Исследователи из Лаборатории Касперского сообщают об активизации атак на российские организации с использованием PhantomDL и DarkWatchman RAT.
В начале июля специалисты заметили две волны целевых почтовых рассылок с вредоносными архивами внутри, которые были адресованы российским организациям, в основном производственной, государственной, финансовой и энергетической отраслей.
Первая волна прошла пятого июля и затронула около 400 пользователей, вторая, более массовая, десятого июля, охватив свыше 550 пользователей.
Причем некоторые письма представляли собой ответ на реальную переписку с контрагентами целевых организаций, что указывает на задействование взломанных почтовых адресов этих контрагентов или ранее украденную переписку.
В качестве полезной нагрузки атакующие распространяли RAR-архив с паролем, который мог находиться во вложении или скачиваться по ссылке на Google Диск в теле письма.
Внутри архива находился документ-приманка, а также одноименная папка, содержащая исполняемый файл, обычно с двойным расширением (например, «Счет-Фактура.pdf .exe»).
Такая структура архива может использоваться для попыток эксплуатации уязвимости CVE-2023-38831, получившей широкое распространение среди злоумышленников.
В случае успешной атаки на устройство жертвы устанавливалось специфичное вредоносное ПО Backdoor.Win64.PhantomDL, написанное на Go и сильно обфусцированное.
PhantomDL впервые был замечен в марте 2024 года, а предшествовал ему PhantomRAT, написанный на .NET. По сути это то же ПО, только на другом языке.
Так же как и его предшественник, PhantomDL применяется в основном для установки и запуска различных утилит категории HackTool и ПО для удаленного администрирования. В данном случае - rsockstun и ngrok для туннелирования трафика, sshpass для доступа к компьютеру по SSH и др.
В отличие от предыдущих версий, использовавших протокол HTTP, коммуникация с С2 в текущей версии бэкдора осуществляется по протоколу RSocket.
Стоит отметить, что аналогичные по оформлению, целям, названиям и формату вложений рассылки наблюдались и ранее с конца апреля по начало июня, однако в них распространялось другое вредоносное ПО - DarkWatchman RAT, которое предоставляет злоумышленникам удаленный доступ к зараженной системе.
По результата анализа применявшегося вредоносного ПО, IoC и TTPs исследователи полагают, что за атаками PhantomDL стоит хакерская группировка, известная как Head Mare.
В начале июля специалисты заметили две волны целевых почтовых рассылок с вредоносными архивами внутри, которые были адресованы российским организациям, в основном производственной, государственной, финансовой и энергетической отраслей.
Первая волна прошла пятого июля и затронула около 400 пользователей, вторая, более массовая, десятого июля, охватив свыше 550 пользователей.
Причем некоторые письма представляли собой ответ на реальную переписку с контрагентами целевых организаций, что указывает на задействование взломанных почтовых адресов этих контрагентов или ранее украденную переписку.
В качестве полезной нагрузки атакующие распространяли RAR-архив с паролем, который мог находиться во вложении или скачиваться по ссылке на Google Диск в теле письма.
Внутри архива находился документ-приманка, а также одноименная папка, содержащая исполняемый файл, обычно с двойным расширением (например, «Счет-Фактура.pdf .exe»).
Такая структура архива может использоваться для попыток эксплуатации уязвимости CVE-2023-38831, получившей широкое распространение среди злоумышленников.
В случае успешной атаки на устройство жертвы устанавливалось специфичное вредоносное ПО Backdoor.Win64.PhantomDL, написанное на Go и сильно обфусцированное.
PhantomDL впервые был замечен в марте 2024 года, а предшествовал ему PhantomRAT, написанный на .NET. По сути это то же ПО, только на другом языке.
Так же как и его предшественник, PhantomDL применяется в основном для установки и запуска различных утилит категории HackTool и ПО для удаленного администрирования. В данном случае - rsockstun и ngrok для туннелирования трафика, sshpass для доступа к компьютеру по SSH и др.
В отличие от предыдущих версий, использовавших протокол HTTP, коммуникация с С2 в текущей версии бэкдора осуществляется по протоколу RSocket.
Стоит отметить, что аналогичные по оформлению, целям, названиям и формату вложений рассылки наблюдались и ранее с конца апреля по начало июня, однако в них распространялось другое вредоносное ПО - DarkWatchman RAT, которое предоставляет злоумышленникам удаленный доступ к зараженной системе.
По результата анализа применявшегося вредоносного ПО, IoC и TTPs исследователи полагают, что за атаками PhantomDL стоит хакерская группировка, известная как Head Mare.
securelist.ru
Целевые атаки на российский бизнес: PhantomDL и DarkWatchman RAT
Разбираем вредоносные кампании, нацеленные на российские организации и распространяющие вредоносное ПО PhantomDL и DarkWatchman RAT.
Одна из самых влиятельных венчурных компаний Кремниевой долины с активами на сумму 42 миллиарда долларов кинула исследователя, отказавшись выплачивать вознаграждение за обнаружение ошибки в ее веб-приложении.
30 июня исследователь с ником xyzeva написала в X, что ищет представителя a16z с намерением обсудить проблему безопасности.
Как оказалось, xyzeva нашла действительно простую и одновременно серьезную ошибку, которая открывала доступ ко всему на портале компании a16z.
Проблема была связана с открытыми ключами API на сайте, которые позволяли потенциальному злоумышленнику завладеть адресами электронной почты и паролями, а также данными компании и сотрудников.
Кроме того, уязвимость позволяла отправлять электронные письма от имени a16z и получать доступ к ранее отправленным электронным письмам из учетной записи компании с помощью Mailgun.
Причем официально директор по ИБ Брайан Грин подтвердил официально: компания исправила ошибку в тот же день, когда xyzeva выкатила пост и связалась с компанией, заверив, что проблема не затронула какие-либо конфиденциальные данные.
Однако, когда речь зашла про вознаграждение, заявления компании о приверженности к сотрудничеству в вопросах этического раскрытия информации резко поменялось.
Для отказа в выплате в a16z нашли сразу два формальных подвода, упрекнув исследователя в огласке проблемы и ее неправильном описании.
Как говорится, ничего личного, просто бизнес.
30 июня исследователь с ником xyzeva написала в X, что ищет представителя a16z с намерением обсудить проблему безопасности.
Как оказалось, xyzeva нашла действительно простую и одновременно серьезную ошибку, которая открывала доступ ко всему на портале компании a16z.
Проблема была связана с открытыми ключами API на сайте, которые позволяли потенциальному злоумышленнику завладеть адресами электронной почты и паролями, а также данными компании и сотрудников.
Кроме того, уязвимость позволяла отправлять электронные письма от имени a16z и получать доступ к ранее отправленным электронным письмам из учетной записи компании с помощью Mailgun.
Причем официально директор по ИБ Брайан Грин подтвердил официально: компания исправила ошибку в тот же день, когда xyzeva выкатила пост и связалась с компанией, заверив, что проблема не затронула какие-либо конфиденциальные данные.
Однако, когда речь зашла про вознаграждение, заявления компании о приверженности к сотрудничеству в вопросах этического раскрытия информации резко поменялось.
Для отказа в выплате в a16z нашли сразу два формальных подвода, упрекнув исследователя в огласке проблемы и ее неправильном описании.
Как говорится, ничего личного, просто бизнес.
TechCrunch
Researcher finds flaw in a16z website that exposed some company data
Venture capital giant a16z fixed a security vulnerability in one of the firm's websites after being warned by a security researcher.
Microsoft выпустила отдельный инструмент восстановления WinPE для деактивации неисправного обновления CrowdStrike, которое в пятницу привело к сбою более 8,5 миллионов устройств Windows по всему миру.
Для устранения неполадки, администраторам требуется перезагрузить затронутые устройства Windows в безопасном режиме или среде восстановления и вручную удалить неисправный драйвер ядра из папки C:\Windows\System32\drivers\CrowdStrike.
Однако подобное решение проблем в объеме может быть проблематичным и очень трудоемким, в связи с чем подключились микромягкие, автоматизировав удаление неисправного обновления CrowdStrike с устройств Windows.
Но, как обычно, не так все гладко, если в деле Microsoft. Работа скрипта на определенном этапе потребует все необходимые ключи восстановления Bitlocker, что может также вызвать определенные трудности.
Помнится, были времена, когда AV-вендоры выпускали инструменты для удаления последствий масштабных вирусных атак.
А теперь Microsoft выпускает тулзу для удаления драйвера от CrowdStrike.
До чего довел планету этот фиглярАльперович ПЖ!
Для устранения неполадки, администраторам требуется перезагрузить затронутые устройства Windows в безопасном режиме или среде восстановления и вручную удалить неисправный драйвер ядра из папки C:\Windows\System32\drivers\CrowdStrike.
Однако подобное решение проблем в объеме может быть проблематичным и очень трудоемким, в связи с чем подключились микромягкие, автоматизировав удаление неисправного обновления CrowdStrike с устройств Windows.
Но, как обычно, не так все гладко, если в деле Microsoft. Работа скрипта на определенном этапе потребует все необходимые ключи восстановления Bitlocker, что может также вызвать определенные трудности.
Помнится, были времена, когда AV-вендоры выпускали инструменты для удаления последствий масштабных вирусных атак.
А теперь Microsoft выпускает тулзу для удаления драйвера от CrowdStrike.
До чего довел планету этот фигляр
TECHCOMMUNITY.MICROSOFT.COM
New Recovery Tool to help with CrowdStrike issue impacting Windows endpoints | Microsoft Community Hub
Steps for how to access and use the new recovery tool Microsoft created - updated on July 31, July 23, July 22, and July 21. The tool provides two recovery...
Исследователи Sucuri раскрывают подробности недавнего инцидента, в рамках которого злоумышленники использовали файл подкачки для поддержания постоянства скиммера на сайте электронной коммерции Magento.
Столь хитроумная тактика позволила вредоносному ПО пережить несколько этапов очистки до тех пор, пока ресерчеры не заметили подвох.
Изначально, при переходе на страницу оформления заказа на взломанном веб-сайте они увидели интересный скрипт, скрытый глубоко в исходном коде страницы.
Скрипт имел все свойственные индикаторы вредоносного ПО, такие как переменные в кодировке base64 и строки в кодировке hex. Но после декодирования стало понятно, что скрипт отслеживал данные кредитных карт.
Следующий фрагмент кода включал кнопку оформления заказа и добавлял пользовательские привязки к обычной функции нажатия на взломанной странице оформления заказа.
После нажатия кнопки оформления заказа скрипт собирал данные, введенные в форму кредитной карты, с помощью функции querySelectorAll. Кроме того, извлекалась другая конфиденциальная информация, включая имя, адрес, номер карты, необходимая для дальнейшей компрометации украденных данных карты.
Краденные сведения отправлялись на amazon-analytic[.]com, который был зарегистрирован в феврале 2024 года и также использовался в других скиммерских кампаниях.
После того, как удалось расшифровать страницу оформления заказа, расследование привело к файлу Magento app/bootstrap.php, который был полностью заменен из официальной версии.
Однако удалить вредоносное ПО простой заменой app/bootstrap.php на правильную версию с последующей очисткой кэша не удалось, вредоносная программа снова вернулась. Особенно странным было, когда файл на сервере посмотрели напрямую через SSH - он оказался совершенно чист.
При этом при проверке файловой системы на наличие признаков вредоносного ПО с помощью инструментов очистки - вредоносное ПО все равно появилось. В общем, каким-то образом, файл оказался одновременно и чистым, и зараженным.
Еще раз внимательно изучив вредоносный скрипт и файл, ресерчеры заметили часть имени файла - swapme, которая подсказала, что где-то может быть застрявший swap.
Когда файлы редактируются напрямую через ssh, сервер создает временную версию swap на случай сбоя редактора, что предотвращает потерю всего содержимого.
Стало очевидно, что злоумышленники использовали файл подкачки, чтобы вредоносное ПО оставалось на сервере и избегало обычных методов обнаружения.
Столь хитроумная тактика позволила вредоносному ПО пережить несколько этапов очистки до тех пор, пока ресерчеры не заметили подвох.
Изначально, при переходе на страницу оформления заказа на взломанном веб-сайте они увидели интересный скрипт, скрытый глубоко в исходном коде страницы.
Скрипт имел все свойственные индикаторы вредоносного ПО, такие как переменные в кодировке base64 и строки в кодировке hex. Но после декодирования стало понятно, что скрипт отслеживал данные кредитных карт.
Следующий фрагмент кода включал кнопку оформления заказа и добавлял пользовательские привязки к обычной функции нажатия на взломанной странице оформления заказа.
После нажатия кнопки оформления заказа скрипт собирал данные, введенные в форму кредитной карты, с помощью функции querySelectorAll. Кроме того, извлекалась другая конфиденциальная информация, включая имя, адрес, номер карты, необходимая для дальнейшей компрометации украденных данных карты.
Краденные сведения отправлялись на amazon-analytic[.]com, который был зарегистрирован в феврале 2024 года и также использовался в других скиммерских кампаниях.
После того, как удалось расшифровать страницу оформления заказа, расследование привело к файлу Magento app/bootstrap.php, который был полностью заменен из официальной версии.
Однако удалить вредоносное ПО простой заменой app/bootstrap.php на правильную версию с последующей очисткой кэша не удалось, вредоносная программа снова вернулась. Особенно странным было, когда файл на сервере посмотрели напрямую через SSH - он оказался совершенно чист.
При этом при проверке файловой системы на наличие признаков вредоносного ПО с помощью инструментов очистки - вредоносное ПО все равно появилось. В общем, каким-то образом, файл оказался одновременно и чистым, и зараженным.
Еще раз внимательно изучив вредоносный скрипт и файл, ресерчеры заметили часть имени файла - swapme, которая подсказала, что где-то может быть застрявший swap.
Когда файлы редактируются напрямую через ssh, сервер создает временную версию swap на случай сбоя редактора, что предотвращает потерю всего содержимого.
Стало очевидно, что злоумышленники использовали файл подкачки, чтобы вредоносное ПО оставалось на сервере и избегало обычных методов обнаружения.
Sucuri Blog
Attackers Abuse Swap File to Steal Credit Cards
Attackers exploit a swap file to maintain a persistent credit card skimmer on a Magento e-commerce site. Learn how to spot indicators of compromise and mitigate risk.
TrustedSec продолжает публиковать исследования из серии Hiding in Plain Sight, посвященные анализу нетривиальных методов для хранения данных или полезных нагрузок.
В предыдущим отчете исследовался простой метод кодирования полезной нагрузки в значения RGB файла PNG и размещения его в публичных местах - imgDevil (на Github).
Теперь же ресерчеры решили поэкспериментировать с методом сокрытия данных - в некотором смысле, безфайловым»решением для хранения данных, который получил название dirDevil.
Представленный метод реализует сокрытие вредоносного кода и данных в структурах папок. Плюсы и минусы метода - в отчете, а PoC - на GitHub.
В предыдущим отчете исследовался простой метод кодирования полезной нагрузки в значения RGB файла PNG и размещения его в публичных местах - imgDevil (на Github).
Теперь же ресерчеры решили поэкспериментировать с методом сокрытия данных - в некотором смысле, безфайловым»решением для хранения данных, который получил название dirDevil.
Представленный метод реализует сокрытие вредоносного кода и данных в структурах папок. Плюсы и минусы метода - в отчете, а PoC - на GitHub.
TrustedSec
dirDevil: Hiding Code and Content Within Folder Structures
SonicWall предупреждает о недавней уязвимости в Splunk Enterprise, для которой на GitHub был опубликован PoC, что повышает риск ее эксплуатации.
При этом она оказалась более серьезной, чем предполагалось изначально, и может быть использована с помощью простого запроса GET.
Проблема отслеживается как CVE-2024-36991 с оценкой CVSS 7,5 и описывается как ошибка обхода пути, влияющая на Splunk Enterprise на версиях Windows до 9.2.2, 9.1.5 и 9.0.10. Splunk исправлила ее 1 июля.
Злоумышленник может воспользоваться уязвимостью для обхода пути на конечной точке /modules/messaging/, если на уязвимом экземпляре включен Splunk Web.
Уязвимость обусловлена тем, что функция Python os.path.join удаляет букву диска из токенов пути, если диск в токене совпадает с диском в созданном пути.
По данным SonicWall, злоумышленник может использовать уязвимость CVE-2024-36991 для просмотра каталогов на конечной точке, потенциально получая доступ к конфиденциальным файлам в системе.
Созданного запроса GET к уязвимому экземпляру Splunk с включенным Splunk Web достаточно для эксплуатации проблемы.
При этом необходимо только иметь возможность удаленного доступа к экземпляру, что может быть реализовано через Интернет или локальную сеть.
По данным SonicWall, в сети доступно более 220 000 серверов, часть из которых, по всей видимости, остаются уязвимы для CVE-2024-36991.
Учитывая доступность PoC и заинтересованность киберподполья задействовать уязвимость в реальных атаках, пользователям настоятельно рекомендуется поскорее обновить свои экземпляры Splunk Enterprise или же отключить Splunk Web.
При этом она оказалась более серьезной, чем предполагалось изначально, и может быть использована с помощью простого запроса GET.
Проблема отслеживается как CVE-2024-36991 с оценкой CVSS 7,5 и описывается как ошибка обхода пути, влияющая на Splunk Enterprise на версиях Windows до 9.2.2, 9.1.5 и 9.0.10. Splunk исправлила ее 1 июля.
Злоумышленник может воспользоваться уязвимостью для обхода пути на конечной точке /modules/messaging/, если на уязвимом экземпляре включен Splunk Web.
Уязвимость обусловлена тем, что функция Python os.path.join удаляет букву диска из токенов пути, если диск в токене совпадает с диском в созданном пути.
По данным SonicWall, злоумышленник может использовать уязвимость CVE-2024-36991 для просмотра каталогов на конечной точке, потенциально получая доступ к конфиденциальным файлам в системе.
Созданного запроса GET к уязвимому экземпляру Splunk с включенным Splunk Web достаточно для эксплуатации проблемы.
При этом необходимо только иметь возможность удаленного доступа к экземпляру, что может быть реализовано через Интернет или локальную сеть.
По данным SonicWall, в сети доступно более 220 000 серверов, часть из которых, по всей видимости, остаются уязвимы для CVE-2024-36991.
Учитывая доступность PoC и заинтересованность киберподполья задействовать уязвимость в реальных атаках, пользователям настоятельно рекомендуется поскорее обновить свои экземпляры Splunk Enterprise или же отключить Splunk Web.
Исследователи ESET обнаружили эксплойт для нуля под названием EvilVideo, нацеленный на приложение Telegram для Android.
Он попал на просторы на XSS с 6 июня 2024 года и позволяет злоумышленникам отправлять вредоносные APK-файлы для Android, замаскированные под видеофайлы.
ESET уведомила об уязвимости Telegram 26 июня и 4 июля 2024 года. Эксплойт работает только в версиях Telegram 10.14.4 и старше, уязвимость была устранена 11 июля 2024 года с выпуском 10.14.5.
Селлер с псевдоним Ancryno впервые начал продавать уязвимость нулевого дня Telegram 6 июня 2024 года, поделился скриншотами и видео тестирования эксплойта в ТГ-канале, после чего ESET удалось получиить и проанализировать.
Ресерчерам удалось идентифицировать С2, используемый полезными нагрузками - infinityhackscharan.ddns[.]net. Кроме того, два вредоносных APK-файла с этим C2 засветились на VirusTotal [1, 2], выдавая себя за антивирус Avast и xHamster Premium Mod.
Эксплойт, по всей видимости, задействует API Telegram для загрузки специально созданных мультимедийных файлов, представляя полезную нагрузку как 30-секундное видео вместо двоичного вложения. В чате она выглядит как превью к видео.
По умолчанию Telegram автоматически загружает медиафайлы, делая пользователей уязвимыми для эксплойта EvilVideo. Для пользователей, отключивших автоматическую загрузку, достаточно одного нажатия на предварительный просмотр видео, чтобы начать загрузку файла.
При попытке воспроизвести видео Telegram предлагает использовать внешний проигрыватель, побуждая пользователей устананвить вредоносное приложение.
Далее жертва также должна разрешить установку неизвестных приложений в настройках устройства, что позволит вредоносному APK-файлу установиться на устройство.
Исследователи протестировали эксплойт на веб-клиенте Telegram и Telegram Desktop и пришли к выводу о его неработоспособности, поскольку полезная нагрузка обрабатывается как мультимедийный видеофайл.
Впрочем, в Telegram не считают это уязвимостью, поскольку эксплойт требует от пользователей открыть видео, настроить параметры безопасности Android, а затем вручную установить подозрительное на вид «медиа-приложение».
Как отмечают в ESET, пока неясно, использовался ли эксплойт в реальных атаках, это еще предстоит выяснить. Ведь у злоумышленников было не менее пяти недель на эксплуатацию, прежде чем она была исправлена.
Он попал на просторы на XSS с 6 июня 2024 года и позволяет злоумышленникам отправлять вредоносные APK-файлы для Android, замаскированные под видеофайлы.
ESET уведомила об уязвимости Telegram 26 июня и 4 июля 2024 года. Эксплойт работает только в версиях Telegram 10.14.4 и старше, уязвимость была устранена 11 июля 2024 года с выпуском 10.14.5.
Селлер с псевдоним Ancryno впервые начал продавать уязвимость нулевого дня Telegram 6 июня 2024 года, поделился скриншотами и видео тестирования эксплойта в ТГ-канале, после чего ESET удалось получиить и проанализировать.
Ресерчерам удалось идентифицировать С2, используемый полезными нагрузками - infinityhackscharan.ddns[.]net. Кроме того, два вредоносных APK-файла с этим C2 засветились на VirusTotal [1, 2], выдавая себя за антивирус Avast и xHamster Premium Mod.
Эксплойт, по всей видимости, задействует API Telegram для загрузки специально созданных мультимедийных файлов, представляя полезную нагрузку как 30-секундное видео вместо двоичного вложения. В чате она выглядит как превью к видео.
По умолчанию Telegram автоматически загружает медиафайлы, делая пользователей уязвимыми для эксплойта EvilVideo. Для пользователей, отключивших автоматическую загрузку, достаточно одного нажатия на предварительный просмотр видео, чтобы начать загрузку файла.
При попытке воспроизвести видео Telegram предлагает использовать внешний проигрыватель, побуждая пользователей устананвить вредоносное приложение.
Далее жертва также должна разрешить установку неизвестных приложений в настройках устройства, что позволит вредоносному APK-файлу установиться на устройство.
Исследователи протестировали эксплойт на веб-клиенте Telegram и Telegram Desktop и пришли к выводу о его неработоспособности, поскольку полезная нагрузка обрабатывается как мультимедийный видеофайл.
Впрочем, в Telegram не считают это уязвимостью, поскольку эксплойт требует от пользователей открыть видео, настроить параметры безопасности Android, а затем вручную установить подозрительное на вид «медиа-приложение».
Как отмечают в ESET, пока неясно, использовался ли эксплойт в реальных атаках, это еще предстоит выяснить. Ведь у злоумышленников было не менее пяти недель на эксплуатацию, прежде чем она была исправлена.
Welivesecurity
Cursed tapes: Exploiting the EvilVideo vulnerability on Telegram for Android
ESET researchers discovered a zero-day Telegram for Android exploit that allows sending malicious files disguised as videos.
͏Пока ESET ковыряется в Telegram, киберподполье потрошит продукты ESET.
В недавнем сообщений DonutLeak заявило, что ей удалось поломать новую версию Premium Home Security от ESET. Хакеры посетовали на многочисленные уязвимости ПО и заявили, что оно не оправдало ожиданий.
Кроме того, прошлись и по Sophos, заметив: все всегда происходит само собой, как по волшебству. А в качестве следующей цели указали на решение Eset Smart Security Premium.
В недавнем сообщений DonutLeak заявило, что ей удалось поломать новую версию Premium Home Security от ESET. Хакеры посетовали на многочисленные уязвимости ПО и заявили, что оно не оправдало ожиданий.
Кроме того, прошлись и по Sophos, заметив: все всегда происходит само собой, как по волшебству. А в качестве следующей цели указали на решение Eset Smart Security Premium.
Исследователи F.A.С.С.T. поделились неутешительной статистикой по утечкам, затрагивающим российский сегмент.
Точное число баз данных российских компаний, впервые попавших в публичный доступ в первом полугодии 2024 года составило 150. При этом за аналогичный период прошлого года их было всего 119.
Около 30% от общего числа утечек в 2024 году - это базы данных компаний, специализирующихся на розничной онлайн-торговле.
Подсчет общего числа баз данных российских компаний, оказавшихся на андеграундных форумах и тематических Telegram-каналах в январе-июне 2024 года, составил - 150. За весь прошлый год злоумышленниками было опубликовано 246 баз.
Актуальность большинства опубликованных баз приходится на 2024 год, большая часть из них включают такую чувствительную информацию как ФИО, адреса проживания, пароли, даты рождения, паспортные данные, телефонные номера.
Общее количество строк данных пользователей в утечках 2024 года составило 200,5 млн. В 2023 году было 397 млн, 2022 году - 1,4 млрд, а в 2021 году всего 33 млн.
По оценкам F.A.С.С.T., утечки баз данных компаний, специализирующихся на розничной торговле (интернет-магазины и другие различные платформы для онлайн-шопинга), составили примерно 30% от общего числа утечек в 2024 году.
Кроме e-commerce, жертвами злоумышленников стали российские IT-компании, страховые, энергетические, туристические и транспортные компании, экологические организации, образовательные порталы, сервисы доставки, а также промышленные и медицинские компании.
Также отмечается, что в конце 20203 - начале 2024 в ряде Telegram-каналов были впервые выложены в публичный доступ приватные базы данных, которые были похищены раньше, но не публиковались ранее, а передавались из рук в руки путем обмена или перепродажи.
Вполне можно ожидать, что прогнозные показатели на конец 2024 таким темпами могут обновить все предыдущие рекорды, но будем посмотреть.
Точное число баз данных российских компаний, впервые попавших в публичный доступ в первом полугодии 2024 года составило 150. При этом за аналогичный период прошлого года их было всего 119.
Около 30% от общего числа утечек в 2024 году - это базы данных компаний, специализирующихся на розничной онлайн-торговле.
Подсчет общего числа баз данных российских компаний, оказавшихся на андеграундных форумах и тематических Telegram-каналах в январе-июне 2024 года, составил - 150. За весь прошлый год злоумышленниками было опубликовано 246 баз.
Актуальность большинства опубликованных баз приходится на 2024 год, большая часть из них включают такую чувствительную информацию как ФИО, адреса проживания, пароли, даты рождения, паспортные данные, телефонные номера.
Общее количество строк данных пользователей в утечках 2024 года составило 200,5 млн. В 2023 году было 397 млн, 2022 году - 1,4 млрд, а в 2021 году всего 33 млн.
По оценкам F.A.С.С.T., утечки баз данных компаний, специализирующихся на розничной торговле (интернет-магазины и другие различные платформы для онлайн-шопинга), составили примерно 30% от общего числа утечек в 2024 году.
Кроме e-commerce, жертвами злоумышленников стали российские IT-компании, страховые, энергетические, туристические и транспортные компании, экологические организации, образовательные порталы, сервисы доставки, а также промышленные и медицинские компании.
Также отмечается, что в конце 20203 - начале 2024 в ряде Telegram-каналов были впервые выложены в публичный доступ приватные базы данных, которые были похищены раньше, но не публиковались ранее, а передавались из рук в руки путем обмена или перепродажи.
Вполне можно ожидать, что прогнозные показатели на конец 2024 таким темпами могут обновить все предыдущие рекорды, но будем посмотреть.
Хабр
Сливы нового урожая: в 2024 году в публичном доступе оказалось 150 баз российских компаний
Эксперты F.A.С.С.T., российского разработчика технологий для борьбы с киберпреступлениями, назвали точное число баз данных российских компаний, впервые выложенных в публичный доступ в первом...
͏Тем временем, протекают и в США, причем не только коммерческий сектор, но и Минобороны.
На одной известной площадке на продажу выставлены три отдельные утечки с данными действующих военнослужащих трех родов войск США: Военно-воздушных сил, Военно-морского флота и Сухопутных войск.
По ВВС - 9450 военннослужащих из числа личного состава, по флоту - 8681 и по армии - 5571.
Скомпрометированными оказались установочные данные, электронная почта и номера телефонов. Актуальность - июль 2024 г. Цена обсуждаема.
На одной известной площадке на продажу выставлены три отдельные утечки с данными действующих военнослужащих трех родов войск США: Военно-воздушных сил, Военно-морского флота и Сухопутных войск.
По ВВС - 9450 военннослужащих из числа личного состава, по флоту - 8681 и по армии - 5571.
Скомпрометированными оказались установочные данные, электронная почта и номера телефонов. Актуальность - июль 2024 г. Цена обсуждаема.
Forwarded from Russian OSINT
Please open Telegram to view this post
VIEW IN TELEGRAM
Завсегдатаи BreachForums негодуют: полная база данных хакерского форума по состоянию на 29 ноября 2022 года была опубликована в Telegram во вторник вечером.
Ранее была доступна только на Have I Been Pwned.
Слито все, включая информацию об участниках, их приватная переписка, адреса криптовалют и все сообщения на форуме.
По всей видимости, утекшие данные были взяты из резервной копии базы, предположительно проданной Pompompurin (он же Конор Фицпатрик), который запустил площадку после захвата силовиками ее предшественника - RaidForums.
Согласно муссирующейся повсеместно легенде, Фицпатрик якобы продал эту базу данных в июле, когда он был отпущен под залог.
С тех самых времен данные циркулируют среди различных злоумышленников, один из которых пытался продать их за 150 000 долларов в конце того же месяца.
Начиная с прошедших выходных BreachForums начал плавно сливаться в сеть.
Все началось с некоего Emo, вывалившего ограниченный набор данных участников, включая имена, почту и IP.
Позже он слил всю базу данных после того, как база разошлась по рукам и стало очевидна неизбежность ее утечки, раскрыв огромный объем дополнительных данных с перепиской, журналами платежей, хешированными паролями, логами IP-адресов для каждого пользователя и т.д.
Публичная утечка, по мнению хакера, позволит участникам оценить и устранить дыры в своей OPSEC, а инфосек-сообществу обогатить свою базу для расследований и изучения профилей субъектов угроз.
В реальности это больше походит на легализацию разведданных со стороны американских спецслужб, которые обладали и обладают различными хронологическими версиями этой базы.
Так что будем посмотреть.
Ранее была доступна только на Have I Been Pwned.
Слито все, включая информацию об участниках, их приватная переписка, адреса криптовалют и все сообщения на форуме.
По всей видимости, утекшие данные были взяты из резервной копии базы, предположительно проданной Pompompurin (он же Конор Фицпатрик), который запустил площадку после захвата силовиками ее предшественника - RaidForums.
Согласно муссирующейся повсеместно легенде, Фицпатрик якобы продал эту базу данных в июле, когда он был отпущен под залог.
С тех самых времен данные циркулируют среди различных злоумышленников, один из которых пытался продать их за 150 000 долларов в конце того же месяца.
Начиная с прошедших выходных BreachForums начал плавно сливаться в сеть.
Все началось с некоего Emo, вывалившего ограниченный набор данных участников, включая имена, почту и IP.
Позже он слил всю базу данных после того, как база разошлась по рукам и стало очевидна неизбежность ее утечки, раскрыв огромный объем дополнительных данных с перепиской, журналами платежей, хешированными паролями, логами IP-адресов для каждого пользователя и т.д.
Публичная утечка, по мнению хакера, позволит участникам оценить и устранить дыры в своей OPSEC, а инфосек-сообществу обогатить свою базу для расследований и изучения профилей субъектов угроз.
В реальности это больше походит на легализацию разведданных со стороны американских спецслужб, которые обладали и обладают различными хронологическими версиями этой базы.
Так что будем посмотреть.
Haveibeenpwned
Have I Been Pwned: Pwned websites
Have I Been Pwned allows you to search across multiple data breaches to see if your email address or phone number has been compromised.
͏Закончив наконец просмотр всех мемов по поводу инцидента, вызвавшего сбой миллионов устройств Windows, CrowdStrike решила объясниться по существу.
Оказалось, что день синего экрана возник в результате проблем в системе проверки обновлений конфигурации контента для сенсора Windows, которые являются регулярной частью динамических защитных механизмов платформы Falcon.
Инцидент затронул хосты Windows с версией сенсора 7.11 и выше, которые были в сети между 19 июля 2024 г., 04:09 UTC и 05:27 UTC и получили обновление. Системы Apple macOS и Linux не были затронуты.
CrowdStrike заявила, что предоставляет обновления конфигурации содержимого безопасности двумя способами: один - через Sensor Content, поставляемый с Falcon Sensor, а другой - через Rapid Response Content, который позволяет отмечать новые угрозы с помощью различных методов сопоставления поведенческих шаблонов.
Говорят, что сбой произошел из-за обновления Rapid Response Content, содержащего ранее необнаруженную ошибку.
Экземпляры шаблонов создаются с помощью системы конфигурации контента, после чего они развертываются на датчике через облако с помощью механизма, называемого Channel Files, который в конечном итоге записывается на диск на машине Windows.
Система также включает компонент Content Validator, который выполняет проверки контента перед его публикацией. При этом каждый новый тип шаблона проходит стресс-тестирование по различным параметрам.
28 февраля 2024 г. CrowdStrike выпустила сенсор 7.11 для клиентов с новым типом шаблона IPC.
Позже 5 марта три шаблона прошли стресс-тест и были одобрены для использования, а затем зашли в рабочую среду.
24 апреля в эксплуатацию внедрено еще три экземпляра шаблонов IPC, а 19 июля развернуты два дополнительных экземпляра шаблона IPC, один из которых прошел проверку, несмотря на наличие проблемных данных контента.
После получения датчиком и загрузки в Content Interpreter проблемного содержимого в Channel File 291 привело к чтению за пределами выделенной памяти, что вызвало исключение, которое привело к сбою Windows (BSoD).
Суть всего следующая: проблемная компания реализовала проблемную проверку, которая пропустила проблемное обновление, которое привело к проблеме в Windows, породившее проблемы на стороне пользователей.
Причем, если хосты нагнулись в самой CrowdStrike, тогда круг должен был замкнуться, образов таким образом очко - собственно, что и произошло.
В целом же, точное содержание официального заявления выглядит следующим образом.
Оказалось, что день синего экрана возник в результате проблем в системе проверки обновлений конфигурации контента для сенсора Windows, которые являются регулярной частью динамических защитных механизмов платформы Falcon.
Инцидент затронул хосты Windows с версией сенсора 7.11 и выше, которые были в сети между 19 июля 2024 г., 04:09 UTC и 05:27 UTC и получили обновление. Системы Apple macOS и Linux не были затронуты.
CrowdStrike заявила, что предоставляет обновления конфигурации содержимого безопасности двумя способами: один - через Sensor Content, поставляемый с Falcon Sensor, а другой - через Rapid Response Content, который позволяет отмечать новые угрозы с помощью различных методов сопоставления поведенческих шаблонов.
Говорят, что сбой произошел из-за обновления Rapid Response Content, содержащего ранее необнаруженную ошибку.
Экземпляры шаблонов создаются с помощью системы конфигурации контента, после чего они развертываются на датчике через облако с помощью механизма, называемого Channel Files, который в конечном итоге записывается на диск на машине Windows.
Система также включает компонент Content Validator, который выполняет проверки контента перед его публикацией. При этом каждый новый тип шаблона проходит стресс-тестирование по различным параметрам.
28 февраля 2024 г. CrowdStrike выпустила сенсор 7.11 для клиентов с новым типом шаблона IPC.
Позже 5 марта три шаблона прошли стресс-тест и были одобрены для использования, а затем зашли в рабочую среду.
24 апреля в эксплуатацию внедрено еще три экземпляра шаблонов IPC, а 19 июля развернуты два дополнительных экземпляра шаблона IPC, один из которых прошел проверку, несмотря на наличие проблемных данных контента.
После получения датчиком и загрузки в Content Interpreter проблемного содержимого в Channel File 291 привело к чтению за пределами выделенной памяти, что вызвало исключение, которое привело к сбою Windows (BSoD).
Суть всего следующая: проблемная компания реализовала проблемную проверку, которая пропустила проблемное обновление, которое привело к проблеме в Windows, породившее проблемы на стороне пользователей.
Причем, если хосты нагнулись в самой CrowdStrike, тогда круг должен был замкнуться, образов таким образом очко - собственно, что и произошло.
В целом же, точное содержание официального заявления выглядит следующим образом.
DoS-терминатор (дилдо-стиллер) - это не шутка, а реальная госзакупка, которую на днях реализовало Министерство внутренней безопасности США.
Как сообщает 404 Media, силовики взяли в арсенал робота-собаку, которая передвигаясь в целевую зону, способна проводить DoS-атаки на находящиеся поблизости устройства Интернета вещей и смарт-устройства.
С помощью киборга агенты DHS получат возможность перегружать домашние сети подозреваемых, пытаясь отключить любые имеющиеся у них IoT-устройства.
Кроме того, DHS также построило тестовый дом «Интернета вещей» для обучения офицеров проведению обысков в помещениях, которые подозреваемые могут «заминировать» с помощью умных домашних устройств.
Робот под названием NEO представляет собой модифицированную версию Quadruped Unmanned Ground Vehicle (Q-UGV) с компьютером и антенной решеткой на борту, разработанную для правоохранителей компанией Ghost Robotics.
Модель продается как правоохранительным органам, так и военным. В настоящее время в портфеле заказов производителя - 25 клиентов в сфере национальной безопасности.
DHS давно приглядывалась к DoS-терминатору, особенно после того случая, когда при задержании подозреваемому педофилу удалось расстрелять агентов ФБР, прицеливаясь через умный глазок.
Хотя, причина может быть в другом.
Не так давно анонсированный пес-киборг с огнеметом на борту, вероятно, не смог преодолеть противопожарную систему в ходе штурма умного дома.
Теперь же пламя будет надежно прикрыто антенной его товарища.
Как сообщает 404 Media, силовики взяли в арсенал робота-собаку, которая передвигаясь в целевую зону, способна проводить DoS-атаки на находящиеся поблизости устройства Интернета вещей и смарт-устройства.
С помощью киборга агенты DHS получат возможность перегружать домашние сети подозреваемых, пытаясь отключить любые имеющиеся у них IoT-устройства.
Кроме того, DHS также построило тестовый дом «Интернета вещей» для обучения офицеров проведению обысков в помещениях, которые подозреваемые могут «заминировать» с помощью умных домашних устройств.
Робот под названием NEO представляет собой модифицированную версию Quadruped Unmanned Ground Vehicle (Q-UGV) с компьютером и антенной решеткой на борту, разработанную для правоохранителей компанией Ghost Robotics.
Модель продается как правоохранительным органам, так и военным. В настоящее время в портфеле заказов производителя - 25 клиентов в сфере национальной безопасности.
DHS давно приглядывалась к DoS-терминатору, особенно после того случая, когда при задержании подозреваемому педофилу удалось расстрелять агентов ФБР, прицеливаясь через умный глазок.
Хотя, причина может быть в другом.
Не так давно анонсированный пес-киборг с огнеметом на борту, вероятно, не смог преодолеть противопожарную систему в ходе штурма умного дома.
Теперь же пламя будет надежно прикрыто антенной его товарища.
404 Media
DHS Has a DoS Robot to Disable Internet of Things ‘Booby Traps’ Inside Homes
"NEO carries an onboard computer and antenna array that will allow officers the ability to create a ‘denial-of-service’ event to disable ‘Internet of Things’ devices that could potentially cause harm while entry is made."
Исследователи Fortinet FortiGuard Labs обнаружили кампанию, нацеленную на Испанию, Таиланд и США с использованием уязвимости CVE-2024-21412 (оценка CVSS: 8,1).
Исправленная уязвимость безопасности в Microsoft Defender SmartScreen использовалась для распространения вредоносных программ по краже информации, таких как ACR Stealer, Lumma и Meduza.
Уязвимость высокой степени серьезности позволяет злоумышленнику обойти защиту SmartScreen и доставить вредоносные вредоносные нагрузки.
Microsoft устранила ее в рамках своих ежемесячных обновлений безопасности, выпущенных в феврале 2024 года.
В ходе наблюдаемых атак злоумышленники заманивают жертву, заставляя ее пройти по созданной ссылке на URL-файл, предназначенный для загрузки LNK-файла.
Затем LNK-файл загружает исполняемый файл, содержащий скрипт (HTML-приложения).
Файл HTA служит каналом для декодирования и расшифровки кода PowerShell, отвечающего за извлечение поддельного PDF-файла и инжектора шелл-кода.
Он, в свою очередь, приводит к развертыванию Meduza Stealer или Hijack Loader, которые впоследствии запускают CR Stealer или Lumma.
ACR Stealer, предположительно являющийся усовершенствованной версией GrMsk Stealer, был представлен в конце марта 2024 года злоумышленником под ником SheldIO на форуме RAMP.
Похититель ACR скрывает свою С2 с помощью технологии разрешения тайников (DDR) на сайте Steam и способен красть информацию из браузеров, криптокошельков, мессенджеров, FTP-и почтовых клиентов, VPN-сервисов и менеджеров паролей.
При этом, по данным Центра разведки и безопасности AhnLab (ASEC), недавние атаки Lumma Stealer также использовали ту же технику, что позволяет злоумышленникам в любой момент изменять домены C2 и повышать устойчивость инфраструктуры.
Исправленная уязвимость безопасности в Microsoft Defender SmartScreen использовалась для распространения вредоносных программ по краже информации, таких как ACR Stealer, Lumma и Meduza.
Уязвимость высокой степени серьезности позволяет злоумышленнику обойти защиту SmartScreen и доставить вредоносные вредоносные нагрузки.
Microsoft устранила ее в рамках своих ежемесячных обновлений безопасности, выпущенных в феврале 2024 года.
В ходе наблюдаемых атак злоумышленники заманивают жертву, заставляя ее пройти по созданной ссылке на URL-файл, предназначенный для загрузки LNK-файла.
Затем LNK-файл загружает исполняемый файл, содержащий скрипт (HTML-приложения).
Файл HTA служит каналом для декодирования и расшифровки кода PowerShell, отвечающего за извлечение поддельного PDF-файла и инжектора шелл-кода.
Он, в свою очередь, приводит к развертыванию Meduza Stealer или Hijack Loader, которые впоследствии запускают CR Stealer или Lumma.
ACR Stealer, предположительно являющийся усовершенствованной версией GrMsk Stealer, был представлен в конце марта 2024 года злоумышленником под ником SheldIO на форуме RAMP.
Похититель ACR скрывает свою С2 с помощью технологии разрешения тайников (DDR) на сайте Steam и способен красть информацию из браузеров, криптокошельков, мессенджеров, FTP-и почтовых клиентов, VPN-сервисов и менеджеров паролей.
При этом, по данным Центра разведки и безопасности AhnLab (ASEC), недавние атаки Lumma Stealer также использовали ту же технику, что позволяет злоумышленникам в любой момент изменять домены C2 и повышать устойчивость инфраструктуры.
Fortinet Blog
Exploiting CVE-2024-21412: A Stealer Campaign Unleashed
FortiGuard Labs has observed a stealer campaign spreading multiple files that exploit CVE-2024-21412 to download malicious executable files. Read more.…
Docker выпустила обновления для устранения пятилетней критической уязвимости, затрагивающей некоторые версии Docker Engine, которая позволяет обойти плагины авторизации (AuthZ) при определенных условиях.
Проблема была изначально обнаружена и исправлена в Docker Engine v18.09.1, выпущенном в январе 2019 года, но по неизвестной причине исправление исправление не было имплеметировано в более поздние версии, поэтому уязвимость возникла вновь.
Появление ошибки было распознано лишь в апреле 2024 года, и спустя три месяца выпущены исправления для всех поддерживаемых версий Docker Engine.
Упущение открыло для злоумышленников 5-летний период для эксплуатации, но пока неясно, была ли уязвимость когда-либо использована в реальных условиях для получения несанкционированного доступа к экземплярам Docker.
Она теперь отслеживается как CVE-2024-41110 и представляет собой проблему критической степени серьезности (оценка CVSS: 10,0), позволяя отправить специально созданный запрос API с Content-Length, равным 0.
В типичных сценариях запросы API включают тело, содержащее необходимые данные для запроса, а плагин авторизации проверяет это тело для принятия решений по контролю доступа.
Если Content-Length установлен на 0, запрос пересылается плагину AuthZ без тела, поэтому плагин не может выполнить надлежащую проверку. Это влечет за собой риск одобрения запросов на несанкционированные действия, включая повышение привилегий.
CVE-2024-41110 затрагивает Docker Engine до v19.03.15, v20.10.27, v23.0.14, v24.0.9, v25.0.5, v26.0.2, v26.1.4, v27.0.3 и v27.1.0 для пользователей, которые используют плагины авторизации для контроля доступа.
Пользователи Mirantis Container Runtime и коммерческих продуктов Docker, а также не использующие плагины для авторизации, не подвержены уязвимости CVE-2024-41110, независимо от используемой ими версии.
Пользователям, у которых возникли проблемы, рекомендуется как можно скорее перейти на версии 23.0.14 и 27.1.0.
Также отмечается, что последняя версия Docker Desktop, 4.32.0, включает в себя уязвимый Docker Engine, но его влияние ограничено, поскольку для эксплуатации требуется доступ к API Docker, а любые действия по повышению привилегий будут ограничены ВМ.
Предстоящая версия Docker Desktop v4.33.0 решит эту проблему, но она еще не выпущена.
Пользователям, которые не могут перейти на безопасную версию, рекомендуется отключить плагины AuthZ и ограничить доступ к API Docker.
Проблема была изначально обнаружена и исправлена в Docker Engine v18.09.1, выпущенном в январе 2019 года, но по неизвестной причине исправление исправление не было имплеметировано в более поздние версии, поэтому уязвимость возникла вновь.
Появление ошибки было распознано лишь в апреле 2024 года, и спустя три месяца выпущены исправления для всех поддерживаемых версий Docker Engine.
Упущение открыло для злоумышленников 5-летний период для эксплуатации, но пока неясно, была ли уязвимость когда-либо использована в реальных условиях для получения несанкционированного доступа к экземплярам Docker.
Она теперь отслеживается как CVE-2024-41110 и представляет собой проблему критической степени серьезности (оценка CVSS: 10,0), позволяя отправить специально созданный запрос API с Content-Length, равным 0.
В типичных сценариях запросы API включают тело, содержащее необходимые данные для запроса, а плагин авторизации проверяет это тело для принятия решений по контролю доступа.
Если Content-Length установлен на 0, запрос пересылается плагину AuthZ без тела, поэтому плагин не может выполнить надлежащую проверку. Это влечет за собой риск одобрения запросов на несанкционированные действия, включая повышение привилегий.
CVE-2024-41110 затрагивает Docker Engine до v19.03.15, v20.10.27, v23.0.14, v24.0.9, v25.0.5, v26.0.2, v26.1.4, v27.0.3 и v27.1.0 для пользователей, которые используют плагины авторизации для контроля доступа.
Пользователи Mirantis Container Runtime и коммерческих продуктов Docker, а также не использующие плагины для авторизации, не подвержены уязвимости CVE-2024-41110, независимо от используемой ими версии.
Пользователям, у которых возникли проблемы, рекомендуется как можно скорее перейти на версии 23.0.14 и 27.1.0.
Также отмечается, что последняя версия Docker Desktop, 4.32.0, включает в себя уязвимый Docker Engine, но его влияние ограничено, поскольку для эксплуатации требуется доступ к API Docker, а любые действия по повышению привилегий будут ограничены ВМ.
Предстоящая версия Docker Desktop v4.33.0 решит эту проблему, но она еще не выпущена.
Пользователям, которые не могут перейти на безопасную версию, рекомендуется отключить плагины AuthZ и ограничить доступ к API Docker.
Docker
Docker Security Advisory: AuthZ Plugin Bypass Regression in Docker Engine | Docker
Certain versions of Docker Engine have a security vulnerability that could allow an attacker to bypass authorization plugins (AuthZ) under specific circumstances. The base likelihood of this being exploited is low. This advisory outlines the issue, identifies…
Исследователи F.A.C.C.T. анализируют новые атаки ТА558 на предприятия России и Беларуси.
С начала 2024 года специалисты зафиксировали более тысячи фишинговых рассылок вредоносного ПО в адрес предприятий, госучреждений и банков, нацеленных на кражу данных и получение доступа к системам организаций.
APT реализует фишинговые кампаний, распространяя вредоносное ПО с помощью социнженерии начиная с 2018 года.
Среди основных целей - финсектор, госкомпании и туристический кластер.
TA558 известна своим использованием многоэтапных атак, начиная с фишинговых писем, содержащих вредоносные документы Microsoft Office, которые, в свою очередь, загружают и запускают вредоносные ПО.
В их арсенале находятся такие вредоносные программы, как AgentTesla, Remcos, njRAT и другие.
Первоначальный регион, на который была нацелена TA558 в 2018 году, - Латинская Америка, но позже они расширили географию атак. Их фишинговые кампании часто проводятся на нескольких языках, что указывает на глобальный масштаб операций группы.
В новых атаках F.A.C.C.T выявила характерные для группировки методы стеганографии при передачи полезной нагрузки, а также использование вредоносных файлов, в именах которых были фразы Love и Kiss.
Большинство изученных писем содержали Agent Tesla или Remcos.
После запуска ВПО закрепляется в системе, скрываясь от пользователя и предоставляя атакующему доступ к зараженному устройству со всеми вытекающими возможностями.
Атакующие продолжают эксплуатировать уязвимость 2017 года, выявленную в Microsoft Office (CVE-2017-11882), несмотря на то, что она уже устранена в новых версиях продукта.
Несмотря на это, такие атаки по-прежнему успешны и эффективны, а использование устаревших уязвимостей указывает на недостаточно обновление систем у многих пользователей, что позволяет злоумышленникам легко проникать в их сети.
В ходе одной из атак, зафиксированной 5 марта 2024, злоумышленниками использовалась электронная почта expo@bcmsrll[.]com, привязанная к домену bcmsrll[.]com (зарегистрирован 22.06.2023 у регистратора Namecheap Inc. США).
Его удалось связать с TA558, несмотря на то, что группа часто изменяет свои TTPs, чтобы избежать обнаружения и затруднить анализ их деятельности.
В последнее время TA558 проявляет повышенную активность, используя более сложные техники маскировки и эмуляции легитимного поведения, что позволяет им эффективно обходить системы защиты.
Подробнее об атаках, атрибуции и индикаторах компрометации — в новом отчете F.A.C.C.T.
С начала 2024 года специалисты зафиксировали более тысячи фишинговых рассылок вредоносного ПО в адрес предприятий, госучреждений и банков, нацеленных на кражу данных и получение доступа к системам организаций.
APT реализует фишинговые кампаний, распространяя вредоносное ПО с помощью социнженерии начиная с 2018 года.
Среди основных целей - финсектор, госкомпании и туристический кластер.
TA558 известна своим использованием многоэтапных атак, начиная с фишинговых писем, содержащих вредоносные документы Microsoft Office, которые, в свою очередь, загружают и запускают вредоносные ПО.
В их арсенале находятся такие вредоносные программы, как AgentTesla, Remcos, njRAT и другие.
Первоначальный регион, на который была нацелена TA558 в 2018 году, - Латинская Америка, но позже они расширили географию атак. Их фишинговые кампании часто проводятся на нескольких языках, что указывает на глобальный масштаб операций группы.
В новых атаках F.A.C.C.T выявила характерные для группировки методы стеганографии при передачи полезной нагрузки, а также использование вредоносных файлов, в именах которых были фразы Love и Kiss.
Большинство изученных писем содержали Agent Tesla или Remcos.
После запуска ВПО закрепляется в системе, скрываясь от пользователя и предоставляя атакующему доступ к зараженному устройству со всеми вытекающими возможностями.
Атакующие продолжают эксплуатировать уязвимость 2017 года, выявленную в Microsoft Office (CVE-2017-11882), несмотря на то, что она уже устранена в новых версиях продукта.
Несмотря на это, такие атаки по-прежнему успешны и эффективны, а использование устаревших уязвимостей указывает на недостаточно обновление систем у многих пользователей, что позволяет злоумышленникам легко проникать в их сети.
В ходе одной из атак, зафиксированной 5 марта 2024, злоумышленниками использовалась электронная почта expo@bcmsrll[.]com, привязанная к домену bcmsrll[.]com (зарегистрирован 22.06.2023 у регистратора Namecheap Inc. США).
Его удалось связать с TA558, несмотря на то, что группа часто изменяет свои TTPs, чтобы избежать обнаружения и затруднить анализ их деятельности.
В последнее время TA558 проявляет повышенную активность, используя более сложные техники маскировки и эмуляции легитимного поведения, что позволяет им эффективно обходить системы защиты.
Подробнее об атаках, атрибуции и индикаторах компрометации — в новом отчете F.A.C.C.T.
͏Пока CrowdStrike пытается откупиться от клиентов комплементарной подарочной картой Uber Eats на $10, ее тоже решили отблагодарить.
Инициатором выступил USDoD, который заявил о взломе CrowdStrike, в результате которого ему якобы удалось тиснуть весь список IoC с более чем 250 млн данных.
На известном форуме USDoD поделился ссылкой на предполагаемую утечку.
В качестве пруфа подкрел пример с указанием псевдонима, последней активности, статуса, происхождения, целевых отраслей, стран, типа субъекта и его мотивации.
Инициатором выступил USDoD, который заявил о взломе CrowdStrike, в результате которого ему якобы удалось тиснуть весь список IoC с более чем 250 млн данных.
На известном форуме USDoD поделился ссылкой на предполагаемую утечку.
В качестве пруфа подкрел пример с указанием псевдонима, последней активности, статуса, происхождения, целевых отраслей, стран, типа субъекта и его мотивации.
