Forwarded from SecAtor
Обострение геополитической обстановки между Китаем и Индией влечет за собой обострение и в киберпространстве.
Как мы знаем, активность, например, индийских хакерских групп достаточно точно коррелирует с различными геополитическими событиями, в которые вовлечена Индия. Пекин тоже не остается в долгу. И если деятельность APT не всегда видна, то результаты работы национальных инфосек команд часто оказываются на публике.
Вчера китайская исследовательская группа Shadow Chaser Group опубликовала отчет, в котором расчехлила индийскую APT SideWinder (про деятельность этой группы на пакистанском направлении мы писали не так давно). Можно расценивать это как своего рода ответ на активность индийцев в киберпространстве, направленной на китайские сети.
Что же говорят китайцы?
Они называют SideWinder индийской хакерской группой, которая сосредоточена на Пакистане и Юго-Восточной Азии. Основная цель - кража конфиденциальной информации правительственных ресурсов, а также военных организаций и предприятий энергетической и добывающей отраслей. Основной метод - фишинг.
Shadow Chaser Group детально рассматривает атаки SideWinder на организации Пакистана и Бангладеш, а также киберкампанию против неназванного китайского научного института, специализирующегося на борьбе с эпидемией коронавируса весной 2020 года.
Последняя деталь особенно интересна, потому что ранее мы знали про атаки на ресурсы китайских медицинских организаций в разгар эпидемии COVID-19 со стороны южнокорейской APT DarkHotel и вьетнамской Ocean Lotus. Теперь оказывается, что индийские хакеры также активно отрабатывали тему.
Ответят ли индийские инфосек ресерчеры анализом деятельности Winnti или какой-нибудь Override Panda?
#APT #SideWinder
Как мы знаем, активность, например, индийских хакерских групп достаточно точно коррелирует с различными геополитическими событиями, в которые вовлечена Индия. Пекин тоже не остается в долгу. И если деятельность APT не всегда видна, то результаты работы национальных инфосек команд часто оказываются на публике.
Вчера китайская исследовательская группа Shadow Chaser Group опубликовала отчет, в котором расчехлила индийскую APT SideWinder (про деятельность этой группы на пакистанском направлении мы писали не так давно). Можно расценивать это как своего рода ответ на активность индийцев в киберпространстве, направленной на китайские сети.
Что же говорят китайцы?
Они называют SideWinder индийской хакерской группой, которая сосредоточена на Пакистане и Юго-Восточной Азии. Основная цель - кража конфиденциальной информации правительственных ресурсов, а также военных организаций и предприятий энергетической и добывающей отраслей. Основной метод - фишинг.
Shadow Chaser Group детально рассматривает атаки SideWinder на организации Пакистана и Бангладеш, а также киберкампанию против неназванного китайского научного института, специализирующегося на борьбе с эпидемией коронавируса весной 2020 года.
Последняя деталь особенно интересна, потому что ранее мы знали про атаки на ресурсы китайских медицинских организаций в разгар эпидемии COVID-19 со стороны южнокорейской APT DarkHotel и вьетнамской Ocean Lotus. Теперь оказывается, что индийские хакеры также активно отрабатывали тему.
Ответят ли индийские инфосек ресерчеры анализом деятельности Winnti или какой-нибудь Override Panda?
#APT #SideWinder
Forwarded from SecAtor
Наши любимцы из северокорейской APT Lazarus, которая является, пожалуй, самой активной хакерской группой в мире, в очередной раз проявились.
Вчера команда исследователей GReAT Лаборатории Касперского опубликовала отчет, в котором описала выявленную вредоносную кампанию получившую название MATA, активную с апреля 2018 года.
MATA - это модульная вредоносная структура с несколькими компонентами, в которую входят загрузчик, оркестратор и набор плагинов, способная заражать машины под управлением Windows, Linux и macOS. Позволяет хакерам брать практически под полный контроль скомпрометированную систему и используется для проникновения в атакуемую сеть.
В качестве целей выступали корпоративные сети Польши, Германии, Турции, Южной Кореи, Японии и Индии. Основная задача - нахождение и эксфильтрация баз данных с конфиденциальной информацией атакованной компании.
Анализ TTPs показал, что за кибероперацией MATA стоит Lazarus. Основным доказательством послужили уникальные обозначения компонентов вредоносного ПО, ранее использовавшиеся в трояне Manuscrypt (он же FALLCHILL или Volgmer) за авторством северокорейских хакеров, а также сходства в механизмах их работы.
#APT #Lazarus
Вчера команда исследователей GReAT Лаборатории Касперского опубликовала отчет, в котором описала выявленную вредоносную кампанию получившую название MATA, активную с апреля 2018 года.
MATA - это модульная вредоносная структура с несколькими компонентами, в которую входят загрузчик, оркестратор и набор плагинов, способная заражать машины под управлением Windows, Linux и macOS. Позволяет хакерам брать практически под полный контроль скомпрометированную систему и используется для проникновения в атакуемую сеть.
В качестве целей выступали корпоративные сети Польши, Германии, Турции, Южной Кореи, Японии и Индии. Основная задача - нахождение и эксфильтрация баз данных с конфиденциальной информацией атакованной компании.
Анализ TTPs показал, что за кибероперацией MATA стоит Lazarus. Основным доказательством послужили уникальные обозначения компонентов вредоносного ПО, ранее использовавшиеся в трояне Manuscrypt (он же FALLCHILL или Volgmer) за авторством северокорейских хакеров, а также сходства в механизмах их работы.
#APT #Lazarus
Securelist
MATA: Multi-platform targeted malware framework
The MATA malware framework possesses several components, such as loader, orchestrator and plugins. The framework is able to target Windows, Linux and macOS operating systems.
Forwarded from SecAtor
И снова Lazarus.
На прошлой неделе Лаборатория Касперского выпустила отчет о выявленной кибероперации MATA, в процессе которой северокорейская APT Lazarus использовала модульную вредоносную структуру, способную заражать машины под управлением Windows, Linux и macOS, для атак на корпоративные сети Польши, Германии, Турции, Южной Кореи, Японии и Индии. Мы писали про это здесь.
Сегодня Касперские выпустили новый отчет, в котором рассказали про выявленный в этом году инцидент с заражением некой европейской компании неизвестным ранее ransomware VHD. Среди любопытных фишек VHD - "нестандартная криптография" с использованием генератора псевдослучайных чисел Вихрь Мерсенна и шифрование файлов комбинацией AES-256 в режиме ECB и RSA-2048.
Но гораздо интереснее то, что методика распространения вымогателя внутри атакованной сети сильно напоминала используемую APT, а конкретнее - применявшуюся в киберкампаниях Sony, Shamoon и OlympicDestroyer (намек в сторону Lazarus).
И вот, спустя два месяца ЛК получила данные в отношении второго инцидента, в котором атакованная сеть была скомпрометирована через уязвимый VPN-шлюз, а бэкдор, использовавшийся хакерами во время распространения вымогателя VHD, являлся частью вредоносной платформы MATA, что окончательно доказало тот факт, что оператором ransomware VHD является северокорейская группа Lazarus.
Заметим, что, скорее всего, это не первая попытка Lazarus "поиграть" в ransom, ведь авторство всем известного WannaCry также предписывается хакерам из КНДР. Да и неудивительно - северокорейцам всегда необходимо дополнительное финансирование своих киберопераций.
Тем не менее, с точки зрения прогосударственной APT выход на "рынок" ransomware - шаг весьма неординарный. До сих пор единственная аналогия, которая приходит нам в голову - заявления некоторых инфосек экспертов о причастности Cozy Bear и Fancy Bear к созданию вымогателя Maze (весьма спорные, по нашему мнению).
#APT #Lazarus
На прошлой неделе Лаборатория Касперского выпустила отчет о выявленной кибероперации MATA, в процессе которой северокорейская APT Lazarus использовала модульную вредоносную структуру, способную заражать машины под управлением Windows, Linux и macOS, для атак на корпоративные сети Польши, Германии, Турции, Южной Кореи, Японии и Индии. Мы писали про это здесь.
Сегодня Касперские выпустили новый отчет, в котором рассказали про выявленный в этом году инцидент с заражением некой европейской компании неизвестным ранее ransomware VHD. Среди любопытных фишек VHD - "нестандартная криптография" с использованием генератора псевдослучайных чисел Вихрь Мерсенна и шифрование файлов комбинацией AES-256 в режиме ECB и RSA-2048.
Но гораздо интереснее то, что методика распространения вымогателя внутри атакованной сети сильно напоминала используемую APT, а конкретнее - применявшуюся в киберкампаниях Sony, Shamoon и OlympicDestroyer (намек в сторону Lazarus).
И вот, спустя два месяца ЛК получила данные в отношении второго инцидента, в котором атакованная сеть была скомпрометирована через уязвимый VPN-шлюз, а бэкдор, использовавшийся хакерами во время распространения вымогателя VHD, являлся частью вредоносной платформы MATA, что окончательно доказало тот факт, что оператором ransomware VHD является северокорейская группа Lazarus.
Заметим, что, скорее всего, это не первая попытка Lazarus "поиграть" в ransom, ведь авторство всем известного WannaCry также предписывается хакерам из КНДР. Да и неудивительно - северокорейцам всегда необходимо дополнительное финансирование своих киберопераций.
Тем не менее, с точки зрения прогосударственной APT выход на "рынок" ransomware - шаг весьма неординарный. До сих пор единственная аналогия, которая приходит нам в голову - заявления некоторых инфосек экспертов о причастности Cozy Bear и Fancy Bear к созданию вымогателя Maze (весьма спорные, по нашему мнению).
#APT #Lazarus
Securelist
Lazarus on the hunt for big game
By investigating a number of targeted ransomware attacks and through discussions with some of our trusted industry partners, we feel that we now have a good grasp on how the ransomware ecosystem is structured.
Forwarded from SecAtor
Расследующий деятельность APT Twitter-аккаунт blackorbird, за которым, судя по всему, стоят китайские инфосек эксперты, опубликовал пост со ссылкой на проведенное специалистами китайской инфосек компании Antiy расследование кибершпионской активности APT-C-01. Мы полезли посмотреть и немного зависли.
Дело в том, что APT-C-01 нам неизвестна. И большинству западных инфосек экспертов тоже. А вот в Китае, судя по всему, у нее богатая история. Достаточно сказать, что из шести найденных нами наименований группы - 3 на китайском, а остальные, в том числе и APT-C-01, даны китайскими инфосек компаниями. Мы же будем использовать обозначение PoisonVine.
Еще более интересным является место происхождения хакерской группы - Тайвань. А наиболее ранняя активность APT датируется 2007 годом. Видимо поэтому, а также по причине того, что работает группа преимущественно по Китаю, в западном инфосек сообществе ее не особо знают.
Завтра мы постараемся дать более подробный разбор кибершпионских операций PoisonVine, а сегодня хотелось бы сделать еще одну заметку.
В одном из китайских отчетов 2018 года мы нашли следующую фразу - "в последние несколько лет Antiy внимательно отслеживала атаки различных APT против Китая, таких как White Elephant или Equation".
Ой, вэй, подумали мы, таки в нашем кибуце будет дискотэка. Ведь раньше о деятельности Equation против Китая ничего не было известно, хотя мы и предполагали, что при запрете американцами Huawei без АНБшных хакеров не обошлось.
Понятно, что китайский инфосек - это вещь в себе, чем-то похожий на горизонт вероятности черной дыры. То есть какая-то информация, конечно, оттуда доносится, но в формате излучения Хокинга - мало и хрен чего поймешь. А тут прямое свидетельство того, что китайцы отслеживают Equation, хотя в остальном мире их потеряли.
Будем смотреть дальше, вдруг чего еще найдем.
#APT #APTC01 #PoisonVine
Дело в том, что APT-C-01 нам неизвестна. И большинству западных инфосек экспертов тоже. А вот в Китае, судя по всему, у нее богатая история. Достаточно сказать, что из шести найденных нами наименований группы - 3 на китайском, а остальные, в том числе и APT-C-01, даны китайскими инфосек компаниями. Мы же будем использовать обозначение PoisonVine.
Еще более интересным является место происхождения хакерской группы - Тайвань. А наиболее ранняя активность APT датируется 2007 годом. Видимо поэтому, а также по причине того, что работает группа преимущественно по Китаю, в западном инфосек сообществе ее не особо знают.
Завтра мы постараемся дать более подробный разбор кибершпионских операций PoisonVine, а сегодня хотелось бы сделать еще одну заметку.
В одном из китайских отчетов 2018 года мы нашли следующую фразу - "в последние несколько лет Antiy внимательно отслеживала атаки различных APT против Китая, таких как White Elephant или Equation".
Ой, вэй, подумали мы, таки в нашем кибуце будет дискотэка. Ведь раньше о деятельности Equation против Китая ничего не было известно, хотя мы и предполагали, что при запрете американцами Huawei без АНБшных хакеров не обошлось.
Понятно, что китайский инфосек - это вещь в себе, чем-то похожий на горизонт вероятности черной дыры. То есть какая-то информация, конечно, оттуда доносится, но в формате излучения Хокинга - мало и хрен чего поймешь. А тут прямое свидетельство того, что китайцы отслеживают Equation, хотя в остальном мире их потеряли.
Будем смотреть дальше, вдруг чего еще найдем.
#APT #APTC01 #PoisonVine
Twitter
blackorbird
#APT-C-01 #PoisonVine Operation Rubia-cordifolia:A Military intelligence gathering campaign. 1. Email contains a link to a phishing website for stealing the account&password 2. Use Traditional Chinese & IP from tw ref: mp.weixin.qq.com/s/uNL6YvKDxkN4… translate:…
Forwarded from SecAtor
Американское Агентство кибербезопасности (CISA) совместно с ФБР вчера выпустили отчет о новом вредоносе, используемом северокорейской APT Lazarus (американцы традиционно называют групп Hidden Cobra).
Вредонос представляет собой RAT (троян удаленного доступа), получивший название BLINDINGCAN. Он предназначен для сбора информации с зараженного хоста и ее эксфильтрации, а также обладает функционалом по очистке следов своего присутствия в атакованной системе.
Механизм распространения BLINDINGCAN - целевой фишинг, объектами атаки являлись сотрудники оборонного и аэрокосмического сектора. Северокорейские хакеры выдавали себя за рекрутеров крупных корпораций, а в ходе собеседования присылали файлы с вредоносным вложением.
Одной из используемых шаблонных фраз было предложение "работы мечты" (dream job). Поэтому инфосек вендор ClearSky назвал эту кампанию северокорейских хакеров Operation Dream Job.
А мы в который раз убеждаемся, что Lazarus - самая активная прогосударственная хакерская группа на планете.
#APT #Lazarus
Вредонос представляет собой RAT (троян удаленного доступа), получивший название BLINDINGCAN. Он предназначен для сбора информации с зараженного хоста и ее эксфильтрации, а также обладает функционалом по очистке следов своего присутствия в атакованной системе.
Механизм распространения BLINDINGCAN - целевой фишинг, объектами атаки являлись сотрудники оборонного и аэрокосмического сектора. Северокорейские хакеры выдавали себя за рекрутеров крупных корпораций, а в ходе собеседования присылали файлы с вредоносным вложением.
Одной из используемых шаблонных фраз было предложение "работы мечты" (dream job). Поэтому инфосек вендор ClearSky назвал эту кампанию северокорейских хакеров Operation Dream Job.
А мы в который раз убеждаемся, что Lazarus - самая активная прогосударственная хакерская группа на планете.
#APT #Lazarus
Forwarded from SecAtor
Мы, видимо, в последнее время так много писали про Касперских, что нас стали спрашивать - не сидим ли мы у них на зарплате. Но мы, серьезно, не виноваты, что птенцы Евгения Валентиновича Маска в последний месяц выдают на гора один интересный отчет за другим.
Кстати, когда мы подряд давали несколько постов про хорошие обзоры Trend Micro никто нас про зарплату от японцев не спрашивал. Обидно.
Мы это пишем, как подписчики наверное догадались, к очередному интересному материалу Касперских.
Исследователи обнаружили очень редкую разновидность APT, которая не является ни прогосударственной, ни коммерческой. Новой хакерской группе дали название Death Stalker. Она занимается тем, что в рамках корпоративных войн по заказу взламывает юридические и финансовые компании, чтобы получить доступ к конфиденциальной информации. Эдакие солдаты удачи сетевого мира.
Найденный Касперскими PowerShell-имплант, который Death Stalker использует в целевом фишинге и получивший название Powersing, весьма сложен и свидетельствует о высоком уровне его разработчиков. Он эффективно шифруется, проверяет наличие sandbox и виртуальных машин.
Death Stalker используют общедоступные сервисы для передачи команд своим вредоносам - ресерчеры нашли такие сообщения в Google+, Reddit, Tumblr, Twitter, YouTube и др. Причем делает это в несколько этапов. Из первого сообщения Powersing считывает ключ AES, который затем использует для расшифровки числа из другого сообщения, а уже из полученного целого числа извлекает IP-адрес управляющего центра.
Проведя поиск подобных управляющих сообщений исследователи установили, что группа работает как минимум с августа 2017 года. Также они установили возможную связь Powersing с другими вредоносами - Janicab и Evilnum, которые используют похожие механизмы получения адресов управляющих центров. Исходя из этого, ресерчеры cо "средней вероятностью" утверждают, что Janicab и Evilnum также управляются Death Stalker.
Это же подтверждают некие "дополнительные данные, предоставленные отраслевыми партнерами", но Касперские их никому не покажут. Нахрена тогда про них писать...
Активность Powersing была зафиксирована в Аргентине, Китае, Кипре, Израиле, Ливане, Швейцарии, Тайване, Турции, Великобритании и ОАЭ. И если предположения Касперских про то, что Death Stalker используют также и Janicab, верны, то это означает, что хакерская группа активно работает как минимум с 2012 года.
#APT #DeathStalker
Кстати, когда мы подряд давали несколько постов про хорошие обзоры Trend Micro никто нас про зарплату от японцев не спрашивал. Обидно.
Мы это пишем, как подписчики наверное догадались, к очередному интересному материалу Касперских.
Исследователи обнаружили очень редкую разновидность APT, которая не является ни прогосударственной, ни коммерческой. Новой хакерской группе дали название Death Stalker. Она занимается тем, что в рамках корпоративных войн по заказу взламывает юридические и финансовые компании, чтобы получить доступ к конфиденциальной информации. Эдакие солдаты удачи сетевого мира.
Найденный Касперскими PowerShell-имплант, который Death Stalker использует в целевом фишинге и получивший название Powersing, весьма сложен и свидетельствует о высоком уровне его разработчиков. Он эффективно шифруется, проверяет наличие sandbox и виртуальных машин.
Death Stalker используют общедоступные сервисы для передачи команд своим вредоносам - ресерчеры нашли такие сообщения в Google+, Reddit, Tumblr, Twitter, YouTube и др. Причем делает это в несколько этапов. Из первого сообщения Powersing считывает ключ AES, который затем использует для расшифровки числа из другого сообщения, а уже из полученного целого числа извлекает IP-адрес управляющего центра.
Проведя поиск подобных управляющих сообщений исследователи установили, что группа работает как минимум с августа 2017 года. Также они установили возможную связь Powersing с другими вредоносами - Janicab и Evilnum, которые используют похожие механизмы получения адресов управляющих центров. Исходя из этого, ресерчеры cо "средней вероятностью" утверждают, что Janicab и Evilnum также управляются Death Stalker.
Это же подтверждают некие "дополнительные данные, предоставленные отраслевыми партнерами", но Касперские их никому не покажут. Нахрена тогда про них писать...
Активность Powersing была зафиксирована в Аргентине, Китае, Кипре, Израиле, Ливане, Швейцарии, Тайване, Турции, Великобритании и ОАЭ. И если предположения Касперских про то, что Death Stalker используют также и Janicab, верны, то это означает, что хакерская группа активно работает как минимум с 2012 года.
#APT #DeathStalker
Securelist
Lifting the veil on DeathStalker, a mercenary triumvirate
DeathStalker is a group of mercenaries offering hacking-for-hire services, or acting as some sort of information broker in financial circles.
Forwarded from SecAtor
Сегодня в ночи Коммерсант выпустил материал, в котором со ссылкой на Positive Technologies сообщил о том, что китайская APT Winnti активно пытается подломать российские компании, среди которых пять разработчиков банковского ПО и одна строительная фирма.
В целом статья грамотная, за исключением некоторых комментариев экспертов о том, что ранее Winnti не работали по российским компаниям - работали и не раз. Но про то, что Winnti - одни из "королей" атак на цепочку поставок, - абсолютная правда. Достаточно только вспомнить о компрометации расходящихся многомиллиоными тиражами утилит CCleaner и ASUS Live Update, а также про внедрение бэкдора SOGU в инсталляторы игр Path of Exile, League of Legends и FIFA Online 3.
Ну и про 50 зараженных Winnti компьютеров по всему миру смешно, конечно.
По идее, после выявления подобной масштабной атаки иностранной APT на российских разработчиков банковского ПО у офиса Позитивов сейчас должны стоять с мигалками машины ЦИБ ФСБ, БСТМ МВД и ЦБ, а в сети должны расходиться пресс-релизы о подробностях атак и используемых китайцами уязвимостях (как это делают американская CISA и британский NCSC).
Но не стоят. И пресс-релизов не будет. И такое отношение государства - самое страшное в отечественной информационной безопасности. Михаил Владимирович, может не надо цифровой экономики? Эту бы прикрыть.
#APT #Winnti
В целом статья грамотная, за исключением некоторых комментариев экспертов о том, что ранее Winnti не работали по российским компаниям - работали и не раз. Но про то, что Winnti - одни из "королей" атак на цепочку поставок, - абсолютная правда. Достаточно только вспомнить о компрометации расходящихся многомиллиоными тиражами утилит CCleaner и ASUS Live Update, а также про внедрение бэкдора SOGU в инсталляторы игр Path of Exile, League of Legends и FIFA Online 3.
Ну и про 50 зараженных Winnti компьютеров по всему миру смешно, конечно.
По идее, после выявления подобной масштабной атаки иностранной APT на российских разработчиков банковского ПО у офиса Позитивов сейчас должны стоять с мигалками машины ЦИБ ФСБ, БСТМ МВД и ЦБ, а в сети должны расходиться пресс-релизы о подробностях атак и используемых китайцами уязвимостях (как это делают американская CISA и британский NCSC).
Но не стоят. И пресс-релизов не будет. И такое отношение государства - самое страшное в отечественной информационной безопасности. Михаил Владимирович, может не надо цифровой экономики? Эту бы прикрыть.
#APT #Winnti
Коммерсантъ
Китайские хакеры вложились в разработку
Группировка Winnti атакует создателей софта для банков
Forwarded from SecAtor
Когда-то давным-давно, несколько месяцев назад, мы написали серию постов про ведущую северокорейскую APT Lazarus и обещали продолжить ее материалами про другую хакерскую группу, работающую на спецслужбы КНДР и носящую название Kimsuky. Однако, тогда не срослось.
И вот теперь мы решили выполнить обещание и дать краткий обзор активности этой APT в несколько постов.
Напомним как связаны Lazarus и Kimsuky. Эти хакерские группы работают на разные департаменты Главного разведывательного бюро (RGB) Генштаба Народной армии Северной Кореи. Lazarus работает на 3-й Департамент RGB aka Bureau 121, который специализируется на технической разведке, а Kimsuky функционирует под контролем 5-го Департамента RGB aka Bureau 35, занимающегося разведкой зарубежной.
И хотя по масштабу своей деятельности Kimsuky (она же Velvet Chollima, она же Thallium, она же Black Banshee) не сравнится со своими коллегами из технической разведки, тем не менее в ее багаже есть немало интересных киберопераций.
Впервые северокорейская APT была обнаружена в 2013 году, как ни странно, Касперскими. Однажды в сети южнокорейского think-tank исследователи нашли шпионский вредонос, в коде которого содержались корейские иероглифы и который для связи использовал публичный болгарский почтовый сервер. Среди целей malware значились ведущие южнокорейские исследовательские центры, связанные с национальной безопасностью и оборонкой, а также Министерство объединения Южной Кореи, разрабатывающее политику в отношение КНДР.
Предполагаемым способом заражения был целевой фишинг. По своему функционалу вредонос представлял собой полноценный шпионский RAT (троян удаленного доступа), способный собирать различную информацию с зараженной машины, а также обеспечивать удаленное управление. Связь и эксфильтрация украденной информации осуществлялась посредством обмена электронной почтой между ящиками на болгарском сервере mail.bg.
Кстати, при изучения функционала вредоноса по обходу анивирусных решений Касперские нашли любопытную вещь — RAT сосредотачивался на обходе антивирусного ПО исключительно производства южнокорейской компании AhnLab. Все дело в том, что регуляторные органы Южной Кореи занимали достаточно жесткую позицию в части максимального сокращения использования внутри страны антивирусов иностранного производства. Зная это, авторы найденного вредоноса даже не пытались обходить другие средства защиты кроме AhnLab.
Ряд признаков, такие как выбор целей, использование корейского языка, IP-адреса, принадлежащие работающему с КНДР китайскому провайдеру, позволяли с большой долей уверенности утверждать, что хакерская группа, стоящая за распространением вредоноса, который Касперские назвали Kimsuky, базируется в Северной Корее. Впоследствии, как это часто бывает, по названию malware стали именовать и саму группу — Kimsuky.
Почему Kimsuky? Один из используемых хакерами почтовых ящиков был зарегистрирован на имя kimsukyang. Поэтому исследователи и присвоили RAT такое название.
#APT #Kimsuky
И вот теперь мы решили выполнить обещание и дать краткий обзор активности этой APT в несколько постов.
Напомним как связаны Lazarus и Kimsuky. Эти хакерские группы работают на разные департаменты Главного разведывательного бюро (RGB) Генштаба Народной армии Северной Кореи. Lazarus работает на 3-й Департамент RGB aka Bureau 121, который специализируется на технической разведке, а Kimsuky функционирует под контролем 5-го Департамента RGB aka Bureau 35, занимающегося разведкой зарубежной.
И хотя по масштабу своей деятельности Kimsuky (она же Velvet Chollima, она же Thallium, она же Black Banshee) не сравнится со своими коллегами из технической разведки, тем не менее в ее багаже есть немало интересных киберопераций.
Впервые северокорейская APT была обнаружена в 2013 году, как ни странно, Касперскими. Однажды в сети южнокорейского think-tank исследователи нашли шпионский вредонос, в коде которого содержались корейские иероглифы и который для связи использовал публичный болгарский почтовый сервер. Среди целей malware значились ведущие южнокорейские исследовательские центры, связанные с национальной безопасностью и оборонкой, а также Министерство объединения Южной Кореи, разрабатывающее политику в отношение КНДР.
Предполагаемым способом заражения был целевой фишинг. По своему функционалу вредонос представлял собой полноценный шпионский RAT (троян удаленного доступа), способный собирать различную информацию с зараженной машины, а также обеспечивать удаленное управление. Связь и эксфильтрация украденной информации осуществлялась посредством обмена электронной почтой между ящиками на болгарском сервере mail.bg.
Кстати, при изучения функционала вредоноса по обходу анивирусных решений Касперские нашли любопытную вещь — RAT сосредотачивался на обходе антивирусного ПО исключительно производства южнокорейской компании AhnLab. Все дело в том, что регуляторные органы Южной Кореи занимали достаточно жесткую позицию в части максимального сокращения использования внутри страны антивирусов иностранного производства. Зная это, авторы найденного вредоноса даже не пытались обходить другие средства защиты кроме AhnLab.
Ряд признаков, такие как выбор целей, использование корейского языка, IP-адреса, принадлежащие работающему с КНДР китайскому провайдеру, позволяли с большой долей уверенности утверждать, что хакерская группа, стоящая за распространением вредоноса, который Касперские назвали Kimsuky, базируется в Северной Корее. Впоследствии, как это часто бывает, по названию malware стали именовать и саму группу — Kimsuky.
Почему Kimsuky? Один из используемых хакерами почтовых ящиков был зарегистрирован на имя kimsukyang. Поэтому исследователи и присвоили RAT такое название.
#APT #Kimsuky
Forwarded from SecAtor
В следующий раз Kimsuky выступили в конце 2014 года и шоу получилось громким. Они взломали сеть южнокорейской компании Korea Hydro and Nuclear Power (KHNP), являющейся оператором 23 ядерных реакторов в Южной Корее. И хотя власти сразу же заявили, что пострадали только «некритические» сегменты сети, вскоре стало ясно, что хакеры ухитрились украсть массу конфиденциальной информации, хотя и не смогли добраться до технологических сетей.
Kimsuky стали разыгрывать ту же сценку, которую ранее в 2014 году показали Lazarus при взломе Sony Pictures Entertainment, - изображать из себя долбанутых борцов за что-то там, которые осуществили взлом из идеологических соображений. Lazarus представлялись хакерской группой Guardians of Peace, а Kimsuky завели от имени «борцов с ядерной энергетикой с Гавайских островов» Twitter-аккаунт «Who am I = No Nuclear Power», в котором начали сливать украденные у KHNP сведения.
Для начала хакеры опубликовали персональные данные сотрудников компании и несколько конфиденциальных документов, среди которых были руководство по управлению ядерными реакторами Wolsong и чертежи трубопровода реактора Wolsong №1. После этого «борцы с ядерной энергетикой» потребовали закрыть к католическому Рождеству три ядерных реактора, иначе они продолжат публикацию украденных данных. Естественно, что реакторы никто закрывать не стал.
В марте северокорейские разведчики продолжили веселиться в стиле офицера-контрразведчика из фильма ДМБ - «денег предлагал, но не дал». Они опубликовали в том же Twitter требование денежной выплаты за приостановку дальнейшей публикации информации KHNP, но ни способа передачи денег, ни даже требуемую сумму не указали. В конце концов Kimsuky слили в Twitter чертежи южнокорейского атомного реактора 1400.
Доподлинно неизвестно, было ли все это запланировано с самого начала или северокорейцы импровизировали по ходу дела, после того как не сумели пробиться к технологичесим сетям KHNP. Но звон по Южной Корее пошел что надо.
После этого Kimsuky ушли в тину на долгих четыре года. По крайней мере, никто не смог с достаточной степенью достоверности идентифицировать их активность. А в 2018 году они вернулись с операциями BabyCoin и MysteryBaby, в ходе которых пытались внедрить инфостилеры на компьюетры южнокорейских пользователей. Однако, мы не будем на них останавливаться, там нет ничего особенного.
Между этими операциями северокорейские хакеры ухитрились очень неловко напасть на академические учреждения США, эта кибероперация получила название Stolen Pencil. Неловкость заключалась в низком техническом уровне атаки, в ходе которой, к примеру, для осуществления удаленного доступа хакеры использовали Microsoft RDP (удаленный рабочий стол), а не какой-нибудь RAT. В одном случае корейский оператор, видимо с устали, забыл переключить назад корейскую раскладку клавиатуры. Вместе с тем, возможно, что за такой стояла не Kimsuky, а другая, менее скилованная, хакерская группа.
С конца 2018 по весну 2019 года Kimsuky атаковали американские исследовательские институты, специализирующиеся на вопросах денуклеаризации. В ходе атаки они использовали оригинальный вредонос BabyShark, который распространялся посредством фишингового письма от имени реально существующего в США специалиста по ядерным технологиям. Спустя пару месяцев атака распространилась на компании, связанные с криптовалютами. Подобное поведение по смешиванию кибершпионажа и коммерческого взлома вообще свойственно северокорейским APT, которые периодически испытывают затруднения с финансированием. Достаточно вспомнить Lazarus с их попыткой украсть миллиард долларов.
Продолжение следует.
#APT #Kimsuky
Kimsuky стали разыгрывать ту же сценку, которую ранее в 2014 году показали Lazarus при взломе Sony Pictures Entertainment, - изображать из себя долбанутых борцов за что-то там, которые осуществили взлом из идеологических соображений. Lazarus представлялись хакерской группой Guardians of Peace, а Kimsuky завели от имени «борцов с ядерной энергетикой с Гавайских островов» Twitter-аккаунт «Who am I = No Nuclear Power», в котором начали сливать украденные у KHNP сведения.
Для начала хакеры опубликовали персональные данные сотрудников компании и несколько конфиденциальных документов, среди которых были руководство по управлению ядерными реакторами Wolsong и чертежи трубопровода реактора Wolsong №1. После этого «борцы с ядерной энергетикой» потребовали закрыть к католическому Рождеству три ядерных реактора, иначе они продолжат публикацию украденных данных. Естественно, что реакторы никто закрывать не стал.
В марте северокорейские разведчики продолжили веселиться в стиле офицера-контрразведчика из фильма ДМБ - «денег предлагал, но не дал». Они опубликовали в том же Twitter требование денежной выплаты за приостановку дальнейшей публикации информации KHNP, но ни способа передачи денег, ни даже требуемую сумму не указали. В конце концов Kimsuky слили в Twitter чертежи южнокорейского атомного реактора 1400.
Доподлинно неизвестно, было ли все это запланировано с самого начала или северокорейцы импровизировали по ходу дела, после того как не сумели пробиться к технологичесим сетям KHNP. Но звон по Южной Корее пошел что надо.
После этого Kimsuky ушли в тину на долгих четыре года. По крайней мере, никто не смог с достаточной степенью достоверности идентифицировать их активность. А в 2018 году они вернулись с операциями BabyCoin и MysteryBaby, в ходе которых пытались внедрить инфостилеры на компьюетры южнокорейских пользователей. Однако, мы не будем на них останавливаться, там нет ничего особенного.
Между этими операциями северокорейские хакеры ухитрились очень неловко напасть на академические учреждения США, эта кибероперация получила название Stolen Pencil. Неловкость заключалась в низком техническом уровне атаки, в ходе которой, к примеру, для осуществления удаленного доступа хакеры использовали Microsoft RDP (удаленный рабочий стол), а не какой-нибудь RAT. В одном случае корейский оператор, видимо с устали, забыл переключить назад корейскую раскладку клавиатуры. Вместе с тем, возможно, что за такой стояла не Kimsuky, а другая, менее скилованная, хакерская группа.
С конца 2018 по весну 2019 года Kimsuky атаковали американские исследовательские институты, специализирующиеся на вопросах денуклеаризации. В ходе атаки они использовали оригинальный вредонос BabyShark, который распространялся посредством фишингового письма от имени реально существующего в США специалиста по ядерным технологиям. Спустя пару месяцев атака распространилась на компании, связанные с криптовалютами. Подобное поведение по смешиванию кибершпионажа и коммерческого взлома вообще свойственно северокорейским APT, которые периодически испытывают затруднения с финансированием. Достаточно вспомнить Lazarus с их попыткой украсть миллиард долларов.
Продолжение следует.
#APT #Kimsuky
Forwarded from SecAtor
Исследователи из индийской инфосек компании Quick Heal опубликовали материал в отношении кибероперации SideCopy, проводимой с начала 2019 года в отношении индийских вооенных учреждений.
Индийцы выявили три вектора атаки, во всех в качестве первичного заражения использовался целевой фишинг. В качестве приманки использовался документ, посвященный политике оборонного производства Индии.
В принципе, ничего выдающегося в SideCopy нет - стандартные приемы APT, кроме одной особенности. Согласно утверждениям индийцев, хакерская группа, стоящая за операцией, частично копирует TTPs индийской же APT SideWinder. В то же время, управляющая инфраструктура и набор инструментов (в том числе описанный ранее Касперскими Crimson RAT) указывают на пакистанскую APT Transparent Tribe. Мы рассказывали про проделки пакистанских хакеров здесь.
По всей видимости, пакистанцы решили потроллить своих индийских визави.
#APT #TransparentTribe
Индийцы выявили три вектора атаки, во всех в качестве первичного заражения использовался целевой фишинг. В качестве приманки использовался документ, посвященный политике оборонного производства Индии.
В принципе, ничего выдающегося в SideCopy нет - стандартные приемы APT, кроме одной особенности. Согласно утверждениям индийцев, хакерская группа, стоящая за операцией, частично копирует TTPs индийской же APT SideWinder. В то же время, управляющая инфраструктура и набор инструментов (в том числе описанный ранее Касперскими Crimson RAT) указывают на пакистанскую APT Transparent Tribe. Мы рассказывали про проделки пакистанских хакеров здесь.
По всей видимости, пакистанцы решили потроллить своих индийских визави.
#APT #TransparentTribe
Blogs on Information Technology, Network & Cybersecurity | Seqrite
Operation SideCopy!
<p>An insight into Transparent Tribe’s sub-division which has been incorrectly attributed for years. Introduction Quick Heal’s threat intelligence team recently uncovered evidence of an advanced persistent threat (APT) against Indian defence forces. Our analysis…
Forwarded from SecAtor
Malwarebytes представили материал о выявленной 17 сентября атаке Kraken, в ходе которой полезная нагрузка помещается внутрь службы Windows Error Reporting (WER).
В качестве первичного проникновения хакеры использовали фишинговые письма с информацией о правах работников на компенсацию (хороший ход). Полезная нагрузка в виде библиотеки kraken.dll загружается с предварительно скомпрометированного сайта и внедряет вредоносный шелл-код в исполняемый файл WerFault.exe.
Далее вредонос осуществляет несколько проверок - например, пытается выяснить находится ли он в песочнице или виртуальной машине. Если проверки прошли нормально, то расшифровывает окончательный шелл-код и помещает его в выделенную область памяти.
Этот шелл-код, в свою очередь, создает еще одну выделенную область памяти и загружает в нее вредоносные модули с предварительно определенного домена. Что это за модули ресерчеры не выяснили, поскольку на момент исследования домен был недоступен.
Таким образом, Kraken является безфайловой атакой, которая очень похожа на активность прогосударственной APT.
Malwarebytes не смогли с достаточной степенью достоверности установить кто из APT является автором Kraken, но некоторые TTPs позволяют предположить, что это были хакеры из вьетнамской Ocean Lotus aka APT 32.
Про вьетнамцев мы писали здесь - это весьма профессиональные хакеры, заточенные на кибершпионаж в отношении как государственных структур (например, МЧС Китая), так и крупных коммерческие компании (вьетнамцы ломали Toyota и Lexus, BMW, Hyundai).
#APT #OceanLotus
В качестве первичного проникновения хакеры использовали фишинговые письма с информацией о правах работников на компенсацию (хороший ход). Полезная нагрузка в виде библиотеки kraken.dll загружается с предварительно скомпрометированного сайта и внедряет вредоносный шелл-код в исполняемый файл WerFault.exe.
Далее вредонос осуществляет несколько проверок - например, пытается выяснить находится ли он в песочнице или виртуальной машине. Если проверки прошли нормально, то расшифровывает окончательный шелл-код и помещает его в выделенную область памяти.
Этот шелл-код, в свою очередь, создает еще одну выделенную область памяти и загружает в нее вредоносные модули с предварительно определенного домена. Что это за модули ресерчеры не выяснили, поскольку на момент исследования домен был недоступен.
Таким образом, Kraken является безфайловой атакой, которая очень похожа на активность прогосударственной APT.
Malwarebytes не смогли с достаточной степенью достоверности установить кто из APT является автором Kraken, но некоторые TTPs позволяют предположить, что это были хакеры из вьетнамской Ocean Lotus aka APT 32.
Про вьетнамцев мы писали здесь - это весьма профессиональные хакеры, заточенные на кибершпионаж в отношении как государственных структур (например, МЧС Китая), так и крупных коммерческие компании (вьетнамцы ломали Toyota и Lexus, BMW, Hyundai).
#APT #OceanLotus
Malwarebytes
Release the Kraken: Fileless injection into Windows Error Reporting service | Malwarebytes Labs
We discovered a new attack that injected its payload—dubbed "Kraken—into the Windows Error Reporting (WER) service as a defense evasion mechanism.
Forwarded from SecAtor
Инфосек компания Malwarebytes сообщила, что иранская APT Silent Librarian aka Cobalt Dickens в связи с началом учебного года в университетах всего мира организовала очередную фишинговую кампанию, направленную на их сотрудников и студентов.
Цель фишинга - сбор учетных данных, чтобы в дальнейшем получить доступ к внутренним ресурсам и, в конечном счете, украсть интеллектуальную собственность. Старая добрая промышленная разведка.
Всего Malwarebytes вскрыли атаки на несколько десятков университетов из разных стран мира - США, Великобритании, Нидерландов, Австралии, Сингапура и др. Фишинговые сайты, выдаваемые хакерами за легальные точки входа, скрыты за Cloudflare, но исследователям удалось идентифицировать часть вредоносной инфраструктуры, которая оказалась размещена в Иране.
Silent Librarian - это иранская APT, работающая, как считается, на КСИР. Прикрытием группы является вполне легальная компания под названием Mabna Institute. Предположительно хакерская группа активна с 2013 года. Специализация - фишинговые атаки на учебные заведения по всему миру с целью кражи и, в некоторых случаях, последующей перепродажи интеллектуальной собственности.
В марте 2018 года американские власти предъявили обвинения 9 иранским гражданам, имеющим отношение к Mabna Institute, которые, по мнению Департамента юстиции США, были причастны к хакерской деятельности Silent Librarian. Иранцев обвиняли во взломе 320 университетов и 47 коммерческих компаний по всему миру в период с 2013 по 2018 годы. Тем не менее, понятно, что иранцев никто в Иране арестовывать не стал и Silent Librarian свою хакерскую деятельность не прекратили.
Так, уже после предъявления обвинения APT была замечена как минимум в двух фишинговых кампаниях, направленных на университеты, в августе 2018 и июле 2019 годов.
#APT #SilentLibrarian
Цель фишинга - сбор учетных данных, чтобы в дальнейшем получить доступ к внутренним ресурсам и, в конечном счете, украсть интеллектуальную собственность. Старая добрая промышленная разведка.
Всего Malwarebytes вскрыли атаки на несколько десятков университетов из разных стран мира - США, Великобритании, Нидерландов, Австралии, Сингапура и др. Фишинговые сайты, выдаваемые хакерами за легальные точки входа, скрыты за Cloudflare, но исследователям удалось идентифицировать часть вредоносной инфраструктуры, которая оказалась размещена в Иране.
Silent Librarian - это иранская APT, работающая, как считается, на КСИР. Прикрытием группы является вполне легальная компания под названием Mabna Institute. Предположительно хакерская группа активна с 2013 года. Специализация - фишинговые атаки на учебные заведения по всему миру с целью кражи и, в некоторых случаях, последующей перепродажи интеллектуальной собственности.
В марте 2018 года американские власти предъявили обвинения 9 иранским гражданам, имеющим отношение к Mabna Institute, которые, по мнению Департамента юстиции США, были причастны к хакерской деятельности Silent Librarian. Иранцев обвиняли во взломе 320 университетов и 47 коммерческих компаний по всему миру в период с 2013 по 2018 годы. Тем не менее, понятно, что иранцев никто в Иране арестовывать не стал и Silent Librarian свою хакерскую деятельность не прекратили.
Так, уже после предъявления обвинения APT была замечена как минимум в двух фишинговых кампаниях, направленных на университеты, в августе 2018 и июле 2019 годов.
#APT #SilentLibrarian
Malwarebytes
Silent Librarian APT right on schedule for 20/21 academic year | Malwarebytes Labs
As expected, this Iranian APT set up a new campaign to target universities around the world when schools and universities went back.
Forwarded from SecAtor
Северокорейские хакеры из APT Lazarus использовали в своей новой вредоносной кампании, направленной на пользователей из Южной Кореи, интересный метод заражения, пишут в свежем отчете исследователи из словацкого инфосек вендора ESET.
Cловаки называют новую операцию Lazarus "атакой на цепочку поставок", но мы бы сказали, что это гибрид "атаки на цепочку поставок" и "атаки на водопой".
В этот раз хакеры из КНДР воспользовались недостатком в южнокорейском программном обеспечении WIZVERA VeraPort, которое используется для управления установкой дополнительных программ безопасности. К примеру, при посещении банковского сайта пользователя просят установить ПО для проверки личности или специализированный модуль для браузера. Все это в автоматическом режиме обеспечивает WIZVERA VeraPort.
Для получения данных о ПО, которое необходимо загрузить с конкретного ресурса, VeraPort берет с целевого сайта файл конфигурации, подписанный цифровой подписью. Там используется RSA и взламывать ее весьма трудоемко, поэтому Lazarus придумали другой трюк.
Они скомпрометировали несколько сайтов, поддерживающих VeraPort, и заменили легальное ПО, которое должно было загрузиться на компьютер пользователя, вредоносным доппельганером. Недостаток VeraPort проявился в том, что программа проверяет только подлинность цифровой подписи загружаемых двоичных файлов, но не проверяет принадлежит ли эта подпись сайту, с которого идет загрузка, если не включена опция проверки хэша загружаемого файла.
Северокорейцы, скомпрометировав две подобные цифровые подписи, которые принадлежат южнокорейским филиалам двух американских компаний по безопасности, пописали ими свои вредоносы и разметили на взломанных сайтах. Таким образом пользователи при обращении к этим сайтам автоматически загружали себе полный комплект радости, включая полноценный троян удаленного доступа (RAT).
В этот раз ESET провели хорошую работу по атрибуции и принадлежность атаки именно APT Lazarus подтверждена большим количеством TTPs, как то - совпадения в коде, вредоносной инфраструктуре, методах шифрования и пр.
Эта атака лишний раз подтверждает нашу правоту относительно того, что каждый новый процесс автоматизации чего-либо потенциально приносит новые уязвимости. Поэтому иногда безопаснее что-то сделать руками, а не полагаться на ПО.
#APT #Lazarus
Cловаки называют новую операцию Lazarus "атакой на цепочку поставок", но мы бы сказали, что это гибрид "атаки на цепочку поставок" и "атаки на водопой".
В этот раз хакеры из КНДР воспользовались недостатком в южнокорейском программном обеспечении WIZVERA VeraPort, которое используется для управления установкой дополнительных программ безопасности. К примеру, при посещении банковского сайта пользователя просят установить ПО для проверки личности или специализированный модуль для браузера. Все это в автоматическом режиме обеспечивает WIZVERA VeraPort.
Для получения данных о ПО, которое необходимо загрузить с конкретного ресурса, VeraPort берет с целевого сайта файл конфигурации, подписанный цифровой подписью. Там используется RSA и взламывать ее весьма трудоемко, поэтому Lazarus придумали другой трюк.
Они скомпрометировали несколько сайтов, поддерживающих VeraPort, и заменили легальное ПО, которое должно было загрузиться на компьютер пользователя, вредоносным доппельганером. Недостаток VeraPort проявился в том, что программа проверяет только подлинность цифровой подписи загружаемых двоичных файлов, но не проверяет принадлежит ли эта подпись сайту, с которого идет загрузка, если не включена опция проверки хэша загружаемого файла.
Северокорейцы, скомпрометировав две подобные цифровые подписи, которые принадлежат южнокорейским филиалам двух американских компаний по безопасности, пописали ими свои вредоносы и разметили на взломанных сайтах. Таким образом пользователи при обращении к этим сайтам автоматически загружали себе полный комплект радости, включая полноценный троян удаленного доступа (RAT).
В этот раз ESET провели хорошую работу по атрибуции и принадлежность атаки именно APT Lazarus подтверждена большим количеством TTPs, как то - совпадения в коде, вредоносной инфраструктуре, методах шифрования и пр.
Эта атака лишний раз подтверждает нашу правоту относительно того, что каждый новый процесс автоматизации чего-либо потенциально приносит новые уязвимости. Поэтому иногда безопаснее что-то сделать руками, а не полагаться на ПО.
#APT #Lazarus
WeLiveSecurity
Lazarus supply‑chain attack in South Korea
ESET research uncovers attempts to deploy Lazarus malware via a supply-chain attack that abuses genuine security software and stolen digital certificates.
Forwarded from SecAtor
Checkpoint рассказывают о новом пришествии трояна Bandook, которое в очередной раз подтверждает, что вредонос является частью инфраструктуры наемного актора, осуществляющего кибернаступательные операции по контракту в интересах разных спецслужб.
Выявленная кампания относится в периоду 2019-2020 годов и направлена на компании из различных отраслей, а также государственные структуры, Сингапура, Кипра, Чили, Италии, США, Швейцарии, Индонезии и Германии.
Непосредственно атака начинается с фишингового документа, содержащего вредоносный макрос, который подгружает загрузчик PowerShell. Загрузчик, в свою очередь, доставляет сам RAT Bandook. Это полноценный кибершпионский троян, содержащий все необходимые функции кибершпионажа - сбор системной информации, работу с файлами, возможность снимать скриншоты и пр.
Ранее Bandook был замечен в 2018 году в кампании Operation Manul, которая, по мнению Electronic Frontier Foundation (EFF), была направлена на казахских оппозиционеров и проводилась в интересах спецслужб Казахстана.
В 2019 году с помощью Bandook была проведена операция Dark Caracal, в рамках которой были эксфильтрированы сотни гигабайт информации, принадлежащей сотням жертв из 21 страны в Северной Америке, Европе и Азии. Тогда, согласно совместному расследованию Lookout и EFF, конечным бенефициаром киберкампании было Главное управление общей безопасности (GDGS) Ливана.
Исполнителем же всех этих кибератак считается некая третья сторона, работающая по контракту на различные правительства и спецслужбы. И хотя достоверно неизвестно кто это, в своем отчете 2018 года EFF предполагали возможную связь Bandook с двумя разведывательными компаниями - индийской Apin Security Group и швейцарской Arcanum Global Intelligence.
#APT #DarkCaracal
Выявленная кампания относится в периоду 2019-2020 годов и направлена на компании из различных отраслей, а также государственные структуры, Сингапура, Кипра, Чили, Италии, США, Швейцарии, Индонезии и Германии.
Непосредственно атака начинается с фишингового документа, содержащего вредоносный макрос, который подгружает загрузчик PowerShell. Загрузчик, в свою очередь, доставляет сам RAT Bandook. Это полноценный кибершпионский троян, содержащий все необходимые функции кибершпионажа - сбор системной информации, работу с файлами, возможность снимать скриншоты и пр.
Ранее Bandook был замечен в 2018 году в кампании Operation Manul, которая, по мнению Electronic Frontier Foundation (EFF), была направлена на казахских оппозиционеров и проводилась в интересах спецслужб Казахстана.
В 2019 году с помощью Bandook была проведена операция Dark Caracal, в рамках которой были эксфильтрированы сотни гигабайт информации, принадлежащей сотням жертв из 21 страны в Северной Америке, Европе и Азии. Тогда, согласно совместному расследованию Lookout и EFF, конечным бенефициаром киберкампании было Главное управление общей безопасности (GDGS) Ливана.
Исполнителем же всех этих кибератак считается некая третья сторона, работающая по контракту на различные правительства и спецслужбы. И хотя достоверно неизвестно кто это, в своем отчете 2018 года EFF предполагали возможную связь Bandook с двумя разведывательными компаниями - индийской Apin Security Group и швейцарской Arcanum Global Intelligence.
#APT #DarkCaracal
Check Point Research
Bandook: Signed & Delivered - Check Point Research
Introduction Check Point Research recently observed a new wave of campaigns against various targets worldwide that utilizes a strain of a 13-year old backdoor Trojan named Bandook. Bandook, which had almost disappeared from the threat landscape, was featured…
Forwarded from SecAtor
Исследователи из Trend Micro описывают новый вид бэкдора для MacOS, авторство которого приписывается вьетнамской APT OceanLotus.
Мы ранее делали обзор на эту прогосударственную хакерскую группу здесь.
Первичная компрометация происходит посредством Zip-архива, замаскированного под документ Word, который называется "ALL tim nha Chi Ngoc Canada", что с вьетнамского примерно означает "Все ищут дом миссис Нгок в Канаде". Не понятно, что это означает, но почему-то такой документ используется в качестве приманки. Может это какая-то местная фишка?
Для обхода обнаружения антивирусными решениям в название архива добавлены несколько специализированных символов. После активации первичного вредоноса извлекается полезная нагрузка, которая уже извлекает непосредственно сам бэкдор. Он обладает некоторыми функциями RAT - собирает информацию о системе, поддерживает связь с управляющим центром, а также может работать с файловой системой и подгружать дополнительные функциональные модули.
Принадлежность выявленного вредоноса OceanLotus подтверждается сходством в коде с более ранними бэкдорам вьетнамцев.
Японские исследователи предполагают, что эта фишинговая кампания расчитана на иностранные компании, работающие во Вьетнаме, с целью дать конкурентное преимущество вьетнамским фирмам. Но они забывают, что ранее Ocean Lotus были замечены в работе по представителям вьетнамских диссидентских кругов за рубежом, так что вполне возможно, что новый бэкдор предназначен именно для них.
#APT #OceanLotus
Мы ранее делали обзор на эту прогосударственную хакерскую группу здесь.
Первичная компрометация происходит посредством Zip-архива, замаскированного под документ Word, который называется "ALL tim nha Chi Ngoc Canada", что с вьетнамского примерно означает "Все ищут дом миссис Нгок в Канаде". Не понятно, что это означает, но почему-то такой документ используется в качестве приманки. Может это какая-то местная фишка?
Для обхода обнаружения антивирусными решениям в название архива добавлены несколько специализированных символов. После активации первичного вредоноса извлекается полезная нагрузка, которая уже извлекает непосредственно сам бэкдор. Он обладает некоторыми функциями RAT - собирает информацию о системе, поддерживает связь с управляющим центром, а также может работать с файловой системой и подгружать дополнительные функциональные модули.
Принадлежность выявленного вредоноса OceanLotus подтверждается сходством в коде с более ранними бэкдорам вьетнамцев.
Японские исследователи предполагают, что эта фишинговая кампания расчитана на иностранные компании, работающие во Вьетнаме, с целью дать конкурентное преимущество вьетнамским фирмам. Но они забывают, что ранее Ocean Lotus были замечены в работе по представителям вьетнамских диссидентских кругов за рубежом, так что вполне возможно, что новый бэкдор предназначен именно для них.
#APT #OceanLotus
Trend Micro
New MacOS Backdoor Connected to OceanLotus Surfaces
We recently discovered a new backdoor we believe to be related to the OceanLotus group. Some of the updates of this new variant include new behavior and domain names.
Forwarded from SecAtor
ZDNet сообщает, что Facebook раскрыла компанию, стоящую за одной из активных прогосударственных APT Ocean Lotus aka APT 32, работающей на правительство Вьетнама. Мы неоднократно писали про эту группу, а краткий обзор на нее давали здесь.
По словам руководителя подразделения политики безопасности Facebook Натаниэля Глейхера и менеджера по анализу киберугроз Майка Двилянски, за хакерской группой стоит IT-компания CyberOne Group из вьетнамского города Хо Ши Мин.
Исследователи Facebook провели анализ активности Ocean Lotus в социальной сети, в ходе которой вьетнамские хакеры использовали фейковые аккаунты для фишинговых рассылок. В ходе него было установлено, что APT была нацелена на вьетнамских диссидентов, иностранные правительства, в том числе Лаоса и Камбоджи, НКО, информационные агентства, а также коммерческие компании из различных отраслей.
Это, пожалуй, первый случай, когда Facebook проводят подобную атрибуцию. Фактуры пока нет, поэтому судить о достоверности заявления не будем.
#APT #OceanLotus
По словам руководителя подразделения политики безопасности Facebook Натаниэля Глейхера и менеджера по анализу киберугроз Майка Двилянски, за хакерской группой стоит IT-компания CyberOne Group из вьетнамского города Хо Ши Мин.
Исследователи Facebook провели анализ активности Ocean Lotus в социальной сети, в ходе которой вьетнамские хакеры использовали фейковые аккаунты для фишинговых рассылок. В ходе него было установлено, что APT была нацелена на вьетнамских диссидентов, иностранные правительства, в том числе Лаоса и Камбоджи, НКО, информационные агентства, а также коммерческие компании из различных отраслей.
Это, пожалуй, первый случай, когда Facebook проводят подобную атрибуцию. Фактуры пока нет, поэтому судить о достоверности заявления не будем.
#APT #OceanLotus
ZDNET
Facebook links APT32, Vietnam's primary hacking group, to local IT firm
Facebook suspends accounts linked to APT32, says the group used its platform to spread malware.
Forwarded from SecAtor
Японская компания Kawasaki Heavy Industries сообщила об инциденте безопасности, который предположительно мог привести к утечке конфиденциальных данных.
Еще 11 июня в ходе внутреннего аудита выяснилось, что неустановленные хакеры скомпрометировали сеть офиса компании в Тайланде и получили доступ к одному их внутренних серверов в Японии. В ходе дальнейшего расследования в течение месяца была обнаружена компрометация сетей еще трех зарубежных офисов Kawasaki - на Филлипинах, в Индонезии и США. В целях недопущения взлома своей основной сети в Японии компания была вынуждена отключить доступ из всех зарубежных офисов, а вновь восстановлен он был лишь 30 ноября.
Мы знаем Kawasaki преимущественно по мотоциклам, между тем это один из крупнейших в мире промышленных концернов, который занимается созданием промышленных роботов, поездов, самолетов и вертолетов и пр. А еще космических аппаратов и некой боевой экипировки.
Можно с большой долей уверенности сказать, что Kawasaki работает в области японской оборонки. А значит мы примерно знаем что за APT могла стоять за атакой на компанию.
Есть такая китайская группа, которая называется Stalker Panda, она же RedBaldNight и Bronze Butler. Предполагается, что за ней стоит Оборонный научно-технический университет НОАК. Эти товарищи планомерно кошмарят японских промышленных дзайбацу с целью кражи конфиденциальной информации. К примеру летом 2019 года они взломали Mitsubishi Electric. Вероятно и взлом Kawasaki их рук дело.
#APT
Еще 11 июня в ходе внутреннего аудита выяснилось, что неустановленные хакеры скомпрометировали сеть офиса компании в Тайланде и получили доступ к одному их внутренних серверов в Японии. В ходе дальнейшего расследования в течение месяца была обнаружена компрометация сетей еще трех зарубежных офисов Kawasaki - на Филлипинах, в Индонезии и США. В целях недопущения взлома своей основной сети в Японии компания была вынуждена отключить доступ из всех зарубежных офисов, а вновь восстановлен он был лишь 30 ноября.
Мы знаем Kawasaki преимущественно по мотоциклам, между тем это один из крупнейших в мире промышленных концернов, который занимается созданием промышленных роботов, поездов, самолетов и вертолетов и пр. А еще космических аппаратов и некой боевой экипировки.
Можно с большой долей уверенности сказать, что Kawasaki работает в области японской оборонки. А значит мы примерно знаем что за APT могла стоять за атакой на компанию.
Есть такая китайская группа, которая называется Stalker Panda, она же RedBaldNight и Bronze Butler. Предполагается, что за ней стоит Оборонный научно-технический университет НОАК. Эти товарищи планомерно кошмарят японских промышленных дзайбацу с целью кражи конфиденциальной информации. К примеру летом 2019 года они взломали Mitsubishi Electric. Вероятно и взлом Kawasaki их рук дело.
#APT
Forwarded from SecAtor
Positive Technologies выпустили отчет, в котором описали произошедшие в мае и июне 2020 года атаки за авторством китайской APT Winnti, одна из которых была направлена на российского разработчика игр Battlestate Game.
Атаки проводились путем рассылки фишинговых приманок, для Battlestate Game это были резюме соискателя на должность разработчика игр или менеджера баз данных. Кроме того, в одной из атак приманки имели русские названия, хотя и написанные коряво - "Электронный читатель резюме", например.
Согласно полученным TTPs, китайцы пытались использовать ложные флаги, маскируясь под северокорейскую APT Higaisa, однако дальнейший анализ позволил исследователям прийти к выводу, что это были именно Winnti.
Позитивы утверждают, что атака на Battlestate Game, судя по всему, была успешной. Эта компания является разработчиком популярной сетевой игры Escape from Tarkov. С учетом того, что ранее Winnti неоднократно атаковали производителей игр с целью встраивания своих вредоносов в разрабатываемое ими ПО, можно с достаточной долей уверенности говорить о том, что и в данном случае имела место атака на цепочку поставок.
В начале сентября Позитивы уже давали информацию о том, что Winnti активно работает по российским разработчикам банковского ПО. Равно, как мы раньше говорили, и северокорейская APT Kimsuky атакует отечественные компании.
Так что геополитическое партнерство геополитическим партнерством, а в части кибервойн - табачок врозь.
#APT #Winnti
Атаки проводились путем рассылки фишинговых приманок, для Battlestate Game это были резюме соискателя на должность разработчика игр или менеджера баз данных. Кроме того, в одной из атак приманки имели русские названия, хотя и написанные коряво - "Электронный читатель резюме", например.
Согласно полученным TTPs, китайцы пытались использовать ложные флаги, маскируясь под северокорейскую APT Higaisa, однако дальнейший анализ позволил исследователям прийти к выводу, что это были именно Winnti.
Позитивы утверждают, что атака на Battlestate Game, судя по всему, была успешной. Эта компания является разработчиком популярной сетевой игры Escape from Tarkov. С учетом того, что ранее Winnti неоднократно атаковали производителей игр с целью встраивания своих вредоносов в разрабатываемое ими ПО, можно с достаточной долей уверенности говорить о том, что и в данном случае имела место атака на цепочку поставок.
В начале сентября Позитивы уже давали информацию о том, что Winnti активно работает по российским разработчикам банковского ПО. Равно, как мы раньше говорили, и северокорейская APT Kimsuky атакует отечественные компании.
Так что геополитическое партнерство геополитическим партнерством, а в части кибервойн - табачок врозь.
#APT #Winnti
ptsecurity.com
Higaisa or Winnti? APT41 backdoors, old and new
Forwarded from SecAtor
Как мы неоднократно говорили, индийцы умеют не только кино снимать и трупами в Ганг кидаться. У них вполне себе развитая и профессиональная инфраструктура APT, поддерживаемых государством и атакующих геополитических противников Дели.
Lookout выложил отчет о кибероперации индийской APT Confuсius, направленной на пакистанские военные и ядерные объекты, проводимой с помощью вредоносов для Android.
Confuсius впервые была описана в 2017 году, ее операции прослеживаются до 2013. Использование вредоносных мобильных приложений свойственно Confuсius. Некоторые исследователи допускают, что группа ассоциирована с APT Patchwork aka Dropping Elephant, работающей на Разведывательный корпус индийской армии (мы писали про нее, например, здесь).
Исследователи обнаружили два принадлежащих Confuсius вредоносных штамма, которые они назвали SunBird и Hornbill. По сути и тот и другой являются мобильными RAT (троянами удаленного доступа). Оба вредоноса умеют собирать и эксфильтрировать большое количество информации с зараженного устройства, включая геолокацию, фото, журналы вызовов. Кроме того, они умеют делать скриншоты, фотографии с камеры, записывать звук и пр. SunBird, по мнению экспертов, является более продвинутым в плане сбора данных, поскольку тащит практически всю инфу со смартфона, включая переписку WhatsApp и BlackBerry Messenger.
Hornbill же более скрытен и используется как пассивный инструмент разведки, направленный на долгосрочное функционирование. Его действия менее активны, но более выборочны, чем у SunBird.
По информации Lookout, SunBird находился в разработке с декабря 2016 по начало 2019, а вот Hornbill впервые появился в начале 2018 и активно модифицируется по сегодняшний день.
Анализ целей вредоносного ПО показал, что основными объектами заинтересованности Confuсius в рамках этой операции являются военнослужащие пакистанской армии и их окружение, сотрудники ядерных объектов Пакистана, а также лица, связанные с выборами в штате Кашмир (он вроде как индийский, но является объектом территориального спора с Пакистаном). В то же время были обнаружены и атакованные устройства из других стран, к примеру, из Казахстана. Возможно, что это были сопутствующие жертвы.
Распространялись вредоносы под видом различных мобильных приложений, часто маскируясь под мобильные чаты (этот прием Confuсius использует еще с 2017 года).
Анализ TTPs, в основном вредоносной инфраструктуры, позволил исследователям с достаточно большой долей уверенности утверждать, что за SunBird и Hornbill стоит именно APT Confuсius.
#APT #Confucius
Lookout выложил отчет о кибероперации индийской APT Confuсius, направленной на пакистанские военные и ядерные объекты, проводимой с помощью вредоносов для Android.
Confuсius впервые была описана в 2017 году, ее операции прослеживаются до 2013. Использование вредоносных мобильных приложений свойственно Confuсius. Некоторые исследователи допускают, что группа ассоциирована с APT Patchwork aka Dropping Elephant, работающей на Разведывательный корпус индийской армии (мы писали про нее, например, здесь).
Исследователи обнаружили два принадлежащих Confuсius вредоносных штамма, которые они назвали SunBird и Hornbill. По сути и тот и другой являются мобильными RAT (троянами удаленного доступа). Оба вредоноса умеют собирать и эксфильтрировать большое количество информации с зараженного устройства, включая геолокацию, фото, журналы вызовов. Кроме того, они умеют делать скриншоты, фотографии с камеры, записывать звук и пр. SunBird, по мнению экспертов, является более продвинутым в плане сбора данных, поскольку тащит практически всю инфу со смартфона, включая переписку WhatsApp и BlackBerry Messenger.
Hornbill же более скрытен и используется как пассивный инструмент разведки, направленный на долгосрочное функционирование. Его действия менее активны, но более выборочны, чем у SunBird.
По информации Lookout, SunBird находился в разработке с декабря 2016 по начало 2019, а вот Hornbill впервые появился в начале 2018 и активно модифицируется по сегодняшний день.
Анализ целей вредоносного ПО показал, что основными объектами заинтересованности Confuсius в рамках этой операции являются военнослужащие пакистанской армии и их окружение, сотрудники ядерных объектов Пакистана, а также лица, связанные с выборами в штате Кашмир (он вроде как индийский, но является объектом территориального спора с Пакистаном). В то же время были обнаружены и атакованные устройства из других стран, к примеру, из Казахстана. Возможно, что это были сопутствующие жертвы.
Распространялись вредоносы под видом различных мобильных приложений, часто маскируясь под мобильные чаты (этот прием Confuсius использует еще с 2017 года).
Анализ TTPs, в основном вредоносной инфраструктуры, позволил исследователям с достаточно большой долей уверенности утверждать, что за SunBird и Hornbill стоит именно APT Confuсius.
#APT #Confucius
Lookout
Confucius APT Android Spyware Linked to India-Pakistan Conflict | Threat Intel
The Lookout Threat Intelligence team has discovered two novel Android surveillanceware – Hornbill and SunBird.
Forwarded from SecAtor
Словаки из ESET пишут про вскрытую атаку на водопой (они почему-то называют ее атакой на цепочку поставок) - взлом сайта офиса Президента Мьянмы.
В результате взлома в доступный для загрузки пакет локализованных шрифтов был внедрен загрузчик Cobalt Strike. Исследователи подозревают в причастности к атаке китайскую APT Mustang Panda aka Bronze President, но пока не могут провести окончательное атрибутирование.
В 2015 году сайт Президента Мьянмы уже ломали, внедрив в него тогда загрузчик, подтягивающий троян Evilgrab.
Mustang Panda - это китайская хакерская группа, специализирующаяся на кибершпионаже. Считается, что она активна с 2014 года. Преимущественно работает по соседним с Китаем странам, но известны и киберкампании, направленные, например, на американские Think Tank. Мы про нее уже не раз писали.
Напомним, что в феврале этого года военные Мьянмы устроили госпереворот (хотя по местной Конституции у них весьма большие полномочия), отстранив действующие светские власти. При этом действующее военное руководство имеет с Китаем ряд разногласий, поэтому интерес китайских хакеров к этой соседней стране объяснимо.
#APT #MustangPanda
В результате взлома в доступный для загрузки пакет локализованных шрифтов был внедрен загрузчик Cobalt Strike. Исследователи подозревают в причастности к атаке китайскую APT Mustang Panda aka Bronze President, но пока не могут провести окончательное атрибутирование.
В 2015 году сайт Президента Мьянмы уже ломали, внедрив в него тогда загрузчик, подтягивающий троян Evilgrab.
Mustang Panda - это китайская хакерская группа, специализирующаяся на кибершпионаже. Считается, что она активна с 2014 года. Преимущественно работает по соседним с Китаем странам, но известны и киберкампании, направленные, например, на американские Think Tank. Мы про нее уже не раз писали.
Напомним, что в феврале этого года военные Мьянмы устроили госпереворот (хотя по местной Конституции у них весьма большие полномочия), отстранив действующие светские власти. При этом действующее военное руководство имеет с Китаем ряд разногласий, поэтому интерес китайских хакеров к этой соседней стране объяснимо.
#APT #MustangPanda