Караульный Z
112K subscribers
198K photos
88.5K videos
269 files
178K links
Медиапространство ручной работы.
Download Telegram
Forwarded from SecAtor
Malwarebytes представили материал о выявленной 17 сентября атаке Kraken, в ходе которой полезная нагрузка помещается внутрь службы Windows Error Reporting (WER).

В качестве первичного проникновения хакеры использовали фишинговые письма с информацией о правах работников на компенсацию (хороший ход). Полезная нагрузка в виде библиотеки kraken.dll загружается с предварительно скомпрометированного сайта и внедряет вредоносный шелл-код в исполняемый файл WerFault.exe.

Далее вредонос осуществляет несколько проверок - например, пытается выяснить находится ли он в песочнице или виртуальной машине. Если проверки прошли нормально, то расшифровывает окончательный шелл-код и помещает его в выделенную область памяти.

Этот шелл-код, в свою очередь, создает еще одну выделенную область памяти и загружает в нее вредоносные модули с предварительно определенного домена. Что это за модули ресерчеры не выяснили, поскольку на момент исследования домен был недоступен.

Таким образом, Kraken является безфайловой атакой, которая очень похожа на активность прогосударственной APT.

Malwarebytes не смогли с достаточной степенью достоверности установить кто из APT является автором Kraken, но некоторые TTPs позволяют предположить, что это были хакеры из вьетнамской Ocean Lotus aka APT 32.

Про вьетнамцев мы писали здесь - это весьма профессиональные хакеры, заточенные на кибершпионаж в отношении как государственных структур (например, МЧС Китая), так и крупных коммерческие компании (вьетнамцы ломали Toyota и Lexus, BMW, Hyundai).

#APT #OceanLotus
Forwarded from SecAtor
Инфосек компания Malwarebytes сообщила, что иранская APT Silent Librarian aka Cobalt Dickens в связи с началом учебного года в университетах всего мира организовала очередную фишинговую кампанию, направленную на их сотрудников и студентов.

Цель фишинга - сбор учетных данных, чтобы в дальнейшем получить доступ к внутренним ресурсам и, в конечном счете, украсть интеллектуальную собственность. Старая добрая промышленная разведка.

Всего Malwarebytes вскрыли атаки на несколько десятков университетов из разных стран мира - США, Великобритании, Нидерландов, Австралии, Сингапура и др. Фишинговые сайты, выдаваемые хакерами за легальные точки входа, скрыты за Cloudflare, но исследователям удалось идентифицировать часть вредоносной инфраструктуры, которая оказалась размещена в Иране.

Silent Librarian - это иранская APT, работающая, как считается, на КСИР. Прикрытием группы является вполне легальная компания под названием Mabna Institute. Предположительно хакерская группа активна с 2013 года. Специализация - фишинговые атаки на учебные заведения по всему миру с целью кражи и, в некоторых случаях, последующей перепродажи интеллектуальной собственности.

В марте 2018 года американские власти предъявили обвинения 9 иранским гражданам, имеющим отношение к Mabna Institute, которые, по мнению Департамента юстиции США, были причастны к хакерской деятельности Silent Librarian. Иранцев обвиняли во взломе 320 университетов и 47 коммерческих компаний по всему миру в период с 2013 по 2018 годы. Тем не менее, понятно, что иранцев никто в Иране арестовывать не стал и Silent Librarian свою хакерскую деятельность не прекратили.

Так, уже после предъявления обвинения APT была замечена как минимум в двух фишинговых кампаниях, направленных на университеты, в августе 2018 и июле 2019 годов.

#APT #SilentLibrarian
Forwarded from SecAtor
Северокорейские хакеры из APT Lazarus использовали в своей новой вредоносной кампании, направленной на пользователей из Южной Кореи, интересный метод заражения, пишут в свежем отчете исследователи из словацкого инфосек вендора ESET.

Cловаки называют новую операцию Lazarus "атакой на цепочку поставок", но мы бы сказали, что это гибрид "атаки на цепочку поставок" и "атаки на водопой".

В этот раз хакеры из КНДР воспользовались недостатком в южнокорейском программном обеспечении WIZVERA VeraPort, которое используется для управления установкой дополнительных программ безопасности. К примеру, при посещении банковского сайта пользователя просят установить ПО для проверки личности или специализированный модуль для браузера. Все это в автоматическом режиме обеспечивает WIZVERA VeraPort.

Для получения данных о ПО, которое необходимо загрузить с конкретного ресурса, VeraPort берет с целевого сайта файл конфигурации, подписанный цифровой подписью. Там используется RSA и взламывать ее весьма трудоемко, поэтому Lazarus придумали другой трюк.

Они скомпрометировали несколько сайтов, поддерживающих VeraPort, и заменили легальное ПО, которое должно было загрузиться на компьютер пользователя, вредоносным доппельганером. Недостаток VeraPort проявился в том, что программа проверяет только подлинность цифровой подписи загружаемых двоичных файлов, но не проверяет принадлежит ли эта подпись сайту, с которого идет загрузка, если не включена опция проверки хэша загружаемого файла.

Северокорейцы, скомпрометировав две подобные цифровые подписи, которые принадлежат южнокорейским филиалам двух американских компаний по безопасности, пописали ими свои вредоносы и разметили на взломанных сайтах. Таким образом пользователи при обращении к этим сайтам автоматически загружали себе полный комплект радости, включая полноценный троян удаленного доступа (RAT).

В этот раз ESET провели хорошую работу по атрибуции и принадлежность атаки именно APT Lazarus подтверждена большим количеством TTPs, как то - совпадения в коде, вредоносной инфраструктуре, методах шифрования и пр.

Эта атака лишний раз подтверждает нашу правоту относительно того, что каждый новый процесс автоматизации чего-либо потенциально приносит новые уязвимости. Поэтому иногда безопаснее что-то сделать руками, а не полагаться на ПО.

#APT #Lazarus
Forwarded from SecAtor
Checkpoint рассказывают о новом пришествии трояна Bandook, которое в очередной раз подтверждает, что вредонос является частью инфраструктуры наемного актора, осуществляющего кибернаступательные операции по контракту в интересах разных спецслужб.

Выявленная кампания относится в периоду 2019-2020 годов и направлена на компании из различных отраслей, а также государственные структуры, Сингапура, Кипра, Чили, Италии, США, Швейцарии, Индонезии и Германии.

Непосредственно атака начинается с фишингового документа, содержащего вредоносный макрос, который подгружает загрузчик PowerShell. Загрузчик, в свою очередь, доставляет сам RAT Bandook. Это полноценный кибершпионский троян, содержащий все необходимые функции кибершпионажа - сбор системной информации, работу с файлами, возможность снимать скриншоты и пр.

Ранее Bandook был замечен в 2018 году в кампании Operation Manul, которая, по мнению Electronic Frontier Foundation (EFF), была направлена на казахских оппозиционеров и проводилась в интересах спецслужб Казахстана.

В 2019 году с помощью Bandook была проведена операция Dark Caracal, в рамках которой были эксфильтрированы сотни гигабайт информации, принадлежащей сотням жертв из 21 страны в Северной Америке, Европе и Азии. Тогда, согласно совместному расследованию Lookout и EFF, конечным бенефициаром киберкампании было Главное управление общей безопасности (GDGS) Ливана.

Исполнителем же всех этих кибератак считается некая третья сторона, работающая по контракту на различные правительства и спецслужбы. И хотя достоверно неизвестно кто это, в своем отчете 2018 года EFF предполагали возможную связь Bandook с двумя разведывательными компаниями - индийской Apin Security Group и швейцарской Arcanum Global Intelligence.

#APT #DarkCaracal
Forwarded from SecAtor
Исследователи из Trend Micro описывают новый вид бэкдора для MacOS, авторство которого приписывается вьетнамской APT OceanLotus.

Мы ранее делали обзор на эту прогосударственную хакерскую группу здесь.

Первичная компрометация происходит посредством Zip-архива, замаскированного под документ Word, который называется "ALL tim nha Chi Ngoc Canada", что с вьетнамского примерно означает "Все ищут дом миссис Нгок в Канаде". Не понятно, что это означает, но почему-то такой документ используется в качестве приманки. Может это какая-то местная фишка?

Для обхода обнаружения антивирусными решениям в название архива добавлены несколько специализированных символов. После активации первичного вредоноса извлекается полезная нагрузка, которая уже извлекает непосредственно сам бэкдор. Он обладает некоторыми функциями RAT - собирает информацию о системе, поддерживает связь с управляющим центром, а также может работать с файловой системой и подгружать дополнительные функциональные модули.

Принадлежность выявленного вредоноса OceanLotus подтверждается сходством в коде с более ранними бэкдорам вьетнамцев.

Японские исследователи предполагают, что эта фишинговая кампания расчитана на иностранные компании, работающие во Вьетнаме, с целью дать конкурентное преимущество вьетнамским фирмам. Но они забывают, что ранее Ocean Lotus были замечены в работе по представителям вьетнамских диссидентских кругов за рубежом, так что вполне возможно, что новый бэкдор предназначен именно для них.

#APT #OceanLotus
Forwarded from SecAtor
ZDNet сообщает, что Facebook раскрыла компанию, стоящую за одной из активных прогосударственных APT Ocean Lotus aka APT 32, работающей на правительство Вьетнама. Мы неоднократно писали про эту группу, а краткий обзор на нее давали здесь.

По словам руководителя подразделения политики безопасности Facebook Натаниэля Глейхера и менеджера по анализу киберугроз Майка Двилянски, за хакерской группой стоит IT-компания CyberOne Group из вьетнамского города Хо Ши Мин.

Исследователи Facebook провели анализ активности Ocean Lotus в социальной сети, в ходе которой вьетнамские хакеры использовали фейковые аккаунты для фишинговых рассылок. В ходе него было установлено, что APT была нацелена на вьетнамских диссидентов, иностранные правительства, в том числе Лаоса и Камбоджи, НКО, информационные агентства, а также коммерческие компании из различных отраслей.

Это, пожалуй, первый случай, когда Facebook проводят подобную атрибуцию. Фактуры пока нет, поэтому судить о достоверности заявления не будем.

#APT #OceanLotus
Forwarded from SecAtor
​​Японская компания Kawasaki Heavy Industries сообщила об инциденте безопасности, который предположительно мог привести к утечке конфиденциальных данных.

Еще 11 июня в ходе внутреннего аудита выяснилось, что неустановленные хакеры скомпрометировали сеть офиса компании в Тайланде и получили доступ к одному их внутренних серверов в Японии. В ходе дальнейшего расследования в течение месяца была обнаружена компрометация сетей еще трех зарубежных офисов Kawasaki - на Филлипинах, в Индонезии и США. В целях недопущения взлома своей основной сети в Японии компания была вынуждена отключить доступ из всех зарубежных офисов, а вновь восстановлен он был лишь 30 ноября.

Мы знаем Kawasaki преимущественно по мотоциклам, между тем это один из крупнейших в мире промышленных концернов, который занимается созданием промышленных роботов, поездов, самолетов и вертолетов и пр. А еще космических аппаратов и некой боевой экипировки.

Можно с большой долей уверенности сказать, что Kawasaki работает в области японской оборонки. А значит мы примерно знаем что за APT могла стоять за атакой на компанию.

Есть такая китайская группа, которая называется Stalker Panda, она же RedBaldNight и Bronze Butler. Предполагается, что за ней стоит Оборонный научно-технический университет НОАК. Эти товарищи планомерно кошмарят японских промышленных дзайбацу с целью кражи конфиденциальной информации. К примеру летом 2019 года они взломали Mitsubishi Electric. Вероятно и взлом Kawasaki их рук дело.

#APT
Forwarded from SecAtor
Positive Technologies выпустили отчет, в котором описали произошедшие в мае и июне 2020 года атаки за авторством китайской APT Winnti, одна из которых была направлена на российского разработчика игр Battlestate Game.

Атаки проводились путем рассылки фишинговых приманок, для Battlestate Game это были резюме соискателя на должность разработчика игр или менеджера баз данных. Кроме того, в одной из атак приманки имели русские названия, хотя и написанные коряво - "Электронный читатель резюме", например.

Согласно полученным TTPs, китайцы пытались использовать ложные флаги, маскируясь под северокорейскую APT Higaisa, однако дальнейший анализ позволил исследователям прийти к выводу, что это были именно Winnti.

Позитивы утверждают, что атака на Battlestate Game, судя по всему, была успешной. Эта компания является разработчиком популярной сетевой игры Escape from Tarkov. С учетом того, что ранее Winnti неоднократно атаковали производителей игр с целью встраивания своих вредоносов в разрабатываемое ими ПО, можно с достаточной долей уверенности говорить о том, что и в данном случае имела место атака на цепочку поставок.

В начале сентября Позитивы уже давали информацию о том, что Winnti активно работает по российским разработчикам банковского ПО. Равно, как мы раньше говорили, и северокорейская APT Kimsuky атакует отечественные компании.

Так что геополитическое партнерство геополитическим партнерством, а в части кибервойн - табачок врозь.

#APT #Winnti
Forwarded from SecAtor
Как мы неоднократно говорили, индийцы умеют не только кино снимать и трупами в Ганг кидаться. У них вполне себе развитая и профессиональная инфраструктура APT, поддерживаемых государством и атакующих геополитических противников Дели.

Lookout
выложил отчет о кибероперации индийской APT Confuсius, направленной на пакистанские военные и ядерные объекты, проводимой с помощью вредоносов для Android.

Confuсius впервые была описана в 2017 году, ее операции прослеживаются до 2013. Использование вредоносных мобильных приложений свойственно Confuсius. Некоторые исследователи допускают, что группа ассоциирована с APT Patchwork aka Dropping Elephant, работающей на Разведывательный корпус индийской армии (мы писали про нее, например, здесь).

Исследователи обнаружили два принадлежащих Confuсius вредоносных штамма, которые они назвали SunBird и Hornbill. По сути и тот и другой являются мобильными RAT (троянами удаленного доступа). Оба вредоноса умеют собирать и эксфильтрировать большое количество информации с зараженного устройства, включая геолокацию, фото, журналы вызовов. Кроме того, они умеют делать скриншоты, фотографии с камеры, записывать звук и пр. SunBird, по мнению экспертов, является более продвинутым в плане сбора данных, поскольку тащит практически всю инфу со смартфона, включая переписку WhatsApp и BlackBerry Messenger.

Hornbill же более скрытен и используется как пассивный инструмент разведки, направленный на долгосрочное функционирование. Его действия менее активны, но более выборочны, чем у SunBird.

По информации Lookout, SunBird находился в разработке с декабря 2016 по начало 2019, а вот Hornbill впервые появился в начале 2018 и активно модифицируется по сегодняшний день.

Анализ целей вредоносного ПО показал, что основными объектами заинтересованности Confuсius в рамках этой операции являются военнослужащие пакистанской армии и их окружение, сотрудники ядерных объектов Пакистана, а также лица, связанные с выборами в штате Кашмир (он вроде как индийский, но является объектом территориального спора с Пакистаном). В то же время были обнаружены и атакованные устройства из других стран, к примеру, из Казахстана. Возможно, что это были сопутствующие жертвы.

Распространялись вредоносы под видом различных мобильных приложений, часто маскируясь под мобильные чаты (этот прием Confuсius использует еще с 2017 года).

Анализ TTPs, в основном вредоносной инфраструктуры, позволил исследователям с достаточно большой долей уверенности утверждать, что за SunBird и Hornbill стоит именно APT Confuсius.

#APT #Confucius
Forwarded from SecAtor
Словаки из ESET пишут про вскрытую атаку на водопой (они почему-то называют ее атакой на цепочку поставок) - взлом сайта офиса Президента Мьянмы.

В результате взлома в доступный для загрузки пакет локализованных шрифтов был внедрен загрузчик Cobalt Strike. Исследователи подозревают в причастности к атаке китайскую APT Mustang Panda aka Bronze President, но пока не могут провести окончательное атрибутирование.

В 2015 году сайт Президента Мьянмы уже ломали, внедрив в него тогда загрузчик, подтягивающий троян Evilgrab.

Mustang Panda - это китайская хакерская группа, специализирующаяся на кибершпионаже. Считается, что она активна с 2014 года. Преимущественно работает по соседним с Китаем странам, но известны и киберкампании, направленные, например, на американские Think Tank. Мы про нее уже не раз писали.

Напомним, что в феврале этого года военные Мьянмы устроили госпереворот (хотя по местной Конституции у них весьма большие полномочия), отстранив действующие светские власти. При этом действующее военное руководство имеет с Китаем ряд разногласий, поэтому интерес китайских хакеров к этой соседней стране объяснимо.

#APT #MustangPanda