Те, кто давно читает наш канал, знают, что мы неравнодушны к атакам на промышленные системы управления (ICS), потому что представляем себе к каким катастрофическим последствиям они могут привести.
Соответственно, и к вопросам информационной безопасности ICS у нас трепетное отношение. А вот тут часто возникают серьезные проблемы, которые обусловлены спецификой отрасли применения.
Израильская компания OTORIO, специализирующаяся как раз на вопросах инфосек в этой сфере жизнедеятельности, нашла несколько серьезных уязвимостей в двух популярных промышленных решениях удаленного доступа - SiteManager (GateManager) от B&R Automation и mbCONNECT24 от MB Connect Live.
Оба инструмента активно используются в автомобильной, энергетической, нефтегазовой, металлургической и других отраслях народного хозяйства.
В решении от B&R Automation, позволяющем получать удаленный доступ к промышленному оборудованию, израильтяне нашли целых шесть уязвимостей (c CVE-2020-11641 по CVE-2020-11646). Их использование из-под авторизованного пользователя позволит хакеру получить доступ к конфиденциальной информации других пользователей, а также вызвать отказ в обслуживании, что может привести к остановке производственного процесса. С учетом невысокого уровня информационной безопасности в промышленности в целом, полагаем, что добыть учетные данные пользователя для злоумышленника является вполне решаемой задачей.
Три уязвимости (CVE-2020-24568 - CVE-2020-24570) найдены исследователями в mbCONNECT24, который также используется для удаленного подключения к производственным объектам. Ошибки позволяют хакеру осуществить SQL-инъекцию и CSRF-атаку. Еще одна уязвимость, которой не присвоено CVE и про которую не пишут ресерчеры OTORIO, но про которую упомянуло CISA, получила 9.8 из 10 по шкале критичности и позволяет злоумышленнику удаленно выполнить код.
Несомненно, с таким количеством уязвимостей в ICS их владельцам необходимо регулярно проводить аудит ИБ, в том числе пентесты. Иначе в кране может кончиться вода и причиной этому будут совсем не соотечественники израильских исследователей.
Соответственно, и к вопросам информационной безопасности ICS у нас трепетное отношение. А вот тут часто возникают серьезные проблемы, которые обусловлены спецификой отрасли применения.
Израильская компания OTORIO, специализирующаяся как раз на вопросах инфосек в этой сфере жизнедеятельности, нашла несколько серьезных уязвимостей в двух популярных промышленных решениях удаленного доступа - SiteManager (GateManager) от B&R Automation и mbCONNECT24 от MB Connect Live.
Оба инструмента активно используются в автомобильной, энергетической, нефтегазовой, металлургической и других отраслях народного хозяйства.
В решении от B&R Automation, позволяющем получать удаленный доступ к промышленному оборудованию, израильтяне нашли целых шесть уязвимостей (c CVE-2020-11641 по CVE-2020-11646). Их использование из-под авторизованного пользователя позволит хакеру получить доступ к конфиденциальной информации других пользователей, а также вызвать отказ в обслуживании, что может привести к остановке производственного процесса. С учетом невысокого уровня информационной безопасности в промышленности в целом, полагаем, что добыть учетные данные пользователя для злоумышленника является вполне решаемой задачей.
Три уязвимости (CVE-2020-24568 - CVE-2020-24570) найдены исследователями в mbCONNECT24, который также используется для удаленного подключения к производственным объектам. Ошибки позволяют хакеру осуществить SQL-инъекцию и CSRF-атаку. Еще одна уязвимость, которой не присвоено CVE и про которую не пишут ресерчеры OTORIO, но про которую упомянуло CISA, получила 9.8 из 10 по шкале критичности и позволяет злоумышленнику удаленно выполнить код.
Несомненно, с таким количеством уязвимостей в ICS их владельцам необходимо регулярно проводить аудит ИБ, в том числе пентесты. Иначе в кране может кончиться вода и причиной этому будут совсем не соотечественники израильских исследователей.
Otorio
OTORIO Discovers Vulnerabilities in Industrial Remote Access Software Solutions
As more companies rely on remote access systems to maintain production during COVID-19, discovering remote access vulnerabilities becomes a top priority
Английская команда Pen Test Partners опубликовала сегодня описание уязвимости CVE-2020-5980 в утилите командной строки NVIDIA SMI, которая поставляется в комплекте с драйверами NVIDIA и установлена на большинстве компьютеров с видеокартами производителя.
Уязвимость заключается в неправильном поиске подключаемых библиотек DLL и позволяет, соответственно, провести т.н. подмену DLL (DLL hijacking), что, в свою очередь, может привести к удаленному выполнению кода (RCE) хакером в атакованной системе.
Ошибка была выявлена исследователями в июле, а вчера NVIDIA выпустили обновление безопасности, в котором CVE-2020-5980 устранена. Кроме этой уязвимости устранен также ряд других ошибок, в том числе высокой степени критичности, которые могут привести к RCE, отказу в обслуживании, повышению привилегий, а также раскрытию информации.
Поскольку видеокартами от NVIDIA оснащено подавляющее большинство ПК, то рекомендуем всем обратить на это внимание и немедленно обновиться.
Уязвимость заключается в неправильном поиске подключаемых библиотек DLL и позволяет, соответственно, провести т.н. подмену DLL (DLL hijacking), что, в свою очередь, может привести к удаленному выполнению кода (RCE) хакером в атакованной системе.
Ошибка была выявлена исследователями в июле, а вчера NVIDIA выпустили обновление безопасности, в котором CVE-2020-5980 устранена. Кроме этой уязвимости устранен также ряд других ошибок, в том числе высокой степени критичности, которые могут привести к RCE, отказу в обслуживании, повышению привилегий, а также раскрытию информации.
Поскольку видеокартами от NVIDIA оснащено подавляющее большинство ПК, то рекомендуем всем обратить на это внимание и немедленно обновиться.
Pen Test Partners
DLL Hijacking in NVIDIA SMI | Pen Test Partners
What is NVIDIA SMI? The NVIDIA System Management Interface (nvidia-smi) is a command line utility, based on top of the NVIDIA Management Library (NVML), intended to aid in the management and monitoring of NVIDIA GPU devices. This utility allows administrators…
Вчера Токийская фондовая биржа, крупнейшая биржа на японском фондовом рынке, третьем по величине в мире, упала.
Торги были приостановлены на целый день и обещалось, что они будут запущены сегодня (судя по последним новостям, таки торги возобновили).
Это достаточно серьезное событие на фондовом рынке, которое вызвало даже реакцию Главного секретаря японского правительства, выразившего "крайнюю степень прискорбия". Более того, Bloomberg называет сбой биржи "последним ударом по мечтам Токийского финансового центра".
В качестве причины закрытия торгов указывается, внимание, проблема при переключении на резервную копию данных после отказа оборудования.
И хотя представители биржи утверждают, что нет указаний на то, что технические проблемы были связаны со взломом, доверять им на 100% нет никаких оснований, потому что японцы вообще мало что признают. Вон, Курильские острова до сих пор не признали.
А вот неожиданное "переключение на резервную копию данных после отказа оборудования" очень сильно напоминает меры реагирования на атаку ransomware.
В любом случае будем ожидать новостей. Хотя если японцы оперативно заплатили выкуп, то мы можем правды так и не узнать.
Но если подтвердится атака ransomware, то это будет первый в истории случай, когда вымогатели могли подорвать четвертую в мире экономику.
Торги были приостановлены на целый день и обещалось, что они будут запущены сегодня (судя по последним новостям, таки торги возобновили).
Это достаточно серьезное событие на фондовом рынке, которое вызвало даже реакцию Главного секретаря японского правительства, выразившего "крайнюю степень прискорбия". Более того, Bloomberg называет сбой биржи "последним ударом по мечтам Токийского финансового центра".
В качестве причины закрытия торгов указывается, внимание, проблема при переключении на резервную копию данных после отказа оборудования.
И хотя представители биржи утверждают, что нет указаний на то, что технические проблемы были связаны со взломом, доверять им на 100% нет никаких оснований, потому что японцы вообще мало что признают. Вон, Курильские острова до сих пор не признали.
А вот неожиданное "переключение на резервную копию данных после отказа оборудования" очень сильно напоминает меры реагирования на атаку ransomware.
В любом случае будем ожидать новостей. Хотя если японцы оперативно заплатили выкуп, то мы можем правды так и не узнать.
Но если подтвердится атака ransomware, то это будет первый в истории случай, когда вымогатели могли подорвать четвертую в мире экономику.
Bloomberg
Tokyo Stock Exchange to Resume Trading Friday After Outage
The Tokyo Stock Exchange confirmed it will restart trading on Friday after an unprecedented all-day halt on Thursday which froze buying and selling of thousands of companies in the worst-ever outage in the world’s third-largest equity market.
К сожалению, организаторы конференции VB2020 пока не выкладывают материалы уже сделанных выступлений, в силу чего мы не можем подготовить обзоры заинтересовавших нас презентаций. А там есть что посмотреть и послушать - доклад Malwarebytes о китайской APT Evasive Panda, отчет Check Point о хакерских мероприятиях египетских органов по установлению контроля над внутренней оппозицией, исследование Trend Micro TTP's китайской APT Tonto Team aka Karma Panda и многое другое.
Но журналисты некоторые из материалов добывают. Вчера ZDNet рассмотрели выступление представителей Facebook, посвященное атаке гонконгской хакерской группы SilentFade на пользователей соцсети в 2018-2019 годах.
Как следует из материалов Facebook, хакеры в 2016 году разработали вредонос SuperCPA, ориентированный, в первую очередь, на китайских пользователей. ПО предназначалось для мошенничества с кликами.
Однако уже в 2017 году злоумышленники разработали новый вредонос SilentFade, который предназначался для кражи из браузеров учетных данных пользователей Facebook и Twitter.
Следующая версия SilentFade, фактически являющаяся RAT, появилась в 2018. Вредонос позволяя брать браузер жертвы под полный контроль. Далее через краденные cookie сеансов Facebook хакеры получали полный доступ к аккаунту жертвы в социальной сети.
После этого злоумышленники отключали настройки безопасности аккаунта Facebook, причем для того, чтобы законный пользователь не мог восстановить некоторые из них, хакеры использовали уязвимость в самой социальной сети. В результате при попытке вернуть первоначальные настойки жертва натыкалась на ошибку Facebook.
И, наконец, получив таким образом контроль над учетной записью легального пользователя хакеры начинали размещать за счет жертвы вредоносную рекламу. Всего за несколько месяцев SilentFade нагрели пользователей Facebook на 4 млн. долларов.
FB возместили все убытки своим подписчикам, а также отследили учетную запись GitHub, под которой хранились библиотеки SilentFade. Следы привели к гонконгской компании ILikeAd Media и двум ее основателям Чен Сяо Конгу и Хуанг Тао. Теперь Facebook плющит хакеров из Гонконга в суде.
Осталось заметить, что Facebook называет господ Конга и Тао китайскими хакерами. Как протесты - так не Китай, а как хакеры - так Китай. Товарищу Си, наверное, обидно.
Но журналисты некоторые из материалов добывают. Вчера ZDNet рассмотрели выступление представителей Facebook, посвященное атаке гонконгской хакерской группы SilentFade на пользователей соцсети в 2018-2019 годах.
Как следует из материалов Facebook, хакеры в 2016 году разработали вредонос SuperCPA, ориентированный, в первую очередь, на китайских пользователей. ПО предназначалось для мошенничества с кликами.
Однако уже в 2017 году злоумышленники разработали новый вредонос SilentFade, который предназначался для кражи из браузеров учетных данных пользователей Facebook и Twitter.
Следующая версия SilentFade, фактически являющаяся RAT, появилась в 2018. Вредонос позволяя брать браузер жертвы под полный контроль. Далее через краденные cookie сеансов Facebook хакеры получали полный доступ к аккаунту жертвы в социальной сети.
После этого злоумышленники отключали настройки безопасности аккаунта Facebook, причем для того, чтобы законный пользователь не мог восстановить некоторые из них, хакеры использовали уязвимость в самой социальной сети. В результате при попытке вернуть первоначальные настойки жертва натыкалась на ошибку Facebook.
И, наконец, получив таким образом контроль над учетной записью легального пользователя хакеры начинали размещать за счет жертвы вредоносную рекламу. Всего за несколько месяцев SilentFade нагрели пользователей Facebook на 4 млн. долларов.
FB возместили все убытки своим подписчикам, а также отследили учетную запись GitHub, под которой хранились библиотеки SilentFade. Следы привели к гонконгской компании ILikeAd Media и двум ее основателям Чен Сяо Конгу и Хуанг Тао. Теперь Facebook плющит хакеров из Гонконга в суде.
Осталось заметить, что Facebook называет господ Конга и Тао китайскими хакерами. Как протесты - так не Китай, а как хакеры - так Китай. Товарищу Си, наверное, обидно.
ZDNet
How a Chinese malware gang defrauded Facebook users of $4 million
SilentFade group utilized a Windows trojan, browser injections, clever scripting, and a Facebook platform bug to buy and post ads on behalf of hacked users.
В начале недели аналитик IBM X-Force Камилль Синглтон написала в своем блоге большой пост о трендах в развитии ransomware в 2020 году. Вот несколько тезисов.
На сентябрь 2020 года каждая четвертая атака, которой занимались IBM X-Force была связана с вымогателями. Своеобразный "взрыв" произошел в июне, когда всего за месяц количество атак ransomware увеличилось в 2 раза. Правда в июле показатели вернулись в норму.
Размер выкупа растет дикими темпами. В некоторых зафиксированных случаях он превышал 40 млн. долларов (!)
Основные цели - компании-производители (почти 25%), сектор услуг (17%) и государственные организации (13%). По поводу последних у нас есть соображение, что у них особо нет денег, но зато ломать намного проще.
Больше всего страдают Северная Америка (33% атак) и Азия (30%). На Европу приходится 27% атак вымогателей.
С помощью Sodinokibi (REvil) было проведено 29% атак ransomware, которые IBM X-Force зафиксировали в этом году. Это самый популярный вымогатель. На втором месте Maze c 12%, на третьем - Snake aka Ekans (6%).
А вот теперь действительно нужные данные. IBM X-Force говорят, что за время своего существования с апреля 2019 года с помощью Sodinokibi были успешно атакованы как минимум 140 организаций, и, что самое главное, более 36% жертв заплатили выкуп. Прибыль владельца Sodinokibi, работающего по схеме RaaS, в 2020 году составит не менее 81 миллиона долларов (мы уверены, что существенно больше, потому что IBM видит далеко не все атаки). Теперь понятно, почему REvil спокойно внесли на депозит на одном из хакерских форумов 1 млн. долларов в BTC.
Кстати, исследователи обнаружили, что одним из партнеров REvil является известная коммерческая российская группа Carbanak aka FIN7.
И еще одно, что бросилось в глаза, - большое количество атак ransomware Snake, которое ориентировано, в числе прочих, на промышленные системы управления (ICS). Таким образом, этот вымогатель вполне может прервать технологический процесс на каком-нибудь заводе по переработке нефти, после чего может случиться локальный Бхопал.
На сентябрь 2020 года каждая четвертая атака, которой занимались IBM X-Force была связана с вымогателями. Своеобразный "взрыв" произошел в июне, когда всего за месяц количество атак ransomware увеличилось в 2 раза. Правда в июле показатели вернулись в норму.
Размер выкупа растет дикими темпами. В некоторых зафиксированных случаях он превышал 40 млн. долларов (!)
Основные цели - компании-производители (почти 25%), сектор услуг (17%) и государственные организации (13%). По поводу последних у нас есть соображение, что у них особо нет денег, но зато ломать намного проще.
Больше всего страдают Северная Америка (33% атак) и Азия (30%). На Европу приходится 27% атак вымогателей.
С помощью Sodinokibi (REvil) было проведено 29% атак ransomware, которые IBM X-Force зафиксировали в этом году. Это самый популярный вымогатель. На втором месте Maze c 12%, на третьем - Snake aka Ekans (6%).
А вот теперь действительно нужные данные. IBM X-Force говорят, что за время своего существования с апреля 2019 года с помощью Sodinokibi были успешно атакованы как минимум 140 организаций, и, что самое главное, более 36% жертв заплатили выкуп. Прибыль владельца Sodinokibi, работающего по схеме RaaS, в 2020 году составит не менее 81 миллиона долларов (мы уверены, что существенно больше, потому что IBM видит далеко не все атаки). Теперь понятно, почему REvil спокойно внесли на депозит на одном из хакерских форумов 1 млн. долларов в BTC.
Кстати, исследователи обнаружили, что одним из партнеров REvil является известная коммерческая российская группа Carbanak aka FIN7.
И еще одно, что бросилось в глаза, - большое количество атак ransomware Snake, которое ориентировано, в числе прочих, на промышленные системы управления (ICS). Таким образом, этот вымогатель вполне может прервать технологический процесс на каком-нибудь заводе по переработке нефти, после чего может случиться локальный Бхопал.
Security Intelligence
Ransomware 2020: Attack Trends Affecting Organizations Worldwide
Ransomware attack trends in 2020 show how threat actors pivot in response to defenses. See the most common attacks today and how to defend against them.
И еще один материал с конференции VB2020 с подачи ZDNet.
ESET сделали доклад, в котором сообщили, что обнаружили прогосударственную APT, которая работала незамеченной на протяжении девяти лет. Словаки назвали ее XDSpy. Профиль - кибершпионаж.
Основными целями XDSpy были государственные учреждения и частные компании России, Белоруссии, Украины, Молдовы и Сербии.
Хакеры использовали набор авторских вредоносов, который получил название XDDown. В него входят дроппер и куча модулей, каждый из которых выполняет свой небольшой функционал. Это, вероятно, помогало обходить антивирусную защиту. Исследователи ESET охарактеризовали вредоносы XDSpy как не самые продвинутые, но их возможностей вполне хватало для выполнения стоящих перед хакерами задач.
Подмеченной словаками особенностью XDDown оказался примат скрытности перед долгосрочным присутствием в скомпрометированной сети. Для этого вредоносы обладали такими функциями как самоудаление по определенному времени, а также отсутствие у многих модулей механизма сохранения после перезагрузки. ESET полагает, что отчасти благодаря такой заточенности вредоносов XDSpy удалось долго оставаться незамеченной.
Впервые киберкампания XDSpy была замечена белорусским CERT в феврале этого года, после чего APT полностью прекратила использование XDDown и ушла в тень. А ESET, соответственно, именно с этого момента начали свое расследование.
Судя по профилю деятельности, XDSpy работает под патронажем одной из спецслужб разведсообщества Five Eyes. По крайней мере, метод работы "тiкай з городу" при первом же обнаружении хакерской деятельности очень похож на поведение APT Equation.
ESET сделали доклад, в котором сообщили, что обнаружили прогосударственную APT, которая работала незамеченной на протяжении девяти лет. Словаки назвали ее XDSpy. Профиль - кибершпионаж.
Основными целями XDSpy были государственные учреждения и частные компании России, Белоруссии, Украины, Молдовы и Сербии.
Хакеры использовали набор авторских вредоносов, который получил название XDDown. В него входят дроппер и куча модулей, каждый из которых выполняет свой небольшой функционал. Это, вероятно, помогало обходить антивирусную защиту. Исследователи ESET охарактеризовали вредоносы XDSpy как не самые продвинутые, но их возможностей вполне хватало для выполнения стоящих перед хакерами задач.
Подмеченной словаками особенностью XDDown оказался примат скрытности перед долгосрочным присутствием в скомпрометированной сети. Для этого вредоносы обладали такими функциями как самоудаление по определенному времени, а также отсутствие у многих модулей механизма сохранения после перезагрузки. ESET полагает, что отчасти благодаря такой заточенности вредоносов XDSpy удалось долго оставаться незамеченной.
Впервые киберкампания XDSpy была замечена белорусским CERT в феврале этого года, после чего APT полностью прекратила использование XDDown и ушла в тень. А ESET, соответственно, именно с этого момента начали свое расследование.
Судя по профилю деятельности, XDSpy работает под патронажем одной из спецслужб разведсообщества Five Eyes. По крайней мере, метод работы "тiкай з городу" при первом же обнаружении хакерской деятельности очень похож на поведение APT Equation.
ZDNet
ESET discovers a rare APT that stayed undetected for nine years
Active since 2011 but only discovered this year, the XDSpy hacker group targeted government and private companies in Belarus, Moldova, Russia, Serbia, and Ukraine.
Спасибо большое подписчику, который прислал нам ссылку на материалы выступлений VB2020, сами мы что-то затупили.
Но, к сожалению, далеко не все выступления там представлены в полном виде, от некоторых только слайды презентации. Тем не менее, постараемся разобрать наиболее интересные с нашей точки зрения материалы.
Но, к сожалению, далеко не все выступления там представлены в полном виде, от некоторых только слайды презентации. Тем не менее, постараемся разобрать наиболее интересные с нашей точки зрения материалы.
Операторы ransomware все чаще нападают на критически важные сети.
Университетская больница Нью-Джерси (UHNJ) была вынуждена заплатить 670 тысяч долларов владельцам вымогателя SunCrypt после того, как последние опубликовали в сети украденный архив из 48 тыс. документов больницы и обещали опубликовать еще 240 Гб слитых данных.
Взлом ресурсов UHNJ произошел из-за нерадивого сотрудника, который слил свои учетные данные в результате фишинга. Хакеры смогли зашифровать всего два больничных сервера, однако, по всей видимости, на них находились персональные данные пациентов и руководство UHNJ решило заплатить выкуп, чтобы не получить кучу исков со стороны пострадавших от утечки личной информации.
Хорошо, что все обошлось практически в прямом смысле малой кровью, поскольку, как мы помним, похожая атака на Университетскую больницу в Дюссельдорфе закончилась гибелью пациента.
Ransomware SunCrypt - вредонос, обнаруженный в декабре 2019 года, активность которого относительно невысока. В конце августа владельцы SunCrypt заявили, что присоединились к Maze Cartel и, действительно, на это указывали признаки использования совместной с Maze инфраструктуры. Однако затем уже представители Maze сообщили журналистам, что у них нет никаких отношений с SunCrypt и что владельцы последнего используют "авторитетное имя" Maze для устрашения своих жертв. Черный PR среди операторов ransomware.
Но тем не менее, факт остается фактом - больничную сеть успешно зашифровали. И это очень неправильно.
Университетская больница Нью-Джерси (UHNJ) была вынуждена заплатить 670 тысяч долларов владельцам вымогателя SunCrypt после того, как последние опубликовали в сети украденный архив из 48 тыс. документов больницы и обещали опубликовать еще 240 Гб слитых данных.
Взлом ресурсов UHNJ произошел из-за нерадивого сотрудника, который слил свои учетные данные в результате фишинга. Хакеры смогли зашифровать всего два больничных сервера, однако, по всей видимости, на них находились персональные данные пациентов и руководство UHNJ решило заплатить выкуп, чтобы не получить кучу исков со стороны пострадавших от утечки личной информации.
Хорошо, что все обошлось практически в прямом смысле малой кровью, поскольку, как мы помним, похожая атака на Университетскую больницу в Дюссельдорфе закончилась гибелью пациента.
Ransomware SunCrypt - вредонос, обнаруженный в декабре 2019 года, активность которого относительно невысока. В конце августа владельцы SunCrypt заявили, что присоединились к Maze Cartel и, действительно, на это указывали признаки использования совместной с Maze инфраструктуры. Однако затем уже представители Maze сообщили журналистам, что у них нет никаких отношений с SunCrypt и что владельцы последнего используют "авторитетное имя" Maze для устрашения своих жертв. Черный PR среди операторов ransomware.
Но тем не менее, факт остается фактом - больничную сеть успешно зашифровали. И это очень неправильно.
BleepingComputer
New Jersey hospital paid ransomware gang $670K to prevent data leak
University Hospital New Jersey in Newark, New Jersey, paid a $670,000 ransomware demand this month to prevent the publishing of 240 GB of stolen data, including patient info.
Исследователи Check Point в пятницу опубликовали отчет, в котором рассказали о своей новой методологии изучения эксплойтов для отслеживания их авторов.
В процессе реагирования на киберинциденты израильские ресерчеры обратили внимание на то, что в ряде случаев вредонос и используемый им эксплойт написаны разными людьми (командами). Об этом явно свидетельствовал анализ кода.
Таким образом, исследователи решили составить своеобразные fingerprint'ы авторов различных эксплойтов. В качестве отправной точки они взяли бинарный файл, являющийся чистым эксплойтом CVE-2019-0859, который был найден во время реагирования на одну из атак.
Для изучения эксплойтов они выделили несколько групп признаков, фактически оценивая бинарные файлы на разных уровнях.
В итоге Check Point смогли установить принадлежность 10 эксплойтов одному и тому же автору, основываясь только на своем методе изучения fingerprint'ов. Его идентифицировали как Volodya, ранее известный как BuggiCorp. Все эксплойты были направлены на повышение локальных привилегий (LPE) в Windows, половина из них основывалась на 0-day уязвимостях. Израильтяне даже составили таблицу клиентов Volodya, покупавших у него эти эксплойты, среди которых нашлись вполне себе серьезные APT - Fancy Bear, Turla, FIN8, Buhtrap и др. Volodya, как считается, является украинским актором (скорее всего, конечно, это группа), специализирующимся на продаже эксплойтов 0-day уязвимостей под Windows.
Кроме того исследователи смогли связать вместе пять эксплойтов, написанных актором PlayBit, которые также были заточены на LPE.
Check Point всячески хвалят свою новую методу и призывают остальные инфосек команды брать ее на вооружение.
В процессе реагирования на киберинциденты израильские ресерчеры обратили внимание на то, что в ряде случаев вредонос и используемый им эксплойт написаны разными людьми (командами). Об этом явно свидетельствовал анализ кода.
Таким образом, исследователи решили составить своеобразные fingerprint'ы авторов различных эксплойтов. В качестве отправной точки они взяли бинарный файл, являющийся чистым эксплойтом CVE-2019-0859, который был найден во время реагирования на одну из атак.
Для изучения эксплойтов они выделили несколько групп признаков, фактически оценивая бинарные файлы на разных уровнях.
В итоге Check Point смогли установить принадлежность 10 эксплойтов одному и тому же автору, основываясь только на своем методе изучения fingerprint'ов. Его идентифицировали как Volodya, ранее известный как BuggiCorp. Все эксплойты были направлены на повышение локальных привилегий (LPE) в Windows, половина из них основывалась на 0-day уязвимостях. Израильтяне даже составили таблицу клиентов Volodya, покупавших у него эти эксплойты, среди которых нашлись вполне себе серьезные APT - Fancy Bear, Turla, FIN8, Buhtrap и др. Volodya, как считается, является украинским актором (скорее всего, конечно, это группа), специализирующимся на продаже эксплойтов 0-day уязвимостей под Windows.
Кроме того исследователи смогли связать вместе пять эксплойтов, написанных актором PlayBit, которые также были заточены на LPE.
Check Point всячески хвалят свою новую методу и призывают остальные инфосек команды брать ее на вооружение.
Подборка полезного материала от канала @Social_Engineering для начинающих пентестеров и специалистов в области информационной безопасности.
Practical Network Defense — 19 различных модулей, 10 лабораторных сценариев, 5 часов обучающих видео на тему сетевой и системной безопасности.
Бесплатный курс по взлому от HackerOne — Отличный курс для новичков который охватывает различные темы. Мы рекомендуем начать с этого плейлиста, если ты новичок в пентесте или хочешь освежить память.
Базовый курс по Web Security, от Стэнфордского университета — цель курса состоит в том, чтобы получить представление о наиболее распространенных веб-атаках и способах их противодействия. Ты узнаешь об основах, а также о последних достижениях в области Web Security.
Metasploit Unleashed — бесплатный курс, благодаря которому ты научишься использовать Metasploit, кроме того, данный курс является отличным справочников для пентестеров.
Android App Reverse Engineering 101 — бесплатный курс по реверсу Android приложений.
Введение в реверсинг с нуля используя IDA PRO — интерактивный дизассемблер, который широко используется для реверс-инжиниринга. Он отличается исключительной гибкостью, наличием встроенного командного языка, поддерживает множество форматов исполняемых файлов для большого числа процессоров и операционных систем.
Kubernetes с Нуля для DevOps Инженеров — основы Kubernetes, поднятие и управление Kubernetes кластером, создавать и управлять основными компонентами Kubernetes.
Tradecraft — благодаря этому курсу ты научишься проводить целевую атаку как внешний субъект с Cobalt Strike. В этом сегменте представлены Metasploit Framework, Cobalt Strike и ты узнаешь, как организованы оба этих инструмента.
Practical Network Defense — 19 различных модулей, 10 лабораторных сценариев, 5 часов обучающих видео на тему сетевой и системной безопасности.
Бесплатный курс по взлому от HackerOne — Отличный курс для новичков который охватывает различные темы. Мы рекомендуем начать с этого плейлиста, если ты новичок в пентесте или хочешь освежить память.
Базовый курс по Web Security, от Стэнфордского университета — цель курса состоит в том, чтобы получить представление о наиболее распространенных веб-атаках и способах их противодействия. Ты узнаешь об основах, а также о последних достижениях в области Web Security.
Metasploit Unleashed — бесплатный курс, благодаря которому ты научишься использовать Metasploit, кроме того, данный курс является отличным справочников для пентестеров.
Android App Reverse Engineering 101 — бесплатный курс по реверсу Android приложений.
Введение в реверсинг с нуля используя IDA PRO — интерактивный дизассемблер, который широко используется для реверс-инжиниринга. Он отличается исключительной гибкостью, наличием встроенного командного языка, поддерживает множество форматов исполняемых файлов для большого числа процессоров и операционных систем.
Kubernetes с Нуля для DevOps Инженеров — основы Kubernetes, поднятие и управление Kubernetes кластером, создавать и управлять основными компонентами Kubernetes.
Tradecraft — благодаря этому курсу ты научишься проводить целевую атаку как внешний субъект с Cobalt Strike. В этом сегменте представлены Metasploit Framework, Cobalt Strike и ты узнаешь, как организованы оба этих инструмента.
Telegram
Social Engineering
📚 Курсы по разным темам. Подборка.
🖖🏻 Приветствую тебя user_name.
💬 Давно Я не выкладывал полезные курсы для изучения. Сегодня предлагаю тебе подборку полезного материала на различные темы. Благодаря этим курсам ты получишь знания которые сможешь применить…
🖖🏻 Приветствую тебя user_name.
💬 Давно Я не выкладывал полезные курсы для изучения. Сегодня предлагаю тебе подборку полезного материала на различные темы. Благодаря этим курсам ты получишь знания которые сможешь применить…
Как известно, мы очень любим истории про кибершпионаж, APT, различное специализированное ПО и все такое прочее. Наверное в детстве пересмотрели фильмов про хитрых шпионов и отважных разведчиков.
Сегодня Wired проанонсировали доклад на онлайн-конференции Kaspersky SAS, посвященный выявленному Касперскими руткиту, который перезаписывает UEFI-биос.
История началась еще в 2015 году, когда хактивист Phineas Fisher взломал ныне почившую в бозе итальянскую компанию Hacking Team, основанную в далеком 2003. Hacking Team была пионером на рынке легального взлома, производя инструменты для взлома и отслеживания ПК и мобильных устройств и продавая их правоохранительным органам и спецслужбам. Компания быстро вышла за пределы национального рынка и на своей вершине в 2015 году поставляла программные продукты в 41 страну.
Phineas Fisher вскрыл сеть Hacking Team и в течение нескольких недель фильтровал сотни гигабайт данных, чтобы потом выкинуть кучу конфиденциальной информации в сеть. Среди них был и инструмент под названием VectorEDK, который фактически являлся UEFI-руткитом и устанавливался через непосредственный физический доступ к ПК.
И вот в начале этого года Касперские обнаружили на двух компьютерах в дипломатических организациях в Азии (конкретных пострадавших ЛК, понятное дело, не называет) шпионские UEFI-руткиты, основанные на VectorEDK. Они устанавливали вторичную нагрузку в виде авторского вредоноса MosaicRegressor.
На всякий случай напомним, чем опасны UEFI-руткиты. Они сидят в самой материнке и даже при обнаружении загружаемых ими вредоносов жертва практически никак не может почистить свою систему. Ни переустановка операционки, ни выдирание с болтами жестких дисков не помогут.
Конкретный способ заражения руткитом скомпрометированных ПК исследователи не выяснили. Скорее всего это был таки физический доступ. Однако MosaicRegressor был обнаружен и в ходе расследования других атак, причем в этих случаях способ его распространения был более традиционен - банальный фишинг.
Некоторые из TTPs указывают на принадлежность нового UEFI-руткита китайским хакерам. В то же время, по данным инфосек компании ProtectWise, использовавшаяся в фишинговой кампании по распространению MosaicRegressor инфраструктура принадлежит китайской APT Winnti, которая, согласно утверждению американцев, работает на госбезопасность КНР.
Ну и остается заметить, что это далеко не первый случай, когда утечка хакерских инструментов спецслужб или работающих на них компаний приводила к последующим атакам со стороны других хакерских групп. Достаточно вспомнить, что изначально принадлежащие АНБшной группе Equation эксплойт EternalBlue и бэкдор DoublePulsar стали основой для киберкампании WannaCry. А уже в этом году ESET неожиданно обнаружили поразительное сходство в коде одного из инструментов, использованного все той же Winnti в 2018 году, с аналогичным кодом из все той же утечки Lost in Translation хакерских инструментов все той же APT Equation.
Пора вводить новый закон Мерфи - "все плохое ПО, которое было разработано, рано или поздно будет использовано в еще худших целях".
#APT #Winnti
Сегодня Wired проанонсировали доклад на онлайн-конференции Kaspersky SAS, посвященный выявленному Касперскими руткиту, который перезаписывает UEFI-биос.
История началась еще в 2015 году, когда хактивист Phineas Fisher взломал ныне почившую в бозе итальянскую компанию Hacking Team, основанную в далеком 2003. Hacking Team была пионером на рынке легального взлома, производя инструменты для взлома и отслеживания ПК и мобильных устройств и продавая их правоохранительным органам и спецслужбам. Компания быстро вышла за пределы национального рынка и на своей вершине в 2015 году поставляла программные продукты в 41 страну.
Phineas Fisher вскрыл сеть Hacking Team и в течение нескольких недель фильтровал сотни гигабайт данных, чтобы потом выкинуть кучу конфиденциальной информации в сеть. Среди них был и инструмент под названием VectorEDK, который фактически являлся UEFI-руткитом и устанавливался через непосредственный физический доступ к ПК.
И вот в начале этого года Касперские обнаружили на двух компьютерах в дипломатических организациях в Азии (конкретных пострадавших ЛК, понятное дело, не называет) шпионские UEFI-руткиты, основанные на VectorEDK. Они устанавливали вторичную нагрузку в виде авторского вредоноса MosaicRegressor.
На всякий случай напомним, чем опасны UEFI-руткиты. Они сидят в самой материнке и даже при обнаружении загружаемых ими вредоносов жертва практически никак не может почистить свою систему. Ни переустановка операционки, ни выдирание с болтами жестких дисков не помогут.
Конкретный способ заражения руткитом скомпрометированных ПК исследователи не выяснили. Скорее всего это был таки физический доступ. Однако MosaicRegressor был обнаружен и в ходе расследования других атак, причем в этих случаях способ его распространения был более традиционен - банальный фишинг.
Некоторые из TTPs указывают на принадлежность нового UEFI-руткита китайским хакерам. В то же время, по данным инфосек компании ProtectWise, использовавшаяся в фишинговой кампании по распространению MosaicRegressor инфраструктура принадлежит китайской APT Winnti, которая, согласно утверждению американцев, работает на госбезопасность КНР.
Ну и остается заметить, что это далеко не первый случай, когда утечка хакерских инструментов спецслужб или работающих на них компаний приводила к последующим атакам со стороны других хакерских групп. Достаточно вспомнить, что изначально принадлежащие АНБшной группе Equation эксплойт EternalBlue и бэкдор DoublePulsar стали основой для киберкампании WannaCry. А уже в этом году ESET неожиданно обнаружили поразительное сходство в коде одного из инструментов, использованного все той же Winnti в 2018 году, с аналогичным кодом из все той же утечки Lost in Translation хакерских инструментов все той же APT Equation.
Пора вводить новый закон Мерфи - "все плохое ПО, которое было разработано, рано или поздно будет использовано в еще худших целях".
#APT #Winnti
Wired
A China-Linked Group Repurposed Hacking Team’s Stealthy Spyware
The tool attacks a device’s UEFI firmware—which makes it especially hard to detect and destroy.
ZDNet сообщает тревожную новость о новой неустранимой уязвимости устройств Mac и MacBook.
Появилась новая методика взлома вспомогательного сопроцессора T2 устройств Apple, который, помимо прочего, отвечает за криптографические операции, включая обработку паролей, TouchID и шифрование данных.
Атака состоит из объединения двух джейлбрейков для iOS - Checkm8 и Blackbird. Как оказалось они применимы и для T2. Хакер может подключиться через USB-C во время загрузки Mac и запустить эксплойты, что даст ему возможность выполнить код внутри чипа T2 и получить в нем рутовые права. Ну а в дальнейшем получить доступ ко всему содержимому атакованного Mac.
Более того, бета софта под названием Checkra1n v.0.11.0, который эксплуатирует оба джейлбрейка, уже находится в открытом доступе.
А теперь самое худое - уязвимость является аппаратной и в данный момент не может быть устранена. Единственное, что может сделать пользователь, подозревающий, что его T2 взломан, - переустановить стоящую на чипе bridgeOS с помощью Apple Configurator. И это поможет ровно до следующего применения Checkra1n.
Возможно Apple и придумают какую-либо заплатку, но, полагаем, не быстро.
До той же поры рекомендуем не оставлять без присмотра свои MacBook с конфиденциальной информацией, закрывать их в сейфы и не таскать их через пограничные переходы, где их могут изъять для "исследования".
Появилась новая методика взлома вспомогательного сопроцессора T2 устройств Apple, который, помимо прочего, отвечает за криптографические операции, включая обработку паролей, TouchID и шифрование данных.
Атака состоит из объединения двух джейлбрейков для iOS - Checkm8 и Blackbird. Как оказалось они применимы и для T2. Хакер может подключиться через USB-C во время загрузки Mac и запустить эксплойты, что даст ему возможность выполнить код внутри чипа T2 и получить в нем рутовые права. Ну а в дальнейшем получить доступ ко всему содержимому атакованного Mac.
Более того, бета софта под названием Checkra1n v.0.11.0, который эксплуатирует оба джейлбрейка, уже находится в открытом доступе.
А теперь самое худое - уязвимость является аппаратной и в данный момент не может быть устранена. Единственное, что может сделать пользователь, подозревающий, что его T2 взломан, - переустановить стоящую на чипе bridgeOS с помощью Apple Configurator. И это поможет ровно до следующего применения Checkra1n.
Возможно Apple и придумают какую-либо заплатку, но, полагаем, не быстро.
До той же поры рекомендуем не оставлять без присмотра свои MacBook с конфиденциальной информацией, закрывать их в сейфы и не таскать их через пограничные переходы, где их могут изъять для "исследования".
ZDNET
Hackers claim they can now jailbreak Apple's T2 security chip
Jailbreak involves combining last year's checkm8 exploit with the Blackbird vulnerability disclosed this August.
Международная морская организация (IMO) ООН на прошлой неделе подверглась атаке неустановленных хакеров, которая вынудила техническую поддержку отключить ряд сервисов учреждения. IMO отвечает за регулирование международного судоходства, а также за морскую экологию.
Согласно пресс-релизу IMO, кибернападение было проведено в прошлую среду и представляло собой "изощренную кибератаку, в ходе которой были преодолены жесткие меры безопасности" (наверняка сотрудник фишинговую приманку схватил). В результате, в целях предотвращения дальнейшего ущерба от атаки, были отключены ключевые системы, в числе которых сайт imo .org.
Принятыми мерами системы были восстановлены в пятницу.
Упоминание в пресс-релизе "мощной системы резервного копирования", а также того, что она регулярно тестируется, указывает с 90% вероятностью на то, что это была атака ransomware.
С учетом того, что все четыре крупнейших оператора морских перевозок уже были взломаны вымогателями, то атака на IMO - это вполне логичное продолжение истории. Осталось уточнить, почему операторы ransomware так не любят море. Может быть они грезили о парусе и соленых брызгах, а их не взяли в моряки...
Согласно пресс-релизу IMO, кибернападение было проведено в прошлую среду и представляло собой "изощренную кибератаку, в ходе которой были преодолены жесткие меры безопасности" (наверняка сотрудник фишинговую приманку схватил). В результате, в целях предотвращения дальнейшего ущерба от атаки, были отключены ключевые системы, в числе которых сайт imo .org.
Принятыми мерами системы были восстановлены в пятницу.
Упоминание в пресс-релизе "мощной системы резервного копирования", а также того, что она регулярно тестируется, указывает с 90% вероятностью на то, что это была атака ransomware.
С учетом того, что все четыре крупнейших оператора морских перевозок уже были взломаны вымогателями, то атака на IMO - это вполне логичное продолжение истории. Осталось уточнить, почему операторы ransomware так не любят море. Может быть они грезили о парусе и соленых брызгах, а их не взяли в моряки...
Prgloo
IMO web services - update 02/10/2020 Access to the www.imo.org website restored
Access to the public website www.imo.org has now been restored (Friday 2 October 14:00 BST)
Джон Макафи, основатель одного из мировых лидеров в производстве антивирусного ПО компании McAfee (в настоящее время он не имеет к ней отношения), как говорится, докатился. Честно говоря, у деда (75 годиков, как-никак) давно крыша потекла.
После всех чудачеств с женскими трусами на голове и более серьезных историй, типа обвинения в убийстве своего соседа в Белизе, ему, похоже, по настоящему прищемили афедрон.
Как сообщает BBC, Макафи был арестован в Барселоне по запросу Минюста США, который обвиняет его в уклонении от уплаты налогов в течение четырех лет с 2014 по 2018 год, несмотря на то, что за это время он заработал 23 миллиона долларов на консультациях, выступлениях, криптовалюте и продаже прав на свою биографию.
Кроме того его обвиняют в сокрытии активов в виде яхты и недвижимости.
По совокупности Макафи грозит 30 лет тюремного заключения, поскольку американские власти относятся к неуплате налогов очень нетерпимо. И если в приговоре будет реальный срок, то для него все может в тюрьме и закончиться.
Sic transit gloria mundi, скм.
После всех чудачеств с женскими трусами на голове и более серьезных историй, типа обвинения в убийстве своего соседа в Белизе, ему, похоже, по настоящему прищемили афедрон.
Как сообщает BBC, Макафи был арестован в Барселоне по запросу Минюста США, который обвиняет его в уклонении от уплаты налогов в течение четырех лет с 2014 по 2018 год, несмотря на то, что за это время он заработал 23 миллиона долларов на консультациях, выступлениях, криптовалюте и продаже прав на свою биографию.
Кроме того его обвиняют в сокрытии активов в виде яхты и недвижимости.
По совокупности Макафи грозит 30 лет тюремного заключения, поскольку американские власти относятся к неуплате налогов очень нетерпимо. И если в приговоре будет реальный срок, то для него все может в тюрьме и закончиться.
Sic transit gloria mundi, скм.
BBC News
Anti-virus creator John McAfee arrested over tax evasion charges
The anti-virus creator faces extradition to the US for allegedly failing to file tax returns.
Позиция канала SecAtor относительно подключенных к сети свистоперделок неоднократно нами озвучивалась и хорошо известна - нет! Потому что чем их больше тем больше уязвимостей.
Вчера британская инфосек компания Pen Test Partners сообщила об уязвимости, выявленной в мужском цифровом замке целомудрия Qiui Cellmate, которым можно управлять удаленно через Bluetooth с помощью мобильного приложения.
Дело в том, что в мобильном приложении оказался ряд уязвимостей, которые теоретически позволили бы злоумышленнику не только в течение пары дней собрать базу всех пользователей Qiui Cellmate, включая информацию об их местоположении, телефонном номере и дате рождения, но и дистанционно навсегда заблокировать устройство в закрытом состоянии.
Исследователи сообщили о проблеме китайскому производителю Qiui и те выпустили новую версию уязвимого API, но старые версии так и остались уязвимыми. В конце концов китайцы пропустили все сроки исправления ошибки и Pen Test Partners решили придать проблему огласке, чтобы легальные пользователи знали о подстерегающей их опасности.
Кстати, для снятия заблокированного Qiui Cellmate требуется УШМ или болторез (нет, срезать надо будет замок, а не болт).
Ну и хвала мирозданию, что эту ошибку не обнаружили операторы ransomware. Вот веселья-то было бы.
И еще одно - готовя этот пост мы узнали о существовании слова теледильдоника (да-да, от слов tele и dildo), которая означает технологии для удаленного секса. Теперь живите с этим.
Вчера британская инфосек компания Pen Test Partners сообщила об уязвимости, выявленной в мужском цифровом замке целомудрия Qiui Cellmate, которым можно управлять удаленно через Bluetooth с помощью мобильного приложения.
Дело в том, что в мобильном приложении оказался ряд уязвимостей, которые теоретически позволили бы злоумышленнику не только в течение пары дней собрать базу всех пользователей Qiui Cellmate, включая информацию об их местоположении, телефонном номере и дате рождения, но и дистанционно навсегда заблокировать устройство в закрытом состоянии.
Исследователи сообщили о проблеме китайскому производителю Qiui и те выпустили новую версию уязвимого API, но старые версии так и остались уязвимыми. В конце концов китайцы пропустили все сроки исправления ошибки и Pen Test Partners решили придать проблему огласке, чтобы легальные пользователи знали о подстерегающей их опасности.
Кстати, для снятия заблокированного Qiui Cellmate требуется УШМ или болторез (нет, срезать надо будет замок, а не болт).
Ну и хвала мирозданию, что эту ошибку не обнаружили операторы ransomware. Вот веселья-то было бы.
И еще одно - готовя этот пост мы узнали о существовании слова теледильдоника (да-да, от слов tele и dildo), которая означает технологии для удаленного секса. Теперь живите с этим.
Pen Test Partners
Smart male chastity lock cock-up | Pen Test Partners
TL;DR Smart Bluetooth male chastity lock, designed for user to give remote control to a trusted 3rd party using mobile app/API Multiple API flaws meant anyone could remotely lock all devices and prevent users from releasing themselves Removal then requires…
Malwarebytes представили материал о выявленной 17 сентября атаке Kraken, в ходе которой полезная нагрузка помещается внутрь службы Windows Error Reporting (WER).
В качестве первичного проникновения хакеры использовали фишинговые письма с информацией о правах работников на компенсацию (хороший ход). Полезная нагрузка в виде библиотеки kraken.dll загружается с предварительно скомпрометированного сайта и внедряет вредоносный шелл-код в исполняемый файл WerFault.exe.
Далее вредонос осуществляет несколько проверок - например, пытается выяснить находится ли он в песочнице или виртуальной машине. Если проверки прошли нормально, то расшифровывает окончательный шелл-код и помещает его в выделенную область памяти.
Этот шелл-код, в свою очередь, создает еще одну выделенную область памяти и загружает в нее вредоносные модули с предварительно определенного домена. Что это за модули ресерчеры не выяснили, поскольку на момент исследования домен был недоступен.
Таким образом, Kraken является безфайловой атакой, которая очень похожа на активность прогосударственной APT.
Malwarebytes не смогли с достаточной степенью достоверности установить кто из APT является автором Kraken, но некоторые TTPs позволяют предположить, что это были хакеры из вьетнамской Ocean Lotus aka APT 32.
Про вьетнамцев мы писали здесь - это весьма профессиональные хакеры, заточенные на кибершпионаж в отношении как государственных структур (например, МЧС Китая), так и крупных коммерческие компании (вьетнамцы ломали Toyota и Lexus, BMW, Hyundai).
#APT #OceanLotus
В качестве первичного проникновения хакеры использовали фишинговые письма с информацией о правах работников на компенсацию (хороший ход). Полезная нагрузка в виде библиотеки kraken.dll загружается с предварительно скомпрометированного сайта и внедряет вредоносный шелл-код в исполняемый файл WerFault.exe.
Далее вредонос осуществляет несколько проверок - например, пытается выяснить находится ли он в песочнице или виртуальной машине. Если проверки прошли нормально, то расшифровывает окончательный шелл-код и помещает его в выделенную область памяти.
Этот шелл-код, в свою очередь, создает еще одну выделенную область памяти и загружает в нее вредоносные модули с предварительно определенного домена. Что это за модули ресерчеры не выяснили, поскольку на момент исследования домен был недоступен.
Таким образом, Kraken является безфайловой атакой, которая очень похожа на активность прогосударственной APT.
Malwarebytes не смогли с достаточной степенью достоверности установить кто из APT является автором Kraken, но некоторые TTPs позволяют предположить, что это были хакеры из вьетнамской Ocean Lotus aka APT 32.
Про вьетнамцев мы писали здесь - это весьма профессиональные хакеры, заточенные на кибершпионаж в отношении как государственных структур (например, МЧС Китая), так и крупных коммерческие компании (вьетнамцы ломали Toyota и Lexus, BMW, Hyundai).
#APT #OceanLotus
Исследователи из команды Netlab китайской компании Qihoo 360 (кстати крупные ресерчеры по теме APT, классификация APT-C-xx хакерских групп принадлежит именно им) нашли новый ботнет HEH, который потенциально может нанести большой ущерб.
Ботнет распространяется путем брутфорса открытых портов 23 и 2323 на системы под операционными системами nix. Список поддерживаемых ботнетом архитектур весьма велик - x86, ARM, MIPS и PowerPC. Это означает, что он способен заражать сервера, маршрутизаторы, устройства IoT и т.п.
Поскольку ботнет пока совсем молодой, то стандартных модулей для вредоносной активности исследователи не нашли. Функциональность нового бота HIH ограничена - дальнейшее заражение, запуск HTTP-сервер с отображением Декларации прав человека на восьми языках, отслеживание других ботов для получения и передачи команд. А также вредонос содержит функцию стирания всех разделов на скомпрометированном устройстве.
И вот это последнее инфосек экспертов крайне волнует, поскольку существует сильно отличная от нуля вероятность того, что удаление всех данных на атакованном устройстве является одной из основных функций ботнета, запланированной с самого начала.
В случае активации этого спящего камикадзе могут выйти из строя миллионы зараженных систем, многие из них - безвозвратно.
Подобные ботнеты уже существовали - это BrickerBot, фактически уничтоживший в 2017 году более десяти миллионов IoT-устройств, и Silex, который появился в 2019 и также был нацелен на интернет вещей.
Ботнет распространяется путем брутфорса открытых портов 23 и 2323 на системы под операционными системами nix. Список поддерживаемых ботнетом архитектур весьма велик - x86, ARM, MIPS и PowerPC. Это означает, что он способен заражать сервера, маршрутизаторы, устройства IoT и т.п.
Поскольку ботнет пока совсем молодой, то стандартных модулей для вредоносной активности исследователи не нашли. Функциональность нового бота HIH ограничена - дальнейшее заражение, запуск HTTP-сервер с отображением Декларации прав человека на восьми языках, отслеживание других ботов для получения и передачи команд. А также вредонос содержит функцию стирания всех разделов на скомпрометированном устройстве.
И вот это последнее инфосек экспертов крайне волнует, поскольку существует сильно отличная от нуля вероятность того, что удаление всех данных на атакованном устройстве является одной из основных функций ботнета, запланированной с самого начала.
В случае активации этого спящего камикадзе могут выйти из строя миллионы зараженных систем, многие из них - безвозвратно.
Подобные ботнеты уже существовали - это BrickerBot, фактически уничтоживший в 2017 году более десяти миллионов IoT-устройств, и Silex, который появился в 2019 и также был нацелен на интернет вещей.
Команда Cisco Talos выложила обновление своего обзора появившегося в этом году вредоноса PoetRAT, атакующего азербайджанские организации.
Впервые PoetRAT, названный так из-за повторяющихся ссылок на произведения Вильяма, нашего, Шекспира, был выявлен феврале в ходе фишинговой кампании, нацеленной на государственный и энергетический сектора Азербайджана.
Документ-приманка содержал вредоносный скрипт, который сохранял часть документа, которая на самом деле являлась архивом ZIP, на диск. В архиве содержался интерпретатор Python и сам PoetRAT. В качестве дополнительных модулей троян подгружал инструмент поиска и эксфильтрации информации по электронной почте и FTP, скрипт для записи видео с веб-камеры, кейлогер, версию Mimikatz и др.
Несколько фишинговых кампаний по распространению PoetRAT было выявлено в течение 2020 года и все они были направлены на азербайджанские цели.
Новая кампания, выявленная в сентябре 2020 года, содержит приманку, которая якобы представляет собой письмо с гербами Азербайджана по углам. Макрос, как и раньше, содержит ссылки на литературные произведения, только теперь это фрагменты английского текста из романа Достоевского "Братья Карамазовы" (символичненько).
Новая версия PoetRAT использует обфускацию и разбита на несколько разных файлов. Эксфильтрация информации теперь происходит также через HTTP.
В начале октября фишинговая приманка изменилась - теперь это документ от лица Государственной службы призыва и мобилизации Азербайджана. Сам вредоносный скрипт теперь был написан на Lua вместо Python. Исследователи попытались получить полезную загрузку, однако вместо нее получили файл "FUCK-YOU.txt".
Насчет принадлежности PoetRAT пока никакого точного понимания нет. Логично было бы предположить, что его распространением занимаются спецслужбы Армении, однако вредонос является оригинальным, а ранее про армянские APT мы ничего не слышал. Кроме слухов о том, что армяне покупали хакерские инструменты у Hacking Team и GammaGroupu.
И еще одно - в первой выявленной фишинговой кампании в качестве приманки использовалось размытое изображение документа, содержащего логотип Организации оборонных исследований и разработок (DRDO) Минобороны Индии. Возможно, что ранее PoetRAT использовался для атак на Индию или Пакистан, которые вряд ли находятся в зоне интересов Армении. Зато мы знаем одних хитрых персов, которые заинтересованы и в информации в отношении Индии, и больше того в данных из соседнего Азербайджана, являющегося союзником их других заклятых соседей из Турции.
Но это не точно.
Впервые PoetRAT, названный так из-за повторяющихся ссылок на произведения Вильяма, нашего, Шекспира, был выявлен феврале в ходе фишинговой кампании, нацеленной на государственный и энергетический сектора Азербайджана.
Документ-приманка содержал вредоносный скрипт, который сохранял часть документа, которая на самом деле являлась архивом ZIP, на диск. В архиве содержался интерпретатор Python и сам PoetRAT. В качестве дополнительных модулей троян подгружал инструмент поиска и эксфильтрации информации по электронной почте и FTP, скрипт для записи видео с веб-камеры, кейлогер, версию Mimikatz и др.
Несколько фишинговых кампаний по распространению PoetRAT было выявлено в течение 2020 года и все они были направлены на азербайджанские цели.
Новая кампания, выявленная в сентябре 2020 года, содержит приманку, которая якобы представляет собой письмо с гербами Азербайджана по углам. Макрос, как и раньше, содержит ссылки на литературные произведения, только теперь это фрагменты английского текста из романа Достоевского "Братья Карамазовы" (символичненько).
Новая версия PoetRAT использует обфускацию и разбита на несколько разных файлов. Эксфильтрация информации теперь происходит также через HTTP.
В начале октября фишинговая приманка изменилась - теперь это документ от лица Государственной службы призыва и мобилизации Азербайджана. Сам вредоносный скрипт теперь был написан на Lua вместо Python. Исследователи попытались получить полезную загрузку, однако вместо нее получили файл "FUCK-YOU.txt".
Насчет принадлежности PoetRAT пока никакого точного понимания нет. Логично было бы предположить, что его распространением занимаются спецслужбы Армении, однако вредонос является оригинальным, а ранее про армянские APT мы ничего не слышал. Кроме слухов о том, что армяне покупали хакерские инструменты у Hacking Team и GammaGroupu.
И еще одно - в первой выявленной фишинговой кампании в качестве приманки использовалось размытое изображение документа, содержащего логотип Организации оборонных исследований и разработок (DRDO) Минобороны Индии. Возможно, что ранее PoetRAT использовался для атак на Индию или Пакистан, которые вряд ли находятся в зоне интересов Армении. Зато мы знаем одних хитрых персов, которые заинтересованы и в информации в отношении Индии, и больше того в данных из соседнего Азербайджана, являющегося союзником их других заклятых соседей из Турции.
Но это не точно.
Cisco Talos Blog
PoetRAT: Malware targeting public and private sector in Azerbaijan evolves
By Warren Mercer, Paul Rascagneres and Vitor Ventura.
* The Azerbaijan public sector and other important organizations are still targeted by new versions of PoetRAT.
* This actor leverages malicious Microsoft Word documents alleged to be from the Azerbaijan…
* The Azerbaijan public sector and other important organizations are still targeted by new versions of PoetRAT.
* This actor leverages malicious Microsoft Word documents alleged to be from the Azerbaijan…
Немного инфосек юмора.
СТО: "Наша сеть на 100% защищена, потому что мы установили рекомендованные Гартнер лидирующие продукты в области сетевой безопасности".
Русские APT:
СТО: "Наша сеть на 100% защищена, потому что мы установили рекомендованные Гартнер лидирующие продукты в области сетевой безопасности".
Русские APT:
Forwarded from Информация опасносте
Окей, эта история просто заслуживает войти в the best этого канала!
Короче, некто сжёг автомобиль у дома свидетеля, который проходит по делу певца R. Kelly. Федеральные органы запросили у Гугл информацию о всех пользователях, которые искали в Гугле адрес, по которому проживает этот свидетель, в рамках времени, когда произошёл поджог. Этот запрос с ордером привёл к запросу с определённого IP-адреса в соседнем штате за пару дней до поджога. IP адрес принадлежал телефону, который был записан на некоего гражданина. Который оказался родственником издателя певца R. Kelly. Затем представители правоохранительных органов проанализировали логи с базовых станций вокруг дома, где был подожжен автомобиль. Сюрприз-сюрприз, в логах БС оказался тот же телефон, принадлежащий уже установленному гражданину, и по логам он там фигурировал прямо во время поджога. Агенты арестовали его, и в телефоне обнаружилась информация о поездке в день поджога, с остановкой возле места, где произошёл поджог. Такой вот цифровой след. Детали расследования по ссылке в документе
https://www.documentcloud.org/documents/7222789-Another-R-Kelly-Search-Warrant.html
Короче, некто сжёг автомобиль у дома свидетеля, который проходит по делу певца R. Kelly. Федеральные органы запросили у Гугл информацию о всех пользователях, которые искали в Гугле адрес, по которому проживает этот свидетель, в рамках времени, когда произошёл поджог. Этот запрос с ордером привёл к запросу с определённого IP-адреса в соседнем штате за пару дней до поджога. IP адрес принадлежал телефону, который был записан на некоего гражданина. Который оказался родственником издателя певца R. Kelly. Затем представители правоохранительных органов проанализировали логи с базовых станций вокруг дома, где был подожжен автомобиль. Сюрприз-сюрприз, в логах БС оказался тот же телефон, принадлежащий уже установленному гражданину, и по логам он там фигурировал прямо во время поджога. Агенты арестовали его, и в телефоне обнаружилась информация о поездке в день поджога, с остановкой возле места, где произошёл поджог. Такой вот цифровой след. Детали расследования по ссылке в документе
https://www.documentcloud.org/documents/7222789-Another-R-Kelly-Search-Warrant.html
www.documentcloud.org
Another R Kelly Search Warrant