24510
Copyright: @SEAdm1n Вакансии: @infosec_work Сотрудничество - @SEAdm1n Обратная связь. Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot
📚 Бесплатный курс: Linux - администрирование - Bash, кладовая полезных знаний.
• В данном курсе нас с вами ждёт неформальное путешествие по основам работы системного администратора в операционных системах на базе GNU/Linux. Главным нашим инструментом будет Bash (в основном), попробуем с ним подружиться и взглянем на типичные задачи системного и сетевого администрирования (в той или иной степени). Также нас ждёт немало интересных теоретических выкладок по системам, сетям и кибербезопасности.
• В курс входят: 32 урока, 18 часов видео и 29 тестов. Цель курса - познакомиться с основами работы системного администратора в операционных системах на базе GNU/Linux.
➡️ https://stepik.org/course/181507/
#bash #Linux
🐾 Цифровое наследие SIM-карт.
• Сегодня большое количество онлайн-сервисов предлагают своим пользователям вход по номеру мобильного телефона. Сценарий простой: указывается свой номер, на него приходит СМС с одноразовым кодом, после введения кода появляется доступ к своему аккаунту. Такой способ авторизации постепенно приходит на замену привычным логинам и паролям, потому что это быстро и удобно — телефон всегда под рукой и нет необходимости вспоминать учетные данные. Таким образом, к номеру телефона пользователя оказываются привязанными десятки разнообразных сервисов: мессенджеры, соцсети, маркетплейсы, службы доставки и другие.
• Давайте теперь представим, что по каким-то причинам пользователь перестал пользоваться номером телефона. Что произойдет? Спустя какое-то время бездействия (как правило, от 60 до 365 дней, в зависимости от используемого оператора и выбранного тарифного плана) конкретная SIM-карта будет заблокирована. Еще через какое-то время номер телефона вновь поступит в продажу, и его сможет приобрести другой пользователь. Что будет, если новый владелец попробует авторизоваться в онлайн-сервисе, где ранее с этим номером регистрировался прежний владелец?
• Потеря номера — это одновременно и утрата доступа к онлайн-сервисам и приложениям, к которым этот номер был привязан. А это, в свою очередь, дает почву для атак злоумышленников, как только ваш прежний номер телефона вновь поступит в продажу. В этой статье описаны полезные рекомендации для абонентов, разработчиков приложений и операторов мобильной связи, которые помогут повысить ваш уровень защищенности:
➡️ https://habr.com/ru/post/856538/
#ИБ
📱 Хакерский мультитул из старого смартфона.
• Возможность свободного выбора устройств, приложений и информации сейчас — движущая сила, которая мотивирует разработчиков создавать и совершенствовать свои продукты. Сегодня обсудим, какая альтернатива может быть у знаменитого Flipper Zero и реализуем альтернативу с помощью старого смартфона.
➡️ https://habr.com/ru/post/848524/
#ИБ
• Вот такой вектор атак существует в дикой природе. Вы переходите на сайт, ставите галочку "Я не робот", а дальше происходит всё как на видео. По итогу жертва запускает вредоносный PowerShell скрипт и компрометирует свой ПК.
• Эта схема работает по нескольким причинам: человечкий фактор (люди уже давно приучены делать то, что просят их сделать для подтверждения капчи) и техническая возможность записывать текст в буфер обмена посетителя сайта.
➡️ Более подробно описано вот тут: https://github.com/JohnHammond/recaptcha-phish.
#ИБ #Фишинг
Исследователи Microsoft сообщают об обнаружении нового RAT, который использует сложные методы для уклонения от обнаружения, обеспечения персистентности в целевой среде и кражи конфиденциальных данных.
StilachiRAT с момента выявления в ноябре 2024 году еще не успел широко распространиться, но в Microsoft несмотря на это, решили все же поделиться индикаторами и рекомендациями по смягчению последствий.
В виду ограниченного числа случаев развертываний StilachiRAT в реальных условиях Microsoft пока не смогла атрибутировать вредоносное ПО с конкретным субъектом угроз и понять его географическую привязку.
Из новых функций RAT исследователи отметили такие разведывательные возможности, как сбор системных данных, включая идентификаторы оборудования, наличие камер, активные сеансы RDP и запуск приложений на основе графического интерфейса для профилирования целевых систем.
Анализ модуля WWStartupCtrl64.dll StilachiRAT, содержащего возможности RAT, показал использование различных методов для кражи широкого спектра информации из целевой системы.
После внедрения на взломанные системы злоумышленники могут задействовать StilachiRAT для кражи криптоактивов, сканируя информацию о конфигурации более 20 расширений криптокошельков, включая Coinbase Wallet, Phantom, Trust Wallet, Metamask, OKX Wallet, Bitget Wallet и др.
Вредоносная ПО также извлекает учетные данные, сохраненные в локальном файле состояния Google Chrome, с помощью API Windows и отслеживает активность буфера обмена на предмет конфиденциальной информации, такой как пароли и ключи криптовалюты, а также отслеживает активные окна и приложения.
После запуска в качестве автономного процесса или службы Windows StilachiRAT поддерживает постоянство с помощью диспетчера управления службами Windows (SCM), обеспечивая автоматическую переустановку при необходимости.
StilachiRAT способен отслеживать активные сеансы RDP, клонируя токены безопасности, что позволяет операторам перемещаться по сетям жертвы после развертывания RAT на серверах RDP, где зачастую размещаются административные сеансы.
Возможности RAT также включают обширные функции уклонения от обнаружения и антианализа, - прежде всего, зачистску журналов событий и проверку «песочницы».
Даже если трояну придется работать в песочнице, вызовы Windows API StilachiRAT кодируются как контрольные суммы, которые динамически разрешаются во время выполнения и дополнительно запутываются, чтобы замедлить анализ.
Наконец, StilachiRAT позволяет выполнять команды и потенциально применять SOCKS-подобное проксирование с использованием команд с сервера C2 на зараженные устройства, что позволяет операторам перезагрузить систему, очистить журналы, выкрасть учетные данные, запустить приложения и манипулировать системными окнами.
Дополнительно реализованный функционал предназначен для приостановки работы системы, изменения значений реестра Windows и перечисления открытых окон.
Компания Curator запустила CDN🔥
Отличная новость: компания Curator запустила в полномасштабную эксплуатацию Curator.CDN — собственную сеть доставки контента с интегрированной DDoS-защитой.
Для чего? Curator.CDN одновременно ускоряет загрузку сайтов и обеспечивает защиту от DDoS-атак.
Для кого? В первую очередь это онлайн-магазины, стриминговые сервисы, развлечения, СМИ и онлайн-образование. Но в современных условиях использование защищенного CDN будет полезно практически для любого бизнеса.
🛡️ Чем Curator.CDN отличается от других решений? Архитектура Curator.CDN изначально спроектирована с учетом безопасности. Неотключаемая защита от DDoS работает как на отрезке от интернет-пользователей до CDN-кэша, так и от CDN до ресурсов заказчика. Это позволяет предотвратить сложные атаки, которые рассчитаны на эксплуатацию уязвимостей в самих сетях доставки контента.
🌍 Глобальная сеть центров обработки данных Curator позволяет расширять региональное покрытие и наращивать сетевую емкость без дополнительных инвестиций, а также многократно повысить качество обслуживания клиентов. Серверы доставки контента есть в 15 городах-миллионниках России, и не только в них.
💸 Еще одна важная особенность Curator.CDN — это прозрачное ценообразование. Все доступные опции уже включены в указанную стоимость, без ограничений и скрытых платежей.
Curator.CDN легко подключается и управляется через единый личный кабинет платформы Curator. Клиентам доступны расширенная аналитика и надежная техническая поддержка 24/7.
👉 Подробнее о Curator.CDN
🪙 Методология Баг-Баунти.
• Эта статья основана на опыте веб-хакера, но описанные в ней принципы в целом применимы ко всем дисциплинам хакинга. В основном материал предназначен для начинающих этичных хакеров и для людей, которые уже нашли несколько багов, но хотят сделать свой подход к баг-баунти более последовательным и систематичным.
• Методология состоит из нескольких основных компонентов:
➡Инструменты: чем пользуется хакер, чтобы атаковать цель?
➡Образ мышления: насколько настойчив хакер? Как хакер преодолевает ментальные барьеры?
➡Подход к работе: некоторые хакеры используют чек-листы. Другие руководствуются собственной интуицией. Как хакеры применяют свои знания на практике?
➡Опыт: конкретный порядок реализации методологии зависит от предыдущего опыта хакера. Опытные хакеры обычно очень в этом эффективны. Эффективность — это результат накопленного опыта.
➡ https://habr.com/ru/post/849370
#bb
⚡️Хорошие новости: разыгрываем 3 книги по этичному хакингу.
• 9 победителей этого конкурса получат по 3 книги в бумажной версии, которые будут полезны ИБ специалистам:
- Сети глазами хакера;
- Контролируемый взлом. Библия социальной инженерии;
- Linux глазами хакера.
• Итоги подведём 22 марта в 18:30 случайным образом при помощи бота. Доставка для победителей бесплатная в зоне действия СДЭК.
Для участия нужно:
1. Быть подписанным на наш канал: ZeroDay.
2. Подписаться на каналы наших друзей: Mycroft Intelligence и infosec.
3. Нажать на кнопку «Участвовать»;
4. Profit...
Бот может немного подвиснуть — не переживайте! В таком случае просто нажмите еще раз на кнопку «Участвовать».
📶 SSH Honeypot. Часть 2.
➡Cowrie — приманка SSH и Telnet со средним и высоким уровнем взаимодействия. Предназначена для регистрации попыток брутфорса. В разных режимах работает как прокси-сервер для SSH и telnet или эмулирует систему UNIX с полноценной фейковой файловой системой. Хорошо работает в паре с Longitudinal Analysis для обработки журналов.
➡sshesame — простой в настройке поддельный SSH-сервер, который позволяет подключиться любому, и регистрирует SSH-соединения и активность, не выполняя на самом деле никаких команд и запросов.
➡Mushorg / Glutton — SSH и TCP-прокси, который работает как MITM между злоумышленником и сервером и позволяет шпионить за его действиями.
➡pshitt — легковесный поддельный SSH-сервер, предназначенный для сбора аутентификационных данных, отправленных злоумышленниками. Сохраняет в JSON логины и пароли, используемые программным обеспечением для перебора SSH.
➡SSH Honeypot — еще одно решение для сбора базовых сведений об атаке. Прослушивает входящие ssh-соединения и регистрирует IP-адрес, имя пользователя и пароль, которые использует клиент.
➡FakeSSH — докенизированный SSH-сервер-приманка с низким уровнем взаимодействия, написанный на Go. Регистрирует попытки входа в систему, но всегда отвечает, что пароль неверен.
➡docker-ssh-honey — еще одна простая приманка с аналогичной FakeSSH функциональностью.
➡ssh-auth-logger — регистрирует все попытки аутентификации в виде json, не взаимодействует со злоумышленником.
➡ssh-honeypotd — SSH-приманка с низким уровнем взаимодействия, написанная на C.
➡Honeyshell — написанная на Go SSH-приманка. Собирает логины и пароли.
➡Endlessh — коварная штука, которая открывает сокет и притворяется сервером SSH, который очень медленно отправляет SSH-баннер. Способна удерживать клиентов в течение нескольких часов или даже дней. Значительно замедляет и даже парализует работу ботов и сканеров.
#SSH #Honeypot
🎃 Windows Downdate: Downgrade Attacks Using Windows Updates and Beyond.
• Эксперт в области информационной безопасности Алон Левиев в августе выпустил инструмент Windows Downdate, который можно использовать для атак «понижения версии». Эти атаки позволяют возвращать старые уязвимости в современные системы Windows 10, 11 и Windows Server.
• Windows Downdate доступен на GitHub как программа с открытым исходным кодом на основе Python и предварительно скомпилированный исполняемый файл Windows.
• Левиев также поделился несколькими примерами использования, в которых он откатил версии гипервизора Hyper-V (до 2022 года), ядра Windows, драйвера NTFS и драйвера Filter Manager (до базовых), а также других компонентов Windows.
«Помимо этого, Windows Downdate предлагает откат исправлений для CVE-2021-27090, CVE-2022-34709, CVE-2023-21768 и PPLFault»
Взломай меня, если сможешь!
Боты скупают товары быстрее, чем люди. Фишинговые сайты крадут данные пользователей, а мошенники находят лазейки даже в самых защищённых системах. Пока одни компании теряют деньги, другие уже знают, как противостоять киберугрозам.
Хотите узнать, какие атаки ждут ваш бизнес в 2025 году? 13 марта 2025 года с 11:00 до 13:00 приглашаем на бесплатный вебинар, где эксперты F6 разберут самые актуальные техники атак:
– Как злоумышленники используют социальную инженерию?
– Как работает вредоносное ПО (ВПО) в реальных атаках?
– Какие угрозы связаны с NFCGate и SpyNote?
Команда F6 представит реальные кейсы атак, основанные на нашей статистике и опыте исследования ВПО, и покажет, какие стратегии защиты действительно работают.
Регистрируйтесь на вебинар, чтобы узнать, как защитить ваш бизнес от киберугроз!
#реклама
О рекламодателе
⌛ Portal.
• Забавная тулза для передачи файлов. Отправляем файлы, при этом получаем пароль, передаём этот пароль адресату, и с его помощью он скачивает файлы. Portal является кроссплатформенным и его можно использовать на macOS, Linux или Windows.
• Передача файлов происходит через сторонний сервер. Если требуется, то сервер для передачи файлов можно поднять в собственной инфраструктуре.
➡️ https://github.com/SpatiumPortae/portal
#Разное
👩💻 Linux в Голливуде.
• Студии, занимающиеся компьютерной графикой и спецэффектами – такие как Industrial Light and Magic, Pixar, Weta Digital, DreamWorks Animation, широко используют Linux для рендеринга финальных кадров фильмов. Этот процесс требует огромных вычислительных мощностей и может занимать для одного фильма месяцы или даже годы машинного времени. Для обработки столь масштабных задач студии используют так называемые рендер-фермы – кластеры из сотен или тысяч серверов, работающих параллельно. И подавляющее большинство этих серверов работает под управлением Linux.
• Студии могут тонко настроить ОС под свои нужды, оптимизировать производительность и при этом не тратить огромные средства на лицензии, ведь Linux бесплатен. Более того, многие ключевые приложения для 3D-моделирования, анимации и рендеринга, такие как Blender, Houdini, Foundry Nuke, Autodesk Maya и другие, имеют нативные версии для Linux или даже разрабатываются изначально под эту ОС.
• Так что когда вы в следующий раз будете смотреть последний блокбастер от Marvel, Star Wars или Pixar, знайте – без Linux его создание было бы невозможно. Те самые захватывающие дух визуальные эффекты, которыми славится современный кинематограф – результат работы тысяч серверов под управлением этой ОС.
#Разное #Linux
✉ Как электронная почта в 90-х приживалась в бизнесе и обществе.
• Многие из Вас знают, что почта появилась задолго до интернета: первые электронные сообщения начали отправлять еще в 1965 году на суперкомпьютерах IBM. Для этого использовали команду write на операционной системе Unix, а в Tenex приписывали послания к концу отправляемого файла. Передача сообщений происходила в рамках одного компьютера, а позже — локальной сети, но само общение на компьютере больше расценивалось как развлечение.
• В конце 60-х компьютеры считались машинами исключительно для вычислений, а поговорить можно было по телефону или устроив личную встречу. Но даже спустя тридцать лет, когда интернет уже захватывал умы, находились люди, которые продолжали считать так же.
• Технологии развивались. Когда в США появился ARPANET, который начал объединять десятки компьютеров в одну сеть, потребовался общий протокол, который сделает отправку и получение электронных писем стандартным для всех устройств. Так появился SMTP, который используют до сих пор.
• К концу 80-х компьютеры стали достаточно мощными, чтобы между ними можно было постоянно обмениваться электронными письмами. Почта закреплялась как формат общения в сети. Для нее начали делать графические клиенты — так появился Elm, а за ним TUI, Mutt, Pine и другие. Их продолжали делать ученые, но с расчетом на технически менее продвинутую публику.
• В 1993 Всемирная паутина, которая объединила научные сети в одну, становится открытой для всех. Интернет начинают заполнять сайты, доски объявлений, форумы, но для большинства пользователей еще несколько лет он будет оставаться недоступным: скорости входа в сеть еще было недостаточно. Зато общение через электронную почту, которая была встроена как услуга у первых интернет-провайдеров, было популярной точкой входа в киберпространство.
• Один из них — America Online (AOL). После подключения к сети по диалап-модему всплывает стартовое окно со встроенным почтовым ящиком и чатом. При появлении нового письма приходило голосовое уведомление “You've got mail” — такое же узнаваемое для американских пользователей начала 90-х, как для нас звук нового сообщения в ICQ.
• Несмотря на то что стандарты отправки писем уже были, провайдеры и хостинги использовали разные шлюзы. Например, у CompuServe не было имен — только цифры, который достались в наследство от старой архитектуры. Общаясь внутри сети, вы могли слать письма на, например, 71543,310. Но если вы хотели отправить письмо с того же AOL, то нужно было указать шлюз и убрать запятую: 71543.310@compuserve.com. Для тех лет проблема с разными форматами почтовых имен встречалась достаточно часто. The New York Times обращал внимание, что даже простые адреса могли казаться «написанными по-марсиански: bigk9@avm1.hq.umars.edu».
• Когда доступ к интернету стал дешевле, а модемы — чуть быстрее, то вход в браузер перестал быть проблемой. Появилась веб-почта, одной из первых была HotMail — она была бесплатной и удобной для пользователя. Это серьезно упрощало доступ к обмену почтой: не нужно было разбираться с командными строками, операционными системами и общаться через ящик своего провайдера.
• Спустя несколько лет HotMail выкупит Microsoft и позже превратит его в Outlook. Эта сделка станет знаковой и для РФ: один из создателей Mail.ru, Алексей Кривенков, вдохновится продажей и начнет делать свою почтовую службу.
• К концу 90-х университеты и крупные корпорации обмениваются письмами наравне с бумажными документами. Первые юзеры интернета активно заводят ящики в бесплатных службах Hotmail и RocketMail либо продолжают пользоваться ящиками своих провайдеров. Популярность общения в сети растет.
• СМИ называли этот тренд интернет-манией: сеть начала захватывать умы не только обычных юзеров, но и бизнеса. В 1993 году интернет привлекал по 150 тысяч пользователей ежемесячно, а к 1994 году почтой пользовались от 40 до 50 млн человек, из которых 16 млн — команды и бизнес.
#Разное
Исследователи из Лаборатории Касперского расчехлили массовую кампанию, нацеленную на пользователей DeepSeek с использованием различных сайтов, мимикрирующих под официальный ресурс чат-бота.
Исследуя внутренние данные об угрозах, в ЛК обнаружили несколько различных групп сайтов, копирующих официальный сайт DeepSeek и распространяющих вредоносный код под видом клиента для популярного сервиса.
Первая группа сайтов находилась на доменах, в названиях которых использовались версии моделей DeepSeek (V3 и R1): r1-deepseek[.]net и v3-deepseek[.]com.
На поддельном сайте опция начать чат отсутствует - есть только вариант скачать приложение. При этом у настоящего DeepSeek нет официального клиента для Windows.
При нажатии кнопки Get DeepSeek App на устройство пользователя скачивается небольшой архив deep-seek-installation.zip с файлом DeepSeek Installation.lnk, содержащим URL-адрес. Цепочка в конечном итоге приводит к заражению стилером.
Это написанный на Python скрипт-стилер, ранее не встречавшийся в атаках.
Посредством него злоумышленники получают множество данных с компьютера пользователя: cookie и сессии из браузеров, логины и пароли от учетных записей различных сервисов, файлы с заданными расширениями, информацию о криптокошельках и др.
Собрав всю необходимую информацию, скрипт формирует архив и затем отправляет его операторам стилера через Telegram-бот либо загружает полученный архив на файлообменник Gofile.
В другом случае были обнаружены мимикрирующие под страницу DeepSeek сайты на следующих доменах: deepseek-pc-ai[.]com и deepseek-ai-soft[.]com.
Что примечательно, поддельный сайт использует геофенсинг и при запросах с определенных IP-адресов выдает только заглушу.
Пользователю предлагается скачать клиент или запустить чат-бота, однако при любом из этих действий с поддельной страницы скачивается вредоносный инсталлятор, созданный при помощи Inno Setup.
После запуска инсталлятор обращается к вредоносным URL-адресам для получения команд, одна из которых запускает powershell.exe со скриптом, закодированным по алгоритму Base64, в качестве аргумента.
Он, в свою очередь, загружает по закодированному URL-адресу другой PowerShell-скрипт, который приводит встроенную службу SSH в активное состояние, а также изменяет ее конфигурацию, используя ключи злоумышленника, что дает возможность подключиться к компьютеру жертвы.
Эта группа интересна тем, что исследователям удалось найти основной вектор распространения ссылки на опасный домен — посты в X.
Некоторые были исполнены от якобы австралийской компании. При этом замеченная публикация набрала 1,2 млн. просмотров и более сотни репостов.
Третья группа сайтов, с которых сразу скачивались вредоносные исполняемые файлы: app.delpaseek[.]com, app.deapseek[.]com и dpsk.dghjwd[.]cn.
Механика этих атак нацелена на технически более продвинутых пользователей - загружаемая вредоносная нагрузка маскируется под Ollama, фреймворк для запуска больших языковых моделей, таких как DeepSeek, на локальных мощностях.
Пользователю оставалось лишь запустить «клиент DeepSeek» на своем устройстве, и вредоносная программа сделает свое дело — создаст туннель для передачи трафика по протоколу KCP с заданными параметрами.
Технические подробности и IoC - отчете.
👩💻 Python для сетевых инженеров.
• Python уверенно лидирует в рейтингах популярности языков программирования, и не зря — на этом языке можно решать самые разные задачи и при этом сильно экономить время. Я нашел очень полезную книгу, в которой рассматриваются основы Python с примерами и заданиями построенными на сетевой тематике. Надеюсь, что многим из Вас пригодится данный материал и поможет приступить к изучению этого языка программирования.
• Книгу можно читать в онлайне (по ссылкам ниже), либо скачать в удобном формате и на разных языках:
• Основы Python:
➡Подготовка к работе;
➡Использование Git и GitHub;
➡Начало работы с Python;
➡Типы данных в Python;
➡Создание базовых скриптов;
➡Контроль хода программы;
➡Работа с файлами;
➡Полезные возможности и инструменты.
• Повторное использование кода:
➡Функции;
➡Полезные функции;
➡Модули;
➡Полезные модули;
➡Итераторы, итерируемые объекты и генераторы.
• Регулярные выражения:
➡Синтаксис регулярных выражений;
➡Модуль re.
• Запись и передача данных:
➡Unicode;
➡Работа с файлами в формате CSV, JSON, YAML.
• Работа с сетевым оборудованием:
➡Подключение к оборудованию;
➡Одновременное подключение к нескольким устройствам;
➡Шаблоны конфигураций с Jinja2;
➡Обработка вывода команд TextFSM.
• Основы объектно-ориентированного программирования:
➡Основы ООП;
➡Специальные методы;
➡Наследование.
• Работа с базами данных:
➡Работа с базами данных.
• Дополнительная информация:
➡Модуль argparse;
➡Форматирование строк с оператором %;
➡Соглашение об именах;
➡Подчеркивание в именах;
➡Отличия Python 2.7 и Python 3.6;
➡Проверка заданий с помощью утилиты pyneng;
➡Проверка заданий с помощью pytest;
➡Написание скриптов для автоматизации рабочих процессов;
➡Python для автоматизации работы с сетевым оборудованием;
➡Python без привязки к сетевому оборудованию.
#Python
Observability как культура: как внедрить её в команду?
Приглашаем обсудить это на бесплатном вебинаре от учебного центра Слёрм.
О чем поговорим:
🔸 как убедить команду и руководство в важности observability;
🔸 зачем вообще это внедрять;
🔸 с какими культурными барьерами может столкнуться команда;
🔸 какие практические шаги предпринять, чтобы донести ценность;
🔸 как подготовиться к будущим вызовам.
И, конечно, всеми любимые факапы из реальной жизни — про это мы точно не забудем!
Когда: 1 апреля в 19:30
📌 Занять место на вебинаре — через бота.
Ресерчеры из Лаборатории Касперского отловили нового инфокрада под названием Arcane, кампания по распространению которого началась в ноябре 2024 года и включала несколько этапов развития, в том числе и замену основной полезной нагрузки.
Недавно обнаруженное вредоносное ПО способно красть большой объем пользовательских данных и при этом никак не пересекается с Arcane Stealer V, который уже много лет циркулирует в киберподполье.
Как сообщают исследователи, все переговоры и публичные сообщения операторов ведутся на русском языке, а телеметрия ЛК указывает на концентрацию заражений Arcane в России, Беларуси и Казахстане.
Кампания по распространению Arcane Stealer реализуется через ролики на YouTube с рекламой читов для игр, обманом заставляя пользователей переходить по ссылке для загрузки защищенного паролем архива.
Файлы содержали start.bat. Его содержимое было обфусцировано, а его функциональность сводилась к запуску PowerShell для скачивания другого запароленного архива, а затем распаковки его с помощью утилиты UnRAR.exe, в аргументы которой передавался вшитый в BATCH-файл пароль.
Загруженные файлы добавляют исключение в фильтр SmartScreen защитника Windows для всех корневых папок дисков или полностью отключают его с помощью изменений реестра Windows.
В качестве стилера выступала модификация троянца Phemedrone, которую злоумышленники называли VGS, но в ноябре 2024 года они переключились на Arcane.
Злоумышленники регулярно обновляют его, поэтому код и возможности стилера меняются от версии к версии.
Исследователи Лаборатории Касперского также задетектили последние изменения в методе распространения, включая использование поддельного загрузчика ПО, предположительно для кряков и читов популярных игр, под названием ArcanaLoader.
ArcanaLoader активно рекламируется на YouTube и Discord, причем операторы даже приглашают создателей контента продвигать его в своих блогах/видео за определенную плату.
Исследователи ЛК отмечают, что масштабная кампания кражи данных выделяет Arcane среди множества вредоносных программ в категории стилеров.
Сначала Arcane Stealer составляет профиль зараженной системы, похищая данные об оборудовании и программном обеспечении, такие как версия ОС, сведения о центральном и графическом процессоре, установленном антивирусе и браузерах.
Текущая версия вредоносного ПО нацелена на данные:
- VPN-клиентов (OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, Proton, hidemy.name, PIA, CyberGhost, ExpressVPN),
- сетевых инструментыов (ngrok, Playit, Cyberduck, FileZilla, DynDNS),
- мессенджеров (ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber, Viber),
- почтовых и игровых клиентов (Riot Client, Epic, Steam, Ubisoft Connect (ex-Uplay), Roblox, Battle.net, различные клиенты Minecraft),
- криптокошельков (Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda, Coinomi),
- браузеров (сохраненные логины, пароли и файлы cookie).
Кроме того, стилер собирает различную системную информацию (версию и дату установки ОС, цифровой ключ для активации системы и проверки лицензии, имя пользователя и компьютера, местоположение, сведения по железу, об установленных антивирусах и браузерах.
Также Arcane делает скриншоты зараженного устройства, получает списки запущенных процессов и сохраненных в ОС Wi-Fi-сетей, а также пароли к последним.
Несмотря на то, что в настоящее время Arcane имеет конкретную таргетинговую направленность, операторы могут в любой момент расширить охват кампании, нацеливаясь на пользователей из других стран или другой аудитории.
Как управлять проектами и планировать работу команды?
Не Джирой единой, как говорится 😎 Навести порядок в рабочих процессах и повысить продуктивность команды помогут инструменты Сферы.
Сфера.Знания — корпоративная база знаний, которая позволяет систематизировать информацию по проектам и дает возможность совместно работать с требованиями, инструкциями, описаниями процессов и другой документацией.
Сфера.Задачи — умный конструктор, который поддерживает различные методологии управления проектами и подходит для команд любого размера, работающих со Scrum / Agile / SAFE / Kanban.
Совместное использование инструментов Сфера.Задачи и Сфера.Знания позволяет:
✅ Быстро искать информацию. Задачи привязаны к статьям в Сфера.Знания.
✅ Фиксировать лучшие практики и решения из задач в базе знаний, чтобы использовать их в дальнейшем.
✅ Работать с актуальной информацией, так как при изменении статуса проекта задача по обновлению создается автоматически.
✅ Оперативно находить необходимую документацию по продукту благодаря связи задач со статьями в базе знаний.
📤 Узнать подробнее о том, как работают инструменты Сферы, можно тут.
Реклама ООО «ГК «Иннотех»» ИНН: 9703073496. Erid: 2SDnjeZrioE
🖥 Система доменных имен: с чего все началось?
• Свое начало система доменных имен берет в 50-х — 60-х годах прошлого века. Тогда она помогла упростить адресацию хостов в сети ARPANET и очень быстро перешла от обслуживания сотен компьютеров к работе с сотнями миллионов.
• Сеть ARPANET стали использовать университеты, телекоммуникационные компании и учёные из разных областей науки. В 80-х к ней были подключены целых 320 компьютеров. Такое количество устройств породило проблему — стало сложно работать с адресами. Для обмена данными каждый из подключенных компьютеров скачивал файл hosts.txt с информацией об остальных хостах. Этот файл существовал в единственном экземпляре на сервере, размещенном в Стэнфордском исследовательском институте. Пользователям становилось все сложнее работать с раздутым списком, учитывая тот факт, что идентификаторы при подключении приходилось прописывать вручную.
• Особенно сильно проблема была заметна во время отправки электронных писем. Чтобы переслать сообщение с одного компьютера на другой, пользователь должен был сам указать путь для его передачи между системами. Задачу усложнял тот факт, что отдельные устройства могли выходить в сеть в разное время дня. Выглядел коммуникационный путь примерно следующим образом:
utzoo!decvax!harpo!eagle!mhtsa!ihnss!ihuxp!grg
Банда вымогателей BlackBasta разработала и задействовала автоматизированную платформу под названием BRUTED для взлома корпоративных брандмауэров и VPN.
С инструментом ознакомились исследователи EclecticIQ, обнаружив ее в ходе анализа утекшей переписки банды.
Инструмент позволил BlackBasta оптимизировать получение первоначального доступа к сети и масштабировать атаки с использованием ransomware на уязвимые конечные точки, доступные через Интернет.
Причем в течение 2024 года фиксировалось несколько подобных масштабных атак в отношении указанных устройств, некоторые из которых могут быть связаны с BRUTED или аналогичными операциями.
Как отмечает исследователи, Black Basta как раз начала использовать BRUTED с 2023 года для проведения атак с подстановкой учетных данных и брутфорсом на периферийные сетевые устройства.
Инструмент написан на PHP и специально разработан для подбора учетных данных в следующих продуктах: SonicWall NetExtender, Palo Alto GlobalProtect, Cisco AnyConnect, Fortinet SSL VPN, Citrix NetScaler (Citrix Gateway), Microsoft RDWeb (Remote Desktop Web Access) и WatchGuard SSL VPN.
Фреймворк ищет общедоступные периферийные сетевые устройства, соответствующие списку целей, перечисляя поддомены, разрешая IP-адреса и добавляя префиксы, такие как «.vpn» или «remote».
Все совпадения передаются обратно на сервер C2, откуда извлекаются списки паролей и реализуется множество запросов на аутентификацию с помощью нескольких процессов ЦП.
При этом BRUTED может извлекать общее имя (CN) и альтернативные имена субъектов (SAN) из SSL-сертификатов целевых устройств, что помогает генерировать дополнительные варианты паролей на основе домена цели и соглашений об именовании.
Чтобы избежать обнаружения, фреймворк использует список прокси-серверов SOCKS5 с интересным доменным именем, которое скрывает инфраструктуру злоумышленника за промежуточным слоем.
ElecticIQ в отчете также поделилась перечнем IP и доменов, используемых BRUTED, которые следует учесть для блокировки запросов от вредоносной инфраструктуры.
📦 Hack The Box. Прохождение машин с разным уровнем сложности.
• Прохождение Linux-машины CODIFY — это легкая Linux-машина, на которой установлено веб-приложение, позволяющее пользователям тестировать код Node.js. Приложение использует уязвимую библиотеку vm2, которая используется для удаленного выполнения кода. По мере исследования цели обнаруживается база данных SQLite, содержащая хэш, который, будучи взломанным, дает SSH-доступ к устройству. Наконец, уязвимый скрипт Bash может быть запущен с повышенными привилегиями для раскрытия пароля пользователя root, что приводит к получению привилегированного доступа к машине.
• Прохождение Linux-машины INTENTIONS — это сложная машина на Linux, которая начинается с веб-сайта галереи изображений, подверженного вторичной SQL-инъекции, что приводит к обнаружению хэшей BCrypt. Дальнейшее расследование раскрывает наличие API v2, которое позволяет аутентификацию через хэши вместо паролей, что ведет к доступу администратора к сайту.
• Расследуем инцидент взлома MEERKAT — Вас пригласили в качестве нового поставщика услуг безопасности для Forela, быстро развивающегося стартапа. Стартап использовал платформу для управления бизнесом, но с недостаточной документацией и потенциально слабыми методами обеспечения безопасности. Вам предоставляются PCAP и данные журналов, и перед вами ставится задача определить, произошла ли компрометация. Этот сценарий заставит вас применить свои навыки анализа, эффективно просеивая сетевые данные и журналы для обнаружения потенциальных признаков вторжения, и тем самым даст реальное представление о ключевой роли кибербезопасности в защите развивающегося бизнеса.
➡️ Дополнительный материал можно найти на YT: MrCyberSec/videos" rel="nofollow">https://www.youtube.com/@MrCyberSec/videos
#HTB #CTF
🗼Telefontornet — замок связи.
• Вот так выглядела телефонная башня, которую построили в 1887 году в Стокгольме…
• А началось всё еще в далеком 1876 году, когда был совершён первый междугородный телефонный звонок. Телефон уже был патентован и вызвал интерес у правителей разных стран: так случилось, что в 1877 году шведский король Оскар II принял свой первый звонок. Правитель решил, что стране нужна эта технология и за 4 года в Швеции был установлен 121 телефон. Это сейчас нам кажется чем-то крайне малым, но тогда провести телефон было не только сложно, но и очень дорого: в зависимости от длины линии владелец должен был заплатить от 160 до 280 шведских крон. Такое могла себе позволить только знать.
• Связь в те времена была, разумеется, проводная, и возникла новая проблема — провода нужно было куда-то «наматывать и замыкать», а именно нужен был большой единый коммутатор с множеством линий. Так в 1887-1890 году появилась Telefontornet — самая большая в мире телефонная башня, чей рекорд (5500 линий) так никто и не побил (угадали, почему?). От башни по крышам Стокгольма тянулись более 5000 км проводов, город опутала причудливая и очень нужная паутина (на фото).
• Вообще, башня должна была быть ещё более причудливой: 80-метровая стальная мачта, но власти воспротивились и сошлись с бизнесом на четырёх по 45 метров. А вот красивые (и нефункциональные) ажурные башенки, придающие сооружению вид замка, появились лишь в 1890 году, когда «уродский» элемент городского ландшафта реконструировали, объявив конкурс. Так башня стала достопримечательностью, предметом обожания и ненависти, потому что именно она доминировала во всём архитектурном комплексе города.
• Однако инженеры связи видели очевидные проблемы висящих проводов: зимние неприятности, короткий срок службы, провисы и обрывы, затратное и сложное обслуживание, уродливое городское небо и т.д.
• Поэтому ещё в начале 1890-х телефонные кабели стали уходить под землю. А уже в 1913 году от башни шли лишь некоторые линии, она перестала быть главной телефонной башней и оставалась скорее частью архитектурного ансамбля и памятником совсем недавней истории. Однако башне ещё предстояло сыграть роль… рекламного носителя: в 1939 году на неё установили самые большие в Европе часы диаметром 7,6 м и весом 7 тонн. Их было видно отовсюду, а на циферблате красовались буквы N и K — логотип крупнейших универмагов Nordiska Kompaniet (универмаги до сих пор функционируют).
• К слову, в среде связи есть версия, что именно «паутинное» небо Стокгольма стало главным стимулом к закладке кабелей в землю по всему миру — судя по фотографиям, было и правда ну очень жутко.
• А история самой башни закончилась довольно печально: она погибла в результате пожара в радиолаборатории в 1952, а в 1953 году башню демонтировали. Вот такие дела...
#Разное
👩💻 Linux и мировые рекорды производительности.
• Знаете ли вы, что абсолютное большинство мировых рекордов производительности было установлено на системах под управлением Linux? От высокопроизводительных вычислений и обработки больших данных до сетевых коммуникаций и энергоэффективности – Linux доминирует практически во всех дисциплинах.
• Возьмем, к примеру, тест LINPACK, который используется для составления списка Top500 самых мощных суперкомпьютеров мира. Этот тест измеряет скорость решения плотных систем линейных уравнений и является одним из основных показателей производительности суперкомпьютеров.
• Текущий рекорд в тесте LINPACK принадлежит суперкомпьютеру Frontier и составляет 1.2 экзафлопса (квинтиллиона операций с плавающей запятой в секунду). Frontier работает под управлением специализированного дистрибутива Linux и использует более 9408 оптимизированных 64-ядерных процессоров AMD Epyc Milan с частотой 2 ГГц и 37632 ускорителя AMD Instinct MI250x.
• Другой важный рекорд – скорость передачи данных по сети. В 2020 году команда исследователей из Университета Иллинойса, Калифорнийского технологического института и Ливерморской национальной лаборатории им. Лоуренса установила новый мировой рекорд пропускной способности сети – 1,2 петабита в секунду (Пбит/с) на расстоянии 1000 км. Это примерно в миллион раз быстрее, чем средняя скорость домашнего интернет-соединения.
• Для достижения такой скорости исследователи использовали экспериментальную сеть, состоящую из четырех оптических линий, каждая из которых работала на скорости 300 Гбит/с. Управляющие серверы этой сети работали под управлением модифицированного ядра Linux с поддержкой специальных сетевых протоколов и драйверов.
• Linux также помогает устанавливать рекорды энергоэффективности в центрах обработки данных (ЦОД). Проект Hyperscale Datacenter Efficiency (HDE) разрабатывает стандарты и практики для повышения эффективности использования энергии в крупных ЦОД. Участники проекта, такие как Google, Facebook, Intel и другие, регулярно публикуют отчеты о достижениях в этой области.
• Так, в 2021 году компания Supermicro объявила о достижении рекордной эффективности использования энергии (PUE) на уровне 1,008 для своего ЦОД в Кремниевой долине. Это означает, что на каждый ватт энергии, потребляемой серверами, тратится всего 0,008 ватт на охлаждение и другие накладные расходы. Ключевую роль в достижении такой эффективности сыграло использование серверов на базе процессоров Intel Xeon и ОС Linux с оптимизированным управлением питанием.
• Таким образом, Linux не только помогает устанавливать рекорды производительности, но и делает работу ИТ-систем более экологичной и экономичной. Благодаря открытости и гибкости Linux, исследователи и инженеры могут оптимизировать каждый аспект системы – от ядра ОС до прикладных библиотек и алгоритмов, добиваясь поразительных результатов.
#Linux
Исследователи из Лаборатории Касперского продолжают отслеживать APT SideWinder, активность которой в Южной и Юго-Восточной Азии, на Ближнем Востоке и в Африке ранее описывали в прошлогоднем отчете.
Группа агрессивно расширяла свою деятельность за пределы своих типичных целей (правительственные, военные и дипломатические структуры), заражая логистические компании и морскую инфраструктуру.
Новые замеченные ЛК атаки распространились на Австрию, Бангладеш, Камбоджу, Джибути, Египет, Индонезию, Мозамбик, Мьянму, Непал, Пакистан, Филиппины, Шри-Ланку, ОАЭ и Вьетнаме.
Среди дополнительных целей были выявлены атомные электростанции и инфраструктура ядерной энергетики в Южной Азии и Африке, а также телекоммуникационные, консалтинговые, ИТ-сервисные компании, агентства недвижимости и гостиничный бизнес.
SideWinder также фокусировалась на дипучреждения в Афганистане, Алжире, Болгарии, Китае, Индии, Мальдивах, Руанде, Саудовской Аравии, Турции и Уганде.
Причем таргетирование на Индию имеет важное значение, поскольку ранее предполагалось, что субъект угрозы имеет индийское происхождение.
Описывая APT как высокоразвитого и опасного противника, исследователи отмеячают, что SideWinder постоянно работает над улучшением своих наборов инструментов, опережая обнаружения антивирусным ПО, расширяя стойкость в сетях и сокрытие присутствия в зараженных системах.
Как только их инструменты идентифицированы, они реагируют, генерируя новую и измененную версию вредоносного ПО, часто менее чем за пять часов.
Если происходят поведенческие обнаружения, SideWinder пытается изменить методы, используемые для поддержания стойкости и загрузки компонентов.
Кроме того, они меняют имена и пути своих вредоносных файлов.
Ранее исследователи документировали использование SideWinder модульного набора инструментов постэксплуатации StealerBot для сбора широкого спектра конфиденциальной информации со скомпрометированных хостов.
Последние цепочки атак совпадают с теми, что наблюдались ранее.
Начальным вектором выступали фишинговые письма, которые реализуют доставку вредоносных документов, задействующих известную уязвимость в Microsoft Office (CVE-2017-11882) для запуска вредоносного шелл-кода.
Далее инициируется многоуровневый процесс заражения, который приводит к установке вредоносного ПО, названное Backdoor Loader.
Он действует как загрузчик для окончательного запуска StealerBot.
Backdoor Loader и StealerBot были подробно описаны в прошлогоднем отчете, но злоумышленник распространил многочисленные варианты загрузчика за последние месяцы, тогда как имплант остался неизменным.
Новые варианты вредоносного ПО содержат улучшенную версию кода антианализа и более широко используют сглаживание потока управления для обхода обнаружения.
В ходе расследования исследователи ЛК обнаружили также новую версию компонента Backdoor Loader на C++.
Логика вредоносного ПО та же, что и в вариантах .NET, но версия C++ отличается от имплантов .NET тем, что в ней отсутствуют методы антианализа.
Кроме того, большинство образцов были адаптированы под конкретные цели, поскольку они были настроены на загрузку второго этапа из определенного пути файла, встроенного в код, который также включал имя пользователя.
Несмотря на использование старого эксплойта, не стоит недооценивать этого субъекта угроз.
Фактически SideWinder уже продемонстрировала свою способность компрометировать критически важные активы и высокопоставленные цели, включая военные и правительственные.
Исследователи GreyNoise предупреждают о массовой эксплуатации критической уязвимости в PHP, приводящей к RCE на уязвимых серверах.
CVE-2024-4577 (оценка CVSS 9,8) может быть использована на серверах Windows, использующих Apache и PHP-CGI, если они настроены на использование определенных кодовых страниц, для удаленного внедрения аргументов и выполнения произвольного кода.
Поскольку реализация PHP в Windows не учитывает поведение «наилучшего соответствия», которое реализует преобразование символов Unicode в наиболее близкие по значению символы ANSI, злоумышленники могут указать определенные последовательности символов, которые при преобразовании будут неверно интерпретированы модулем php-cgi как параметры PHP.
Уязвимость была публично раскрыта в июне 2024 года, а первые попытки ее эксплуатации, приписываемые вымогателям, были зафиксированы всего два дня спустя.
На прошлой неделе исследователи Cisco предупредили, что с января 2025 года уязвимость использовалась в вредоносной кампании, нацеленной на японские организации в сфере образования, развлечений, электронной коммерции, технологий и телекоммуникаций.
В рамках атак злоумышленники задействуют инструменты для получения системных привилегий, меняют ключи реестра и добавляют запланированные задачи для обеспечения устойчивости, а также создают вредоносные службы с использованием плагинов Cobalt Strike TaoWu.
В свою очередь, GreyNoise констатирует, что эксплуатация CVE-2024-4577 не ограничивается Японией.
Фактически, заметные всплески активности наблюдались в США, Великобритании, Сингапуре, Индонезии, Тайване, Гонконге, Индии, Испании и Малайзии.
Посредством своей сети ханипотов GOG исследователи только в январе 2025 года обнаружили 1089 уникальных IP-адресов, пытающихся эксплуатировать CVE-2024-4577, при том, что на текущий момент доступно 79 общедоступных эксплойтов, нацеленных на эту уязвимость.
За последний месяц более 43% IP-адресов, использованных в атаках на CVE-2024-4577, располагались в Германии и Китая, а GreyNoise в феврале наблюдала рост эксплуатации систем по всему миру, что указывает на автоматизацию сканирования на предмет уязвимых целей.
CVE-2024-4577 влияет на все версии PHP на Windows и была устранена в версиях PHP 8.1.29, 8.2.20 и 8.3.8.
Пользователям рекомендуется обновить свои установки как можно скорее.
Как провести успешный пентест, взломать AD, скомпрометировать всё, что можно, и выйти из сети заказчика победителем?
Изучите техники и методики атак на инфраструктуру Active Directory на курсе от Академии Кодебай!
Наша практическая лаборатория содержит более 30 виртуальных машин, которые вам предстоит сломать. Запись до 13 марта — осталось 5 мест! Регистрация здесь.
Содержание курса:
✦ Архитектура AD
✦ Харденинг в AD, добыча критичной информации, развитие по инфраструктуре
✦ Захват и укрепление позиций внутри инфраструктуры
✦ Применение и анализ популярных эксплоитов
Авторы курса: HackerRalf (Михаил Порываев) и BlackRabbit (Павел Никитин), 5-кратные победители the Standoff
Узнайте полную программу курса @Codeby_Academy
👨💻 Перейди по ссылке, и я узнаю твой номер.
• В цифровую эпоху уже никто не удивляется, когда ему названивают с незнакомых номеров с рекламой. Мало ли какие соглашения о персональных данных мы подписываем и на каких сайтах оставляем свой номер.
• Но сейчас на рынке информационных услуг всё большую популярность набирают сервисы, занимающиеся деанонимизацией пользователей при одном лишь открытии сайта. Причём всё это преподносится как абсолютно легальный сервис для бизнеса, с соблюдением закона о персональных данных.
• В этой статье автор описывает кликджекинг-сервисы, которые пытаются получить сторонние cookies у зашедшего на страницу пользователя, чтобы затем проверить их у своих партнёров. Если у этого партнёра по переданным куки-файлам будет привязан номер телефона, то дело сделано, ваш номер найден.
• И всё вроде здорово, ведь по такой схеме, чтобы защититься от сбора ваших данных, пользователю можно просто запретить сторонние cookies... Но увы, не всё так просто, тут, как всегда, есть несколько очень важных нюансов:
➡ Читать статью [7 min].
#Разное
📦 Первые контейнеры.
• Первые контейнеры, официально называвшиеся именно этим термином, появились в феврале 2004 года в операционной системе Solaris 10 от Sun Microsystems, они использовались на серверах с архитектурой x86 и SPARC. Solaris Containers включали в себя изолированные «песочницы» для запуска ОС (в терминологии разработчика они назывались «зонами»), а также инструменты управления системными ресурсами, допускавшими создание «моментальных снимков» отдельных зон и их клонирование. То есть, механизмы оркестрации.
• Зоны представляли собой полностью изолированные виртуальные серверы внутри хостовой операционной системы. Каждый такой экземпляр ОС имел собственное сетевое имя, использовал выделенные сетевые интерфейсы, собственную файловую систему, набор пользователей (включая root) и конфигурацию. При этом для работы виртуального сервера не требовалось жестко выделять память или процессор — аппаратные ресурсы использовались общие, однако при необходимости администратор имел возможность зарезервировать определенные серверные мощности для какой-то конкретной зоны. Процессы внутри контейнеров выполнялись изолированно, не имели доступа друг к другу и потому не могли конфликтовать.
• Основным отличием Solaris Containers от предшественников (Process Containers, LXC и Warden, #Docker и #Kubernetes) можно назвать то обстоятельство, что, как и ранее, виртуальные ОС использовали ядро хостовой системы, но при желании администратор мог запускать копии системы в контейнерах с собственным ядром. Это стало следующим важным шагом в эволюции технологий контейнеризации.
#Разное
Исследователи Cisco Talos в новом отчете раскрывают новые кампании китайской APT Lotus Blossom, нацеленные на на правительственный, производственный, телеком и медиа секторы на Филиппинах, во Вьетнаме, Гонконге и Тайване с использованием обновленных версий уже известного бэкдора Sagerunex.
Lotus Blossom также известна с 2009 года как Billbug, Bronze Elgin, Lotus Panda, Spring Dragon и Thrip и задействует Sagerunex как минимум с 2016 года.
Впервые была профилирована компанией Symantec в июне 2018 года.
В конце 2022 года исследователи Symantec также подробно анализировали атаки APT на центр цифровой сертификации, а также на правительственные и оборонные учреждения в странах Азии, которые включали использование бэкдоров, таких как Hannotog и Sagerunex.
Последний считается обновленным вариантом ранее известного вредоносного ПО Billbug (Evora). Фактически это внедренный в DLL RAT, который использует различные сетевые стратегии для сохранения контроля.
Точный начальный вектор доступа в последних вторжениях неизвестен, однако Lotus Blossom обычно практикует проведение целевого фишинга и атак типа watering hole.
Наблюдавшаяся активность примечательна использованием двух новых вариантов вредоносного ПО, которые задействуют облачные сервисы, такие как Dropbox, Twitter и Zimbra для C2, заменяя оригинальный метод VPS.
Бэкдор предназначен для сбора информации о целевом хосте, ее шифрования и передачи на удаленный сервер злоумышленника. Версии Sagerunex для Dropbox и X использовались в период с 2018 по 2022 год, в то время как версия Zimbra существует с 2019 года.
Последняя предназначена не только для сбора информации о жертве и отправки ее на почтовый ящик Zimbra, но и для того, чтобы позволить злоумышленнику использовать содержимое почты Zimbra для отправления команд и управления машиной жертвы.
Если в почтовом ящике есть легитимный командный контент, бэкдор грузит его и извлекает команду, в противном случае удаляет контент и ожидает ее поступления.
Результаты выполнения команды впоследствии упаковываются в виде архива RAR, закрепляются к черновику электронного письма в «черновиках» и «корзине» почтового ящика.
Каждый вариант реализует различные проверки, такие как задержки на основе времени и системные проверки, для поддержания устойчивости.
Загрузчик вредоносного ПО внедряет бэкдор в память и использует шифрование для сокрытия данных. Кроме того, использование VMProtect скрывает код вредоносного ПО, чтобы избежать обнаружения антивирусом.
В атаках также используются другие инструменты, включая стилер для сбора учетных данных браузера Chrome, прокси-утилита с открытым исходным кодом Venom, программа для настройки привилегий, специальное ПО для сжатия и шифрования захваченных данных и модифицированный инструмент ретрансляции mtrain V1.01.
Кроме того, было замечено, что злоумышленник запускает такие команды, как net, tasklist, ipconfig и netstat для разведки целевой среды, а также осуществляет проверки для определения доступа в Интернет.
Причем если доступ в Интернет ограничен, у злоумышленника две стратегии: использовать настройки прокси-сервера цели для установления соединения или полагаться на Venom для подключения изолированных машин к системам, имеющим доступ в Интернет.
В совокупности найденные артефакты подчеркивают долгосрочную устойчивость и адаптивность тактики Lotus Blossom. IoC - в отчете.