͏Кратко про прошедший SOC-Forum

Исследователи Unciphered предупреждают о появлении эксплойта под названием Randstorm, который позволяет получать доступ к криптокошелькам на различных блокчейн-платформах, созданным в период с 2011 по 2015 гг.

Randstorm — это термин, используемый для описания набора ошибок, которые способствовали созданию кошельков с потенциально слабыми криптографическими ключами.

При этом, по оценкам исследователей, совокупный объем сгенерированной крипты на них достигает около 1,4 млн BTC.

Полагая, что только 3-5% кошельков, созданных за это время, были затронуты, текущая стоимость монет, находящихся под угрозой, составляет от 1,2 до 2,1 миллиарда долларов США (если1 BTC = 30 000 долл.).

Проблема была обнаружена в январе 2022 года, когда специалисты привлекались к выполнению заказа неназванного клиента, у которого был заблокирован доступ к кошельку Blockchain.com.

Но еще раньше с ней столкнулся исследователь с псевдонимом ketamine еще в 2018 году.

Суть уязвимости связана с использованием BitcoinJS, пакета JavaScript с открытым исходным кодом, в разработке браузерных приложений для криптовалютных кошельков.

В частности, Randstorm основан на использовании пакетом функции SecureRandom() в библиотеке javascript JSBN в сочетании с криптографическими слабостями, существовавшими в то время в реализации веб-браузерами функции Math.random(), которая допускала слабые псевдослучайные числа.

Позже в марте 2014 года разработчики BitcoinJS прекратили использование JSBN, но проблема осталась и может быть использована для организации атак методом перебора и восстановления закрытых ключей кошелька, сгенерированных с помощью библиотеки BitcoinJS (или зависимых от нее проектов).

Легче всего взломать кошельки, созданные до марта 2012 года.

Результаты еще раз проливают новый свет на вопросы безопасность зависимостей, лежащие в основе программной инфраструктуры с открытым исходным кодом, показывая, как уязвимости в таких фундаментальных библиотеках могут вызывать каскадные риски для цепочки поставок, как это было в случае с Apache Log4j в 2021 году.

Недостаток уже был встроен в кошельки, созданные с помощью уязвимого ПО, и он останется там навсегда, если только средства не будут переведены в новый кошелек, созданный с помощью нового ПО.

Проверить, уязвим ли ваш кошелек можно на сайте www.keybleed[.]com.

Johnson Controls исправила критическую уязвимость в промышленном холодильном оборудовании Frick, которая может позволить неавторизованному пользователю получить полный контроль над системой Quantum HD.

CVE-2023-4804 с рейтингом CVSS 10 влияет на компрессор Frick Quantum HD Unity, AcuAir, конденсатор, испаритель, машинную часть и интерфейсные панели управления. 

Потенциально уязвимое оборудование используется по всему миру поставщиками в сфере пищевой промышленности, а также и в критически важных производственных секторах.

Ошибка была обнаружена независимым исследователем и устранена в каждой из затронутых панелей управления, на что поставщику потребовалось почти полгода.

Выпуск патча занял больше времени, чем первоначально предполагалось, потому как влияние проблемы оказалось шире, а в исправлении нуждались все платформы одновременно.

Причем также выяснилось, что уязвимость в продукте Johnson Controls была связана с цепочкой поставок программного обеспечения, поскольку первоначальным поставщиком был Frick, которую позже выкупила компания York, ставшая, в свою очередь, затем частью Johnson Controls.

Конечно, сложно понять, чего добьется злоумышленник, скомпрометировав конкретный продукт в реальной среде, но в целом гипотетические кибератаки могут вызвать сбои в работе холодильного оборудования и причинить ощутимый финансовый ущерб.

Причем некоторые экземпляры Quantum HD также подключены к Интернет и могут быть уязвимы для атак, которые между делом, имеют низкую сложность.

͏Как рапортуют из киберподполья, ThreatSec по всей видимости взломал Amisragas, одну из крупнейших газовых компаний Израиля.

Группа утверждает, что получила доступ к некоторым панелям управления, которые позволяют им контролировать работу газовых линий и влиять на подачу голубого топлива.

Исследователи Acronis анонсировали цикл исследований, посвященных анализу активных в настоящее время штаммов ransomware

В своем исследовании авторы демонстрируют насколько среда вымогателей стала разнообразной за эти годы, включая как угрозы высокого уровня, так и нижние уровни иерархии киберпреступников.

В каждом случае исследователи отмечают, что постарались изучить образ действий злоумышленника, используемые инструменты и методы шифрования.

В первой статье исследовали привели подробное описание новой ransomware QazLocker, которая несмотря на простую природу, по-прежнему способна уверенно шифровать и наносить значительный ущерб жертвам, особенно тем, кто не имеет резервных копий и комплексной защиты конечных точек.

Злоумышленники в основном использовали легкодоступные, готовые хакерские инструменты для компрометации паролей и сканирования, реализуя замысел первых признаков компрометации и до запуска ПО-вымогателя в некоторых случаях за четыре дня.

Все технические подробности, индикаторы компрометации и дешифратор на Python представлены в отчете.

Исследователи Outpost24 выкатили отчет с обзором обновленной версии инфостиллера LummaC2 (Lumma Stealer), который теперь реализует технику защиты от песочницы на основе тригонометрии.

Написанная на языке программирования C, LummaC2 продается на хакерских форумах с декабря 2022 года за 250-1000 долл. и с тех пор несколько раз получала итеративные обновления, которые усложняют анализ посредством выравнивания потока управления и позволяют доставлять дополнительную полезную нагрузку.

Текущая версия LummaC2 v4.0 также реализует зашифрованные строки XOR, поддержку файлов динамической конфигурации и принудительное использование шифрования во всех сборках.

Еще одно примечательное новшество — использование тригонометрии для идентификации человеческого поведения на зараженной конечной точке.

Новый метод уклонения от обнаружения оттягивает выполнение образца до тех пор, пока не будет идентифицирована активность движения мыши человеком на основе учета различных положений курсора за короткий интервал времени, эффективно обнаруживая все возможные имитации.

Для этого он извлекает текущую позицию курсора пять раз после заранее определенного интервала ожидания в 50 миллисекунд и проверяет, отличается ли каждая захваченная позиция от предыдущей. Процесс повторяется бесконечно, пока все последовательные позиции курсора не будут различаться.

Как только все пять позиций курсора (P0, P1, P2, P3 и P4) соответствуют требованиям, LummaC2 рассматривает их как евклидовы векторы и вычисляет угол, образованный между двумя последовательными векторами (P01-P12, P12-P23 и P23-P34).

Если все рассчитанные углы меньше 45°, то LummaC2 v4.0 считает поведение мыши «человеческим», и продолжает выполнение.

Однако, если какой-либо из рассчитанных углов превышает 45 градусов, вредоносная программа начнет процесс заново, проверив движение мыши в течение 300 миллисекунд и снова захватив 5 новых позиций курсора для обработки.

Еще одним интересным изменением Lumma является требование использования шифровальщика для защиты исполняемого файла вредоносного ПО от утечки.

Lumma теперь автоматически проверяет наличие определенного значения по определенному смещению в исполняемом файле, чтобы определить, зашифрован ли он, и выдает предупреждение, если это не так.

Последняя версия похитителя Lumma демонстрирует повышенное внимание к уклонению от анализа, вводя несколько уровней защитных мер, призванных помешать и усложнить любые попытки проанализировать и понять его механизмы.

В общем последняя версия похитителя Lumma демонстрирует повышенное внимание разработчиков к уклонению от анализа, указывая на дальнейшую эволюцию угрозы.

͏Новый штамм ransomware атакует мой компьютер.

В это время Microsoft Defender:

͏Хактивисты взломали Национальную лабораторию ядерных исследований в Айдахо (INL) и выкрали конфиденциальные данные, о чем стало известно после публикации SiegedSec соответствующих пруфов в даркнете.

INL — это центр ядерных исследований по управлением Министерства энергетики США со штатом в 5700 специалистов, площадью более 2310 км2 и 50 экспериментальными ядерными реакторами, который специализируется в области атомной энергетики и национальной безопасности.

В настоящее время INL занимается разработкой атомных электростанций следующего поколения, легководных реакторов, кибербезопасностью систем управления, испытаниями передовых транспортных средств, биоэнергетикой, робототехникой, а также переработкой ядерных отходов.

Получив доступ к данным INL, хакеры SiegedSec слили подробную информацию на сотни тысяч сотрудников и пользователей систем на хакерских форумах и Telegram, как это они делали ранее в рамках инцидентов с НАТО и Atlassian.

Опубликованная SiegedSec информация включала: полные установочные данные, адреса электронной почты и телефоны, номера социального страхования (SSN), адреса проживания и сведения о трудоустройстве.

Для большей убедительности SiegedSec также выкатили скрины интерфейсов систем Oracle HCM в INL, также попутно разместив сообщение о взломе внутри корпоративной сети.

INL пока не давала заявлений по поводу инцидента. Тем не менее, представитель подтвердил факт нарушения, отметив, что в настоящее время ведется расследование с участием спецслужб и силовых структур, которые должны будут установить масштабы инцидента и возможную утечку научных данных.

Будем посмотреть.

Специалисты из Лаборатории Касперского в рамках проекта Kaspersky Security Bulletin продолжают моделировать и пытаться предвидеть развитие финансовых угроз и crimeware, ежегодно анонсируя свои прогнозы по возможным трендам на будущий год с оценкой заявленных в предыдущем периоде.

В целом большинство прогнозов на 2023 год оказались верными: развитие новых угроз в мире Web3 и криптовалют, рост популярности загрузчиков вредоносного ПО на теневом рынке и изменение мотивов вымогателей, которые сосредоточатся на разрушительных (в частности, политически мотивированных) атаках.

Прогноз об активном использовании новых средств для тестирования на проникновение в преступных целях в целом не оправдался — ресерчеры не наблюдали в атаках новых популярных фреймворков, отличных от Cobalt Strike и Brute Ratel C4.

Вопреки ожиданиям ЛК, операторы ransomware остались верны битку, при этом они полагаются миксеры для маскировки своих транзакций.

А в 2024 году исследователям придется решать множество сложных задач и противостоять все более изощренным TTPs злоумышленников, эксплуатирующих уязвимости финансовых систем. Ожидается, что:

- Стремительно возрастет количество кибератак с использованием технологий машинного обучения. Такой подход приведет к росту числа непрофессиональных атак — порог вхождения в эту нишу снизится, при этом возрастут шансы обмануть жертву.

- Мошенники будут чаще атаковать системы мгновенных платежей, интегрируя их в свои мошеннические схемы. Для быстрого, беспрепятственного вывода украденных средств все чаще будут использоваться мобильные банковские троянцы.

- Системы автоматического перевода (ATS), при котором банковский зловред совершает транцзакции, как только пользователь входит в банковское приложение, будут использоваться хакерами по всему миру.

- Многие киберпреступники из Восточной Европы переключились на шифровальщики, отказавшись от зловредов для онлайн-банкинга. Освободившуюся нишу могут занять бразильские банковские троянцы. Эти и другие семейства будут активно распространяться по миру, претендуя на звание нового ZeuS.

- Вымогатели будут тщательнее выбирать цели, делая атаки на финансовые организации более целенаправленными и разрушительными.

- Киберпреступники будут эксплуатировать уязвимости популярного ПО с открытым исходным кодом, ставя под угрозу безопасность, данные и финансы организаций, которые его используют.

- Атак с использованием 0-day станет меньше, а количество уязвимостей первого дня возрастет. Преступники также будут чаще обращать внимание на ошибки в конфигурации устройств и сервисов.

- Экосистема киберпреступных групп станет более гибкой — ее участники будут переходить из одной группы в другую или работать на несколько групп одновременно.

- Для создания вредоносного ПО и эксплуатации уязвимостей будут применяться менее распространенные кроссплатформенные языки программирования, такие как Golang и Rust, что усложнит обнаружение угроз и противодействие им.

- На фоне социально-политических конфликтов возрастет активность хактивистов, чья цель — вывести из строя критическую инфраструктуру и службы.

В киберподполье жизнь бьет ключом.

Ransomware-картель LockBit вводит новые правила для своих операторов, которые регламентируют переговорный процесс и условия выкупа.

Новый утвержденный порядок вступил в силу с начала октября, поводом для этого послужила участившаяся «порочная» практика снижения суммы выкупа и щедрые скидочные программы для жертв.

По данным исследователей Analyst1, операторы теперь будут вынуждены следовать многоуровневой процентной системе для определения суммы выкупа.

В основу калькуляции положена величина годового дохода жертвы:
- компании с выручкой до $100 млн должны будут платить от 3% до 10%;
- компании с выручкой до $1 млрд - от 0,5% до 5%;
- компании с выручкой более $1 млрд - от 0,1% до 3%.

При это операторам теперь также запрещено предоставлять скидки, превышающие 50% от размера первоначального требования о выкупе.

Исследователи из Adlumin сообщают об обнаружении доказательств того, что банда вымогателей Play теперь реализуется по модели RaaS.

Cybereason предупреждают о появлении новой серьезной ransomware INC, которая активна с августа этого года и уже успешно атаковала ряд компаний из США и Европы (одна жертва была из Сингапура).

Известные как Phobos RaaS вымогатели решили подставить команду vx-underground, выпустив специальную версию своей ransomware, которая в записке о выкупе указывала контактные реквизиты исследователей.

Аналогичным образом злоумышленники пытались дискредитировать редакцию канала SecAtor, подменяя учетные данные жертв атак из числа пользователей «дырявой» OctoberCMS нашим email.

Citrix выступила (с последним китайским) предупреждением, напоминая в стотысячный раз администраторам NetScaler и ADC не только обновить свое ПО, но и залочить предыдущие пользовательские сеансы и завершить все активные.

Это обусловлено тем, что злоумышленники, воспользовавшиеся уязвимостью CitrixBleed (CVE-2023-4966 ), крадут токены аутентификации, которыми затем смогут воспользоваться позже, даже на полностью исправленных устройствах.

Такой сценарии в атаках CitrixBleed уже активно практикует картель вымогателей LockBit, которым к настоящему времени удалось хакнуть Boeing и выкрасть 43 ГБ данных.

В списке жертв немало уже и других именитых брендов. И это при том, что неделю назад более 10 000 серверов Citrix, доступных в Интернете, оставались уязвимы для атак CitrixBleed.

Исследователи Trend Micro заметили, что возможностями критической уязвимости Apache ActiveMQ помимо банд вымогателей HelloKitty и TellYouThePass воспользовались операторы ботнета Kinsing.

Операторы вредоносного ПО активно используют CVE-2023-46604 на серверах ActiveMQ для компрометации систем Linux и развертывания майнеров криптовалюты.

Операторы Kinsing известны тем, что использует известные недостатки, которые часто упускают из виду системные администраторы, как случае с Log4Shell или Atlassian Confluence RCE.

Как отмечают исследователи, в настоящее время доступны эксплойты, которые реализуют метод ProcessBuilder для выполнения bash-скриптов и загрузки дополнительных полезных данных на зараженное устройство из вновь созданных процессов системного уровня.

Преимущество метода заключается в том, что он позволяет вредоносному ПО выполнять сложные команды и сценарии с высокой степенью контроля и гибкости, избегая при этом обнаружения.

Прежде чем запустить свой инструмент для майнинга крипты, Kinsing проверяет машину на наличие майнеров Monero, уничтожая все связанные процессы, crontab и активные сетевые соединения.

После этого устанавливает постоянство с помощью cronjob, который извлекает последнюю версию сценария заражения, а также добавляет руткит в /etc/ld.so.preload.

Добавление руткита гарантирует, что его код будет выполняться при каждом запуске процесса в системе, при этом он останется относительно скрытым и трудноудаляемым.

Поскольку число злоумышленников, использующих CVE-2023-46604, прогрессивно увеличивается, организации во многих секторах остаются под угрозой в случае их участия в атаке на цепочку мудаков игнорирования уязвимости или признаков компрометации.

Исследователи Blackwing Intelligence и Microsoft Offensive Research and Security Engineering (MORSE) протестировали датчики аутентификации по отпечатку пальца для Windows Hello на популярных ноутбуках и смогли обойти ее на каждом устройстве.

В качестве подопытных образцов были использованы Dell Inspiron 15 со сканером Goodix, Lenovo ThinkPad T14s с датчиком Synaptics и Microsoft Surface Pro X с датчиком ELAN.

Все представленные датчики реализованы по технологии Match-on-Chip (MoC), имея на борту собственный микропроцессор и хранилище и проведя обработку отпечатков изолированно внутри чипа, что предотвращает воспроизведение сохраненных данных отпечатков пальцев на хосте для сопоставления.

Кроме того, для защиты от подобных атак Microsoft разработала протокол SDCP, который гарантирующий надежность и исправность датчика, а также защиту входных данных между устройством и хостом.

Но на деле оказалось, что SDCP охватывает лишь очень узкую область действия типичного устройства, в то время как большинство устройств имеют значительную поверхность атаки, которая вообще не покрывается им.

В итоге исследователи, полагаясь на программный и аппаратный реверс-инжиниринг, смогли успешно обойти аутентификацию Windows Hello, используя MiTM на всех трех ноутбуках и специальное устройство Raspberry Pi 4 на базе Linux.

Атака требует физического доступа к целевому устройству — злоумышленнику придется украсть устройство или использовать метод под названием evil maid attack.

В опытных условиях они проводились посредством подключения хакерского оборудования к каждому ноутбуку через USB или самого датчика к оборудования.

На ноутбуках Dell и Lenovo обход аутентификации достигался путем перебора действительных идентификаторов и регистрации отпечатка пальца злоумышленника с использованием идентификатора законного пользователя Windows (датчик Synaptics использовал собственный стек TLS вместо SDCP для защиты USB-соединения).

В случае с устройством Surface, чей датчик ELAN не имел защиты SDCP, потребовалось отсоединить Type Cover и подключить USB-устройство, которое подделывает датчик отпечатков пальцев, сообщая системе о входе в систему авторизованного пользователя.

Исследователи Blackwing Intelligence поделились в блоге описанием своих результатов, а Microsoft выкатила ролик с презентацией Blackwing своих выводов на конференции BlueHat в октябре.

Новый DDoS-ботнет InfectedSlurs эксплуатирует для своего масштабирования две 0-day в роутерах и сетевых рекордерах (NVR).

InfectedSlurs, названный так из-за использования ненормативной лексики в доменах C2 и жестко закодированных строк, является вариантом JenX Mirai и объединяет почти 20 тысяч скомпрометированных устройств.

Инфраструктура C2 также по всей видимости реализует вредоносные кампании hailBot.

За активностью InfectedSlurs наблюдают исследователи Akamai, которые впервые обнаружили ее в своих ханипотах в конце октября 2023 года после аномалий на редко используемом TCP-порте. При этом первоначально ботнет засветился еще в конце 2022 года.

Злоумышленники инициировал попытки пройти аутентификацию посредством POST-запросов с последующим внедрением команд.

После анализа всего пула целевых устройств была выявлена их принадлежность к конкретному поставщику, у которого, как выяснилось, не нашлось для эксплуатируемых критических RCE-проблем присвоенных CVE.

Дальнейшее изучение показало, что вредоносное ПО также использует учетные данные по умолчанию, описанные в руководствах поставщиков нескольких решений NVR, для установки клиента-бота и выполнения других вредоносных действий.

Ресерчеры отмечают, что затронутые поставщики еще не представили исправлений. Патчи для уязвимостей ожидаются к декабрю, поэтому пока компания не раскрывает конкретных производителей.

Как и Mirai, InfectedSlurs не имеет механизма сохранения. Учитывая отсутствие патча для затронутых устройств, перезагрузка вашего сетевого видеорегистратора и устройств root должна временно подорвать работу ботнета.

Кроме того, исследователи рекомендуют отключить стандартные креды, изолировать потенциально уязвимые устройства для их проверки согласно приведенным IOC, Yara и Snort для поиска признаков компрометации.

͏Представители киберподполья анонсировали обнаружение 0-day в решении F5 BIG-IP и реализуют RCE-эксплойт по цене в 100 000 долларов США, которые намерены продать единственному покупателю через гаранта и в расчетах Monero.

Все признаки указывают на то, что предложение более чем реально, а у поставщика есть уникальная возможность стать тем самым счастливчиком-обладателем эксплойта.

Так что будем посмотреть.

Расследование рядового инцидента привело ресерчеров из Лаборатории Касперского к обнаружению hrserv, ранее неизвестной веб-оболочки со сложными функциями.

Дальнейший анализ позволил идентифицировать связанные варианты, датированные 2021 годом, указывающими на потенциальную корреляцию между различными наблюдаемыми кластерами вредоносной активности.

Начальное заражение связано с процессом PAExec.exe, который инициирует создание в системе запланированного задания с именем MicrosoftsUpdate, которое, в свою очередь, предназначено для выполнения BAT, принимающего в качестве аргумента путь к файлу DLL.

В этом случае сценарий поставляется с файлом $public\hrserv.dll, который затем копируется в каталог System32. После чего скрипт настраивает службу через системный реестр и утилиту sc, активируя вновь созданную службу.

Последовательность операций начинается с регистрации обработчика службы. Затем HrServ запускает HTTP-сервер, используя API HTTP-сервера для своей функциональности.

Он вызывает функцию HttpAddUrlToGroup для регистрации следующего URL-адреса, чтобы соответствующие запросы направлялись в очередь запросов.

Для связи клиент-сервер используются специальные методы кодирования, включающие кодировку Base64 и алгоритмы хеширования FNV1A64.

В зависимости от типа и информации в HTTP-запросе активируются определенные функции. В памяти системы активируется многофункциональный имплант.

Имплант создает файл в каталоге «%temp%», извлекает информацию из реестра, выполняет на основе этой информации некоторые действия и записывает результат этих действий в созданный файл. В результате реестр и временный файл используются как канал связи между имплантатом и HrServ.

После успешного закрепления в системной памяти, происходит удаление запланированного задания MicrosoftsUpdate, исходной DLL и пакетных файлов.

По данным телеметрии ЛК, в качестве единственно известной жертвы удалось идентифицировать правительственное учреждение в Афганистане. Анализ TTPs не позволил однозначно атрибутировать угрозу.

Но есть ряд интересных моментов: параметры GET, используемые в файле hrserv.dll для имитации служб Google, включают «hl», который определяет основной язык пользовательского интерфейса.

Присвоенное значение «en-TW» указывает, что интерфейс поиска Google должен отображаться на английском языке, а результаты поиска - на китайском.

Кроме того, ряд допущенных опечаток позволяют предположить, что актор, стоящий за образцами, не является носителем английского языка.

Исследователи полагают, что  характеристики вредоносного ПО в большей степени соответствуют финансово мотивированной вредоносной деятельности, однако операционная методология hrserv больше соотносится с поведением APT.

Microsoft раскрывает коварную кампанию северокорейской Lazarus Group, нацеленной на тысячи жертв по всему миру из числа пользователей мультимедийного ПО тайваньской CyberLink (выпускавшей в свое время популярный PowerDVD) в рамках реализации атаки на цепочку поставок.

Расчехлив разработчика с 400 млн. установок приложений, Lazarus заразили трояном один из установщиков для широкого распространения своего вредоносного ПО LambLoad через обновления с оригинальной инфраструктуры поставщика.

Причем для подписи вредоносного исполняемого файла АРТ использовала сертификат, выданный CyberLink Corp.

Активность была замечена Microsoft Threat Intelligence еще 20 октября 2023 года и с того времени затронула более чем 100 устройствах по всему миру, в том числе в Японии, Тайване, Канаде и США.

Microsoft с высокой степенью уверенности атрибутировала новую кампанию с Diamond Sleet (ZINC, Labyrinth Chollima или Lazarus).

Полезная нагрузка второго этапа, обнаруженная в ходе расследования, взаимодействует с инфраструктурой С2, которая фигурировала в других инцидентах, связанных с АРТ.

LambLoad нацелен на системы, не защищенные решениями безопасности FireEye, CrowdStrike или Tanium. В противном случае исполняемый файл продолжает работать без запуска связанного вредоносного кода.

Если критерии соблюдаются вредоносная программа подключается к одному из трех серверов C2 для получения полезной нагрузки второго этапа, , которая маскируется под файл PNG, который содержит встроенную полезную нагрузку внутри поддельного внешнего заголовка, расшифровываемого и запускаемого в памяти.

После выполнения вредоносная программа пытается связаться с легитимным, но скомпрометированным доменом для получения дополнительных полезных данных.

Это достаточно характерный для Lazarus вектор атаки, который применялся для компрометации используемого в криптосфере ПО с целью дальнейшей кражи активов.

Примечательно, что до настоящего времени Microsoft не обнаружила дальнейшего развития атаки и гипотетические цели кампании пока не нашли своего подтверждения.

После обнаружения атаки на цепочку поставок Microsoft проинформировала CyberLink и GitHub, который, в свою очередь, предпринял меры по удалению полезной нагрузки второго этапа.

Исследователи Лаборатории Касперского продолжают готовить аналитику по прогнозам угроз на 2024 год. В дополнение к предыдущим публикациям специалисты представили обзор по угрозам для пользователей.

Причем согласно прошлогодним предсказаниям, мошенники и киберпреступники в 2023 году извлекли выгоду из крупных событий и культурных увлечений, используя различные уловки, от фальшивых сделок с куклами Барби до использования ажиотажа вокруг давних сделок.

Киберпреступники продолжали атаковать учетные записи геймеров.

Однако прогноз по дефициту консолей, вызванному выпуском набора PS5 VR от Sony, не оправдался, поскольку в январе компания объявила, что с дефицитом покончено.

Хотя мы ожидали появления новой социальной сети, которая встряхнет сцену, ничего не произошло.

Вместо этого ChatGPT оказался главным технологическим открытием, посредством которого киберпреступники ловко нацелились на более широкую потенциальную аудиторию с поддельным приложением ChatGPT.

Говоря об образовании, хотя в 2023 году были зафиксированы атаки программ-вымогателей на школы, утечки университетских данных. Однако значительного всплеска атак на образовательные платформы не произошло.

Поскольку первоначальное волнение по поводу Метавселенной отошло на второй план по сравнению с искусственным интеллектом, картина угроз оказалась мягче, чем ожидалось.

Тем не менее, взлом компании метавселенной, которая привела к рассылке вредоносных писем ее пользователям, намекает на продолжающиеся риски. Исследователи полагают, что тренд сохранится и в 2024 году.

Хотя в 2023 году не зафиксировано ни одного случая, когда киберпреступники атаковали бы приложения в области психического здоровья, но вопросы их безопасности так или иначе возникали.

В преддверии 2024 года в ЛК полагают, что на картину потребительских угроз будут оказывать сильное влияние политические, культурные и технологические события, а главными трендами станут следующие:

- Ожидается рост мошенничества, связанного с благотворительностью.

- Продолжится сегментация глобальной сети.

- Значительное повышение спроса на VPN-решения во всем мире.

- Спрос на пользовательские моды и неофициальные альтернативы для популярных приложений будет сопровождаться атаками с продвижением через них вредоносного кода.

- Учитывая значительные инвестиции и привлекательность P2E-игр, киберпреступники будут уделять больше внимания к этому сектору.

- Борьба с дипфейками может привести к созданию универсальных инструментов противодействия.

- Потенциал голосовых дипфейков как инструмента киберпреступности будет расти и использоваться все активнее.

- Злоумышленники будут задействовать ажиотаж вокруг премьер в сфере кинематографа и видеоигр в своих мошеннических схемах с доступом к эксклюзиву.

Исследователи F.A.C.C.T. сообщают, что АРТ XDSpy снова в деле и на этот раз нацелена на российских металлургов и отечественный ВПК.

Новые вредоносные рассылки были обнаружены 21-22 ноября и адресовались одному из российских металлургических предприятий, а также НИИ, специализирующийся на разработке боевых ракет.

В обоих случаях в подписи красуется логотип "ядерного" НИИ, а в качестве отправителя указана электронная почта логистической компании из Калининграда.

Металлургам же писали якобы коллеги из Белоруссии.

Киллчейн новой ноябрьской кампании соответствует ранее описанным атакам XDSpy, которые мы также отслеживали ранее, а со свежими индикаторами компрометации можно ознакомиться в блоге исследователей F.A.C.C.T.

При этом виктимология XDSpy также соотносится с предыдущими целями из числа военных, финансовых учреждений, энергетических, исследовательских и добывающих компании в РФ.

Несмотря на то, что АРТ активна с 2011 года, но до сих пор международные исследователи не знают, в интересах какой страны она работает.

Мы же остаемся верны своему мнению, полагая, что XDSpy работает под патронажем одной из спецслужб разведсообщества Five Eyes.