Исследователи из индийской инфосек компании Quick Heal опубликовали материал в отношении кибероперации SideCopy, проводимой с начала 2019 года в отношении индийских вооенных учреждений.
Индийцы выявили три вектора атаки, во всех в качестве первичного заражения использовался целевой фишинг. В качестве приманки использовался документ, посвященный политике оборонного производства Индии.
В принципе, ничего выдающегося в SideCopy нет - стандартные приемы APT, кроме одной особенности. Согласно утверждениям индийцев, хакерская группа, стоящая за операцией, частично копирует TTPs индийской же APT SideWinder. В то же время, управляющая инфраструктура и набор инструментов (в том числе описанный ранее Касперскими Crimson RAT) указывают на пакистанскую APT Transparent Tribe. Мы рассказывали про проделки пакистанских хакеров здесь.
По всей видимости, пакистанцы решили потроллить своих индийских визави.
#APT #TransparentTribe
Индийцы выявили три вектора атаки, во всех в качестве первичного заражения использовался целевой фишинг. В качестве приманки использовался документ, посвященный политике оборонного производства Индии.
В принципе, ничего выдающегося в SideCopy нет - стандартные приемы APT, кроме одной особенности. Согласно утверждениям индийцев, хакерская группа, стоящая за операцией, частично копирует TTPs индийской же APT SideWinder. В то же время, управляющая инфраструктура и набор инструментов (в том числе описанный ранее Касперскими Crimson RAT) указывают на пакистанскую APT Transparent Tribe. Мы рассказывали про проделки пакистанских хакеров здесь.
По всей видимости, пакистанцы решили потроллить своих индийских визави.
#APT #TransparentTribe
Blogs on Information Technology, Network & Cybersecurity | Seqrite
Operation SideCopy!
<p>An insight into Transparent Tribe’s sub-division which has been incorrectly attributed for years. Introduction Quick Heal’s threat intelligence team recently uncovered evidence of an advanced persistent threat (APT) against Indian defence forces. Our analysis…
ESET сегодня выпустили отчет о новом вредоносном ПО для Android, которое использует APT-C-23 aka Two-tailed Scorpion (она же Desert Falcons, она же Arid Viper). Словаки назвали его SpyC23.A.
Вредонос имеет расширенный кибершпионский функционал и умеет читать мессенджеры, записывать звонки и изображение экрана, выполнять вызов при наложении черного экрана (чтобы скрыть сам факт вызова), а также обходить антивирусную защиту. Сейчас такие вредоносы модно называть MRAT - Mobile Remote Access Trojan (мы между собой решили называть их мразиш, ну вы в курсе).
Среди способов его распространения - через поддельные магазины приложений для Android. Совместно с MalwareHunterTeam словаки нашли один из таких магазинов - DigitalApps, который содержал как вредоносные, так и легальные Android-приложения.
SpyC23.A был спрятан в установщиках AndroidUpdate, Threema и Telegram. Вредонос устанавливался вместе с полнофункциональными приложениями. Интересно, что загрузка зараженных приложений была возможна только при предоставлении шестизначного кода купона - по всей видимости, для того, чтобы отфильтровать цели для взлома.
Судя по трем операторам сотовой связи (Jawwal, Wataniya, Estisalat), служебные номера которых SpyC23.A использует для получения данных о балансе SIM-карты зараженного устройства, вредонос ориентирован, в первую очередь, на пользователей из стран Ближнего Востока.
Еще из интересного - динамически изменяющиеся управляющие центры SpyC23.A маскируются под сайты, находящиеся на техническом обслуживании и все используют одно и то же изображение-заглушку.
Дадим немного информации о APT-C-23. ESET пишет, что впервые группа была выявлена китайскими исследователями в 2017 году, но это не так. AFAWK, первыми про эту палeстинскую группу, работающую предположительно на ХАМАС, написали в 2015 году исследователи из TrendMicro, когда расследовали кибероперацию Arid Viper против пяти израильских и одной кувейтской организаций.
Основная сфера заинтересованности APT-C-23, как мы уже говорили, это страны Ближнего Востока, особенно Израиль. Например, в минувшем феврале хакеры распространяли вредоносы под видом мобильного чата среди израильских солдат, для чего использовали шесть поддельных женских аккаунтов в соцсетях, среди которых - Сара Орлова и Марина Якобова. Мы писали про это здесь и, кстати, тогда тоже ошиблись, сказав, что APT-C-23 активна с лета 2018 года.
И еще один факт про Two-tailed Scorpion - в одном из источников утверждается, что хакерская группа проводила атаки, направленные на Россию. Мы с ходу подробной информации не нашли, но постараемся покопаться и если выудим что-нибудь стоящее - обязательно поделимся с подписчиками.
#APT #APTC23 #DesertFalcons
Вредонос имеет расширенный кибершпионский функционал и умеет читать мессенджеры, записывать звонки и изображение экрана, выполнять вызов при наложении черного экрана (чтобы скрыть сам факт вызова), а также обходить антивирусную защиту. Сейчас такие вредоносы модно называть MRAT - Mobile Remote Access Trojan (мы между собой решили называть их мразиш, ну вы в курсе).
Среди способов его распространения - через поддельные магазины приложений для Android. Совместно с MalwareHunterTeam словаки нашли один из таких магазинов - DigitalApps, который содержал как вредоносные, так и легальные Android-приложения.
SpyC23.A был спрятан в установщиках AndroidUpdate, Threema и Telegram. Вредонос устанавливался вместе с полнофункциональными приложениями. Интересно, что загрузка зараженных приложений была возможна только при предоставлении шестизначного кода купона - по всей видимости, для того, чтобы отфильтровать цели для взлома.
Судя по трем операторам сотовой связи (Jawwal, Wataniya, Estisalat), служебные номера которых SpyC23.A использует для получения данных о балансе SIM-карты зараженного устройства, вредонос ориентирован, в первую очередь, на пользователей из стран Ближнего Востока.
Еще из интересного - динамически изменяющиеся управляющие центры SpyC23.A маскируются под сайты, находящиеся на техническом обслуживании и все используют одно и то же изображение-заглушку.
Дадим немного информации о APT-C-23. ESET пишет, что впервые группа была выявлена китайскими исследователями в 2017 году, но это не так. AFAWK, первыми про эту палeстинскую группу, работающую предположительно на ХАМАС, написали в 2015 году исследователи из TrendMicro, когда расследовали кибероперацию Arid Viper против пяти израильских и одной кувейтской организаций.
Основная сфера заинтересованности APT-C-23, как мы уже говорили, это страны Ближнего Востока, особенно Израиль. Например, в минувшем феврале хакеры распространяли вредоносы под видом мобильного чата среди израильских солдат, для чего использовали шесть поддельных женских аккаунтов в соцсетях, среди которых - Сара Орлова и Марина Якобова. Мы писали про это здесь и, кстати, тогда тоже ошиблись, сказав, что APT-C-23 активна с лета 2018 года.
И еще один факт про Two-tailed Scorpion - в одном из источников утверждается, что хакерская группа проводила атаки, направленные на Россию. Мы с ходу подробной информации не нашли, но постараемся покопаться и если выудим что-нибудь стоящее - обязательно поделимся с подписчиками.
#APT #APTC23 #DesertFalcons
WeLiveSecurity
APT‑C‑23 group evolves its Android spyware
ESET research uncovers a new version of Android spyware that the APT-C-23 aka Two-tailed Scorpion threat group has used against targets in the Middle East.
Как известно, мы очень любим истории про кибершпионаж, APT, различное специализированное ПО и все такое прочее. Наверное в детстве пересмотрели фильмов про хитрых шпионов и отважных разведчиков.
Сегодня Wired проанонсировали доклад на онлайн-конференции Kaspersky SAS, посвященный выявленному Касперскими руткиту, который перезаписывает UEFI-биос.
История началась еще в 2015 году, когда хактивист Phineas Fisher взломал ныне почившую в бозе итальянскую компанию Hacking Team, основанную в далеком 2003. Hacking Team была пионером на рынке легального взлома, производя инструменты для взлома и отслеживания ПК и мобильных устройств и продавая их правоохранительным органам и спецслужбам. Компания быстро вышла за пределы национального рынка и на своей вершине в 2015 году поставляла программные продукты в 41 страну.
Phineas Fisher вскрыл сеть Hacking Team и в течение нескольких недель фильтровал сотни гигабайт данных, чтобы потом выкинуть кучу конфиденциальной информации в сеть. Среди них был и инструмент под названием VectorEDK, который фактически являлся UEFI-руткитом и устанавливался через непосредственный физический доступ к ПК.
И вот в начале этого года Касперские обнаружили на двух компьютерах в дипломатических организациях в Азии (конкретных пострадавших ЛК, понятное дело, не называет) шпионские UEFI-руткиты, основанные на VectorEDK. Они устанавливали вторичную нагрузку в виде авторского вредоноса MosaicRegressor.
На всякий случай напомним, чем опасны UEFI-руткиты. Они сидят в самой материнке и даже при обнаружении загружаемых ими вредоносов жертва практически никак не может почистить свою систему. Ни переустановка операционки, ни выдирание с болтами жестких дисков не помогут.
Конкретный способ заражения руткитом скомпрометированных ПК исследователи не выяснили. Скорее всего это был таки физический доступ. Однако MosaicRegressor был обнаружен и в ходе расследования других атак, причем в этих случаях способ его распространения был более традиционен - банальный фишинг.
Некоторые из TTPs указывают на принадлежность нового UEFI-руткита китайским хакерам. В то же время, по данным инфосек компании ProtectWise, использовавшаяся в фишинговой кампании по распространению MosaicRegressor инфраструктура принадлежит китайской APT Winnti, которая, согласно утверждению американцев, работает на госбезопасность КНР.
Ну и остается заметить, что это далеко не первый случай, когда утечка хакерских инструментов спецслужб или работающих на них компаний приводила к последующим атакам со стороны других хакерских групп. Достаточно вспомнить, что изначально принадлежащие АНБшной группе Equation эксплойт EternalBlue и бэкдор DoublePulsar стали основой для киберкампании WannaCry. А уже в этом году ESET неожиданно обнаружили поразительное сходство в коде одного из инструментов, использованного все той же Winnti в 2018 году, с аналогичным кодом из все той же утечки Lost in Translation хакерских инструментов все той же APT Equation.
Пора вводить новый закон Мерфи - "все плохое ПО, которое было разработано, рано или поздно будет использовано в еще худших целях".
#APT #Winnti
Сегодня Wired проанонсировали доклад на онлайн-конференции Kaspersky SAS, посвященный выявленному Касперскими руткиту, который перезаписывает UEFI-биос.
История началась еще в 2015 году, когда хактивист Phineas Fisher взломал ныне почившую в бозе итальянскую компанию Hacking Team, основанную в далеком 2003. Hacking Team была пионером на рынке легального взлома, производя инструменты для взлома и отслеживания ПК и мобильных устройств и продавая их правоохранительным органам и спецслужбам. Компания быстро вышла за пределы национального рынка и на своей вершине в 2015 году поставляла программные продукты в 41 страну.
Phineas Fisher вскрыл сеть Hacking Team и в течение нескольких недель фильтровал сотни гигабайт данных, чтобы потом выкинуть кучу конфиденциальной информации в сеть. Среди них был и инструмент под названием VectorEDK, который фактически являлся UEFI-руткитом и устанавливался через непосредственный физический доступ к ПК.
И вот в начале этого года Касперские обнаружили на двух компьютерах в дипломатических организациях в Азии (конкретных пострадавших ЛК, понятное дело, не называет) шпионские UEFI-руткиты, основанные на VectorEDK. Они устанавливали вторичную нагрузку в виде авторского вредоноса MosaicRegressor.
На всякий случай напомним, чем опасны UEFI-руткиты. Они сидят в самой материнке и даже при обнаружении загружаемых ими вредоносов жертва практически никак не может почистить свою систему. Ни переустановка операционки, ни выдирание с болтами жестких дисков не помогут.
Конкретный способ заражения руткитом скомпрометированных ПК исследователи не выяснили. Скорее всего это был таки физический доступ. Однако MosaicRegressor был обнаружен и в ходе расследования других атак, причем в этих случаях способ его распространения был более традиционен - банальный фишинг.
Некоторые из TTPs указывают на принадлежность нового UEFI-руткита китайским хакерам. В то же время, по данным инфосек компании ProtectWise, использовавшаяся в фишинговой кампании по распространению MosaicRegressor инфраструктура принадлежит китайской APT Winnti, которая, согласно утверждению американцев, работает на госбезопасность КНР.
Ну и остается заметить, что это далеко не первый случай, когда утечка хакерских инструментов спецслужб или работающих на них компаний приводила к последующим атакам со стороны других хакерских групп. Достаточно вспомнить, что изначально принадлежащие АНБшной группе Equation эксплойт EternalBlue и бэкдор DoublePulsar стали основой для киберкампании WannaCry. А уже в этом году ESET неожиданно обнаружили поразительное сходство в коде одного из инструментов, использованного все той же Winnti в 2018 году, с аналогичным кодом из все той же утечки Lost in Translation хакерских инструментов все той же APT Equation.
Пора вводить новый закон Мерфи - "все плохое ПО, которое было разработано, рано или поздно будет использовано в еще худших целях".
#APT #Winnti
Wired
A China-Linked Group Repurposed Hacking Team’s Stealthy Spyware
The tool attacks a device’s UEFI firmware—which makes it especially hard to detect and destroy.
Malwarebytes представили материал о выявленной 17 сентября атаке Kraken, в ходе которой полезная нагрузка помещается внутрь службы Windows Error Reporting (WER).
В качестве первичного проникновения хакеры использовали фишинговые письма с информацией о правах работников на компенсацию (хороший ход). Полезная нагрузка в виде библиотеки kraken.dll загружается с предварительно скомпрометированного сайта и внедряет вредоносный шелл-код в исполняемый файл WerFault.exe.
Далее вредонос осуществляет несколько проверок - например, пытается выяснить находится ли он в песочнице или виртуальной машине. Если проверки прошли нормально, то расшифровывает окончательный шелл-код и помещает его в выделенную область памяти.
Этот шелл-код, в свою очередь, создает еще одну выделенную область памяти и загружает в нее вредоносные модули с предварительно определенного домена. Что это за модули ресерчеры не выяснили, поскольку на момент исследования домен был недоступен.
Таким образом, Kraken является безфайловой атакой, которая очень похожа на активность прогосударственной APT.
Malwarebytes не смогли с достаточной степенью достоверности установить кто из APT является автором Kraken, но некоторые TTPs позволяют предположить, что это были хакеры из вьетнамской Ocean Lotus aka APT 32.
Про вьетнамцев мы писали здесь - это весьма профессиональные хакеры, заточенные на кибершпионаж в отношении как государственных структур (например, МЧС Китая), так и крупных коммерческие компании (вьетнамцы ломали Toyota и Lexus, BMW, Hyundai).
#APT #OceanLotus
В качестве первичного проникновения хакеры использовали фишинговые письма с информацией о правах работников на компенсацию (хороший ход). Полезная нагрузка в виде библиотеки kraken.dll загружается с предварительно скомпрометированного сайта и внедряет вредоносный шелл-код в исполняемый файл WerFault.exe.
Далее вредонос осуществляет несколько проверок - например, пытается выяснить находится ли он в песочнице или виртуальной машине. Если проверки прошли нормально, то расшифровывает окончательный шелл-код и помещает его в выделенную область памяти.
Этот шелл-код, в свою очередь, создает еще одну выделенную область памяти и загружает в нее вредоносные модули с предварительно определенного домена. Что это за модули ресерчеры не выяснили, поскольку на момент исследования домен был недоступен.
Таким образом, Kraken является безфайловой атакой, которая очень похожа на активность прогосударственной APT.
Malwarebytes не смогли с достаточной степенью достоверности установить кто из APT является автором Kraken, но некоторые TTPs позволяют предположить, что это были хакеры из вьетнамской Ocean Lotus aka APT 32.
Про вьетнамцев мы писали здесь - это весьма профессиональные хакеры, заточенные на кибершпионаж в отношении как государственных структур (например, МЧС Китая), так и крупных коммерческие компании (вьетнамцы ломали Toyota и Lexus, BMW, Hyundai).
#APT #OceanLotus
Malwarebytes
Release the Kraken: Fileless injection into Windows Error Reporting service | Malwarebytes Labs
We discovered a new attack that injected its payload—dubbed "Kraken—into the Windows Error Reporting (WER) service as a defense evasion mechanism.
Так в руки исследователей даже попал скриншот интерфейса Sharpa с комментариями на узбекском языке, который один из разработчиков зачем-то использовал в зараженном файле Word.
После публичного рассказа исследователей о деятельности APT SandCat последние затихарились и с тех пор их никто не видел. Очевидно, что они улучшили свой OPSEC и, возможно, ломают кого-то и по сей день.
Кстати, некоторые эксперты склонялись к тому, что используемые 0-day уязвимости SandCat покупали у известных израильских торговцев кибершпионским ПО NSO Group и Candiru (мы про них много писали).
#APT #SandCat
После публичного рассказа исследователей о деятельности APT SandCat последние затихарились и с тех пор их никто не видел. Очевидно, что они улучшили свой OPSEC и, возможно, ломают кого-то и по сей день.
Кстати, некоторые эксперты склонялись к тому, что используемые 0-day уязвимости SandCat покупали у известных израильских торговцев кибершпионским ПО NSO Group и Candiru (мы про них много писали).
#APT #SandCat
Инфосек компания Malwarebytes сообщила, что иранская APT Silent Librarian aka Cobalt Dickens в связи с началом учебного года в университетах всего мира организовала очередную фишинговую кампанию, направленную на их сотрудников и студентов.
Цель фишинга - сбор учетных данных, чтобы в дальнейшем получить доступ к внутренним ресурсам и, в конечном счете, украсть интеллектуальную собственность. Старая добрая промышленная разведка.
Всего Malwarebytes вскрыли атаки на несколько десятков университетов из разных стран мира - США, Великобритании, Нидерландов, Австралии, Сингапура и др. Фишинговые сайты, выдаваемые хакерами за легальные точки входа, скрыты за Cloudflare, но исследователям удалось идентифицировать часть вредоносной инфраструктуры, которая оказалась размещена в Иране.
Silent Librarian - это иранская APT, работающая, как считается, на КСИР. Прикрытием группы является вполне легальная компания под названием Mabna Institute. Предположительно хакерская группа активна с 2013 года. Специализация - фишинговые атаки на учебные заведения по всему миру с целью кражи и, в некоторых случаях, последующей перепродажи интеллектуальной собственности.
В марте 2018 года американские власти предъявили обвинения 9 иранским гражданам, имеющим отношение к Mabna Institute, которые, по мнению Департамента юстиции США, были причастны к хакерской деятельности Silent Librarian. Иранцев обвиняли во взломе 320 университетов и 47 коммерческих компаний по всему миру в период с 2013 по 2018 годы. Тем не менее, понятно, что иранцев никто в Иране арестовывать не стал и Silent Librarian свою хакерскую деятельность не прекратили.
Так, уже после предъявления обвинения APT была замечена как минимум в двух фишинговых кампаниях, направленных на университеты, в августе 2018 и июле 2019 годов.
#APT #SilentLibrarian
Цель фишинга - сбор учетных данных, чтобы в дальнейшем получить доступ к внутренним ресурсам и, в конечном счете, украсть интеллектуальную собственность. Старая добрая промышленная разведка.
Всего Malwarebytes вскрыли атаки на несколько десятков университетов из разных стран мира - США, Великобритании, Нидерландов, Австралии, Сингапура и др. Фишинговые сайты, выдаваемые хакерами за легальные точки входа, скрыты за Cloudflare, но исследователям удалось идентифицировать часть вредоносной инфраструктуры, которая оказалась размещена в Иране.
Silent Librarian - это иранская APT, работающая, как считается, на КСИР. Прикрытием группы является вполне легальная компания под названием Mabna Institute. Предположительно хакерская группа активна с 2013 года. Специализация - фишинговые атаки на учебные заведения по всему миру с целью кражи и, в некоторых случаях, последующей перепродажи интеллектуальной собственности.
В марте 2018 года американские власти предъявили обвинения 9 иранским гражданам, имеющим отношение к Mabna Institute, которые, по мнению Департамента юстиции США, были причастны к хакерской деятельности Silent Librarian. Иранцев обвиняли во взломе 320 университетов и 47 коммерческих компаний по всему миру в период с 2013 по 2018 годы. Тем не менее, понятно, что иранцев никто в Иране арестовывать не стал и Silent Librarian свою хакерскую деятельность не прекратили.
Так, уже после предъявления обвинения APT была замечена как минимум в двух фишинговых кампаниях, направленных на университеты, в августе 2018 и июле 2019 годов.
#APT #SilentLibrarian
Malwarebytes
Silent Librarian APT right on schedule for 20/21 academic year | Malwarebytes Labs
As expected, this Iranian APT set up a new campaign to target universities around the world when schools and universities went back.
Завершающая часть нашего обзора про северокорейскую APT Kimsuky. Начало вы можете найти здесь и здесь.
Весной 2018 года южнокорейские инфосек эксперты обнаружили атаку на водопой (Watering Hole, внедрение вредоносного кода на ресурс с целью заражения посещающих его пользователей), целью которой были специализированные сайты, посетителями которых являлись преимущественно сотрудники аналитических центров, связанных с исследованиями на тему Северной Кореи, военного дела, безопасности и дипломатической деятельности. Поскольку ресерчеры из Южной Кореи не обладают большой фантазией, то кибероперацию они назвали Water Tank – совмещение Watering Hole и Think Tank.
Впрочем, конкретных TTPs, указывающих на Kimsuky южнокорецы не нашли и лишь утверждали, что Water Tank — дело рук APT из КНДР.
В начале 2019 года исследователи из южнокорейской антивирусной компании AhnLab обнаружили новую киберкампанию Kimsuky, направленную на заражение посредством фишинга компьютеров сотрудников Министерства объединения. Кампанию назвали Kabar Cobra.
Дальнейшее расследование показало, что также были атакованы военные организации и медиаиндустрия, а еще криптовалютные ресурсы. В качестве приманки использовались документы корейского текстового редактора Hancom Office, поддерживающего хангыль, фонематическое письмо корейского языка.
Ресерчеры нашли достаточное количество TTPs, указывающих на причастность Kimsuky к операции Kabar Cobra. Интересной деталью стало то, что в ходе северокорейские хакеры использовали уязвимости Hancom Office, которые они эксплуатировали еще в 2014 году. Это означало, что Kimsuky были хорошо осведомлены о том, что их цели продолжают использовать устаревшие версии текстового редактора.
В марте 2019 года, спустя год после операции Water Tank, северокорейцы опять развернули свои атаки на водопой и в этот раз экспертам удалось достоверно подтвердить причастность Kimsuky. Целями были опять же южнокорейские сайты, публикующие материалы на тему корейского объединения, а также его политических аспектов.
В ходе заражения целевых машин Kimsuky использовали стеганографию — тело вредоноса загружалось внутри файла изображения. Он собирал и эксфильтрировал файлы HWP (формат Hancom Office), DOC и PDF, а также системную информацию. Доказательством авторства Kimsuky послужили пересечения с ее вредоносной инфраструктурой, выявленной ранее.
Летом 2019 года исследователи южнокорейской команды IssueMakersLab (судя по всему, связана со спецслужбами Южной Кореи), специализирующиеся на расследовании деятельности северокорейских APT, выявили проводимую Kimsuky фишинговую кампанию, направленную на отставных сотрудников южнокорейских государственных, дипломатических и военных структур. Целями были учетные данные почтовых ящиков на Gmail и Naver, ведущего портала Южной Кореи.
Сама идея достаточно интересная, поскольку бывшие сотрудники с точки зрения инфосека защищены гораздо хуже, но в то же время часто привлекаются в качестве экспертов для решения различных текущих государственных вопросов, а также поддерживают контакты с действующими работниками ведомств.
#APT #Kimsuky
Весной 2018 года южнокорейские инфосек эксперты обнаружили атаку на водопой (Watering Hole, внедрение вредоносного кода на ресурс с целью заражения посещающих его пользователей), целью которой были специализированные сайты, посетителями которых являлись преимущественно сотрудники аналитических центров, связанных с исследованиями на тему Северной Кореи, военного дела, безопасности и дипломатической деятельности. Поскольку ресерчеры из Южной Кореи не обладают большой фантазией, то кибероперацию они назвали Water Tank – совмещение Watering Hole и Think Tank.
Впрочем, конкретных TTPs, указывающих на Kimsuky южнокорецы не нашли и лишь утверждали, что Water Tank — дело рук APT из КНДР.
В начале 2019 года исследователи из южнокорейской антивирусной компании AhnLab обнаружили новую киберкампанию Kimsuky, направленную на заражение посредством фишинга компьютеров сотрудников Министерства объединения. Кампанию назвали Kabar Cobra.
Дальнейшее расследование показало, что также были атакованы военные организации и медиаиндустрия, а еще криптовалютные ресурсы. В качестве приманки использовались документы корейского текстового редактора Hancom Office, поддерживающего хангыль, фонематическое письмо корейского языка.
Ресерчеры нашли достаточное количество TTPs, указывающих на причастность Kimsuky к операции Kabar Cobra. Интересной деталью стало то, что в ходе северокорейские хакеры использовали уязвимости Hancom Office, которые они эксплуатировали еще в 2014 году. Это означало, что Kimsuky были хорошо осведомлены о том, что их цели продолжают использовать устаревшие версии текстового редактора.
В марте 2019 года, спустя год после операции Water Tank, северокорейцы опять развернули свои атаки на водопой и в этот раз экспертам удалось достоверно подтвердить причастность Kimsuky. Целями были опять же южнокорейские сайты, публикующие материалы на тему корейского объединения, а также его политических аспектов.
В ходе заражения целевых машин Kimsuky использовали стеганографию — тело вредоноса загружалось внутри файла изображения. Он собирал и эксфильтрировал файлы HWP (формат Hancom Office), DOC и PDF, а также системную информацию. Доказательством авторства Kimsuky послужили пересечения с ее вредоносной инфраструктурой, выявленной ранее.
Летом 2019 года исследователи южнокорейской команды IssueMakersLab (судя по всему, связана со спецслужбами Южной Кореи), специализирующиеся на расследовании деятельности северокорейских APT, выявили проводимую Kimsuky фишинговую кампанию, направленную на отставных сотрудников южнокорейских государственных, дипломатических и военных структур. Целями были учетные данные почтовых ящиков на Gmail и Naver, ведущего портала Южной Кореи.
Сама идея достаточно интересная, поскольку бывшие сотрудники с точки зрения инфосека защищены гораздо хуже, но в то же время часто привлекаются в качестве экспертов для решения различных текущих государственных вопросов, а также поддерживают контакты с действующими работниками ведомств.
#APT #Kimsuky
Telegram
SecAtor
Когда-то давным-давно, несколько месяцев назад, мы написали серию постов про ведущую северокорейскую APT Lazarus и обещали продолжить ее материалами про другую хакерскую группу, работающую на спецслужбы КНДР и носящую название Kimsuky. Однако, тогда не срослось.…
Рассматривать дальнейшие атаки Kimsuky мы, пожалуй, не будем, поскольку они весьма многочисленны и регулярно всплывает информация о новой фишинговой кампании северокорейской APT. Последний пример появился буквально пару дней назад, когда Kimsuky развернули фишинговую атаку на немецкую промышленную компанию Renk AG, которая, в числе прочего, производит трансмиссию для южнокорейской бронетехники. Добавим только, что в 2020 году хакеры активно эксплуатировали тему COVID-19 в своих фишинговых приманках.
Что касается противодействия хакерам из КНДР, то в декабре 2019 года компания Microsoft, называющая эту хакерскую группу Thallium, добилась в суде штата Вирджиния вынесения судебного постановления, согласно которому смогла перехватить контроль над 50 доменами, которые Kimsuky использовали в своих фишинговых атаках.
И еще один любопытный момент. Копаясь в первоисточниках мы нашли упоминание о том, что в апреле 2020 года Kimsuky атаковали российский Ростех. К сожалению, никаких подробностей нам достать не удалось.
#APT #Kimsuky
Что касается противодействия хакерам из КНДР, то в декабре 2019 года компания Microsoft, называющая эту хакерскую группу Thallium, добилась в суде штата Вирджиния вынесения судебного постановления, согласно которому смогла перехватить контроль над 50 доменами, которые Kimsuky использовали в своих фишинговых атаках.
И еще один любопытный момент. Копаясь в первоисточниках мы нашли упоминание о том, что в апреле 2020 года Kimsuky атаковали российский Ростех. К сожалению, никаких подробностей нам достать не удалось.
#APT #Kimsuky
Северокорейские хакеры из APT Lazarus использовали в своей новой вредоносной кампании, направленной на пользователей из Южной Кореи, интересный метод заражения, пишут в свежем отчете исследователи из словацкого инфосек вендора ESET.
Cловаки называют новую операцию Lazarus "атакой на цепочку поставок", но мы бы сказали, что это гибрид "атаки на цепочку поставок" и "атаки на водопой".
В этот раз хакеры из КНДР воспользовались недостатком в южнокорейском программном обеспечении WIZVERA VeraPort, которое используется для управления установкой дополнительных программ безопасности. К примеру, при посещении банковского сайта пользователя просят установить ПО для проверки личности или специализированный модуль для браузера. Все это в автоматическом режиме обеспечивает WIZVERA VeraPort.
Для получения данных о ПО, которое необходимо загрузить с конкретного ресурса, VeraPort берет с целевого сайта файл конфигурации, подписанный цифровой подписью. Там используется RSA и взламывать ее весьма трудоемко, поэтому Lazarus придумали другой трюк.
Они скомпрометировали несколько сайтов, поддерживающих VeraPort, и заменили легальное ПО, которое должно было загрузиться на компьютер пользователя, вредоносным доппельганером. Недостаток VeraPort проявился в том, что программа проверяет только подлинность цифровой подписи загружаемых двоичных файлов, но не проверяет принадлежит ли эта подпись сайту, с которого идет загрузка, если не включена опция проверки хэша загружаемого файла.
Северокорейцы, скомпрометировав две подобные цифровые подписи, которые принадлежат южнокорейским филиалам двух американских компаний по безопасности, пописали ими свои вредоносы и разметили на взломанных сайтах. Таким образом пользователи при обращении к этим сайтам автоматически загружали себе полный комплект радости, включая полноценный троян удаленного доступа (RAT).
В этот раз ESET провели хорошую работу по атрибуции и принадлежность атаки именно APT Lazarus подтверждена большим количеством TTPs, как то - совпадения в коде, вредоносной инфраструктуре, методах шифрования и пр.
Эта атака лишний раз подтверждает нашу правоту относительно того, что каждый новый процесс автоматизации чего-либо потенциально приносит новые уязвимости. Поэтому иногда безопаснее что-то сделать руками, а не полагаться на ПО.
#APT #Lazarus
Cловаки называют новую операцию Lazarus "атакой на цепочку поставок", но мы бы сказали, что это гибрид "атаки на цепочку поставок" и "атаки на водопой".
В этот раз хакеры из КНДР воспользовались недостатком в южнокорейском программном обеспечении WIZVERA VeraPort, которое используется для управления установкой дополнительных программ безопасности. К примеру, при посещении банковского сайта пользователя просят установить ПО для проверки личности или специализированный модуль для браузера. Все это в автоматическом режиме обеспечивает WIZVERA VeraPort.
Для получения данных о ПО, которое необходимо загрузить с конкретного ресурса, VeraPort берет с целевого сайта файл конфигурации, подписанный цифровой подписью. Там используется RSA и взламывать ее весьма трудоемко, поэтому Lazarus придумали другой трюк.
Они скомпрометировали несколько сайтов, поддерживающих VeraPort, и заменили легальное ПО, которое должно было загрузиться на компьютер пользователя, вредоносным доппельганером. Недостаток VeraPort проявился в том, что программа проверяет только подлинность цифровой подписи загружаемых двоичных файлов, но не проверяет принадлежит ли эта подпись сайту, с которого идет загрузка, если не включена опция проверки хэша загружаемого файла.
Северокорейцы, скомпрометировав две подобные цифровые подписи, которые принадлежат южнокорейским филиалам двух американских компаний по безопасности, пописали ими свои вредоносы и разметили на взломанных сайтах. Таким образом пользователи при обращении к этим сайтам автоматически загружали себе полный комплект радости, включая полноценный троян удаленного доступа (RAT).
В этот раз ESET провели хорошую работу по атрибуции и принадлежность атаки именно APT Lazarus подтверждена большим количеством TTPs, как то - совпадения в коде, вредоносной инфраструктуре, методах шифрования и пр.
Эта атака лишний раз подтверждает нашу правоту относительно того, что каждый новый процесс автоматизации чего-либо потенциально приносит новые уязвимости. Поэтому иногда безопаснее что-то сделать руками, а не полагаться на ПО.
#APT #Lazarus
WeLiveSecurity
Lazarus supply‑chain attack in South Korea
ESET research uncovers attempts to deploy Lazarus malware via a supply-chain attack that abuses genuine security software and stolen digital certificates.
Checkpoint рассказывают о новом пришествии трояна Bandook, которое в очередной раз подтверждает, что вредонос является частью инфраструктуры наемного актора, осуществляющего кибернаступательные операции по контракту в интересах разных спецслужб.
Выявленная кампания относится в периоду 2019-2020 годов и направлена на компании из различных отраслей, а также государственные структуры, Сингапура, Кипра, Чили, Италии, США, Швейцарии, Индонезии и Германии.
Непосредственно атака начинается с фишингового документа, содержащего вредоносный макрос, который подгружает загрузчик PowerShell. Загрузчик, в свою очередь, доставляет сам RAT Bandook. Это полноценный кибершпионский троян, содержащий все необходимые функции кибершпионажа - сбор системной информации, работу с файлами, возможность снимать скриншоты и пр.
Ранее Bandook был замечен в 2018 году в кампании Operation Manul, которая, по мнению Electronic Frontier Foundation (EFF), была направлена на казахских оппозиционеров и проводилась в интересах спецслужб Казахстана.
В 2019 году с помощью Bandook была проведена операция Dark Caracal, в рамках которой были эксфильтрированы сотни гигабайт информации, принадлежащей сотням жертв из 21 страны в Северной Америке, Европе и Азии. Тогда, согласно совместному расследованию Lookout и EFF, конечным бенефициаром киберкампании было Главное управление общей безопасности (GDGS) Ливана.
Исполнителем же всех этих кибератак считается некая третья сторона, работающая по контракту на различные правительства и спецслужбы. И хотя достоверно неизвестно кто это, в своем отчете 2018 года EFF предполагали возможную связь Bandook с двумя разведывательными компаниями - индийской Apin Security Group и швейцарской Arcanum Global Intelligence.
#APT #DarkCaracal
Выявленная кампания относится в периоду 2019-2020 годов и направлена на компании из различных отраслей, а также государственные структуры, Сингапура, Кипра, Чили, Италии, США, Швейцарии, Индонезии и Германии.
Непосредственно атака начинается с фишингового документа, содержащего вредоносный макрос, который подгружает загрузчик PowerShell. Загрузчик, в свою очередь, доставляет сам RAT Bandook. Это полноценный кибершпионский троян, содержащий все необходимые функции кибершпионажа - сбор системной информации, работу с файлами, возможность снимать скриншоты и пр.
Ранее Bandook был замечен в 2018 году в кампании Operation Manul, которая, по мнению Electronic Frontier Foundation (EFF), была направлена на казахских оппозиционеров и проводилась в интересах спецслужб Казахстана.
В 2019 году с помощью Bandook была проведена операция Dark Caracal, в рамках которой были эксфильтрированы сотни гигабайт информации, принадлежащей сотням жертв из 21 страны в Северной Америке, Европе и Азии. Тогда, согласно совместному расследованию Lookout и EFF, конечным бенефициаром киберкампании было Главное управление общей безопасности (GDGS) Ливана.
Исполнителем же всех этих кибератак считается некая третья сторона, работающая по контракту на различные правительства и спецслужбы. И хотя достоверно неизвестно кто это, в своем отчете 2018 года EFF предполагали возможную связь Bandook с двумя разведывательными компаниями - индийской Apin Security Group и швейцарской Arcanum Global Intelligence.
#APT #DarkCaracal
Check Point Research
Bandook: Signed & Delivered - Check Point Research
Introduction Check Point Research recently observed a new wave of campaigns against various targets worldwide that utilizes a strain of a 13-year old backdoor Trojan named Bandook. Bandook, which had almost disappeared from the threat landscape, was featured…
Исследователи из Trend Micro описывают новый вид бэкдора для MacOS, авторство которого приписывается вьетнамской APT OceanLotus.
Мы ранее делали обзор на эту прогосударственную хакерскую группу здесь.
Первичная компрометация происходит посредством Zip-архива, замаскированного под документ Word, который называется "ALL tim nha Chi Ngoc Canada", что с вьетнамского примерно означает "Все ищут дом миссис Нгок в Канаде". Не понятно, что это означает, но почему-то такой документ используется в качестве приманки. Может это какая-то местная фишка?
Для обхода обнаружения антивирусными решениям в название архива добавлены несколько специализированных символов. После активации первичного вредоноса извлекается полезная нагрузка, которая уже извлекает непосредственно сам бэкдор. Он обладает некоторыми функциями RAT - собирает информацию о системе, поддерживает связь с управляющим центром, а также может работать с файловой системой и подгружать дополнительные функциональные модули.
Принадлежность выявленного вредоноса OceanLotus подтверждается сходством в коде с более ранними бэкдорам вьетнамцев.
Японские исследователи предполагают, что эта фишинговая кампания расчитана на иностранные компании, работающие во Вьетнаме, с целью дать конкурентное преимущество вьетнамским фирмам. Но они забывают, что ранее Ocean Lotus были замечены в работе по представителям вьетнамских диссидентских кругов за рубежом, так что вполне возможно, что новый бэкдор предназначен именно для них.
#APT #OceanLotus
Мы ранее делали обзор на эту прогосударственную хакерскую группу здесь.
Первичная компрометация происходит посредством Zip-архива, замаскированного под документ Word, который называется "ALL tim nha Chi Ngoc Canada", что с вьетнамского примерно означает "Все ищут дом миссис Нгок в Канаде". Не понятно, что это означает, но почему-то такой документ используется в качестве приманки. Может это какая-то местная фишка?
Для обхода обнаружения антивирусными решениям в название архива добавлены несколько специализированных символов. После активации первичного вредоноса извлекается полезная нагрузка, которая уже извлекает непосредственно сам бэкдор. Он обладает некоторыми функциями RAT - собирает информацию о системе, поддерживает связь с управляющим центром, а также может работать с файловой системой и подгружать дополнительные функциональные модули.
Принадлежность выявленного вредоноса OceanLotus подтверждается сходством в коде с более ранними бэкдорам вьетнамцев.
Японские исследователи предполагают, что эта фишинговая кампания расчитана на иностранные компании, работающие во Вьетнаме, с целью дать конкурентное преимущество вьетнамским фирмам. Но они забывают, что ранее Ocean Lotus были замечены в работе по представителям вьетнамских диссидентских кругов за рубежом, так что вполне возможно, что новый бэкдор предназначен именно для них.
#APT #OceanLotus
Trend Micro
New MacOS Backdoor Connected to OceanLotus Surfaces
We recently discovered a new backdoor we believe to be related to the OceanLotus group. Some of the updates of this new variant include new behavior and domain names.
ZDNet сообщает, что Facebook раскрыла компанию, стоящую за одной из активных прогосударственных APT Ocean Lotus aka APT 32, работающей на правительство Вьетнама. Мы неоднократно писали про эту группу, а краткий обзор на нее давали здесь.
По словам руководителя подразделения политики безопасности Facebook Натаниэля Глейхера и менеджера по анализу киберугроз Майка Двилянски, за хакерской группой стоит IT-компания CyberOne Group из вьетнамского города Хо Ши Мин.
Исследователи Facebook провели анализ активности Ocean Lotus в социальной сети, в ходе которой вьетнамские хакеры использовали фейковые аккаунты для фишинговых рассылок. В ходе него было установлено, что APT была нацелена на вьетнамских диссидентов, иностранные правительства, в том числе Лаоса и Камбоджи, НКО, информационные агентства, а также коммерческие компании из различных отраслей.
Это, пожалуй, первый случай, когда Facebook проводят подобную атрибуцию. Фактуры пока нет, поэтому судить о достоверности заявления не будем.
#APT #OceanLotus
По словам руководителя подразделения политики безопасности Facebook Натаниэля Глейхера и менеджера по анализу киберугроз Майка Двилянски, за хакерской группой стоит IT-компания CyberOne Group из вьетнамского города Хо Ши Мин.
Исследователи Facebook провели анализ активности Ocean Lotus в социальной сети, в ходе которой вьетнамские хакеры использовали фейковые аккаунты для фишинговых рассылок. В ходе него было установлено, что APT была нацелена на вьетнамских диссидентов, иностранные правительства, в том числе Лаоса и Камбоджи, НКО, информационные агентства, а также коммерческие компании из различных отраслей.
Это, пожалуй, первый случай, когда Facebook проводят подобную атрибуцию. Фактуры пока нет, поэтому судить о достоверности заявления не будем.
#APT #OceanLotus
ZDNET
Facebook links APT32, Vietnam's primary hacking group, to local IT firm
Facebook suspends accounts linked to APT32, says the group used its platform to spread malware.
Группа Unit42 инфосек вендора Palo Alto Networks опубликовала отчет о новом штамме вредоносов, который получил название PyMICROPSIA.
Авторами вредоносного семейства MICROPSIA считаются APT AridViper aka Deserts Falcons aka Two-tailed Scorpion, палестинская хакерская группа, за которой, предположительно, стоит ХАМАС.
PyMICROPSIA написан на Python и представляет собой полноценный RAT с функциями сбора и эксфильтрации информации, кейлоггинга, записи аудио и скриншотов и пр. Анализ кода свидетельствует, что вредонос находится на стадии активной разработки.
Выявленные образец PyMICROPSIA предназначен для Windows, однако в его коде содержатся вставки, которые свидетельствуют об интересе разработчиков вируса к Linux и macOS. Таким образом, Deserts Falcons расширяют охват своего вредоноса.
Эти палестинские хакеры вообще очень активны, вопреки тому, что можно было бы от них ожидать. В сентябре, например, мы уже писали про их мобильный RAT SpyC23.A, который предназначался для Android-устройств. А весной они ловили израильских солдат в соцсетях, применяя типичную "медовую ловушку" в виде фейковых профилей девушек. Вполне возможно, что им помогают иранские коллеги.
#APT #DesertFalcons
Авторами вредоносного семейства MICROPSIA считаются APT AridViper aka Deserts Falcons aka Two-tailed Scorpion, палестинская хакерская группа, за которой, предположительно, стоит ХАМАС.
PyMICROPSIA написан на Python и представляет собой полноценный RAT с функциями сбора и эксфильтрации информации, кейлоггинга, записи аудио и скриншотов и пр. Анализ кода свидетельствует, что вредонос находится на стадии активной разработки.
Выявленные образец PyMICROPSIA предназначен для Windows, однако в его коде содержатся вставки, которые свидетельствуют об интересе разработчиков вируса к Linux и macOS. Таким образом, Deserts Falcons расширяют охват своего вредоноса.
Эти палестинские хакеры вообще очень активны, вопреки тому, что можно было бы от них ожидать. В сентябре, например, мы уже писали про их мобильный RAT SpyC23.A, который предназначался для Android-устройств. А весной они ловили израильских солдат в соцсетях, применяя типичную "медовую ловушку" в виде фейковых профилей девушек. Вполне возможно, что им помогают иранские коллеги.
#APT #DesertFalcons
Unit 42
PyMICROPSIA: New Information-Stealing Trojan from AridViper
We've identified a new information-stealing Trojan we call PyMICROPSIA, related to the previously identified MICROPSIA malware family.
А пока все обсуждают компрометацию SolarWinds, появились данные о другой атаке на цепочку поставок, в ходе которой был взломан ни много ни мало сайт правительства Вьетнама.
Во Вьетнаме широко распространены цифровые подписи. Одним из удостоверяющих центров является Вьетнамский государственный центр сертификации (VGCA), который подчиняется местному Минсвязи. VGCA, помимо прочего, разрабатывает и распространяет инструментарий для цифровой подписи, используемый как государственными организациями, так и частным сектором.
По информации словацкого инфосек вендора ESET, в период, по меньшей мере, с 23 июля по 16 августа этого года сайт ca .gov .vn был скомпрометирован и на нем были размещены два зараженных бэкдором Smanager установщика.
Smanager, согласно данным инфосек компании NTT Security, является разновидностью RAT Tmanager, используемого китайской APT TA428.
Информацию в отношении этой атаки на цепочку поставок ESET получили в начале декабря, после чего уведомили о ней VGCA и вьетнамский CERT. Вьетнамцы подтвердили, что уже в курсе взлома и все затронутые пользователи были уведомлены.
#APT #TA428
Во Вьетнаме широко распространены цифровые подписи. Одним из удостоверяющих центров является Вьетнамский государственный центр сертификации (VGCA), который подчиняется местному Минсвязи. VGCA, помимо прочего, разрабатывает и распространяет инструментарий для цифровой подписи, используемый как государственными организациями, так и частным сектором.
По информации словацкого инфосек вендора ESET, в период, по меньшей мере, с 23 июля по 16 августа этого года сайт ca .gov .vn был скомпрометирован и на нем были размещены два зараженных бэкдором Smanager установщика.
Smanager, согласно данным инфосек компании NTT Security, является разновидностью RAT Tmanager, используемого китайской APT TA428.
Информацию в отношении этой атаки на цепочку поставок ESET получили в начале декабря, после чего уведомили о ней VGCA и вьетнамский CERT. Вьетнамцы подтвердили, что уже в курсе взлома и все затронутые пользователи были уведомлены.
#APT #TA428
Welivesecurity
Operation SignSight: Supply-chain attack against a certification authority in Southeast Asia
ESET researchers have uncovered a supply-chain attack on the website of a government in Southeast Asia.
Японская компания Kawasaki Heavy Industries сообщила об инциденте безопасности, который предположительно мог привести к утечке конфиденциальных данных.
Еще 11 июня в ходе внутреннего аудита выяснилось, что неустановленные хакеры скомпрометировали сеть офиса компании в Тайланде и получили доступ к одному их внутренних серверов в Японии. В ходе дальнейшего расследования в течение месяца была обнаружена компрометация сетей еще трех зарубежных офисов Kawasaki - на Филлипинах, в Индонезии и США. В целях недопущения взлома своей основной сети в Японии компания была вынуждена отключить доступ из всех зарубежных офисов, а вновь восстановлен он был лишь 30 ноября.
Мы знаем Kawasaki преимущественно по мотоциклам, между тем это один из крупнейших в мире промышленных концернов, который занимается созданием промышленных роботов, поездов, самолетов и вертолетов и пр. А еще космических аппаратов и некой боевой экипировки.
Можно с большой долей уверенности сказать, что Kawasaki работает в области японской оборонки. А значит мы примерно знаем что за APT могла стоять за атакой на компанию.
Есть такая китайская группа, которая называется Stalker Panda, она же RedBaldNight и Bronze Butler. Предполагается, что за ней стоит Оборонный научно-технический университет НОАК. Эти товарищи планомерно кошмарят японских промышленных дзайбацу с целью кражи конфиденциальной информации. К примеру летом 2019 года они взломали Mitsubishi Electric. Вероятно и взлом Kawasaki их рук дело.
#APT
Еще 11 июня в ходе внутреннего аудита выяснилось, что неустановленные хакеры скомпрометировали сеть офиса компании в Тайланде и получили доступ к одному их внутренних серверов в Японии. В ходе дальнейшего расследования в течение месяца была обнаружена компрометация сетей еще трех зарубежных офисов Kawasaki - на Филлипинах, в Индонезии и США. В целях недопущения взлома своей основной сети в Японии компания была вынуждена отключить доступ из всех зарубежных офисов, а вновь восстановлен он был лишь 30 ноября.
Мы знаем Kawasaki преимущественно по мотоциклам, между тем это один из крупнейших в мире промышленных концернов, который занимается созданием промышленных роботов, поездов, самолетов и вертолетов и пр. А еще космических аппаратов и некой боевой экипировки.
Можно с большой долей уверенности сказать, что Kawasaki работает в области японской оборонки. А значит мы примерно знаем что за APT могла стоять за атакой на компанию.
Есть такая китайская группа, которая называется Stalker Panda, она же RedBaldNight и Bronze Butler. Предполагается, что за ней стоит Оборонный научно-технический университет НОАК. Эти товарищи планомерно кошмарят японских промышленных дзайбацу с целью кражи конфиденциальной информации. К примеру летом 2019 года они взломали Mitsubishi Electric. Вероятно и взлом Kawasaki их рук дело.
#APT
Positive Technologies выпустили отчет, в котором описали произошедшие в мае и июне 2020 года атаки за авторством китайской APT Winnti, одна из которых была направлена на российского разработчика игр Battlestate Game.
Атаки проводились путем рассылки фишинговых приманок, для Battlestate Game это были резюме соискателя на должность разработчика игр или менеджера баз данных. Кроме того, в одной из атак приманки имели русские названия, хотя и написанные коряво - "Электронный читатель резюме", например.
Согласно полученным TTPs, китайцы пытались использовать ложные флаги, маскируясь под северокорейскую APT Higaisa, однако дальнейший анализ позволил исследователям прийти к выводу, что это были именно Winnti.
Позитивы утверждают, что атака на Battlestate Game, судя по всему, была успешной. Эта компания является разработчиком популярной сетевой игры Escape from Tarkov. С учетом того, что ранее Winnti неоднократно атаковали производителей игр с целью встраивания своих вредоносов в разрабатываемое ими ПО, можно с достаточной долей уверенности говорить о том, что и в данном случае имела место атака на цепочку поставок.
В начале сентября Позитивы уже давали информацию о том, что Winnti активно работает по российским разработчикам банковского ПО. Равно, как мы раньше говорили, и северокорейская APT Kimsuky атакует отечественные компании.
Так что геополитическое партнерство геополитическим партнерством, а в части кибервойн - табачок врозь.
#APT #Winnti
Атаки проводились путем рассылки фишинговых приманок, для Battlestate Game это были резюме соискателя на должность разработчика игр или менеджера баз данных. Кроме того, в одной из атак приманки имели русские названия, хотя и написанные коряво - "Электронный читатель резюме", например.
Согласно полученным TTPs, китайцы пытались использовать ложные флаги, маскируясь под северокорейскую APT Higaisa, однако дальнейший анализ позволил исследователям прийти к выводу, что это были именно Winnti.
Позитивы утверждают, что атака на Battlestate Game, судя по всему, была успешной. Эта компания является разработчиком популярной сетевой игры Escape from Tarkov. С учетом того, что ранее Winnti неоднократно атаковали производителей игр с целью встраивания своих вредоносов в разрабатываемое ими ПО, можно с достаточной долей уверенности говорить о том, что и в данном случае имела место атака на цепочку поставок.
В начале сентября Позитивы уже давали информацию о том, что Winnti активно работает по российским разработчикам банковского ПО. Равно, как мы раньше говорили, и северокорейская APT Kimsuky атакует отечественные компании.
Так что геополитическое партнерство геополитическим партнерством, а в части кибервойн - табачок врозь.
#APT #Winnti
ptsecurity.com
Higaisa or Winnti? APT41 backdoors, old and new
Как мы неоднократно говорили, индийцы умеют не только кино снимать и трупами в Ганг кидаться. У них вполне себе развитая и профессиональная инфраструктура APT, поддерживаемых государством и атакующих геополитических противников Дели.
Lookout выложил отчет о кибероперации индийской APT Confuсius, направленной на пакистанские военные и ядерные объекты, проводимой с помощью вредоносов для Android.
Confuсius впервые была описана в 2017 году, ее операции прослеживаются до 2013. Использование вредоносных мобильных приложений свойственно Confuсius. Некоторые исследователи допускают, что группа ассоциирована с APT Patchwork aka Dropping Elephant, работающей на Разведывательный корпус индийской армии (мы писали про нее, например, здесь).
Исследователи обнаружили два принадлежащих Confuсius вредоносных штамма, которые они назвали SunBird и Hornbill. По сути и тот и другой являются мобильными RAT (троянами удаленного доступа). Оба вредоноса умеют собирать и эксфильтрировать большое количество информации с зараженного устройства, включая геолокацию, фото, журналы вызовов. Кроме того, они умеют делать скриншоты, фотографии с камеры, записывать звук и пр. SunBird, по мнению экспертов, является более продвинутым в плане сбора данных, поскольку тащит практически всю инфу со смартфона, включая переписку WhatsApp и BlackBerry Messenger.
Hornbill же более скрытен и используется как пассивный инструмент разведки, направленный на долгосрочное функционирование. Его действия менее активны, но более выборочны, чем у SunBird.
По информации Lookout, SunBird находился в разработке с декабря 2016 по начало 2019, а вот Hornbill впервые появился в начале 2018 и активно модифицируется по сегодняшний день.
Анализ целей вредоносного ПО показал, что основными объектами заинтересованности Confuсius в рамках этой операции являются военнослужащие пакистанской армии и их окружение, сотрудники ядерных объектов Пакистана, а также лица, связанные с выборами в штате Кашмир (он вроде как индийский, но является объектом территориального спора с Пакистаном). В то же время были обнаружены и атакованные устройства из других стран, к примеру, из Казахстана. Возможно, что это были сопутствующие жертвы.
Распространялись вредоносы под видом различных мобильных приложений, часто маскируясь под мобильные чаты (этот прием Confuсius использует еще с 2017 года).
Анализ TTPs, в основном вредоносной инфраструктуры, позволил исследователям с достаточно большой долей уверенности утверждать, что за SunBird и Hornbill стоит именно APT Confuсius.
#APT #Confucius
Lookout выложил отчет о кибероперации индийской APT Confuсius, направленной на пакистанские военные и ядерные объекты, проводимой с помощью вредоносов для Android.
Confuсius впервые была описана в 2017 году, ее операции прослеживаются до 2013. Использование вредоносных мобильных приложений свойственно Confuсius. Некоторые исследователи допускают, что группа ассоциирована с APT Patchwork aka Dropping Elephant, работающей на Разведывательный корпус индийской армии (мы писали про нее, например, здесь).
Исследователи обнаружили два принадлежащих Confuсius вредоносных штамма, которые они назвали SunBird и Hornbill. По сути и тот и другой являются мобильными RAT (троянами удаленного доступа). Оба вредоноса умеют собирать и эксфильтрировать большое количество информации с зараженного устройства, включая геолокацию, фото, журналы вызовов. Кроме того, они умеют делать скриншоты, фотографии с камеры, записывать звук и пр. SunBird, по мнению экспертов, является более продвинутым в плане сбора данных, поскольку тащит практически всю инфу со смартфона, включая переписку WhatsApp и BlackBerry Messenger.
Hornbill же более скрытен и используется как пассивный инструмент разведки, направленный на долгосрочное функционирование. Его действия менее активны, но более выборочны, чем у SunBird.
По информации Lookout, SunBird находился в разработке с декабря 2016 по начало 2019, а вот Hornbill впервые появился в начале 2018 и активно модифицируется по сегодняшний день.
Анализ целей вредоносного ПО показал, что основными объектами заинтересованности Confuсius в рамках этой операции являются военнослужащие пакистанской армии и их окружение, сотрудники ядерных объектов Пакистана, а также лица, связанные с выборами в штате Кашмир (он вроде как индийский, но является объектом территориального спора с Пакистаном). В то же время были обнаружены и атакованные устройства из других стран, к примеру, из Казахстана. Возможно, что это были сопутствующие жертвы.
Распространялись вредоносы под видом различных мобильных приложений, часто маскируясь под мобильные чаты (этот прием Confuсius использует еще с 2017 года).
Анализ TTPs, в основном вредоносной инфраструктуры, позволил исследователям с достаточно большой долей уверенности утверждать, что за SunBird и Hornbill стоит именно APT Confuсius.
#APT #Confucius
Lookout
Confucius APT Android Spyware Linked to India-Pakistan Conflict | Threat Intel
The Lookout Threat Intelligence team has discovered two novel Android surveillanceware – Hornbill and SunBird.
Словаки из ESET пишут про вскрытую атаку на водопой (они почему-то называют ее атакой на цепочку поставок) - взлом сайта офиса Президента Мьянмы.
В результате взлома в доступный для загрузки пакет локализованных шрифтов был внедрен загрузчик Cobalt Strike. Исследователи подозревают в причастности к атаке китайскую APT Mustang Panda aka Bronze President, но пока не могут провести окончательное атрибутирование.
В 2015 году сайт Президента Мьянмы уже ломали, внедрив в него тогда загрузчик, подтягивающий троян Evilgrab.
Mustang Panda - это китайская хакерская группа, специализирующаяся на кибершпионаже. Считается, что она активна с 2014 года. Преимущественно работает по соседним с Китаем странам, но известны и киберкампании, направленные, например, на американские Think Tank. Мы про нее уже не раз писали.
Напомним, что в феврале этого года военные Мьянмы устроили госпереворот (хотя по местной Конституции у них весьма большие полномочия), отстранив действующие светские власти. При этом действующее военное руководство имеет с Китаем ряд разногласий, поэтому интерес китайских хакеров к этой соседней стране объяснимо.
#APT #MustangPanda
В результате взлома в доступный для загрузки пакет локализованных шрифтов был внедрен загрузчик Cobalt Strike. Исследователи подозревают в причастности к атаке китайскую APT Mustang Panda aka Bronze President, но пока не могут провести окончательное атрибутирование.
В 2015 году сайт Президента Мьянмы уже ломали, внедрив в него тогда загрузчик, подтягивающий троян Evilgrab.
Mustang Panda - это китайская хакерская группа, специализирующаяся на кибершпионаже. Считается, что она активна с 2014 года. Преимущественно работает по соседним с Китаем странам, но известны и киберкампании, направленные, например, на американские Think Tank. Мы про нее уже не раз писали.
Напомним, что в феврале этого года военные Мьянмы устроили госпереворот (хотя по местной Конституции у них весьма большие полномочия), отстранив действующие светские власти. При этом действующее военное руководство имеет с Китаем ряд разногласий, поэтому интерес китайских хакеров к этой соседней стране объяснимо.
#APT #MustangPanda
В продолжение вчерашней истории про взлом китайской APT Mustang Panda сайта офиса Президента Мьянмы и внедрение загрузчика Cobalt Strike.
Check Point опубликовали отчет о кибершпионской кампании другой китайской APT - Sharp Panda, которая проводилась против правительственных учреждений одной из стран Юго-Восточной Азии.
Заражение машин начиналось с целевой фишинговой рассылки, содержащей вредоносные DOCX файлы (судя по тексту приманок - речь идет о Вьетнаме). В некоторых случаях фишинговые письма были подделаны под легитимную переписку от другого ведомства.
Приманка загружала 8.t Dropper (он же RoyalRoad), доставляемый в документе RTF, который обычно используется китайскими APT для дальнейшего подтягивания полезной нагрузки в виде различного рода троянов удаленного доступа (RAT).
Загрузчик, названный в данном случае 5.t Dropper, собирал информацию в отношении системы, шифровал ее в RC4 и отправлял на управляющий центр. Если атакованная машина представляла интерес для хакеров, то С2 направлял полезную нагрузку.
В качестве полезной нагрузки поставлялся уникальный авторский бэкдор с внутренним наименованием VictoryDll, который представляет по функционалу полноценный RAT и может искать и эксфильтрировать информацию, делать скриншоты, запускать команды и пр.
Проведя ретроспективное исследование, сотрудники Check Point обнаружили загруженные на VirusTotal в 2018 году ранние тестовые версии VictoryDll, временные метки которых указывают на период разработки с июля 2017 по июнь 2018 года.
Управляющие центры первого этапа кампании были размещены в двух облачных сервисах, расположенных в Гонконге и Малайзии. С2 бэкдора VictoryDll был размещен у американского провайдера.
Проведя атрибуцию израильские исследователи с большой долей вероятности отнесли автора атаки к китайским APT. На это указывает использование 8.t Dropper, временной график активности управляющих центров, а также пересечения с Китаем обнаруженных на VirusTotal тестовых версий бэкдора.
В то же время Check Point не смогли соотнести атаку с профилем какой-либо из известных китайских хакерских групп, а потому решили обозначить актора как новую APT под названием Sharp Panda.
#APT #SharpPanda
Check Point опубликовали отчет о кибершпионской кампании другой китайской APT - Sharp Panda, которая проводилась против правительственных учреждений одной из стран Юго-Восточной Азии.
Заражение машин начиналось с целевой фишинговой рассылки, содержащей вредоносные DOCX файлы (судя по тексту приманок - речь идет о Вьетнаме). В некоторых случаях фишинговые письма были подделаны под легитимную переписку от другого ведомства.
Приманка загружала 8.t Dropper (он же RoyalRoad), доставляемый в документе RTF, который обычно используется китайскими APT для дальнейшего подтягивания полезной нагрузки в виде различного рода троянов удаленного доступа (RAT).
Загрузчик, названный в данном случае 5.t Dropper, собирал информацию в отношении системы, шифровал ее в RC4 и отправлял на управляющий центр. Если атакованная машина представляла интерес для хакеров, то С2 направлял полезную нагрузку.
В качестве полезной нагрузки поставлялся уникальный авторский бэкдор с внутренним наименованием VictoryDll, который представляет по функционалу полноценный RAT и может искать и эксфильтрировать информацию, делать скриншоты, запускать команды и пр.
Проведя ретроспективное исследование, сотрудники Check Point обнаружили загруженные на VirusTotal в 2018 году ранние тестовые версии VictoryDll, временные метки которых указывают на период разработки с июля 2017 по июнь 2018 года.
Управляющие центры первого этапа кампании были размещены в двух облачных сервисах, расположенных в Гонконге и Малайзии. С2 бэкдора VictoryDll был размещен у американского провайдера.
Проведя атрибуцию израильские исследователи с большой долей вероятности отнесли автора атаки к китайским APT. На это указывает использование 8.t Dropper, временной график активности управляющих центров, а также пересечения с Китаем обнаруженных на VirusTotal тестовых версий бэкдора.
В то же время Check Point не смогли соотнести атаку с профилем какой-либо из известных китайских хакерских групп, а потому решили обозначить актора как новую APT под названием Sharp Panda.
#APT #SharpPanda
Check Point Research
SharpPanda: Chinese APT Group Targets Southeast Asian Government With Previously Unknown Backdoor - Check Point Research
Introduction Check Point Research identified an ongoing surveillance operation targeting a Southeast Asian government. The attackers use spear-phishing to gain initial access and leverage old Microsoft Office vulnerabilities together with the chain of in…
Forwarded from Порвали два трояна
Чтобы выполнить проверку, нужно сделать локальную резервную копию iPhone через iTunes и проверить её утилитой triangle_check. Утилита доступна в виде бинарных сборок и пакета Python. Подробная инструкция выложена на Securelist.
Ну а тем, кто всё понимает без инструкции, просто дадим ссылку на наш гитхаб.
#новости #APT #iOStriangulation @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM