Darknet Methods

2023-08-30 18:02:16 Всего три загрузчика малвари ответственны за 80% атак

По информации специалистов из компании ReliaQuest, QakBot, SocGholish и Raspberry Robin — три самых популярных загрузчика малвари среди киберпреступников. На них приходилось 80% всех наблюдаемых атак в период с 1 января по 31 июля 2023 года.

Исследователи подсчитали, что QakBot был ответственен за 30% всех инцидентов, SocGholish — за 27% из них, а Raspberry Robin — за 23%. При этом отмечается, что не инциденты обязательно приводили к компрометации, поскольку зачастую загрузчик обнаруживался на раннем этапе, и его работу прерывали до того, как мог вызвать проблемы.

Другие загрузчики, попавшие в список экспертов, сильно отстают от тройки лидеров, это Gootloader с 3% инцидентов, а также Guloader, Chromeloader и Ursnif с 2%.

В своем отчете ReliaQuest отмечает, что бороться с загрузчиками в целом сложно, так как «защита от одного загрузчика может не сработать против другого, даже если они загружают одно и то же вредоносное ПО». Открыть/Комментировать

2023-08-28 18:01:59 Эксперты Positive Technologies нашли уязвимость в сетевых хранилищах Western Digital

Western Digital поблагодарила эксперта Positive Technologies Никиту Абрамова за обнаружение уязвимости в прошивке NAS компании. Уязвимость могла привести к удаленному выполнению произвольного кода в хранилищах, потере данных и нарушению конфиденциальности информации.

Уязвимость, получившая идентификатор CVE-2023-22815 и набравшая 8,8 балла по шкале CVSS 3.0, была выявлена в прошивке My Cloud OS 5 v5.23.114. Это ПО используется в нескольких линейках сетевых устройств Western Digital: My Cloud PR2100, My Cloud PR4100, My Cloud EX4100, My Cloud EX2 Ultra, My Cloud Mirror G2 и так далее.

Разработчики Western Digital уже выпустили обновленную версию прошивки My Cloud OS 5 v5.26.300 для всех устройств, затронутых этой уязвимостью.

В Positive Technologies отмечают, что по состоянию на конец прошлой недели в интернете по-прежнему можно было обнаружить IP-адреса более 2400 NAS Western Digital. Наибольшее их число находится в Германии (460), США (310), Италии (257), Великобритании (131) и Южной Корее (125). Открыть/Комментировать

2023-08-26 17:31:38 WordPress-плагин Jupiter X Core позволял захватывать аккаунты и загружать файлы без аутентификации

Сразу две уязвимости были обнаружены в плагине Jupiter X Core для сайтов WordPress и WooCommerce. Баги позволяют захватывать чужие учетные записи, а также загружать файлы без аутентификации.

Jupiter X Core представляет собой визуальный редактор, входящий в состав темы Jupiter X, которая используется более чем на 172 000 сайтов.

Исследователи из компании Patchstack, специализирующейся на безопасности WordPress, обнаружили сразу две критические уязвимости в плагине и сообщили о них ArtBee, разработчику Jupiter X Core. В итоге в настоящее время проблемы уже устранены.

Первая уязвимость получила идентификатор CVE-2023-38388 и позволяла загружать файлы без аутентификации, что могло привести к выполнению произвольного кода на сервере. Проблема затрагивает все версии JupiterX Core, начиная с версии 3.3.5 и ниже. Уязвимость исправлена в версии 3.3.8. Открыть/Комментировать

2023-08-24 18:02:31 0-day уязвимость в WinRAR находилась под атаками с апреля

В WinRAR обнаружена еще одна уязвимость нулевого дня, получившая идентификатор CVE-2023-38831. По информации Group-IB, проблема активно использовалась злоумышленниками для установки малвари, а для ее эксплуатации достаточно было вынудить жертву открыть безобидный файл из архива (в формате .jpg, .txt и так далее).

Исследователи сообщают, что уязвимость использовалась хакерами с апреля 2023 года, помогая распространять различные семейства вредоносных программ, включая DarkMe, GuLoader и Remcos RAT.

Атаки на уязвимость были замечены специалистами на форумах, посвященным торговле криптовалютами. Там хакеры притворялись энтузиастами, делящимися своими торговыми стратегиями с другими трейдерами, и прикладывали к своим сообщениям ссылки на специально подготовленные архивы WinRAR, которые якобы содержали детальную информацию о торговой стратегии (PDF, текстовые файлы и изображения). Открыть/Комментировать

2023-08-24 15:00:04 Скоро в книжных магазинах появится первая в России книга по информационной безопасности "Искусство цифровой самозащиты", написанная хакером Дмитрием Артимовичем.

Его новая книга – настольный путеводитель для тех, кто заинтересован понять искусство цифровой безопасности. В ней он расскажет о многих видах и способах мошенничества в цифровом поле, научит, как правильно защитить от них себя и свои данные, чем именно обезопасить свою технику и какие правила необходимо соблюдать. Лайфхаки, полезные ссылки, удобные куар-коды - далеко не весь список приятных бонусов, ожидающих читателя. Заказать книгу можно здесь. Открыть/Комментировать

2023-08-22 18:32:20 В странах Африки борются с киберпреступниками, похитившими у жертв 40 млн долларов

Международная операция правоохранительных органов под кодовым названием «Africa Cyber ​​Surge II», которую возглавлял Интерпол, привела к аресту 14 подозреваемых. В общей сложности операция затронула 25 африканских стран и нарушила работу более 20 674 киберпреступных сетей, занимавшихся вымогательством, фишингом, BEC-атаками и мошенничеством, что привело к финансовым потерям на сумму более 40 000 000 долларов США.

По итогам операции в Камеруне были арестованы трое подозреваемых в онлайн-мошенничестве, связанном с продажей произведений искусства на сумму 850 000 долларов; еще один подозреваемый арестован в Нигерии; два денежных мула, связанные с инвестиционным мошенничеством в мессенджерах задержаны на Маврикии.

Специалисты Group-IB, принимавшие участие в операции и занимавшиеся сбором информации о киберпреступлениях в африканских регионах, пишут, что предоставили следственным органам более тысячи индикаторов компрометации, связанных с вредоносной инфраструктурой. В итоге в Камеруне власти закрыли два даркнет-сайта, а в Кении заблокировали 615 хостеров вредоносных программ. Открыть/Комментировать

2023-08-20 17:02:40 Атака NoFilter помогает повысить привилегии в Windows

Специалист компании Deep Instinct Рон Бен Ицхак (Ron Ben Yizhak) представил на конференции Defcon новую атаку NoFilter, которая опирается на Windows Filtering Platform (WFP) для повышения привилегий в Windows.

Как объясняет эксперт, если у злоумышленника уже есть возможность выполнять код с правами администратора, но его целью является выполнение, например, LSASS Shtinkering, таких привилегий будет недостаточно, потребуется запуск как NT AUTHORITY\SYSTEM. В таком случае атака NoFilter позволит перейти от прав администратора к SYSTEM.

Отправной точкой для этого исследования послужил собственный инструмент компании под названием RPC Mapper, который используется для сопоставления методов удаленного вызова процедур (remote procedure call, RPC), особенно тех, которые вызывают WinAPI. Он привел к обнаружению метода BfeRpcOpenToken, который является частью WFP.

Напомним, что WFP представляет собой набор API и системных сервисов, которые используются для обработки сетевого трафика и позволяют настраивать фильтры, разрешающие или блокирующие коммуникации. Открыть/Комментировать

2023-08-18 17:01:59 Хакеры используют Cloudflare R2 для размещения фишинговых страниц

По информации аналитиков Netskope, за последние полгода злоумышленники в 61 раз чаще стали злоупотреблять возможностями Cloudflare R2 для размещения фишинговых страниц.

Cloudflare R2 представляет собой аналог Amazon Web Service S3, Google Cloud Storage и Azure Blob Storage, предлагая облачный сервис для хранения данных.

Исследователи отмечают, что общее количество облачных приложений, из которых происходит доставка вредоносных программ, уже увеличилось до 167, при этом Microsoft OneDrive, Squarespace, GitHub, SharePoint и Weebly заняли первые пять мест в этом «рейтинге».

Пока случаи эксплуатации Cloudflare R2 злоумышленниками растут, для распространения статических фишинговых страниц также используется и предложение Turnstile от Cloudflare, представляющее собой замену CAPTCHA. С его помощью злоумышленники ограждают вредоносные страницы от ботов, чтобы избежать обнаружения. Такая защита не позволяет онлайн-сканерам (например, urlscan io), добраться до фактического фишингового сайта, поскольку тот защищен CAPTCHA. Открыть/Комментировать

2023-08-16 17:03:37 Более 2000 серверов Citrix NetScaler заразили бэкдором

В ходе масштабной кампании хакеры скомпрометировали около 2000 тысяч серверов Citrix NetScaler, используя для этого критическую RCE-уязвимость CVE-2023-3519 (9,8 балла по шкале CVSS). Больше всего от этих атак пострадали европейские страны.

Эксперты из ИБ-компании Fox-IT Голландского института обнаружения уязвимостей (DIVD) обнаружили масштабную вредоносную кампанию по установке веб-шеллов на серверы Citrix Netscaler, уязвимые перед проблемой CVE-2023-3519, обнаруженной и исправленной в июле 2023 года.

Вскоре после обнаружения этого бага Агентство США по кибербезопасности и защите инфраструктуры (CISA) сообщало об эксплуатации бага для развертывания веб-шеллов. Вскоре после этого в Shadowserver Foundation подсчитали, что, используя CVE-2023-3519, злоумышленники развернули веб-шеллы как минимум на 640 уязвимых серверах Citrix. Открыть/Комментировать

2023-08-14 17:32:22 Роскомнадзор рекомендовал компаниям отказаться от VPN на зарубежных серверах

Представители Роскомнадзора рекомендовали российским компаниям и предприятиям ускорить перевод информационных систем и протоколов, которые обеспечивают их внутренние бизнес-процессы, на инфраструктуру внутри России. В ведомстве говорят, что применение VPN-протоколов с использованием зарубежных серверов несет в себе риски утечки данных.

В регуляторе говорят, что «применение VPN-протоколов с использованием зарубежной серверной инфраструктуры несет в себе существенные риски утечки личной, корпоративной и иной информации», а также напоминают, что согласно закону «О связи» в России «запрещена работа VPN-сервисов, не обеспечивающих фильтрацию нарушающей закон информации».

При этом в РКН не ответили на вопрос журналистов о том, связан ли с действиями регулятора сбой в работе OpenVPN и Wireguard, о котором мы писали на прошлой неделе. Напомню, что тогда о проблемах сообщали пользователи из разных регионов РФ. Сбои в работу OpenVPN и Wireguard наблюдались в основном у пользователей мобильных операторов (МТС, «Билайн», «Мегафон», Yota, Tele2), но и у некоторых «домашних» провайдеров. Открыть/Комментировать