#itnews #infosec #malware
Please open Telegram to view this post
VIEW IN TELEGRAM
👏5🤔3🤨2
Рубрика: "ИБ на A,B,C,D" №5 #CEH #Malware
Какая утилита в режиме реального времени подскажет, какие порты в режиме прослушивания или другом состоянии? Which utility will tell you in real time which ports are listening or in another state?
Какая утилита в режиме реального времени подскажет, какие порты в режиме прослушивания или другом состоянии? Which utility will tell you in real time which ports are listening or in another state?
Anonymous Quiz
50%
Netstat
14%
TCPView
35%
Nmap
2%
Loki
👍8❤🔥3🔥3👎2
#itnews #infosec #malware
Новая кампания вредоносного ПО использует 9hits для нападения на Docker🖥
Обнаруженная лабораторией Cado Security Labs кампания развертывает на уязвимом экземпляре Docker два контейнера - стандартный майнер XMRig и приложение 9hits viewer. Последнее используется для генерации кредитов для злоумышленника на платформе 9hits
Платформа 9hits, описываемая как:
Атака начинается с развертывания контейнеров на уязвимом хосте Docker через интернет с помощью контролируемого злоумышленником сервера. Хотя исследователи Cado не смогли получить доступ к спредеру, они предположили, что злоумышленники могли обнаружить honeypot через такие платформы, как Shodan. Спредер использует API Docker для запуска двух контейнеров, получая готовые образы с Dockerhub для программного обеспечения 9hits и XMRig
Новая кампания вредоносного ПО использует 9hits для нападения на Docker
Обнаруженная лабораторией Cado Security Labs кампания развертывает на уязвимом экземпляре Docker два контейнера - стандартный майнер XMRig и приложение 9hits viewer. Последнее используется для генерации кредитов для злоумышленника на платформе 9hits
Платформа 9hits, описываемая как:
Уникальное решение для обмена веб-трафиком", позволяющее участникам приобретать кредиты для обмена трафиком веб-сайтов
Атака начинается с развертывания контейнеров на уязвимом хосте Docker через интернет с помощью контролируемого злоумышленником сервера. Хотя исследователи Cado не смогли получить доступ к спредеру, они предположили, что злоумышленники могли обнаружить honeypot через такие платформы, как Shodan. Спредер использует API Docker для запуска двух контейнеров, получая готовые образы с Dockerhub для программного обеспечения 9hits и XMRig
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4❤3🔥3
Рубрика: "ИБ на A,B,C,D" №7 #CEH #Malware
Что из перечисленного является недостатком аппаратных кейлогеров? What is not a benefit of hardware keyloggers?
Что из перечисленного является недостатком аппаратных кейлогеров? What is not a benefit of hardware keyloggers?
Anonymous Quiz
26%
Сложность журналирования ( Difficult to log)
17%
Трудности при обнаружении (Difficult to detect)
50%
Сложности при установке (Difficult to install)
7%
Легко спрятать (Easy to hide)
🔥4👍3❤2
#itnews #infosec #malware
Вредоносное ПО для macOS прячется во взломанных приложениях и атакует криптовалютные кошельки🍏
Лаборатория Касперского, обнаружившая артефакты в "дикой природе", заявила, что ВПО предназначено для компьютеров под управлением macOS Ventura 13.6 и более поздних версий для сбора данных криптовалютных кошельков
Цепочки атак используют заминированные файлы образов дисков (DMG), которые содержат программу под названием "Activator" и пиратскую версию легитимного программного обеспечения, такого как xScope. При запуске Activator появляется приглашение ввести пароль администратора, что запускает двоичный файл Mach-O с повышенными правами для запуска xScope
Далее устанавливалось соединение с С2 для получения зашифрованного скрипта и дальнейшего сбора информации🖥
Вредоносное ПО для macOS прячется во взломанных приложениях и атакует криптовалютные кошельки
Лаборатория Касперского, обнаружившая артефакты в "дикой природе", заявила, что ВПО предназначено для компьютеров под управлением macOS Ventura 13.6 и более поздних версий для сбора данных криптовалютных кошельков
Цепочки атак используют заминированные файлы образов дисков (DMG), которые содержат программу под названием "Activator" и пиратскую версию легитимного программного обеспечения, такого как xScope. При запуске Activator появляется приглашение ввести пароль администратора, что запускает двоичный файл Mach-O с повышенными правами для запуска xScope
Хитрость заключалась в том, что злоумышленники брали заранее взломанные версии приложений и добавляли несколько байт в начало исполняемого файла, тем самым отключая его, чтобы заставить пользователя запустить Activatorисследователь безопасности Сергей Пузан
Далее устанавливалось соединение с С2 для получения зашифрованного скрипта и дальнейшего сбора информации
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5🔥5🤔3
#itnews #infosec #malware
Анализ C2-сервера вредоносной программы SystemBC раскрыл трюки доставки полезной нагрузки😈
Исследователи в области кибербезопасности пролили свет на командно-контрольный (C2) сервер известного семейства вредоносных программ под названием SystemBC
говорится в анализе Kroll
Клиенты, купившие SystemBC, получают инсталляционный пакет, включающий исполняемый файл имплантата, исполняемые файлы для сервера C2 для Windows и Linux, PHP-файл для отображения интерфейса панели C2, а также инструкции на русском и английском языках с подробным описанием действий и команд, которые необходимо выполнить
Исполняемые файлы сервера C2 - "server.exe" для Windows и "server.out" для Linux - открывают не менее трех TCP-портов для обеспечения трафика C2, межпроцессного взаимодействия (IPC) между собой и интерфейсом панели на базе PHP (обычно порт 4000), а также по одному порту для каждого активного импланта
Исследование Kroll
Анализ C2-сервера вредоносной программы SystemBC раскрыл трюки доставки полезной нагрузки
Исследователи в области кибербезопасности пролили свет на командно-контрольный (C2) сервер известного семейства вредоносных программ под названием SystemBC
SystemBC можно приобрести на подпольных рынках, и он поставляется в архиве, содержащем имплант, сервер управления и контроля (C2) и портал веб-администрирования, написанный на PHP
говорится в анализе Kroll
Клиенты, купившие SystemBC, получают инсталляционный пакет, включающий исполняемый файл имплантата, исполняемые файлы для сервера C2 для Windows и Linux, PHP-файл для отображения интерфейса панели C2, а также инструкции на русском и английском языках с подробным описанием действий и команд, которые необходимо выполнить
Исполняемые файлы сервера C2 - "server.exe" для Windows и "server.out" для Linux - открывают не менее трех TCP-портов для обеспечения трафика C2, межпроцессного взаимодействия (IPC) между собой и интерфейсом панели на базе PHP (обычно порт 4000), а также по одному порту для каждого активного импланта
Исследование Kroll
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9❤3🔥2
#itnews #infosec #malware
Вредоносная программа AllaKore RAT нацелена на мексиканские фирмы и использует уловки финансового мошенничества💸
Мексиканские финансовые учреждения попали в поле зрения новой фишинговой кампании, в рамках которой распространяется модифицированная версия трояна удаленного доступа с открытым исходным кодом под названием AllaKore RAT
Команда BlackBerry Research and Intelligence Team приписывает эту активность неизвестному финансово мотивированному субъекту угроз, базирующемуся в Латинской Америке. Кампания активна как минимум с 2021 года
Вредоносная программа AllaKore RAT нацелена на мексиканские фирмы и использует уловки финансового мошенничества
Мексиканские финансовые учреждения попали в поле зрения новой фишинговой кампании, в рамках которой распространяется модифицированная версия трояна удаленного доступа с открытым исходным кодом под названием AllaKore RAT
Команда BlackBerry Research and Intelligence Team приписывает эту активность неизвестному финансово мотивированному субъекту угроз, базирующемуся в Латинской Америке. Кампания активна как минимум с 2021 года
Приманки используют схемы именования Мексиканского института социального обеспечения (IMSS) и ссылки на легитимные, доброкачественные документы в процессе установки
Полезная нагрузка AllaKore RAT сильно модифицирована, чтобы позволить субъектам угроз отправлять украденные банковские реквизиты и уникальную информацию об аутентификации на командно-контрольный (C2) сервер для целей финансового мошенничества
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6❤3🔥2👾1
#itnews #infosec #malware
Шпионская программа Pegasus нацелилась на айфоны журналистов и активистов в Иордании🍏
Айфоны, принадлежащие почти трем десяткам журналистов, активистов, адвокатов по правам человека и представителей гражданского общества в Иордании, подверглись атаке шпионского ПО Pegasus от NSO Group, согласно совместным выводам Access Now и Citizen Lab
Девять из 35 человек были публично подтверждены в качестве жертв, из них у шести устройства были заражены наемным инструментом для слежки. По оценкам, заражения произошли как минимум с 2019 года по сентябрь 2023 года
говорится в сообщении Access Now
NSO Group в своем отчете о прозрачности и ответственности за 2023 год отметила "значительное снижение" числа сообщений о ненадлежащем использовании продукции в 2022 и 2023 годах, объяснив это снижением эффективности процесса должной осмотрительности и проверки
Шпионская программа Pegasus нацелилась на айфоны журналистов и активистов в Иордании
Айфоны, принадлежащие почти трем десяткам журналистов, активистов, адвокатов по правам человека и представителей гражданского общества в Иордании, подверглись атаке шпионского ПО Pegasus от NSO Group, согласно совместным выводам Access Now и Citizen Lab
Девять из 35 человек были публично подтверждены в качестве жертв, из них у шести устройства были заражены наемным инструментом для слежки. По оценкам, заражения произошли как минимум с 2019 года по сентябрь 2023 года
В некоторых случаях злоумышленники выдавали себя за журналистов, добиваясь от жертв интервью или цитат, вставляя вредоносные ссылки на шпионское ПО Pegasus среди сообщений и между ними
говорится в сообщении Access Now
NSO Group в своем отчете о прозрачности и ответственности за 2023 год отметила "значительное снижение" числа сообщений о ненадлежащем использовании продукции в 2022 и 2023 годах, объяснив это снижением эффективности процесса должной осмотрительности и проверки
Please open Telegram to view this post
VIEW IN TELEGRAM
🤔6👍4🔥2
#itnews #infosec #malware
Новый скрытый бэкдор "RustDoor", нацеленный на устройства Apple macOS🔑
Пользователи macOS от Apple стали жертвами нового бэкдора на основе Rust, который работает под радаром с ноября 2023 года.
Бэкдор, получивший в Bitdefender кодовое название RustDoor, был обнаружен под видом обновления для Microsoft Visual Studio и нацелен на архитектуры Intel и Arm
Точный путь первоначального доступа, используемый для распространения имплантата, в настоящее время неизвестен, хотя, по слухам, он распространяется в виде двоичных файлов FAT, содержащих файлы Mach-O
На сегодняшний день обнаружено несколько вариантов вредоносной программы с незначительными модификациями, что, вероятно, свидетельствует об активной разработке. Самый ранний образец RustDoor датируется 2 ноября 2023 года
Он содержит широкий набор команд, позволяющих собирать и загружать файлы, а также собирать информацию о скомпрометированной конечной точке
Новый скрытый бэкдор "RustDoor", нацеленный на устройства Apple macOS
Пользователи macOS от Apple стали жертвами нового бэкдора на основе Rust, который работает под радаром с ноября 2023 года.
Бэкдор, получивший в Bitdefender кодовое название RustDoor, был обнаружен под видом обновления для Microsoft Visual Studio и нацелен на архитектуры Intel и Arm
Точный путь первоначального доступа, используемый для распространения имплантата, в настоящее время неизвестен, хотя, по слухам, он распространяется в виде двоичных файлов FAT, содержащих файлы Mach-O
На сегодняшний день обнаружено несколько вариантов вредоносной программы с незначительными модификациями, что, вероятно, свидетельствует об активной разработке. Самый ранний образец RustDoor датируется 2 ноября 2023 года
Он содержит широкий набор команд, позволяющих собирать и загружать файлы, а также собирать информацию о скомпрометированной конечной точке
Please open Telegram to view this post
VIEW IN TELEGRAM
🤔7👾3👨💻2
#itnews #infosec #malware
Ботнет Glupteba избегает обнаружения с помощью недокументированного UEFI Bootkit🤖
В ботнете Glupteba была обнаружена ранее недокументированная функция буткита Unified Extensible Firmware Interface(UEFI), что добавляет вредоносному ПО еще один уровень сложности и скрытности
заявили исследователи Palo Alto Networks Unit 42 Лиор Рочбергер и Дэн Яшник в своем анализе
Glupteba - это полнофункциональный похититель информации и бэкдор, способный облегчить незаконный майнинг криптовалюты и развернуть прокси-компоненты на зараженных узлах. Известно, что он также использует блокчейн биткойна в качестве резервной системы управления и контроля (C2), что делает его устойчивым к попыткам уничтожения
Некоторые из других функций позволяют ему доставлять дополнительную полезную нагрузку, выманивать учетные данные и данные кредитных карт, осуществлять рекламное мошенничество и даже эксплуатировать маршрутизаторы для получения учетных данных и удаленного административного доступа
Ботнет Glupteba избегает обнаружения с помощью недокументированного UEFI Bootkit
В ботнете Glupteba была обнаружена ранее недокументированная функция буткита Unified Extensible Firmware Interface(UEFI), что добавляет вредоносному ПО еще один уровень сложности и скрытности
Этот буткит может вмешиваться и контролировать процесс загрузки [операционной системы], позволяя Glupteba скрывать себя и создавать незаметное постоянство, которое крайне сложно обнаружить и удалить
заявили исследователи Palo Alto Networks Unit 42 Лиор Рочбергер и Дэн Яшник в своем анализе
Glupteba - это полнофункциональный похититель информации и бэкдор, способный облегчить незаконный майнинг криптовалюты и развернуть прокси-компоненты на зараженных узлах. Известно, что он также использует блокчейн биткойна в качестве резервной системы управления и контроля (C2), что делает его устойчивым к попыткам уничтожения
Некоторые из других функций позволяют ему доставлять дополнительную полезную нагрузку, выманивать учетные данные и данные кредитных карт, осуществлять рекламное мошенничество и даже эксплуатировать маршрутизаторы для получения учетных данных и удаленного административного доступа
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8😁2🤔1