​​Shadow Intelligence сообщает, что некий хакер (русскоязычный) с псевдонимом gookee продает на одном из специализированных ресурсов доступ к серверу Sony Network под управлением Windows Server 2012.

В сообщении gookee прекрасно вообще все. Это просто квинтэссенция современного инфосека - бессмысленные хакеры и бесполезные сотрудники подразделений ИБ.

Исследователи Национального университета Сингапура разработали атаку, которую назвали SpiKey, позволяющую создавать дубликат ключа на основе звука, который он издает, когда его вставляют в замок.

Атака выглядит следующим образом.

Злоумышленник скрытно записывает звук вставляемого в замок ключа и обрабатывает его с помощью специального ПО, чтобы вычислить расстояния между соседними выступами ключа и глубину впадин.

После обработки преступник получает несколько вариантов ключа, которые затем распечатывает на 3D принтере.

Для доказательства работоспособности разработанной атаки исследователи продемонстрировали как их технология, основываясь на реальных аудиозаписях, смогла сузить множество из 330 тысяч возможных комбинаций ключа до трех вариантов.

Сингапурцы рекомендуют не открывать двери при соседях и посторонних лицах. Но мы-то с вами понимаем, что все эти предосторожности бесполезны. Поскольку злодеи смогут подслушать звук вставляемого ключа с помощью атаки Lamphone, про которую мы писали раньше, позволяющей снимать звуки со светодиодных лампочек на расстоянии.

Поэтому мы рекомендуем открывать замки в полном одиночестве и при выключенном свете. И под одеялом.

​​Месяц назад мы писали про пакистанскую APT 36, она же Transparent Tribe и Mythic Leopard, которая занимается кибершпионажем, предположительно, в интересах Пакистанской межведомственной разведки (ISI).

Сегодня Касперские опубликовали новый отчет, в котором описали использующееся пакистанскими хакерами в 2017-2020 годах malware, включая Crimson RAT.

Среди прочего вредоносного инструментария Касперские сообщили про USBWorm, который, по их словам, ранее не описывался, хотя и периодически наблюдался в последние годы.

USBWorm предназначен для сбора сведений со съемных носителей, распространения с их помощью, а также для загрузки и установки на зараженную машину "тонкого клиента" Crimson RAT. Короче говоря, с его помощью пакистанцы атакуют физически изолированные сети.

При попадании в скомпрометированную систему (как правило, устанавливается Crimson RAT) USBWorm начинает мониторинг подключаемых съемных носителей, в которых он заражает все имеющиеся каталоги и собирает с них информацию. Затем для каждого каталога он создает свою копию, при этом имитирует иконку каталога, а настоящий каталог скрывает. Соответственно, при попытке доступа к каталогу пользователь собственноручно запускает вредонос, который заражает машину, а потом открывает настоящий каталог.

Если червь находится на хосте, то он ищет все файлы с интересующими его расширениями, после чего копирует их в отдельный каталог. Если же он запущен со съемного носителя, то сначала он проверяет заражена ли система, если нет - то загружает "тонкий клиент" Crimson RAT.

Как утверждают исследователи, они обнаружили более 1000 заражений принадлежащими Transparent Tribe вредоносами в 27 странах., большинство из которых связано с USBWorm. Основные цели, как и всегда у пакистанцев, - Индия и Афганистан, в других странах - преимущественно их посольства.

Вчера стало известно о том, что прокуратура Северной Каролины предъявила обвинения Джо Салливану, бывшему CSO компании Uber в 2015-2017 годах. Его обвиняют в сокрытии взлома компании в 2016 году.

Во взломе виновны двое хакеров - американец Брэндон Гловер и канадец Василе Мереакра, которых осудили в прошлом году. Осенью 2016 года они скомпрометировали несколько учетных записей сотрудников Uber на GitHub, в результате чего получили учетные данные от AWS (Amazon Web Service) внутренней инфраструктуры компании.

Хакеры обнаружили и похитили персональные данные 57 млн. клиентов Uber и 600 тыс. водителей. После этого, 14 ноября 2016 года, они направили анонимное письмо Салливану, в котором сообщили о взломе. Вместо того, чтобы заявить о преступлении, последний решил скрыть факт проникновения, поскольку только за 10 дней до этого его опрашивали в Федеральной торговой комиссии США (FTS) о взломе Uber, произошедшем в 2014 году.

В декабре 2016 года Салливан организовал передачу хакерам 100 тыс. долларов в BTC под видом программы Bug Bounty, при этом личности злоумышленников не были раскрыты. Позже безопасность компании установила хакеров, но это повлекло лишь заключение с ними нового соглашения в рамках Bug Bounty, в правоохранительные органы Салливан так и не обратился.

О факте взлома Uber стало известно лишь в декабре 2017 года, после того как в компанию пришло новое руководство, включая нового директора по безопасности.

Теперь Салливана обвиняют в косвенной помощи хакерам, поскольку после взлома Uber они совершили и другие взломы, которые могли быть предотвращены если бы CSO компании сообщил об этом в полицию или ФБР. Ему грозит до 8 лет лишения свободы.

Остается узнать - был ли золотой парашют Салливана настолько хорош, чтобы компенсировать потенциальную отсидку. Ведь на преступление он пошел, чтобы прикрыть репутацию своего работодателя.

Университет штата Юты подвергся атаке неустановленного ransomware, в результате чего был вынужден выплатить вымогателям 457 тыс. долларов.

19 июля информационная безопасность Университета выявила атаку ransomware на сервера Университетского колледжа социальных и поведенческих наук (CSBS). Информация на взломанных серверах была похищена, а затем зашифрована.

Несмотря на то, что данные получилось восстановить из резервных копий, Университет принял решение заплатить выкуп чтобы предотвратить слив в паблик украденных данных, поскольку в них содержались сведения в отношении студентов и сотрудников Университета.

Инфосек эксперты склоняются к тому, что за атакой стоял оператор ransomware NetWalker, который специализируется на взломах сетей американских учебных заведений, а от одного из них он недавно поимел более 1,1 млн. долларов.

Университет заявил, что выкуп был выплачен за счет киберстраховки. Как нам кажется, с учетом все большей актуальности угроз ransomware, страховой продукт "Страховка на случай нападения кибервымогателей" будет в скором будущем весьма востребованным. Дарим идею бесплатно.

Совсем недавно мы писали про то, что АНБ выпустили совместный с ФБР отчет, в котором описали выявленный вредонос для Linux под названием Drovorub за авторством хакерской группы Fancy Bear, за которой, как утверждается, стоит ГРУ. Новость разошлась по всем мировым СМИ.

Американцы заявили, что Drovorub - многокомпонентная система, включающая руткит модуля ядра, предназначенный для скрытия вредоносной деятельности. Основное его предназначение - поиск и эксфильтрация информации.

Нас изначально смутило то, что, как уверяло АНБ, Drovorub - это внутреннее название вредоноса, используемое членами Fancy Bear. Ну серьезно, это очень странное название, похожее на искусственно придуманное людьми, которые владеют языком, но не являются его нативными носителями. Древоруб звучит более правильно.

И вот ситуация становится все страннее и страннее. Прошло целых 10 дней с момента заявления АНБ, а в инфосек комьюнити не могут найти сэмплов Drovorub'а. То есть их вообще ни у кого нет!

Вроде и не хочется верить, что американские спецслужбы могли сделать подлог, потому что рано или поздно такое всплывет и скандал будет чудовищным. С другой стороны, тот факт, что американцы не делятся сэмплами - это совершенное неуважение к комьюнити и к пользователям. И невольно такое поведение наводит на определенные мысли.

Ну а то, что американцы в последнее время без каких-либо сомнений нарушают все писанные и неписанные правила - мы уже писали.

Видимо, "сингапурская компания" Group-IB решила не отставать от Касперских, которые в последние недели штампуют любопытные отчеты просто пачками, и выдали интересный материал в отношении коммерческой иранской группы, использующей вымогатель Dharma.

Dharma (ранее CrySiS) - один из старейших вымогателей, работающий по схеме RaaS (ransomware as a service), когда оператор ransomware предоставляет клиентам свою вредоносную инфраструктуру и получает с от 30 до 40% выкупа. Оператор Dharma известен невысокими предъявляемыми требованиями к потенциальным партнерам, в отличие, например, от владельцев Sodinjkibi (aka REvil), которые предварительно проводят целые собеседования, чтобы убедиться, что клиенты являются хорошими хакерами.

В марте исходники Dharma были выставлены на продажу на двух русскоязычных форумах - мы писали об этом здесь. Вероятно иранцы его тогда и купили.

ГрИБы утверждают, что новые пользователи Dharma обладают очень низким хакерским скиллом. Используя доступное в сети хакерское ПО они сканируют сеть на предмет открытых портов RDP (Remote Desktop Protocol, удаленный рабочий стол) и пытаются забрутфорсить учетные данные. В случае успеха злоумышленники пробуют использовать старую уязвимость CVE-2017-0213 для Windows, чтобы повысить привилегии.

По мнению Group-IB, у иранских хакеров нет четкого плана как расширять свое присутствие в скомпрометированных сетях. Так что в каждом конкретном случае они решают что делать дальше для бокового перемещения по сети.

Основные цели - в России, Японии, Китае и Индии. В результате удаленной работы множества сотрудников из-за пандемии резко увеличилось количество плохо сконфигурированных RDP-подключений, поэтому иранским хакерам всегда есть чем поживиться. Тем более, что просят они сравнительно немного - от 1 до 5 BTC (приблизительно от 12 до 60 тыс. долларов по текущему курсу).

Как сообщают The Hacker News, системный администратор А. Никочи сообщил о выявленной уязвимости в Google Drive, которая потенциально может быть использована злоумышленниками для распространения вредоносов.

Дырка находится в функции Управление версиями, которая позволяет произвольно менять расширение у загружаемого под видом новой версии файла. Никочи создал демонстрационный ролик, в котором показал как легитимная версия файла может быть заменена на вредонос. Подобные уловки могут быть использованы хакерами в ходе целевого фишинга.

Google в курсе проблемы, но пока ее не исправили. Будьте аккуратнее.

​​Сегодня большая годовщина - ровно 25 лет назад на свет появилась Windows 95, операционная система, которая изменила все!

​​Китайские исследователи из Shadow Chaser Group, которые давно следят за индийской APT SideWinder, обнаружили новую фишинговую атаку за авторством индийцев, направленную на афганские правительственные организации.

В качестве приманки используется документ от лица офиса Совета национальной безопасности Афганистана.

Вот так индийцы работают на афганском направлении.

Новая команда DarkTracer, похоже японская, в рамках продвижения своего проекта по киберразведке выложила в сеть результаты своего анализа - список из 280 организаций, ставших жертвами 12 операторов ransomware.

Мы, видимо, в последнее время так много писали про Касперских, что нас стали спрашивать - не сидим ли мы у них на зарплате. Но мы, серьезно, не виноваты, что птенцы Евгения Валентиновича Маска в последний месяц выдают на гора один интересный отчет за другим.

Кстати, когда мы подряд давали несколько постов про хорошие обзоры Trend Micro никто нас про зарплату от японцев не спрашивал. Обидно.

Мы это пишем, как подписчики наверное догадались, к очередному интересному материалу Касперских.

Исследователи обнаружили очень редкую разновидность APT, которая не является ни прогосударственной, ни коммерческой. Новой хакерской группе дали название Death Stalker. Она занимается тем, что в рамках корпоративных войн по заказу взламывает юридические и финансовые компании, чтобы получить доступ к конфиденциальной информации. Эдакие солдаты удачи сетевого мира.

Найденный Касперскими PowerShell-имплант, который Death Stalker использует в целевом фишинге и получивший название Powersing, весьма сложен и свидетельствует о высоком уровне его разработчиков. Он эффективно шифруется, проверяет наличие sandbox и виртуальных машин.

Death Stalker используют общедоступные сервисы для передачи команд своим вредоносам - ресерчеры нашли такие сообщения в Google+, Reddit, Tumblr, Twitter, YouTube и др. Причем делает это в несколько этапов. Из первого сообщения Powersing считывает ключ AES, который затем использует для расшифровки числа из другого сообщения, а уже из полученного целого числа извлекает IP-адрес управляющего центра.

Проведя поиск подобных управляющих сообщений исследователи установили, что группа работает как минимум с августа 2017 года. Также они установили возможную связь Powersing с другими вредоносами - Janicab и Evilnum, которые используют похожие механизмы получения адресов управляющих центров. Исходя из этого, ресерчеры cо "средней вероятностью" утверждают, что Janicab и Evilnum также управляются Death Stalker.

Это же подтверждают некие "дополнительные данные, предоставленные отраслевыми партнерами", но Касперские их никому не покажут. Нахрена тогда про них писать...

Активность Powersing была зафиксирована в Аргентине, Китае, Кипре, Израиле, Ливане, Швейцарии, Тайване, Турции, Великобритании и ОАЭ. И если предположения Касперских про то, что Death Stalker используют также и Janicab, верны, то это означает, что хакерская группа активно работает как минимум с 2012 года.

#APT #DeathStalker

Когда читаешь инфосек новости, то понимаешь, что выражение "хуцпа" не там придумано - оно должно было возникнуть в Китае. Хотя кто знает, может быть и есть какой-нибудь секретный иероглиф, обозначающий беспредельную наглость и борзость.

Инфосек компания Snyk опубликовала отчет, в котором сообщила об обнаружении вредоносного функционала в популярном SDK для iOS-приложений от китайской рекламной платформы Mintegral. Исследователи дали ему название SourMint.

Этот SDK предоставляет разработчикам удобный функционал для встраивания рекламы в свои приложения и пользуется большой популярностью - он применяется более чем в 1200 iOS-приложениях, которые имеют в совокупности более 300 млн. загрузок в месяц.

Оказывается SourMint перехватывает клики, которые производит пользователь на чужих рекламных объявлениях и сообщает iOS, что пользователь кликнул по рекламным объявлениям Mintegral.

Однако этим вредоносный функционал SDK не ограничивается. SourMint собирает данные в отношении URL-запросов, сделанных пользователем из приложений, в которых SDK используется, а затем отправляет данные на удаленный сервер. При этом еще и пытается их закодировать.

Snyk сообщают, что впервые вредоносный функционал появился в SourMint в июле 2019 года. Apple пока отмораживается и пытается свалить всю ответственность на разработчиков приложений, использующих этот SDK.

Оно и понятно, зачем Apple ломать свой рекламный рынок. Вот только пока списка приложений, использующих SourMint, никто не опубликовал. А это значит, что пользовательские данные по прежнему под угрозой.

Польские исследователи из REDTEAM. PL в апреле этого года обнаружили уязвимость в браузере Safari, которую хакеры могут применять для кражи данных с устройства пользователей как на iOS, так и на macOS.

Ошибка скрывается в механизме обработки Web Share API, предназначенного для обмена ссылками и контентом. Safari пропускает ссылки, в которых содержится путь к локальному файлу, в силу чего, злоумышленник, убедивший пользователя перейти по специально созданной ссылке может получить его информацию. Например, историю браузера.

Исследователи сразу же сообщили об ошибке в Apple, которые сначала подтвердили наличие проблемы, далее упали во фриз, а затем, спустя четыре месяца, в середине августа сообщили REDTEAM. PL, что планируют закрыть уязвимость весной 2021 года и попросили не сообщать публике ее детали. Но, поскольку общепринятый срок в 90 дней на закрытие известной уязвимости прошел, поляки приняли решение опубликовать материалы.

Вопщемта, в очередной раз Apple всем продемонстрировали, что на безопасность пользователей им насрать. Ну а мы и не удивляемся уже.

В блоге по ссылке есть и демонстрационное видео, и PoC-код.

​​Инфосек компания F-Secure сообщила о фишинговой атаке, которую наши любимые северокорейские хакеры из Lazarus проводили в 2019-2020 годах на компании, связанные с криптовалютой.

Как мы неоднократно писали, в силу недостатка финансирования своих кибершпионских операций хакерские группы из КНДР вынуждены самостоятельно добывать денежные средства, для чего они активно занимаются коммерческим хакингом.

В этот раз они рассылают фишинговые сообщения в LinkedIn, в присоединенном документе к которому содержится вредоносный макрос. А затем все как обычно - загружаемый вредонос и сбор сведений с скомпрометированной машины, включая данные криптокошельков, а также боковое перемещения для дальнейшего проникновения во внутреннюю сеть.

ZDNet сообщает, что в субботу ФБР арестовало гражданина России Егора Крючкова. Вчера Министерство юстиции США предъявило ему обвинение в попытке завербовать сотрудника одной из компаний в Неваде для инсталляции вредоноса внутрь сети. Якобы Крючков за это предлагал 1 миллион долларов США.

По мнению американцев, Крючков является членом организованной преступной группы, которая планировала использовать установленный вредонос для захвата сети компании, чтобы в последующем зарансомить ее.

Судя по описанию процесса вербовки американца, который журналисты описывают в своем материале, спецагент из Крючкова тот еще - пытаться в лоб привлечь к соучастию в преступлении своего шапочного знакомого так себе задумка.

А возможно вообще все не так было. И Крючков вовсе не хакер. И не вымогать деньги из "компании в Неваде" он собирался. Но кто же теперь нам расскажет...

​​Позавчера про кибернаемников написали Касперские. А сегодня стало известно про расследование румынского инфосек вендора Bitdefender, в котором они описали атаку другой подобной группы. И в качестве этой группы они называют APT Promethium, она же StrongPity.

Bitdefender давно следит за активностью Promethium - мы писали об этом здесь.

В данном случае жертвой стала международная компания, специализирующаяся на архитектуре и на производстве видеоконтента, работающая с застройщиками элитной недвижимости в США, Великобритании, Австралии и Омане.

Румыны утверждают, что Promethium провели тщательную разведку системы безопасности жертвы, после чего скрупулезно спланировали атаку. Похоже, что в процессе нападения хакеры использовали 0-day уязвимость в приложении для работы с графикой Autodesk 3ds Max.

10 августа Autodesk предупредил о наличии вредоносного плагина PhysXPluginMfx, использующего уязвимость скриптовой утилиты MAXScript.

Румынские исследователи обнаружили, что Promethium использовали данный плагин для развертывания в атакованной системе RAT, который проводил поиск и эксфильтрацию конфиденциальной информации. Управляющий центр, используемый в этой атаке, находился на территории Южной Кореи. Bitdefender зафиксировали связь управляющего центра с другими сетями в Южной Корее, США, Японии и ЮАР что, вероятно, свидетельствует о других атакованных компаниях на территории этих стран.

И тем интереснее узнавать про взлом на заказ, выполненный APT Promethium, потому как за ней стоит MIT (Milli İstihbarat Teşkilatı), турецкая разведка. То ли у турков деньги закончились, то ли Promethium работает у них на подряде, перемежая кибершпионаж с взломами по заказу.

​​На днях японская команда DarkTracer, появившаяся совсем недавно, в рамках продвижения своего проекта по киберразведке выложила список из 280 организаций, ставших жертвами 12 операторов ransomware.

Сегодня же исследователи сообщили, что оператор ransomware Conti выкинул в паблик конфиденциальные данные Volkswagen Group. По всей видимости, вымогатели скомпрометировали сеть автопроизводителя, а последний отказался платить выкуп. Либо это первая партия информации, размещение которой сделано для того, чтобы сделать Volkswagen более сговорчивыми.

Conti - относительно новый вид ransomware, впервые замеченный в декабре 2019 года и ориентированный (впрочем, как и большинство вымогателей) на корпоративные сети. Считается, что Conti является преемником пресловутого Ryuk и управляется тем же оператором.

А на днях оператор ransomware, следуя современным трендам, запустил собственный сайт для слива украденной информации. И вот сразу такое громкое выступление.

Но, конечно, наших компаний это особо не касается. "Volkswagen Group - лошары, а у нас самая адекватная информационная безопасность за мелкий прайс" - повторяйте три раза в день перед едой и все будет хорошо. Ровно до момента компрометации вашей сети.

ZDNet решили напомнить о проблемах приватности пользователей при серфинге в сети. Нас эти вопросы тоже живо интересуют и о них мы неоднократно писали.

Исследователи из Университета Айовы, Калифорнийского Университета и Mozilla проанализировала активность 100 тыс. самых популярных сайтов рейтинга Alexa на предмет снятия fingerprint'ов пользовательских систем (не нравится нам термин отпечатки, но, поскольку он стал общепринятым, будем использовать дальше его).

Из всех 100 тыс. исследованных ресурсов 10% снимают браузерные отпечатки.

Из 10 тыс. самых популярных сайтов - каждый четвертый.

Среди тысячи лидирующих - более 30%.

Кроме того, исследователи обнаружили новые методы, с помощью которых сайты индивидуализируют отпечатки пользователей - определяют разрешения браузера, подключенные периферийные устройства, измеряют быстродействие системы, снимают отпечатки API и пр.

И хотя не все сайты следят за пользователями - многие снимают отпечатки в рамках борьбы с фродом, выводы очевидны.

Во-первых, чем популярнее ресурс, тем больше вероятность, что он за вами присматривает.

А во-вторых, необходимо юзать браузеры, которые предоставляют встроенную защиту от снятия отпечатков. Благо их сейчас полно - Firefox, Brave, Opera, Tor Browser и т.п.

В начале прошлой недели Akamai опубликовали отчет, в котором сообщили, что обнаружили новых акторов, специализирующихся на вымогательстве под угрозой проведения масштабных DDoS-атак.

Злоумышленники прикрываются наименованиями других хакерских групп - Armada Collective и Fancy Bear. И если первые действительно зарабатывают на DDoS-атаках еще с 2015 года, то вторые, также известные как APT28, считаются хакерской группой, работающей на ГРУ.

Согласно данным Akamai, хакеры нацелены на организации из финансового и банковского секторов, а также на предприятия розничной продажи. В письме, направляемом потенциальной жертве, злоумышленники угрожают начать DDoS-атаку, если не получат выкуп в размере от 5 до 20 BTC. Если жертва раскроет содержание письма третьим лицам - полиции или журналистам, - атака начнется немедленно. В случае пропуска контрольного срока выплаты выкупа он увеличивается.

Также хакеры обещали "тестовые" атаки (были ли они в реале - неизвестно). Некоторым жертвам угрожали атаками до 2 Тбит/с (имхо, брешут).

Тогда Akamai зафиксировали DDoS-атаку на одного из своих клиентов с мощностью 50 Гбит/с.

В начале этой недели Akamai дали дополнительную информацию, в которой сообщили, что наблюдают новые DDoS-атаки этой хакерской группы с пиком до 200 Гбит/c, в ходе которых используются различные вектора - DNS Flood, SNMP Flood, SYN Flood, ARMS (кстати, прикольная атака, использующая системы macOS с включенной службой удаленного управления в качестве мультипликатора вредоносного трафика с коэффициентом 35,5 (!)) и др.

А сегодня ZDNet сообщили, что во вторник указанными хакерами были атакованы платежки MoneyGram, PayPal, Venmo, Braintree, индийский банк YesBank. А Новозеландская фондовая биржа (NZX) лежит уже третий день подряд. Короче, Адъ и Израиль.

За всеми этими модными ransomware мы как-то стали забывать уже про старые "добрые" DDoS-атаки. А они вон какие - живы и процветают, в смысле бабки зарабатывают.

Check Point провели исследование и выдали весьма подробный отчет в отношении новой версии хорошо известного банковского трояна Qbot.

Изучив начавшуюся в июле новую фишинговую кампанию, в ходе которой вредоносный VBS скрипт используется для загрузки нового вида Qbot, заточенного под кражу конфиденциальной информации с скомпрометированной машины. При этом банковский функционал остался на месте.

Новый специальный модуль, который Check Point назвали email collector, извлекает последовательности почтовых переписок из Outlook и загружает их на управляющий центр. В дальнейшем эти переписки используются для новых вредоносных рассылок - почтовые сообщения мимикрируют под продолжение реально существующей переписки.

Новый Qbot также использует интересный (хоть и не оригинальный) механизм сокрытия своих каналов связи с управляющими центрами- он может использовать одну из зараженных машин в качестве промежуточного управляющего центра.

Атаки нового вредоноса преимущественно осуществлялись на государственный, военный и производственный сектора США и стран Европы.

Исходя из особенностей новой волны распространения Qbot можно сделать вывод, что за ней стоит прогосударственная APT.