Darknet Methods

2023-10-23 17:33:29 Тысячи Android-устройств продаются с предустановленным бэкдором

В начале текущего года независимый ИБ-исследователь Даниэль Милишич (Daniel Milisic) обнаружил, что на Amazon продаются Android-приставки T95, прямо «из коробки» зараженные сложной малварью. Теперь это исследование продолжили специалисты компании Human Security, и выяснилось, что бэкдоры содержат семь приставок и один планшет, а также признаки заражения демонстрируют более 200 моделей других Android-устройств.

Отчет Human Security разделен на две основных части. Раздел Badbox касается зараженных Android-устройств и их участия в различных мошеннических схемах. Вторая часть, получившая название Peachpit, рассказывает о связанном рекламном мошенничестве, в котором задействовано как минимум 39 приложений для Android и iOS.

Все началось с того, что во второй половине 2022 года исследователи обнаружили приложение для Android, которое демонстрировало подозрительный трафик и подключалось к домену flyermobi com. В январе 2023 года Милишич опубликовал свое исследование приставки T95, где тоже упоминался этот домен. После этого команда Human Security приобрела эту приставку, а также несколько других девайсов и приступила к их изучению. Открыть/Комментировать

2023-10-19 18:33:04 Обновленная версия малвари MATA атакует предприятия в Восточной Европе

Исследователи «Лаборатории Касперского» обнаружили (PDF) масштабную вредоносную кампанию, в ходе которой были скомпрометированы десятки организаций в сфере оборонной промышленности и нефтегазового сектора стран Восточной Европы. Злоумышленники проникали в изолированные сети с помощью USB-накопителей, а также использовали Linux-бэкдор MATA.

Еще в сентябре 2022 года, в рамках расследования инцидента, эксперты обнаружили новые образцы малвари семейства MATA, которую ранее связывали с группой Lazarus. Тогда злоумышленники проникли в сеть одного из предприятий с помощью целевых фишинговых писем, которые начали рассылаться в августе 2022 года.

В этих письмах жертв обманом вынуждали загрузить вредоносные исполняемые файлы, которые эксплуатировали уязвимость CVE-2021-26411 в Internet Explorer и инициировали цепочку заражения. Открыть/Комментировать

2023-10-17 17:33:08 В Signal отрицают, что в мессенджере существует уязвимость нулевого дня

В последние дни в сети циркулирует слух о 0-day уязвимости в мессенджере Signal, которая якобы связанна с функцией предварительного просмотра ссылок (Generate Link Previews). Разработчики Signal прокомментировали эти сообщения, заявив, что никаких доказательств существования этой уязвимости нет.

Сообщения о проблеме нулевого дня в Signal, которая якобы позволяет полностью захватывать уязвимые устройства, распространились в социальных сетях в минувшие выходные (1, 2, 3). В сообщении утверждалось, что, по данным неких источников в американском правительстве, опасную уязвимость в Signal можно устранить, отключив функцию Generate Link Previews. В итоге эти слухи были вынуждены прокомментировать и опровергнуть разработчики мессенджера.

В серии сообщений в X (бывший Twitter) специалисты заявили, что внимательно изучили информацию о 0-day баге и нашли никаких доказательств того, что он вообще существует. Открыть/Комментировать

2023-10-15 18:04:31 Хак-группа Sticky Werewolf атакует государственные организации в России и Беларуси

Исследователи предупредили, что ранее неизвестная группировка Sticky Werewolf получает доступ к системам государственных организаций в России и Беларуси с помощью фишинговых писем, которые содержат ссылки на вредоносные файлы. Отличительной чертой этой группы являет использование достаточно популярных, коммерческих вредоносных инструментов, которые несложно обнаружить и заблокировать.

По данным специалистов компании Bi Zone, группировка активна как минимум с апреля 2023 года и к настоящему моменту провела не менее 30 атак.

Для генерации вредоносных ссылок хакеры используют сервис IP Logger, который позволяет не только создавать фишинговые ссылки, но и собирать информацию о жертвах, которые по ним перешли. Например, атакующие получали информацию о времени перехода, IP‑адресе, стране, городе, версии браузера и операционной системы.

Эта информация позволяла хакерам сразу провести базовое профилирование потенциально скомпрометированных систем и отобрать наиболее значимые из них, не обращая внимания на те, которые относятся, например, к песочницам, исследовательской деятельности и странам, не входящим в круг интересов группировки. Открыть/Комментировать

2023-10-13 17:02:46 Бэкдор прикидывается обычным плагином для WordPress

Аналитики компании Defiant, стоящей за разработкой защитного плагина Wordfence для WordPress, обнаружили новое вредоносное ПО, которое выдает себя обычный плагин для кеширования. На самом деле малварь представляет собой многофункциональный бэкдор, которые может управлять другими плагинами, скрываться об обнаружения на взломанных сайтах, подменять контент и перенаправлять пользователей на вредоносные ресурсы.

Исследователи пишут, что бэкдор «профессионально» замаскирован под инструмент кеширования, который должен помогать снизить нагрузку на сервер и сократить время загрузки страниц. При этом плагин настроен таким образом, чтобы исключить себя из списка активных плагинов и избегать возможных проверок.

Создание нового пользователя. Создает пользователя с именем «superadmin» с жестко заданным паролем и правами уровня администратора, а вторая функция может удалить этого пользователя, чтобы стереть следы заражения.

Обнаружение ботов. Когда посетители сайта оказываются ботами (например, краулеры поисковых систем), малварь показывает им другой контент, например спам, заставляя их индексировать вредоносный контент на взломанном сайте. Таким образом, администраторы могут заметить внезапное увеличение трафика или жалобы пользователей, которые обнаружат перенаправления на вредоносные ресурсы. Открыть/Комментировать

2023-10-11 18:03:29 Amazon, Google и Cloudflare отразили мощнейшие DDoS-атаки в истории

Специалисты Amazon Web Services (AWS), Cloudflare и Google предупредили о 0-day проблеме HTTP/2 Rapid Reset, которую злоумышленники используют для DDoS-атак с августа текущего года. Благодаря уязвимости в протоколе HTTP/2, мощность атак, направленных на облачную инфраструктуру Google, достигла 398 млн запросов в секунду (requests per second, RPS), а атаки направленные на AWS и Cloudflare, превысили 155 млн и 201 млн запросов в секунду.

Корень новой проблемы кроется в уязвимости нулевого дня CVE-2023-44487, существование которой специалистам пришлось хранить в секрете более месяца, чтобы дать поставщикам защитных решений и прочим заинтересованным сторонам время отреагировать, прежде чем об уязвимости станет известно злоумышленникам.

Уязвимость была обнаружена в протоколе HTTP/2 и, как уже можно догадаться, ее можно использовать для организации мощных DDoS-атак. Дело в том, что важной особенностью HTTP/2 является мультиплексирование запросов в одном TCP-соединении, что реализовано в виде параллельных потоков.

Хотя для предотвращения атак в протоколе HTTP/2 предусмотрена защита в виде параметра, ограничивающего количество одновременно активных потоков, она не всегда эффективна. Поэтому разработчики протокола придумали более эффективную защитную меру — отмену запроса, которая не приводит к полному разрыву соединения, но, к сожалению, может использоваться не по назначению. Открыть/Комментировать

2023-10-09 18:03:44 Компания 23andMe допустила утечку генетической информации 1,3 млн человек

После того как хакеры выставили на продажу информацию миллионов человек, биотехнологическая компания 23andMe, специализирующаяся на генетических исследованиях, подтвердила, что допустила утечку данных своих клиентов.

23andMe предлагает ДНК-тестирование и специализируется на использовании генетической информации для медицинских исследований и поиска лекарств, для чего заказчику достаточно предоставить компании образец своей слюны, отправив его по почте.

На прошлой неделе в даркнете были опубликованы образцы данных, похищенных у 23andMe. Один файл, опубликованный злоумышленником, содержал миллион строк данных об ашкенази, а другой — данные более 300 000 пользователей китайского происхождения.

Среди украденных данных была оценка происхождения, данные о фенотипе, медицинская информация, пол, возраст, фотографии, идентификационные данные, дата последнего входа в систему и так далее. Открыть/Комментировать

2023-10-07 18:02:41 Операторы шифровальщика Lorenz случайно раскрыли личности своих жертв

Вымогательская группировка Lorenz случайно раскрыла данные всех людей, которые связывались с ней через онлайн-форму на сайте за последние два года. Среди попавших в открытый доступ данных: имена, адреса электронной почты и темы, введенные пострадавшими в соответствующее поле контактной формы.

Lorenz активна по меньшей мере с 2021 года и занимается обычным двойным вымогательством: не просто шифрует файлы на машинах своих жертв, но и ворует данные пострадавших компаний, а затем угрожает обнародовать их, если не получит выкуп. В прошлом исследователи приписывали этой группе атаку на EDI-провайдера Commport Communications, атаки на VoIP-решения Mitel, а также отмечали активность хакеров в США, Китае и Мексике, где Lorenz атаковала малый и средний бизнес.

Как сообщает издание The Register, утечку данных на сайте хакеров заметил ИБ-исследователь под ником Htmalgae, который извлек информацию с сайта преступников и загрузил в репозиторий на GitHub. Записи охватывают период с 3 июня 2021 года по 17 сентября 2023 года, так как после указанной даты контактная форма группировки сломалась. Открыть/Комментировать

2023-10-05 18:32:51 Компания Sony подтвердила утечку данных тысяч сотрудников

Компания Sony уведомила нынешних и бывших сотрудников (а также членов их семей) о кибератаке, в результате которой была раскрыта их личная информация. Также в компании подтвердили, что утечка произошла в результате атаки на 0-day уязвимость в MOVEit Transfer.

Напомним, что минувшим летом платформа для обмена файлами MOVEit Transfer компании Progress Software использовалась в массовых атаках, последствия которых суммарно затронули более 2100 организаций и 62 млн человек.

Тогда хакеры эксплуатировали критическую уязвимость CVE-2023-34362, которую эксперты обнаружили в начале июня 2023 года. Проблеме оказались подвержены все версии MOVEit Transfer, и атаки на них начались еще 27 мая 2023 года, то есть хакеры обнаружили уязвимость даже раньше исследователей. Открыть/Комментировать

2023-10-03 17:02:14 Lazarus атаковала аэрокосмическую компанию в Испании, прикинувшись рекрутером

Северокорейскую хак-группу Lazarus связали с кибершпионской атакой на неназванную аэрокосмическую компанию в Испании. Злоумышленники вышли на связь с сотрудником компании-жертвы, выдавая себя за рекрутера из Meta (признана экстремистской организацией, деятельность запрещена в РФ), и вынудили его установить новый бэкдор LightlessCan.

Как сообщили специалисты ESET, через LinkedIn с сотрудниками аэрокосмической компании связался фальшивый рекрутер и обманом вынудил их открыть вредоносные исполняемые файлы, которые были замаскированы под тестовые задачи по программированию (Quiz1.iso и Quiz2.iso).

Эти ISO-файлы, содержащие вредоносные файлы Quiz1.exe и Quiz2.exe, были загружены и выполнены сотрудником на корпоративном устройстве, что привело к компрометации системы и проникновению хакеров в корпоративную сеть.

В результате атаки в систему проник загрузчик NickelLoader, который позволял злоумышленникам внедрить в память компьютера жертвы любую программу, включая троян удаленного доступа LightlessCan и miniBlindingCan (вариант малвари BLINDINGCAN с урезанной функциональностью, он же AIRDRY.V2). Открыть/Комментировать