Северокорейские хакеры скомпрометировали приложение MinaOTP для MacOS, внедрив в него троян Dacls.

MinaOTP представляет собой свободно распространяемое приложение для двухфакторной аутентификации (2FA), в основном распространенное среди китайских пользователей. Заряженный образец программы был выявлен в Гонконге. В настоящее время Dacls выявляется 23 из 59 антивирусными движками.

Dacls - это RAT, ранее замеченный на Windows и Linux. Китайцы из Qihoo 360 Netlab утверждают, что за данной малварью стоит APT Lazarus aka Dark Seoul, северокорейская государственная хакерская группа, работающая под контролем Bureau 121, агентства киберопераций, входящего в структуру Главного разведывательного бюро армии КНДР.

Обновленный малыш Ким, теперь доступен и на Вашем Macbook!

Ну что же, это завершающий пост разбора деятельности APT 41, работающей на китайские государственные органы. И закончится он неожиданно.

В январе 2019 года Лаборатория Касперского выявила кампанию ShadowHammer, которая происходила с июня по ноябрь 2018 года. В ходе атаки, являющейся классическим примером атаки на цепочку поставок, хакеры смогли скомпрометировать сервера производителя компьютерной техники ASUS и внедрить свой бэкдор в утилиту ASUS Live Update. По самым скромным оценкам зараженное ПО скачали более полумиллиона пользователей. В реальности их число могло превысить миллион.

Однако, в этой атаке была интересна не масштабность, а то, что за всем своим гигантским размахом она имела четкую и компактную цель. В теле вредоноса были жестко прописаны более 600 уникальных MAC-адресов, которые интересовали инициатора атаки. Правда, как прокомментировали Касперские, подобных МАС-адресов могло быть и больше. В любом случае, их количество несоизмеримо меньше общего числа атакованных компьютеров.

В каком случае имела смысл подобная операция? Ну, например, в том, если инициатор атаки смог бы получить список MAC-адресов партии компьютеров ASUS, поставленных в одно или несколько интересующих его государственных ведомств. Что, опять же, можно сделать, например, скомпрометировав сеть ASUS. А именно это и было сделано.

Эту атаку Касперские приписали группе Winnti, Microsoft – группе Barium (сейчас они считаются одной и той же группой). А наши "любимцы" из FireEye – группе APT 41.

В октябре 2019 года FireEye заявили, что APT 41 скомпрометировала технологическую сеть неназванного сотового оператора, заразила его SMS-центр вредоносом под названием MESSAGETAP и собирала содержание SMS по фильтру телефонных номеров и IMEI. Также в рамках этого вторжения хакеры каким-то образом получили доступ к CDR (Call Detail Record, первичная запись об активности сотового абонента), и тоже отбирали их по определенному признаку, доставая, таким образом, биллинг интересующих их лиц. Если верить FireEye, получается, что APT 41 распотрошила пострадавшего телеком оператора чуть более чем полностью.

Технических признаков принадлежности атаки именно APT 41 предоставлено не было, лишь утверждения, что списки интересующих хакеров номеров телефонов и IMEI касались высокопоставленных лиц, представляющих интерес для китайской разведки и находящихся в оппозиции Китаю. Косвенно это может указывать на то, что взломанный телеком оператор находится в Азии.

По утверждениям американской компании, всего APT 41 атаковала четырех операторов, были ли в остальных случаях атаки удачными не сообщалось.

В том же октябре 2019 года произошла странная история – один из ведущих сотрудников FireEye Кристофер Глаер в своем Twitter заявил, что APT 41 еще в 2016 году взломала приложение для удаленного доступа TeamViewer, благодаря чему могла на протяжении долгого времени контролировать компьютеры с установленным на них клиентом TeamViewer.

Тогда же FireEye озвучила эту информацию на конференции Cyber Defense Summit 2019. Однако после возмущения TeamViewer по поводу недостоверности этого заявления, FireEye включила заднюю, а Глаер стер твит и написал, что он вообще не это имел в виду.

Ну, а теперь, собственно, неожиданное завершение постов про APT 41.

Изучив имеющиеся материалы, мы пришли к выводу, что, на самом деле, никакого APT 41 нет.

APT 41 - это симулякр, придуманные FireEye. Кадавр, составленный из деятельности других китайских хакерских групп, фантазий американских исследователей и, частично, из неподчищенных следов APT, работающих на США.

Туловище, ноги и руки APT 41 взяты от Winnti, голова от APT 40 aka Leviathan, шея от APT 10 aka Stone Panda, и еще по кусочку от разных групп. А длинный лисий хвост – от американских киберопераций. По крайней мере, таковой мы склонны считать странный кейс с TeamViewer.

Цель очевидна – иметь под рукой удобного болванчика, на которого, в случае необходимости, можно списать ту или иную киберкампанию. Иногда в геополитических целях, а иногда в целях сокрытия следов активности дружественных хакерских групп по созданию позиций для добывания разведывательной информации.

Собственно, это мы и наблюдаем, в этом году APT 41 уже была назначена виновной в "глобальной кампании по проникновению" через дырки в Citrix ADC и Gateway, а также маршрутизаторах Cisco.

За сим оставим пока китайские группы (хотя потом обязательно вернемся к ним).

#APT #APT41 #DoubleDragon

Все-таки WannaCry случился 12 мая 2017 года. Мы ту пятницу надолго запомним...

три года с момента атаки WannaCry, помните, как весело всем было?
https://t.me/alexmakus/1131

В воскресенье исследователи из Университета Эйндховена сообщили о выявленной в феврале уязвимости под названием Thunderspy в интерфейсе Thunderbolt, которая актуальна для всех устройств под управлением Windows, Linux и, отчасти, macOS, выпущенных до 2019 года.

Thunderspy позволяет создавать произвольные идентификаторы устройств Thunderbolt и клонировать авторизованные пользователем устройства, в результате чего получать DMA (Direct Memory Access) - прямой доступ к системной памяти, минуя процессор.

Используя Thunderspy злоумышленник может, имея физический доступ к компьютеру, путем подключения через Thunderbolt получить в течение нескольких минут доступ к данным жестких дисков и памяти даже в том случае, если атакуемый компьютер находится в режиме блокировки, а диски зашифрованы.

На приведенном демонстрационном видео Бьёрн Райтенберг получает доступ к данным ноутбука ThinkPad за пять минут, просто отвинтив заднюю крышку бука и подключившись к порту. И, хотя, использованное оборудование достаточно громоздко, Райтенберг утверждает, что при вложении примерно 10 тыс. долларов все это дело замечательно ужимается до размеров небольшой коробки - "У трехбуквенных агентств не возникнет проблем с миниатюризацией этого".

Другим методом эксплуатации Thunderspy, не имеющем необходимости в физическом доступе, является подключение через Thunderbolt предварительно скомпрометированного периферийного устройства. Правда, в этом случае требуется, чтобы в установках Thunderbolt было разрешено использование доверенных устройств.

Защиты для уязвимых устройств, кроме физического отключения Thunderbolt, нет. Даже программное отключение Thunderbolt было обойдено Райтенбергом.

Intel говорит, что данная атака предотвращается функцией Kernel DMA Protection, введенной в 2019 году. Однако, какая часть производителей ноутбуков ее использует - вопрос. HP уверенно заявляет, что у них защита от DMA-атак через Thunderbolt стоит по умолчанию. Остальные отмораживаются.

Кстати, пользователей macOS уязвимость тоже касается, но, благодаря другой системе безопасности Thunderbolt, атаки через DMA исключены. Тем не менее, атакованная машина становится уязвимой для атак типа BadUSB. Правда, если пользователь Macbook загрузит Windows через BootCamp, то он становится полностью беззащитен перед Thunderspy.

А мы выпустим из стенного шкафа нашего штатного эксперта-параноика Калерию Петровну, любительницу РенТВ и знатока тайных заговоров спецслужб.

Итак, ей слово - "Райтенберг не зря упомянул трехбуквенные агентства применительно к Thunderspy. Подобные уязвимости мало применимы к коммерческому взлому, потому что требуют, пусть и краткосрочного, но обязательного физического доступа к атакуемому устройству. А вот для спецслужб организовать подобный доступ - дело привычное. Досмотр в аэропорте, уборка в номере гостиницы, краткосрочное задержание и досмотр нарядом полиции - варианты давным-давно отработаны. То есть осведомленные агентства имели возможность получать безуликовый доступ к содержимому компьютеров как минимум с 2011 года, когда появился Thunderbolt".

Добавить, пожалуй, нечего. Следи за собой, будь осторожен (с)

ESET обнаружили вредоносное приложение для Android, предназначенное для проведения DDoS-атак.

В январе этого года сайт ESET подвергся DDoS-атаке, которая продолжалась более 7 часов и проводилась с более чем 4000 уникальных IP-адресов.

В результате дальнейшего расследования выяснилось, что атака была осуществлена с помощью приложения Updates for Android, которое легально загружалось пользователями из Play Store. В оригинальной версии приложения отсутствовал функционал для DDoS, в силу чего оно прошло проверку Play Store. Всего Updates for Android было загружено более 50 тыс. раз.

В одном из обновлений в приложение была добавлена функция загрузки вредоносного JavaScript с сервера, принадлежащего хакерам. После загрузки идентификатор устройства передавался на управляющий центр злоумышленников, а сам скрипт каждые 150 минут запрашивал команды на атаку.

С момента выявления бот-сети ESET стали отслеживать ее активность и зафиксировали еще 6 DDoS-атак, большая часть которых была направлена на турецкие сайты. В результате обращения в Google приложение Updates for Android было удалено из Play Store.

ESET обращает внимание, что с подобными механизмами внедрения вредоносов на устройства Android тяжело бороться , поскольку до загрузки вредоносной составляющей оснований для удаления приложения из Play Store не имеется.

Иранские государственные органы подтвердили, что в прошлую пятницу была зафиксирована кибератака, происходившая "из-за пределов Ирана", которая была направлена на информационные ресурсы порта Бендер-Аббас.

Согласно Министерству дорог и городского развития Ирана, атака затронула ограниченное количество частных операционных ресурсов в порту и не нанесла существенного ущерба.

Бендер-Аббас - портовый город на юге Ирана, занимающий стратегическую позицию в Ормузском проливе. Это тот самый пролив, через который идут танкеры с нефтью из Саудовской Аравии. Подобный выбор цели существенно сужает круг потенциальных исполнителей кибератаки.

После того, как в воскресенье иранский фрегат Jamaran по ошибке обстрелял на учениях свой же вспомогательный корабль Konarak, по индустрии пошли слухи, что кибератака на иранский порт могла быть связана с этим инцидентом. Однако, официальные лица Ирана эту связь опровергают.

В то же время мы все прекрасно помним кибероперацию Stuxnet, которую успешно провели спецслужбы США и Израиля на иранскую ядерную программу.

С учетом того, что фрегат Jamaran не только был построен в Бендер-Аббасе, но и приписан к местной военно-морской базе, вероятность того, что произошедшая в пятницу кибератака на местный порт и ошибка на стрельбах в воскресенье являются звеньями одной цепи, существенно возрастает.

ФБР и Министерство национальной безопасности (МНБ) США решили разогреть ситуацию - как заявила сегодня CyberScoop на этой неделе ведомства готовятся к большому разоблачению хакерской деятельности, осуществляемой APT Hidden Cobra, работающей на правительство КНДР.

Hidden Cobra, которая больше известна под названием Lazarus, является наиболее активной северокорейской группой. Считается, что она работает с 2009 года под контролем Bureau 121, агентства киберопераций, входящего в структуру Главного разведывательного бюро армии КНДР. Большинство инфосек экспертов полагает, что именно Lazarus является автором WannaCry, эпидемии которого сегодня исполнилось ровно 3 года.

Позже сегодня МНБ выложили документы с описанием трех новых видов вредоносного ПО - Copperhedge, Taintedscribe и Pebbledash, а US Cyber Command выгрузили образцы на VirusTotal.

Непонятно, остановятся ли американцы на этом или будут набрасывать дальше. И если будут продолжать, то с какой целью. Ведь, согласно национальной стратегии кибербезопасности, США допускают возможность наступательных операций в ответ на кибератаки.

Канал "Пиратская баржа" (https://t.me/piratebarge) в рамках рубрики "Абордаж" запускает цикл интерактивных интервью с экспертами из разных отраслей. Вопросы гостям задают подписчики в чате канала.

В ближайшее время на канале выступит специалист по связи с движущимися объектами, радио и телекоммуникациям Михаил Мозговой. Он расскажет о спутниках, спуффинге, истории возникновения и развития телекоммуникаций в России, принципах радиоэлектронной борьбы и много разного другого.

Нам такой формат общения с экспертами показался весьма интересным, поэтому мы решили поделиться с вами. Сами тоже подумаем над каким-нибудь заковыристым вопросом. Например, про возможность использования стандарта LTE 450 для обеспечения сотовой связи в летящем самолете 😉

Microsoft вчера выпустили майское обновление безопасности для линейки своего ПО, включая Windows, Edge, Office, Defender, Visual Studio и пр.

Апдейт закрывает в общей сложности 111 уязвимостей, из которых 16 являются критическими и, в большинстве своем, приводят к удаленному исполнению кода в атакуемой системе.

К примеру, таковой является CVE-2020-1117, весьма интересный баг в библиотеке ICM32.dll, отвечающей за управление цветом, который приводит к переполнению буфера. Злоумышленник, заманив пользователя на вредоносный сайт, может удаленно запустить свой код и полностью скомпрометировать систему. Кстати, эта ошибка была найдена командой FLARE нашего "любимого" инфосек вендора FireEye.

Как обычно, ожидаем множество проблем у пользователей после установки этого масшабного обновления, потому что по другому у Microsoft не бывает.

И тем не менее, обновляться надо, поскольку закрываемые апдейтом уязвимости уж больно злые.

Команда исследователей Unit42 из калифорнийской Palo Alto Networks выявила новую кампанию индийской группы APT-C-09, она же Patchwork, которую мы уже рассматривали.

Напомним, что Patchwork работает под контролем Разведывательного корпуса армии Индии.

Выявленная кибероперация представляет собой целевой фишинг, направленный на правительственные и военные организации Южной Азии, и использует malware BackConfig.

Исследователи полагают, что одной из целью атаки является Федеральный совет по доходам (FBR) Пакистана.

#APTC09 #Patchwork

​​А разработчики ransomware тем временем открыли канал по ее распространению в Discord.

Действительно, а почему и бы и нет?

ESET обнаружили интереснейший образец вредоноса, предназначенного, судя по всему, для проникновения в физически изолированные сети. Исследователи дали ему название Ramsay.

ESET полагает, что в настоящее время Ramsay находится в стадии развития. Всего обнаружено три версии малвари, первая из которых датируется сентябрем 2019 года, а последняя - концом марта этого года.

Ramsay маскируется под документ Word с вредоносной нагрузкой, либо под установщик 7zip. При попадании в атакованную систему вредонос заражает все исполняемые файлы, а потом начинает собирать все существующие на дисках документы Word в специально созданную папку. Собранные файлы шифруются RC4, архивируются, а затем на их основе генерируются специальные Ramsay-контейнеры, содержащие профиль оборудования зараженной машины.

В дальнейшем Ramsay-контейнеры скрыто прицепляются к обычным файлам Word, причем последние полностью сохраняют свою функциональность. Компонент для эксфильтрации контейнеров ESET не обнаружили, но предполагают, что он должен сканировать систему на предмет поиска заголовков контейнеров.

Кроме того, более поздние версии Ramsay стремятся распространиться на сетевые и внешние диски, что дало основание полагать, что вредонос предназначен для атак на физические изолированные системы. Также малварь сканирует хосты зараженной сети, которые подвержены уязвимости SMBv1.

Какие-либо управляющие центры Ramsay отсутствуют, он является децентрализированным. Малварь сканирует файлы Word, а также .PDF и .ZIP на предмет наличия специального маркера, за которым скрывается файл, содержащий контрольные команды. Причем вариантов подобных контрольных файлов может быть два - предназначенный для произвольного профиля оборудования и для конкретной машины. Что означает возможность целевого использования Ramsay.

В ходе изучения в Ramsay были найдены множественные сходства с бэкдором Retro, использовавшимся ранее известной нам APT DarkHotel, предположительно работающей на правительство Южной Кореи. Соответственно, именно эта группа, судя по всему, является автором Ramsay.

Без лишних слов, это красивое произведение вирмейкерского искусства. Похоже предназначенное для атак на сети спецслужб и военных организаций.

#DarkHotel #Ramsay

Давненько мы не писали про коронавирус. В отличие от всех остальных. Но вот наткнулись на интересный препринт. Напоминаем, что препринты - это предварительные отчеты, не проверенные экспертами.

Исследование проведено тремя британскими медиками, нам их имена ничего не говорят. Да и в медицинских терминах мы не особенно разбираемся.

Суть исследования в том, что британцы проверили возможное наличие корреляции между средним уровнем витамина D и количеством случаев инфицирования на 1 миллион населения, а также с соответствующем уровнем смертности.

По уверениям медиков, по результатам анализа данных 20 европейских стран они выявили прямую зависимость между этими показателями. То есть, если хочешь легче переносить COVID-19 или вообще им не заболеть - употребляй витамин D.

В любом случае, стоит дождаться проверки полученных результатов экспертной группой, но, как минимум, обратить внимание на это следует.

​​Вчера мы писали со ссылкой на группу Unit42 компании Palo Alto Networks, что выявлена новая киберкампания индийской группы Patchwork, ориентированная, в числе прочего, на государственные и военные учреждения Пакистана.

Сегодня пришло подтверждение другой информации (впервые она появилась тоже вчера), что индийская APT SideWinder развернула фишинговую атаку, приманкой в которой служит документ в отношении COVID-19. Целью, предположительно, является пакистанская отрасль образования.

Интересный всплеск активности индийских хакерских групп. С учетом того, что, как мы помним, кампании Patchwork обычно коррелируют с какими-либо конфликтами между Индией и Пакистаном, можно предположить, что что-то затевается между этими конкурирующими странами.

​​В инфосек индустрии новости по связанной тематике частенько появляются одна за другой. Совсем как в Клинике - если одна злая баба вышла, то другая злая баба зашла. Почему так происходит, мы сами не в курсе.

Второго дня мы рассматривали вредонос Ramsay, предназначенный для проникновения в физически изолированные (air-gapped) сети. А сегодня нашли свежий отчет японского инфосек вендора Trend Micro про атаку хакерской группы Tropic Trooper на физически изолированные сети тайваньских и филиппинских военных.

Tropic Trooper впервые была описана той же Trend Micro в 2015 году после расследования большой кибероперации, действующей с 2012 года и направленной на государственные и военные учреждения, а также предприятия тяжелой промышленности Тайваня, Гонконга и Филиппин. Тогда в отношении потенциальных жертв проводился целевой фишинг, основное используемое вредоносное ПО называлось Yahoyah.

Кстати, интересный факт, Yahoyah в переводе с языка висоянов означает слуга. А висояны - это одна из ключевых народностей Филиппин, из числа которой вышло наибольшее количество руководителей страны. Например, нынешний президент Филиппин Дутерте - тоже из висоянов.

Это говорит о том, что лица, готовившие malware Yahoyah, хорошо разбирались во внутриполитической кухне Филиппин.

Анализ Yahoyah тогда показал большое сходство с другой малварью KeyBoy, использовавшейся с 2011 года для атак на организации Вьетнама и Индии.

Вернемся к свежевыявленной киберкампании.

Японцы назвали ее USBferry и утверждают, что она идет аж с 2018 года. Основная цель операции - получение разведывательных данных из закрытых ресурсов.
Первая версия содержит небольшой компонент уже упомянутого трояна Yahoyah, что позволяет связать инициатора атаки с Tropic Trooper.

USBferry после заражения хоста пытается распространиться по сети и через USB-носители. В случае подключения инфицированного USB-носителя к физически изолированной системе USBferry заражает ее и начинает поиск последних версий секретных документов, которые, в случае их нахождения, сбрасывает в USB %RECYCLER%. Также вредонос собирает данные о топологии сети, к которой подключен зараженный хост.

В дальнейшем, при подключении к машине с выходом в Интернет USBferry, проводит эксфильтрацию собранной информации на свой управляющий центр. Интересный факт - в отдельных случаях для получения команд от управляющего центра USBferry использует изображения со стеганографией. Такой же прием применялся и вредоносом Yahoyah.

Несомненно, что USBFerry примитивнее Ramsay. Это видно хотя бы по способу хранения краденной информации. Но, тем не менее, атаки на физически изолированные сети всегда интересны.

Что же касается исполнителя - считается, что Tropic Trooper является китайской APT. В некоторых источниках даже фигурирует альтернативное название Pirate Panda. Но четких признаков принадлежности группы на данный момент нет, поэтому большинство экспертов считает ее unaffiliated.

Южнокорейская команда IssueMakersLab сообщает, что хакерская группа Пятого Департамента Главного разведывательного бюро армии КНДР прямо сейчас проводит целевой фишинг на сотрудников турецкой компании Otokar.

Otokar производит продукцию военного назначения - колесные и гусеничные бронетранспортеры, бронеавтомобили и оружейные системы.

Пятый Департамент Главного разведывательного бюро армии КНДР, известный также как Bureau 35, специализируется на закордонной разведке, включая Южную Корею. Странно, что именно это подразделение занялось кибератаками, поскольку, в основном, это епархия другого департамента ГРБ, известного также как Bureau 121.

IssueMakersLab позиционирует себя как некоммерческое разведсообщество, расследующее киберактивность Северной Кореи, но, скорее всего, связана со спецслужбами Южной Кореи.

Предполагаем, что КНДР интересуют документы в отношении производимой Otokar бронетехники. Не рецепт хорошего кальяна они ведь пытаются украсть, в самом деле.

Microsoft предупреждают, что наблюдают многочисленные фишинговые кампании, в ходе которых злоумышленники используют поддельные страницы логина Azure AD.

Azure AD - облачное решение для управления единой точкой доступа (SSO), используемое, как правило, корпоративными клиентами. Новая страница логина была анонсирована в феврале и начала использоваться в апреле. Учитывая это можно говорить о достаточно оперативной реакции хакеров на изменения ПО, которое они пытаются подделать.

Если кто-то использует Azure AD - предупредите пользователей. чтобы были аккуратны.

​​Elexon, британская электросетевая компания, подтвердила, что подверглась кибератаке, которая затронула ее IT-системы.

Elexon является оператором Кода баланса и расчетов (BSC Central System), который отвечает за распределение энергии в британских электросетях.

Атака затронула внутреннюю сеть оператора, включая почтовый сервер и часть компьютеров сотрудников. Технологическая часть сети Elexon осталась в целости, системы, управляющие транзитом электроэнергии, не пострадали.

Компания не раскрывает подробностей атаки, но эксперты полагают, что это была ransomware. Ранее инфосек фирма Bad Packets отмечала, что Elexon использует устаревшую версию Pulse Secure в качестве корпоративного VPN, которая могла послужить точкой компрометации ее сети.

Этот инцидент еще раз напоминает о важности грамотного сегментирования сетей в компаниях критической инфраструктуры, без которого Великобритания вполне могла словить блэкаут. Ну и конечно, о необходимости своевременного апдейта имеющегося ПО.

И еще одна кибератака на промышленного гиганта.

Австралийский металлургический концерн BlueScope официально заявил, что его ресурсы пострадали от кибератаки, которая изначально была направлена на один из заводов в США.

В результате инцидента на некоторых предприятиях концерна, в том числе в Австралии и США, были нарушены производственные(!) и логистические процессы. В итоге часть производства была приостановлена, отправка же стали осуществляется в ручном режиме.

BlueScope имеет более 16 тыс. сотрудников, которые работают на предприятиях в Австралии, Северной Америке, Азии и Новой Зеландии. Доход концерна в 2016 году составил почти 6 млрд. долларов.

Это, в отличие от кейса с Elexon, наглядный пример того, что бывает когда наряду с брешами в информационной безопасности ответственные подразделения не могут качественно сегментировать сеть и защитить ее технологический сегмент.

Мы, конечно, те еще металлурги. Но подозреваем, что остановка производственного процесса в металлургии чревата миллионами (если не десятками миллионов) долларов потерь. Зато на инфосеке сэкономили.