͏Вслед за Microsoft DTAC новым универсальным набором TTPs, указывающим на принадлежность атакующих к APT России, Китая, Ирана или КНДР, о котором мы недавно писали, оперативно воспользовались чиновники из Великобритании.

Не просто чиновник, а целый член парламента, Стюарт Макдональд, рассказал об инциденте с фишингом, в результате которого была взломана его личная электронная почта.

Как он сам признается, попытки взломать парламентский аккаунт продолжаются и не увенчались успехом, а с личной почтой пришлось попрощаться.

В беседе с журналистами BBC Макдональд сообщил, что получил сообщение в январе 2023 года, которое пришло с реального адреса электронной почты одного из его сотрудников, которая спустя несколько дней была заблокирована из-за подозрительной активности. 

Щелкнув по документу, член парламента был перенаправлен на фишинговую страницу входа, которой надлежащим образом и воспользовался.

Связавшись с Национальным центром кибербезопасности (NCSC) по поводу инцидента, Макдональд сразу раскрыл преступление и пришел к выводу о причастности к нему российских хакеров.

Оперативно отработать кейс ему помог опубликованный NCSC в январе 2023 года бюллетень с указанием TTPs связанных с Россией и Ираном АРТ, которых обвиняли практически во всех фишинговых атаках на британских пользователей.

Налицо и все признаки оказались: 1 - хакеры атаковали цель через Интернет, 2 - в ходе фишинговой атаки они использовали один или несколько подставных ящиков на Outlook и Gmail, 3 - у хакерской атаки были негативные последствия.

Следуя логике документа, если хотя бы один из этих признаков присутствует, то можно с уверенностью говорить, что атакующие работают на правительство одной из указанных стран (а может быть и на все сразу!)

Уровень читерства в Dota 2 дорос до нового уровня, причем кто больше виноват разработчики игры или сервис Steam вопрос философский.

Хакерской смекалки нет предела и очевидно, что злоумышленники фанаты игры.

Собственно, в чем суть: злоумышленники разместили вредоносные моды для Dota в магазине Steam, при использовании которых происходит установка бэкдора на компьютеры геймеров.

Проблему обнаружили исследователи Avast Threat Labs и установили что малварь скрывается под именами Overdog no annoying heroes (id 2776998052), Custom Hero Brawl (id 2780728794) и Overthrow RTZ Edition X10 XP (id 2780559339).

Смекалистый хакер также включил новый файл с именем evil.lua, который использовался для проверки возможностей выполнения Lua на стороне сервера. Этот вредоносный код может использоваться для ведения журнала, выполнения произвольных системных команд, создания сопрограмм и отправки HTTP-запросов GET.

Если в первом моде достаточно легко обнаружить бэкдор, то в трех новых читах выявить двадцать строк вредоносного кода, было гораздо сложнее.

Установленный бэкдор позволял злоумышленнику выполнять команды на зараженных устройствах и использовать иное вредоносное ПО.

В ряде случаев малварь использовалась для загрузки широко используемого эксплойта для Chrome CVE-2021-38003 - серьезной баге в движке Google V8 JavaScript и WebAssembly, которая в свое время использовалась в атаках как 0day и была исправлена в октябре 2021 года.

Avast сообщил о своих выводах разработчику игры, который уже обновил уязвимую версию V8 12 января 2023 года.

До этого Dota 2 вообще использовала версию v8.dll, скомпилированную в декабре 2018 года.

͏Лучшие инфосек-практики на канале Secator

͏Reddit сообщает о кибератаке, которая состоялась в воскресенье вечером и привела к взлому корпоративных систем и краже исходного кода.

Провернуть дело хакерам помог старый добрый фишинг, на который попались некоторые сотрудники Reddit.

В ходе атаки эмулировалась корпоративная страница авторизации, с помощью которой злоумышленники получили от нерадивых сотрудников учетные данные и токены двухфакторной аутентификации.

После чего злоумышленник смог проникнуть во внутреннюю сеть Reddit, получить доступ к информационным панелям и бизнес-системам, а также впоследствии успешно эксфильтровать данные и исходный код.

Предварительное расследование не подтверждает признаков взлома основных рабочих стеков Reddit и баз данных.

В числе скомпрометированных данных значится пока ограниченная контактная информация компании, а также сведения в отношении действующих и бывших сотрудников.

Также, вероятно, украдены сведения о рекламодателях, но более конкретная финансовая информация, статистика рекламных кампаний не пострадали.

Reddit сообщает, что они узнали о взломе от сотрудника, которого подломили хакеры.

Другие обстоятельства инцидента компания не разглашает, лишь указывая на аналогичную недавнюю атаку в отношении Riot Games.

Резюмируя, не можем не согласиться с vx-undeground относительно того, что инциденты с Reddit, Riot Games, Microsoft, Rockstar Games, NVIDIA, Okta, Uber, Ubisoft и Samsung отражают парадигму современного инфосека, в целом, как-то так 👇

Критическая инфраструктура может оказаться под угрозой из-за новых уязвимостей в беспроводных устройствах IIoT.

В рамах широкого исследования в решениях ведущих поставщиков исследователями израильской Otorio был обнаружен набор из 38 уязвимостей, которые могут стать серьезной поверхностью для атак, нацеленных на среды операционных технологий OT.

Злоумышленники, не прошедшие проверку подлинности, могут использовать уязвимости в беспроводных устройствах IIoT для обхода защиты и получения первоначального доступа к внутренним сетям OT, подвергая серьезному риску критическую инфраструктуру или производство.

Некоторые из выявленных недостатков могут быть объединены в цепочку, которая обеспечит внешнему актору прямой доступ к тысячам внутренних сетей OT через Интернет.

Три уязвимости (CVE-2022-3703, CVE-2022-41607 и CVE-2022-40981) затрагивают сервер удаленного доступа (RAS) ETIC Telecom и могут быть использованы для полного перехвата контроля над уязвимыми устройствами.

Пять других уязвимостей касаются InHand Networks InRouter 302 и InRouter 615, эксплуатация которых может привести к внедрению команд, раскрытию информации и RCE.

Они затрагивают облачную платформу «диспетчер устройств», которая позволяет операторам выполнять удаленные действия (изменение конфигурации и обновление прошивки).

Вмешательство приведет к компрометации каждого управляемого облаком устройства InRouter с привилегиями root.

Две уязвимости выявлены в маршрутизаторе Sierra Wireless AirLink Router (CVE-2022-46649 и CVE-2022-46650).

Баги могут привести к потере конфиденциальной информации и RCE. Остальные недостатки - на стадии раскрытия.

Полученные исследователями результаты показывают, что сети OT могут быть подвержены серьезному риску, если открыть устройства IIoT в Интернет, фактически создав единую точку отказа, которая позволит обойти все средства защиты.

Кроме того, локальные злоумышленники, нацелившись на локальные каналы Wi-Fi или сотовые каналы, могут реализовать сценарии «противник посередине» AitM с неблагоприятным потенциальным воздействием.

Атаки могут варьироваться от нацеливания на слабые схемы шифрования до атак сосуществования, направленных на комбинированные чипы, широко используемые в электронных устройствах.

По мнению Otorio, для их осуществления злоумышленники могут использовать такие платформы, как WiGLE, которая представляет собой базу данных различных беспроводных точек доступа по всему миру, что отлично пригодится для выявления ценных промышленных сред, их местонахождения и эксплуатации точек доступа в непосредственной близости.

В качестве контрмер рекомендуется отключать небезопасные схемы шифрования, скрывать имена сетей Wi-Fi, отключать неиспользуемые облачные службы управления и принимать меры для предотвращения публичного доступа к устройствам.

И снова Google латает дыры от 40 уязвимостей в своей флагманской ОС.

Первая часть обновлений устраняет в общей сложности 17 ошибок безопасности высокой степени серьезности, влияющих на компоненты Framework, Media Framework и System.

Наиболее критичной из проблем является уязвимость в компоненте Framework, которая может привести к локальному повышению привилегий.

Хотя большинство недостатков, могли привести к эскалации привилегий, также были устранены некоторые ошибки, связанные с раскрытием информации и отказом в обслуживании (DoS).

Вторая часть исправлений устраняет 23 дефекта безопасности в компонентах Kernel, MediaTek, Unisoc, Qualcomm и Qualcomm с закрытым исходным кодом.

Также Google объявила об исправлении трех уязвимостей в устройствах Pixel и о выпуске одного исправления в рамках обновления Android Automotive OS (AAOS) в этом месяце в дополнение к исправлениям, описанным в бюллетене по безопасности Android за февраль 2023 года.

Традиционно, Google за месяц до публикации уведомил производителей об исправленных проблемах, а также выпустил исправления исходного кода для репозитория Android Open Source Project (AOSP).

Если фанаты Pixel уже могут самостоятельно получить последние исправления безопасности, то пользователям других устройств придется подождать, пока производители их мобильных устройств выпустят необходимые обновления.

OpenSSL обзавелся обновленной версией с исправлением уязвимостей безопасности, в том числе серьезной ошибки в наборе инструментов шифрования с открытым исходным кодом.

Отслеживаемая как CVE-2023-0286 связана с путаницей типов, обусловленная обработкой адреса X.400 внутри X.509 GeneralName.

Ошибка может иметь серьезные последствия, поскольку ее можно использовать для принуждения программы к непреднамеренному поведению, что может привести к сбою или RCE.

Проблема была исправлена в версиях OpenSSL 3.0.8, 1.1.1t и 1.0.2zg.

В числе других в последних обновлениях устраненны следующие ошибки:

- CVE-2022-4203 (переполнение буфера),
- CVE-2022-4304 (синхронизация Oracle в расшифровке RSA),
- CVE-2022-4450 (использование после вызова PEM_read_bio_ex),
- CVE-2023-0215  (использование после освобождения после BIO_new_NDEF),
- CVE-2023-0216 (недопустимое разыменование указателя в функциях d2i_PKCS7),
- CVE-2023-0217 и CVE-2023-0401 (разыменование NULL при проверке открытого ключа DSA или данных PKCS7).

Успешная эксплуатация недостатков может привести к сбою приложения, раскрытию содержимого памяти и даже восстановлению незашифрованных сообщений, отправленных по сети, с использованием побочного канала на основе времени в атаке в стиле Блейхенбахера.

Теперь хакеры могут проворачивать фокусы с пространственно-временным континуумом в системах видеонаблюдения Dahua.

Исследователи из индийской компании Redinent Innovations, занимающиеся кибербезопасностью CCTV и IoT обнаружили уязвимость, которую удаленные злоумышленники могут использовать для подделки временных меток видео, записанных камерами безопасности Dahua.

CVE-2022-30564 была обнаружена еще в прошлом году, но обнародована исследователями и поставщиком только на этой неделе. Баг может быть использован хакерами для изменения системного времени устройства, в результате отправки специально созданного пакета.

Redinent присвоил уязвимости «высокий» рейтинг серьезности, но Dahua посчитал для нее всего 5,3 балла CVSS, так как по словам китайского производителя оборудования, уязвимость затрагивает всего несколько типов используемых камер и видеомагнитофонов, включая продукты IPC, SD, NVR и XVR.

Исследователи же утверждают, что существуют тысячи открытых в Интернете камер, на которые хакеры могут нацеливаться напрямую, а также возможна эксплуатация из локальной сети. Однако Redinent отметила, что злоумышленнику необходимо знать параметры API, чтобы воспользоваться уязвимостью.

Специалисты пояснили, что злоумышленник может изменить временную метку видеопотока, что приведет к несогласованности даты и времени на записанном видео без авторизации на устройстве и окажет прямое влияние на цифровую криминалистику.

Уязвимости устройств Dahua могут стать мишенью для DDoS-ботнетов, но в случае с CVE-2022-30564 они, скорее всего, будут использоваться в целенаправленных атаках, целью которых является фальсификация улик, а не операции киберпреступников.

О проблеме было сообщено поставщику еще осенью 2022 года и Dahua выпустила исправления для каждого из затронутых устройств.

Исследователи предупреждают о новых атаках ransomware ESXiArgs с обновленной версией, которая затрудняет восстановление виртуальных машин VMware ESXi.

Новый вариант был обнаружен менее чем через неделю после того, как CERT-FR и CISA выпустили предупреждения о масштабной вредоносной кампании с использованием ESXi, нацеленной на тысячи серверов VMware, уязвимых для критической CVE-2021-21974, которая была исправлена еще два года назад. Проблема связана с OpenSLP.

Тем не менее VMware не подтвердила эксплуатацию CVE-2021-21974, но заявила, что и 0-day не использовались.

В свою очередь, GreyNoise отмечают, что в последние годы в ESXi было обнаружено несколько связанных с OpenSLP уязвимостей, и любая из них могла быть использована в атаках ESXiArgs, включая CVE-2020-3992 и CVE-2019-5544.

Новый метод шифрования ESXiArgs разработчиками был реализован после того, как CISA выпустила инструмент, способный восстанавливать файлы без уплаты выкупа.

Все дело в том, что предыдущая версия ransomware, как заметили ресерчеры, была в основном нацелена на файлы конфигурации ВМ и не шифровала плоские файлы с данными.

Утилита позволяла восстанавливать зашифрованные файлы конфигурации на основе незашифрованных плоских файлов.

В образцах обновленного штамма size_step скрипта encrypt.sh имел значение 1, шифруя 1 МБ через пропуск 1 МБ данных.

Это изменение позволило программе-вымогателю зашифровать большие фрагменты данных в целевых файлах, что сделало невозможным их восстановление.

Особенностью последних инцидентов стала компрометация серверов даже с отключенными SLP. Также в зараженных системах отсутствовал ранее замеченный бэкдор vmtool.py.

Эксперты также заметили, что записка о выкупе ESXiArgs перестала включать адреса BTC. Жертвам предлагается связаться с операторами TOX, а сумма выкупа составляет 2 биткойна.

В целом имеющиеся на данный момент артефакт свидетельствуют о том, что вредоносное ПО для шифрования файлов основано на утекшем в 2021 году исходном коде Babuk.

Однако широкий таргетинг и низкая сумма выкупа дают основания полагать, что кампания не связана с известными бандами вымогателей.

Оставив в стороне вопросы атрибуции, исследователей Rapid7 больше волнует складывающаяся картина.

Согласно телеметрии Project Sonar, почти 19 000 серверов ESXi с выходом в Интернет по-прежнему уязвимы для CVE-2021-21974.

При том, что ресерчеры наблюдали и дополнительные инциденты, нацеленные на серверы ESXi, не связанные с кампанией ESXiArgs, которые также могут использовать CVE-2021-21974.

К их числу, например, относится новый вид программ-вымогателей RansomExx2, написанный на Rust.

Исследователи рекомендуют запретить по умолчанию доступ к серверам, кроме как из доверенного IP-пространства, следить за своевременным исправлением и использовать резервное копирование виртуальных машин.

Ресерчеры CYFIRMA обнаружили новые активности APT Bahamut.

Как известно, Bahamut связана с Ираном и специализируется на нацеливании на людей с помощью стратегических атак социальной инженерии, известна проведением кибератак в ближневосточном регионе и регионе Южной Азии.

В ноябре 2022 года CYFIRMA обнаружила кибератаку на оперативников индийской разведки с помощью вредоносного ПО для Android и социальной инженерии для доставки и установки APK.

Войдя в доверие к своей цели, хакеры пытались предложить задействовать для обмена файлами в зашифрованном виде приложение для Android с именем Vault. APK при этом пересылала в переписке Telegram.

После установки приложение выводило фиктивную страницу регистрации, ввода ключа блокировки и входа в систему.

При запуске запрашивало разрешение на доступ. Анализ разрешений из файла манифеста указывают на то, что вредоносного APK был использован для получения максимальной информации с мобильного телефона жертвы.

Приложение Vault на начальном этапе собирало информацию о контактах устройства, SMS и журналах вызовов. Кроме того, имелись модули для получения точного местоположения взломанного пользователя и отслеживания нажатий клавиш, злоупотребляя доступом таких приложений, как Telegram, Signal, Viber, IMO и Conion.

Исследование показало, что за нападением стоит Bahamut. Ресерчеры обнаружили, что IOC, которые были извлечены из вредоносного пакета Android, ранее были связаны с АРТ.

Причем код в предыдущих вредоносных ПО Bahamut аналогичен обнаруженной в последней атаке APK. Ранее APK SecureVpn широко использовался для массовых атак на пользователей Android.

Тем не менее, исследователи впервые наблюдают, как Bahamut использует поддельное приложение для безопасного обмена файлами для атак на интеллектуальные активы.

Последние атаки показывают, насколько хорошо хакеры изучают свою цель и реализуют узкотаргетирвоанные атаки. Довольно интересен функционал марвари, нацеленный на Conion, которые представляет собой малоизвестный мессенджер на основе Tor, который в настоящее время считается альтернативой Signal.

Новая шпионская кампания Bahamut APT все еще активна и реализует функциональность, аналогичную предыдущим кампаниям, включая сбор данных для эксфильтрации в локальной базе данных перед их отправкой на С2 и другие, представленные в отчете.

Известная китайская АРТ Tonto Team всерьез взялась за Group-IB.

Исследователи сообщили об очередной безуспешной атаке APT, которая была предпринята в июне 2022 года.

Компания обнаружила и заблокировала вредоносные фишинговые электронные письма в адрес ее сотрудников. Первые аналогичные случае фиксировались еще в марте 2021 года.

Впрочем, ничего удивительного, ведь сингапурская инфосек компания входит в орбиту интересов Tonto Team.

АРТ (также известная как Bronze Huntley, Cactus Pete, Earth Akhlut, Karma Panda и UAC-0018) активна с 2009 года и связана с атаками на широкий круг организаций в Азии и Восточной Европе.

Согласно имеющимся данным, группа связана с подразделением 65016 НОАК, или как его называют третьим отделом (3PLA).

Цепочки атак включают фишинговые приманки с вредоносными вложениями, созданные с использованием Royal Road Rich Text Format (RTF) для сброса бэкдоров Bisonal, Dexbia и ShadowPad.

По данным Trend Micro, в 2020 году было замечено, что АРТ переключилась на взломанную корпоративную почту для рассылки фишинга другим пользователям.

Позже в марте 2021 года Tonto Team активно отрабатывали уязвимости ProxyLogon в Microsoft Exchange Server в атаках на компаний в Восточной Европе.

Под прицел хакеров попадали и российские научно-технические и государственные учреждения, которые были атакованы с помощью вредоносного ПО Bisonal.

Выявленные Group-IB попытки атак не отличались от характерных АРТ TTPs и включали фишинг с использованием вредоносных документов Microsoft Office, созданных с помощь Royal Road, для развертывания Bisonal.

Вместе с тем, замечен и ранее недокументированный загрузчик QuickMute, который отвечает за извлечение вредоносного ПО следующей стадии с удаленного сервера.

Как полагают исследователи, несомненно, Tonto Team продолжит атаковать IT и ИБ компании целевым фишингом для доставки вредоносных документов с использованием уязвимостей со специально подготовленными приманками.

Злые КИТАЙСКИЕ КОММУНИСТЫ | Слили данные – МЕНЯЙ ПАСПОРТ | Атака на ПИВАСИК | Огонь и люди |89| 12+

Смотрите восемьдесят девятый выпуск «Security-новостей» и узнайте о самых важных и интересных событиях в мире кибербезопасности.

Порой хакеры, как террористы, берут на себя ответственность за те или иные инциденты, то ли жажда славы, то ли желание поднять репутацию в среде, не понятно.

Так или иначе, но вымогатели Clop решили обозначиться и признались в недавних атаках с использованием 0-day в GoAnywhere MFT.

Как утверждают злоумышленники, они в течение 10 дней смогли украсть данные более 130 организаций, нацелившись на RCE-уязвимость CVE-2023-0669 в неисправленных экземплярах GoAnywhere MFT с открытой в сеть административной консолью.

Более того, Clop благодаря 0-day могли перемещаться по сетям жертв и разворачивать ransomware, но почему-то отказались от этого и ограничились только кражей документов, хранящихся на скомпрометированных серверах GoAnywhere MFT.

Правда, без демонстрации каких-либо доказательств.

Fortra, разработчик GoAnywhere MFT, также отказалась комментировать заявления банды относительно CVE-2023-0669.

Специалисты связывают атаки GoAnywhere MFT с TA505, связанной с Clop и TrueBot.

Предполагаемая эксплуатация Clop уязвимости GoAnywhere MFT похожа на то, как в декабре 2020 года ими была использована 0-day в Accellion FTA для кражи данных у более чем 100 компаний.

Тогда потерпевшие компании получали электронные письма с требованием выплатить выкуп в размере 10 млн. дол., дабы избежать утечки информации.

Приличный ценник, но и организации, сервера которых были скомпрометированы, не менее серьезные.

Среди них, к примеру, были Shell, Kroger и даже Qualys, не считая ряд известных по всему миру университетов.

Основываясь на наблюдаемых действиях и предыдущих отчетах, специалисты склонны считать, что активность была направлена все же для развертывания ransomware.

Но будем посмотреть.

͏Шедеврально 😂
By Mark C.

Apple выпустила экстренные обновления безопасности (1, 2) для устранения 0-day, используемой в атаках для взлома iPhone, iPad и Mac.

CVE-2023-23529 представляет собой проблему путаницы WebKit и затрагивает широкий перечень устройств:
- iPhone 8 и новее,
- iPad Pro (все модели), iPad Air 3-го поколения и новее, iPad 5-го поколения и новее, а также iPad mini 5-го поколения и новее,
- компьютеры Mac под управлением macOS Ventura.

Успешная эксплуатация позволяет злоумышленникам выполнять произвольный код на уязвимых устройствах с iOS, iPadOS и macOS после открытия вредоносной веб-страницы (баг также затрагивает Safari 16.3.1 на macOS Big Sur и Monterey).

Apple устранила CVE-2023-23529, улучшив проверки в iOS 16.3.1, iPadOS 16.3.1 и macOS Ventura 13.2.1. Компания также признала использование ошибки в реальных атаках.

Помимо названной проблемы Apple также исправила другую RCE-уязвимость CVE-2023-23514 в Mac и iPhone, связанную с проблемой использования ядра, о которой сообщили Ксинру Чи из Pangu Lab и Нед Уильямсон из Google Project Zero.

Несмотря на то, что компания сообщила о своей осведомленности в эксплуатации уязвимостей в дикой природе, подробности инцидентов не разглашаются.

Исследователи полагают, что атаки носили преимущественно целевой характер.

Владельцам техники Apple настоятельно рекомендуется как можно скорее установить экстренные обновления и устранить риск потенциальных попыток атак.

🔥Предлагаем ознакомиться с самыми интересными Telegram-каналами в сфере информационной безопасности, OSINT и IT:

▶️ Russian OSINT — авторский новостной канал о кибербезопасности и IT.

▶️ Сводки частной разведки — канал российских osint-гуру, humint-инженеров и infopsy-технологов.

▶️ Social Engineering — самый крупный ресурс в Telegram, посвященный Информационной Безопасности, OSINT и Cоциальной Инженерии.

▶️ Mycroft Intelligence — реальные кейсы и самые крутые инструменты OSINT от действующего корпоративного разведчика.

▶️ Поисковик ЗВИ — наш источник в оценке военного потенциала зарубежных стран.

▶️ Масалович и партнеры: OSINT — Канал КиберДеда, также известного как "Любимый OSINTер Кремля", он же "Леший".

▶️ Inside — уникальный контент на тему информационной безопасности от эксперта - авторские статьи, образовательные материалы и многое другое.

͏Пользователи Windows начали массово сообщать о проблемах при попытке установить или обновить приложения через пакетный менеджер WinGet.

Как оказалось, в работе Windows Package Manage возникли проблемы с установкой или обновлением пакетов из-за истечения срока действия сертификата SSL/TLS WinGet CDN. Разработчики Microsoft просто не продлили вовремя SSL-сертификат для этого проекта.

При переходе по URL-адресу CDN https://cdn.winget.microsoft.com будет выведена ошибка с датой истечения срока действия сертификата, а именно 12 февраля.

WinGet на самом деле отличный инструмент позволяет быстро и эффективно управлять приложениями благодаря интуитивно понятному интерфейсу командной строки, поддержке файлов MSI и ссылок из Windows Store.

Пока Microsoft не обновила SSL-сертификат, пользователи WinGet проявили смекалку и начали использовать обходной путь для решения этой проблемы.

Вместо того, чтобы полагаться на cdn.winget.microsoft.com, нужно добавить URL-адрес https://winget.azureedge.net/cache в список источников WinGet для получения пакетов.

Пожалуй, самое время открыть рубрику «худшие практики на канале Secator»

Нарастает эскалация кампании с распространением вредоносного ПО Clipper, которая принимает новый оборот и создает угрозу для разработчиков на Python.

Специализирующаяся на безопасности цепочек поставок ПО компания Phylum обнаружила более 450 вредоносных пакетов в официальном репозитории Python Package Index (PyPI), которые пытаются заразить системы разработчиков вредоносной программой Clipper.

Первоначальный вектор предполагает использование типосквоттинга (регистрации адресов похожих на URL целевого сайта) с целью имитации популярных пакетов, таких как beautifulsoup, bitcoinlib, cryptofeed, matplotlib, pandas, pytorch, scikit-learn, scrapy, selenium, solana и tensorflow.

После установки такого пакета вредоносный JavaScript начинает выполняется в фоновом режиме любого сеанса просмотра веб-страницы и в случае если пользователь скопирует адрес криптовалютного кошелька в буфере обмена произойдет замена на адрес злоумышленника.

Сценарий реализуется путем создания расширения веб-браузера Chromium в папке Windows AppData и записи в него вредоносного Javascript с файлом manifest.json, который в свою очередь запрашивает разрешения пользователей на доступ и изменение буфера обмена.

Вредоносная кампания нацелена по большей части на невнимательность и содержит от 13 до 38 сценариев опечатки при вводе названий популярных пакетов.

Первые инциденты обнаружены в конце 2022 года и конечной целью атак было и остается перехват криптовалютных транзакций. С тех пор злоумышленники обновили набор вредоносных пакетов и добавили запутанный метод, используемый для сокрытия кода JavaScript.

Как отмечают специалисты, хакеры значительно увеличили свое присутствие в PyPI и такое наводнение вредоносными пакетами будет только продолжаться.

Причем их выводы совпадают с отчетом исследователей из Sonatype, которые только за январь 2023 года обнаружили 691 вредоносный пакет в реестре NPM и 49 вредоносных пакетов в PyPI.

Microsoft докатилась до того, что уже атрибутирует угрозы серией постов в Twitter.

Именно таким образом микромягкие представили анализ последней шпионской активности DEV-0147, связанной с атаками на южноамериканские дипломатические учреждения.

Аналитики приписывают кампанию китайской АРТ, которая была нацелена на правительственные учреждения и аналитические центры в Азии и Европе и использовала известные хакерские инструменты для проникновения в цели и поддержания постоянного доступа.

Это все та же заезженная пластинка про ShadowPad (также называемый PoisonPlug), который является преемником PlugX и широко использовался в свое время китайскими группами, тесно связанными с МГБ и НОАК, согласно Secureworks.

Одним из других вредоносных инструментов DEV-0147 был также загрузчик веб-пакетов QuasarLoader, который позволяет развертывать дополнительные полезные нагрузки в скомпрометированных средах.

Редмонд не стал раскрывать метод получения DEV-0147 первоначального доступа к целевой среде. Но не трудно догадаться, что наиболее вероятным вектором мог стать фишинг и произвольная эксплуатация известных непропатченных дыр.

Microsoft также описывает действия после эксплуатации, включающие злоупотребление локальной инфраструктурой идентификации для разведки и бокового перемещения, а также применение Cobalt Strike для управления и кражи данных.

Ресерчеры утверждают, что многие китайские АРТ помимо DEV-0147 продолжают использовать ShadowPad, несмотря на то, что он был детально задокументирован на протяжении многих лет, в силу своей эффективности в реализации национальных стратегических интересов.

Видать, в Twitter такие исследования прокатывают.

͏Передовые инфосек-практики только на канале Secator!
By Tom Malka

В новом отчете исследователи AhnLab Security (ASEC) сообщают о новом штамме вредоносного ПО под названием M2RAT и стеганографии, которые теперь задействуются северокорейской APT37 (RedEyes или ScarCruft), чтобы нацеливаться на отдельных лиц для сбора разведданных.

В 2022 году хакерская группа использовала 0-day в Internet Explorer и распространяла широкий спектр вредоносных ПО в отношении целевых организаций и отдельных лиц.

Если ЕС атаковали с помощью новой версии мобильного бэкдора Dolphin, разворачивая специальный RAT Konni, то в отношении американских журналистов применялся Goldbackdoor.

Новое вредоносное ПО использует раздел общей памяти для команд и кражи данных с Windows и телефонов, практически не оставляя операционных следов на зараженной машине.

Последние наблюдаемые ASEC атаки начались в январе 2023 года с отправки целям фишинговых электронных писем, содержащих вредоносное вложение, посредством которого происходит эксплуатация старой уязвимости EPS (CVE-2017-8291) в текстовом процессоре Hangul, используемом повсеместно в Южной Корее.

Эксплойт вызывает запуск шелл-кода на компьютере жертвы, который загружает и запускает вредоносное ПО, хранящееся в изображении JPEG.

Файл использует стеганографию, скрывая код внутри, чтобы незаметно ввести исполняемый файл M2RAT (lskdjfei.exe) в систему и внедрить в explorer.exe.

Для сохранения в системе вредоносное ПО добавляет новое значение (RyPO) в ключ реестра «выполнить» с командами для выполнения сценария PowerShell через cmd.exe.

Последняя интеграция ранее попадала в поле зрения Лаборатории Касперского и фигурировала в отчете в 2021 году.

Бэкдор M2RAT действует как обычный RAT, реализуя кейлогинг, кражу данных, выполнение команд и создание скриншотов рабочего стола (причем эта функция активируется периодически и работает автономно).

Вредоносная программа собирают информацию с зараженного устройства, а затем отправляет ее на C2.

Особенно интересен функционал вредоносной ПО, позволяющий сканировать портативные устройства, подключенные к компьютеру с Windows, в частности, смартфоны или планшеты.

При подключении M2RAT сканирует содержимое устройства на наличие документов и файлов с записью голоса и, в случае обнаружения, скопирует их на ПК для передачи на C2.

Перед эксфильтрацией украденные данные сжимаются в защищенный паролем RAR-архив, после чего локальная копия стирается из памяти.

Другая особенность M2RAT заключается в том, что он использует секцию общей памяти для управления и контроля, кражи данных и прямой передачи украденных данных на C2 без сохранения их в скомпрометированной системе. Все это значительно усложняет анализ.

Таким образом, APT37 продолжает совершенствовать свой набор инструментов, отдавая предпочтение сложно отлеживаемым программным средствам.