Darknet Methods

2023-05-14 16:02:32 Trend Micro: миллионы мобильных телефонов заражают малварью еще на заводах

Аналитики компании Trend Micro представили интересный доклад на конференции Black Hat Asia. По их информации, миллионы Android-устройств по всему миру заражаются вредоносным ПО еще не покинув завод, на котором их произвели. В основном речь идет о дешевых мобильных телефонах на Android, однако похожая ситуация наблюдается со смарт-часами, телевизорами и так далее.

По словам исследователей, производство гаджетов в основном передано на аутсорсинг OEM-производителям, и такой аутсорсинг позволяет различным сторонам, участвующим в производственном процессе (например, поставщикам прошивок), заражать продукты малварью еще на этапе производства.

Стоит сказать, что об этой проблеме известно давно. К примеру, еще в 2017 году эксперты Check Point предупреждали, что 38 различных моделей смартфонов известных брендов, включая Samsung, LG, Xiaomi, Asus, Nexus, Oppo и Lenovo, содержат вредоносное ПО прямо «из коробки». Теперь же представители Trend Micro охарактеризовали происходящее как «растущую проблему для обычных пользователей и предприятий». Открыть/Комментировать

2023-05-12 16:02:15 ФБР уничтожило шпионскую малварь Snake, созданную русскоязычной группировкой Turla

Страны-участницы альянса Five Eyes (который объединяет спецслужбы Австралии, Канады, Новой Зеландии, США и Великобритании) сообщили, что им удалось уничтожить инфраструктуру, используемую кибершпионской малварью Snake.

Сообщается, что разработка Snake началась еще в 2003 году (тогда под названием Uroburos), а первые версии вредоноса были готовы в начале 2004 года, после чего «правительственные хакеры» стали применять вредоносное ПО в атаках. С тех пор вредонос Snake, обнаруженный более чем в 50 странах, использовался для сбора и кражи конфиденциальных данных у широкого круга целей, включая правительственные сети, исследовательские организации и журналистов.

Правоохранители рассказывают, что уничтожили инфраструктуру малвари, которую связывают с русскоязычной группировкой Turla, в рамках операции Medusa. Подчеркивается, что среди компьютеров, захваченных P2P-ботнетом Snake, ФБР обнаружило устройства, принадлежащие правительствам стран-членов НАТО. Открыть/Комментировать

2023-05-10 16:02:47 Android-вредонос Fleckpe проник в Google Play и был установлен более 600 000 раз

Аналитики «Лаборатории Касперского» обнаружили нового «подписочного» трояна Fleckpe, проникшего в официальный магазин приложений Google Play. Суммарно малварь, которая маскируется под другие популярные приложения, была установлена более 620 000 раз.

По словам исследователей, Fleckpe можно поставить в один ряд с такими угрозами, как Jocker и Harly. Обычно пользователи замечают активность такой малвари слишком поздно, когда с них уже списали деньги.

Fleckpe активен с начала 2022 года. В Google Play было обнаружено 11 зараженных этим трояном приложений, которые установили пользователи более 620 000 устройств.

На момент публикации отчета экспертов, этих приложений уже не было в Google Play, но специалисты предупредили, что злоумышленники могли выложить другие, пока не обнаруженные приложения, поэтому реальное число установок может быть гораздо больше. Открыть/Комментировать

2023-05-08 16:03:16 В Калифорнии группировка кардеров оформила миллион долларов пособий по безработице на заключенных

Министерство юстиции США объявило, что 24-летняя Микара Дестини Робинсон (Mykara Destiny Robinson) признала себя виновной в банковском мошенничестве. Таким образом, как сообщает KGET, она стала последним, тринадцатым, членом группировки, который предстанет перед судом по обвинению в незаконном получении пособий по безработице от государства. Все они — жители Калифорнии, работали в своем же штате.

Суммарно члены сообщества создали около 150 поддельных учетных записей в Департаменте занятости Калифорнии, что позволило им получить 993 тысячи долларов. Руководили группировкой две женщины — 38-летняя Натали Ле Димола (Natalie Le Demola) и 33-летняя Карлейша Неоша Пламмер (Carleisha Neosha Plumme). Именно они стали инициаторами покупки персональных данных людей, от имени которых подавались заявки на выплату пособий. Большая их часть отбывает наказание в исправительных учреждениях штата, некоторые оказались пенсионерами.

После одобрения поддельных заявок и получения дебетовых карт с пособиями деньги снимались в банкоматах по всей Южной Калифорнии. Первые мошенничества датированы июнем 2020 года.

Издание отмечает, что Робинсон, как и большинству других членов группировки, грозит до 30 лет лишения свободы по обвинениям в заговоре и банковском мошенничестве, а также краже персональных данных, Пламмер и Димола могут отправиться в тюрьму на 32 года. Открыть/Комментировать

2023-05-06 16:03:10 Исследователь взломал более 10 библиотек в Packagist, пытаясь найти работу

Исследователь под ником neskafe3v1 признался, что взломал 14 библиотек в Packagist, некоторые из которых насчитывают сотни миллионов установок. Взломщик рассказал СМИ, что таким необычным способом он пытается найти работу.

Напомню, что Packagist — это не пакетный менеджер, но хостинг PHP-пакетов. Это дефолтный хостинг Composer, и каждый месяц Composer используется для загрузки более 2 миллиардов пакетов. По сути, Packagist представляет собой один из крупнейших хостинговых сервисов в экосистеме PHP в целом.

Исследователь предоставил журналистам доказательства того, что в понедельник, 1 мая 2023 года, страницы Packagist для перечисленных выше пакетов были изменены, и стали указывать на фейковый репозиторий самого neskafe3v1, вместо нужных репозиториев на GitHub. Открыть/Комментировать

2023-05-04 16:02:24 Что прячет пингвин. Большой гид по сбору улик в Linux

Имен­но здесь начина­ется наша исто­рия. По усло­виям задачи рас­смат­рива­ются дис­три­бути­вы Linux на осно­ве Debian: Kali, Astra и про­чие. Нуж­но соб­рать информа­цию о хос­те, поль­зователь­ской активнос­ти, иные арте­фак­ты, которые могут при­годить­ся для ана­лиза любой по­тусто­рон­ней активнос­ти. Очень желатель­но собирать все дан­ные авто­мати­чес­ки, без исполь­зования кучи пакетов с зависи­мос­тями. Веро­ятно, ты дума­ешь, что при­дет­ся вруч­ную вби­вать все коман­ды в тер­минал, делать себе чек‑лист... Но зачем? Напишем скрип­тец на Bash и будем носить его на флеш­ке!

Ты можешь соб­рать свой скрипт из при­веден­ных команд, как из конс­трук­тора. Или же вос­при­нимай этот матери­ал как шпар­галку по Linux для юно­го безопас­ника. Разуме­ется, все коман­ды ты можешь опро­бовать в тер­минале, все они толь­ко собира­ют и отоб­ража­ют информа­цию, ничего не меняя в сис­теме.

Пред­варитель­но отформа­тируй флеш­ку в NTFS, если ты будешь потом общать­ся с Windows, или в ext4, если нет. Соз­дадим фай­лик ifrit sh (incident forensic response in terminal) и вне­сем в него пре­амбу­лу. Скрипт будет фик­сировать вре­мя запус­ка и соз­даст дирек­торию для сбо­ра фай­лов (арте­фак­тов) с машины и наших логов. Открыть/Комментировать

2023-05-02 16:01:52 Группировка DumpForums заявила о взломе BI ZONE

Хакеры утверждают, что им удалось скомпрометировать инфраструктуру дочерней компании Сбербанка, BI ZONE, специализирующейся на управлении цифровыми рисками. Представители компании уверяют, что пострадала лишь виртуальная машина на внешнем хостинге, и данным клиентов ничто не угрожает.

По информации специалистов Data Leakage & Breach Intelligence (DLBI), судя по опубликованной хакерами информации, им удалось заполучить SQL-дамп базы данных сайта bi zone, работающего под управлением CMS Bitrix. В дампе содержатся, как данные зарегистрированных пользователей (имена, хешированные пароли, email-адреса), так и лиды (имена, телефоны, email-адреса, места работы).

В пресс-службе BI ZONE сообщили, что опубликованные хакерами скриншоты — «это виртуальная машина на внешнем хостинге, на которой размещаются веб-страницы сайтов наших конференций». Подчеркивается, что эта виртуальная машина никак не связана с инфраструктурой компании, и ее клиентам ничто не угрожает. Открыть/Комментировать

2023-04-28 16:02:23 VMware исправила критическую уязвимость, обнаруженную на Pwn2Own

Компания VMware выпустила обновления для устранения ряда уязвимостей в Workstation и Fusion. В числе прочих багов, была исправлена 0-day проблема, обнаруженная экспертами во время хакерского соревнования Pwn2Own Vancouver 2023 и позволявшая локальному злоумышленнику выполнить произвольный код.

Наиболее серьезной из всех стала проблема CVE-2023-20869 (9,3 балла по шкале CVSS), впервые продемонстрированная на Pwn2Own. Она описывается как уязвимость переполнения буфера стека, найденная в функции совместного использования хост-устройств Bluetooth с виртуальной машиной.

Также VMware исправила уязвимость out-of-bounds чтения, влияющую на ту же функцию (CVE-2023-20870, 7,1 балла по шкале оценка CVSS), которая могла использоваться локальным злоумышленником с правами администратора для чтения конфиденциальной информации, содержащейся в памяти гипервизора.

Обе уязвимости были продемонстрированы исследователями из команды STAR Labs на третий день хакерского состязания Pwn2Own, прошедшего в Ванкувере в прошлом месяце. Эти баги принесли исследователям вознаграждение в размере 80 000 долларов. Открыть/Комментировать

2023-04-26 16:02:48 Количество DDoS-атак возросло на 22%

Аналитики компании Qrator Labs представили статистику DDoS-атак в первом квартале 2023 года. Оказалось, что общее число атак выросло на 22%, но их продолжительность заметно сократилась, и злоумышленники стали более тщательно выбирать жертв.

Наиболее атакуемыми индустриями в первом квартале стали электронные доски объявлений (26,7%), системы онлайн-обучения (13,3%), платежные системы (11,5%), банки (9,3%) и игровые серверы (5,2%).

Наряду с традиционными целями атак (такими как банки, платежные системы, онлайн-обучение), наблюдается активизация атак на инфраструктурные сервисы, обеспечивающие функционирование систем в реальном мире: логистические системы (1,4%), промышленность (1,4%), программные сервисы (4,1%), хостинги (2,9%), нефтегазовая индустрия (1,6%). Открыть/Комментировать

2023-04-24 16:02:47 Появился новый дешифровщик для вымогателя Conti

Специалисты «Лаборатории Касперского» обновили бесплатный инструмент для расшифровки файлов, пострадавших во время атак шифровальщика Conti. Новая версия подойдет для машин, которые были зашифрованы в ходе атак на коммерческие компании и государственные учреждения.

Исследователи напоминают, что шифровальщик Conti известен с конца 2019 года, и в 2020 году на его долю пришлось более 13% всех вымогательских атак. В 2022 году произошла утечка исходного кода малвари, после чего злоумышленники начали создавать модификации на его основе и использовать их в своих атаках.

Версия Conti, для которой компания выпустила дешифровщик, использовалась для атак на коммерческие компании и государственные учреждения. Приватные ключи были обнаружены зимой 2022 года в результате анализа утекших данных. Утечка содержала 258 закрытых ключей, исходный код и несколько предварительно скомпилированных декрипторов. На основе этих приватных ключей эксперты и обновили свою утилиту.

При анализе данных обнаружилось, что утекшие ключи располагаются в 257 папках, только одна из которых содержит два ключа, а остальные — по одному. Некоторые папки содержали декрипторы и несколько обычных файлов, в том числе документы и фотографии. Открыть/Комментировать