Clearsky выпустили отчет о новой операции QuickSand за авторством иранской APT MuddyWater, о которой исследователи говорят прямо, что она связана с КСИР (Корпус стражей исламской революции). И развернули в нем такую теорию заговоров, что диву даешься.
QuickSand была выявлена в сентябре и нацелена на множество израильских организаций. Хакеры использовали два вектора атаки - банальный фишинг и эксплуатацию CVE-2020-0688, приводящей к RCE уязвимости в Microsoft Exchange, для дальнейшего развертывания полезной нагрузки в атакованной сети.
В обоих случаях злоумышленники в конечном итоге доставляли загрузчик PowGoop.
Обнаруженные исследователями TTPs, такие как сигнатуры управляющих серверов и сходства в коде используемых вредоносов, указывают на причастность MuddyWater к атаке QuickSand. В том числе сходство кода имеется в PowGoop и приписываемом иранской группе вредоносе MoriAgent (тут тоже есть тонкости, но об этом немного позже).
И вот дальше в приличном на первый взгляд расследовании британцев начинается треш и содомия.
Загрузчик PowGoop упоминался Palo Alto Networks как возможно использующийся для доставки в скомпрометированную сеть ransomware Thanos. Это тот самый вымогатель, который должен был заменять MBR требованием о выплате выкупа, но из-за ошибок в коде не смог, - мы писали про это здесь.
Вывод о возможном использовании PowGoop для доставки Thanos ресерчеры из Palo Alto сделали в силу "единственного пересечения кода" - совпадения в имени одной из переменных с загрузчиком LogicalDuckBill, который действительно используется для доставки Thanos.
И на основе одного лишь предположения Palo Alto, что с помощью PowGoop может доставляться ransomware Thanos, которое должно стирать MBR (а на самом деле не стирает), ресерчеры из ClearSky развернули целый геополитический роман о том, как злые иранские хакеры хотят нанести как можно больше ущерба своим израильским визави уничтожая их компьютеры. Разумеется, ни одного упоминания слова "возможно" в части связи PowGoop и Thanos в их отчете нет, только уверенная констатация факта.
Причастны ли к атаке иранцы? С очень большой вероятностью - да. Принадлежит ли им загрузчик PowGoop? Опять же, скорее всего - да. Только причем тут Thanos и уничтожение MBR?
Возможно ClearSky располагает какими-то дополнительными данными, но тогда их надо выкладывать в паблик. А пока мы как обычно спросим - где TTPs?
QuickSand была выявлена в сентябре и нацелена на множество израильских организаций. Хакеры использовали два вектора атаки - банальный фишинг и эксплуатацию CVE-2020-0688, приводящей к RCE уязвимости в Microsoft Exchange, для дальнейшего развертывания полезной нагрузки в атакованной сети.
В обоих случаях злоумышленники в конечном итоге доставляли загрузчик PowGoop.
Обнаруженные исследователями TTPs, такие как сигнатуры управляющих серверов и сходства в коде используемых вредоносов, указывают на причастность MuddyWater к атаке QuickSand. В том числе сходство кода имеется в PowGoop и приписываемом иранской группе вредоносе MoriAgent (тут тоже есть тонкости, но об этом немного позже).
И вот дальше в приличном на первый взгляд расследовании британцев начинается треш и содомия.
Загрузчик PowGoop упоминался Palo Alto Networks как возможно использующийся для доставки в скомпрометированную сеть ransomware Thanos. Это тот самый вымогатель, который должен был заменять MBR требованием о выплате выкупа, но из-за ошибок в коде не смог, - мы писали про это здесь.
Вывод о возможном использовании PowGoop для доставки Thanos ресерчеры из Palo Alto сделали в силу "единственного пересечения кода" - совпадения в имени одной из переменных с загрузчиком LogicalDuckBill, который действительно используется для доставки Thanos.
И на основе одного лишь предположения Palo Alto, что с помощью PowGoop может доставляться ransomware Thanos, которое должно стирать MBR (а на самом деле не стирает), ресерчеры из ClearSky развернули целый геополитический роман о том, как злые иранские хакеры хотят нанести как можно больше ущерба своим израильским визави уничтожая их компьютеры. Разумеется, ни одного упоминания слова "возможно" в части связи PowGoop и Thanos в их отчете нет, только уверенная констатация факта.
Причастны ли к атаке иранцы? С очень большой вероятностью - да. Принадлежит ли им загрузчик PowGoop? Опять же, скорее всего - да. Только причем тут Thanos и уничтожение MBR?
Возможно ClearSky располагает какими-то дополнительными данными, но тогда их надо выкладывать в паблик. А пока мы как обычно спросим - где TTPs?
Telegram
SecAtor
Команда Unit42 вендора Paolo Alto Networks выпустила отчет о новом функционале ransomware Thanos, который должен был бы еще больше напугать жертву, но не работает.
Thanos - это продолжение Quimera Ransomware, которое появилось в октябре 2019 года. Потом…
Thanos - это продолжение Quimera Ransomware, которое появилось в октябре 2019 года. Потом…
Румыны из Biеdefender выложили в открытый доступ дешифратор для ransomware MaMoCrypt.
MaMoCrypt это разновидность вымогателя MZRevenge, который появился в начале 2020 года. Ошибки в реализации алгоритма шифрования MaMoCrypt приводят к тому, что любой файл размером больше 4 Гб будет поврежден при зашифровке и не подлежит восстановлению.
Мы, честно говоря, про это ransomware не слышали, но если вдруг кому-то не повезло попасть под атаку MaMoCrypt - бесплатный дешифратор доступен по приведенной выше ссылке.
MaMoCrypt это разновидность вымогателя MZRevenge, который появился в начале 2020 года. Ошибки в реализации алгоритма шифрования MaMoCrypt приводят к тому, что любой файл размером больше 4 Гб будет поврежден при зашифровке и не подлежит восстановлению.
Мы, честно говоря, про это ransomware не слышали, но если вдруг кому-то не повезло попасть под атаку MaMoCrypt - бесплатный дешифратор доступен по приведенной выше ссылке.
Bitdefender Labs
Daily source of cyber-threat information. Established 2001.
Мама, мы в телевизоре!
По мотивам второй части нашего обзора активности северокорейской APT Kimsuky газета Коммерсант написала статью, снабдив ее комментариями российских инфосек-экспертов, а статья попала в ротацию Яндекс.Новости.
В общем, успех и признание.
Правда, хотим сказать журналистам Коммерсанта, что они могли бы написать нам на электронную почту, а мы бы поделились с ними информацией, в том числе о первоисточнике данных про атаку на Ростех.
А вот он - в приведенной ниже картинке за авторством южнокорейцев из IssueMakersLab. Это вообще основные ребята, которые отслеживают работу хакерских групп из КНДР. Судя по всему, у них работает хороший мониторинг по выявлению фишинговых кампаний северокорейцев.
На схеме видна, кстати, атака на турецкого производителя бронетехники Otokar, про которую мы писали в мае. А также атаки Lazarus на Boeing, Locheed Martin и BAE (про них мы не писали).
Так что всем привет. Будем дальше писать обзоры про APT.
По мотивам второй части нашего обзора активности северокорейской APT Kimsuky газета Коммерсант написала статью, снабдив ее комментариями российских инфосек-экспертов, а статья попала в ротацию Яндекс.Новости.
В общем, успех и признание.
Правда, хотим сказать журналистам Коммерсанта, что они могли бы написать нам на электронную почту, а мы бы поделились с ними информацией, в том числе о первоисточнике данных про атаку на Ростех.
А вот он - в приведенной ниже картинке за авторством южнокорейцев из IssueMakersLab. Это вообще основные ребята, которые отслеживают работу хакерских групп из КНДР. Судя по всему, у них работает хороший мониторинг по выявлению фишинговых кампаний северокорейцев.
На схеме видна, кстати, атака на турецкого производителя бронетехники Otokar, про которую мы писали в мае. А также атаки Lazarus на Boeing, Locheed Martin и BAE (про них мы не писали).
Так что всем привет. Будем дальше писать обзоры про APT.
В пятницу Google опубликовали отчет о DDoS-атаках, происходивших на ресурсы компании в последние годы.
В частности, в отчете говорится о рекордной DDoS-атаке, которая произошла на Google в 2017 году. Мощность атаки составила около 2,54 терабит/с, что более чем в 4 раза превосходит считавшуюся до сих пор рекордной атаку ботнета Mirai в 2016 году.
Атакующие генерили с помощью нескольких сетей более 167 млн. пакетов в секунду, которые направлялись на 180 тысяч открытых CLDAP, DNS и SMTP серверов, чтобы вызывать многократное усиление DDoS-атаки (т.н. амплификация).
За DDoS, по мнению Google, стоит прогосударственная APT. И хотя ее принадлежности американцы не назвали, они указали на то, что часть пакетов в рамках атаки исходила со стороны китайских автономных систем.
В частности, в отчете говорится о рекордной DDoS-атаке, которая произошла на Google в 2017 году. Мощность атаки составила около 2,54 терабит/с, что более чем в 4 раза превосходит считавшуюся до сих пор рекордной атаку ботнета Mirai в 2016 году.
Атакующие генерили с помощью нескольких сетей более 167 млн. пакетов в секунду, которые направлялись на 180 тысяч открытых CLDAP, DNS и SMTP серверов, чтобы вызывать многократное усиление DDoS-атаки (т.н. амплификация).
За DDoS, по мнению Google, стоит прогосударственная APT. И хотя ее принадлежности американцы не назвали, они указали на то, что часть пакетов в рамках атаки исходила со стороны китайских автономных систем.
Google Cloud Blog
Identifying and protecting against the largest DDoS attacks | Google Cloud Blog
How Google prepares for and protects against the largest volumetric DDoS attacks.
Infosecurity Magazine сообщают, что на прошлой неделе Иран подвергся двум масштабным кибератакам, одна из которых была направлена на правительственные учреждения.
Эта атака была нацелена на информационную инфраструктуру иранских портов. Также, по неподтвержденным сообщениям, среди целей была банковская система Ирана. В результате кибератаки некоторые государственные учреждения были вынуждены отключить свои Интернет-сервисы.
Учитывая геополитическую обстановку можно предположить, что за атаками стоял Израиль.
История противостояния в киберпространстве между Ираном и Израилем долгая и богатая.
Напомним, что в апреле инфраструктура компаний, обеспечивающих водоснабжение Израиля, подверглась скоординированной кибератаке, которая могла привести к серьезной нехватке воды и потерям среди гражданского населения.
В ответ 8 мая была совершена кибератака на информационные ресурсы портового города Бендер-Аббас, находящегося на юге Ирана. Спустя два дня произошел инцидент с обстрелом иранским фрегатом Jamaran, базирующимся в Бендер-Аббасе, своего же корабля сопровождения, после чего появилась информация о связи этих двух происшествий.
Через десять дней хакерская группа, называющие себя Хакеры Спасителя, вероятно проиранская, взломала более 1000 израильских сайтов.
А летом израильское Управление по водным ресурсам заявило, что в июне произошли новые кибератаки на систему водоснабжения - первая была нацелена на водные насосы в области Галилея, вторая - на водные насосы в регионального совете Мате-Йехуда.
Обе страны обладают впечатляющими возможностями по проведению киберопераций. И если про иранские APT пишут много и часто, то про израильские хакерские группы известно намного меньше. Но мы знаем как минимум две израильские APT - это Flame, за которой стоит подразделение Unit 8200, отвечающее за радиоэлектронную разведку в Управлении военной разведки израильской армии, и Duqu, которая подчиняется по одним данным Моссаду, по другим - тем же Unit 8200.
Опять же нельзя забывать про впечатляющую операцию Stuxnet, проведенную Unit 8200 при поддержке АНБ.
Эта музыка будет вечной (с)
Эта атака была нацелена на информационную инфраструктуру иранских портов. Также, по неподтвержденным сообщениям, среди целей была банковская система Ирана. В результате кибератаки некоторые государственные учреждения были вынуждены отключить свои Интернет-сервисы.
Учитывая геополитическую обстановку можно предположить, что за атаками стоял Израиль.
История противостояния в киберпространстве между Ираном и Израилем долгая и богатая.
Напомним, что в апреле инфраструктура компаний, обеспечивающих водоснабжение Израиля, подверглась скоординированной кибератаке, которая могла привести к серьезной нехватке воды и потерям среди гражданского населения.
В ответ 8 мая была совершена кибератака на информационные ресурсы портового города Бендер-Аббас, находящегося на юге Ирана. Спустя два дня произошел инцидент с обстрелом иранским фрегатом Jamaran, базирующимся в Бендер-Аббасе, своего же корабля сопровождения, после чего появилась информация о связи этих двух происшествий.
Через десять дней хакерская группа, называющие себя Хакеры Спасителя, вероятно проиранская, взломала более 1000 израильских сайтов.
А летом израильское Управление по водным ресурсам заявило, что в июне произошли новые кибератаки на систему водоснабжения - первая была нацелена на водные насосы в области Галилея, вторая - на водные насосы в регионального совете Мате-Йехуда.
Обе страны обладают впечатляющими возможностями по проведению киберопераций. И если про иранские APT пишут много и часто, то про израильские хакерские группы известно намного меньше. Но мы знаем как минимум две израильские APT - это Flame, за которой стоит подразделение Unit 8200, отвечающее за радиоэлектронную разведку в Управлении военной разведки израильской армии, и Duqu, которая подчиняется по одним данным Моссаду, по другим - тем же Unit 8200.
Опять же нельзя забывать про впечатляющую операцию Stuxnet, проведенную Unit 8200 при поддержке АНБ.
Эта музыка будет вечной (с)
Infosecurity Magazine
Iran Reports Two Major Cyber-Attacks
Iran’s ports and government institutions targeted in large-scale cyber-attacks
Ровно неделю назад Microsoft объявили, что в составе большой коалиции с ESET, NTT, Symantec и рядом других команд "нанесли решающий удар" по одному из самых известных ботнетов Trickbot. Мы писали об этом здесь.
Мы тогда высказали мнение, что несмотря на то, что урон ботнету достаточно велик, создатели и операторы TrickBot смогут возобновить свою деятельность через некоторое время. И оказались правы.
CrowdStrike выпустили отчет об активности группы Wizard Spider, стоящей за TrickBot. Что же предприняли российские (а группа - российская) хакеры чтобы восстановить свои мощности?
Во-первых, они задействовали вредоносную инфраструктуру другой российской коммерческой хакерской группы Mummy Spider, являющейся автором вредоноса Emotet. Теперь на зараженные Emotet хосты загружается Trickbot.
Во-вторых, Wizard Spider расширили фишинговую кампанию по распространению другого вредоноса BazarLoader, использующегося, в числе прочего, для последующей доставки ransomware Ryuk и Conti.
Таким образом, по мнению исследователей CrowdStrike активность Wizard Spider быстро вернулась к прежнему уровню. Поскольку основной целью Microsoft сотоварищи было снижение уровня распространения именно вымогателей Ryuk и Conti, которые доставлялись посредством Trickbot, то можно сказать, что "масштабная операция" не принесла каких-либо серьезных успехов.
Мы тогда высказали мнение, что несмотря на то, что урон ботнету достаточно велик, создатели и операторы TrickBot смогут возобновить свою деятельность через некоторое время. И оказались правы.
CrowdStrike выпустили отчет об активности группы Wizard Spider, стоящей за TrickBot. Что же предприняли российские (а группа - российская) хакеры чтобы восстановить свои мощности?
Во-первых, они задействовали вредоносную инфраструктуру другой российской коммерческой хакерской группы Mummy Spider, являющейся автором вредоноса Emotet. Теперь на зараженные Emotet хосты загружается Trickbot.
Во-вторых, Wizard Spider расширили фишинговую кампанию по распространению другого вредоноса BazarLoader, использующегося, в числе прочего, для последующей доставки ransomware Ryuk и Conti.
Таким образом, по мнению исследователей CrowdStrike активность Wizard Spider быстро вернулась к прежнему уровню. Поскольку основной целью Microsoft сотоварищи было снижение уровня распространения именно вымогателей Ryuk и Conti, которые доставлялись посредством Trickbot, то можно сказать, что "масштабная операция" не принесла каких-либо серьезных успехов.
crowdstrike.com
Wizard Spider Modifies and Expands Toolset [Adversary Update]
The CrowdStrike Intelligence team shares its analysis of key observations from WIZARD SPIDER's BazarLoader, Conti and Ryuk operations over recent months.
Полагаем большинство эту новость уже видело - вчера Министерство юстиции США заочно предъявило обвинение шестерым гражданам России, которых американцы подозревают в проведении кибератак в составе APT Sandworm aka BlackEnergy aka Voodoo Bear по заказу в/ч 74455, она же Главный центр специальных технологий ГРУ.
В числе обвиняемых - Юрий Андриенко, Сергей Детистов, Павел Фролов, Анатолий Ковалев, Артем Очиченко и Петр Плискин.
Обвиняют их в атаках на инфраструктуру Украины в 2015-2016 годах, на французские выборы в 2017 году, в распространении ransomware NotPetya, в атаках на Олимпийские игры в Пченчхане, в атаках на ОЗХО и британскую Лабораторию оборонной науки и технологии в 2018 году и, наконец, в атаках на грузинские ресурсы в 2018 и 2019 годах.
Мы ознакомились с обвинительным заключением и имеем сказать следующее.
На первый взгляд обвинение выглядит правдоподобно. Описание последовательности действий фигурантов при организации той или иной атаки достаточно подробные. Но, честно говоря, эти подробности-то нас и смущают.
Потому что фразы типа "такого-то числа имярек отправил 8 фишинговых писем, а через 2 дня завел фейковый электронный адрес" означают что либо лица, ведущие расследование, полностью распотрошили ресурсы атакующих, откуда взяли все логи, либо в фактаже имеется достаточное количество фантазии.
Разбирать можно долго по каждому пункту обвинений, но скажем только, что дефейс грузинских сайтов, на которые загрузили картинки с изображением Саакашвили и подписью "i'll be back", с нашей точки зрения все-таки мало похоже на операцию спецслужб, о чем мы уже писали.
И, да, в атаках на ОЗХО в апреле 2018 года европейцы еще летом успели обвинить членов APT Sandworm и даже ввели в их отношении санкции. Правда их фамилии - Минин, Моренец, Серебряков и Сотников. У кого-то, похоже, пчелы неправильные.
В числе обвиняемых - Юрий Андриенко, Сергей Детистов, Павел Фролов, Анатолий Ковалев, Артем Очиченко и Петр Плискин.
Обвиняют их в атаках на инфраструктуру Украины в 2015-2016 годах, на французские выборы в 2017 году, в распространении ransomware NotPetya, в атаках на Олимпийские игры в Пченчхане, в атаках на ОЗХО и британскую Лабораторию оборонной науки и технологии в 2018 году и, наконец, в атаках на грузинские ресурсы в 2018 и 2019 годах.
Мы ознакомились с обвинительным заключением и имеем сказать следующее.
На первый взгляд обвинение выглядит правдоподобно. Описание последовательности действий фигурантов при организации той или иной атаки достаточно подробные. Но, честно говоря, эти подробности-то нас и смущают.
Потому что фразы типа "такого-то числа имярек отправил 8 фишинговых писем, а через 2 дня завел фейковый электронный адрес" означают что либо лица, ведущие расследование, полностью распотрошили ресурсы атакующих, откуда взяли все логи, либо в фактаже имеется достаточное количество фантазии.
Разбирать можно долго по каждому пункту обвинений, но скажем только, что дефейс грузинских сайтов, на которые загрузили картинки с изображением Саакашвили и подписью "i'll be back", с нашей точки зрения все-таки мало похоже на операцию спецслужб, о чем мы уже писали.
И, да, в атаках на ОЗХО в апреле 2018 года европейцы еще летом успели обвинить членов APT Sandworm и даже ввели в их отношении санкции. Правда их фамилии - Минин, Моренец, Серебряков и Сотников. У кого-то, похоже, пчелы неправильные.
Давно мы не писали инсайдов по российской инфосек отрасли и вот решили реабилитироваться и дать сразу несколько.
Во-первых, в отраслевых изданиях вчера появилась новость о том, что вице-президент InfoWatch Рустэм Хайретдинов перешел на должность директора по росту в компании BI. ZONE. Вместе с ним InfoWatch покинули еще двое топ-менеджеров - Елена Сучкова и Константин Левин.
Мы можем дополнить следующим. По нашей информации, InfoWatch закрывает все свои иностранные представительства - это раз. А два - уход сразу трех топов, среди которых Хайретдинов, стоявший у истоков проекта Лаборатории Касперского, который в последующем превратился в компанию InfoWatch, свидетельствует, что детище Натальи Ивановны Касперской с большой долей вероятности идет ко дну.
Во-вторых, продолжая тему перемещения топ-менеджеров из-под людей с фамилией Касперские. Летом Лабораторию Касперского покинула Людмила Смирнова, занимавшая должность финансового директора. И вряд ли бы мы обратили на это внимание, если бы не тот факт, что Смирнова ушла не куда-нибудь, а в Вымпелком, который, если быть честным, сам находится на последнем издыхании. То есть один из ведущих топов убегает из "успешной" компании в компанию, находящуюся при смерти. Видимо, у Евгения Валентиновича (tm) далеко не все гладко, несмотря на заявляемые перемоги.
В-третьих, наш любимый Илья Константинович Сачков тоже выкидывает коленца. Как нам пишут, у Ильи осенняя депрессия, усугубляемая потерей ряда ключевых клиентов. В связи с этим он погрузился в созерцание себя и практически забил на бизнес, что, разумеется, не самым хорошим образом сказывается на делах Group-IB. По слухам, если все и дальше пойдет подобным образом, топоменеджеропад ожидает и самого меткого стрелка российского инфосека.
Ну и в-четвертых, мы не могли забыть про Positive Technologies. Поговаривают, что выпуск летом облигаций на Московской бирже (кстати, вроде бы как неплохо котируются) явился первым шагом по формированию "фондовой истории" в долгосрочной стратегии по подготовке к IPO. Причем IPO планируется именно на MOEX, а не где-нибудь в Сингапуре. Что, в общем-то, логично, учитывая близость Positive Technologies к некоторым "номерным" Центрам ФСБ.
Во-первых, в отраслевых изданиях вчера появилась новость о том, что вице-президент InfoWatch Рустэм Хайретдинов перешел на должность директора по росту в компании BI. ZONE. Вместе с ним InfoWatch покинули еще двое топ-менеджеров - Елена Сучкова и Константин Левин.
Мы можем дополнить следующим. По нашей информации, InfoWatch закрывает все свои иностранные представительства - это раз. А два - уход сразу трех топов, среди которых Хайретдинов, стоявший у истоков проекта Лаборатории Касперского, который в последующем превратился в компанию InfoWatch, свидетельствует, что детище Натальи Ивановны Касперской с большой долей вероятности идет ко дну.
Во-вторых, продолжая тему перемещения топ-менеджеров из-под людей с фамилией Касперские. Летом Лабораторию Касперского покинула Людмила Смирнова, занимавшая должность финансового директора. И вряд ли бы мы обратили на это внимание, если бы не тот факт, что Смирнова ушла не куда-нибудь, а в Вымпелком, который, если быть честным, сам находится на последнем издыхании. То есть один из ведущих топов убегает из "успешной" компании в компанию, находящуюся при смерти. Видимо, у Евгения Валентиновича (tm) далеко не все гладко, несмотря на заявляемые перемоги.
В-третьих, наш любимый Илья Константинович Сачков тоже выкидывает коленца. Как нам пишут, у Ильи осенняя депрессия, усугубляемая потерей ряда ключевых клиентов. В связи с этим он погрузился в созерцание себя и практически забил на бизнес, что, разумеется, не самым хорошим образом сказывается на делах Group-IB. По слухам, если все и дальше пойдет подобным образом, топоменеджеропад ожидает и самого меткого стрелка российского инфосека.
Ну и в-четвертых, мы не могли забыть про Positive Technologies. Поговаривают, что выпуск летом облигаций на Московской бирже (кстати, вроде бы как неплохо котируются) явился первым шагом по формированию "фондовой истории" в долгосрочной стратегии по подготовке к IPO. Причем IPO планируется именно на MOEX, а не где-нибудь в Сингапуре. Что, в общем-то, логично, учитывая близость Positive Technologies к некоторым "номерным" Центрам ФСБ.
Владельцы ransomware идут по проторенной дорожке наркокартелей и начинают примерять на себя маску Робина Гуда.
Напомним, что классический герой отбирал деньги у богатых и раздавал их бедным. До сих пор стоящие за вымогателями хакерские группы преимущественно деньги отбирали. И вот, они начали делать вид, что их раздают.
По данным ZDnet, владельцы вымогателя Darkside пожертвовали по 10 тыс. долларов Children International, некоммерческой организации по оказанию помощи живущим в нищете детям, и The Water Project, организации, борющейся за доступ к чистой воде в странах Африки.
Darkside - это появившееся в августе ransomware, ориентированное на шифрование крупных корпоративных сетей. Как и большинство вымогателей в последнее время имеет собственный сайт, на котором в случае невыплаты жертвой выкупа публикуются украденные данные (DLS - data leak site).
Ранее владелец Darkside сообщал, что группа не шифрует сети больниц, школ, университетов и некоммерческих организаций.
Шутка в том, что Children International и The Water Project не смогут воспользоваться пожертвованиями, поскольку они получены неправомерным путем. Так что средства, скорее всего, будут конфискованы.
Тенденция, тем не менее, достаточно знаковая.
Напомним, что классический герой отбирал деньги у богатых и раздавал их бедным. До сих пор стоящие за вымогателями хакерские группы преимущественно деньги отбирали. И вот, они начали делать вид, что их раздают.
По данным ZDnet, владельцы вымогателя Darkside пожертвовали по 10 тыс. долларов Children International, некоммерческой организации по оказанию помощи живущим в нищете детям, и The Water Project, организации, борющейся за доступ к чистой воде в странах Африки.
Darkside - это появившееся в августе ransomware, ориентированное на шифрование крупных корпоративных сетей. Как и большинство вымогателей в последнее время имеет собственный сайт, на котором в случае невыплаты жертвой выкупа публикуются украденные данные (DLS - data leak site).
Ранее владелец Darkside сообщал, что группа не шифрует сети больниц, школ, университетов и некоммерческих организаций.
Шутка в том, что Children International и The Water Project не смогут воспользоваться пожертвованиями, поскольку они получены неправомерным путем. Так что средства, скорее всего, будут конфискованы.
Тенденция, тем не менее, достаточно знаковая.
ZDNET
Ransomware gang donates part of ransom demands to charity organizations
The Darkside ransomware gang has donated $10K it received as part of ransom demands to Children International and The Water Project.
Информационная безопасность, курсы, книги, подборки полезного материала для IT специалистов — https://yangx.top/Social_engineering
Трамп демонстрирует глубокие познания в инфосек.
Twitter
Martin
"Nobody gets hacked. To get hacked you need somebody with 197 IQ and he needs about 15 percent of your password."
Американское АНБ опубликовало отчет с описанием 25 основных уязвимостей, которые используются китайскими APT.
Мы, конечно, сомневаемся, что кто-то из наших подписчиков (ну, кроме ребят из трехбуквенных контор и госкомпаний) может стать объектом атаки китайских прогосударственных хакеров. Тем не менее, эти же уязвимости используются коммерческими хакерами для развертывания, например, ransomware. Поэтому обратить внимание на этот материал будет полезно всем причастным к обеспечению информационной безопасности.
Что же мы видим? На первом месте, ожидаемо, CVE-2019-11510 - уязвимость в Pulse VPN. Непропатченный своевременно сервер, судя по всему, является причиной компрометации корпоративных сетей со стороны операторов ransomware чуть ли не в половине случаев.
Дальше - CVE-2020-5902, ошибка в BIG-IP от F5 Networks, допускающая удаленное выполнение кода (RCE) со стороны хакера.
Еще одна любимая уязвимость вымогателей - CVE-2019-19781 в Citrix ADC, также приводящая к RCE.
Среди других уязвимостей и SIGRed, и Zerologon и многие другие.
Рекомендуем рассматривать этот список как набор точек контроля при анализе защищенности внешнего периметра компании.
И только один момент нас печалит - зная манеру работы АНБ можно смело утверждать, что если они открыто предупреждают о наличии тех или иных дырок, значит сами их точно не используют. У них другие 0-day уязвимости в ходу.
Мы, конечно, сомневаемся, что кто-то из наших подписчиков (ну, кроме ребят из трехбуквенных контор и госкомпаний) может стать объектом атаки китайских прогосударственных хакеров. Тем не менее, эти же уязвимости используются коммерческими хакерами для развертывания, например, ransomware. Поэтому обратить внимание на этот материал будет полезно всем причастным к обеспечению информационной безопасности.
Что же мы видим? На первом месте, ожидаемо, CVE-2019-11510 - уязвимость в Pulse VPN. Непропатченный своевременно сервер, судя по всему, является причиной компрометации корпоративных сетей со стороны операторов ransomware чуть ли не в половине случаев.
Дальше - CVE-2020-5902, ошибка в BIG-IP от F5 Networks, допускающая удаленное выполнение кода (RCE) со стороны хакера.
Еще одна любимая уязвимость вымогателей - CVE-2019-19781 в Citrix ADC, также приводящая к RCE.
Среди других уязвимостей и SIGRed, и Zerologon и многие другие.
Рекомендуем рассматривать этот список как набор точек контроля при анализе защищенности внешнего периметра компании.
И только один момент нас печалит - зная манеру работы АНБ можно смело утверждать, что если они открыто предупреждают о наличии тех или иных дырок, значит сами их точно не используют. У них другие 0-day уязвимости в ходу.
Руководитель команды Google Project Zero предупреждает об активном использовании в дикой природе уязвимости CVE-2020-15999 в Chrome.
Ошибка находится в сторонней библиотеке FreeType и приводит к переполнению кучи, что может, если звезды сойдутся, позволить хакеру удаленное выполнение кода.
Тем не менее, пока что мы можем только гадать о последствиях эксплуатации уязвимости, поскольку технических подробностей нет. PoC, соответственно, тоже. Полагаем, что разработчики выдержат достаточную паузу перед их публикацией, чтобы большинство пользователей успело обновиться.
Апдейт, исправляющий эту и другие уязвимости Google выпустили вчера. Всем срочно обновлять браузеры.
UPD. Нам подсказывают, что обсуждение подробностей уязвимости есть здесь. Пока что понятно, что эксплуатируя ошибку можно точно положить Chrome.
Ошибка находится в сторонней библиотеке FreeType и приводит к переполнению кучи, что может, если звезды сойдутся, позволить хакеру удаленное выполнение кода.
Тем не менее, пока что мы можем только гадать о последствиях эксплуатации уязвимости, поскольку технических подробностей нет. PoC, соответственно, тоже. Полагаем, что разработчики выдержат достаточную паузу перед их публикацией, чтобы большинство пользователей успело обновиться.
Апдейт, исправляющий эту и другие уязвимости Google выпустили вчера. Всем срочно обновлять браузеры.
UPD. Нам подсказывают, что обсуждение подробностей уязвимости есть здесь. Пока что понятно, что эксплуатируя ошибку можно точно положить Chrome.
Twitter
Ben Hawkes
Project Zero discovered and reported an actively exploited 0day in freetype that was being used to target Chrome. A stable release that fixes this issue (CVE-2020-15999) is available here: https://t.co/ZRQe72Qfkh
Евгений Валентинович (tm), скажем так, позаимствовал наше поэтическое сравнение владельцев ransomware Darkside с Робином Гудом. Куда катится мир...
Ну, хотя бы читает.
Ну, хотя бы читает.
Twitter
Eugene Kaspersky
Cybercriminal gang Darkside sent $20K in donations to charities in a ‘Robin Hood’ effort intended to draw attention to future data dumps ⇒ https://t.co/PBUSbSRhKq However: "Most researchers are not impressed by Darkside’s seeming altruism"
Исследователи из японской Trend Micro, зацепили кибероперацию неустановленной APT, которую назвали Operation Earth Kitsune.
Для начала необходимо вернуться на полтора года назад. В марте 2019 года японские ресерчеры обнаружили новое вредоносное ПО, которому дали имя SLUB. Обнаружили его на взломанном сайте, который использовался хакерами в ходе т.н. атаки на водопой.
Посетители взломанного ресурса (судя по всему, он был канадский), посвященного северокорейской тематике, заражались с помощью эксплуатации CVE-2018-8174, уязвимости в движке VBScript, позволявшей осуществить RCE.
Сама схема заражения была многоэтапна - сначала загружался своеобразный разведчик, который детектировал антивирусные процессы и, в случае их нахождения, завершал свою работу. Если атакованный хост был чист, то далее загружался основной модуль, который занимался сбором и эксфильтрацией информации.
Одной из зацепок, позволяющей хоть как-то косвенно судить об авторах киберкампании стал сбор вредоносом всех документов с расширением HWP, используемом для хранения текстовых документов с поддержкой хангыль, корейского письма.
Уникальной оказалась схема коммуникации вредоноса с атакующими. SLUB получал команды посредством GitHub, отчитывался по результатам их исполнения через закрытый чат мессенджера Slack, а эксфильтрацию файлов производил на file .io.
После этого SLUB не всплывал год. А уже в марте, мае и сентябре текущего года был обнаружен новый вариант этого вредоноса. Распространялся он опять же через водопой - снова были взломаны несколько сайтов, посвященных северокорейской тематике. И можно было бы с достаточной уверенностью кивать в сторону хакеров КНДР, если бы не одно но - на ряде ресурсов были заблокированы IP-диапазоны Южной Кореи. То есть южнокорейские пользователи не были целью операции Earth Kitsune.
В процессе заражения посетителей сайтов использовали 1-day уязвимости в Chrome и IE. Вместе с SLUB через взломанные сайты распространялись еще два авторских вредоноса, которые японские исследователи назвали dneSpy и agfSpy. Они также предназначены для поиска и сбора информации с атакованных систем.
Изменения коснулись и самого SLUB - в этот раз для коммуникации вредонос использовал опенсорсный онлайн-чат Mattermost, а также эксплуатировал несколько свежих 1-day уязвимостей.
Новых данных в отношении стоящей за SLUB хакерской группы Trend Micro не получили. Поэтому, с учетом непонятных моментов в выборе целей для взлома, операция Earth Kitsune выглядит крайне странно.
Такой вот он загадочный, мир APT.
Для начала необходимо вернуться на полтора года назад. В марте 2019 года японские ресерчеры обнаружили новое вредоносное ПО, которому дали имя SLUB. Обнаружили его на взломанном сайте, который использовался хакерами в ходе т.н. атаки на водопой.
Посетители взломанного ресурса (судя по всему, он был канадский), посвященного северокорейской тематике, заражались с помощью эксплуатации CVE-2018-8174, уязвимости в движке VBScript, позволявшей осуществить RCE.
Сама схема заражения была многоэтапна - сначала загружался своеобразный разведчик, который детектировал антивирусные процессы и, в случае их нахождения, завершал свою работу. Если атакованный хост был чист, то далее загружался основной модуль, который занимался сбором и эксфильтрацией информации.
Одной из зацепок, позволяющей хоть как-то косвенно судить об авторах киберкампании стал сбор вредоносом всех документов с расширением HWP, используемом для хранения текстовых документов с поддержкой хангыль, корейского письма.
Уникальной оказалась схема коммуникации вредоноса с атакующими. SLUB получал команды посредством GitHub, отчитывался по результатам их исполнения через закрытый чат мессенджера Slack, а эксфильтрацию файлов производил на file .io.
После этого SLUB не всплывал год. А уже в марте, мае и сентябре текущего года был обнаружен новый вариант этого вредоноса. Распространялся он опять же через водопой - снова были взломаны несколько сайтов, посвященных северокорейской тематике. И можно было бы с достаточной уверенностью кивать в сторону хакеров КНДР, если бы не одно но - на ряде ресурсов были заблокированы IP-диапазоны Южной Кореи. То есть южнокорейские пользователи не были целью операции Earth Kitsune.
В процессе заражения посетителей сайтов использовали 1-day уязвимости в Chrome и IE. Вместе с SLUB через взломанные сайты распространялись еще два авторских вредоноса, которые японские исследователи назвали dneSpy и agfSpy. Они также предназначены для поиска и сбора информации с атакованных систем.
Изменения коснулись и самого SLUB - в этот раз для коммуникации вредонос использовал опенсорсный онлайн-чат Mattermost, а также эксплуатировал несколько свежих 1-day уязвимостей.
Новых данных в отношении стоящей за SLUB хакерской группы Trend Micro не получили. Поэтому, с учетом непонятных моментов в выборе целей для взлома, операция Earth Kitsune выглядит крайне странно.
Такой вот он загадочный, мир APT.
Trendmicro
Operation Earth Kitsune: Tracking SLUB’s Current Operations
A watering hole campaign we dubbed as Operation Earth Kitsune is spying on users’ systems through compromised websites. Using SLUB and two new malware variants, the attacks exploit vulnerabilities including those of Google Chrome and Internet Explorer.
В США очередной предвыборный скандал, связанный с зарубежными хакерами.
На прошедшей неделе произошла массовая рассылка электронных писем в адрес избирателей, поддерживающих Демократическую партию. В письмах, отправителем которых значится американская праворадикальная организация Proud Boys, содержались угрозы адресату, если он не проголосует за Трампа. Proud Boys сразу же опровергли свою причастность к рассылке.
Расследование инфосек компании Proofpoint показало, что электронные письма были отправлены с ранее скомпрометированных ресурсов, принадлежащих компаниям в Саудовской Аравии и Эстонии.
А вчера на специальной пресс-конференции руководители ФБР и национальной разведки США сообщили, что, по их информации, за произошедшей электронной рассылкой стоит Иран. Заодно упомянули, что данные об избирателях также получила Россия, видимо, чтобы два раза за водкой не ходить.
Мы в таких случаях всегда задаемся вопросом "Cui prodest?" и не видим никакой выгоды для Ирана. Ну, кроме, может эфемерного негативного влияния на рейтинг Трампа, который Иран очень уж не любит.
С другой стороны, внутри американской политической тусовки потенциальных бенефициаров этой информационной кампании предостаточно и сценариев может быть несколько.
Косвенным же подтверждением такого развития событий является пламенный комментарий Джона Халквиста из FireEye, который охарактеризовал рассылку нескольких тысяч спам-писем как вмешательство в американскую демократию и пересечение "красной линии" со стороны Ирана. Вероятно, акционеры из ЦРУ попросили.
(одним из ключевых инвесторов FireEye является In-Q-Tel, официальный венчурный фонд ЦРУ).
На прошедшей неделе произошла массовая рассылка электронных писем в адрес избирателей, поддерживающих Демократическую партию. В письмах, отправителем которых значится американская праворадикальная организация Proud Boys, содержались угрозы адресату, если он не проголосует за Трампа. Proud Boys сразу же опровергли свою причастность к рассылке.
Расследование инфосек компании Proofpoint показало, что электронные письма были отправлены с ранее скомпрометированных ресурсов, принадлежащих компаниям в Саудовской Аравии и Эстонии.
А вчера на специальной пресс-конференции руководители ФБР и национальной разведки США сообщили, что, по их информации, за произошедшей электронной рассылкой стоит Иран. Заодно упомянули, что данные об избирателях также получила Россия, видимо, чтобы два раза за водкой не ходить.
Мы в таких случаях всегда задаемся вопросом "Cui prodest?" и не видим никакой выгоды для Ирана. Ну, кроме, может эфемерного негативного влияния на рейтинг Трампа, который Иран очень уж не любит.
С другой стороны, внутри американской политической тусовки потенциальных бенефициаров этой информационной кампании предостаточно и сценариев может быть несколько.
Косвенным же подтверждением такого развития событий является пламенный комментарий Джона Халквиста из FireEye, который охарактеризовал рассылку нескольких тысяч спам-писем как вмешательство в американскую демократию и пересечение "красной линии" со стороны Ирана. Вероятно, акционеры из ЦРУ попросили.
(одним из ключевых инвесторов FireEye является In-Q-Tel, официальный венчурный фонд ЦРУ).
Proofpoint
Media Coverage Doesn’t Deter Actor From Threatening Democratic Voters | Proofpoint US
On October 20, 2020, WUFT reported that Democratic-registered voters in Florida were receiving threatening emails purporting to be from the violent,
Лаборатория Касперского запилила небольшой обзор посвященный ransomware Maze. Конечно ничего нового для тех, кто читает наш канал с начала года, там нет, но если вы что-то пропустили, то краткое жизнеописание и разбор техник вымогателя будут интересны.
Единственное, в чем мы можем поправить Касперских - Maze стала не одной из первых, а действительно первой бандой ransomware, которая поставила на поток сливы украденных данных через выделенный DLS (data leak site) и сделала это своей основной фичей.
Может нам тоже начать про ransomware обзоры делать... Да не, бред какой-то.
Единственное, в чем мы можем поправить Касперских - Maze стала не одной из первых, а действительно первой бандой ransomware, которая поставила на поток сливы украденных данных через выделенный DLS (data leak site) и сделала это своей основной фичей.
Может нам тоже начать про ransomware обзоры делать... Да не, бред какой-то.
Securelist
Life of Maze ransomware
In the past year, Maze ransomware has become one of the most notorious malware families threatening businesses and large organizations.
Неделю назад мы писали про расследование ClearSky в отношении операции QuickSand иранской APT MuddyWater. Тогда британские исследователи на основании замечания компании Palo Alto Networks о том, что используемый иранцами загрузчик PowGoop имеет небольшое сходство с загрузчиком ransomware Thanos, стирающим MBR, расписали на половину отчета про хитрый план аятолл по тотальному уничтожению всех компьютеров Израиля.
Мы тогда высказали сомнение в оправданности такого предположения. И не потому что мы за Иран, а потому что мы, как Васисуалий Лоханкин, все "делаем не в интересах истины, а в интересах правды".
И вот нас поддержали Symantec. В выпущенном отчете об активности APT MuddyWater, которую они называют Seedworm, американцы также указали на несостыковку и сообщили, что никаких доказательств связи иранцев с ransomware Thanos не обнаружили.
О - объективность.
Мы тогда высказали сомнение в оправданности такого предположения. И не потому что мы за Иран, а потому что мы, как Васисуалий Лоханкин, все "делаем не в интересах истины, а в интересах правды".
И вот нас поддержали Symantec. В выпущенном отчете об активности APT MuddyWater, которую они называют Seedworm, американцы также указали на несостыковку и сообщили, что никаких доказательств связи иранцев с ransomware Thanos не обнаружили.
О - объективность.
Security
Seedworm: Iran-Linked Group Continues to Target Organizations in the Middle East
Group continues to be highly active in 2020, while tentative links to recently discovered PowGoop tool suggest possible retooling.
Немецкие исследователи из G DATA выпустили отчет, посвященный новому трояну удаленного доступа T-RAT, продаваемому на русскоязычных хакерских форумах, основным каналом управления которым является Telegram, а также через RDP с VNC.
Первым новый RAT обнаружил в сентябре ресерчер 3xp0rt, в том числе на форуме lolz. guru он нашел целую презентацию трояна.
Вредонос состоит из загрузчика, основного модуля sihost.exe, а также нескольких вспомогательных библиотек, таких как Telegram.Bot.dll и socks5.dll.
Злоумышленник может управлять T-RAT через бота Telegram, для чего последний поддерживает 98 команд, большинство из которых на русском языке. Вредонос позволяет исследовать файловую систему и красть отдельные файлы, похищать пароли, куки, переписки из Telegram, Discord, Steam, Viber, Skype и др. Он может перехватывать электронные транзакции, делать скриншоты, создавать снимки экрана, снимать информацию с микрофона и камеры, а также обладает функциями кейлоггера.
Вдобавок к этому T-RAT умеет уклоняться от обнаружения, блокировать часть активности компьютера - например, блокировать сайты обновления антивирусных программ.
T-RAT - это не первый троян с управлением посредством Telegram. Но, честно говоря, лично мы впервые увидели профессионально сделанную презентацию, рекламирующую возможности вредоноса. Большой и развитый рынок, чего уж тут сказать.
Аплодируем ЦИБ ФСБ и БСТМ МВД за эффективную борьбу с кибепреступностью (сарказм).
Первым новый RAT обнаружил в сентябре ресерчер 3xp0rt, в том числе на форуме lolz. guru он нашел целую презентацию трояна.
Вредонос состоит из загрузчика, основного модуля sihost.exe, а также нескольких вспомогательных библиотек, таких как Telegram.Bot.dll и socks5.dll.
Злоумышленник может управлять T-RAT через бота Telegram, для чего последний поддерживает 98 команд, большинство из которых на русском языке. Вредонос позволяет исследовать файловую систему и красть отдельные файлы, похищать пароли, куки, переписки из Telegram, Discord, Steam, Viber, Skype и др. Он может перехватывать электронные транзакции, делать скриншоты, создавать снимки экрана, снимать информацию с микрофона и камеры, а также обладает функциями кейлоггера.
Вдобавок к этому T-RAT умеет уклоняться от обнаружения, блокировать часть активности компьютера - например, блокировать сайты обновления антивирусных программ.
T-RAT - это не первый троян с управлением посредством Telegram. Но, честно говоря, лично мы впервые увидели профессионально сделанную презентацию, рекламирующую возможности вредоноса. Большой и развитый рынок, чего уж тут сказать.
Аплодируем ЦИБ ФСБ и БСТМ МВД за эффективную борьбу с кибепреступностью (сарказм).
