Darknet Methods

2023-10-01 17:32:45 Ворованные учетные данные от GitHub используются для создания фейковых коммитов Dependabot

Аналитики компании Checkmarx обнаружили новую вредоносную кампанию на GitHub. Злоумышленники получают доступ к чужим аккаунтам GitHub и распространяют вредоносные коммиты, замаскированные под активность Dependabot (автоматической системы, предназначенной для проверки зависимостей проекта на актуальность).

Атаки злоумышленников начинаются с того, что они каким-то образом получают личные токены доступа к GitHub, принадлежащие жертвам. Каким образом это происходит, исследователям неизвестно. Но такие токены хранятся локально на компьютерах разработчиков и могут использоваться для входа без двухфакторной аутентификации.

Исследователи предполагают, что кража токенов могла произойти после заражения разработчиков неким вредоносным ПО, которое, вероятно, проникло на их устройства через вредоносный пакет.

Использовав токен для входа, с помощью автоматизированных скриптов, атакующие создают поддельные коммиты с заголовком «fix», которые якобы сделаны пользователем dependabot[bot]. Открыть/Комментировать

2023-09-29 17:32:07 Фишеры угоняют Telegram-аккаунты блогеров

Исследователи из «Лаборатории Касперского» заметили, что злоумышленники атакуют русскоязычных блогеров, маскируясь под рекламодателей и стремясь выманить у них учетные данные от Telegram-аккаунтов.

Таргетированные атаки начинаются с того, что блогеру пишет якобы представитель крупной компании в области онлайн-ретейла и предлагает рекламное сотрудничество. В ходе разговора злоумышленники придерживаются стандартной схемы делового общения для таких взаимодействий. Так, «менеджер» рассказывает, что блогер может выбрать любые позиции, представленные на площадке, устроить распаковку для подписчиков и разместить ссылки на товары у себя в аккаунте.

Дальше обговаривается стоимость рекламной интеграции. Если блогер соглашается на условия и подбирает товары, которые намерен рекламировать, фальшивый представитель бренда заявляет, что отправит информацию на согласование с руководством.

В итоге такая переписка с фиктивным менеджером может длиться несколько дней. Открыть/Комментировать

2023-09-27 18:03:27 СМИ: WhatsApp не будет запускать каналы в России из-за угрозы блокировки

По информации СМИ, разработчики мессенджера WhatsApp отказались от запуска каналов в России. На это решение повлияли заявления представителей комитета Госдумы по информационной политике и Роскомнадзора, которые допускали, что из-за запуска каналов мессенджер будет заблокирован в РФ.

Напомним, что каналы в WhatsApp были представлены широкой публике в середине сентября (изначально их анонсировали еще в июне), и эта функциональность должна заработать для пользователей в 150 странах мира до конца текущего года.

Вскоре после этого анонса замглавы комитета Госдумы по информационной политике Антон Горелкин, а также председатель того же комитета Александр Хинштейн сообщили, что запуск каналов может привести к блокировке месснеджера на территории РФ.

Эту позицию поддержали и представители Роскомнадзора, заявившие, что блокировка WhatsApp в России действительно не исключена, а «появление недружественных каналов с запрещенной информацией незамедлительно повлечет требование об их удалении и при отказе — к блокировке [WhasApp]». Открыть/Комментировать

2023-09-25 17:03:28 Группировка Sandman атакует телекомы модульной малварью LuaDream

Совместное расследование компаний SentinelLabs и QGroup GmbH обнаружило шпионскую кампанию неизвестной ранее группировки Sandman, направленную на поставщиков телекоммуникационных услуг на Ближнем Востоке, в Западной Европе и в субконтиненте Южной Азии. В своих атаках хакеры используют сложный модульный бэкдор, основанный на Lua.

По данным исследователей, атаки группы обычно начинаются с того, что злоумышленники получают доступ к корпоративной сети, используя для этого украденные учетные данные администратора. После этого Sandman применяет атаки типа pass-the-hash для аутентификации на удаленных серверах и в службах через повторное использование NTLM-хэшей, хранящихся в памяти.

Так как в одном из изученных случаев все взломанные рабочие станции принадлежали руководящему персоналу, эксперты считают, что это свидетельствует об интересе злоумышленников к секретной и конфиденциальной информации.

Отмечается, что в своих атаках Sandman использует модульное вредоносное ПО LuaDream, которое применяется для атак типа DLL hijacking на целевые системы. Малварь получила такое название благодаря использованию JIT-компилятора LuaJIT, и исследователи отмечают, что это довольно редкое явление, равно как и использование языка Lua хакерами в целом. При этом подчеркивается, что хакеры лишь применяют LuaJIT как средство для развертывания бэкдоров в целевых организациях. Открыть/Комментировать

2023-09-23 17:31:43 IOActive: критических уязвимостей в автомобилях становится меньше

Эксперты из компании IOActive провели анализ автомобильных уязвимостей за последнее десятилетие. Оказалось, что автомобильная промышленность стала уделять больше внимания кибербезопасности, и количество критических багов резко снизилось.

В исследовании IOActive были рассмотрены уязвимости, обнаруженные за последние 10 лет, но акцент сделан на тенденции 2016, 2018 и 2022 годов. Компания разделила уязвимости на категории и сгруппировала с учетом их потенциального воздействия, вероятности их эксплуатации и общего уровня риска. Причем уровень риска рассчитывался исходя из возможного воздействия и вероятности эксплуатации.

В рамках классификации IOActive, критическими считаются уязвимости, которые могут использоваться удаленно, могут быть легко обнаружены, а последствия от их эксплуатации включают полную компрометацию каких-либо компонентов авто или представляют угрозу безопасности.

К высокорисковым недостаткам относятся те, которые могут быть использованы удаленно и почти не требуют специальной подготовки, а к последствиям их эксплуатации относятся частичный контроль над компонентами, раскрытие конфиденциальной информации и потенциальная угроза безопасности. Открыть/Комментировать

2023-09-21 17:03:55 Хакеры проникли в системы Международного уголовного суда

Международный уголовный суд (МУС) сообщил о кибератаке, в результате которой на прошлой неделе оказались взломаны его системы. В настоящее время инцидент расследуют при содействии голландских властей, так как Международный уголовный суд находится в Гааге.

В связи со случившимся, представители Международного уголовного суда сообщают о планах по улучшению своей киберзащиты, включая ускоренное внедрение облачных технологий.

В настоящее время не сообщается никаких деталей о характере и масштабах кибератаки, о ее воздействии на системы МУС, а также о том, удалось ли злоумышленникам получить доступ к каким-либо данным и файлам в скомпрометированной сети.

Представители МУС лаконично сообщают лишь о том, что «продолжают анализировать и смягчать последствия инцидента», сосредоточившись на «обеспечении продолжения основной работы Суда». Открыть/Комментировать

2023-09-19 17:32:49 Группировка APT36 строит свои атаки на клонах приложения YouTube

По информации SentinelLabs, в последнее время «правительственные» хакеры из группировки APT36 (она же Transparent Tribe) уже использовали как минимум три Android-приложения, имитирующие YouTube, для заражения устройств своих целей трояном CapraRAT.

APT36 — связанная с Пакистаном хак-группа, в основном известная использованием вредоносных приложений для Android для атак на индийские оборонные и правительственные учреждения. Судя по всему, цели кампании, теперь обнаруженной SentinelLabs, так же связаны с военными и дипломатическими кругами в Индии и Пакистане.

По словам исследователей, вредоносные APK распространяются не через официальный магазин Google Play, поэтому, скорее всего, сначала люди становятся жертвами социальной инженерии, и злоумышленники убеждают их загрузить и установить приложение из стороннего источника.

Вредоносные файлы APK были загружены на VirusTotal в апреле, июле и августе 2023 года, причем два из них назывались «YouTube», а другой — «Piya Sharma», что связано с каналом некой личности, которую злоумышленники использовали для «романтических» атак. Открыть/Комментировать

2023-09-17 20:03:38 Microsoft нашла в библиотеке ncurses уязвимости, влияющие на Linux и macOS

Эксперты Microsoft Threat Intelligence обнаружили в библиотеке ncurses ряд ошибок, связанных с повреждением целостности информации памяти. Эти проблемы могут применяться для запуска вредоносного кода в уязвимых системах под управлением Linux и macOS.

Найденные баги получили общий идентификатор CVE-2023-29491 и набрали 7,8 бала по шкале CVSS. Уязвимости были устранены по состоянию на апрель 2023 года, и Microsoft сообщает, что помогала Apple с решением проблем, связанных с этими багами и характерными для macOS.

Исследователи напоминают, что переменные окружения — это определяемые пользователем значения, которые могут использоваться несколькими программами в системе и влиять на их поведение. То есть манипуляции с переменными могут вынудить приложения выполнять несанкционированные операции.

В ходе аудита, который Microsoft проводила с использованием фаззинга, было замечено, что библиотека ncurses ищет ряд переменных окружения, в том числе TERMINFO, которые могут быть «отравлены», использованы для повышения привилегий и не только. Открыть/Комментировать

2023-09-15 17:31:58 За взломом MGM Resorts стояла группировка ALPHV, использовавшая социальную инженерию

Хак-группа BlackCat (ALPHV) взяла на себя ответственность за недавний взлом компании MGM Resorts, которая владеет сетями отелей, курортов и казино по всему миру. Хакеры утверждают, что зашифровали более 100 гипервизоров ESXi, вынудив компанию практически полностью отключить внутреннюю инфраструктуру. При этом злоумышленники якобы все еще сохраняют доступ к сети MGM.

Атака на MGM Resorts произошла в прошлые выходные, и инцидент привел к отключению многих компьютерных систем компании, включая сайты крупнейших отелей Лас-Вегаса и Нью-Йорка, системы бронирования и некоторые услуги в казино.

В частности сообщалось о том, что в казино не работают игровые автоматы, у посетителей отелей отказывают ключ-карты от номеров, электронные переводы выигрышей в казино замедлились, не работает приложение MGM Rewards, а по вопросам бронирования пользователям предлагается связываться с компанией по телефону.

Первыми о связи BlackCat (ALPHV) с этой атакой сообщили исследователи Vx-underground, которые писали, что для взлома компании стоимостью 34 млрд долларов оказалось достаточно 10-минутного телефонного звонка. По их словам, хакеры просто «зашли в LinkedIn, нашли сотрудника [MGM Resorts] и устроили звонок из техподдержки». Открыть/Комментировать

2023-09-13 17:32:51 Группировка Anonymous Sudan устраивает DDoS-атаки на Telegram из-за блокировки канала

Хак-группа Anonymous Sudan запустила DDoS-атаку на Telegram, после того как платформа заблокировала их основную учетную запись.

По информации SOCRadar, обычно атаки группировки мотивированы политическими и религиозными причинами, однако DDoS-атака на Telegram произошла не поэтому. Дело в том, что основной канал хакеров в Telegram недавно заблокировали, и теперь группировка, похоже, пытается отомстить и привлечь внимание.

Напомню, что Anonymous Sudan появилась в январе 2023 года, заявив, что будет атаковать любую страну, выступающую против Судана. Группировка нацеливалась на организации и правительственные учреждения по всему миру, устраивая DDoS-атаки, а также взломы и утечки данных.

Начиная с мая 2023 года, хак-группа в основном атаковала крупные организации, требуя выкуп за прекращение DDoS-атак. Сначала такие атаки были нацелены на компанию Scandinavian Airlines (SAS), а после хакеры переключились на сайты американских компаний, таких как Tinder, Lyft и медицинских учреждений по всей территории США. Открыть/Комментировать