SecAtor

2023-03-29 16:07:54 Исследователи приписывают АРТ SideCopy нападения на Индию и Афганистан, а также связь с новой фишинговой кампанией Action RAT.

К такому выводу пришли в Cyble, согласно отчету которых операция SideCopy была направлена на подразделения исследований и разработок (DRDO) Министерства обороны Индии.

Как известно SideCopy, эмулирует цепочки заражений, связанные с SideWinder, для доставки собственного вредоносного ПО. В некоторых отчетах предполагается, что этот злоумышленник имеет общие характеристики с Transparent Tribe (APT36).

Группировка активна как минимум с 2019 года и последовательность атак, организованная группой пакистанского происхождения, включает использование фишинговых электронных писем для получения первоначального доступа.

Сообщения, как правило, приходят с ZIP-архивом, который содержит файлы быстрого доступа Windows (.LNK), маскирующийся под информацию о баллистической ракете K-4, разработанной DRDO.

Выполнение файла LNK приводит к извлечению HTML-приложения с удаленного сервера, которое, в свою очередь, отображает презентацию приманки, параллельно и незаметно для жертвы разворачивая бэкдор Action RAT.

Помимо сбора информации о компьютере-жертве, малварь способна выполнять команды, отправляемые с C2, включая сбор файлов и удаление последующих вредоносных программ.

Кроме того, реализуемый злоумышленниками сценарий атаки включает установку нового софта для кражи информации AuTo Stealer, который предназначен для сбора и эксфильтрации файлов Microsoft Office, документов PDF, баз данных и текстовых файлов, а также изображений передавая их по HTTP или TCP.

Как отмечают специалисты, APT постоянно совершенствует методы, включая новые инструменты в свой арсенал.

Это не первый случай, когда SideCopy использует Action RAT в своих атаках, направленных против Индии.

Так, в декабре 2021 года Malwarebytes уже раскрывала серию вторжений в несколько министерств Афганистана и Индии для кражи конфиденциальных данных. Открыть/Комментировать

2023-03-29 14:13:06 Генеральный директор Clearview AI признался в том, что компания без разрешения пользователей собрала 30 миллиардов изображений

CEO печально известной компании Clearview AI сообщил BBC, что его компания собрала около 30 млрд изображений пользователей к настоящему моменту. Разумеется, они собраны без разрешения пользователей.

Генеральный директор Clearview AI Хоан Тон-Тат похвастался BBC, что полиция США сделала почти 1 миллион поисковых запросов через их систему.

Борцы за гражданские права хотят, чтобы полицейские открыто говорили о применении Сlearview AI и чтобы ее точность открыто проверялась в суде.

Компанию неоднократно штрафовали на миллионы долларов в Европе и Австралии за нарушение неприкосновенности частной жизни.

@Russian_OSINT Открыть/Комментировать

2023-03-28 21:30:03 Новая малварь, нацеленная на Apple macOS и получившая название MacStealer, является очередным примером задействования Telegram в качестве платформы для C2 и извлечения данных.

Вредоносное ПО, в первую очередь, поражает устройства, работающие под управлением macOS Catalina (10.15) и вплоть до последней версии ОС Apple Ventura (13.2), и предназначена для кражи конфиденциальной информации со скомпрометированных устройств.

Как сообщают исследователи из Uptycs, вредонос способен красть документы, файлы cookie из браузера жертвы, а также данные для входа.

MacStealer распространяется как вредоносное ПО как услуга (MaaS). Впервые MacStealer попал в поле зрения в начале марта 2023 года после рекламы на хакерских форумах, за покупку которого просят скромыне 100 долларов.

Причем вредоносное ПО находится в стадии разработки и авторы планируют добавить функции для сбора данных из браузера Safari и приложения Notes.

В своем текущем исполнении MacStealer реализует извлечение данных цепочки ключей iCloud, паролей и информации о кредитных картах из браузеров Google Chrome, Mozilla Firefox и Brave. Он также поддерживает сбор файлов Microsoft Office, изображений, архивов и скриптов Python.

Точный метод, используемый для доставки вредоносного ПО, неизвестен, но оно распространяется в виде файла DMG (weed.dmg), который при запуске открывает запрос поддельного пароля для сбора паролей под видом запроса доступа к приложению "Настройки системы".

Поскольку Mac становятся все более популярными при использовании на предприятиях, тем важнее становятся данные, хранящиеся на них. Поэтому для устранения угроз пользователям рекомендуется обновлять свою ОС и ПО, включая и средства защиты, а также избегать загрузки файлов из недоверенных источников.

MacStealer является одним из нескольких похитителей информации, появившихся буквально за последние несколько месяцев, и дополняет и без того большое число аналогичных инструментов, существующих в настоящее время в дикой природе. Открыть/Комментировать

2023-03-28 18:00:06 Знакомьтесь, Netlas.io

Первый российский стартап, представивший поисковую систему, по многим параметрам превосходяющую свои зарубежные аналоги: shodan, censys и zoomeye.

Сервис позволяет искать различные устройства и службы, включая базы данных, сетевое оборудование, веб-камеры, IoT-устройства и даже промышленные системы.

Функционал поиска и поисковый язык реализованы достаточно гибко. Предусмотрены различные комбинации фильтров (по подсетям, портам, протоколам, технологиям и даже по наличию уязвимостей), которые позволяют оптимизировать поисковую выдачу.

Несмотря на то, что команда проекта находятся в процессе Beta-тестирования и еще совершенствуют сканеры, по количеству результатов и объему собираемой информации сервис на данном этапе превосходит конкурентов и уже привлек внимание пользователей, которые на форумах и в Twitter оставляют все больше положительных отзывов и рекомендаций.

Помимо стандартного набора функций поиска, присущего интернет-сканерам, разработчики Netlas.io добавили в свой продукт дополнительные библиотеки данных.

Интегрирована уникальная база DNS, насчитывающая свыше 2,5 млрд. доменных имен. Все домены периодически резолвятся, так что можно выполнять Forward-DNS преобразования (восстановление доменов привязанных к IP адресу), искать поддомены, а также домены, привязанные к одному почтовому серверу или серверу имен.

Кроме того, сервис Netlas.io включает библиотеки данных whois, которые они самостоятельно собирают и парсят. Причем, и IP и доменный whois, в общем сложности - весь диапазон IPv4 (свыше 11 млн. подсетей) и 270 млн. доменов верхнего уровня.

Такая фича позволяет осуществлять поиск не только по названию домена или IP адресу, а вообще по любому полю, что открывает совершенно потрясающие возможности для OSINT-специалистов и пентестеров при проведении разведки и анализе периметра компании.

Например, используя доменный whois в Netlas.io, можно узнать, что на Сбер зарегистрировано свыше 700 доменов!

В перспективе команда рассчитывает реализовать инструментарий для автоматизации построения периметра. Связывая в одном сервисе данные всех библиотек, позволит на выходе получить совершенно уникальный функционал для выявления поверхности атак.

У редакции канала нет никаких сомнений, что команде Netlas.io удастся создать высококлассный инструмент, который будет широко востребован среди специалистов инфосек-индустрии.

Настоятельно рекомендуем присмотреться к Netlas.io, а более подробно ознакомиться с примерами поисковых запросов, описанием функционала, новостями проекта и всякими хитрыми фишечками можно на канале стартапа - https://t.me/netlas. Открыть/Комментировать

2023-03-28 16:40:04 Внезапное прозрение настигло товарищей из американской Mandiant: "Мы разжигаем пожар!" - именно так они назвали свою очередную статью (там, судя по всему, аллюзия на песню Билли Джоэла, если кто разбирается - поправьте нас в комментариях).

Статья длинная, но суть сводится к следующему - в ходе проведения Россией СВО хактивисты всех мастей все чаще стали атаковать OT-системы (если кто не знает - это системы, функционирование которых непосредственно влияет на реальный мир, в отличие от IT). А это очень даже может привести к техногенным катастрофам и человеческим жертвам среди мирного населения.

Неожыданно (!) оказалось, что если всячески поощрять хактивистов, пиарить их в соцсеточках, называть "киберсопротивлением", то рано или поздно они начнут херачить по промышленным объектам в надежде убить или покалечить побольше некомбатантов.

Но Mandiant беспокоит даже не это, а то, что, во-первых, может быть ответочка (очень завуалированно написали, но смысл ясен). А во-вторых, то, что "правильных хактивистов" вполне может занести на повороте и они долбанут уже по хорошим американским ресурсам (а не по плохим русским), преследуя какие-то свои политические или идеологические цели.

Мы так-то писали про это без малого год назад, комментируя попытку уебать Rutube, - "допускаем, что со временем докатятся и до атак на объекты критической инфраструктуры и АСУ ТП, которые могут привести к человеческим жертвам (очень этого не хочется, но вероятность существует)."

До атак докатились, человеческих жертв, слава Богу, пока нет.

Поэтому Mandiant кипишует не зря. Аннушка уже разлила масло, а фарш невозможно провернуть назад. Добро пожаловать в дивный новый мир. Открыть/Комментировать

2023-03-28 15:02:02 ͏Не прошло и недели после того, как Breached накрыли, а энтузиасты на хайпе пытаются подтянуть тему под себя.

Позиционирующий себя бывшим членом банды Anonymous, хакер-аноним с псевдонимом Pirata в Twitter начал собирать команду админов для новой площадки, которую он уже запустил на замену BF.

Все бы ничего, если не сомнительный нейминг - kkksecforum, на который сразу же обратили внимание VX-underground, которые заприметили в аббревиатуре аналогию с Ku Klux Klan, а сам ресурс прозвали «форумом белых националистов по кибербезопасности».

Pirata отверг все аналогии и по этому поводу решил разместить на сайте несколько объявлений с разъяснением ситуации, отдельно отметив значение KKK в качестве LOL (по-португальски).

В свою очередь, vx-underground позже привели пример того, что многие бразильцы пишут «ккккккккк» вместо «хахахаха». Тем не менее, остались при своем мнении о крайне неудачном выборе названия, с которым в комментариях практически все согласились.

В любом случае сегмент Raid и Breach продолжит оставаться в тренде даркнета, но уже под новыми брендами, один из них - kkksecforum, уже в деле. Открыть/Комментировать

2023-03-28 13:05:00 Apple выпустила серию обновлений, включая широкий спектр исправлений безопасности для всех устройств:

Исправления затрагивают iOS, iPadOS, tvOS, watchOS, всех разновидностей macOS, а также прошивку для внешнего монитора Studio Display от Apple.

Следует отметить, что если вы используете macOS Ventura и подключили свой Mac к Studio Display, простого обновления самой ОС Ventura недостаточно для защиты от потенциальных атак на системном уровне.

Согласно бюллетеню Apple, ошибка в собственной прошивке экрана дисплея может быть использована приложением, работающим на Mac, для выполнения произвольного кода с привилегиями ядра.

В целом, пакет исправляет многочисленные баги в различных компонентах, приводящих к RCE, раскрытию информации, обходу Apple Gatekeeper, доступу к Bluetooth, просмотру скрытых фотографий без аутентификации и контактов, раскрытию памяти процесса, считыванию конфиденциальной информации о местоположении и др.

Обновлениия доступны в версиях: iOS 16.4, iPadOS 16.4, macOS Ventura 13.3, macOS Monterey 12.6.4, macOS Big Sur 11.7.5, tvOS 16.4 и watchOS 9.4.

Кроме того, в пакете обновлений закрыта также 0-day в WebKit, которая позволяет злоумышленникам внедрить вредоносное ПО на старые устройства iOS 15 или iPadOS 15.

CVE-2023-23529 связана с ошибкой путаницы типов в движке браузера WebKit. Обработка вредоносного веб-контента может привести к RCE.

Сообщение об ошибке было приписано анонимному исследователю.

Изначально эта проблема была устранена внедрением улучшенных проверок в рамках обновлений, выпущенных 13 февраля 2023 года.

В новом бюллетене Apple отметила свою осведомленность в отношении использования уязвимости в реальных атаках.

Подробности эксплуатации в настоящее время разглашаются, но такое сокрытие является стандартной процедурой. Вероятно, это было связано с таргетированными атаками.

Обновление доступно в версиях iOS 15.7.4 и iPadOS 15.7.4 для iPhone 6s (все модели), iPhone 7 (все модели), iPhone SE (1-го поколения), iPad Air 2, iPad mini (4-го поколения) и iPod. сенсорный (7-е поколение). Открыть/Комментировать

2023-03-27 19:30:06 GitHub приостанавил работу репозитория Twitter, после инцидента с обнаружением утечки исходников в одном из частных репозиториев.

Администрация предприняла указанные шаги после после получения DMCA-уведомления от Twitter о нарушении авторских прав в службу размещения кода GitHub с просьбой удалить репозиторий, содержащий исходный код.

По данным Twitter, в репозитории, принадлежащем пользователю GitHub FreeSpeechEnthusiast, незаконно размещался проприетарный исходный код платформы и внутренних инструментов.

В дополнение к удалению репозитория администрация соцсети также запросила информацию, которая могла бы помочь ей идентифицировать владельца и пользователей, которые могли получить доступ к репозиторию до его приостановки, включая IP-адреса или другую информацию о сеансах, а также любые журналы, связанные с этим репозиторием или его ответвлениями.

GitHub выполнил требование Twitter и приостановил публичный доступ к репозиторию в пятницу.

Помимо прочего принадлежащая Microsoft платформа также опубликовала и сам запрос.

В свою очередь, Twitter для установления виновника утечки подал документы с запросом в Окружной суд США по Северному округу Калифорнии с просьбой обязать GitHub предоставить всю идентифицирующую информацию.

GitHub при этом не подтвердил и не опроверг, предоставил ли он такую информацию. Компания также не прокомментировала, как долго исходный код Twitter был общедоступен.

В целом же, предполагаемая утечка исходного кода — лишь последнее дополнение к веренице проблем, которые преследуют последнее время платформу.

В конце декабря злоумышленники продавали данные более 400 миллионов пользователей Twitter, раскрыв при этом 63 ГБ данных на более чем 200 миллионов пользователей с их именами и адресами электронной почты.

Twitter отрицал какие-либо утечки с использованием ошибок в системах компании, и тем не менее вынужден был отвечать по коллективному иску в связи с предполагаемым инцидентом. Открыть/Комментировать

2023-03-27 17:37:14 Представители кибершпионской конъюнктуры из поднебесной становятся все более опытными и изощрёнными в обходе решений безопасности.

К такому заключению пришли специалисты из Trendmicro, которые представили анализ недавних кампаний проправительственной китайской группировки Earth Preta.

Субъект угрозы, активен как минимум с 2012 года и отслеживается в ряде компаний по кибербезопасности, как Bronze President, HoneyMyte, Mustang Panda, RedDelta и Red Lich.

Цепочка атак начинается как обычно, а именно с рассылки фишинговых электронных писем с целью развертывания широкого спектра инструментов для организации бэкдора, доступа к C2 и извлечения данных.

Как правило, сообщения содержат вредоносные вложения в виде архивов-приманок, распространяемых посредством Dropbox или Google Drive для загрузки DLL, ярлыков LNK и файлов с поддельными расширениями для того, чтобы закрепиться в системе и затем установить один из бэкдоров TONEINS, TONESHELL, PUBLOAD, and MQsTTang (aka QMAGENT).

Аналогичные вектора заражений с ссылками на Google Drive использовались в апреле 2021 года для установки Cobalt Strike.

Как считают специалисты, Earth Preta закрепляет тенденцию скрывать полезную нагрузку в поддельных файлах, маскируя их под легитимные, так как этот метод доказал свою эффективность для предотвращения обнаружений.

Этот сценарий с первоначальной точкой входа впервые был замечен в конце прошлого года и в настоящее время получил небольшую, но очень примечательную доработку, при которой ссылка на скачивание архива встраивается в другой документ-приманку, а конечный файл защищен паролем, что позволяет обходить службы сканирования.

Первоначальный доступ к среде сопровождается поиском учетной записи жертвы с последующим повышением привилегий, при этом злоумышленники используют пользовательские инструменты, такие как ABPASS и CCPASS, чтобы обойти User Account Control (механизм контроля учетных записей в Windows 10).

Помимо прочего хакеры разварачивают малварь "USB Driver.exe" (HIUPAN или MISTCLOAK) и "rzlog4cpp.dll" (ACNSHELL или BLUEHAZE), чтобы заинсталлироваться на съемные накопили и создать reverse shell для горизонтального перемещения в сети.

Среди других вредоносных утилит встречались: CLEXEC - бэкдор, способный выполнять команды и очищать журналы событий; COOLCLIENT и TROCLIENT - имплантаты, предназначенные для записи нажатий клавиш, чтения и удаления файлов; PlugX для распространения через USB-накопители.

Субъект угрозы также разработал сложные настраиваемые инструменты, используемые для эксфильтрации, такие как NUPAKAGE и ZPAKAGE, оба из которых оснащены для сбора файлов Microsoft Office.

Результаты анализа еще раз подчеркивают возросший потенциал китайских APT и их постоянные инвестиции в совершенствование своего арсенала, а Earth Preta явный пример субъекта угрозы, который регулярно совершенствует свои ТТП, усиливает возможности разработки и создает универсальный набор вредоносных инструментов для осуществления кибершпионской деятельности. Открыть/Комментировать

2023-03-27 14:56:50 Все подозрения оправдались, теперь и официально.

Сотрудники ФБР подтвердили взлом BreachForums, который, судя по опубликованным в пятницу прошлой недели судебным документам, был осуществлен задолго до задержания основателя площадки Помпомпурина.

На днях 20-летний Конор Брайан Фитцпатрик предстал перед судом Восточного округа Вирджинии, ему было предъявлено обвинение в краже и продаже конфиденциальной личной информации американских граждан, организаций и госучреждений.

Завладев базой и изучив журналы активности сотрудники бюро без труда обнаружили IP-адрес Фитцпатрика (69.115.201.194), который он один раз засветил в ходе авторизации на форуме, вероятно, после того, как забыл воспользоваться Tor или включить VPN.

Этот же IP он использовал для доступа к своей учетной записи iCloud со своего iPhone. Соответствующие логи аккаунта FITZPATRICK на iCloud предоставила любезная Apple Inc.

Кроме того, также взломав в феврале 2022 года предшественника BreachForums, сотрудники бюро отыскали в логах RaidForums приватную переписку Помпомпурина с его владельцем, где он фактически в разговоре раскрыл свой email (conorfitzpatrick02@gmail.com), который позже также увязали с его личностью.

В конечном, счете становится понятным, почему при задержании Фитцпатрик не стал, что он именно стоял за аккаунтом на BreachForums, а также одноименной учетной записью на RaidForums. Он признался, что зарабатывал около 1000 долларов в день и тратил почти весь доход на содержание инфраструктуры.

Энергично перехвативший штурвал управления BreachForums новый модер Baphomet после того, как последовав примеру ФБР и внимательно просмотрев логи, достаточно быстро сдулся и прикрыл лавочку.

И уже вряд ли продолжит реализацию своей задумки возродить форум на новой инфре.

Будем, конечно, посмотреть. Открыть/Комментировать