На днях японская команда DarkTracer, появившаяся совсем недавно, в рамках продвижения своего проекта по киберразведке выложила список из 280 организаций, ставших жертвами 12 операторов ransomware.
Сегодня же исследователи сообщили, что оператор ransomware Conti выкинул в паблик конфиденциальные данные Volkswagen Group. По всей видимости, вымогатели скомпрометировали сеть автопроизводителя, а последний отказался платить выкуп. Либо это первая партия информации, размещение которой сделано для того, чтобы сделать Volkswagen более сговорчивыми.
Conti - относительно новый вид ransomware, впервые замеченный в декабре 2019 года и ориентированный (впрочем, как и большинство вымогателей) на корпоративные сети. Считается, что Conti является преемником пресловутого Ryuk и управляется тем же оператором.
А на днях оператор ransomware, следуя современным трендам, запустил собственный сайт для слива украденной информации. И вот сразу такое громкое выступление.
Но, конечно, наших компаний это особо не касается. "Volkswagen Group - лошары, а у нас самая адекватная информационная безопасность за мелкий прайс" - повторяйте три раза в день перед едой и все будет хорошо. Ровно до момента компрометации вашей сети.
Сегодня же исследователи сообщили, что оператор ransomware Conti выкинул в паблик конфиденциальные данные Volkswagen Group. По всей видимости, вымогатели скомпрометировали сеть автопроизводителя, а последний отказался платить выкуп. Либо это первая партия информации, размещение которой сделано для того, чтобы сделать Volkswagen более сговорчивыми.
Conti - относительно новый вид ransomware, впервые замеченный в декабре 2019 года и ориентированный (впрочем, как и большинство вымогателей) на корпоративные сети. Считается, что Conti является преемником пресловутого Ryuk и управляется тем же оператором.
А на днях оператор ransomware, следуя современным трендам, запустил собственный сайт для слива украденной информации. И вот сразу такое громкое выступление.
Но, конечно, наших компаний это особо не касается. "Volkswagen Group - лошары, а у нас самая адекватная информационная безопасность за мелкий прайс" - повторяйте три раза в день перед едой и все будет хорошо. Ровно до момента компрометации вашей сети.
X (formerly Twitter)
Fusion Intelligence Center @ StealthMole on X
#Conti Ransomware Group released Volkswagen Group's data on the #DarkWeb.
ZDNet решили напомнить о проблемах приватности пользователей при серфинге в сети. Нас эти вопросы тоже живо интересуют и о них мы неоднократно писали.
Исследователи из Университета Айовы, Калифорнийского Университета и Mozilla проанализировала активность 100 тыс. самых популярных сайтов рейтинга Alexa на предмет снятия fingerprint'ов пользовательских систем (не нравится нам термин отпечатки, но, поскольку он стал общепринятым, будем использовать дальше его).
Из всех 100 тыс. исследованных ресурсов 10% снимают браузерные отпечатки.
Из 10 тыс. самых популярных сайтов - каждый четвертый.
Среди тысячи лидирующих - более 30%.
Кроме того, исследователи обнаружили новые методы, с помощью которых сайты индивидуализируют отпечатки пользователей - определяют разрешения браузера, подключенные периферийные устройства, измеряют быстродействие системы, снимают отпечатки API и пр.
И хотя не все сайты следят за пользователями - многие снимают отпечатки в рамках борьбы с фродом, выводы очевидны.
Во-первых, чем популярнее ресурс, тем больше вероятность, что он за вами присматривает.
А во-вторых, необходимо юзать браузеры, которые предоставляют встроенную защиту от снятия отпечатков. Благо их сейчас полно - Firefox, Brave, Opera, Tor Browser и т.п.
Исследователи из Университета Айовы, Калифорнийского Университета и Mozilla проанализировала активность 100 тыс. самых популярных сайтов рейтинга Alexa на предмет снятия fingerprint'ов пользовательских систем (не нравится нам термин отпечатки, но, поскольку он стал общепринятым, будем использовать дальше его).
Из всех 100 тыс. исследованных ресурсов 10% снимают браузерные отпечатки.
Из 10 тыс. самых популярных сайтов - каждый четвертый.
Среди тысячи лидирующих - более 30%.
Кроме того, исследователи обнаружили новые методы, с помощью которых сайты индивидуализируют отпечатки пользователей - определяют разрешения браузера, подключенные периферийные устройства, измеряют быстродействие системы, снимают отпечатки API и пр.
И хотя не все сайты следят за пользователями - многие снимают отпечатки в рамках борьбы с фродом, выводы очевидны.
Во-первых, чем популярнее ресурс, тем больше вероятность, что он за вами присматривает.
А во-вторых, необходимо юзать браузеры, которые предоставляют встроенную защиту от снятия отпечатков. Благо их сейчас полно - Firefox, Brave, Opera, Tor Browser и т.п.
ZDNet
A quarter of the Alexa Top 10K websites are using browser fingerprinting scripts
Academics also discover many new previously unreported JavaScript APIs that are currently being used to fingerprint users.
В начале прошлой недели Akamai опубликовали отчет, в котором сообщили, что обнаружили новых акторов, специализирующихся на вымогательстве под угрозой проведения масштабных DDoS-атак.
Злоумышленники прикрываются наименованиями других хакерских групп - Armada Collective и Fancy Bear. И если первые действительно зарабатывают на DDoS-атаках еще с 2015 года, то вторые, также известные как APT28, считаются хакерской группой, работающей на ГРУ.
Согласно данным Akamai, хакеры нацелены на организации из финансового и банковского секторов, а также на предприятия розничной продажи. В письме, направляемом потенциальной жертве, злоумышленники угрожают начать DDoS-атаку, если не получат выкуп в размере от 5 до 20 BTC. Если жертва раскроет содержание письма третьим лицам - полиции или журналистам, - атака начнется немедленно. В случае пропуска контрольного срока выплаты выкупа он увеличивается.
Также хакеры обещали "тестовые" атаки (были ли они в реале - неизвестно). Некоторым жертвам угрожали атаками до 2 Тбит/с (имхо, брешут).
Тогда Akamai зафиксировали DDoS-атаку на одного из своих клиентов с мощностью 50 Гбит/с.
В начале этой недели Akamai дали дополнительную информацию, в которой сообщили, что наблюдают новые DDoS-атаки этой хакерской группы с пиком до 200 Гбит/c, в ходе которых используются различные вектора - DNS Flood, SNMP Flood, SYN Flood, ARMS (кстати, прикольная атака, использующая системы macOS с включенной службой удаленного управления в качестве мультипликатора вредоносного трафика с коэффициентом 35,5 (!)) и др.
А сегодня ZDNet сообщили, что во вторник указанными хакерами были атакованы платежки MoneyGram, PayPal, Venmo, Braintree, индийский банк YesBank. А Новозеландская фондовая биржа (NZX) лежит уже третий день подряд. Короче, Адъ и Израиль.
За всеми этими модными ransomware мы как-то стали забывать уже про старые "добрые" DDoS-атаки. А они вон какие - живы и процветают, в смысле бабки зарабатывают.
Злоумышленники прикрываются наименованиями других хакерских групп - Armada Collective и Fancy Bear. И если первые действительно зарабатывают на DDoS-атаках еще с 2015 года, то вторые, также известные как APT28, считаются хакерской группой, работающей на ГРУ.
Согласно данным Akamai, хакеры нацелены на организации из финансового и банковского секторов, а также на предприятия розничной продажи. В письме, направляемом потенциальной жертве, злоумышленники угрожают начать DDoS-атаку, если не получат выкуп в размере от 5 до 20 BTC. Если жертва раскроет содержание письма третьим лицам - полиции или журналистам, - атака начнется немедленно. В случае пропуска контрольного срока выплаты выкупа он увеличивается.
Также хакеры обещали "тестовые" атаки (были ли они в реале - неизвестно). Некоторым жертвам угрожали атаками до 2 Тбит/с (имхо, брешут).
Тогда Akamai зафиксировали DDoS-атаку на одного из своих клиентов с мощностью 50 Гбит/с.
В начале этой недели Akamai дали дополнительную информацию, в которой сообщили, что наблюдают новые DDoS-атаки этой хакерской группы с пиком до 200 Гбит/c, в ходе которых используются различные вектора - DNS Flood, SNMP Flood, SYN Flood, ARMS (кстати, прикольная атака, использующая системы macOS с включенной службой удаленного управления в качестве мультипликатора вредоносного трафика с коэффициентом 35,5 (!)) и др.
А сегодня ZDNet сообщили, что во вторник указанными хакерами были атакованы платежки MoneyGram, PayPal, Venmo, Braintree, индийский банк YesBank. А Новозеландская фондовая биржа (NZX) лежит уже третий день подряд. Короче, Адъ и Израиль.
За всеми этими модными ransomware мы как-то стали забывать уже про старые "добрые" DDoS-атаки. А они вон какие - живы и процветают, в смысле бабки зарабатывают.
Akamai
Akamai Blog | Ransom Demands Return: New DDoS Extortion Threats From Old Actors Targeting Finance and Retail
Update 08/24/2020 As mentioned below, the Akamai SIRT has been tracking attacks from the so-called Armada Collective and Fancy Bear actors, who are sending ransom letters to various industry verticals such as finance, travel, and e-commerce. In addition to…
Check Point провели исследование и выдали весьма подробный отчет в отношении новой версии хорошо известного банковского трояна Qbot.
Изучив начавшуюся в июле новую фишинговую кампанию, в ходе которой вредоносный VBS скрипт используется для загрузки нового вида Qbot, заточенного под кражу конфиденциальной информации с скомпрометированной машины. При этом банковский функционал остался на месте.
Новый специальный модуль, который Check Point назвали email collector, извлекает последовательности почтовых переписок из Outlook и загружает их на управляющий центр. В дальнейшем эти переписки используются для новых вредоносных рассылок - почтовые сообщения мимикрируют под продолжение реально существующей переписки.
Новый Qbot также использует интересный (хоть и не оригинальный) механизм сокрытия своих каналов связи с управляющими центрами- он может использовать одну из зараженных машин в качестве промежуточного управляющего центра.
Атаки нового вредоноса преимущественно осуществлялись на государственный, военный и производственный сектора США и стран Европы.
Исходя из особенностей новой волны распространения Qbot можно сделать вывод, что за ней стоит прогосударственная APT.
Изучив начавшуюся в июле новую фишинговую кампанию, в ходе которой вредоносный VBS скрипт используется для загрузки нового вида Qbot, заточенного под кражу конфиденциальной информации с скомпрометированной машины. При этом банковский функционал остался на месте.
Новый специальный модуль, который Check Point назвали email collector, извлекает последовательности почтовых переписок из Outlook и загружает их на управляющий центр. В дальнейшем эти переписки используются для новых вредоносных рассылок - почтовые сообщения мимикрируют под продолжение реально существующей переписки.
Новый Qbot также использует интересный (хоть и не оригинальный) механизм сокрытия своих каналов связи с управляющими центрами- он может использовать одну из зараженных машин в качестве промежуточного управляющего центра.
Атаки нового вредоноса преимущественно осуществлялись на государственный, военный и производственный сектора США и стран Европы.
Исходя из особенностей новой волны распространения Qbot можно сделать вывод, что за ней стоит прогосударственная APT.
Check Point Research
An Old Bot’s Nasty New Tricks: Exploring Qbot's Latest Attack Methods - Check Point Research
Research By: Alex Ilgayev Introduction The notorious banking trojan Qbot has been in business for more than a decade. The malware, which has also been dubbed Qakbot and Pinkslipbot, was discovered in 2008 and is known for collecting browsing data and stealing…
Here comes the big fish.
Актор с псевдонимом blessthefall на одном из русскоязычных хакерских форумов продает доступ к более чем 900 дырявых Citrix компаний из США, Германии, Италии, Испании, Франции и других стран, среди которых американский банк Credit Union, различные ИТ компании, облачные хранилища и прочее.
Похоже будет весело.
Актор с псевдонимом blessthefall на одном из русскоязычных хакерских форумов продает доступ к более чем 900 дырявых Citrix компаний из США, Германии, Италии, Испании, Франции и других стран, среди которых американский банк Credit Union, различные ИТ компании, облачные хранилища и прочее.
Похоже будет весело.
Помните про Егора Крючкова, которого ФБР арестовало в прошедшую субботу по обвинению в попытке завербовать сотрудника одной из компаний в Неваде для инсталляции вредоноса внутрь ее сети?
Оказывается, что атаковать пытались компанию Tesla, точнее ее Gigafactory. И Маск, не который Евгений Валентинович, а который тру Маск, подтвердил - говорит, мол, это была серьезная атака.
Что же до нас, то теперь нам стало очевидно, что Крючков совершенно точно является представителем преступной группы, которая собиралась вымогать денежные средства с компании. Потому что разведчикам в сети Tesla делать нечего, там кроме агиток Маска и патентов на форму задней левой двери Model S ничего интересного нет.
Оказывается, что атаковать пытались компанию Tesla, точнее ее Gigafactory. И Маск, не который Евгений Валентинович, а который тру Маск, подтвердил - говорит, мол, это была серьезная атака.
Что же до нас, то теперь нам стало очевидно, что Крючков совершенно точно является представителем преступной группы, которая собиралась вымогать денежные средства с компании. Потому что разведчикам в сети Tesla делать нечего, там кроме агиток Маска и патентов на форму задней левой двери Model S ничего интересного нет.
Teslarati
Tesla employee foregoes $1M payment, works with FBI to thwart cybersecurity attack
Sometimes, the events that transpire inside a company could be just as exciting and nail-biting as the most popular thrillers in fiction. In Tesla’s case, such a scenario recently played out, as a worker in Gigafactory Nevada ended up turning down a $1 million…
Появилась неприятная новость.
Команда исследователей из Швейцарского федерального технологического института (ETH) разработала атаку на банковские карты Visa, которая позволяет обходить необходимость введения PIN при дорогих покупках бесконтактным способом.
Для осуществления атаки необходимо два Android-смартфона и специальное ПО, разработанное швейцарцами. Один из смартфонов эмулирует бесконтактный POS-терминал, а другой эмулирует карту.
В момент оплаты на крупную сумму эмулятор POS запрашивает у карты Visa данные, затем изменяет технические детали транзакции, отвечающие за запрос PIN, и отправляет по Wi-Fi данные измененной транзакции на смартфон, эмулирующий карту. Бинго, оплата произведена.
Для использования разработанного ПО не нужны даже рутовые права на смартфонах.
Суть уязвимость, как вы уже наверняка догадались, в отсутствии защиты (механизма аутентификации или криптографии) передаваемых между картой Visa и бесконтактным POS-терминалом данных. Исследователи говорят, что успешно протестировали атаку в реальных магазинах на картах Visa Credit, Visa Electron и Visa VPay и не встретили каких-либо препятствий.
Более того, ресерчеры сообщили, что нашли еще одну уязвимость в процессе аутентификации терминала, которая кроме VIsa затрагивает и Mastercard. Но эту ошибку они не тестировали и не могут сказать, работает ли ее эксплойт на практике.
Берегите банковские карты, господа.
Команда исследователей из Швейцарского федерального технологического института (ETH) разработала атаку на банковские карты Visa, которая позволяет обходить необходимость введения PIN при дорогих покупках бесконтактным способом.
Для осуществления атаки необходимо два Android-смартфона и специальное ПО, разработанное швейцарцами. Один из смартфонов эмулирует бесконтактный POS-терминал, а другой эмулирует карту.
В момент оплаты на крупную сумму эмулятор POS запрашивает у карты Visa данные, затем изменяет технические детали транзакции, отвечающие за запрос PIN, и отправляет по Wi-Fi данные измененной транзакции на смартфон, эмулирующий карту. Бинго, оплата произведена.
Для использования разработанного ПО не нужны даже рутовые права на смартфонах.
Суть уязвимость, как вы уже наверняка догадались, в отсутствии защиты (механизма аутентификации или криптографии) передаваемых между картой Visa и бесконтактным POS-терминалом данных. Исследователи говорят, что успешно протестировали атаку в реальных магазинах на картах Visa Credit, Visa Electron и Visa VPay и не встретили каких-либо препятствий.
Более того, ресерчеры сообщили, что нашли еще одну уязвимость в процессе аутентификации терминала, которая кроме VIsa затрагивает и Mastercard. Но эту ошибку они не тестировали и не могут сказать, работает ли ее эксплойт на практике.
Берегите банковские карты, господа.
ZDNET
Academics bypass PINs for Visa contactless payments
Researchers: "In other words, the PIN is useless in Visa contactless transactions."
Израильская инфосек компания ClearSky выпустила отчет о новой тактике иранской APT 35 aka Charming Kitten (она же Magic Hound, она же Cobalt Gypsy).
С июля 2020 года иранцы стали маскироваться под журналистов немецкого телеканала Deutsche Welle и израильского журнала Jewish Journal. Они связывались с потенциальными жертвами посредством LinkedIn. Чтобы их акцент в дальнейшем не вызывал подозрения они представлялись как журналисты, родным языком которых является персидский.
Затем хакеры просили перейти для более удобного общения в WhatsApp, в некоторых случаях даже делая несколько голосовых вызовов для правдоподобности. Ну а далее направляли жертве ссылку на сайт Deutsche Welle, который был предварительно скомпрометирован и содержал загружаемый вредонос. Типичная такая атака на водопой, только с примесью иранской изобретательности в части социальной инженерии.
Атака была ориентирована на специалистов по Ирану, высокопоставленных американских госслужащих, а также на сотрудников организаций, связанных с исследованиями COVID-19.
Charming Kitten - иранская прогосударственная хакерская группа, специализирующаяся на кибершпионаже с 2014 года.
C ClearSky у Charming Kitten старая любовь. Израильтяне на протяжении нескольких лет расследуют активность APT 35, а в ответ последние в 2018 году создали фишинговый сайт ClearSky.
#APT #CharmingKitten
С июля 2020 года иранцы стали маскироваться под журналистов немецкого телеканала Deutsche Welle и израильского журнала Jewish Journal. Они связывались с потенциальными жертвами посредством LinkedIn. Чтобы их акцент в дальнейшем не вызывал подозрения они представлялись как журналисты, родным языком которых является персидский.
Затем хакеры просили перейти для более удобного общения в WhatsApp, в некоторых случаях даже делая несколько голосовых вызовов для правдоподобности. Ну а далее направляли жертве ссылку на сайт Deutsche Welle, который был предварительно скомпрометирован и содержал загружаемый вредонос. Типичная такая атака на водопой, только с примесью иранской изобретательности в части социальной инженерии.
Атака была ориентирована на специалистов по Ирану, высокопоставленных американских госслужащих, а также на сотрудников организаций, связанных с исследованиями COVID-19.
Charming Kitten - иранская прогосударственная хакерская группа, специализирующаяся на кибершпионаже с 2014 года.
C ClearSky у Charming Kitten старая любовь. Израильтяне на протяжении нескольких лет расследуют активность APT 35, а в ответ последние в 2018 году создали фишинговый сайт ClearSky.
#APT #CharmingKitten
Мы, как инфосек канал, логично заинтересованы в новых методах выявления malware. И, в то же время, как люди, не чуждые развитию современных технологий, верим в активное распространение в повседневной жизни "искусственного интеллекта" (хотя, конечно же, нейросети - это никакой не интеллект) и Big Data.
Поэтому следующую новость полагаем весьма позитивной.
Компании Microsoft и Intel, руководствуясь поговоркой "лучше один раз увидеть, чем сто раз услышать", разрабатывают технологию распознавания вредоносного кода на основе нейросети путем преобразования двоичных файлов в изображения.
Исследователи назвали этот проект STAMINA - STAtic Malware-as-Image Network Analysis. Код преобразуется в двухмерное изображение в градациях серого, а после анализируется специально обученной нейросетью. Для ее обучения были использованы более двух миллионов образцов вредоносов. Разработчики STAMINA заявляют, что достигли точности в 99,07% в обнаружении и классификации образцов вредоносного ПО.
С другой стороны, в таком методе выявления malware существуют и недостатки, свойственные системам распознания на основе машинного обучения. Во-первых, механизмы распознавания зачастую необъяснимы с точки зрения человеческой логики, по крайней мере, на первый взгляд. Во-вторых, STAMINA не сможет рассказать про функционал выявленного ПО, для этого нужен ручной анализ кода.
Тем не менее, звучит все это весьма многообещающе. STAMINA может служить первичным грубым фильтром, способным переваривать большие объемы данных. А уже далее будут подключаться эксперты для более тщательного исследования выявленных вредоносов.
Поэтому следующую новость полагаем весьма позитивной.
Компании Microsoft и Intel, руководствуясь поговоркой "лучше один раз увидеть, чем сто раз услышать", разрабатывают технологию распознавания вредоносного кода на основе нейросети путем преобразования двоичных файлов в изображения.
Исследователи назвали этот проект STAMINA - STAtic Malware-as-Image Network Analysis. Код преобразуется в двухмерное изображение в градациях серого, а после анализируется специально обученной нейросетью. Для ее обучения были использованы более двух миллионов образцов вредоносов. Разработчики STAMINA заявляют, что достигли точности в 99,07% в обнаружении и классификации образцов вредоносного ПО.
С другой стороны, в таком методе выявления malware существуют и недостатки, свойственные системам распознания на основе машинного обучения. Во-первых, механизмы распознавания зачастую необъяснимы с точки зрения человеческой логики, по крайней мере, на первый взгляд. Во-вторых, STAMINA не сможет рассказать про функционал выявленного ПО, для этого нужен ручной анализ кода.
Тем не менее, звучит все это весьма многообещающе. STAMINA может служить первичным грубым фильтром, способным переваривать большие объемы данных. А уже далее будут подключаться эксперты для более тщательного исследования выявленных вредоносов.
Security Boulevard
Project STAMINA Uses Deep Learning for Innovative Malware Detection
You’re familiar with the phrase, “A picture is worth 1,000 words.” Well, Microsoft and Intel are applying this philosophy to malware detection—using deep learning and a neural network to turn malware into images for analysis at scale. Project STAMINA—an acronym…
Группа исследователей The DFIR Report разместила интересный отчет, в котором рассмотрела имевший место захват корпоративной сети оператором ransomware NetWalker.
На все про все у хакеров ушло ровно 1 час 5 минут. Первичное проникновение произошло через использование скомпрометированной учетки RDP (насколько мы видим, в настоящее время это самый распространенный способ проникновения в сети у операторов ransomware, более популярный чем уязвимые VPN и пр).
Как сообщают исследователи, хакеры потребовали у жертвы 50 тыс. долларов с угрозой поднять сумму до 100 тыс. в случае невыплаты в течение недели. В итоге удалось договориться на 35 тыс. $. Сеть, как мы понимаем, была небольшая.
NetWalker - вымогатель, который появился осенью 2019 года и работает по схему Ransomware as a Service (RaaS). Замечен, в основном, в атаках на американские учебные заведения. В мае хакеры бахнули сеть Мичиганского государственного университета, в июне Калифорнийский университет, а в августе - Университет штата Юты, который в итоге выплатил им 457 тыс. долларов.
На все про все у хакеров ушло ровно 1 час 5 минут. Первичное проникновение произошло через использование скомпрометированной учетки RDP (насколько мы видим, в настоящее время это самый распространенный способ проникновения в сети у операторов ransomware, более популярный чем уязвимые VPN и пр).
Как сообщают исследователи, хакеры потребовали у жертвы 50 тыс. долларов с угрозой поднять сумму до 100 тыс. в случае невыплаты в течение недели. В итоге удалось договориться на 35 тыс. $. Сеть, как мы понимаем, была небольшая.
NetWalker - вымогатель, который появился осенью 2019 года и работает по схему Ransomware as a Service (RaaS). Замечен, в основном, в атаках на американские учебные заведения. В мае хакеры бахнули сеть Мичиганского государственного университета, в июне Калифорнийский университет, а в августе - Университет штата Юты, который в итоге выплатил им 457 тыс. долларов.
The DFIR Report
NetWalker Ransomware in 1 Hour - The DFIR Report
The threat actor logged in through RDP, attempted to run a Cobalt Strike Beacon, and then dumped memory using ProcDump and Mimikatz. Next, they RDPed into a Domain Controller, minutes … Read More
Некоторые удивляются, почему продвинутые в технологиях японцы не являются лидерами в области информационной безопасности, а из крупняков у них одни Trend Micro, да и те тайваньские китайцы?
Хех, а вы видели как они числа перемножают?
https://twitter.com/latestinspace/status/1300402073343848451
Хех, а вы видели как они числа перемножают?
https://twitter.com/latestinspace/status/1300402073343848451
Twitter
Latest in space
The Japanese way of multiplication.
Исследователь Лука Эбах немецкой инфосек компании G DATA Advanced Analytics проанализировал модуль rdpScanDll трояна TrickBot, который, как наверное понятно из названия, предназначен для брутфорса RDP (удаленного рабочего стола). Того самого RDP, который является самой популярной у хакеров точкой компрометации сетей в настоящий момент .
Основной функционал модуля не изменился по сравнению с мартом этого года, когда его тщательно препарировали румыны из Bitdefender. Но в механизмах подбора паролей Эбах нашел много интересного.
Оказалось, что по состоянию на август 2020 года rdpScanDll использует 91 преобразование, с помощью которых вредонос пытается подобрать пароль к RDP, основываясь на имени пользователя, названии домена, его IP-адресе и пр.
Например, преобразование RemoveLetters удаляет все цифры из имени пользователя (us3rn4me -> usrnme), OriginalUsernameLetterEndInverse сохраняет все буквы в начале имени пользователя, а остальные меняет местами (admin123root -> admintoor321), а OriginaldomainNumsBeginSwap - меняет местами все нецифровые символы в начале домена до цифр с остальными (test-123 .com -> 123 .comtest-).
Полный список преобразований изложен в оригинальной статье по ссылке. Теперь вы знаете некоторые из уловок хакеров и можете усилить свои пароли или пароли своих пользователей.
Основной функционал модуля не изменился по сравнению с мартом этого года, когда его тщательно препарировали румыны из Bitdefender. Но в механизмах подбора паролей Эбах нашел много интересного.
Оказалось, что по состоянию на август 2020 года rdpScanDll использует 91 преобразование, с помощью которых вредонос пытается подобрать пароль к RDP, основываясь на имени пользователя, названии домена, его IP-адресе и пр.
Например, преобразование RemoveLetters удаляет все цифры из имени пользователя (us3rn4me -> usrnme), OriginalUsernameLetterEndInverse сохраняет все буквы в начале имени пользователя, а остальные меняет местами (admin123root -> admintoor321), а OriginaldomainNumsBeginSwap - меняет местами все нецифровые символы в начале домена до цифр с остальными (test-123 .com -> 123 .comtest-).
Полный список преобразований изложен в оригинальной статье по ссылке. Теперь вы знаете некоторые из уловок хакеров и можете усилить свои пароли или пароли своих пользователей.
cyber.wtf
Trickbot rdpscanDll – Transforming Candidate Credentials for Brute-Forcing RDP Servers
After some weeks of not seeing the RDP scanner module of Trickbot, I recently observed that the module was again distributed among the bots in our tracking lab. Since Bitdefender already published …
Cisco нашли 0-day уязвимость высокой степени критичности в своей ОС Cisco IOS XR, которая стоит на коммутаторах операторского класса.
Ошибка заключается в реализации обработки пакетов протокола DVMRP и может привести к отказу в обслуживании путем исчерпания памяти атакованного устройства. При этом злоумышленнику не требуется проходить аутентификацию.
Уязвимости, которую обозначили как CVE-2020-3566, подвержены все устройства Cisco под управлением любого релиза Cisco IOS XR, если на нем включена multicast маршрутизация.
Cisco заявили, что 28 августа обнаружили использование этой уязвимости в дикой природе. Вместе с тем, на выпуск срочного апдейта компании потребуется еще несколько дней.
А пока нет обновления, Cisco выдала ряд рекомендаций по настройке своих устройств, дабы частично блокировать вектора потенциальной атаки.
Только в прошлом месяце Cisco устранила две критичные уязвимости, одна из которых могла привести к удаленному выполнению кода, и вот опять. Как говорится, что же ты, Иглесиас?
Ошибка заключается в реализации обработки пакетов протокола DVMRP и может привести к отказу в обслуживании путем исчерпания памяти атакованного устройства. При этом злоумышленнику не требуется проходить аутентификацию.
Уязвимости, которую обозначили как CVE-2020-3566, подвержены все устройства Cisco под управлением любого релиза Cisco IOS XR, если на нем включена multicast маршрутизация.
Cisco заявили, что 28 августа обнаружили использование этой уязвимости в дикой природе. Вместе с тем, на выпуск срочного апдейта компании потребуется еще несколько дней.
А пока нет обновления, Cisco выдала ряд рекомендаций по настройке своих устройств, дабы частично блокировать вектора потенциальной атаки.
Только в прошлом месяце Cisco устранила две критичные уязвимости, одна из которых могла привести к удаленному выполнению кода, и вот опять. Как говорится, что же ты, Иглесиас?
Cisco
Cisco Security Advisory: Cisco IOS XR Software DVMRP Memory Exhaustion Vulnerabilities
Multiple vulnerabilities in the Distance Vector Multicast Routing Protocol (DVMRP) feature of Cisco IOS XR Software could allow an unauthenticated, remote attacker to either immediately crash the Internet Group Management Protocol (IGMP) process or make it…
Исследователи Mozilla опубликовали доклад, который сделали на конференции USENIX, посвященный изучению уникальности истории браузера и как она может повлиять на приватность пользователей.
В основу анализа легли истории просмотра более чем 52 тысяч пользователей Mozilla. На их основе исследователи составили более 48 тысяч пользовательских профилей, 99% которых были уникальны.
Проведя последующее изучение истории просмотров за две недели сотрудники Mozilla смогли повторно идентифицировать почти 20 тысяч пользовательских профилей. При этом если тестовый набор составлял 100 доменов, то вероятность успеха идентификации была невысока - всего 10%. Однако, при увеличении этого набора до 10000 сайтов вероятность повторной идентификации возросла до 80%.
Разумеется, что при дополнительном использовании отпечатков браузера шанс на успех точной идентификации пользователя многократно возрастает.
Таким образом, защита от снятия отпечатков браузера в настоящий момент не гарантирует, что профиль пользователя останется приватным. Третьей стороне достаточно небольшого куска истории просмотров, чтобы с большой долей вероятности идентифицировать человека, находящегося по ту сторону монитора.
Поэтому пользуйтесь браузерами, предлагающими защиту от снятия отпечатков (Firefox, Tor Browser, Brave и др.), а также чаще применяйте режим частного просмотра. В наше время это уже не каприз, а необходимая мера по сохранению своей приватности в сети.
В основу анализа легли истории просмотра более чем 52 тысяч пользователей Mozilla. На их основе исследователи составили более 48 тысяч пользовательских профилей, 99% которых были уникальны.
Проведя последующее изучение истории просмотров за две недели сотрудники Mozilla смогли повторно идентифицировать почти 20 тысяч пользовательских профилей. При этом если тестовый набор составлял 100 доменов, то вероятность успеха идентификации была невысока - всего 10%. Однако, при увеличении этого набора до 10000 сайтов вероятность повторной идентификации возросла до 80%.
Разумеется, что при дополнительном использовании отпечатков браузера шанс на успех точной идентификации пользователя многократно возрастает.
Таким образом, защита от снятия отпечатков браузера в настоящий момент не гарантирует, что профиль пользователя останется приватным. Третьей стороне достаточно небольшого куска истории просмотров, чтобы с большой долей вероятности идентифицировать человека, находящегося по ту сторону монитора.
Поэтому пользуйтесь браузерами, предлагающими защиту от снятия отпечатков (Firefox, Tor Browser, Brave и др.), а также чаще применяйте режим частного просмотра. В наше время это уже не каприз, а необходимая мера по сохранению своей приватности в сети.
Check Point выпустили интересный материал, посвященный истории создания и развития семейства вредоносов Gozi, которое активно уже более 13 лет и породило несколько ответвлений от основного штамма.
Пересказывать не будем, смысла нет. Но если кто-то хочет поподробнее узнать о том, как развивается "полуприватное" вредоносное ПО - советуем ознакомиться.
Пересказывать не будем, смысла нет. Но если кто-то хочет поподробнее узнать о том, как развивается "полуприватное" вредоносное ПО - советуем ознакомиться.
Check Point Research
Gozi: The Malware with a Thousand Faces - Check Point Research
Introduction Most of the time, the relationship between cybercrime campaigns and malware strains is simple. Some malware strains, like the gone-but-not-forgotten GandCrab, are intimately tied to a single actor, who is using the malware directly or distributing…
Американские инфосек исследователи из Crowdstrike сообщили сегодня, что иранская APT Pioneer Kitten, она же Parasite и Fox Kitten, с конца июля была замечена в продаже на хакерских форумах доступов к взломанным корпоративным сетям.
Parasite активна как минимум с 2017 года и специализируется на осуществлении первичной компрометации целевых сетей и передаче полученного доступа другим иранским APT (APT 33 aka Elfin, APT 34 aka OilRig и APT 39 aka Chafer) для развертывания дальнейшего проникновения.
Основными целями Parasite являются североамериканские, европейские и ближневосточные компании, которые могут представлять разведывательный интерес для иранского правительства. Отрасли - авиация, энергетика, оборона, ИТ, добыча углеводородов и телеком.
Для компрометации сетей хакеры используют свежие (но не 0-day) уязвимости в VPN, Citrix и др.
Исходя из новых данных Crowdstrike полагает, что Parasite не являются штатным подразделением иранских сецслужб, а работают с ними на подряде. За последнее время это уже вторая прогосударственная APT, в отношении которой появляются подобные новости. Первой оказалась турецкая PROMETHIUM, успевающая одновременно и работать на турецкую разведку, и заниматься коммерческими взломами.
#APT #Parasite
Parasite активна как минимум с 2017 года и специализируется на осуществлении первичной компрометации целевых сетей и передаче полученного доступа другим иранским APT (APT 33 aka Elfin, APT 34 aka OilRig и APT 39 aka Chafer) для развертывания дальнейшего проникновения.
Основными целями Parasite являются североамериканские, европейские и ближневосточные компании, которые могут представлять разведывательный интерес для иранского правительства. Отрасли - авиация, энергетика, оборона, ИТ, добыча углеводородов и телеком.
Для компрометации сетей хакеры используют свежие (но не 0-day) уязвимости в VPN, Citrix и др.
Исходя из новых данных Crowdstrike полагает, что Parasite не являются штатным подразделением иранских сецслужб, а работают с ними на подряде. За последнее время это уже вторая прогосударственная APT, в отношении которой появляются подобные новости. Первой оказалась турецкая PROMETHIUM, успевающая одновременно и работать на турецкую разведку, и заниматься коммерческими взломами.
#APT #Parasite
crowdstrike.com
PIONEER KITTEN: Targets & Methods [Adversary Profile]
PIONEER KITTEN is an Iran-based adversary that's highly opportunistic and has been active since at least 2017. Learn about its origins, methods, targets, and more.
По нашему мнению с вопросом "Как называлась ваша первая..." все очевидно.
Окончание вопроса "приставка" не подходит из-за слишком маленького количества вариантов.
"Как называлась ваша первая машина?" - тоже мимо, поскольку для настоящего мужчины машина - вещь одушевленная, она не может "называться", ее можно только "звать".
Поэтому остается один вариант - "Как называлась ваша первая жена?".
https://twitter.com/alukatsky/status/1300766457509359617
Окончание вопроса "приставка" не подходит из-за слишком маленького количества вариантов.
"Как называлась ваша первая машина?" - тоже мимо, поскольку для настоящего мужчины машина - вещь одушевленная, она не может "называться", ее можно только "звать".
Поэтому остается один вариант - "Как называлась ваша первая жена?".
https://twitter.com/alukatsky/status/1300766457509359617
Twitter
Alexey Lukatsky
Богатый выбор секретных вопросов. Причем первый и второй вариант показаны неполностью и понять, о чем конкретно идет речь, невозможно. И если с первым вариантом вариантов немного - мать или жена (хотя жена не подходит, так как приложение универсальное), то…
По данным ZDNet, вчера Парламент Норвегии сообщил, что его электронная почта была взломана неизвестными хакерами.
Об этом заявила глава администрации Парламента Марианн Андиассен, уточнив, что были скомпрометированы электронные почтовые ящики как депутатов Парламента, так и его сотрудников, из которых злоумышленники вытащили различные объемы данных.
Инцидент расследуется, но пока ничего конкретного норвежцы не говорят, даже сведений о точном количестве взломанных учетных записей. Видимо сами не знают еще. Поэтому к расследованию подключилась норвежская разведка.
Пока идет разбирательство норвежский Парламент отключил свой почтовый сервер, чтобы предотвратить дальнейшую утечку.
Что сказать по этому поводу - наличия работающих на Норвегию хакерских групп не отмечено, а вот в качестве целей норвежские государственные органы и коммерческие компании выступают у дюжины APT. Среди них и достаточно экзотические, например Desert Falcons aka APT-C-23, родом из Палестины.
Видно не высок пока их класс (с)
Об этом заявила глава администрации Парламента Марианн Андиассен, уточнив, что были скомпрометированы электронные почтовые ящики как депутатов Парламента, так и его сотрудников, из которых злоумышленники вытащили различные объемы данных.
Инцидент расследуется, но пока ничего конкретного норвежцы не говорят, даже сведений о точном количестве взломанных учетных записей. Видимо сами не знают еще. Поэтому к расследованию подключилась норвежская разведка.
Пока идет разбирательство норвежский Парламент отключил свой почтовый сервер, чтобы предотвратить дальнейшую утечку.
Что сказать по этому поводу - наличия работающих на Норвегию хакерских групп не отмечено, а вот в качестве целей норвежские государственные органы и коммерческие компании выступают у дюжины APT. Среди них и достаточно экзотические, например Desert Falcons aka APT-C-23, родом из Палестины.
Видно не высок пока их класс (с)
ZDNet
Norwegian Parliament discloses cyber-attack on internal email system
Norway's Parliament, Stortinget, says hackers gained access and downloaded content for "a small number of parliamentary representatives and employees."
Не только лишь преступники могут использовать выходные узлы Tor для своих темных дел. Иногда инфосек исследователи балуются тем же самым, разумеется, в интересах справедливости и правды.
Исследователи сборной группы инфосек компаний PRODAFT (Швейцария) и INVICTUS (Турция), которые именуют себя PTI, поставили множество подконтрольных выходных Tor-узлов и нашли в трафике много интересного. Ресерчеры назвали эту операцию Blue Raven.
В настоящее время PTI публикуют в нескольких частях статью о перехваченных материалах хакерской группы FIN 7.
FIN 7 - это вообще сложная штука, одна из коммерческих APT. И, хотя ее активность наблюдается с 2013 года, исследователи до сих пор не пришли к единому мнению, что же это за образование. То ли это конгломерат нескольких хакерских групп, включающий в себя непосредственно FIN 7 (aka APT-C-11), Anunak (aka Carbanak) и EmpireMonkey (aka CobaltGoblin), то ли все это и есть одна крупная группа.
С происхождением тоже было не все ясно - если западные эксперты склонялись к России, то отечественные специалисты утверждали, что это украинцы. И уже в 2019 году американцы арестовали четырех граждан Украины, являвшихся членами FIN 7. Да, у них был филиал в Москве и Хайфе. Нет, группа не умерла и продолжает активную деятельность.
Биография у FIN 7 достаточно богатая, они атаковали банковский сектор, ретейл, общепит и пр. и пр. Подозревается, что хакерам удалось украсть почти 900 млн. долларов в ходе кампании 2013-2014 годов. В 2020 году FIN 7 успели прославиться уже изрядно позабытой атакой типа BadUSB, в ходе которой компаниям-жертвам рассылались подарочные накопители USB, имитировавшие после подключения USB-клавиатуру и загружавшие из сети вредонос через PowerShell.
Вернемся к операции Blue Raven. Исследователи смогли перехватить несколько ранее не замеченных модулей для используемого хакерами вредоноса Carbanak, а также образцы нового бэкдора Tirion (хакеры фанаты Игры престолов или Warcraft?), который придет на смену Carbanak.
Также ресерчеры нашли демонстрационное видео той самой атаки BadUSB и код используемых в ее процессе модулей. В том числе, обнаружили фрагмент кода для атаки на устройства под управлением macOS, о чем раньше известно не было.
Исследователи получили статистику по жертвам хакеров за период с февраля по апрель 2020 года - 325 объектов в 16 странах, а также прелюбопытнейшие результаты проверки хакерами на обнаружение антивирусными продуктами своих вредоносных инструментов. Как из них видно, наиболее надежными оказались продукты от FireEye, ESET, Bitdefender и Касперских (да-да, за рекламу нам заплатили ЦРУ, Словацкая информационная служба, Сигуранца и Кремль).
PTI обещают еще как минимум 4 статьи по результатам Blue Raven, в частности данные о связях FIN 7 и группы REvil, оператора ransomware Sodinokibi. Будем с интересом наблюдать.
Исследователи сборной группы инфосек компаний PRODAFT (Швейцария) и INVICTUS (Турция), которые именуют себя PTI, поставили множество подконтрольных выходных Tor-узлов и нашли в трафике много интересного. Ресерчеры назвали эту операцию Blue Raven.
В настоящее время PTI публикуют в нескольких частях статью о перехваченных материалах хакерской группы FIN 7.
FIN 7 - это вообще сложная штука, одна из коммерческих APT. И, хотя ее активность наблюдается с 2013 года, исследователи до сих пор не пришли к единому мнению, что же это за образование. То ли это конгломерат нескольких хакерских групп, включающий в себя непосредственно FIN 7 (aka APT-C-11), Anunak (aka Carbanak) и EmpireMonkey (aka CobaltGoblin), то ли все это и есть одна крупная группа.
С происхождением тоже было не все ясно - если западные эксперты склонялись к России, то отечественные специалисты утверждали, что это украинцы. И уже в 2019 году американцы арестовали четырех граждан Украины, являвшихся членами FIN 7. Да, у них был филиал в Москве и Хайфе. Нет, группа не умерла и продолжает активную деятельность.
Биография у FIN 7 достаточно богатая, они атаковали банковский сектор, ретейл, общепит и пр. и пр. Подозревается, что хакерам удалось украсть почти 900 млн. долларов в ходе кампании 2013-2014 годов. В 2020 году FIN 7 успели прославиться уже изрядно позабытой атакой типа BadUSB, в ходе которой компаниям-жертвам рассылались подарочные накопители USB, имитировавшие после подключения USB-клавиатуру и загружавшие из сети вредонос через PowerShell.
Вернемся к операции Blue Raven. Исследователи смогли перехватить несколько ранее не замеченных модулей для используемого хакерами вредоноса Carbanak, а также образцы нового бэкдора Tirion (хакеры фанаты Игры престолов или Warcraft?), который придет на смену Carbanak.
Также ресерчеры нашли демонстрационное видео той самой атаки BadUSB и код используемых в ее процессе модулей. В том числе, обнаружили фрагмент кода для атаки на устройства под управлением macOS, о чем раньше известно не было.
Исследователи получили статистику по жертвам хакеров за период с февраля по апрель 2020 года - 325 объектов в 16 странах, а также прелюбопытнейшие результаты проверки хакерами на обнаружение антивирусными продуктами своих вредоносных инструментов. Как из них видно, наиболее надежными оказались продукты от FireEye, ESET, Bitdefender и Касперских (да-да, за рекламу нам заплатили ЦРУ, Словацкая информационная служба, Сигуранца и Кремль).
PTI обещают еще как минимум 4 статьи по результатам Blue Raven, в частности данные о связях FIN 7 и группы REvil, оператора ransomware Sodinokibi. Будем с интересом наблюдать.
