SecAtor

2023-07-03 17:30:02 Исследователи Trend Micro обнаружили ранее неизвестный вектор заражения программой-вымогателем BlackCat (ака ALPHV).

Новая кампания BlackCat реализуется через поддельные страницы, которые имитируют официальный сайт приложения для передачи файлов WinSCP для Windows с установщиками, зараженными вредоносным ПО.

Для чего они активно продвигаются в Google и Bing через рекламу и имеют домены, аналогичные реальному winscp.net для утилиты, например winscp[.]com.

WinSCP (Windows Secure Copy) — это популярный бесплатный клиент SFTP, FTP, S3, SCP и файловый менеджер с открытым исходным кодом с возможностями передачи файлов SSH со статистикой в 400 000 загрузок еженедельно.

BlackCat использует программу как приманку, чтобы потенциально заразить компьютеры системных администраторов, веб-администраторов и ИТ-специалистов для получения первоначального доступа к корпоративным сетям.

Наблюдаемая атака начинается с поисковых запросов «WinSCP Download» в Bing или Google, после чего жертва попадает на продвигаемый сайт, который затем перенаправляет пользователя на клон официального сайта WinSCP с кнопкой загрузки. 

Жертва грузит файл ISO, содержащий setup.exe и msi.dll, первый из которых является приманкой для запуска пользователем, а второй — дроппером вредоносного ПО.

После запуска setup.exe он вызовет msi.dll, который позже извлечет папку Python из раздела DLL RCDATA в качестве реального установщика для WinSCP, который будет установлен на машине.

В процессе также устанавливается троянизированная python310.dll и создается механизм сохраняемости с помощью ключа запуска с именем Python и значением C:\Users\Public\Music\python\pythonw.exe.

Исполняемый файл pythonw.exe загружает модифицированную запутанную python310.dll, содержащую Cobalt Strike, который подключается к адресу С2.

Уже на последующих этапах операторы ALPHV используют: AdFind, команды PowerShell, AccessChk64, Findstr, PowerView, скрипты Python, PsExec, BitsAdmin, Curl, AnyDesk, KillAV BAT, PuTTY Secure Copy.

Наряду с ними ALPHV также применяли Terminator EDR Killer (Spyboy), который, согласно недавнему исследованию CrowdStrike, способен обходить несколько инструментов безопасности Windows, используя BYOVD.

Trend Micro с уверенностью связывает замеченные в атаках TTP с ALPHV. Но вместе с тем, исследователи также обнаружили файл Clop в одном из исследованных доменов C2, полагая, что субъект угрозы может быть связан с несколькими операциями ransomware. Открыть/Комментировать

2023-07-03 15:30:02 Avast выпустила дешифратор для Akira ransomware, которая может помочь жертвам программы-вымогателя восстановить данные.

Банда Akira впервые засветилась в марте 2023 года и успела быстро зарекомендовать себя, нацеливаясь на организации по всему миру в самых разных секторах.

Причем с июня 2023 года операторы начали развертывать Linux-вариант своего шифровальщика для атак на VMware ESXi.

Проведенный Avast анализ схемы шифрования Akira подтверждает предыдущие отчеты.

Вредоносное ПО использует симметричный ключ, сгенерированный CryptGenRandom, который затем шифруется с помощью связанного открытого ключа RSA-4096 и добавляется в конец зашифрованного файла.

Версии программы-вымогателя для Windows и Linux достаточно схожи. Однако в основе версии для Linux библиотека Crypto++ вместо Windows CryptoAPI.

Как известно, Akira в Windows шифрует файлы только частично для ускорения процесса. Для файлов размером менее 2 000 000 байт Akira шифрует только первую половину содержимого файла.

В случае с файлами большего размера вредоносное ПО будет шифровать четыре блока на основе предварительно рассчитанного размера блока, определяемого общим размером файла.

Версия Akira для Linux предоставляет операторам аргумент командной строки, который позволяет им точно определить, какой процент файлов жертвы должен быть зашифрован.

Исследователи Avast не раскрывают подробности того, каким образом им удалось обойти метод частичного шифрования файлов Akira, оставляя ноу-хау в секрете.

Но инструмент для расшифровки Akira представили в двух версиях: для 64-битной и 32-битной архитектуры Windows.

Ресерчеры рекомендуют использовать 64-битную версию, поскольку для взлома пароля потребуется задействовать большой объем системной памяти.

Кроме того, пользователям необходимо выбрать и загрузить в приложение пару файлов, один из которых зашифрован Akira, а другой — в оригинальной текстовой форме. Причем, как можно большего размера.

Дешифратор также позволяет сделать резервную копию зашифрованных файлов перед их расшифровкой.

Сейчас Avast работают над расшифровщиком для Linux, но до его выхода можно использовать текущую версию для расшифровки любых файлов, которые были зашифрованы в Linux. Открыть/Комментировать

2023-07-03 13:18:05 Хакеры нацелились на 0-day для повышения привилегий в плагине WordPress под названием Ultimate Member для массовой компрометации сайтов.

Плагин Ultimate Member для регистрации и создания сообществ на сайтах WordPress имеет более 200 000 активных установок.

CVE-2023-3460 имеет оценку CVSS 9,8 и влияет на все версии подключаемого модуля Ultimate Member, включая самую последнюю v2.6.6.

Несмотря на все попытки разработчиков исправить уязвимость в версиях 2.6.3, 2.6.4, 2.6.5 и 2.6.6, до сих пор находятся способы ее использования. Тем не менее, разработчики продолжают работу над решением и надеются выпустить новое обновление в ближайшее время.

Атаки были обнаружены исследователями Wordfence, которые заметили, как злоумышленники устанавливают мета-значение пользователя «wp_capabilities» для получения прав администратора и полного доступа к уязвимому сайту.

У плагина есть черный список ключей, которые пользователи не должны обновлять; однако обойти эту меру защиты тривиально, говорит Wordfence.

Поскольку критический недостаток остается неисправленным, WordFence рекомендует немедленно удалить модуль Ultimate Member.

Wordfence объясняет, что правила брандмауэра не охватывают все возможные сценарии эксплуатации, поэтому удаление плагина остается единственным способом защиты.

Причем если сайт был уже скомпрометирован, удаления плагина будет недостаточно для устранения риска. В этих случаях владельцы должны выполнить полное сканирование на наличие вредоносных программ и деактивизировать мошеннические админские учетки. Открыть/Комментировать

2023-07-03 11:29:17 Тайваньская TSMC отрицает взлом, о котором заявили LockBit, которые выставили компанию на свой DLS и потребовали выкуп в размере 70 млн. долларов.

Тем не менее, в ответ на заявление Bassterlord поделился скриншотами в качестве пруфов, согласно которым атака на TSMC выглядела более чем реальной.

По ним видно, что злоумышленник имел полный доступ к системам TSMC, продемонстрировав адреса электронной почты, приложения и учетки для различных корпоративных систем.

Теперь, в случае отказа от выкупа LockBit пообещали вывалить в паблик точки входа в сеть, а также все пароли и логины компании.

В свою очередь, TSMC утверждают о принадлежности скринов к системам одного из своих поставщиков - Kinmax Technology.

Кроме того, по результатам проверки инцидент не повлиял на деятельность самой TSMC и не создал рисков утечки данных о клиентах.

Kinmax опубликовала заявление, в котором сообщила о компрометации 29 июня конкретной среды в его сети, а также о начале расследования с участием силовых структур.

Злоумышленникам удалось извлечь некоторые данные из системы, которые в основном носят служебный характер и не содержат чувствительной информации.

На чьей стороне правда, будем посмотреть. Открыть/Комментировать

2023-04-06 20:00:03 ͏Тайваньский производитель MSI стал одной первый жертв новой группы вымогателей Money Message, которая затребовала у жертвы круглую сумму в размере 4 000 000 долларов.

Как известно, MSI является одним из лидеров в индустрии по производству электроники и компьютерных технологий с годовым доходом, превышающим 6,5 миллиардов долларов.

Хакеры на своем DLS заявляют и сопровождают пруфами, что им удалось выкрасть базы данных CTMS и ERP поставщика оборудования, а также исходный код ПО, фреймворк для разработки BIOS и закрытые ключи.

Через пять дней весь массив 1,5 ТБ данных из систем MSI будет слит, если жертва не перечислит выкуп.

Первые упоминания о связанных с новой ransowmare инцидентах появились 28 марта 2023 года на форуме BleepingComputer.

После чего о ней уже сообщали исследователи ThreatLabz Zscaler.

На тот момент вымогатели только заявили о первых достижениях и сразу же выкатили выкуп в 1 млн. долларов, не называя жертву.

По данным исследователей, шифровальщик Money Message написан на C++, реализует ChaCha20/ECDH и включает в себя встроенный файл конфигурации JSON, определяющий способ шифрования, наименование добавляемого расширения, а также перечень не подлежащих шифрованию папок и служб, которые следует завершать.

После шифрования устройства ransomware создает записку с требованием выкупа под именем money_message.log, содержащую также ссылку на сайт переговоров в TOR и описание последствий невыполнения требований.

Пострадавший от взлома производитель пока никак не комментирует инцидент. Тем не менее переговоры жертвой ведутся.

Насколько серьезны намерения и угрозы Money Message и подтвердит ли MSI инцидент - будем посмотреть. Открыть/Комментировать

2023-04-06 18:00:03 Google выпустила Chrome 112 в стабильном канале с исправлениями для 16 уязвимостей, 2 из которых имеют рейтинг высокой степени серьезности и 9 - средний.

Самая серьезная из них — ошибка переполнения буфера кучи в Visuals. Уязвимость, отслеживаемая как CVE-2023-1810, была обнаружена Weipeng Jiang из VRI в феврале 2023 г., который заработал за это 5000 долларов США.

Другая уязвимость связана с использованием после освобождения во фреймах и отслеживается как CVE-2023-1811. Google выплатила вознаграждение в размере 3000 долларов США обнаружившему ее Томасу Орлита. Эта проблема может привести к сбою или RCE.

Исправленные уязвимости средней степени серьезности включают ошибки различных категорий (от доступа за пределы памяти до переполнения буфера кучи) и затрагивают такие компоненты, как привязки DOM, безопасный просмотр, сетевые API, функцию «картинка в картинке», специальные возможности, историю браузера, расширения и Vulkan.

Три уязвимости с низким уровнем серьезности влияют на компоненты WebShare, Navigation и FedCM.

Последняя версияила Chrome доступна как 112.0.5615.49/50 для Windows и как версия 112.0.5615.49 для Linux и macOS.

Несмотря на то, что Google не упоминает об использовании этих уязвимостей в реальных атаках, мы прекрасно помним, как Lazarus Group использовали 0-day для удаленного выполнения кода в браузере еще за месяц до того, как стало доступно исправление, в том числе и в атаках на инфосек экспертов.

Так что всем причастным к отрасли ИБ необходимо срочно обновить свои Chrome. Ну, и остальным тоже. Открыть/Комментировать

2023-04-06 16:15:02 ͏Исследователи Resecurity в новом отчете фокусируются на относительно новой даркнет-площадке STYX, которая реализует услуги по финансовому мошенничеству и, можно сказать, заявилась следующим кандидатом на размещение банера Интерпола вслед за утопающим Genesis Market.

STYX открылась 19 января и реализует систему условного депонирования для посредничества в сделках между покупателями и продавцами.

Первые упоминания начали циркулировать в даркнете с начала 2022 года, когда владельцы только начинали разработку.

Среди предоставляемых услуг: отмывание денег, кража личных данных, DDoS, обход 2FA и фильтров защиты от мошенничества, поддельные, украденные учетные и личные данные, MaaS, сервисы обнала, телефонный флуд и рассылки, пробив, учебные пособия по киберпреступлениям и др.

STYX поддерживает платежи с криптой и имеет специальный раздел, предназначенный для доверенных продавцов, представлены также Telegram-боты для взаимодействия с покупателями и демонстрации образцов реализуемых продуктов/услуг.

Раздел по отмыванию криминальных средств — один из самых главных в STYX, поскольку легализация доходов — важнейшая часть в деятельности киберпреступников.

Как правило, объемы начинаются минимум с 15 000 долларов США для физических лиц и 75 000 для предприятий, удерживается комиссия, которая зависит от популярности сервиса/банка, сложности процесса обналичивания.

В STYX представлено множество селлеров по обналичиванию, которые охватывают весь мир, предлагая чистые средства через Apply Pay, бизнес-счета PayPal с торговыми терминалами и различные финансовые учреждения в США, Великобритании и Канаде.

Появление STYX в качестве новой платформы для финансово мотивированных киберпреступников свидетельствует, что рынок нелегальных услуг продолжает оставаться прибыльным и весьма востребованным бизнесом. Открыть/Комментировать

2023-04-06 14:15:25 ͏Подкатили подробности операции Cookie Monster, проведенной западными спецслужбами в отношении Genesis Market.

Скоординированные мероприятия проводились на территории 17 стран, включая Австралию, Канаду, Данию, Эстонию, Финляндию, Францию, Германию, Италию, Нидерланды, Новую Зеландию, Польшу, Румынию, Испанию, Швецию, Швейцарию, Великобританию и США.

Помимо конфискации доменов и захвата инфраструктуры, силовики провели 119 арестов и 208 обысков, а также допросили 97 лиц.

При этом это далеко не последние задержания.

Согласно представленным Минюстом США документам, ФБР выхлопали бэк еще 9 декабря 2020 года.

В распоряжении спецслужб оказались все логи, включая имена 59 000 пользователей, их пароли, адреса электронной почты, учетные записи Jabber, адреса BTC, историю операций и т.д.

Несмотря на то, что администраторы платформы старались скрыть свои операций и хостинговую инфраструктуру, ФБР в результате контрольных закупок и дальнейшего деанона все же смогли найти и идентифицировать внутренние серверы Genesis, а впоследствии и участников площадки.

Кроме того, подсчеты показали, что владельцы платформы смогли заработать более 8,7 млн. долларов с момента основания сайта в 2018 году, реализовав порядка 80 миллионов учетных данных, в том числе более 200 000, связанных с госсектором.

Правда как бы ни распинался генпрокурор США, называя операцию беспрецедентным уничтожением крупного криминального рынка, админы GenesisMarket уже принесли извинения за неудобства в связи с конфискацией их домена Европолом и пообещали в скором времени восстановить ресурс.

При этом как отмечают исследователи, onion-версия Genesis по-прежнему доступна без всяких ограничений, а представители ФБР отказались от комментариев на этот счет.

Спецслужбы тем не мене продолжают расследование, а голландская полиция представила специальный портал, на котором каждый может проверить, не был ли он скомпрометирован.

Будем следить за ситуацией. Открыть/Комментировать

2023-04-06 11:55:10 Как злоумышленники крадут криптовалюту через буфер обмена.

Приветствую тебя user_name.

• Мы все помним новость, когда под видом браузера #Tor на сторонних интернет-ресурсах злоумышленники распространяли троянца CryptoClipper. При попадании в систему жертвы он регистрируется в автозапуске, маскируясь иконкой какого-либо популярного приложения, например, uTorrent. Как только троян обнаруживает в буфере обмена адрес, похожий на криптокошелёк, он тут же меняет его на один из адресов, принадлежащих атакующему.

• Дело в том, что зловред пассивен большую часть времени, из-за чего его трудно заметить в системе. Большинству вредоносных программ требуется канал связи между оператором и системой жертвы, данный же зловред действует без связи и полностью автономен. Такие программы могут годами находиться в системе пользователя, не проявляя признаков присутствия, пока не достигнут цели — подмены адреса криптокошелька жертвы.

• Чтобы не стать жертвой подобной атаки, нужно быть всегда начеку и использовать надежное защитное решение, которое сможет обнаружить вредоносный код. Ну а пока такие атаки продолжаются, нелишним будет разобраться, как они работают и где именно кроется опасность:

• https://securelist.ru/copy-paste-heist-clipboard-injector-targeting-cryptowallets/107180/

S.E. S.E.Relax infosec.work Открыть/Комментировать

2023-04-05 20:10:01 Symantec сообщают о новых кампаниях АРТ Arid Viper с обновленным набором вредоносных ПО, нацеленных на палестинские объекты начиная с сентября 2022 года.

Злонамеренная активность началась в сентябре 2022 года и продолжалась как минимум до февраля 2023 года. При этом первоначальный вектор заражения для этой кампании остается неизвестным.

Известная также как APT-C-23, Deserts Falcons, Two-tailed Scorpion и отлеживаемая Symantec в качестве Mantis, группа на этот раз, по версии исследователей, развернула до трех разных версий собственных имплантатов Micropsia и Arid Gopher в системах жертв для взлома целей с последующей эксфильтрацией украденных данных.

Исполняемый файл Arid Gopher, закодированный на Go, представляет собой вариант вредоносного ПО Micropsia, впервые задокументированое Deep Instinct в марте 2022 года. Он предназначен для кражи информации, его главной целью является создание плацдарма для сбора конфиденциальной системной информации и отправки ее обратно на C2.

Micropsia, наряду со своей способностью запускать вторичные полезные нагрузки, также реализует функции кейлогинга, создания скринов и сохранения файлов Microsoft Office в архивах RAR для эксфильтрации с помощью специального инструмента на основе Python.

В целом же, в арсенале Mantis целый спектр самописных вредоносных инструментов, таких как ViperRat, FrozenCell (VolatileVenom) и Micropsia, для реализации своих кампаний на платформах Windows, Android и iOS.

Кроме того, с апреля 2022 года Mantis вооружились новым бэкдором Windows под названием BarbWire, который использовался для атак на высокопоставленных израильских лиц из числа сотрудников объектов обороны, силовых структур и спецслужб.

Вредоносное ПО доставлялось жертвам посредством фишинговые рассылок и через фейковые аккаунты в соцсетях.

Как полагают Symantec АРТ продолжает предпринимать решительные шаги, включающие обширную переработку вредоносного ПО и дифференциацию инструментов в отношении различных категорий целей, делая это для сокрытия и поддержания постоянного присутствия в скомпрометированных сетях.

Однако, как известно AridViper считается палестинской хакерской группой, за которой, предположительно, стоит ХАМАС, а основная сфера заинтересованности APT, как мы уже не раз наблюдали, это, прежде всего, страны Ближнего Востока (особенно Израиль).

Отсюда вероятнее, что за последними активностями все же стоят израильтяне, решившие выступить под чужим флагом, копируя TTPs Mantis. Открыть/Комментировать