Darknet Methods

2023-09-19 17:32:49 Группировка APT36 строит свои атаки на клонах приложения YouTube

По информации SentinelLabs, в последнее время «правительственные» хакеры из группировки APT36 (она же Transparent Tribe) уже использовали как минимум три Android-приложения, имитирующие YouTube, для заражения устройств своих целей трояном CapraRAT.

APT36 — связанная с Пакистаном хак-группа, в основном известная использованием вредоносных приложений для Android для атак на индийские оборонные и правительственные учреждения. Судя по всему, цели кампании, теперь обнаруженной SentinelLabs, так же связаны с военными и дипломатическими кругами в Индии и Пакистане.

По словам исследователей, вредоносные APK распространяются не через официальный магазин Google Play, поэтому, скорее всего, сначала люди становятся жертвами социальной инженерии, и злоумышленники убеждают их загрузить и установить приложение из стороннего источника.

Вредоносные файлы APK были загружены на VirusTotal в апреле, июле и августе 2023 года, причем два из них назывались «YouTube», а другой — «Piya Sharma», что связано с каналом некой личности, которую злоумышленники использовали для «романтических» атак. Открыть/Комментировать

2023-09-17 20:03:38 Microsoft нашла в библиотеке ncurses уязвимости, влияющие на Linux и macOS

Эксперты Microsoft Threat Intelligence обнаружили в библиотеке ncurses ряд ошибок, связанных с повреждением целостности информации памяти. Эти проблемы могут применяться для запуска вредоносного кода в уязвимых системах под управлением Linux и macOS.

Найденные баги получили общий идентификатор CVE-2023-29491 и набрали 7,8 бала по шкале CVSS. Уязвимости были устранены по состоянию на апрель 2023 года, и Microsoft сообщает, что помогала Apple с решением проблем, связанных с этими багами и характерными для macOS.

Исследователи напоминают, что переменные окружения — это определяемые пользователем значения, которые могут использоваться несколькими программами в системе и влиять на их поведение. То есть манипуляции с переменными могут вынудить приложения выполнять несанкционированные операции.

В ходе аудита, который Microsoft проводила с использованием фаззинга, было замечено, что библиотека ncurses ищет ряд переменных окружения, в том числе TERMINFO, которые могут быть «отравлены», использованы для повышения привилегий и не только. Открыть/Комментировать

2023-09-15 17:31:58 За взломом MGM Resorts стояла группировка ALPHV, использовавшая социальную инженерию

Хак-группа BlackCat (ALPHV) взяла на себя ответственность за недавний взлом компании MGM Resorts, которая владеет сетями отелей, курортов и казино по всему миру. Хакеры утверждают, что зашифровали более 100 гипервизоров ESXi, вынудив компанию практически полностью отключить внутреннюю инфраструктуру. При этом злоумышленники якобы все еще сохраняют доступ к сети MGM.

Атака на MGM Resorts произошла в прошлые выходные, и инцидент привел к отключению многих компьютерных систем компании, включая сайты крупнейших отелей Лас-Вегаса и Нью-Йорка, системы бронирования и некоторые услуги в казино.

В частности сообщалось о том, что в казино не работают игровые автоматы, у посетителей отелей отказывают ключ-карты от номеров, электронные переводы выигрышей в казино замедлились, не работает приложение MGM Rewards, а по вопросам бронирования пользователям предлагается связываться с компанией по телефону.

Первыми о связи BlackCat (ALPHV) с этой атакой сообщили исследователи Vx-underground, которые писали, что для взлома компании стоимостью 34 млрд долларов оказалось достаточно 10-минутного телефонного звонка. По их словам, хакеры просто «зашли в LinkedIn, нашли сотрудника [MGM Resorts] и устроили звонок из техподдержки». Открыть/Комментировать

2023-09-13 17:32:51 Группировка Anonymous Sudan устраивает DDoS-атаки на Telegram из-за блокировки канала

Хак-группа Anonymous Sudan запустила DDoS-атаку на Telegram, после того как платформа заблокировала их основную учетную запись.

По информации SOCRadar, обычно атаки группировки мотивированы политическими и религиозными причинами, однако DDoS-атака на Telegram произошла не поэтому. Дело в том, что основной канал хакеров в Telegram недавно заблокировали, и теперь группировка, похоже, пытается отомстить и привлечь внимание.

Напомню, что Anonymous Sudan появилась в январе 2023 года, заявив, что будет атаковать любую страну, выступающую против Судана. Группировка нацеливалась на организации и правительственные учреждения по всему миру, устраивая DDoS-атаки, а также взломы и утечки данных.

Начиная с мая 2023 года, хак-группа в основном атаковала крупные организации, требуя выкуп за прекращение DDoS-атак. Сначала такие атаки были нацелены на компанию Scandinavian Airlines (SAS), а после хакеры переключились на сайты американских компаний, таких как Tinder, Lyft и медицинских учреждений по всей территории США. Открыть/Комментировать

2023-09-11 17:32:12 Операторы майнинговой малвари атакуют инженеров и графических дизайнеров с мощными GPU

Хакеры все чаще используют Windows-инструмент Advanced Installer, чтобы заражать майнинговой малварью компьютеры графических дизайнеров, архитекторов и инженеров. Злоумышленники скрывают свои вредоносы в установщиках популярных программ для 3D-моделирования и графического дизайна, включая Adobe Illustrator, Autodesk 3ds Max и SketchUp Pro.

Эксперты Cisco Talos, заметившие эту тенденцию, сообщают, что атаки в основном направлены на франкоязычных пользователей. Так, большинство жертв находится во Франции и Швейцарии. Также заметное количество заражений отмечается в США, Канаде, Германии, Алжире и Сингапуре.

Судя по всему, хакеры рекламируют зараженное ПО, используя методы «черного SEO», и на деле такой пиратский софт оказывается заражен троянами удаленного доступа (RAT) и полезными нагрузками майнеров.

По мнению экспертов, злоумышленники сосредотачивают свои усилия на конкретных целях, поскольку графические дизайнеры, аниматоры и так далее чаще используют компьютеры с мощными графическими процессорами, то есть майнинг на их машинах будет более выгодным. Открыть/Комментировать

2023-09-09 18:02:26 США и Великобритания наложили санкции на 11 россиян, якобы связанных с Trickbot

США и Великобритания ввели санкции в отношении 11 граждан России, которых считают причастными вымогательским операциям TrickBot и Conti.

Напомню, что хак-группа TrickBot (она же ITG23, Gold Blackburn и Wizard Spider) считается финансово мотивированной группировкой, которая известна в основном благодаря разработке одноименного банковского трояна TrickBot.

С годами TrickBot эволюционировал из классического банкера, предназначенного для кражи средств с банковских счетов, до многофункционального дроппера, распространяющего другие угрозы (от майнеров и шифровальщиков до инфостилеров). В прошлом году TrickBot и вовсе перешел под управление операторов малвари Conti, которая использовала вредоносное ПО группы для поддержания собственных атак и усиления таких вредоносов как BazarBackdoor и Anchor.

После февраля 2022 года исследователь слил внутреннюю переписку группировки Conti, а вскоре после этого другой человек под псевдонимом TrickLeaks начал сливать информацию о работе TrickBot, что подтвердило связь между этими группировками. Открыть/Комментировать

2023-09-07 18:32:45 Малварь Pandora использует бюджетные Android-приставки для DDoS-атак

Специалисты компании «Доктор Веб» обнаружили семейство малвари Android.Pandora (далее просто Pandora), построенное на базе известного вредоноса Mirai. Pandora компрометирует устройства пользователей в процессе обновления прошивки или при установке приложений для нелегального просмотра видеоконтента.

На разных устройствах изменялись разные файлы. Как выяснилось, скрипт, устанавливающий малварь, ищет системные сервисы, исполняемый код которых находится в .sh-файлах, и добавляет в них строчку, запускающую трояна: /system/bin/supervisord -c /system/bin/s.conf &. Это необходимо, чтобы троян закрепился в системе и запускался после перезагрузки устройства.

Особый интерес у исследователей вызвал обфусцированный файл с именем pandoraspearrk, получивший идентификатор Android.Pandora.2. Анализ показал, что основным предназначением этого бэкдора является использование зараженного устройства в составе ботнета для выполнения DDoS-атак. Открыть/Комментировать

2023-09-05 17:02:33 Okta: хакеры применяют социальную инженерию против специалистов техподдержки

Компания Okta, являющаяся крупным поставщиком систем управления доступом и идентификацией, предупредила, что специалисты служб ИТ-поддержки в США подвергаются атакам. Хакеры вынуждают их сбросить многофакторную аутентификацию для пользователей с высокими привилегиями.

Если атака удалась, злоумышленники использовали привилегированные учетные записи супер-администраторов Okta, чтобы выдать себя за пользователей взломанной организации, задействуя анонимизирующие прокси, новый IP-адрес и новое устройство.

Хакеры использовали полученный доступ для повышения привилегий других учетных записей, сброса аутентификаторов, а также удаляли защиту двухфакторной аутентификации (2ФА) для некоторых аккаунтов.

По данным Okta, эта кампания была активна в период с 29 июля по 19 августа 2023 года. Открыть/Комментировать

2023-09-03 17:02:15 Google удаляет ссылки на пиратский контент из личных коллекций Google Saved

СМИ и пользователи обнаружили, что ссылки на контент, нарушающий DMCA («Закон об авторском праве в цифровую эпоху»), исключаются не только из поисковой выдачи Google. Оказалось, что ссылки на такой контент пропадают и из личных коллекций пользователей.

Издание TorrentFreak обратило внимание на сообщение пользователя Эдди Рузенмааллена (Eddie Roosenmaallen), который поделился полученным от Google письмом. В этом послании компания уведомляет, что одна из ссылок в его коллекции Google Saved (ведущая на уже недействующий домен KickassTorrents) удалена, поскольку нарушала политики Google.

Изначально предполагалось, что удаление затрагивает синхронизированные закладки в Google Chrome, но скоро выяснилось, что это не так и удаление касается Google Saved. Этот сервис Google позволяет пользователям сохранять и систематизировать ссылки, похожим на Pinterest образом. Такие коллекции ссылок могут быть приватными, а также ими можно делиться с другими людьми.

То есть выяснилось, что политика Google в отношении поисковой выдачи также применяется к таким сохраненным ссылкам. В результате URL-адреса, в отношении которых Google получает запросы на удаление из поиска, исчезают также из коллекций пользователей (приватных и публичных). Открыть/Комментировать

2023-09-01 17:02:31 Специалисты FACCT установили связь вымогателей Shadow c хактивистами из группы Twelve

В компании FACCT выяснили, что вымогатели из группировки Shadow и хактивисты из Twelve являются частью одной хак-группы. В своих атаках на российские компании и организации обе группы используют не только схожие тактики, техники и инструменты, но и общую сетевую инфраструктуру.

Тогда как Shadow движет финансовая мотивация (за расшифровку данных вымогатели требуют от жертвы выкуп в размере 140-190 млн рублей), то цель Twelve — саботаж: в ходе атаки они полностью уничтожают ИТ-инфраструктуру жертвы, не требуя денег.

Впервые активность группы Shadow, атаковавшей несколько крупных российских компаний, была обнаружена в феврале-марте этого года. За последние полгода жертвами вымогателей становились промышленные, логистические, энергетические компании. За расшифровку данных злоумышленники Shadow требуют от жертвы сумму в размере 1,5-2 млн долларов (то есть около 140-190 млн рублей по текущему курсу).

Исследователи пишут, что эту группу отличает тщательная подготовка к атакам — они методично захватывают ИТ-инфраструктуру жертвы, похищают конфиденциальную информацию и на последнем этапе атаки проводят полное шифрование инфраструктуры. Открыть/Комментировать