Cisco отчасти подтвердила задействование как минимум в одном из инцидентов Salt Typhoon для получения доступа к сетям телеком-структур в США CVE-2018-0171 наряду с CVE-2023-20198 и CVE-2023-20273, о которых ранее сообщали в Recorded Future’s Insikt Group.
Напомним кстати, что в России компанию признали нежелательной за то, что она выпускает агитгазету Вашингтонского обкома The Record.
При этом злоумышленники продемонстрировали способность сохраняться в целевых средах на оборудовании разных поставщиков в течение длительных периодов времени, обеспечивая доступ к одному экземпляру на протяжении более трех лет.
Важным аспектом кампании является использование легитимных украденных учетных данных для получения первоначального доступа, правда способ их получения пока неизвестен.
Было замечено, что злоумышленник предпринимает попытки завладеть учетными данными через конфигурации сетевых устройств и расшифровывает локальные учетные записи с помощью слабых типов паролей.
В Cisco наблюдали, как злоумышленник захватывает трафик SNMP, TACACS и RADIUS, включая секретные ключи, используемые между сетевыми устройствами и серверами TACACS/RADIUS для извлечения дополнительных данных учетных данных.
Еще одна примечательная особенность Salt Typhoon подразумевает использование методов LOTL на сетевых устройствах, злоупотребляя доверенной инфраструктурой в качестве опорных точек для перехода от одного телекоммуникационного оператора к другому.
Предполагается, что эти устройства используются в качестве промежуточных ретрансляторов для достижения намеченной конечной цели или в качестве первого транзитного пункта для операций по утечке исходящих данных, поскольку это дает злоумышленнику возможность оставаться незамеченным в течение длительного периода времени.
Кроме того, Salt Typhoon меняла сетевые конфигурации для создания локальных учетных записей, включения доступа Guest Shell и упрощения удаленного доступа через SSH.
Также задействовалась утилита JumbledPath, которая позволяет выполнять захват пакетов на удаленном устройстве Cisco через определенный актером jump-host.
Двоичный файл ELF на основе Go также способен очищать журналы и отключать журналирование для сокрытия следов вредоносной активности и противодействия криминалистическому анализу.
Использование этой утилиты помогает скрыть исходный источник и конечный пункт назначения запроса, а также позволяет его оператору перемещаться через потенциально недоступные (или маршрутизируемые) устройства или инфраструктуру.
Злоумышленник неоднократно изменял адрес интерфейса обратной связи на скомпрометированном коммутаторе и использовал этот интерфейс в качестве источника SSH-подключений к дополнительным устройствам в целевой среде, что позволяло ему эффективно обходить списки ACL, установленные на этих устройствах.
Cisco заявила, что не нашла никаких доказательств того, что хакерская команда использовала другие известные уязвимости для нацеливания, вероятно, за исключением уже фигурирующих в отчетах.
Отдельно отметив, что выявила дополнительное нацеливание на устройства Cisco с открытой Smart Install (SMI), за которым последовала эксплуатация CVE-2018-0171. Причем активность якобы не связана с Salt Typhoon и не имеет общих черт с какой-либо известной группой.
Напомним кстати, что в России компанию признали нежелательной за то, что она выпускает агитгазету Вашингтонского обкома The Record.
При этом злоумышленники продемонстрировали способность сохраняться в целевых средах на оборудовании разных поставщиков в течение длительных периодов времени, обеспечивая доступ к одному экземпляру на протяжении более трех лет.
Важным аспектом кампании является использование легитимных украденных учетных данных для получения первоначального доступа, правда способ их получения пока неизвестен.
Было замечено, что злоумышленник предпринимает попытки завладеть учетными данными через конфигурации сетевых устройств и расшифровывает локальные учетные записи с помощью слабых типов паролей.
В Cisco наблюдали, как злоумышленник захватывает трафик SNMP, TACACS и RADIUS, включая секретные ключи, используемые между сетевыми устройствами и серверами TACACS/RADIUS для извлечения дополнительных данных учетных данных.
Еще одна примечательная особенность Salt Typhoon подразумевает использование методов LOTL на сетевых устройствах, злоупотребляя доверенной инфраструктурой в качестве опорных точек для перехода от одного телекоммуникационного оператора к другому.
Предполагается, что эти устройства используются в качестве промежуточных ретрансляторов для достижения намеченной конечной цели или в качестве первого транзитного пункта для операций по утечке исходящих данных, поскольку это дает злоумышленнику возможность оставаться незамеченным в течение длительного периода времени.
Кроме того, Salt Typhoon меняла сетевые конфигурации для создания локальных учетных записей, включения доступа Guest Shell и упрощения удаленного доступа через SSH.
Также задействовалась утилита JumbledPath, которая позволяет выполнять захват пакетов на удаленном устройстве Cisco через определенный актером jump-host.
Двоичный файл ELF на основе Go также способен очищать журналы и отключать журналирование для сокрытия следов вредоносной активности и противодействия криминалистическому анализу.
Использование этой утилиты помогает скрыть исходный источник и конечный пункт назначения запроса, а также позволяет его оператору перемещаться через потенциально недоступные (или маршрутизируемые) устройства или инфраструктуру.
Злоумышленник неоднократно изменял адрес интерфейса обратной связи на скомпрометированном коммутаторе и использовал этот интерфейс в качестве источника SSH-подключений к дополнительным устройствам в целевой среде, что позволяло ему эффективно обходить списки ACL, установленные на этих устройствах.
Cisco заявила, что не нашла никаких доказательств того, что хакерская команда использовала другие известные уязвимости для нацеливания, вероятно, за исключением уже фигурирующих в отчетах.
Отдельно отметив, что выявила дополнительное нацеливание на устройства Cisco с открытой Smart Install (SMI), за которым последовала эксплуатация CVE-2018-0171. Причем активность якобы не связана с Salt Typhoon и не имеет общих черт с какой-либо известной группой.
Cisco Talos Blog
Weathering the storm: In the midst of a Typhoon
Cisco Talos has been closely monitoring reports of widespread intrusion activity against several major U.S. telecommunications companies, by a threat actor dubbed Salt Typhoon. This blog highlights our observations on this campaign and identifies recommendations…
Исследователи из Лаборатории Касперского поделились своими наблюдениями относительно APT Angry Likho (она же Sticky Werewolf), которую отслеживают с 2023 года.
Группа имеет много сходств с Awaken Likho, в связи с чем и была отнесена к кластеру вредоносной активности, однако атаки Angry Likho, как правило, носят целевой характер, имеют более компактную инфраструктуру, ограниченный набор имплантов.
Angry Likho нацелена на сотрудников крупных организаций, включая госучреждения и их подрядчиков, а участники, скорее всего, являются носителями русского языка и, вероятно, связаны с Украиной.
Основной таргет - Россия и Беларусь, а другие жертвы были случайными — возможно, исследователями, использующими среды-песочницы или выходные узлы сетей Tor и VPN.
В начале 2024 года ряд ИБ-поставщиков выпускали отчеты в отношении Angry Likho. Тем не менее в июне ЛК обнаружила новые атаки этой группы, а в январе 2025 года смогли задетектить вредоносные полезные нагрузки в рамках развивающейся APT-активности.
Первоначальный вектор атаки, используемый Angry Likho, традиционно включает стандартизированные фишинговые письма с различными вложениями, в том числе архивами RAR, включающими вредоносные LNK-файлы и легитимный файл-приманку.
Согласно телеметрии, злоумышленники действуют периодически, приостанавливая свою деятельность на некоторое время, прежде чем возобновить ее с помощью слегка измененных методов.
В июне 2024 года исследователи обнаружили очень интересный имплант, связанный с APT Angry Likho, который распространялся под названием FrameworkSurvivor.exe по следующему URL: hxxps://testdomain123123[.]shop/FrameworkSurvivor.exe.
Имплант был создан с использованием легитимного установщика с открытым исходным кодом Nullsoft Scriptable Install System и функционирует как самораспаковывающийся архив (SFX). Ранее эту технику исследователи наблюдали в нескольких кампаниях Awaken Likho.
Архив содержал одну папку $INTERNET_CACHE, заполненную множеством файлов без расширений. Причем последние версии 7-Zip не позволяют извлечь этот скрипт, но его можно извлечь с помощью более старых версий.
Скрипт установки назывался [NSIS].nsi и был частично замаскирован. Он ищет папку в системе жертвы с помощью макроса $INTERNET_CACHE, извлекает в нее все файлы из архива, переименовывает файл «Helping» в «Helping.cmd» и запускает его.
Helping.cmd запускает легитимный интерпретатор AutoIt (Child.pif) с файлом i.a3x в качестве параметра.
Файл i.a3x содержит скомпилированный скрипт AU3. Учитывая это, можно предположить, что этот скрипт реализует основную логику вредоносного импланта.
Скрипт проверяет артефакты, связанные с эмуляторами и исследовательскими средами. Если совпадение найдено, он либо завершается, либо выполняется с задержкой в 10 000 мс, чтобы избежать обнаружения, аналогично имплантам Awaken Likho.
Затем скрипт устанавливает режим обработки ошибок, вызывая SetErrorMode() из kernel32.dll с флагами SEM_NOALIGNMENTFAULTEXCEPT, SEM_NOGPFAULTERRORBOX и SEM_NOOPENFILEERRORBOX, тем самым скрывая системные сообщения об ошибках и отчеты.
После этого скрипт удаляет себя с диска, вызывая FileDelete(“i”), и генерирует большой текстовый блок, который является полноценным исполняемым файлом MZ PE, фактически это инфоркад Lumma (Trojan-PSW.Win32.Lumma).
В январе 2025 года злоумышленники продемонстрировали новый всплеск активности, о чем сообщали в F6 (ранее - FACCT). Анализ IoC выявил признаки потенциальной новой волны атак, что еще раз подтверждает активность угрозы со стороны Angry Likho.
Технические подробности и еще больше артефактов, связанных с этой кампанией - в отчете.
Группа имеет много сходств с Awaken Likho, в связи с чем и была отнесена к кластеру вредоносной активности, однако атаки Angry Likho, как правило, носят целевой характер, имеют более компактную инфраструктуру, ограниченный набор имплантов.
Angry Likho нацелена на сотрудников крупных организаций, включая госучреждения и их подрядчиков, а участники, скорее всего, являются носителями русского языка и, вероятно, связаны с Украиной.
Основной таргет - Россия и Беларусь, а другие жертвы были случайными — возможно, исследователями, использующими среды-песочницы или выходные узлы сетей Tor и VPN.
В начале 2024 года ряд ИБ-поставщиков выпускали отчеты в отношении Angry Likho. Тем не менее в июне ЛК обнаружила новые атаки этой группы, а в январе 2025 года смогли задетектить вредоносные полезные нагрузки в рамках развивающейся APT-активности.
Первоначальный вектор атаки, используемый Angry Likho, традиционно включает стандартизированные фишинговые письма с различными вложениями, в том числе архивами RAR, включающими вредоносные LNK-файлы и легитимный файл-приманку.
Согласно телеметрии, злоумышленники действуют периодически, приостанавливая свою деятельность на некоторое время, прежде чем возобновить ее с помощью слегка измененных методов.
В июне 2024 года исследователи обнаружили очень интересный имплант, связанный с APT Angry Likho, который распространялся под названием FrameworkSurvivor.exe по следующему URL: hxxps://testdomain123123[.]shop/FrameworkSurvivor.exe.
Имплант был создан с использованием легитимного установщика с открытым исходным кодом Nullsoft Scriptable Install System и функционирует как самораспаковывающийся архив (SFX). Ранее эту технику исследователи наблюдали в нескольких кампаниях Awaken Likho.
Архив содержал одну папку $INTERNET_CACHE, заполненную множеством файлов без расширений. Причем последние версии 7-Zip не позволяют извлечь этот скрипт, но его можно извлечь с помощью более старых версий.
Скрипт установки назывался [NSIS].nsi и был частично замаскирован. Он ищет папку в системе жертвы с помощью макроса $INTERNET_CACHE, извлекает в нее все файлы из архива, переименовывает файл «Helping» в «Helping.cmd» и запускает его.
Helping.cmd запускает легитимный интерпретатор AutoIt (Child.pif) с файлом i.a3x в качестве параметра.
Файл i.a3x содержит скомпилированный скрипт AU3. Учитывая это, можно предположить, что этот скрипт реализует основную логику вредоносного импланта.
Скрипт проверяет артефакты, связанные с эмуляторами и исследовательскими средами. Если совпадение найдено, он либо завершается, либо выполняется с задержкой в 10 000 мс, чтобы избежать обнаружения, аналогично имплантам Awaken Likho.
Затем скрипт устанавливает режим обработки ошибок, вызывая SetErrorMode() из kernel32.dll с флагами SEM_NOALIGNMENTFAULTEXCEPT, SEM_NOGPFAULTERRORBOX и SEM_NOOPENFILEERRORBOX, тем самым скрывая системные сообщения об ошибках и отчеты.
После этого скрипт удаляет себя с диска, вызывая FileDelete(“i”), и генерирует большой текстовый блок, который является полноценным исполняемым файлом MZ PE, фактически это инфоркад Lumma (Trojan-PSW.Win32.Lumma).
В январе 2025 года злоумышленники продемонстрировали новый всплеск активности, о чем сообщали в F6 (ранее - FACCT). Анализ IoC выявил признаки потенциальной новой волны атак, что еще раз подтверждает активность угрозы со стороны Angry Likho.
Технические подробности и еще больше артефактов, связанных с этой кампанией - в отчете.
Securelist
New wave of targeted attacks of the Angry Likho APT on Russian organizations
Kaspersky experts analyze the Angry Likho APT group's attacks, which use obfuscated AutoIt scripts and the Lumma stealer for data theft.
Используете Parallels Desktop - ошибка, не зная, что все версии ПО, включая последнюю, уязвимы - фатальная ошибка.
Достаточно популярное ПО виртуализации подвержено уязвимости, а исправление в последней версии приводит к новой уязвимости.
Но более усугубляет ситуацию то, что обе имеют общедоступные PoC, а поставщик в течение нескольких месяцев просто умывает руки.
Исследователь Микки Джин на прошлой неделе выкатил PoC, продемонстрировав обход исправлений поставщика для CVE-2024-34331 - уязвимости повышения привилегий, исправленной в сентябре.
Ошибка впервые была обнаружена в мае 2024 года Николаем Грималюком и обусловлена отсутствием проверки подписи кода в Parallels Desktop для Mac.
Первоначальный патч для Parallels был нацелен на предотвращение выполнения ненадежного кода, проверяя, подписан ли инструмент createinstallmedia компанией Apple, прежде чем предоставлять ему права root.
Однако, как оказалось, реализовать проверку должным образом не удалось, что позволяет злоумышленникам обойти ее как минимум двумя способами.
Первый способ - выполнить атаку TOCTOU для использования состояния гонки между проверкой того, подписан ли createinstallmedia Apple, и его выполнением с привилегиями root.
Злоумышленник устанавливает поддельный установщик macOS, ждет, пока Parallels проверит подписанный Apple двоичный файл createinstallmedia, а затем быстро заменяет его вредоносным скриптом перед выполнением, получая привилегии root.
Второй вариант - это атака через функцию do_repack_manual, которая уязвима для произвольной перезаписи файлов пользователем root.
Манипулируя функцией do_repack_manual, злоумышленник перенаправляет привилегированную папку с помощью символических ссылок, обманывая Parallels и заставляя ее записывать контролируемые злоумышленником файлы по пути, принадлежащему пользователю root, и заменяет p7z_tool, который запускается от имени пользователя root.
Джин обнаружил потенциальные обходные пути вскоре после отчета Грималюка и сообщил о своих выводах Parallels в июне 2024 года.
Исследователь утверждает, что поставщик обещал изучить проблему, но, несмотря на три дополнительных запроса на обновление статуса (последний был 19 февраля 2025 года), Parallels так и не ответила.
Представленный исследователем первый эксплойт, включающий атаку TOCTOU, работает на последней версии Parallels, 20.2.1 (55876), а также на всех версиях, начиная с 19.4.0 и старше.
В Parallels изменили процесс перепаковки в версии 19.4.1, перейдя с do_repack_createinstallmedia на do_repack_manual, что нейтрализовало эксплойт.
Однако это изменение создало новую уязвимость, которая позволяет злоумышленнику перезаписывать произвольные файлы, принадлежащие пользователю root, что делает эффективным второй эксплойт.
В последней версии (20.2.1) изменения были отменены, а эксплойт теперь снова стал работать.
Так что все известные версии Parallels Desktop, включая последнюю, уязвимы как минимум для одной уязвимости, а в Parallels никак не комментируют ситуацию.
Достаточно популярное ПО виртуализации подвержено уязвимости, а исправление в последней версии приводит к новой уязвимости.
Но более усугубляет ситуацию то, что обе имеют общедоступные PoC, а поставщик в течение нескольких месяцев просто умывает руки.
Исследователь Микки Джин на прошлой неделе выкатил PoC, продемонстрировав обход исправлений поставщика для CVE-2024-34331 - уязвимости повышения привилегий, исправленной в сентябре.
Ошибка впервые была обнаружена в мае 2024 года Николаем Грималюком и обусловлена отсутствием проверки подписи кода в Parallels Desktop для Mac.
Первоначальный патч для Parallels был нацелен на предотвращение выполнения ненадежного кода, проверяя, подписан ли инструмент createinstallmedia компанией Apple, прежде чем предоставлять ему права root.
Однако, как оказалось, реализовать проверку должным образом не удалось, что позволяет злоумышленникам обойти ее как минимум двумя способами.
Первый способ - выполнить атаку TOCTOU для использования состояния гонки между проверкой того, подписан ли createinstallmedia Apple, и его выполнением с привилегиями root.
Злоумышленник устанавливает поддельный установщик macOS, ждет, пока Parallels проверит подписанный Apple двоичный файл createinstallmedia, а затем быстро заменяет его вредоносным скриптом перед выполнением, получая привилегии root.
Второй вариант - это атака через функцию do_repack_manual, которая уязвима для произвольной перезаписи файлов пользователем root.
Манипулируя функцией do_repack_manual, злоумышленник перенаправляет привилегированную папку с помощью символических ссылок, обманывая Parallels и заставляя ее записывать контролируемые злоумышленником файлы по пути, принадлежащему пользователю root, и заменяет p7z_tool, который запускается от имени пользователя root.
Джин обнаружил потенциальные обходные пути вскоре после отчета Грималюка и сообщил о своих выводах Parallels в июне 2024 года.
Исследователь утверждает, что поставщик обещал изучить проблему, но, несмотря на три дополнительных запроса на обновление статуса (последний был 19 февраля 2025 года), Parallels так и не ответила.
Представленный исследователем первый эксплойт, включающий атаку TOCTOU, работает на последней версии Parallels, 20.2.1 (55876), а также на всех версиях, начиная с 19.4.0 и старше.
В Parallels изменили процесс перепаковки в версии 19.4.1, перейдя с do_repack_createinstallmedia на do_repack_manual, что нейтрализовало эксплойт.
Однако это изменение создало новую уязвимость, которая позволяет злоумышленнику перезаписывать произвольные файлы, принадлежащие пользователю root, что делает эффективным второй эксплойт.
В последней версии (20.2.1) изменения были отменены, а эксплойт теперь снова стал работать.
Так что все известные версии Parallels Desktop, включая последнюю, уязвимы как минимум для одной уязвимости, а в Parallels никак не комментируют ситуацию.
jhftss.github.io
Dropping a 0 day: Parallels Desktop Repack Root Privilege Escalation
Today, I am disclosing a 0-day vulnerability that bypasses the patch for CVE-2024-34331. I have identified two distinct methods to circumvent the fix. Both bypasses were reported separately to the Zero Day Initiative (ZDI) and the affected vendor Parallels.…
Исследователи Лаборатории Касперского раскрывают подробности развивающейся кампании, нацеленной на геймеров и инвесторов в криптовалюту под видом проектов с открытым исходным кодом, размещенных на GitHub.
Кампания, охватывающая сотни репозиториев, получила название GitVenom и уже привела к хищениям более $456 тыс., задействуя поддельные проекты GitHub для взлома кошельков.
Среди зараженных проектов - инструмент автоматизации взаимодействия с аккаунтами Instagram, бот Telegram, позволяющий удаленно управлять BTC-кошельками, а также инструмент для взлома игры Valorant.
При этом злоумышленники старались сделать поддельные проекты максимально правдоподобными, чтобы жертвы ничего не заподозрили.
Например, обнаруженные вредоносные репозитории содержали красиво оформленные файлы README.md, вероятно, сгенерированные с помощью ИИ, а также включали описания проектов и инструкции по компиляции кода.
Злоумышленники также использовали множество тегов и искусственно увеличивали количество коммитов.
Для этого они добавляли в репозитории файл временной метки, который обновлялся каждые несколько минут.
Только вся анонсируемая функциональность проектов оказалась фейковой, а киберпреступники смогли выкрасть личные и банковские данные, а также похитили адреса криптокошельков из буфера обмена.
Как полагают в ЛК, кампания длится не менее двух лет с тех пор, как были опубликованы некоторые из фейковых проектов.
Большая часть попыток заражений были детектированы в России, Бразилии и Турции.
Замеченные проекты написаны на разных языках программирования, включая Python, JavaScript, C, C++ и C#. Как и ожидалось, в этих проектах не было реализовано заявленных функций, а код в основном выполнял бессмысленные действия.
Но независимо конечная цель одна и та же: запуск встроенной вредоносной полезной нагрузки, которая отвечает за извлечение дополнительных компонентов из контролируемого злоумышленником репозитория GitHub (hxxps://github[.]com/Dipo17/battle) и их выполнение.
Среди этих модулей выделяется стилер на Node.js, который ведет сбор паролей, информации о банковских счетах, сохраненных учеток, данных криптокошельков и истории просмотра веб-страниц. Он сжимает их в архив .7z и передает злоумышленникам через Telegram.
Также через подставные проекты GitHub доставляются инструменты удаленного администрирования AsyncRAT и Quasar RAT (адрес С2: 138.68.81[.]155), которые используются для захвата зараженных хостов, а также вредоносный клипер, подменяющий адрес кошелька из буфера обмена на адрес злоумышленника.
Поскольку платформы обмена кодом, такие как GitHub, используются миллионами разработчиков по всему миру, злоумышленники наверняка продолжат использовать поддельное ПО в качестве приманки для будущих заражений с небольшими изменениями в TTPs.
По этой причине крайне важно очень внимательно относиться к обработке стороннего кода. Прежде чем пытаться запустить его или интегрировать в существующий проект, крайне важно тщательно проверить, какой функционал он реализует.
Кампания, охватывающая сотни репозиториев, получила название GitVenom и уже привела к хищениям более $456 тыс., задействуя поддельные проекты GitHub для взлома кошельков.
Среди зараженных проектов - инструмент автоматизации взаимодействия с аккаунтами Instagram, бот Telegram, позволяющий удаленно управлять BTC-кошельками, а также инструмент для взлома игры Valorant.
При этом злоумышленники старались сделать поддельные проекты максимально правдоподобными, чтобы жертвы ничего не заподозрили.
Например, обнаруженные вредоносные репозитории содержали красиво оформленные файлы README.md, вероятно, сгенерированные с помощью ИИ, а также включали описания проектов и инструкции по компиляции кода.
Злоумышленники также использовали множество тегов и искусственно увеличивали количество коммитов.
Для этого они добавляли в репозитории файл временной метки, который обновлялся каждые несколько минут.
Только вся анонсируемая функциональность проектов оказалась фейковой, а киберпреступники смогли выкрасть личные и банковские данные, а также похитили адреса криптокошельков из буфера обмена.
Как полагают в ЛК, кампания длится не менее двух лет с тех пор, как были опубликованы некоторые из фейковых проектов.
Большая часть попыток заражений были детектированы в России, Бразилии и Турции.
Замеченные проекты написаны на разных языках программирования, включая Python, JavaScript, C, C++ и C#. Как и ожидалось, в этих проектах не было реализовано заявленных функций, а код в основном выполнял бессмысленные действия.
Но независимо конечная цель одна и та же: запуск встроенной вредоносной полезной нагрузки, которая отвечает за извлечение дополнительных компонентов из контролируемого злоумышленником репозитория GitHub (hxxps://github[.]com/Dipo17/battle) и их выполнение.
Среди этих модулей выделяется стилер на Node.js, который ведет сбор паролей, информации о банковских счетах, сохраненных учеток, данных криптокошельков и истории просмотра веб-страниц. Он сжимает их в архив .7z и передает злоумышленникам через Telegram.
Также через подставные проекты GitHub доставляются инструменты удаленного администрирования AsyncRAT и Quasar RAT (адрес С2: 138.68.81[.]155), которые используются для захвата зараженных хостов, а также вредоносный клипер, подменяющий адрес кошелька из буфера обмена на адрес злоумышленника.
Поскольку платформы обмена кодом, такие как GitHub, используются миллионами разработчиков по всему миру, злоумышленники наверняка продолжат использовать поддельное ПО в качестве приманки для будущих заражений с небольшими изменениями в TTPs.
По этой причине крайне важно очень внимательно относиться к обработке стороннего кода. Прежде чем пытаться запустить его или интегрировать в существующий проект, крайне важно тщательно проверить, какой функционал он реализует.
Securelist
Fake GitHub projects distribute stealers in GitVenom campaign
Kaspersky researchers discovered GitVenom campaign distributing stealers and open-source backdoors via fake GitHub projects.
Check Point сообщает об обнаружении масштабной вредоносной кампании, в которой используется уязвимый драйвер Windows, связанный с пакетом продуктов Adlice, для обхода обнаружения и распространения Gh0st RAT.
При этом чтобы более эффективно уклоняться от обнаружения, злоумышленники намеренно создали несколько вариантов (с разными хэшами) драйвера 2.0.2, изменив определенные части PE, при этом сохранив действительную подпись.
Наблюдаемая активность включала тысячи вредоносных образцов первого этапа, которые использовались для развертывания программы, способной завершать работу EDR с помощью так называемой BYOVD-атаки.
На платформе VirusTotal было выявлено около 2500 различных вариантов устаревшей версии 2.0.2 уязвимого драйвера RogueKiller Antirootkit, truesight.sys, хотя их число, вероятно, выше.
Модуль EDR-killer был впервые обнаружен и зарегистрирован в июне 2024 года.
Проблема с драйвером Truesight, ошибка произвольного завершения процесса, затрагивает все версии ниже 3.4.0 и ранее использовалась для разработки PoC-эксплойтов, таких как Darkside и TrueSightKiller, которые общедоступны как минимум с ноября 2023 года.
В марте 2024 года SonicWall раскрыла сведения о загрузчике под названием DBatLoader, который, как выяснилось, использовал драйвер truesight.sys для отключения решений безопасности перед загрузкой вредоносного ПО Remcos RAT.
Есть некоторые основания полагать, что эта кампания могла быть делом рук группы, известной как Silver Fox APT, поскольку в цепочке выполнения и используемых методах есть некоторое совпадение, включая вектор заражения, цепочку выполнения, сходство образцов на начальном этапе и исторические модели нацеливания.
Последовательности атак включают распространение артефактов первого этапа, которые часто маскируются под легитимные приложения и распространяются через фейковые веб-сайты и каналы в Telegram.
Образцы действуют как загрузчик, сбрасывая устаревшую версию драйвера Truesight, а также полезную нагрузку следующего этапа, которая имитирует распространенные типы файлов, такие как PNG, JPG и GIF.
Затем вредоносная ПО второго этапа переходит к извлечению другой программы, которая, в свою очередь, загружает модуль EDR-killer и Gh0st RAT.
Причем варианты устаревшего драйвера Truesight (версии 2.0.2) обычно загружаются и устанавливаются образцами начального этапа, но их также можно развернуть напрямую с помощью модуля EDR/AV killer, если драйвер еще не присутствует в системе.
Это свидетельствует о том, что несмотря на интеграцию в кампанию модуля EDR/AV killer, он способен работать независимо от более ранних этапов.
Он задействует технику BYOVD для злоупотребления уязвимым драйвером для завершения процессов, связанных с определенным ПО безопасности, обходя список уязвимых драйверов Microsoft Windows.
Атаки завершались развертыванием варианта Gh0st RAT под названием HiddenGh0st, который предназначен для удаленного управления взломанными системами, предоставляя злоумышленникам возможность осуществлять кражу данных, контроль и манипулирование системой.
По состоянию на 17 декабря 2024 года Microsoft обновила список заблокированных драйверов, включив в него рассматриваемый драйвер, что фактически заблокировало вектор эксплуатации.
Изменяя определенные части драйвера, сохраняя при этом его цифровую подпись, злоумышленники обошли распространенные методы обнаружения, включая новейшие механизмы обнаружения Microsoft Vulnerable Driver Blocklist и LOLDrivers, что позволило скрываться в течение месяцев.
При этом задействование уязвимости произвольного завершения процесса позволило модулю EDR/AV killer атаковать и отключать процессы, обычно связанные с решениями по безопасности, еще больше повышая скрытность кампании.
При этом чтобы более эффективно уклоняться от обнаружения, злоумышленники намеренно создали несколько вариантов (с разными хэшами) драйвера 2.0.2, изменив определенные части PE, при этом сохранив действительную подпись.
Наблюдаемая активность включала тысячи вредоносных образцов первого этапа, которые использовались для развертывания программы, способной завершать работу EDR с помощью так называемой BYOVD-атаки.
На платформе VirusTotal было выявлено около 2500 различных вариантов устаревшей версии 2.0.2 уязвимого драйвера RogueKiller Antirootkit, truesight.sys, хотя их число, вероятно, выше.
Модуль EDR-killer был впервые обнаружен и зарегистрирован в июне 2024 года.
Проблема с драйвером Truesight, ошибка произвольного завершения процесса, затрагивает все версии ниже 3.4.0 и ранее использовалась для разработки PoC-эксплойтов, таких как Darkside и TrueSightKiller, которые общедоступны как минимум с ноября 2023 года.
В марте 2024 года SonicWall раскрыла сведения о загрузчике под названием DBatLoader, который, как выяснилось, использовал драйвер truesight.sys для отключения решений безопасности перед загрузкой вредоносного ПО Remcos RAT.
Есть некоторые основания полагать, что эта кампания могла быть делом рук группы, известной как Silver Fox APT, поскольку в цепочке выполнения и используемых методах есть некоторое совпадение, включая вектор заражения, цепочку выполнения, сходство образцов на начальном этапе и исторические модели нацеливания.
Последовательности атак включают распространение артефактов первого этапа, которые часто маскируются под легитимные приложения и распространяются через фейковые веб-сайты и каналы в Telegram.
Образцы действуют как загрузчик, сбрасывая устаревшую версию драйвера Truesight, а также полезную нагрузку следующего этапа, которая имитирует распространенные типы файлов, такие как PNG, JPG и GIF.
Затем вредоносная ПО второго этапа переходит к извлечению другой программы, которая, в свою очередь, загружает модуль EDR-killer и Gh0st RAT.
Причем варианты устаревшего драйвера Truesight (версии 2.0.2) обычно загружаются и устанавливаются образцами начального этапа, но их также можно развернуть напрямую с помощью модуля EDR/AV killer, если драйвер еще не присутствует в системе.
Это свидетельствует о том, что несмотря на интеграцию в кампанию модуля EDR/AV killer, он способен работать независимо от более ранних этапов.
Он задействует технику BYOVD для злоупотребления уязвимым драйвером для завершения процессов, связанных с определенным ПО безопасности, обходя список уязвимых драйверов Microsoft Windows.
Атаки завершались развертыванием варианта Gh0st RAT под названием HiddenGh0st, который предназначен для удаленного управления взломанными системами, предоставляя злоумышленникам возможность осуществлять кражу данных, контроль и манипулирование системой.
По состоянию на 17 декабря 2024 года Microsoft обновила список заблокированных драйверов, включив в него рассматриваемый драйвер, что фактически заблокировало вектор эксплуатации.
Изменяя определенные части драйвера, сохраняя при этом его цифровую подпись, злоумышленники обошли распространенные методы обнаружения, включая новейшие механизмы обнаружения Microsoft Vulnerable Driver Blocklist и LOLDrivers, что позволило скрываться в течение месяцев.
При этом задействование уязвимости произвольного завершения процесса позволило модулю EDR/AV killer атаковать и отключать процессы, обычно связанные с решениями по безопасности, еще больше повышая скрытность кампании.
Check Point Research
Silent Killers: Unmasking a Large-Scale Legacy Driver Exploitation Campaign - Check Point Research
Highlights Introduction While the abuse of vulnerable drivers has been around for a while, those that can terminate arbitrary processes have drawn increasing attention in recent years. As Windows security continues to evolve, it has become more challenging…
Исследователи F6 продолжают отслеживать активность ReaverBits, разбирая новые цепочки заражения и задействуемое уникальное вредоносное ПО.
ReaverBits действует с конца 2023 года и специализируется на атаках в отношении российских компаний в областях биотехнологий, розничной торговли, агропромышленного комплекса, телекоммуникаций и финсектора.
Особенности группировки - таргетированные атаки исключительно на российский сегмент, активное использование методов спуфинга при проведении фишинговых атак, а также применение стилеров.
С сентября 2024 по январь 2025 года специалисты F6 зафиксировали три разные цепочки заражения с использованием обновленных инструментов - публично реализуемого Meduza Stealer и нехарактерного для группы уникального вредоноса ReaverDoor.
Распространение ВПО проходит под видом легитимных цифровых сертификатов и обновлений.
В сентябре прошлого года исследователи задетектили фишинговые рассылки от имени СК РФ с темой «СК РФ Вызов на допрос».
Они содержали вредоносное вложение в виде PDF-документа, после запуска которого жертве отображалось уведомление о необходимости обновления Adobe Font Package, и ссылка для его загрузки.
При переходе по ссылке загружался исполняемый файл с именем, мимикрирующим под легитимное обновление Adobe Font Package.
Исходный исполняемый файл был классифицирован как загрузчик и содержал код проекта с открытым исходным кодом adbGUI, в который был встроен вредоносный код для загрузки и запуска следующей стадии с финальным аккордом в виде Meduza Stealer.
В январе в поле зрения попалось письмо якобы от МВД РФ тоже с повесткой на допрос.
Внутри письма содержалась ссылка якобы для скачивания документа. Когда жертва переходила по указанной ссылке, сервер проверял язык, установленный в браузере.
Загруженный исполняемый файл основан на .NET и классифицирован как загрузчик, похожий на тот, который был в прошлых рассылках.
Файл основан на легитимном ПО с открытым исходным кодом NBTExplorer, но с добавлением вредоносного кода. Финал тот же - Meduza Stealer.
Помимо этого исследователям удалось выйти на ранее неждокументированный бэкдор, который получил название ReaverDoor.
Проведённый анализ атак показывает, что ReaverBits остаётся приверженной TTPs, применявшимся в предыдущих кампаниях.
Однако злоумышленники продолжают модернизировать методы и расширять арсенал вредоносного ПО, адаптируя его к новым условиям.
В качестве загрузчиков ReaverBits продолжают использовать модифицированные инструменты с открытым исходным кодом, загружающие вредоносные файлы с удалённых серверов.
При этом URI-адреса ресурсов содержат унифицированное обозначение res.js.
Для скрытого выполнения вредоносного кода применяются различные техники, включая Process Hollowing, а также сложные криптографические схемы шифрования, такие как комбинация AES-256 + PBKDF2 + XOR + Base64.
Эволюция инструментов группировки проявляется в задействовании Meduza Stealer и нового бэкдора ReaverDoor, что может свидетельствовать о подготовке к более масштабным атакам.
Технические подробности атак, инструментария и IoC, как обычно, - в отчете.
ReaverBits действует с конца 2023 года и специализируется на атаках в отношении российских компаний в областях биотехнологий, розничной торговли, агропромышленного комплекса, телекоммуникаций и финсектора.
Особенности группировки - таргетированные атаки исключительно на российский сегмент, активное использование методов спуфинга при проведении фишинговых атак, а также применение стилеров.
С сентября 2024 по январь 2025 года специалисты F6 зафиксировали три разные цепочки заражения с использованием обновленных инструментов - публично реализуемого Meduza Stealer и нехарактерного для группы уникального вредоноса ReaverDoor.
Распространение ВПО проходит под видом легитимных цифровых сертификатов и обновлений.
В сентябре прошлого года исследователи задетектили фишинговые рассылки от имени СК РФ с темой «СК РФ Вызов на допрос».
Они содержали вредоносное вложение в виде PDF-документа, после запуска которого жертве отображалось уведомление о необходимости обновления Adobe Font Package, и ссылка для его загрузки.
При переходе по ссылке загружался исполняемый файл с именем, мимикрирующим под легитимное обновление Adobe Font Package.
Исходный исполняемый файл был классифицирован как загрузчик и содержал код проекта с открытым исходным кодом adbGUI, в который был встроен вредоносный код для загрузки и запуска следующей стадии с финальным аккордом в виде Meduza Stealer.
В январе в поле зрения попалось письмо якобы от МВД РФ тоже с повесткой на допрос.
Внутри письма содержалась ссылка якобы для скачивания документа. Когда жертва переходила по указанной ссылке, сервер проверял язык, установленный в браузере.
Загруженный исполняемый файл основан на .NET и классифицирован как загрузчик, похожий на тот, который был в прошлых рассылках.
Файл основан на легитимном ПО с открытым исходным кодом NBTExplorer, но с добавлением вредоносного кода. Финал тот же - Meduza Stealer.
Помимо этого исследователям удалось выйти на ранее неждокументированный бэкдор, который получил название ReaverDoor.
Проведённый анализ атак показывает, что ReaverBits остаётся приверженной TTPs, применявшимся в предыдущих кампаниях.
Однако злоумышленники продолжают модернизировать методы и расширять арсенал вредоносного ПО, адаптируя его к новым условиям.
В качестве загрузчиков ReaverBits продолжают использовать модифицированные инструменты с открытым исходным кодом, загружающие вредоносные файлы с удалённых серверов.
При этом URI-адреса ресурсов содержат унифицированное обозначение res.js.
Для скрытого выполнения вредоносного кода применяются различные техники, включая Process Hollowing, а также сложные криптографические схемы шифрования, такие как комбинация AES-256 + PBKDF2 + XOR + Base64.
Эволюция инструментов группировки проявляется в задействовании Meduza Stealer и нового бэкдора ReaverDoor, что может свидетельствовать о подготовке к более масштабным атакам.
Технические подробности атак, инструментария и IoC, как обычно, - в отчете.
Хабр
Разбираем змеиные повадки: новые инструменты ReaverBits в атаках на российские компании
Разбираем змеиные повадки: новые инструменты ReaverBits Специалисты Threat Intelligence компании F6 продолжают отслеживать активность группы ReaverBits и разобрали цепочки заражения , применяющиеся...
This media is not supported in your browser
VIEW IN TELEGRAM
- Каковы Ваши действия при обнаружении ransomware в контуре?
-
-
Forwarded from Russian OSINT
Please open Telegram to view this post
VIEW IN TELEGRAM
Исследователи из Лаборатории Касперского раскрывают подробности новой кампании SalmonSlalom, нацеленной на промышленные организации в Азиатско-Тихоокеанском регионе посредством фишинга и FatalRAT.
Особый таргет уделялся госучреждениям и объектам промышленности, в частности, в области обрабатывающей промышленности, строительства, IT, телекоммуникаций, здравоохранения, энергетики, а также логистики и транспорта в Тайване, Малайзии, Китае, Японии, Таиланде, Южной Корее, Сингапуре, на Филиппинах, во Вьетнаме и Гонконге.
Приманки, используемые в электронных письмах, позволяют предположить, что фишинговая кампания направлена на китайскоговорящих пользователей.
Злоумышленники использовали сложную многоступенчатую структуру доставки полезной нагрузки, чтобы обеспечить уклонение от обнаружения, а также легитимную китайскую CDN myqcloud и сервис Youdao Cloud Notes в качестве составной части инфраструктуры атак.
Начальной точкой последней цепочки атак является фишинговое письмо с ZIP-архивом с именем файла на китайском языке, при открытии которого запускается загрузчик первой ступени, который отправляет запрос в Youdao Cloud Notes для получения файла DLL и конфигуратора FatalRAT.
Со своей стороны, модуль конфигуратора загружает содержимое другой заметки с note.youdao[.]com, получая доступ к информации о конфигурации и открывая файл-обманку, чтобы избежать подозрений.
С другой стороны, DLL - это загрузчик второго уровня, который отвечает за загрузку и установку полезной нагрузки FatalRAT с сервера («myqcloud[.]com») из конфигурации, одновременно отображая поддельное сообщение об ошибке, указывающее на проблему при запуске приложения.
Важной отличительной чертой кампании является использование методов боковой загрузки DLL для ускорения многоэтапной последовательности заражения и загрузки вредоносного ПО FatalRAT.
FatalRAT выполняет 17 проверок на предмет наличия индикатора того, что вредоносная ПО выполняется в виртуальной машине или среде песочницы.
Затем завершает все rundll32.exe и собирает информацию о системе и различных решениях безопасности, установленных в ней, прежде чем получать дальнейшие инструкции от C2.
FatalRAT - это многофункциональный троян, способный регистрировать нажатия клавиш, манипулировать памятью, просматривать данные в браузерах, загружать дополнительное ПО, такое как AnyDesk и UltraViewer, выполнять файловые операции, запускать прокси-сервер и завершать процессы.
Функционал FatalRAT дает злоумышленнику практически неограниченные возможности для развития атаки: распространение по сети, установку средств удаленного администрирования, манипулирование устройствами, кражу конфиденциальной информации.
При изучении кода вредоносных артефактов исследователи заметили сходство с рабочими процессами, наблюдавшимися в предыдущих кампаниях, организованных субъектами угроз с использованием Gh0st RAT, SimayRAT, Zegost и FatalRAT.
В настоящее время неизвестно, кто стоит за атаками с использованием FatalRAT. Однако в этой кампаний актор продемонстрировал заметную эволюцию по части TTPs, специально разработанных для китайскоязычных целей.
Особый таргет уделялся госучреждениям и объектам промышленности, в частности, в области обрабатывающей промышленности, строительства, IT, телекоммуникаций, здравоохранения, энергетики, а также логистики и транспорта в Тайване, Малайзии, Китае, Японии, Таиланде, Южной Корее, Сингапуре, на Филиппинах, во Вьетнаме и Гонконге.
Приманки, используемые в электронных письмах, позволяют предположить, что фишинговая кампания направлена на китайскоговорящих пользователей.
Злоумышленники использовали сложную многоступенчатую структуру доставки полезной нагрузки, чтобы обеспечить уклонение от обнаружения, а также легитимную китайскую CDN myqcloud и сервис Youdao Cloud Notes в качестве составной части инфраструктуры атак.
Начальной точкой последней цепочки атак является фишинговое письмо с ZIP-архивом с именем файла на китайском языке, при открытии которого запускается загрузчик первой ступени, который отправляет запрос в Youdao Cloud Notes для получения файла DLL и конфигуратора FatalRAT.
Со своей стороны, модуль конфигуратора загружает содержимое другой заметки с note.youdao[.]com, получая доступ к информации о конфигурации и открывая файл-обманку, чтобы избежать подозрений.
С другой стороны, DLL - это загрузчик второго уровня, который отвечает за загрузку и установку полезной нагрузки FatalRAT с сервера («myqcloud[.]com») из конфигурации, одновременно отображая поддельное сообщение об ошибке, указывающее на проблему при запуске приложения.
Важной отличительной чертой кампании является использование методов боковой загрузки DLL для ускорения многоэтапной последовательности заражения и загрузки вредоносного ПО FatalRAT.
FatalRAT выполняет 17 проверок на предмет наличия индикатора того, что вредоносная ПО выполняется в виртуальной машине или среде песочницы.
Затем завершает все rundll32.exe и собирает информацию о системе и различных решениях безопасности, установленных в ней, прежде чем получать дальнейшие инструкции от C2.
FatalRAT - это многофункциональный троян, способный регистрировать нажатия клавиш, манипулировать памятью, просматривать данные в браузерах, загружать дополнительное ПО, такое как AnyDesk и UltraViewer, выполнять файловые операции, запускать прокси-сервер и завершать процессы.
Функционал FatalRAT дает злоумышленнику практически неограниченные возможности для развития атаки: распространение по сети, установку средств удаленного администрирования, манипулирование устройствами, кражу конфиденциальной информации.
При изучении кода вредоносных артефактов исследователи заметили сходство с рабочими процессами, наблюдавшимися в предыдущих кампаниях, организованных субъектами угроз с использованием Gh0st RAT, SimayRAT, Zegost и FatalRAT.
В настоящее время неизвестно, кто стоит за атаками с использованием FatalRAT. Однако в этой кампаний актор продемонстрировал заметную эволюцию по части TTPs, специально разработанных для китайскоязычных целей.
Kaspersky ICS CERT | Kaspersky Industrial Control Systems Cyber Emergency Response Team
Operation SalmonSlalom | Kaspersky ICS CERT
Kaspersky discovered a new attack targeting industrial organizations in APAC
Dragos выкатила отчет по OT/ICS, в котором отражает аналитику по активным угрозам и основным тенденциям, наблюдавшимся в прошлом году.
В общей сложности компания отслеживает деятельность 23 групп угроз, которые были связаны с атаками на АСУТП за последние годы, и девять из них были активны в 2024 году.
Две из них - недавно замеченные группы. Одна из них получила название Bauxite и связана с Ираном.
Действуя в качестве CyberAv3ngers, Bauxite нацелилась на организации в США, Европе, Австралии и на Ближнем Востоке, включая такие секторы, как энергетика, водоснабжение, продукты питания и напитки, а также химическое производство.
Недавно хакеры были замечены в использовании специально разработанного вредоносного ПО под названием IOCONTROL для атак на устройства Интернета вещей и ОТ в США и Израиле.
Вторая, добавленная в список Dragos, названа Graphite и в основном нацелена на организации, связанные с военным конфликтом на Украине.
Известно, что из девяти групп, участвовавших в компаниях по ОТ в 2024 году, четыре обладают возможностями ICS Cyber Kill Chain Stage 2, что указывает на их возможности по разработке и реализации значимых атак на промышленные системы управления.
Помимо Bauxite, в список групп с возможностями Stage 2 входят: Chernovite (группа, стоящая за атакой - Pipedream/Incontroller), Voltzite (также известная как Volt Typhoon) и Electrum (также известная как Sandworm, которая разработала AcidPour).
Исследователи также отмечают атаки с использованием ransomware на промышленные организации, число которых резко возросло в прошлом году.
Dragos обнаружила 80 групп, нацеленных на промышленные организации, по сравнению с 50 группами в 2023 году, и общее увеличение активности программ-вымогателей на 87% по сравнению с предыдущим годом.
При этом не наблюдала никаких программ-вымогателей, специфичных для АСУТП, однако подобные угрозы все же вызывали сбои в работе и приводили к утечке конфиденциальных данных, которые могли быть использованы для дальнейшей вредоносной деятельности.
В 2024 году были обнаружены два новых вредоносных ПО для АСУТП: Fuxnet - разрушительное вредоносное ПО, используемое Украиной в отношении российской инфраструктуры, и FrostyGoop, из-за которого жители одного из украинскоих городов остались без тепла.
Полный отчет Dragos по кибербезопасности в сфере OT/ICS доступен в PDF.
В общей сложности компания отслеживает деятельность 23 групп угроз, которые были связаны с атаками на АСУТП за последние годы, и девять из них были активны в 2024 году.
Две из них - недавно замеченные группы. Одна из них получила название Bauxite и связана с Ираном.
Действуя в качестве CyberAv3ngers, Bauxite нацелилась на организации в США, Европе, Австралии и на Ближнем Востоке, включая такие секторы, как энергетика, водоснабжение, продукты питания и напитки, а также химическое производство.
Недавно хакеры были замечены в использовании специально разработанного вредоносного ПО под названием IOCONTROL для атак на устройства Интернета вещей и ОТ в США и Израиле.
Вторая, добавленная в список Dragos, названа Graphite и в основном нацелена на организации, связанные с военным конфликтом на Украине.
Известно, что из девяти групп, участвовавших в компаниях по ОТ в 2024 году, четыре обладают возможностями ICS Cyber Kill Chain Stage 2, что указывает на их возможности по разработке и реализации значимых атак на промышленные системы управления.
Помимо Bauxite, в список групп с возможностями Stage 2 входят: Chernovite (группа, стоящая за атакой - Pipedream/Incontroller), Voltzite (также известная как Volt Typhoon) и Electrum (также известная как Sandworm, которая разработала AcidPour).
Исследователи также отмечают атаки с использованием ransomware на промышленные организации, число которых резко возросло в прошлом году.
Dragos обнаружила 80 групп, нацеленных на промышленные организации, по сравнению с 50 группами в 2023 году, и общее увеличение активности программ-вымогателей на 87% по сравнению с предыдущим годом.
При этом не наблюдала никаких программ-вымогателей, специфичных для АСУТП, однако подобные угрозы все же вызывали сбои в работе и приводили к утечке конфиденциальных данных, которые могли быть использованы для дальнейшей вредоносной деятельности.
В 2024 году были обнаружены два новых вредоносных ПО для АСУТП: Fuxnet - разрушительное вредоносное ПО, используемое Украиной в отношении российской инфраструктуры, и FrostyGoop, из-за которого жители одного из украинскоих городов остались без тепла.
Полный отчет Dragos по кибербезопасности в сфере OT/ICS доступен в PDF.
Исследователи Solar сообщают о новой вредоносной кампании китайской APT Erudite Mogwai, которая с 2017 года нацелена на Россию.
В ноябре 2024 года Соларам в ходе анализа атак на российские ИТ-организации из числа господрядчиков удалось задетектить утилиту, которая обладала функциональностью прокси-инструмента.
При расследовании инцидента, следы атаки привели к непокрытому мониторингом сегменту сети заказчика, в котором были обнаружены образцы Stowaway и ShadowPad Light.
Атака на незащищенный сегмент сети началась не позднее марта 2023 года с публично доступных веб-сервисов, а в ноябре 2024 года атакующие попытались развить ее и захватить новые сегменты сети, но были к тому времени уже обнаружены.
В процессе анализа стало понятно, что замеченный Stowaway - кастомизированная версия общедоступного многоуровневого прокси-инструмента от китайских разработчиков, написанного на Go и предназначенного для пентестеров.
Интересной особенностью упомянутых семплов является то, что по сравнению с оригинальной утилитой, часть функциональности из них удалена, а оставшаяся - модифицирована.
Злоумышленники адаптировали Stowaway для своих целей, фактически создав свой собственный форк утилиты.
Утилита Stowaway используется в качестве средства проксирования трафика.
В целях обфускации с каждой итерацией изменяется структура протокола, добавляются новые возможности.
Последняя известная на данный момент версия использует LZ4 в качестве алгоритма сжатия, шифрование с помощью XXTEA.
Также злоумышленниками добавлена поддержка протокола QUIC.
В сочетании с другими инструментами, включая ShadowPad Light aka Deed RAT, эта утилита задействуется APT, которую Солары называют Erudite Mogwai, а Позитивы - Space Pirates.
Как отмечают исследователи, наименование Erudite Mogway - неслучайно.
В их модификациях утилиты Stowaway можно встретить отсылки к известным литературным произведениям, а также историческим событиям.
Ранее семейство этого вредоносного ПО упоминалось в отчете ПТ, где приводились хэши пяти известных образцов Stowaway.
С тех пор Соларам удалось выявить еще четыре новых экземпляра.
Характерные черты группировки и подробный технический анализ линейки всех версий Stowaway - в отчете.
В ноябре 2024 года Соларам в ходе анализа атак на российские ИТ-организации из числа господрядчиков удалось задетектить утилиту, которая обладала функциональностью прокси-инструмента.
При расследовании инцидента, следы атаки привели к непокрытому мониторингом сегменту сети заказчика, в котором были обнаружены образцы Stowaway и ShadowPad Light.
Атака на незащищенный сегмент сети началась не позднее марта 2023 года с публично доступных веб-сервисов, а в ноябре 2024 года атакующие попытались развить ее и захватить новые сегменты сети, но были к тому времени уже обнаружены.
В процессе анализа стало понятно, что замеченный Stowaway - кастомизированная версия общедоступного многоуровневого прокси-инструмента от китайских разработчиков, написанного на Go и предназначенного для пентестеров.
Интересной особенностью упомянутых семплов является то, что по сравнению с оригинальной утилитой, часть функциональности из них удалена, а оставшаяся - модифицирована.
Злоумышленники адаптировали Stowaway для своих целей, фактически создав свой собственный форк утилиты.
Утилита Stowaway используется в качестве средства проксирования трафика.
В целях обфускации с каждой итерацией изменяется структура протокола, добавляются новые возможности.
Последняя известная на данный момент версия использует LZ4 в качестве алгоритма сжатия, шифрование с помощью XXTEA.
Также злоумышленниками добавлена поддержка протокола QUIC.
В сочетании с другими инструментами, включая ShadowPad Light aka Deed RAT, эта утилита задействуется APT, которую Солары называют Erudite Mogwai, а Позитивы - Space Pirates.
Как отмечают исследователи, наименование Erudite Mogway - неслучайно.
В их модификациях утилиты Stowaway можно встретить отсылки к известным литературным произведениям, а также историческим событиям.
Ранее семейство этого вредоносного ПО упоминалось в отчете ПТ, где приводились хэши пяти известных образцов Stowaway.
С тех пор Соларам удалось выявить еще четыре новых экземпляра.
Характерные черты группировки и подробный технический анализ линейки всех версий Stowaway - в отчете.
rt-solar.ru
Erudite Mogwai использует кастомный Stowaway для скрытного продвижения в сети
Узнайте, как группировка Erudite Mogwai адаптирует утилиту Stowaway для скрытного продвижения в сетях. Статья описывает модификации инструмента и его использование в кибератаках на российские ИТ-организации. Подробности об эволюции версий и методах злоумышленников
Исследователи Unit 42 из Palo Alto Networks рапортуют об интересной находке, раскрывая ранее недокументированный Linux-бэкдор Auto-Color, который в конце 2024 года использовался в атаках на университеты и госсектор в Северной Америке и Азии.
По данным исследователей, вредоносное ПО крайне неуловимо, его трудно удалить из зараженных систем, при этом обладает способностью сохранять доступ в течение длительного времени.
Вредоносная ПО имеет некоторое сходство с семейством Symbiote Linux, которое впервые было задокументировано BlackBerry в 2022 году, но в целом программы различаются друг от друга.
У исследователей нет информации о первоначальном векторе заражения, но атака начинается с запуска файла с безобидными наименованиями типа door, egg и log.
В случае если вредоносная ПО запускается с привилегиями root, она устанавливает вредоносный библиотечный имплант (libcext.so.2), замаскированный под легитимную библиотеку libcext.so.0.
Затем копирует себя в системный каталог (/var/log/cross/auto-color) и изменяет «/etc/ld.preload», чтобы обеспечить выполнение импланта до любой другой системной библиотеки.
Если root-доступ недоступен, вредоносная ПО все равно выполняется, но пропускает постоянные механизмы.
Хотя это ограничивает долгосрочность ее воздействия, она все равно реализует удаленный доступ актору, который может получить root-доступ другими способами.
Auto-Color расшифровывает информацию C2, используя специальный алгоритм, и проверяет обмен с помощью случайного 16-байтового значения.
Для сокрытия адресов C2-серверов, данных конфигурации и сетевого трафика используется пользовательское шифрование, при этом ключ динамически меняется при каждом запросе, что затрудняет обнаружение.
После установления соединения C2 отдать команды Auto-Color на выполнение: запуска обратной оболочки (предоставляя операторам полный удаленный доступ), произвольных команды в системе, файловых операций, прокси и динамического изменения конфигурации.
Auto-Color также имеет функции, подобные руткитам, такие как подключение функций libc для перехвата системных вызовов, которые он использует для скрытия соединений C2 путем изменения файла /proc/net/tcp.
По данным Unit 42, в Auto-Color также имеется встроенная функция аварийного отключения, которая позволяет злоумышленникам немедленно зачистить следы заражения со взломанных машин, чтобы затруднить криминалистический анализ.
Учитывая скрытность, модульную конструкцию и возможности удаленного управления, Auto-Color представляет достаточно серьезную угрозу для систем Linux.
Исследователи рекомендуют отслеживать изменения в «/etc/ld.preload», который является ключевым механизмом сохранения, проверять «/proc/net/tcp» на предмет аномалий выходных данных и использовать решения по обнаружению угроз на основе поведения.
Кроме того, в отчете представлены IoC, поэтому проверка системных журналов и сетевого трафика на предмет подключений к перечисленным IP-адресам C2 также имеет ключевое значение.
По данным исследователей, вредоносное ПО крайне неуловимо, его трудно удалить из зараженных систем, при этом обладает способностью сохранять доступ в течение длительного времени.
Вредоносная ПО имеет некоторое сходство с семейством Symbiote Linux, которое впервые было задокументировано BlackBerry в 2022 году, но в целом программы различаются друг от друга.
У исследователей нет информации о первоначальном векторе заражения, но атака начинается с запуска файла с безобидными наименованиями типа door, egg и log.
В случае если вредоносная ПО запускается с привилегиями root, она устанавливает вредоносный библиотечный имплант (libcext.so.2), замаскированный под легитимную библиотеку libcext.so.0.
Затем копирует себя в системный каталог (/var/log/cross/auto-color) и изменяет «/etc/ld.preload», чтобы обеспечить выполнение импланта до любой другой системной библиотеки.
Если root-доступ недоступен, вредоносная ПО все равно выполняется, но пропускает постоянные механизмы.
Хотя это ограничивает долгосрочность ее воздействия, она все равно реализует удаленный доступ актору, который может получить root-доступ другими способами.
Auto-Color расшифровывает информацию C2, используя специальный алгоритм, и проверяет обмен с помощью случайного 16-байтового значения.
Для сокрытия адресов C2-серверов, данных конфигурации и сетевого трафика используется пользовательское шифрование, при этом ключ динамически меняется при каждом запросе, что затрудняет обнаружение.
После установления соединения C2 отдать команды Auto-Color на выполнение: запуска обратной оболочки (предоставляя операторам полный удаленный доступ), произвольных команды в системе, файловых операций, прокси и динамического изменения конфигурации.
Auto-Color также имеет функции, подобные руткитам, такие как подключение функций libc для перехвата системных вызовов, которые он использует для скрытия соединений C2 путем изменения файла /proc/net/tcp.
По данным Unit 42, в Auto-Color также имеется встроенная функция аварийного отключения, которая позволяет злоумышленникам немедленно зачистить следы заражения со взломанных машин, чтобы затруднить криминалистический анализ.
Учитывая скрытность, модульную конструкцию и возможности удаленного управления, Auto-Color представляет достаточно серьезную угрозу для систем Linux.
Исследователи рекомендуют отслеживать изменения в «/etc/ld.preload», который является ключевым механизмом сохранения, проверять «/proc/net/tcp» на предмет аномалий выходных данных и использовать решения по обнаружению угроз на основе поведения.
Кроме того, в отчете представлены IoC, поэтому проверка системных журналов и сетевого трафика на предмет подключений к перечисленным IP-адресам C2 также имеет ключевое значение.
Unit 42
Auto-Color: An Emerging and Evasive Linux Backdoor
The new Linux malware named Auto-color uses advanced evasion tactics. Discovered by Unit 42, this article cover its installation, evasion features and more. The new Linux malware named Auto-color uses advanced evasion tactics. Discovered by Unit 42, this…
Исследователи Hunt.io выявили обновленную версию импланта LightSpy, которая теперь поддерживает более чем 100 команд и оснащена расширенным набором функций для извлечения информации из соцсетей, включая Facebook и Instagram.
Как ранее уже упоминалось, LightSpy - это модульное шпионское ПО, способное заражать как системы Windows, macOS, Linux с целью сбора данных.
Впервые было задокументировано в 2020 году и было нацелено на пользователей в Гонконге.
Основной функционал включает нацеливание на информацию о сети Wi-Fi, снимки экрана, геолокацию, iCloud Keychain, звукозаписи, фотографии, история браузера, контакты, историю вызовов и SMS, а также данные из различных приложений, в том числе LINE, Mail Master, Telegram, Tencent QQ, WeChat и WhatsApp.
В конце прошлого года ThreatFabric представила обновленную версию вредоносного ПО, которая поддерживала различные деструктивные функции и увеличенное с 12 до 28 число поддерживаемых плагинов.
Предыдущие отчеты также указывали на потенциальное сходство между LightSpy и вредоносным ПО для Android под названием DragonEgg, подчеркивая кроссплатформенный характер угрозы.
Последний анализ инфраструктуры C2, связанный со шпионским ПО, проведенный Hunt.io, показывает поддержку более 100 команд, охватывающих Android, iOS, Windows, macOS, маршрутизаторы и Linux.
Новый список команд смещает акцент с прямого сбора данных на более широкий оперативный контроль, включая управление передачей («传输控制») и отслеживание версий плагинов («上传插件版本详细信息»).
Новые дополнения предполагают более гибкую и адаптируемую структуру, позволяющую операторам LightSpy более эффективно управлять развертываниями на нескольких платформах.
Среди новых команд стоит отметить возможность нацеливаться на файлы баз данных приложений Facebook и Instagram для извлечения данных с устройств Android.
Но примечательно, что злоумышленники удалили плагины iOS, связанные с деструктивными действиями на хосте жертвы.
Также обнаружено 15 специфичных для Windows плагинов, предназначенных для контроля над системой и сбора данных, большинство из которых ориентированы на фиксацию нажатий клавиш, аудиозапись и взаимодействие с USB.
Исследователи заявили, что также обнаружили конечную точку ("/phone/phoneinfo") в панели администратора, которая предоставляет вошедшим в систему пользователям возможность удаленного управления зараженными мобильными устройствами.
В настоящее время неизвестно, представляют ли они собой новые разработки или ранее недокументированные старые версии.
Переход от таргетинга на приложения для обмена сообщениями к Facebook и Instagram расширяет возможности LightSpy по перехвату переписки, контактов и метаданных аккаунтов с широко используемых социальных платформ, открывая широкие возможности для дальнейшей эксплуатации.
Как ранее уже упоминалось, LightSpy - это модульное шпионское ПО, способное заражать как системы Windows, macOS, Linux с целью сбора данных.
Впервые было задокументировано в 2020 году и было нацелено на пользователей в Гонконге.
Основной функционал включает нацеливание на информацию о сети Wi-Fi, снимки экрана, геолокацию, iCloud Keychain, звукозаписи, фотографии, история браузера, контакты, историю вызовов и SMS, а также данные из различных приложений, в том числе LINE, Mail Master, Telegram, Tencent QQ, WeChat и WhatsApp.
В конце прошлого года ThreatFabric представила обновленную версию вредоносного ПО, которая поддерживала различные деструктивные функции и увеличенное с 12 до 28 число поддерживаемых плагинов.
Предыдущие отчеты также указывали на потенциальное сходство между LightSpy и вредоносным ПО для Android под названием DragonEgg, подчеркивая кроссплатформенный характер угрозы.
Последний анализ инфраструктуры C2, связанный со шпионским ПО, проведенный Hunt.io, показывает поддержку более 100 команд, охватывающих Android, iOS, Windows, macOS, маршрутизаторы и Linux.
Новый список команд смещает акцент с прямого сбора данных на более широкий оперативный контроль, включая управление передачей («传输控制») и отслеживание версий плагинов («上传插件版本详细信息»).
Новые дополнения предполагают более гибкую и адаптируемую структуру, позволяющую операторам LightSpy более эффективно управлять развертываниями на нескольких платформах.
Среди новых команд стоит отметить возможность нацеливаться на файлы баз данных приложений Facebook и Instagram для извлечения данных с устройств Android.
Но примечательно, что злоумышленники удалили плагины iOS, связанные с деструктивными действиями на хосте жертвы.
Также обнаружено 15 специфичных для Windows плагинов, предназначенных для контроля над системой и сбора данных, большинство из которых ориентированы на фиксацию нажатий клавиш, аудиозапись и взаимодействие с USB.
Исследователи заявили, что также обнаружили конечную точку ("/phone/phoneinfo") в панели администратора, которая предоставляет вошедшим в систему пользователям возможность удаленного управления зараженными мобильными устройствами.
В настоящее время неизвестно, представляют ли они собой новые разработки или ранее недокументированные старые версии.
Переход от таргетинга на приложения для обмена сообщениями к Facebook и Instagram расширяет возможности LightSpy по перехвату переписки, контактов и метаданных аккаунтов с широко используемых социальных платформ, открывая широкие возможности для дальнейшей эксплуатации.
hunt.io
LightSpy Malware Now Targets Facebook & Instagram Data
A new LightSpy server expands its attack scope, targeting Facebook and Instagram database files. Explore its evolving capabilities and infrastructure.
ФБР США официально связало рекордный взлом Bybit на сумму в 1,5 млрд. долл. с северокорейскими хакерами, приписав инцидент конкретному кластеру, который отслеживается как TraderTraitor (Jade Sleet, Slow Pisces и UNC4899).
Как отметили в ведомстве, злоумышленники TraderTraitor действоввали быстро и успели конвертировать часть украденных активов в биткоины и другие криптоактивы, распределенные по тысячам адресов на нескольких блокчейнах.
Ожидается, что они будут отмыты и в конечном итоге конвертированы в фиатную валюту.
Ранее TraderTraitor была замечена в краже криптовалюты на сумму 308 млн. долл. у криптокомпании DMM Bitcoin в мае 2024 года.
В свою очередь, ByBit объявила войну Lazarus, запустив программу вознаграждений для возвращения украденных средств, одновременно критикуя eXch за отказ сотрудничать в расследовании и блокировке активов.
К настоящему времени заморожено только 3% ($42 млн) украденной криптовалюты. Почти $95 млн в настоящее время отмечены в состоянии ожидания.
Bybit уже выплатила более $4 млн в качестве вознаграждений тем, кто помог отследить и заморозить средства.
Кампания также поделилась выводами предварительного расследования, к проведению которого привлекли Sygnia и Verichains, которые связывают взлом с Lazarus Group.
Криминалистическое изучение хостов трех подписантов показывает, что основной базой для атаки стал вредоносный код, исходящий из инфраструктуры Safe{Wallet}.
Признаков того, что собственная инфраструктура Bybit была скомпрометирована, не получено.
Verichains отметили, что файл JavaScript app.safe.global, по-видимому, был заменен вредоносным кодом 19 февраля в 15:29:25 UTC, специально нацеленным на холодный кошелек Ethereum Multisig от Bybit.
При этом он был разработан для активации во время следующей транзакции, которая произошла 21 февраля, приводя к манипуляции содержимым во время процесса подписания.
Затем злоумышленники быстро удалили вредоносный код из JavaScript-файла Safe{Wallet}.
Представители Safe{Wallet} заявили, что атака была осуществлена путем компрометации машины разработчика, что привело к атаке на цепочку поставок ПО.
На данный момент неясно, каким образом была взломана система разработчика, но ее смарт-контракты не затронуты, как и исходный код интерфейса и сервисов.
Вскрылась другая интересная деталь: анализ Silent Push показал, что Lazarus Group зарегистрировала домен bybit-assessment[.]com в 22:21:57 20 февраля 2025 года, за несколько часов до кражи криптовалюты.
Записи WHOIS показывают, что домен был зарегистрирован с использованием адреса trevorgreer9312@gmail[.]com, который ранее был связан с Lazarus Group в связи с другой кампанией под названием Contagious Interview.
Будем продолжать следить.
Как отметили в ведомстве, злоумышленники TraderTraitor действоввали быстро и успели конвертировать часть украденных активов в биткоины и другие криптоактивы, распределенные по тысячам адресов на нескольких блокчейнах.
Ожидается, что они будут отмыты и в конечном итоге конвертированы в фиатную валюту.
Ранее TraderTraitor была замечена в краже криптовалюты на сумму 308 млн. долл. у криптокомпании DMM Bitcoin в мае 2024 года.
В свою очередь, ByBit объявила войну Lazarus, запустив программу вознаграждений для возвращения украденных средств, одновременно критикуя eXch за отказ сотрудничать в расследовании и блокировке активов.
К настоящему времени заморожено только 3% ($42 млн) украденной криптовалюты. Почти $95 млн в настоящее время отмечены в состоянии ожидания.
Bybit уже выплатила более $4 млн в качестве вознаграждений тем, кто помог отследить и заморозить средства.
Кампания также поделилась выводами предварительного расследования, к проведению которого привлекли Sygnia и Verichains, которые связывают взлом с Lazarus Group.
Криминалистическое изучение хостов трех подписантов показывает, что основной базой для атаки стал вредоносный код, исходящий из инфраструктуры Safe{Wallet}.
Признаков того, что собственная инфраструктура Bybit была скомпрометирована, не получено.
Verichains отметили, что файл JavaScript app.safe.global, по-видимому, был заменен вредоносным кодом 19 февраля в 15:29:25 UTC, специально нацеленным на холодный кошелек Ethereum Multisig от Bybit.
При этом он был разработан для активации во время следующей транзакции, которая произошла 21 февраля, приводя к манипуляции содержимым во время процесса подписания.
Затем злоумышленники быстро удалили вредоносный код из JavaScript-файла Safe{Wallet}.
Представители Safe{Wallet} заявили, что атака была осуществлена путем компрометации машины разработчика, что привело к атаке на цепочку поставок ПО.
На данный момент неясно, каким образом была взломана система разработчика, но ее смарт-контракты не затронуты, как и исходный код интерфейса и сервисов.
Вскрылась другая интересная деталь: анализ Silent Push показал, что Lazarus Group зарегистрировала домен bybit-assessment[.]com в 22:21:57 20 февраля 2025 года, за несколько часов до кражи криптовалюты.
Записи WHOIS показывают, что домен был зарегистрирован с использованием адреса trevorgreer9312@gmail[.]com, который ранее был связан с Lazarus Group в связи с другой кампанией под названием Contagious Interview.
Будем продолжать следить.
X (formerly Twitter)
Ben Zhou (@benbybit) on X
Bybit Hack Forensics Report
As promised, here are the preliminary reports of the hack conducted by @sygnia_labs and @Verichains
Screenshotted the conclusion and here is the link to the full report: https://t.co/3hcqkXLN5U
As promised, here are the preliminary reports of the hack conducted by @sygnia_labs and @Verichains
Screenshotted the conclusion and here is the link to the full report: https://t.co/3hcqkXLN5U
Исследователи Kela сообщают о новой банде вымогателей Anubis, работающей в формате RaaS, но с более широким портфелем услуг для операторов.
Банда образовалась в конце 2024 года и включает опытных в теме ransomware участников.
Как и большинство других современных групп, Anubis практикует двойное вымогательство, но в более современных форматах партнерских программ, анонсированных на RAMP.
Среди них - Anubis Ransomware, Anubis Data Ransom и Access Monetization.
Первый вариант - классическое вымогательство, предлагающее оператору до 80% от полученного выкупа. Вредоносное ПО написано на ChaCha+ECIES, нацелено на среды Windows, Linux, NAS и ESXi x64/x32 и может управляться через веб-портал.
Второй вариант, Data Ransom предоставляет оператору возможность реализовать монетизацию уже украденных данных, которые должны отвечать требованиям эксклюзивности и быть украденными в течение последних шести месяцев.
Anubis предлагает услуги по переговорам для получения выкупа, оказание давления на жертв, включая информирование контрагентов компаний и клиентов, а также публикации в X. В такой схеме доход оператора составляет 60%.
По Access Monetization брокерам доступа выплачивается до 50% от последующего дохода. Доступ относится к целям в США, Европе, Канаде или Австралии, при этом жертва не должна быть атакована другими бандами вымогателей в течение предшествующего года.
Для всех вариантов сотрудничества Anubis установлен запрет работать по странам СНГ.
Anubis также админит свой собственный DLS, на котором к настоящему времени размещаются только три жертвы из США, Австралии и Перу.
Четвертая анонсирована и пока не раскрыта, была добавлена 25 февраля 2025 года. Причем две из трех упомянутых относятся к сфере здравоохранения.
Первой из них является австралийская медицинская фирма Pound Road Medical Centre (PRMC), которая 13 ноября 2024 года официально подтвердила киберинцидент, связанный с кражей данных пациентов.
Однако использование ransomware не упоминается.
По всей видимости, текущие кампании Anubis могут быть сосредоточены на вымогательстве данных, а не на традиционных программах-вымогателях с шифрованием файлов.
Как отмечают в Kela, появление на рынке ransomware нового игрока с новыми условиями RaaS говорит о том, что вымогательство, основанное исключительно на эксфильтрации данных, становится все более распространенной практикой, а Anubis успевает занять нишу.
Тем не менее, отходить от традиционной модели с шифрованием Anubis не планирует, предлагая целый список возможностей шифрования вируса-вымогателя.
В свою очередь, аналитики F6 считают, что Anubis – это усовершенствованная версия партнёрской RaaS-программы InvaderX.
Используется одна и та же схема шифрования – ECIES (алгоритм шифрования на основе эллиптических кривых), которая встречается редко.
Другое совпадение – запрет для партнёров атаковать страны БРИКС, это тоже редкость.
Кроме того, InvaderX перестал обновлять информацию о партнерском сервисе с ноября 2024 года и не активен на форумах как минимум с января 2025-го.
Причем представитель Anubis с псевдонимом superSonic зарегистрирован на форуме полгода назад, а сообщение по Anubis стало для него первым.
Как полагают исследователи, еще следует понаблюдать за новой группой, но замеченная всего за пару месяцев активность указывает на то, что Anubis и создаваемая сеть операторов могут стать серьезной угрозой в течение 2025 года.
В общем, будем посмотреть.
Банда образовалась в конце 2024 года и включает опытных в теме ransomware участников.
Как и большинство других современных групп, Anubis практикует двойное вымогательство, но в более современных форматах партнерских программ, анонсированных на RAMP.
Среди них - Anubis Ransomware, Anubis Data Ransom и Access Monetization.
Первый вариант - классическое вымогательство, предлагающее оператору до 80% от полученного выкупа. Вредоносное ПО написано на ChaCha+ECIES, нацелено на среды Windows, Linux, NAS и ESXi x64/x32 и может управляться через веб-портал.
Второй вариант, Data Ransom предоставляет оператору возможность реализовать монетизацию уже украденных данных, которые должны отвечать требованиям эксклюзивности и быть украденными в течение последних шести месяцев.
Anubis предлагает услуги по переговорам для получения выкупа, оказание давления на жертв, включая информирование контрагентов компаний и клиентов, а также публикации в X. В такой схеме доход оператора составляет 60%.
По Access Monetization брокерам доступа выплачивается до 50% от последующего дохода. Доступ относится к целям в США, Европе, Канаде или Австралии, при этом жертва не должна быть атакована другими бандами вымогателей в течение предшествующего года.
Для всех вариантов сотрудничества Anubis установлен запрет работать по странам СНГ.
Anubis также админит свой собственный DLS, на котором к настоящему времени размещаются только три жертвы из США, Австралии и Перу.
Четвертая анонсирована и пока не раскрыта, была добавлена 25 февраля 2025 года. Причем две из трех упомянутых относятся к сфере здравоохранения.
Первой из них является австралийская медицинская фирма Pound Road Medical Centre (PRMC), которая 13 ноября 2024 года официально подтвердила киберинцидент, связанный с кражей данных пациентов.
Однако использование ransomware не упоминается.
По всей видимости, текущие кампании Anubis могут быть сосредоточены на вымогательстве данных, а не на традиционных программах-вымогателях с шифрованием файлов.
Как отмечают в Kela, появление на рынке ransomware нового игрока с новыми условиями RaaS говорит о том, что вымогательство, основанное исключительно на эксфильтрации данных, становится все более распространенной практикой, а Anubis успевает занять нишу.
Тем не менее, отходить от традиционной модели с шифрованием Anubis не планирует, предлагая целый список возможностей шифрования вируса-вымогателя.
В свою очередь, аналитики F6 считают, что Anubis – это усовершенствованная версия партнёрской RaaS-программы InvaderX.
Используется одна и та же схема шифрования – ECIES (алгоритм шифрования на основе эллиптических кривых), которая встречается редко.
Другое совпадение – запрет для партнёров атаковать страны БРИКС, это тоже редкость.
Кроме того, InvaderX перестал обновлять информацию о партнерском сервисе с ноября 2024 года и не активен на форумах как минимум с января 2025-го.
Причем представитель Anubis с псевдонимом superSonic зарегистрирован на форуме полгода назад, а сообщение по Anubis стало для него первым.
Как полагают исследователи, еще следует понаблюдать за новой группой, но замеченная всего за пару месяцев активность указывает на то, что Anubis и создаваемая сеть операторов могут стать серьезной угрозой в течение 2025 года.
В общем, будем посмотреть.
KELA Cyber Threat Intelligence
Anubis: A New Ransomware Threat
Recently, a new ransomware group, dubbed Anubis, emerged. KELA has observed representatives of Anubis on both RAMP (using the moniker ‘superSonic’) and XSS (using the moniker ‘Anubis__media’). Read more in our blog.
Исследователи Apiiro предупреждают о негативной тенденции, связанной с серьезными рисками, возникающими в связи с задействованием ИИ для написания кода.
В современных условиях разработчики ПО все чаще обращаются к ИИ, генерируя взрывной рост объемов кода, безопасность которого зачастую вызывает вопросы.
Все это создает для предприятий серьезные риски в виду ошибок в коде при отсутствии ресурсов для их устранения.
Так, согласно данные опроса Stack Overflow, в 2024 году более 80% разработчиков по всему миру сообщали о задействовании инструментов генеративного ИИ в своей работе.
В свою очередь, Apiiro обнаружила значительные пробелы в безопасности такого кода после глубокого анализа миллионов строк в решениях нескольких десятков предприятий в сфере финансовых услуг, промышленного производства и технологий.
Исследователи отмечают 3-х кратный рост числа хранилищ, содержащих персональные данные (PII) и платежные данные, 10-ти кратный рост числа API, в которых отсутствует авторизация и проверка входных данных, а также растущее число уязвимых конечных точек API.
Помимо ошибок кодирования, допущенных genAI, проблема усугубляется огромным числом разработчиков, внедривших инструменты ИИ с момента запуска ChatGPT от OpenAI в ноябре 2022 года.
Ссылаясь на отчет Microsoft, исследователи фиксируют в настоящее время GitHub Copilot используют более чем вдвое больше пользователей с момента его запуска в октябре 2021 года.
Появление помощников по написанию кода GenAI, таких как GitHub Copilot, значительно увеличило скорость его создания.
Данные Apiiro показывают, что с третьего квартала 2022 года количество запросов на извлечение (PR) выросло на 70%, что значительно превышает 30%-ный рост числа репозиториев и 20%-ный разработчиков.
Исследователи резюмируют, что в связи с бурной генерацией кода с использованием ИИ традиционные ручные процессы проверки безопасности и управления рисками, которые в настоящее время используются большинством предприятий, не соответствуют новому ландшафту ИИ.
В современных условиях разработчики ПО все чаще обращаются к ИИ, генерируя взрывной рост объемов кода, безопасность которого зачастую вызывает вопросы.
Все это создает для предприятий серьезные риски в виду ошибок в коде при отсутствии ресурсов для их устранения.
Так, согласно данные опроса Stack Overflow, в 2024 году более 80% разработчиков по всему миру сообщали о задействовании инструментов генеративного ИИ в своей работе.
В свою очередь, Apiiro обнаружила значительные пробелы в безопасности такого кода после глубокого анализа миллионов строк в решениях нескольких десятков предприятий в сфере финансовых услуг, промышленного производства и технологий.
Исследователи отмечают 3-х кратный рост числа хранилищ, содержащих персональные данные (PII) и платежные данные, 10-ти кратный рост числа API, в которых отсутствует авторизация и проверка входных данных, а также растущее число уязвимых конечных точек API.
Помимо ошибок кодирования, допущенных genAI, проблема усугубляется огромным числом разработчиков, внедривших инструменты ИИ с момента запуска ChatGPT от OpenAI в ноябре 2022 года.
Ссылаясь на отчет Microsoft, исследователи фиксируют в настоящее время GitHub Copilot используют более чем вдвое больше пользователей с момента его запуска в октябре 2021 года.
Появление помощников по написанию кода GenAI, таких как GitHub Copilot, значительно увеличило скорость его создания.
Данные Apiiro показывают, что с третьего квартала 2022 года количество запросов на извлечение (PR) выросло на 70%, что значительно превышает 30%-ный рост числа репозиториев и 20%-ный разработчиков.
Исследователи резюмируют, что в связи с бурной генерацией кода с использованием ИИ традиционные ручные процессы проверки безопасности и управления рисками, которые в настоящее время используются большинством предприятий, не соответствуют новому ландшафту ИИ.
Apiiro | Deep Application Security Posture Management (ASPM)
Faster code, greater risks: The security trade-off of AI-driven development
AI code assistants boost development speed but amplify security risks. Learn the latest trends and insights. Read more.
Исследователи из Лаборатории Касперского - вновь с новым отчетом, на этот раз с аналитикой по эксплойтам и уязвимостям за 4 квартал 2024 года.
Не вдаваясь детально в статистику, выделим основные моменты.
Общее количество уязвимостей, которое было зарегистрировано в четвертом квартале 2024 года, продолжает расти по сравнению с 2023 годом, в том числе и доля уязвимостей, которые получили отметку Critical.
По сравнению с предыдущими кварталами прошлого года четвертый можно назвать относительно «спокойным» с точки зрения числа опубликованных эксплойтов для Windows и Linux.
Показатель количества опубликованных эксплойтов для уязвимостей остановился близко к отметке 6%.
Сохраняется тенденция к росту количества зарегистрированных уязвимостей, однако общее количество Proof of Concept оказалось меньше, чем в 2023 году.
Список распространенных в APT-атаках уязвимостей демонстрирует изменения в ПО, используемом злоумышленниками.
В десятку самых часто эксплуатируемых типов ПО вернулись приложения Microsoft Office, уязвимости в которых не так активно использовались годом ранее. Кроме того, в список впервые вошли уязвимости для PAN-OS.
Помимо этого, среди уязвимых приложений снова оказались системы удаленного доступа и корпоративные решения для обработки данных.
Из примечательных техник в четвертом квартале злоумышленники использовали недокументированные интерфейсы RPC и проводили атаки на механизм аутентификации Windows.
Инфографика, статистические показатели и разбор наиболее интересных CVE - в отчете.
Не вдаваясь детально в статистику, выделим основные моменты.
Общее количество уязвимостей, которое было зарегистрировано в четвертом квартале 2024 года, продолжает расти по сравнению с 2023 годом, в том числе и доля уязвимостей, которые получили отметку Critical.
По сравнению с предыдущими кварталами прошлого года четвертый можно назвать относительно «спокойным» с точки зрения числа опубликованных эксплойтов для Windows и Linux.
Показатель количества опубликованных эксплойтов для уязвимостей остановился близко к отметке 6%.
Сохраняется тенденция к росту количества зарегистрированных уязвимостей, однако общее количество Proof of Concept оказалось меньше, чем в 2023 году.
Список распространенных в APT-атаках уязвимостей демонстрирует изменения в ПО, используемом злоумышленниками.
В десятку самых часто эксплуатируемых типов ПО вернулись приложения Microsoft Office, уязвимости в которых не так активно использовались годом ранее. Кроме того, в список впервые вошли уязвимости для PAN-OS.
Помимо этого, среди уязвимых приложений снова оказались системы удаленного доступа и корпоративные решения для обработки данных.
Из примечательных техник в четвертом квартале злоумышленники использовали недокументированные интерфейсы RPC и проводили атаки на механизм аутентификации Windows.
Инфографика, статистические показатели и разбор наиболее интересных CVE - в отчете.
securelist.ru
Анализ ландшафта уязвимостей в четвертом квартале 2024 года
Отчет содержит статистику по уязвимостям и эксплойтам, а также рассказывает о наиболее популярных уязвимостях, которые были использованы злоумышленниками в четвертом квартале 2024 года.
Forwarded from Social Engineering
• Держите ссылки на очень объемный и полезный репозиторий, который включает в себя топ отчеты HackerOne. Репо постоянно поддерживают в актуальном состоянии, что поможет вам узнать много нового и полезного (варианты эксплуатации различных уязвимостей, векторы атак и т.д.).
• Tops 100:
• Tops by bug type:
• Tops by program:
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
QiAnXin обнаружила новый вариант ботнета Vo1d IoT, который теперь охватывает до 1 590 299 зараженных устройств Android TV в 226 странах, реализуя поддержку сетей анонимных прокси.
Исследователи отслеживают новую кампанию с ноября прошлого года и отмечают, что ботнет достиг пика 14 января 2025 года, насчитывая в настоящее время более 800 000 активных ботов.
Впервые ботнет Vo1d был обнаружен в прошлом году исследователями Dr.Web на более чем 1,3 миллиона устройств в 200 странах, зараженных вредоносным ПО Vo1d через неизвестный вектор заражения.
Новая версия Vo1d реализует деятельность в более крупных масштабах и оснащена усовершенствованным шифрованием (RSA + настраиваемый XXTEA), устойчивой инфраструктурой на базе DGA и улучшенными возможностями скрытности.
Ботнет Vo1d можно считать одним из крупнейших за последние годы, который превзошел Bigpanzi, оригинальный Mirai, а также ботнет, который задействовался в рекордной DDoS-атаке мощностью 5,6 Тбит/с в отношении Cloudflare.
Причем трафик на инфраструктуре ботнета настолько огромен, что десять его серверов С2 вошли в топ самых популярных веб-сайтов в Интернете по версии Tranco.
Масштаб инфраструктуры C2 также впечатляет: используются 32 исходных значения алгоритма генерации доменов (DGA) для создания более 21 000 доменов C2.
Коммуникации C2 защищены 2048-битным ключом RSA, поэтому даже если исследователи определят и зарегистрируют домен C2, они не смогут отдавать команды ботам.
По состоянию на февраль 2025 года почти 25% заражений приходится на пользователей из Бразилии, за которой следуют устройства в Южной Африке (13,6%), Индонезии (10,5%), Аргентине (5,3%), Таиланде (3,4%) и Китае (3,1%).
Исследователи также отмечают заметный всплеск заражений: например, всего за три дня число ботов в Индии увеличилось с 3900 до 217 000.
Как отмечают исследователи, Vo1d - это многоцелевой инструмент для киберпреступников, который превращает взломанные устройства в прокси-серверы для ретрансляции и сокрытия вредоносного трафика. Еще одна главная функция - мошенничество с рекламой.
Вредоносная ПО имеет специальные плагины, которые автоматизируют рекламное взаимодействие, имитируя поведение пользователя при веб-серфинге, а также Mzmess SDK, распределяющий мошеннические задачи между различными ботами.
Учитывая, что цепочка заражения остается неизвестной, пользователям Android TV рекомендуется придерживаться комплексного подхода к безопасности для снижения угрозы Vo1d, изолируя их от ценных устройств, хранящих конфиденциальные данные на сетевом уровне.
Исследователи отслеживают новую кампанию с ноября прошлого года и отмечают, что ботнет достиг пика 14 января 2025 года, насчитывая в настоящее время более 800 000 активных ботов.
Впервые ботнет Vo1d был обнаружен в прошлом году исследователями Dr.Web на более чем 1,3 миллиона устройств в 200 странах, зараженных вредоносным ПО Vo1d через неизвестный вектор заражения.
Новая версия Vo1d реализует деятельность в более крупных масштабах и оснащена усовершенствованным шифрованием (RSA + настраиваемый XXTEA), устойчивой инфраструктурой на базе DGA и улучшенными возможностями скрытности.
Ботнет Vo1d можно считать одним из крупнейших за последние годы, который превзошел Bigpanzi, оригинальный Mirai, а также ботнет, который задействовался в рекордной DDoS-атаке мощностью 5,6 Тбит/с в отношении Cloudflare.
Причем трафик на инфраструктуре ботнета настолько огромен, что десять его серверов С2 вошли в топ самых популярных веб-сайтов в Интернете по версии Tranco.
Масштаб инфраструктуры C2 также впечатляет: используются 32 исходных значения алгоритма генерации доменов (DGA) для создания более 21 000 доменов C2.
Коммуникации C2 защищены 2048-битным ключом RSA, поэтому даже если исследователи определят и зарегистрируют домен C2, они не смогут отдавать команды ботам.
По состоянию на февраль 2025 года почти 25% заражений приходится на пользователей из Бразилии, за которой следуют устройства в Южной Африке (13,6%), Индонезии (10,5%), Аргентине (5,3%), Таиланде (3,4%) и Китае (3,1%).
Исследователи также отмечают заметный всплеск заражений: например, всего за три дня число ботов в Индии увеличилось с 3900 до 217 000.
Как отмечают исследователи, Vo1d - это многоцелевой инструмент для киберпреступников, который превращает взломанные устройства в прокси-серверы для ретрансляции и сокрытия вредоносного трафика. Еще одна главная функция - мошенничество с рекламой.
Вредоносная ПО имеет специальные плагины, которые автоматизируют рекламное взаимодействие, имитируя поведение пользователя при веб-серфинге, а также Mzmess SDK, распределяющий мошеннические задачи между различными ботами.
Учитывая, что цепочка заражения остается неизвестной, пользователям Android TV рекомендуется придерживаться комплексного подхода к безопасности для снижения угрозы Vo1d, изолируя их от ценных устройств, хранящих конфиденциальные данные на сетевом уровне.
奇安信 X 实验室
Long Live The Vo1d Botnet: New Variant Hits 1.6 Million TV Globally
Prologue
On February 24, 2025, NBC News reported: "Unauthorized AI-generated footage suddenly played on televisions at the U.S. Department of Housing and Urban Development (HUD) headquarters in Washington, D.C. The video showed President Donald Trump bowing…
On February 24, 2025, NBC News reported: "Unauthorized AI-generated footage suddenly played on televisions at the U.S. Department of Housing and Urban Development (HUD) headquarters in Washington, D.C. The video showed President Donald Trump bowing…
CrowdStrike представила свой отчет о глобальных угрозах за 2025 год, в котором обобщены новейшие TTPs киберподполья, а также важные тенденции, которые определили 2024 год.
В 2024 году исследователи CrowdStrike задетектили и взяли в изучение 26 новых групп угроз, в результате чего общее число известных компании злоумышленников достигло 257.
В своем отчете CrowdStrike отмечает серьезное усиление активности, связанной с Китаем: по сравнению с 2023 годом во всех секторах наблюдался рост на 150%, а в таких в финансах, СМИ, промышленности и машиностроении, рост составил 200–300%.
Один интересный аспект, который выделяет CrowdStrike, - это время прорыва, которое требуется субъектам угрозы для перехода от первоначального доступа к высокоценным активам, а для защитников - чтобы обнаружить атаку и отреагировать, прежде чем хакеры начнут устанавливать более глубокий контроль.
В 2024 году среднее время раскрытия информации о кибератаках сократилось до 48 минут по сравнению с 62 минутами в 2023 году, а самое быстрое раскрытие информации, зафиксированное CrowdStrike в прошлом году, составило всего 51 секунду.
Более половины уязвимостей, обнаруженных CrowdStrike в прошлом году, были связаны с первоначальным доступом, что, по мнению компании, отражает важность защиты уязвимых систем.
Также было отмечено, что атаки на основе идентификации все чаще пользуются предпочтением по сравнению с традиционными вредоносными атаками.
Активность брокеров доступа резко возросла в 2024 году, увеличившись на 50% по сравнению с предыдущим годом, а злоупотребление действительными учетными данными было связано с 35% инцидентов в облаке.
Исследователи обнаружили, что в 2024 году 79% обнаружений не включали вредоносного ПО, что является значительным ростом по сравнению с пятью годами ранее с 40% аналогичных обнаружений.
Еще одно интересное наблюдение: количество вишинг-атак резко возросло, увеличившись на 442% между первой и второй половиной года.
Поскольку злоумышленники масштабируют атаки на основе идентификации и эксплуатации уязвимостей, организациям следует применять упреждающие стратегии защиты, сосредоточив усилия на проверки личности, исправлениях на основе рисков и раннем обнаружении случаев злоупотребления учетными данными, чтобы пресечь эскалацию действий злоумышленников.
Полный отчет о глобальных угрозах CrowdStrike 2025 доступен в формате PDF.
В 2024 году исследователи CrowdStrike задетектили и взяли в изучение 26 новых групп угроз, в результате чего общее число известных компании злоумышленников достигло 257.
В своем отчете CrowdStrike отмечает серьезное усиление активности, связанной с Китаем: по сравнению с 2023 годом во всех секторах наблюдался рост на 150%, а в таких в финансах, СМИ, промышленности и машиностроении, рост составил 200–300%.
Один интересный аспект, который выделяет CrowdStrike, - это время прорыва, которое требуется субъектам угрозы для перехода от первоначального доступа к высокоценным активам, а для защитников - чтобы обнаружить атаку и отреагировать, прежде чем хакеры начнут устанавливать более глубокий контроль.
В 2024 году среднее время раскрытия информации о кибератаках сократилось до 48 минут по сравнению с 62 минутами в 2023 году, а самое быстрое раскрытие информации, зафиксированное CrowdStrike в прошлом году, составило всего 51 секунду.
Более половины уязвимостей, обнаруженных CrowdStrike в прошлом году, были связаны с первоначальным доступом, что, по мнению компании, отражает важность защиты уязвимых систем.
Также было отмечено, что атаки на основе идентификации все чаще пользуются предпочтением по сравнению с традиционными вредоносными атаками.
Активность брокеров доступа резко возросла в 2024 году, увеличившись на 50% по сравнению с предыдущим годом, а злоупотребление действительными учетными данными было связано с 35% инцидентов в облаке.
Исследователи обнаружили, что в 2024 году 79% обнаружений не включали вредоносного ПО, что является значительным ростом по сравнению с пятью годами ранее с 40% аналогичных обнаружений.
Еще одно интересное наблюдение: количество вишинг-атак резко возросло, увеличившись на 442% между первой и второй половиной года.
Поскольку злоумышленники масштабируют атаки на основе идентификации и эксплуатации уязвимостей, организациям следует применять упреждающие стратегии защиты, сосредоточив усилия на проверки личности, исправлениях на основе рисков и раннем обнаружении случаев злоупотребления учетными данными, чтобы пресечь эскалацию действий злоумышленников.
Полный отчет о глобальных угрозах CrowdStrike 2025 доступен в формате PDF.