SecAtor

2024-03-04 21:40:02 ͏Исследователи связывают очередное таинственное исчезновение ALPHV/BlackCat с кидаловом в отношении одного из партнеров.

Как было замечено, DLS перестал работать с пятницы, сайты для переговоров проработали выходные и также ушли в оффлайн.

Подозрение на скам возникло после того, как якобы от одного из операторов просочилась информация о выводе бандой 22 млн. зеленых, которые причитались партнеру банды в качестве выкупа за атаку на Optum (оператора платформы Change Healthcare).

В свою очередь, сами BlackCat отстучались в Tox, сообщив, что все отключили и занимаются решением вопроса.

Позже статус был заменен на «GG» («хорошая игра»). Но контекст этого сообщения непонятен.

Конфискация актива якобы последовала после нарушения оператором ограничений, установленных бандой.

Как бы то ни было, 1 марта криптовыкуп поступил на кошель за удаление данных, украденных с платформы Change Healthcare, и расшифровщик.

Однако положенного распределения наживы не последовало, а вместо этого, по слухам, партнера кинули, а его аккаунт заблокировали.

В поисках справедливости notchy (предполагаемый оператор ALPHV), выдал все в эфир и заявил о наличии у него 4 ТБ критических данных Optum - производственные данные, которые повлияют на всех клиентов Change Healthcare и Optum.

Помимо этого, со слов notchy, в его распоряжении данные «десятков страховых компаний» и других поставщиков широкого спектра услуг — от здравоохранения до расчетно-кассового обслуживания и аптек.

В качестве пруфа notchy поделился данными по движениям крипты на своей кошельке (с входящим переводом на 350 биткойнов или чуть более 23 миллионов долларов).

Optum UnitedHealth Group от комментариев относительно выкупа отказались.

Так что ситуация пока до конца неясная.

Тут и версия о новом финте со стороны вымогателей (чтобы развести клиента по второму кругу), тут и спецслужбы могут продолжать свою операцию (чтобы напрочь подпортить репутацию банды, а может и сама банда, решившая уйти красиво.

Будем посмотреть. Открыть/Комментировать

2024-01-22 16:00:04 Замечательная история из Германии. Немецкий суд приговорил программиста к штрафу 3000 евро за "несанкционированный доступ к сторонним компьютерным системам", а на деле - за найденную уязвимость.

Некий фрилансер получил подряд на проверку установленного у клиента ПО компании Modern Solution GmbH & Co. KG, которое, судя по тексту журналистов, генерило ложные сообщения логов. В ходе проверки выяснилось, что оно устанавливает MySQL соединение с головным сервером с использованием пароля, который бы записан в исполняемом файле в виде plaintext. При тестовом подключении оказалось, что кроме данных самого заказчика, доступны также данные еще 700 тысяч клиентов. Программист сообщил об этом в компанию Modern Solutions. Однако последние, вместо того, чтобы отблагодарить за найденную дырку, отрубили сервер, заявили, что у них все норм, а потом подали на исследователя заявление в полицию.

Прокуратура и адвокаты долго спорили о том, получен ли был пароль в ходе декомпиляции исполняемого файла. И, хотя защита была более убедительна, в конечном итоге судье все это было похеру. Он сказал, что уже само использование пароля - это хакерство. На тот факт, что пароль был получен вместе с законно купленным экземпляром ПО, судья так же наклал.

Теперь обе стороны обжалуют приговор в вышестоящем суде. Защита считает, что программист не виноват, прокуратура - что маленький штраф дали, надо больше.

Мудаков в этой истории много. Это и компания Modern Solution GmbH & Co. KG, и полиция, и прокуратура, и, конечно же, король всех мудаков - судья окружного суда Юлиха.

Не в первый раз этот подход уже наблюдаем, весной прошлого года аналогичный случай был на Мальте. То есть подобная правоприменительная практика расширяется.

К чему это приведет - понять не сложно. Нашедшие уязвимости исследователи будут лишний раз помалкивать, а то и сольют данные брокерам 0-day или просто анонимно выкинут в даркнет. И страдать от этого будут все. Не только мудаки. Открыть/Комментировать

2024-01-16 19:45:02 Популярность веб-браузера Opera и так дышит на ладан, так с последним багом могла и вовсе сыграть свою последнюю оперу.

Исследователи обнаружили уязвимость в браузере причем для Windows и macOS, которая может быть использована для выполнения любого файла в операционной системе.

Недостаток удаленного выполнения кода получил название MyFlaw от команды исследователей Guardio Labs, поскольку она использует одноименную функцию, которая позволяет синхронизировать сообщения и файлы между мобильными и настольными устройствами.

Функция реализуется с помощью встроенного расширения браузера под названием Opera Touch Background, которое отвечает за связь со своим мобильным аналогом.

Как рассказали исследователи, они нашли давно забытую версию страницы My Flow, размещенную на домене "web.flow.opera.com", где My Flow содержит интерфейс в виде чата для обмена заметками и файлами, последние из которых могут быть открыты через веб-интерфейс, что, собственно, и позволяет выполнять файлы за пределами границ безопасности браузера.

Проблема затрагивает как браузер Opera, так и Opera GX выпущенные до 22 ноября 2023 года.

Хоть браузер и построен на инфраструктуре Chromium, выявленный недостаток подчеркивает необходимость внутренних изменений и улучшений в самой Opera. Открыть/Комментировать

2023-11-10 17:40:01 ͏Исследователи из Лаборатории Касперского выкатили настоящий must have для инфосек-сообщества.

Почти энциклопедический гайд по TTPs азиатских APT-групп с отличной классификацией большого объема данных по акторам и атакам поможет специалистам четко ориентироваться в теме и эффективно выстроить защиту от соответствующих угроз.

Но для этого исследователям ЛК пришлось проделать достаточно глубочайшую аналитическую работу, проштудировав сотни инцидентов по всему миру за 2022-2023 гг.

В результате чего, несмотря на огромное количество атак и технических деталей, им удалось выявить ограниченный спектр используемых техник и нащупать общий «почерк».

В своем аналитическом отчете на 370 страниц специалисты делятся наиболее ценными разведданными, собранными по азиатским АРТ, которые будут востребованы, прежде всего, на практике в плане эффективного противодействия.

Результаты аналитики по TTPs каждого из этапов атак позволили исследователям сформулировать достаточно четкие и эффективные рекомендации по борьбе с ними, включая Sigma-правила для детектирования в инфраструктуре.

Полная версия отчёта: https://kas.pr/ru-apt-report-2023. Открыть/Комментировать

2023-10-24 22:20:02 ͏Нетленка от Vx-underground Открыть/Комментировать

2023-10-24 21:29:39 Лаборатория Касперского продолжает разбор кибершпионского ПО, которое использовалось в масштабной кампании по заражению принадлежащих российским пользователям девайсов iPhone.

В новом отчете по операции «Триангуляция» сделан акцент на структуре spyware и его компонентах, часть из которых, судя по инфографике, будут еще представлены в какой-то перспективе.

Имплантат TriangleDB включает как минимум четыре различных модуля для записи микрофона, извлечения связки ключей iCloud, кражи данных из баз данных SQLite, используемых различными приложениями, и контроля местоположения жертвы.

Как отмечают исследователи, актор смог реализовать беспрецедентную скрытность, максимально тайно собирая конфиденциальную информацию со скомпрометированных устройств.

Ядро структуры атаки представляет собой бэкдор под названием TriangleDB, который развертывается после того, как злоумышленники получают root-права на целевом устройстве iOS, используя CVE-2023-32434, RCE-уязвимость ядра.

Развертыванию имплантата предшествуют два этапа валидации, а именно JavaScript Validator и Binary Validator, которые выполняются для определения того, не связано ли целевое устройство с исследовательской средой.

Отправной точкой цепочки атак является невидимое вложение iMessage, которое получает жертва, запуская цепочку 0-click эксплойтов, предназначенную для скрытного открытия уникального URL, содержащего запутанный JavaScript, а также зашифрованную полезную нагрузку - валидатор JavaScript.

Помимо выполнения различных арифметических операций и проверки наличия Media Source API и WebAssembly, он реализует Canvas Fingerprinting, замыкая желтый треугольник на розовом фоне с помощью WebGL и вычисляя контрольную сумму.

Информация, собранная на этом этапе, передается на удаленный сервер для получения вредоносного ПО следующей стадии - бинарного валидатора, файла Mach-O, непосредственно перед загрузкой TriangleDB.

После запуска он расшифровывает конфигурацию при помощи алгоритма AES. Файл содержит список действий (например, DeleteLogs, DeleteArtifacts), которые должен выполнить валидатор. Причем как для систем iOS, так и для macOS.

После выполнения всех действий валидатор шифрует собранные данные (список процессов, информацию о пользователе и т.д.) и отправляет их на командный сервер, откуда возвращается TriangleDB.

После установления бэкдором связи с C2 и отправки контрольного сигнала, поступают команды на удаление журнала сбоев и файлов базы данных, чтобы скрыть следы цепочки заражения и затруднить возможный анализ.

После удаления логов злоумышленники инициируют ряд команд по периодическому извлечению файлов из каталога private/var/tmp, содержащих информацию о местоположении, связке ключей iCloud, из баз данных SQLite, а также записей с микрофона.

Примечательной особенностью модуля записи с микрофона является его способность приостанавливать запись при включении экрана устройства. А модуль мониторинга местоположения настроен на использование данных GSM для триангуляции местоположения жертвы, когда данные GPS недоступны.

Как отмечают исследователи, злоумышленники показали отличное понимание внутреннего устройства iOS, поскольку в ходе атаки использовались приватные API, что прямо свидетельствует об их кооперации с разработчиками Apple.

При этом обнаруженные артефакты указывают на то, что операция «Триангуляция» (или ее предшественники) была активна как минимум с 2015 года и нацелена не только на iOS, но и на macOS.

Если измерять этапы исследования ЛК пятью стадиями принятия неизбежного - то сейчас пользователи iOS переживают гнев. Открыть/Комментировать

2023-10-19 16:20:02 Начались массовые многомиллионные сливы генетических данных, утекших к результате инцидента, затронувшего американскую компанию в области биотехнологий и геномики 23andMe.

Сразу вслед за публикацией генетической информации 1 миллиона клиентов из числа евреев-ашкенази, в даркнет пролились «днк» еще 4,1 млн. жителей Великобритании и Германии.

Как полагают в компании, данные были получены в результате брута учетных данных пользователей платформы, реализованного с помощью других утечек.

Компания при этом ответственно заявляет, что никаких свидетельств инцидента безопасности в ее инфраструктуре обнаружено не было.

В свою очередь, хакеры заявляют, что среди украденных данных есть генетическая информация Королевской семьи, Ротшильдов и Рокфеллеров, однако пока исследователи затрудняются подтвердить их достоверность.

Кроме того, в списке якобы присутствуют представители высших кругов и наиболее благосостоятельных семей из США и Западной Европы.

Тем не менее, TechCrunch сообщает о совпадении ряда утекших сведений в отношении поданных Великобритании с реальной информацией некоторых клиентов.

Вообще же, до настоящего времени много вопросов по инциденту и реальным масштабам последствий.

Судя по всему, инцидент случился еще несколько месяцев назад.

Ведь, по информации TechCrunch, 300 ТБ, якобы принадлежащих 23andMe, уже продавались в августе 2023 года на площадке Hydra.

Причем некоторые представленные тогда данные частично совпадают с новой утечкой.

Новые обстоятельства явно опровергают официальные заявления 23andMe о компрометации ограниченного числа учетных записей клиентов (даже с учетом активации хакерами в ходе эксфильтрации функции DNA Relatives).

Так что, весьма вероятно, в ближайшее время клиентов ожидают новые даркнет-сенсации, а 23andMe - бледный вид и судебные иски, а главное - серьезные вопросы от VIP-клиентов. Открыть/Комментировать

2023-10-16 19:20:02 Не успела коварная рука злоумышленника дотянуться до пользователя Signal, как разработчики мессенджера уже успели опровергнуть слухи о 0-day, связанной с функцией генерации предпросмотра ссылок.

Инсайд об этой нулевой уязвимости начал распространяться в сети на выходных.

Как утверждали некоторые источники, обнаруженная бага позволяет полностью захватить устройство.

В ходе расследования в компании не без сарказма заявили, что кроме невнятных вирусных отчетов о предполагаемой уязвимости Signal 0-day, ничего не обнаружили и на данный момент нет доказательств, что эта угроза вообще реальна.

Несмотря на отсутствие доказательств представители Signal все же попросил тех, у кого есть новая и "реальная" информация, связаться с их командой безопасности.

Ну, а пока идет разбор полетов, особо переживающим пользователям, возможно, стоит отключить функцию предварительного просмотра ссылок. Открыть/Комментировать

2023-10-10 11:41:50 Европейские исследовательские организации (EIC) и Amnesty International решили нанести сокрушительный удар по альянсу spyware-поставщика Intellexa, представив результаты совместного расследования Predator Files.

Ресурс объединяет материалы нескольких национальных изданий, посвященные обзору международной структуры компании и ее деятельности по продвижению шпионского ПО.

Корпоративные единицы альянса охватывают различные юрисдикции как внутри ЕС, так и за его пределами. 

Но больше интересен технический отчет Amnesty, в котором подробно описываются все решения Intellexa и вектора атак.

Кроме того, впервые раскрываются серверная часть и пользовательский интерфейс Predator, подробно описывается экосистема из поддерживающих продуктов Intellexa, предназначенных для доставки шпионского ПО на целевые устройства посредством компрометации мобильных сетей, Wi-Fi и перехвата Интернета-трафика.

Затрагивается и коммерческая сторона вопроса: ценник на пакетное решение Intellexa составляет 8 млн. евро.

Дополнительно за 3 млн. предлагается лицензия для обеспечения постоянства заражения в iOS и Android.

Кроме того, если требуется международный таргетинг, доступно Nova International за 1,2 миллиона евро, которое открывает доступ к 5 дополнительным странам по взаимному согласованию без географических ограничений целевого местоположения.

С технической точки зрения отчет отчет не претендует на исчерпывающее подробное описание каждого продукта, но для ознакомления и понимания экосистемы spyware - достаточно информативен.

Тем не менее, специалистам и тем, кто в теме - ничего нового не открылось: расчет на широкую аудиторию и резонанс.

Опять же арсенал американских спецслужб и АРТ, о котором последнее время вещают китайский инфосек, в реальности куда более инвазивный и технологичный. Открыть/Комментировать

2023-10-06 13:57:30 Хакеры на утверждают, что взломали популярного американского поставщика услуг генетического тестирования 23andMe и выкрали данные более семи миллионов его клиентов.

При этом в самой компании отрицают инцидент и проводят собственное расследование. При этом оригинальный пост об утечке на BreachForums, вышедший пару дней назад, теперь удален, но образцы украденных данных продолжают распространяться в даркнете.

Фигурирующий файл CSV содержит информацию о состоянии здоровья клиента, фотографии и идентификационные данные, журналы посещения сайта. В общем сложности, речь идет о 13 миллионых фрагментов данных.

Исследовательская группа Cybernews также изучила выборку данных, опубликованных в Интернете, размером более 200 МБ. Данные содержали записи об имени, поле, возрасте, местоположении, маркерах происхождения (следы отцовской и материнской родословной) и др. Однако проверить подлинность данных Cybernews не удалось.

Результаты предварительного расследования 23andMe инцидента пока не указывают на какое-либо нарушение. Но есть свидетельство того, что определенная информация могла быть собрана посредством неправомерного доступа к отдельным учетным записям клиентов 23andMe.

В свою очередь, злоумышленник был разочарован отсутствием резонанса по поводу утечки и предупредил, что начнет делиться личными данными, если руководство компании не объявит о взломе в течение 24 часов.

Несмотря на отсутствие подтверждений инцидента, катировки акций 23andMe все же упали на 15% с 1 октября, и в настоящее время компания оценивается в 414 млн. долл. По итогу можно сказать, что инцидент все же случился, но немного другого свойства. Открыть/Комментировать