DarkNetNews

2023-11-08 17:32:48 Ботнет Socks5Systemz заразил более 10 000 устройств, превращая их в прокси

Аналитики из компании BitSight обнаружили прокси-ботнет Socks5Systemz, который заражает компьютеры по всему миру через загрузчики PrivateLoader и Amadey, и в настоящее время насчитывает более 10 000 скомпрометированных устройств.

Согласно отчету BitSight, этот ботнет существует с 2016 года, но до недавнего времени оставался незамеченным. Малварь заражает компьютеры жертв и превращает их в прокси-серверы, которые используются для перенаправления вредоносного, незаконного и анонимного трафика. Доступ к Socks5Systemz продается другим преступникам, которые платят от 1 до 140 долларов в день в криптовалюте за использование мощностей ботнета.

Упомянутые PrivateLoader и Amadey распространяются самыми разными способами: посредством фишинга, наборов эксплоитов, вредоносной рекламы, троянизированных исполняемых файлов, загруженных из P2P-сетей и так далее.

Образцы, изученные исследователями, назывались previewer.exe, и их задача заключалась во внедрении прокси-бота в память хоста и закреплении в зараженной системе через службу Windows под названием ContentDWSvc. Открыть/Комментировать

2023-11-06 17:32:38 Flipper Zero приспособили для Bluetooth-спама на устройства под управлением Android и Windows

В альтернативной прошивке Xtreme для Flipper Zero появилась функция для проведения Bluetooth-атак на устройства под управлением Android и Windows. Ранее подобный Bluetooth-спам на iOS-девайсы демонстрировал ИБ-исследователь, который и вдохновил энтузиастов на эксперименты с другими платформами.

Напомним, что в сентябре 2023 года ИБ-специалист под ником Techryptic показал, что затруднить работу iPhone можно при помощи Flipper Zero и множества фальшивых сообщений о подключении Bluetooth-девайсов.

Дело в том, что устройства Apple, поддерживающие технологию Bluetooth Low Energy (BLE), используют рекламные пакеты (ADV-пакеты) для оповещения других устройств о своем присутствии. Пакеты ADV широко используются в экосистеме Apple для обмена данными по протоколу AirDrop, подключения Apple Watch или AppleTV, активации функции Handoff и во многих других сценариях.

Flipper Zero способен подделывать такие ADV-пакеты и передавать их через BLE. В итоге устройства с поддержкой BLE, находящиеся в неподалеку, будут воспринимать эти пакеты как запросы на подключение. То есть эту особенность можно использовать для отправки жертве множества фальшивых запросов, затрудняя распознавание настоящих устройств, имитируя доверенные устройства для проведения фишинговых атак и так далее. Открыть/Комментировать

2023-11-04 17:03:00 Обнаружен подпольный сервис для сокращения URL

Группировка Prolific Puma на протяжении как минимум четырех последних лет предоставляет услугу по сокращению ссылок другим злоумышленникам. Только за последние полтора года хакеры зарегистрировали до 75 000 уникальных доменных имен, в основном злоупотребляя API регистратора NameSilo.

Аналитики компании Infoblox, специализирующейся на DNS-угрозах, сообщают, что Prolific Puma создает доменные имена, используя RDGA (Registered Domain Generation Algorithm) и использует эти домены для предоставления услуг по сокращению ссылок другим злоумышленникам, «тем самым помогая им избежать обнаружения при распространении фишинговых, мошеннических и вредоносных программ».

Как известно, хакеры часто используют укорачиватели ссылок для фишинговых атак, поэтому Prolific Puma играет важную роль в хакерской цепочке поставок. Исследователи подсчитали, что только за период апреля 2022 года по настоящее время злоумышленники зарегистрировали от 35 000 до 75 000 уникальных доменных имен (до 800 доменов в день). Открыть/Комментировать

2023-11-02 17:33:45 Разработано Android-приложение для рассылки Bluetooth-спама

Недавно энтузиасты добавили в альтернативную прошивку Xtreme для Flipper Zero функцию для проведения Bluetooth-атак на устройства под управлением Android и Windows. Теперь эту функциональность выделили в отдельное Android-приложение, и для организации Bluetooth-спама больше не нужен Flipper.

Напомним, что все началось в сентябре 2023 года, когда ИБ-специалист под ником Techryptic показал, что затруднить работу iPhone можно при помощи Flipper Zero и множества фальшивых сообщений о подключении Bluetooth-девайсов.

Идея Techryptic так понравилась энтузиастам, что вскоре разработчики Xtreme расширили функциональность для проведения Bluetooth-атак на устройства под управлением Android и Windows.

Как теперь сообщает издание Bleeping Computer, вдохновившись предыдущими исследованиями на эту тему и решениями для Flipper Zero, нацеленными на iOS, Android и Windows, разработчик Саймон Данкельманн (Simon Dankelmann) создал отдельное приложение для Android, способное осуществлять аналогичный Bluetooth-спам. Открыть/Комментировать

2023-10-31 17:32:39 Исследователи нашли 58 0-day уязвимостей на Pwn2Own и четырежды взломали Samsung Galaxy S23

В минувшие выходные в Торонто завершилось хакерское соревнование Pwn2Own, организованное Trend Micro Zero Day Initiative (ZDI). На этот раз ИБ-исследователи заработали 1 038 500 долларов и продемонстрировали 58 эксплоитов для уязвимостей нулевого дня в различных потребительских гаджетах.

В рамках Pwn2Own Toronto 2023 исследователи атаковали всевозможные мобильные устройства и IoT-девайсы. Так, этот список включал мобильные телефоны (Apple iPhone 14, Google Pixel 7, Samsung Galaxy S23 и Xiaomi 13 Pro), принтеры, беспроводные маршрутизаторы, NAS, хабы для умных домов, системы видеонаблюдения, умные колонки, а также устройства Google Pixel Watch и Chromecast, причем все они были настроены по умолчанию и имели последние обновления безопасности.

Самые высокие награды были предусмотрены за ошибки нулевого дня в категории мобильных телефонов: денежные призы в размере до 300 000 долларов полагались за взлом iPhone 14 и 250 000 долларов за взлом Pixel 7. Бонусы в в размере 50 000 долларов полагались за успешную эксплуатация устройств Google и Apple, если полезная нагрузка эксплоита будет выполнена с привилегиями ядра. Общий размер призового фонда в этом году составил более 1 000 000 долларов. Открыть/Комментировать

2023-10-29 17:02:56 Исследователи связывают группировку YoroTrooper с Казахстаном

Специалисты Cisco Talos рассказали об операциях кибершпионской группировки YoroTrooper и заявили, что она связана с Казахстаном, по сути, являясь первой APT-группировкой в стране.

Впервые эта группа была замечена в марте 2023 года. Исследователи полагают, что хакеры активны как минимум с июня 2022 года и в настоящее время атакуют в основном различные государственные предприятия в странах СНГ.

Атаки YoroTrooper, как правило, основаны на направленном фишинге, который применятся для распространения разнообразной малвари, в основном предназначенной для кражи данных. Хотя также было замечено, что порой хакеры направляют своих жертв на подконтрольные им сайты для сбора учетных данных.

Отмечается, что недавнее публичное раскрытие информации о кампаниях и инструментах группировки привело к тактической реорганизации ее арсенала: от коммерческих вредоносов хакеры перешли к кастомным инструментам, написанным на Python, PowerShell, Go и Rust. Открыть/Комментировать

2023-10-27 18:04:06 Появился эксплоит для критического бага Citrix Bleed

Опубликован PoC-эксплоит для уязвимости Citrix Bleed (CVE-2023-4966), которая позволяет злоумышленникам перехватывать аутентификационные cookie сеансов с уязвимых устройств Citrix NetScaler ADC и NetScaler Gateway.

Критическая уязвимость CVE-2023-4966 (9,6 балла по шкале CVSS), связанная с удаленным раскрытием информации, была устранена еще 10 октября 2023 года, однако тогда Citrix не сообщила никаких подробностей об этой проблеме.

Как вскоре предупредили исследователи из компании Mandiant, оказалось, что с конца августа 2023 года этот баг использовался злоумышленниками в таргетированных атаках, то есть представлял собой уязвимость нулевого дня.

На этой неделе Citrix выпустила новое предупреждение для администраторов устройств NetScaler ADC и Gateway, призывая их немедленно исправить уязвимость, поскольку число попыток ее эксплуатации начало расти. Открыть/Комментировать

2023-10-25 17:32:31 Роскомнадзор сообщил, что учения выявили проблемы с «живучестью сетей связи»

Глава Роскомнадзора Андрей Липов рассказал, что плановые учения по безопасности и устойчивости сети связи общего пользования, проводимые в рамках закона «о суверенном рунете», обнаружили проблемы с живучестью сетей связи в условиях преднамеренного воздействия на линии и сооружения.

По его словам, учения проводились с участием операторов и экспертного сообщества, а также органов исполнительной власти.

Также Липов добавляет, что для повышения уровня безопасности сетей связи «уже разработан проект концепции правового регулирования и проект федерального закона о первичных сетях связи».

Как уточнил замглавы Роскомнадзора Олег Терляков, за четыре года ведомство провело шесть учений по устойчивости и безопасности рунета, результаты которых «легли в основу изменений в законодательство и стали основой для разработки новых инструментов безопасности наших сетей связи и систем». Открыть/Комментировать

2023-10-23 17:03:15 Microsoft отказывается от NTLM в пользу Kerberos

Компания Microsoft анонсировала, что в будущем NTLM (New Technology LAN Manager) будет отключен в Windows 11, поскольку компания переходит на альтернативные методы аутентификации и повышения безопасности. Теперь основной упор будет сделан на усиление протокола Kerberos.

NTLM представляет собой созданное в 90-х семейство протоколов, используемых для аутентификации удаленных пользователей и обеспечения безопасности сеансов. Kerberos, другой протокол аутентификации, много лет назад пришедший на смену NTLM, который теперь является протоколом аутентификации по умолчанию во всех версиях Windows новее Windows 2000. Тем не менее, NTLM тоже применяется по сей день, и если по какой-либо причине работа Kerberos невозможна, вместо него будет использован NTLM.

Хотя различные NTLM-атаки – большая проблема, с которой Microsoft старается бороться, NTLM по-прежнему часто используется на серверах Windows, что позволяет хакерам успешно эксплуатировать такие уязвимости, как ShadowCoerce, PetitPotam, RemotePotato0 и так далее.

С 2010 года Microsoft призывает разработчиков отказаться от NTLM в своих приложениях и советует администраторам либо отключать NTLM вовсе, либо настраивать свои серверы для блокировки атак NTLM relay с помощью Active Directory Certificate Services (AD CS). Открыть/Комментировать

2023-10-21 17:02:59 Фальшивая реклама KeePass использует Punycode и домен, почти неотличимый от настоящего

Исследователи Malwarebytes обнаружили вредоносную рекламную кампанию в Google Ads, продвигающую фейковый сайт менеджера паролей KeePass. Мошенники использовали Punycode, чтобы замаскировать свой домен под настоящий, и распространяли таким способом малварь.

Punycode представляет собой стандартизированный метод преобразования последовательностей Unicode-символов в ACE-последовательности, которые состоят только из алфавитно-цифровых символов, как это разрешено в доменных именах. Punycode был разработан для однозначного преобразования доменных имен в последовательность ASCII-символов.

Злоумышленники давно поняли, что можно злоупотреблять Punycode для регистрации доменных имен, которые выглядят похожими на легитимные, но содержат какой-либо Unicode-символ, который выглядит немного иначе.

Атаки такого типа часто называют омографическим. К примеру, в обнаруженном Malwarebytes случае злоумышленники использовали Punycode для создания адреса xn—eepass-vbb[.]info, который преобразуется в ķeepass.info, имитируя настоящий домен проекта (keepass info), но с использованием символа «ķ». Открыть/Комментировать