однако технических подтверждений не было.
И вот теперь голландцы, проведя анализ, нашли в обоих ransomware куски кода, скомпилированные из практически идентичных исходников. Кроме того, Nemty 2.6 при шифровании игнорирует файлы с расширением Nefilim (обратное, кстати, не верно). А вот Nemty 2.2 такого исключения не содержит.
Nemty и Nefilim содержат еще ряд принципиальных сходств, например, один и тот же список расширений, игнорируемых при шифровании (вплоть до их порядка), а также список игнорируемых каталогов.
Tesorion полагают, что поскольку у этих ransomware разные модели использования (Nemty - Ransomware as a Service, а Nefilim используется под конкретную крупную цель), то Nefilim является дальнейшим концептуальным развитием Nemty. Тем более, что оператор последнего сообщил, что планирует отказаться от модели RaaS.
Кстати, в коде Nefilim нашлась строчка из песни Drip Catcher модного российского исполнителя песен ртом Kizaru. Что еще больше придает этой ransomware сходство с Nemty, авторы которого прописали в коде лирику Скриптонита.
Подобные предположения ранее уже высказывались, в частности журналистами Bleeping Computer, однако технических подтверждений не было.
И вот теперь голландцы, проведя анализ, нашли в обоих ransomware куски кода, скомпилированные из практически идентичных исходников. Кроме того, Nemty 2.6 при шифровании игнорирует файлы с расширением Nefilim (обратное, кстати, не верно). А вот Nemty 2.2 такого исключения не содержит.
Nemty и Nefilim содержат еще ряд принципиальных сходств, например, один и тот же список расширений, игнорируемых при шифровании (вплоть до их порядка), а также список игнорируемых каталогов.
Tesorion полагают, что поскольку у этих ransomware разные модели использования (Nemty - Ransomware as a Service, а Nefilim используется под конкретную крупную цель), то Nefilim является дальнейшим концептуальным развитием Nemty. Тем более, что оператор последнего сообщил, что планирует отказаться от модели RaaS.
Кстати, в коде Nefilim нашлась строчка из песни Drip Catcher модного российского исполнителя песен ртом Kizaru. Что еще больше придает этой ransomware сходство с Nemty, авторы которого прописали в коде лирику Скриптонита.
Tesorion Cybersecurity Solutions
Exploring the link between Nemty and Nefilim » Tesorion Cybersecurity Solutions
Новый скандал с двойными стандартами Facebook.
Как известно, социальная сеть включилась в активную борьбу с распространением ложной информации о коронавирусе. "Мы убрали сотни тысяч фрагментов дезинформации, связанных с COVID-19" - заявил Цукерберг.
Однако некоммерческий проект The MarkUp выяснил, что несмотря на грозную риторику, про бабло Facebook не забывает. Так, в категорию "любители псевдонауки" социальная сеть записала аж 78 млн. пользователей. А потом продавала рекламу, ориентированную на этих людей.
И только в понедельник, после обращения The MarkUp, представитель компании сообщил, что Facebook исключили эту категорию интересов из рекламной выдачи. Насколько это соответствует реальности - пока непонятно.
А журналисты вспомнили, что в 2019 году Цукерберга ловили на рекламной категории пользователей "любители теории заговоров" и "противники вакцин". А в 2017 году у Facebook была рекламная группа "ненавистник евреев".
Те они еще поборники морали, эти крупные бизнесмены.
Как известно, социальная сеть включилась в активную борьбу с распространением ложной информации о коронавирусе. "Мы убрали сотни тысяч фрагментов дезинформации, связанных с COVID-19" - заявил Цукерберг.
Однако некоммерческий проект The MarkUp выяснил, что несмотря на грозную риторику, про бабло Facebook не забывает. Так, в категорию "любители псевдонауки" социальная сеть записала аж 78 млн. пользователей. А потом продавала рекламу, ориентированную на этих людей.
И только в понедельник, после обращения The MarkUp, представитель компании сообщил, что Facebook исключили эту категорию интересов из рекламной выдачи. Насколько это соответствует реальности - пока непонятно.
А журналисты вспомнили, что в 2019 году Цукерберга ловили на рекламной категории пользователей "любители теории заговоров" и "противники вакцин". А в 2017 году у Facebook была рекламная группа "ненавистник евреев".
Те они еще поборники морали, эти крупные бизнесмены.
themarkup.org
Want to Find a Misinformed Public? Facebook’s Already Done It – The Markup
While vowing to police COVID-19 misinformation on its platform, Facebook let advertisers target users interested in “pseudoscience”
Фонд свободы прессы (FPF) сравнил 13 приложений для видеоконференций с целью выяснить, какое из них является более безопасным и конфиденциальным.
Оценка проводилась по 4 параметрам:
- поддержка сквозного шифрования;
- поддержка приватного размещения;
- требуется ли аккаунт для того, чтобы присоединиться к встрече;
- как много людей могут присоединиться к встрече.
Сквозное шифрование поддерживает только половина из них, а self-hosting есть у лишь трех приложений. А часть хранит те или иные пользовательские данные на своих серверах.
Короче, можете сами решить, что вам больше подойдет.
Оценка проводилась по 4 параметрам:
- поддержка сквозного шифрования;
- поддержка приватного размещения;
- требуется ли аккаунт для того, чтобы присоединиться к встрече;
- как много людей могут присоединиться к встрече.
Сквозное шифрование поддерживает только половина из них, а self-hosting есть у лишь трех приложений. А часть хранит те или иные пользовательские данные на своих серверах.
Короче, можете сами решить, что вам больше подойдет.
Apple демонстрирует искусство PR с человеческим лицом (все по заветам г-на Грефа). А точнее как не надо реагировать на инциденты информационной безопасности если ты крупная компания.
Напомним, что два дня назад инфосек компания ZecOps заявила об использовании в дикой природе двух 0-day уязвимостей в яблочном приложении Mail, позволяющих полностью контролировать переписку атакованного пользователя на всей линейке устройств iPad и iPhone.
ZecOps сообщила, что зафиксировала использование эксплойтов в отношении:
- сотрудников американских компаний из списка Fortune 500;
- директора компании -перевозчика из Японии;
- немецкий VIP;
- MSSP (Managed Security Service Provider) из Саудовской Аравии и Израиля;
- европейский журналист;
- а также подозрение на взлом руководителя одной из швейцарских компаний.
На это Apple отвечает как и ожидалось - "я не я и корова не моя". А точнее, так - "Мы изучили отчет ZecOps и пришли к выводу, что выявленные ошибки угрозы пользователям не представляют. В ближайших обновлениях мы их закроем."
ZecOps же обещают выложить больше технической информации об ошибках и фактах их использования после выхода патча.
Так что расслабляться не следует. Все говорит о том, что Apple просто отмораживается.
Напомним, что два дня назад инфосек компания ZecOps заявила об использовании в дикой природе двух 0-day уязвимостей в яблочном приложении Mail, позволяющих полностью контролировать переписку атакованного пользователя на всей линейке устройств iPad и iPhone.
ZecOps сообщила, что зафиксировала использование эксплойтов в отношении:
- сотрудников американских компаний из списка Fortune 500;
- директора компании -перевозчика из Японии;
- немецкий VIP;
- MSSP (Managed Security Service Provider) из Саудовской Аравии и Израиля;
- европейский журналист;
- а также подозрение на взлом руководителя одной из швейцарских компаний.
На это Apple отвечает как и ожидалось - "я не я и корова не моя". А точнее, так - "Мы изучили отчет ZecOps и пришли к выводу, что выявленные ошибки угрозы пользователям не представляют. В ближайших обновлениях мы их закроем."
ZecOps же обещают выложить больше технической информации об ошибках и фактах их использования после выхода патча.
Так что расслабляться не следует. Все говорит о том, что Apple просто отмораживается.
ZDNET
Apple disputes recent iOS zero-day claim
Apple says it "thoroughly investigated" a recent report about three iOS Mail bugs but "found no evidence they were used against customers."
В сети назревает очередное журналистское расследование, посвященное "страшной правде".
Есть такой журналист Jordan Robertson (@jordanr1000), блеснувший в 2018 году статьей в Bloomberg, в которой раскрыл невероятно коварный заговор китайских производителей чипсетов, "вызвавший дрожь американского разведывательного сообщества".
В своем материале Робертсон рассказал о крошечных микрочипах "размером меньше рисового зернышка", которые солдаты НОАК встраивают в материнские платы, производимые для американской компании Super Micro. А потом эти платы расходятся по серверам Amazon, используемым спецслужбами США, а также по серверам, используемым Apple, в результате чего Китай тайно контролирует всю их деятельность. Все это подавалось со ссылками на многочисленные источники, причастные к расследованию.
От таких откровений охренели, мягко сказать, все. Дошло до того, что и Тим Кук, CEO Apple, и Джефф Безос, владелец и CEO Amazon, дали свои официальные опровержения. Само собой, все отрицали и Super Micro.
Как оказалось, журналистский эксклюзив оказался фейком. Придумал ли эту историю сам Робертсон или он опубликовал непроверенный слив - точно неизвестно.
В 2019 году он получил инфосек премию Pwnie в категории "most over-hyped bug" (с официальной припиской - It seems it was all bullshit), а Bloomberg были награждены за "most epic fail".
Выражение же "рисовое зернышко" (grain of rice) стало крылатым в инфосек сообществе.
И вот, придя в себя после многочисленных ударов злой судьбы (после скандала Робертсон был на время сослан в Отдел погоды), американский расследователь снова занялся журнализмом. По отрасли пошли слухи, что в этот раз чипы "размером с рисовое зернышко" Робертсон решил найти во всех роутерах китайского производства.
Народ закупил попкорн и ждет от Робертсона нового взрывного материала, после которого он точно будет номинирован на Pwnie-2020.
https://twitter.com/craiu/status/1253407417305649153
Есть такой журналист Jordan Robertson (@jordanr1000), блеснувший в 2018 году статьей в Bloomberg, в которой раскрыл невероятно коварный заговор китайских производителей чипсетов, "вызвавший дрожь американского разведывательного сообщества".
В своем материале Робертсон рассказал о крошечных микрочипах "размером меньше рисового зернышка", которые солдаты НОАК встраивают в материнские платы, производимые для американской компании Super Micro. А потом эти платы расходятся по серверам Amazon, используемым спецслужбами США, а также по серверам, используемым Apple, в результате чего Китай тайно контролирует всю их деятельность. Все это подавалось со ссылками на многочисленные источники, причастные к расследованию.
От таких откровений охренели, мягко сказать, все. Дошло до того, что и Тим Кук, CEO Apple, и Джефф Безос, владелец и CEO Amazon, дали свои официальные опровержения. Само собой, все отрицали и Super Micro.
Как оказалось, журналистский эксклюзив оказался фейком. Придумал ли эту историю сам Робертсон или он опубликовал непроверенный слив - точно неизвестно.
В 2019 году он получил инфосек премию Pwnie в категории "most over-hyped bug" (с официальной припиской - It seems it was all bullshit), а Bloomberg были награждены за "most epic fail".
Выражение же "рисовое зернышко" (grain of rice) стало крылатым в инфосек сообществе.
И вот, придя в себя после многочисленных ударов злой судьбы (после скандала Робертсон был на время сослан в Отдел погоды), американский расследователь снова занялся журнализмом. По отрасли пошли слухи, что в этот раз чипы "размером с рисовое зернышко" Робертсон решил найти во всех роутерах китайского производства.
Народ закупил попкорн и ждет от Робертсона нового взрывного материала, после которого он точно будет номинирован на Pwnie-2020.
https://twitter.com/craiu/status/1253407417305649153
Twitter
Costin Raiu
Somewhere, someone is implanting a router into a grain of rice.
Иск Facebook к израильскому инфосек вендору NSO Group примечателен двумя вещами.
Во-первых, не часто происходят суды между крупными ИТ компаниями таких старых геополитических союзников как США и Израиль. Тем более, когда они крайне близки к государственным органам, в том числе спецслужбам.
Во-вторых, в пылу судебной тяжбы обе стороны начинают вываливать на публику вещи, которые в ином случае оказались бы под сукном.
Ну а для нас, как для сторонних наблюдателей, это прекрасный шанс взглянуть на темную изнанку блестящего фасада индустрии информационных технологий и инфосека.
Напомним, что Facebook обвиняет NSO в разработке и продаже спецслужбам разных стран шпионского ПО Pegasus, с помощью которого последние могли взламывать WhatsApp интересующих их лиц.
В прошлый раз в ходе слушаний NSO заявили, что в 2017 году представители Facebook хотели приобрести право на использование некоторых возможностей Pegasus. Тогда Facebook планировали использовать эти механизмы внутри своего VPN-приложения Onavo Protect, которое проводило несанкционированный анализ пользовательского траффика.
Теперь же Facebook сообщили, что технический анализ выявил - в 720 зафиксированных случаях атаки взломанное приложение WhatsApp обращалось на один и тот же сервер, принадлежащий QuadraNet Enterprises LLC, хостинг-провайдеру из Лос-Анджелеса.
Facebook утверждают, что в рамках проекта Pegasus израильтяне получали финансирование от частной инвестиционной компании из Калифорнии и размещали свои управляющие сервера в этом штате. Это было подтверждено договором NSO Group с QuadraNet.
Вот такое прекрасное сетевое настоящее - все шпионят за всеми, да еще и договорами подтверждают. Посмотрим, какие еще темные секреты всплывут в рамках рассмотрения этого иска.
Во-первых, не часто происходят суды между крупными ИТ компаниями таких старых геополитических союзников как США и Израиль. Тем более, когда они крайне близки к государственным органам, в том числе спецслужбам.
Во-вторых, в пылу судебной тяжбы обе стороны начинают вываливать на публику вещи, которые в ином случае оказались бы под сукном.
Ну а для нас, как для сторонних наблюдателей, это прекрасный шанс взглянуть на темную изнанку блестящего фасада индустрии информационных технологий и инфосека.
Напомним, что Facebook обвиняет NSO в разработке и продаже спецслужбам разных стран шпионского ПО Pegasus, с помощью которого последние могли взламывать WhatsApp интересующих их лиц.
В прошлый раз в ходе слушаний NSO заявили, что в 2017 году представители Facebook хотели приобрести право на использование некоторых возможностей Pegasus. Тогда Facebook планировали использовать эти механизмы внутри своего VPN-приложения Onavo Protect, которое проводило несанкционированный анализ пользовательского траффика.
Теперь же Facebook сообщили, что технический анализ выявил - в 720 зафиксированных случаях атаки взломанное приложение WhatsApp обращалось на один и тот же сервер, принадлежащий QuadraNet Enterprises LLC, хостинг-провайдеру из Лос-Анджелеса.
Facebook утверждают, что в рамках проекта Pegasus израильтяне получали финансирование от частной инвестиционной компании из Калифорнии и размещали свои управляющие сервера в этом штате. Это было подтверждено договором NSO Group с QuadraNet.
Вот такое прекрасное сетевое настоящее - все шпионят за всеми, да еще и договорами подтверждают. Посмотрим, какие еще темные секреты всплывут в рамках рассмотрения этого иска.
ZDNet
Facebook-NSO lawsuit: Hundreds of WhatsApp attacks linked to one IP address
Facebook fights to keep the lawsuit on track after NSO filed a motion to dismiss the case earlier this month.
Group IB, которая в очередной раз называет себя "сингапурской компанией по кибербезопасности" (Сачкову надо быть осторожнее, с таким позиционированием и от госконтрактов могут отлучить), вчера сообщила, что обнаружила выставленную на продажу на крупнейшем кардерском ресурсе Jocker's Stash базу данных, содержащую информацию о 400 тысячах платежных банковских карт.
БД продается почти за 2 млн. долларов, по уверениям продавца она валидна на 30-40%. Почти половину составляют южнокорейские карты, еще 49,3% - карты банков США.
Как говорят Group IB, это самый крупный слив данных по платежным картам банков Южной Кореи за последние 8 месяцев.
БД продается почти за 2 млн. долларов, по уверениям продавца она валидна на 30-40%. Почти половину составляют южнокорейские карты, еще 49,3% - карты банков США.
Как говорят Group IB, это самый крупный слив данных по платежным картам банков Южной Кореи за последние 8 месяцев.
Group-IB
South Korean and US payment card details worth nearly $2M up for sale in the underground
Group-IB, a Singapore-based cybersecurity company, has detected a dump containing details for nearly 400,000 payment card records uploaded to a popular darknet cardshop on April 9. The database was comprised almost entirely of the payment records related…