Darknet Methods

2023-09-11 17:32:12 Операторы майнинговой малвари атакуют инженеров и графических дизайнеров с мощными GPU

Хакеры все чаще используют Windows-инструмент Advanced Installer, чтобы заражать майнинговой малварью компьютеры графических дизайнеров, архитекторов и инженеров. Злоумышленники скрывают свои вредоносы в установщиках популярных программ для 3D-моделирования и графического дизайна, включая Adobe Illustrator, Autodesk 3ds Max и SketchUp Pro.

Эксперты Cisco Talos, заметившие эту тенденцию, сообщают, что атаки в основном направлены на франкоязычных пользователей. Так, большинство жертв находится во Франции и Швейцарии. Также заметное количество заражений отмечается в США, Канаде, Германии, Алжире и Сингапуре.

Судя по всему, хакеры рекламируют зараженное ПО, используя методы «черного SEO», и на деле такой пиратский софт оказывается заражен троянами удаленного доступа (RAT) и полезными нагрузками майнеров.

По мнению экспертов, злоумышленники сосредотачивают свои усилия на конкретных целях, поскольку графические дизайнеры, аниматоры и так далее чаще используют компьютеры с мощными графическими процессорами, то есть майнинг на их машинах будет более выгодным. Открыть/Комментировать

2023-09-09 18:02:26 США и Великобритания наложили санкции на 11 россиян, якобы связанных с Trickbot

США и Великобритания ввели санкции в отношении 11 граждан России, которых считают причастными вымогательским операциям TrickBot и Conti.

Напомню, что хак-группа TrickBot (она же ITG23, Gold Blackburn и Wizard Spider) считается финансово мотивированной группировкой, которая известна в основном благодаря разработке одноименного банковского трояна TrickBot.

С годами TrickBot эволюционировал из классического банкера, предназначенного для кражи средств с банковских счетов, до многофункционального дроппера, распространяющего другие угрозы (от майнеров и шифровальщиков до инфостилеров). В прошлом году TrickBot и вовсе перешел под управление операторов малвари Conti, которая использовала вредоносное ПО группы для поддержания собственных атак и усиления таких вредоносов как BazarBackdoor и Anchor.

После февраля 2022 года исследователь слил внутреннюю переписку группировки Conti, а вскоре после этого другой человек под псевдонимом TrickLeaks начал сливать информацию о работе TrickBot, что подтвердило связь между этими группировками. Открыть/Комментировать

2023-09-07 18:32:45 Малварь Pandora использует бюджетные Android-приставки для DDoS-атак

Специалисты компании «Доктор Веб» обнаружили семейство малвари Android.Pandora (далее просто Pandora), построенное на базе известного вредоноса Mirai. Pandora компрометирует устройства пользователей в процессе обновления прошивки или при установке приложений для нелегального просмотра видеоконтента.

На разных устройствах изменялись разные файлы. Как выяснилось, скрипт, устанавливающий малварь, ищет системные сервисы, исполняемый код которых находится в .sh-файлах, и добавляет в них строчку, запускающую трояна: /system/bin/supervisord -c /system/bin/s.conf &. Это необходимо, чтобы троян закрепился в системе и запускался после перезагрузки устройства.

Особый интерес у исследователей вызвал обфусцированный файл с именем pandoraspearrk, получивший идентификатор Android.Pandora.2. Анализ показал, что основным предназначением этого бэкдора является использование зараженного устройства в составе ботнета для выполнения DDoS-атак. Открыть/Комментировать

2023-09-05 17:02:33 Okta: хакеры применяют социальную инженерию против специалистов техподдержки

Компания Okta, являющаяся крупным поставщиком систем управления доступом и идентификацией, предупредила, что специалисты служб ИТ-поддержки в США подвергаются атакам. Хакеры вынуждают их сбросить многофакторную аутентификацию для пользователей с высокими привилегиями.

Если атака удалась, злоумышленники использовали привилегированные учетные записи супер-администраторов Okta, чтобы выдать себя за пользователей взломанной организации, задействуя анонимизирующие прокси, новый IP-адрес и новое устройство.

Хакеры использовали полученный доступ для повышения привилегий других учетных записей, сброса аутентификаторов, а также удаляли защиту двухфакторной аутентификации (2ФА) для некоторых аккаунтов.

По данным Okta, эта кампания была активна в период с 29 июля по 19 августа 2023 года. Открыть/Комментировать

2023-09-03 17:02:15 Google удаляет ссылки на пиратский контент из личных коллекций Google Saved

СМИ и пользователи обнаружили, что ссылки на контент, нарушающий DMCA («Закон об авторском праве в цифровую эпоху»), исключаются не только из поисковой выдачи Google. Оказалось, что ссылки на такой контент пропадают и из личных коллекций пользователей.

Издание TorrentFreak обратило внимание на сообщение пользователя Эдди Рузенмааллена (Eddie Roosenmaallen), который поделился полученным от Google письмом. В этом послании компания уведомляет, что одна из ссылок в его коллекции Google Saved (ведущая на уже недействующий домен KickassTorrents) удалена, поскольку нарушала политики Google.

Изначально предполагалось, что удаление затрагивает синхронизированные закладки в Google Chrome, но скоро выяснилось, что это не так и удаление касается Google Saved. Этот сервис Google позволяет пользователям сохранять и систематизировать ссылки, похожим на Pinterest образом. Такие коллекции ссылок могут быть приватными, а также ими можно делиться с другими людьми.

То есть выяснилось, что политика Google в отношении поисковой выдачи также применяется к таким сохраненным ссылкам. В результате URL-адреса, в отношении которых Google получает запросы на удаление из поиска, исчезают также из коллекций пользователей (приватных и публичных). Открыть/Комментировать

2023-09-01 17:02:31 Специалисты FACCT установили связь вымогателей Shadow c хактивистами из группы Twelve

В компании FACCT выяснили, что вымогатели из группировки Shadow и хактивисты из Twelve являются частью одной хак-группы. В своих атаках на российские компании и организации обе группы используют не только схожие тактики, техники и инструменты, но и общую сетевую инфраструктуру.

Тогда как Shadow движет финансовая мотивация (за расшифровку данных вымогатели требуют от жертвы выкуп в размере 140-190 млн рублей), то цель Twelve — саботаж: в ходе атаки они полностью уничтожают ИТ-инфраструктуру жертвы, не требуя денег.

Впервые активность группы Shadow, атаковавшей несколько крупных российских компаний, была обнаружена в феврале-марте этого года. За последние полгода жертвами вымогателей становились промышленные, логистические, энергетические компании. За расшифровку данных злоумышленники Shadow требуют от жертвы сумму в размере 1,5-2 млн долларов (то есть около 140-190 млн рублей по текущему курсу).

Исследователи пишут, что эту группу отличает тщательная подготовка к атакам — они методично захватывают ИТ-инфраструктуру жертвы, похищают конфиденциальную информацию и на последнем этапе атаки проводят полное шифрование инфраструктуры. Открыть/Комментировать

2023-08-30 18:02:16 Всего три загрузчика малвари ответственны за 80% атак

По информации специалистов из компании ReliaQuest, QakBot, SocGholish и Raspberry Robin — три самых популярных загрузчика малвари среди киберпреступников. На них приходилось 80% всех наблюдаемых атак в период с 1 января по 31 июля 2023 года.

Исследователи подсчитали, что QakBot был ответственен за 30% всех инцидентов, SocGholish — за 27% из них, а Raspberry Robin — за 23%. При этом отмечается, что не инциденты обязательно приводили к компрометации, поскольку зачастую загрузчик обнаруживался на раннем этапе, и его работу прерывали до того, как мог вызвать проблемы.

Другие загрузчики, попавшие в список экспертов, сильно отстают от тройки лидеров, это Gootloader с 3% инцидентов, а также Guloader, Chromeloader и Ursnif с 2%.

В своем отчете ReliaQuest отмечает, что бороться с загрузчиками в целом сложно, так как «защита от одного загрузчика может не сработать против другого, даже если они загружают одно и то же вредоносное ПО». Открыть/Комментировать

2023-08-28 18:01:59 Эксперты Positive Technologies нашли уязвимость в сетевых хранилищах Western Digital

Western Digital поблагодарила эксперта Positive Technologies Никиту Абрамова за обнаружение уязвимости в прошивке NAS компании. Уязвимость могла привести к удаленному выполнению произвольного кода в хранилищах, потере данных и нарушению конфиденциальности информации.

Уязвимость, получившая идентификатор CVE-2023-22815 и набравшая 8,8 балла по шкале CVSS 3.0, была выявлена в прошивке My Cloud OS 5 v5.23.114. Это ПО используется в нескольких линейках сетевых устройств Western Digital: My Cloud PR2100, My Cloud PR4100, My Cloud EX4100, My Cloud EX2 Ultra, My Cloud Mirror G2 и так далее.

Разработчики Western Digital уже выпустили обновленную версию прошивки My Cloud OS 5 v5.26.300 для всех устройств, затронутых этой уязвимостью.

В Positive Technologies отмечают, что по состоянию на конец прошлой недели в интернете по-прежнему можно было обнаружить IP-адреса более 2400 NAS Western Digital. Наибольшее их число находится в Германии (460), США (310), Италии (257), Великобритании (131) и Южной Корее (125). Открыть/Комментировать

2023-08-26 17:31:38 WordPress-плагин Jupiter X Core позволял захватывать аккаунты и загружать файлы без аутентификации

Сразу две уязвимости были обнаружены в плагине Jupiter X Core для сайтов WordPress и WooCommerce. Баги позволяют захватывать чужие учетные записи, а также загружать файлы без аутентификации.

Jupiter X Core представляет собой визуальный редактор, входящий в состав темы Jupiter X, которая используется более чем на 172 000 сайтов.

Исследователи из компании Patchstack, специализирующейся на безопасности WordPress, обнаружили сразу две критические уязвимости в плагине и сообщили о них ArtBee, разработчику Jupiter X Core. В итоге в настоящее время проблемы уже устранены.

Первая уязвимость получила идентификатор CVE-2023-38388 и позволяла загружать файлы без аутентификации, что могло привести к выполнению произвольного кода на сервере. Проблема затрагивает все версии JupiterX Core, начиная с версии 3.3.5 и ниже. Уязвимость исправлена в версии 3.3.8. Открыть/Комментировать

2023-08-24 18:02:31 0-day уязвимость в WinRAR находилась под атаками с апреля

В WinRAR обнаружена еще одна уязвимость нулевого дня, получившая идентификатор CVE-2023-38831. По информации Group-IB, проблема активно использовалась злоумышленниками для установки малвари, а для ее эксплуатации достаточно было вынудить жертву открыть безобидный файл из архива (в формате .jpg, .txt и так далее).

Исследователи сообщают, что уязвимость использовалась хакерами с апреля 2023 года, помогая распространять различные семейства вредоносных программ, включая DarkMe, GuLoader и Remcos RAT.

Атаки на уязвимость были замечены специалистами на форумах, посвященным торговле криптовалютами. Там хакеры притворялись энтузиастами, делящимися своими торговыми стратегиями с другими трейдерами, и прикладывали к своим сообщениям ссылки на специально подготовленные архивы WinRAR, которые якобы содержали детальную информацию о торговой стратегии (PDF, текстовые файлы и изображения). Открыть/Комментировать