24321
Copyright: @SEAdm1n Вакансии: @infosec_work Сотрудничество - @SEAdm1n Обратная связь. Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot РКН: https://vk.cc/cN3VGo
Исследователи из Лаборатории Касперского расчехлили массовую кампанию, нацеленную на пользователей DeepSeek с использованием различных сайтов, мимикрирующих под официальный ресурс чат-бота.
Исследуя внутренние данные об угрозах, в ЛК обнаружили несколько различных групп сайтов, копирующих официальный сайт DeepSeek и распространяющих вредоносный код под видом клиента для популярного сервиса.
Первая группа сайтов находилась на доменах, в названиях которых использовались версии моделей DeepSeek (V3 и R1): r1-deepseek[.]net и v3-deepseek[.]com.
На поддельном сайте опция начать чат отсутствует - есть только вариант скачать приложение. При этом у настоящего DeepSeek нет официального клиента для Windows.
При нажатии кнопки Get DeepSeek App на устройство пользователя скачивается небольшой архив deep-seek-installation.zip с файлом DeepSeek Installation.lnk, содержащим URL-адрес. Цепочка в конечном итоге приводит к заражению стилером.
Это написанный на Python скрипт-стилер, ранее не встречавшийся в атаках.
Посредством него злоумышленники получают множество данных с компьютера пользователя: cookie и сессии из браузеров, логины и пароли от учетных записей различных сервисов, файлы с заданными расширениями, информацию о криптокошельках и др.
Собрав всю необходимую информацию, скрипт формирует архив и затем отправляет его операторам стилера через Telegram-бот либо загружает полученный архив на файлообменник Gofile.
В другом случае были обнаружены мимикрирующие под страницу DeepSeek сайты на следующих доменах: deepseek-pc-ai[.]com и deepseek-ai-soft[.]com.
Что примечательно, поддельный сайт использует геофенсинг и при запросах с определенных IP-адресов выдает только заглушу.
Пользователю предлагается скачать клиент или запустить чат-бота, однако при любом из этих действий с поддельной страницы скачивается вредоносный инсталлятор, созданный при помощи Inno Setup.
После запуска инсталлятор обращается к вредоносным URL-адресам для получения команд, одна из которых запускает powershell.exe со скриптом, закодированным по алгоритму Base64, в качестве аргумента.
Он, в свою очередь, загружает по закодированному URL-адресу другой PowerShell-скрипт, который приводит встроенную службу SSH в активное состояние, а также изменяет ее конфигурацию, используя ключи злоумышленника, что дает возможность подключиться к компьютеру жертвы.
Эта группа интересна тем, что исследователям удалось найти основной вектор распространения ссылки на опасный домен — посты в X.
Некоторые были исполнены от якобы австралийской компании. При этом замеченная публикация набрала 1,2 млн. просмотров и более сотни репостов.
Третья группа сайтов, с которых сразу скачивались вредоносные исполняемые файлы: app.delpaseek[.]com, app.deapseek[.]com и dpsk.dghjwd[.]cn.
Механика этих атак нацелена на технически более продвинутых пользователей - загружаемая вредоносная нагрузка маскируется под Ollama, фреймворк для запуска больших языковых моделей, таких как DeepSeek, на локальных мощностях.
Пользователю оставалось лишь запустить «клиент DeepSeek» на своем устройстве, и вредоносная программа сделает свое дело — создаст туннель для передачи трафика по протоколу KCP с заданными параметрами.
Технические подробности и IoC - отчете.
🔐 Безопасность в сети.
• На мой скромный взгляд есть два ключевых сервиса для проверки объекта на вшивость. Первый и самый главный, наша опора и надежа – Virus Total. Этот сервис проверит файл по сигнатурам более чем в 40 баз данных. Куда там одному жалкому антивирусу! На втором этапе из файла будет извлечена вся метадата, чтобы мы могли проанализировать все цифровые составляющие нашего объекта. После этого сервис проверит, как ведет себя пациент в условиях живой природы (это я говорю про виртуальные машины) и даст полный отчет о всех попытках закрепиться в системе или выйти на связь с внешним миром.
• Вторым номером является Intenzer. Он умеет не только защищать ресурсы, но и не хуже справляться с задачами по препарированию файлов. Объектами могут стать не только файлы и url-ссылки, но и запущенные процессы прямо на вашей машине, а также дампы памяти и многое другое. Intenzer осуществляет поиск по известным CVE-уязвимостям, а также высылает алерты в случае обнаружения непотребства. Еще в системе есть интересные новостные ленты с самыми хайповыми на данный момент угрозами.
• Обязательно пользуйтесь этими двумя сервисами и ваша жизнь станет гораздо безопаснее!
#ИБ
🚨 А ваш бизнес готов к отражению угроз?
С каждым днем киберпреступники становятся все изощреннее, и даже малейшая уязвимость в вашей защите может обернуться катастрофой. Потеря данных, удар по репутации, финансовые потери — все это может стать реальностью, если вовремя не принять меры.
✏️ Мы подготовили для вас чек-лист, который поможет:
✅ Оценить уровень защиты вашего бизнеса от киберугроз.
✅ Выявить слабые места в системе информационной безопасности.
✅ Понять, какие меры нужно усилить, чтобы минимизировать риски.
Чек-лист охватывает ключевые аспекты кибербезопасности и позволит вам определить, насколько ваш бизнес готов к атакам. В зависимости от результатов вы попадете в одну из трех категорий и получите четкий план действий.
⏳ Не ждите, пока станет слишком поздно!
Скачайте чек-лист прямо сейчас и начните защищать свой бизнес уже сегодня.
Помните: безопасность вашего бизнеса — в ваших руках.
#реклама
О рекламодателе
📶 Computer Networking Fundamentals.
• Вашему вниманию предлагается крайне наглядный разбор SSH туннелей. Уж сколько про них уже написано, но такого красиво оформленного материала вроде еще не видел.
Всем начинающим для прочтения строго обязательно.
➡️ https://iximiuz.com/en/posts/ssh-tunnels/
• В дополнение: Практические примеры SSH.
➡SSH socks-прокси;
➡SSH через сеть Tor;
➡SSH к инстансу EC2;
➡Установка VPN по SSH;
➡Обратный прокси SSH;
➡Обратный SSH-туннель;
➡SSH-туннель на третий хост;
➡Прыжки по хостам с SSH и -J;
➡Двухфакторная аутентификация;
➡Копирование ключа SSH (ssh-copy-id);
➡Туннель SSH (переадресация портов);
➡Потоковое видео по SSH с помощью VLC и SFTP;
➡Удалённое выполнение команд (неинтерактивно);
➡SSH Escape для изменения переадресации портов;
➡SSH Escape для изменения переадресации портов;
➡Мультиплексирование SSH с помощью ControlPath;
➡Удалённый перехват пакетов и просмотр в Wireshark;
➡Удалённые приложения GUI с переадресацией SSH X11;
➡Удалённое копирование файлов с помощью rsync и SSH;
➡Блокировка попыток брутфорса SSH с помощью iptables;
➡Копирование локальной папки на удалённый сервер по SSH;
➡Монтирование удалённого SSH как локальной папки с SSHFS;
➡Редактирование текстовых файлов с помощью VIM через ssh/scp;
#SSH #Сети
• Ранее публиковал пост, где в двух словах описан процесс проведения ремонтных работ поврежденных подводных кабелей, которые прокладывают на дне морей и океанов. Так вот, я нашел очень большой и красиво оформленный лонгрид о людях, которые выполняют данную работу. Пролистать стоит даже просто ради эстетического удовольствия.
➡ https://www.theverge.com/internet-cables-undersea-deep-repair-ships
#Разное
👩💻 Проверка безопасности Docker образов с помощью Trivy.
• Trivy — это сканер уязвимостей с открытым исходным кодом, разработанный для контейнерных сред. Он решает несколько проблем безопасности, связанных с выявлением уязвимостей в образах контейнеров и управлением ими. Вот некоторые проблемы, которые помогает решить Trivy:
➡Безопасность образов контейнеров;
➡Безопасность базового образа;
➡Обнаружение уязвимостей пакетов;
➡Всесторонняя поддержка баз данных об уязвимостях;
➡Интеграция с контейнерной оркестровкой;
➡Интеграция с конвейером CI/CD;
➡Обнаружение неправильной конфигурации;
➡Сканирование на нескольких уровнях;
➡Быстрое сканирование.
• Материал по ссылке ниже будет отличным примером, как пользоваться данным инструментом. По сути, у нас будет готовая мини инструкция по установке и использованию:
➡️ Читать статью [10 min].
#Docker #Trivy
👩💻 Обфускация PowerShell.
• В базах антивирусов содержатся миллионы сигнатур, однако трояны по-прежнему остаются в хакерском арсенале. Даже публичные и всем известные варианты полезных нагрузок Metasploit, разновидностей RAT и стиллеров могут остаться незамеченными. Как? Благодаря обфускации! Даже скрипт на PowerShell можно спрятать от любопытных глаз антивируса.
• Этот репозиторий содержит тонну полезных техник, примеров и теории на тему ручной обфускации скриптов PowerShell. Ну и что самое главное, содержимое этого репо является результатом проб и ошибок автора, который имеет огромный опыт в проведении тестов на проникновение.
➡ https://github.com/t3l3machus/PowerShell-Obfuscation-Bible
#PowerShell
• Если Вы не знали как выглядит процессор вашего смартфона, то вот его наглядная демонстрация под микроскопом, на фоне волоска толщиной 0.06 мм.
#Разное
⚠️ Первая DoS-атака.
• Мало кто знает, что первая DOS-атака была организована еще в 1974 году! Это событие произошло в Университете Иллинойса, одним из студентов, который вывел из строя c помощью простого скрипта 31 PLATO-терминал (Programmed Logic for Automated Teaching Operations — первая система электронного обучения, соединенная общей компьютерной сетью), (на фото).
• Студент распространял команду «ext», отвечавшую за подключение внешних устройств к терминалу. Если при обработке запроса они не были обнаружены, система зависала, и продолжить работу можно было только после перезагрузки. Эта шалость была вызвана простым любопытством, но стала она первым в истории зафиксированным случаем DoS-атаки.
• Разработчики PLATO исправили ошибку в том же году. Кстати, есть мнение, что атаку нельзя считать dinial-of-service в силу природы PLATO-терминалов. Также похожие «уязвимости» к тому времени уже отмечали и для других систем.
#Разное
Check Point сообщает об обнаружении масштабной вредоносной кампании, в которой используется уязвимый драйвер Windows, связанный с пакетом продуктов Adlice, для обхода обнаружения и распространения Gh0st RAT.
При этом чтобы более эффективно уклоняться от обнаружения, злоумышленники намеренно создали несколько вариантов (с разными хэшами) драйвера 2.0.2, изменив определенные части PE, при этом сохранив действительную подпись.
Наблюдаемая активность включала тысячи вредоносных образцов первого этапа, которые использовались для развертывания программы, способной завершать работу EDR с помощью так называемой BYOVD-атаки.
На платформе VirusTotal было выявлено около 2500 различных вариантов устаревшей версии 2.0.2 уязвимого драйвера RogueKiller Antirootkit, truesight.sys, хотя их число, вероятно, выше.
Модуль EDR-killer был впервые обнаружен и зарегистрирован в июне 2024 года.
Проблема с драйвером Truesight, ошибка произвольного завершения процесса, затрагивает все версии ниже 3.4.0 и ранее использовалась для разработки PoC-эксплойтов, таких как Darkside и TrueSightKiller, которые общедоступны как минимум с ноября 2023 года.
В марте 2024 года SonicWall раскрыла сведения о загрузчике под названием DBatLoader, который, как выяснилось, использовал драйвер truesight.sys для отключения решений безопасности перед загрузкой вредоносного ПО Remcos RAT.
Есть некоторые основания полагать, что эта кампания могла быть делом рук группы, известной как Silver Fox APT, поскольку в цепочке выполнения и используемых методах есть некоторое совпадение, включая вектор заражения, цепочку выполнения, сходство образцов на начальном этапе и исторические модели нацеливания.
Последовательности атак включают распространение артефактов первого этапа, которые часто маскируются под легитимные приложения и распространяются через фейковые веб-сайты и каналы в Telegram.
Образцы действуют как загрузчик, сбрасывая устаревшую версию драйвера Truesight, а также полезную нагрузку следующего этапа, которая имитирует распространенные типы файлов, такие как PNG, JPG и GIF.
Затем вредоносная ПО второго этапа переходит к извлечению другой программы, которая, в свою очередь, загружает модуль EDR-killer и Gh0st RAT.
Причем варианты устаревшего драйвера Truesight (версии 2.0.2) обычно загружаются и устанавливаются образцами начального этапа, но их также можно развернуть напрямую с помощью модуля EDR/AV killer, если драйвер еще не присутствует в системе.
Это свидетельствует о том, что несмотря на интеграцию в кампанию модуля EDR/AV killer, он способен работать независимо от более ранних этапов.
Он задействует технику BYOVD для злоупотребления уязвимым драйвером для завершения процессов, связанных с определенным ПО безопасности, обходя список уязвимых драйверов Microsoft Windows.
Атаки завершались развертыванием варианта Gh0st RAT под названием HiddenGh0st, который предназначен для удаленного управления взломанными системами, предоставляя злоумышленникам возможность осуществлять кражу данных, контроль и манипулирование системой.
По состоянию на 17 декабря 2024 года Microsoft обновила список заблокированных драйверов, включив в него рассматриваемый драйвер, что фактически заблокировало вектор эксплуатации.
Изменяя определенные части драйвера, сохраняя при этом его цифровую подпись, злоумышленники обошли распространенные методы обнаружения, включая новейшие механизмы обнаружения Microsoft Vulnerable Driver Blocklist и LOLDrivers, что позволило скрываться в течение месяцев.
При этом задействование уязвимости произвольного завершения процесса позволило модулю EDR/AV killer атаковать и отключать процессы, обычно связанные с решениями по безопасности, еще больше повышая скрытность кампании.
👩💻 Техническая история Kubernetes: секреты создателя.
• Эта история от первого ведущего архитектора проекта, Брайана Гранта, который постил в Twitter серию тредов о технической истории проекта. Он рассказал о появлении разных фичей в K8s и логике, которая стояла за принятием отдельных решений.
• В честь юбилея оркестратора Брайан собрал все твиты в одну статью. Это её перевод, из которого вы узнаете, как появились контроллеры рабочих нагрузок, декларативная модель ресурсов, descheduler и многое другое:
➡️ https://habr.com/ru/post/851176/
#Kubernetes
Северокорейские хакеры выполняют и перевыполняют планы из года в год, ставя все новые рекорды по части привлечения «инвестиций».
Если в 2022 году им удалось слямзить 1,1 млрд долл., то в 2024 году - 1,34 млрд долларов в ходе 47 кибератак (по данным статистики Chainalysis).
А на 2025 год - план перевыполнен уже в первом квартале в результате крупнейшего в истории криптоограбления на на сумму более 1,5 млрд долл.
Пострадавшая - Bybit, вторая по величине криптовалютная биржа в мире с 60 млн. пользователями и более 36 млрд. долл. ежедневного объема торгов, а после инцидента - первая в антирейтинге по грабежам (лидерство перешло от Ronin Network с украденными 625 млн. долл.).
Взлом состоялся в пятницу, 21 февраля и к настоящему времени теперь признается одним из самых сложных криптоограблений.
Злоумышленники проникли в сеть Bybit, изучили внутренние корпоративные регламенты работы, идентифицировали, а затем заразили вредоносным ПО всех сотрудников, которые обладают правом подписи транзакций и распоряжения средствами компании.
Хакеры специально нацелились на процесс пополнения активных кошельков компании, называемых горячими кошельками, где компания хранит средства, необходимые для ежедневных операций.
Как отмечают в Bybit, когда в пятницу сотрудники выполняли пополнение горячих кошельков, хакеры модифицировали пользовательский интерфейс ПО для перемещения средств с холодных кошельков, что привело к изменению логики смарт-контракта.
Причем «обновление» затронуло системы всех инженеров, которым необходимо было его подписать, в ходе так называемой транзакции с несколькими подписями.
Согласно отчету Bybit, транзакция привела к запуску вредоносного кода, который отправил средства с этого конкретного холодного кошелька на подконтрольные злоумышленникам счета.
Таким образом, более 400 000 ETH и stETH на сумму более 1,5 млрд долл. были переведены на неопознанный адрес.
Затем были распределены по 50 разным кошелькам в течение двух часов и начали выводиться через различные криптосервисы, включая такие как eXch.
Изначально не было понятно, кто осуществил атаку, но исследователи, известные как Arkham и ZachXBT, связали взлом с северокорейской Lazarus, а точнее с той же командой, которая в январе украла 70 млн. долл. у сингапурской биржи Phemex.
Что касается Bybit, у нее достаточно резервов, чтобы покрыть все убытки 1 к 1.
Компания приостановила транзакции на день для расследования инцидента и с тех пор возобновила все операции.
Также была оперативно учреждена программа вознаграждений, согласно которой компания намерена реализовать до 10% суммы украденных средств любому, кто сможет вернуть украденные токены.
Будем следить, но Белой шляпы, как в случае с Poly Network, ожидать явно не стоит.
👨💻 Art of Post-Exploitation.
• Steps;
• Perspective;
• Command and Control (C2) Techniques;
• Persistence Techniques;
• Credential Access Techniques;
• Privilege Escalation Techniques;
• Lateral Movement Techniques;
• Stories:
➡RedJuliett APT;
➡UNC3886 VMware Attacks;
➡Mustang Panda’s Korplug Loader;
➡MuddyWater RMM Abuse;
➡POLONIUM’s Python Backdoor;
➡Credential Access Techniques;
➡Exfiltration Techniques;
➡Evasion Techniques;
➡Security Researcher.
#Пентест
По всей видимости, недавно описанная исследователями Symantec «халтурка» участника китайской APT, связанная с использованием ransomware, носит вовсе не единичный характер.
В Orange и Trend Micro независимо друг от друга также обнаружили китайское вредоносное ПО, задействованное в арсенале APT, в атаках с использованием ransomware в 15 странах, что позволяет предположить преднамеренный сговор участников групп или изменение тактики.
Замеченные в инцидентах инструменты включают в себя версии PlugX и Shadowpad, сложные бэкдоры, используемые китайскими APT уже более десяти лет исключительно для кибершпионажа.
Два штамма вредоносного ПО были развернуты во взломанных сетях, прежде чем в конце был выпущен вирус-вымогатель.
Полезные нагрузки программ-вымогателей, использованные в атаках, включали RA World и новый штамм под названием NailaoLocker, который доставлялся вместе с Shadowpad, ассоциируемым с APT41.
По данным Trend Micro, в этих инцидентах злоумышленники использовали слабые пароли и обходили многофакторную аутентификацию для проникновения в сети, используя Shadowpad не только для проведения шпионажа, но и для шифрования данных с целью получения выкупа.
В двух случаях злоумышленник применил программу-вымогатель ранее не зарегистрированного семейства NailaoLocker. Это необычный ход для злоумышленников, использующих Shadowpad. Хотя сообщалось, что APT41 использовала Encryptor RaaS.
В отличие от типичных вредоносных APT-кампаний, последние замеченные инциденты сопровождались также активными переговорами о выкупе и подробными инструкциями, что подчеркивает финансовую мотивацию, нетипичную для китайских шпионских групп.
В поисках похожих TTP Trend Micro обнаружила, что за последние 7 месяцев 21 компания подверглась атаке с использованием схожего вредоносного инструментария.
Девять из них в Европе, восемь в Азии, три на Ближнем Востоке и одна в Южной Америке, большая часть жертв из производственного сектора.
Эксперты видят в этом тревожную тенденцию, ведь ранее исторически китайские хакеры не преследовали явную финансовую выгоду, ориентируясь на скрытность, устойчивость и долгосрочную эксфильтрацию данных.
Вовлечение в кампании по вымогательству APT-инструментария говорит о возможном стратегическом сдвиге - или, по крайней мере, о размытии традиционных границ между кибершпионажем и киберпреступностью, но не исключается и версия с эксцессом исполнителя.
Будем следить.
2025 год бьет рекорды по утечкам данных: за первый месяц уже пострадали 15 млн пользователей из-за взломов облачных сервисов. Не хотите стать жертвой злоумышленников — следуйте советам из карточек 👆🏻
А если решите стать настоящим специалистом по кибербезопасности, регистрируйтесь на курс Skillbox. Освоите профессию, спрос на которую растёт и в России, и в мире. Узнать больше: https://epic.st/OqupPA?erid=2Vtzqx23rzy
Исследователи Cisco Talos в новом отчете раскрывают новые кампании китайской APT Lotus Blossom, нацеленные на на правительственный, производственный, телеком и медиа секторы на Филиппинах, во Вьетнаме, Гонконге и Тайване с использованием обновленных версий уже известного бэкдора Sagerunex.
Lotus Blossom также известна с 2009 года как Billbug, Bronze Elgin, Lotus Panda, Spring Dragon и Thrip и задействует Sagerunex как минимум с 2016 года.
Впервые была профилирована компанией Symantec в июне 2018 года.
В конце 2022 года исследователи Symantec также подробно анализировали атаки APT на центр цифровой сертификации, а также на правительственные и оборонные учреждения в странах Азии, которые включали использование бэкдоров, таких как Hannotog и Sagerunex.
Последний считается обновленным вариантом ранее известного вредоносного ПО Billbug (Evora). Фактически это внедренный в DLL RAT, который использует различные сетевые стратегии для сохранения контроля.
Точный начальный вектор доступа в последних вторжениях неизвестен, однако Lotus Blossom обычно практикует проведение целевого фишинга и атак типа watering hole.
Наблюдавшаяся активность примечательна использованием двух новых вариантов вредоносного ПО, которые задействуют облачные сервисы, такие как Dropbox, Twitter и Zimbra для C2, заменяя оригинальный метод VPS.
Бэкдор предназначен для сбора информации о целевом хосте, ее шифрования и передачи на удаленный сервер злоумышленника. Версии Sagerunex для Dropbox и X использовались в период с 2018 по 2022 год, в то время как версия Zimbra существует с 2019 года.
Последняя предназначена не только для сбора информации о жертве и отправки ее на почтовый ящик Zimbra, но и для того, чтобы позволить злоумышленнику использовать содержимое почты Zimbra для отправления команд и управления машиной жертвы.
Если в почтовом ящике есть легитимный командный контент, бэкдор грузит его и извлекает команду, в противном случае удаляет контент и ожидает ее поступления.
Результаты выполнения команды впоследствии упаковываются в виде архива RAR, закрепляются к черновику электронного письма в «черновиках» и «корзине» почтового ящика.
Каждый вариант реализует различные проверки, такие как задержки на основе времени и системные проверки, для поддержания устойчивости.
Загрузчик вредоносного ПО внедряет бэкдор в память и использует шифрование для сокрытия данных. Кроме того, использование VMProtect скрывает код вредоносного ПО, чтобы избежать обнаружения антивирусом.
В атаках также используются другие инструменты, включая стилер для сбора учетных данных браузера Chrome, прокси-утилита с открытым исходным кодом Venom, программа для настройки привилегий, специальное ПО для сжатия и шифрования захваченных данных и модифицированный инструмент ретрансляции mtrain V1.01.
Кроме того, было замечено, что злоумышленник запускает такие команды, как net, tasklist, ipconfig и netstat для разведки целевой среды, а также осуществляет проверки для определения доступа в Интернет.
Причем если доступ в Интернет ограничен, у злоумышленника две стратегии: использовать настройки прокси-сервера цели для установления соединения или полагаться на Venom для подключения изолированных машин к системам, имеющим доступ в Интернет.
В совокупности найденные артефакты подчеркивают долгосрочную устойчивость и адаптивность тактики Lotus Blossom. IoC - в отчете.
🔐 Шифруем переписку: OpenKeychain.
• Как обеспечить передачу конфиденциальной информации через недоверенную сеть — интернет, где каждый, начиная провайдером и заканчивая администратором почтового сервера, может перехватить и прочитать передаваемую информацию?
• Если Вы используете Android, обратите внимание на приложение OpenKeychain, которое имеет открытый исходный код, проверенный компанией Cure53 на безопасность, прозрачно интегрируется с почтовым клиентом K-9 Mail, Jabber-клиентом Conversations и даже может передавать зашифрованные файлы в приложение EDS (Encrypted Data Store). Всё что нужно - это сгенерировать ключ и правильно передать его тому с кем мы хотим осуществить обмен информацией.
➡Домашняя страница;
➡GitHub;
➡F-Droid;
➡4PDA.
#Шифрование
Исследователи Proofpoint раскрывают новую узкотаргетированную фишинговую кампанию, нацеленную на не менее пяти организации ОАЭ в области авиации, спутниковой связи и критической инфраструктуры с использованием ранее недокументированного бэкдора Sosano.
Выявить вредоносную активность удалось в конце октября 2024 года и с тех пор отслеживается как новый кластер с условным наименованием UNK_CraftyCamel.
Примечательным аспектом цепочки атак является задействование злоумышленником доступа к скомпрометированному почтовому аккаунту индийской компании INDIC Electronics для отправки фишинговых сообщений и доставки Sosano.
Индийская компания по производству электроники имела доверительные деловые связи со всеми целями кампании, а приманки были персонально адаптированы под каждую из них.
В электронных письмах содержались URL-адреса, указывающие на домен, мимикрирующий под индийскую компанию («indicelectronics[.]net»), на котором размещался ZIP-архив, включающий файл XLS и два файла PDF.
Но на самом деле XLS был ярлыком Windows (LNK), использующим двойное расширение, выдавая себя за документ Microsoft Excel.
Два PDF являлись полиглотами: один был дополнен файлом HTA, а другой — прикрепленным к нему архивом ZIP.
Оба PDF-файла могли быть интерпретированы как два разных допустимых формата в зависимости от того, как они анализируются с использованием таких программ, как файловые менеджеры, инструменты командной строки и браузеры.
Последовательность атаки включала в себя использование файла LNK для запуска cmd.exe, а затем - mshta.exe для запуска файла-полиглота PDF/HTA, что приводило к выполнению скрипта HTA, который, в свою очередь, содержал инструкции по распаковке содержимого архива ZIP, присутствующего во втором PDF-файле.
Один из файлов во втором PDF-файле представляет собой файл интернет-ярлыка (URL), который отвечает за загрузку двоичного файла, который реализует посредством файла изображения декодирование и запуск бэкдора DLL под названием Sosano.
Написанный на языке Golang, имплантат обладает ограниченной функциональностью, позволяющей устанавливать связь с C2 для выполнения дальнейших команд, в том числе запуска неизвестной полезной нагрузки следующего этапа.
Proofpoint отмечает при этом, что активность UNK_CraftyCamel не пересекаются с действиями других известных злоумышленников или групп, но скорее всего, связана с Ираном, учитывая целевые сектора (авиация, спутниковая связь, критически важная транспортная инфраструктура в ОАЭ).
При этом мелкий масштаб в сочетании с многочисленными методами сокрытия, а также доверенную стороннюю компрометацию для атаки, указывают на стратегическую заинтересованность APT-актора в получении разведывательной информации.
🚨Собираем пожарную команду на практикум Слёрма по SRE для инженеров.
Будем тушить инцидент сервиса покупки билетов в кинотеатр, чтобы понять, как выглядит работа SRE-специалиста в реальности.
Программа сделана с участием SRE-инженеров из ведущих международных компаний — Google, Booking, Databricks, TangoMe, Яндекс, Ecommpay, Финам.
На курсе-интенсиве:
🔹 научим быстро поднимать продакшн силами команды;
🔹 покажем, какие метрики собирать и как это делать правильно;
🔹 расскажем, как решать конкретные проблемы, связанные с надежностью сервиса;
🔹 внедрим правки прямо в прод;
🔹 рассмотрим, как снизить ущерб от отказов в будущем.
Старт — 17 марта.
Посмотреть программу и подать заявку — по ссылке 📍
Реклама. ООО "СЛЁРМ". ИНН 3652901451. erid: 2W5zFGnBjs6
• А Вы знали, что в 1970-х годах дизайн китайских компьютеров и клавиатуры кардинально отличался от того, каким был на заре компьютерных технологий? Ни один из проектов, появившихся в ту эпоху, не использовал клавиатуру типа QWERTY, а если говорить о клавишах-модификаторах, то это вообще была целая наука. Мы привыкли к тому, что, грубо говоря, а + Shift = A. А что если бы a + Shift + Shift давало бы на выходе ắ? Это просто пример, но примерно так и была устроена одна из самых успешных и знаменитых систем — IPX, которая имела интерфейс со 120 уровнями «сдвига» (Shift). Это позволяло умещать около 20 000 китайских иероглифов и других символов в пространстве, лишь немногим большем, чем интерфейс QWERTY.
• Другие клавиатуры имели от 256 до 2 000 клавиш. Третьи вообще даже нельзя назвать клавиатурами, ведь у них не было клавиш. Они обходились стилусом и сенсорным планшетом или сеткой китайских иероглифов, обернутой вокруг вращающегося цилиндрического интерфейса.
• К середине 1970-х годов после многих лет разработок команда Пекинского университета остановилась на клавиатуре с 256 клавишами, 29 из которых предназначены для различных функций, а остальные 227 — для ввода текста. Каждое нажатие клавиши генерировало 8-битный код, сохраняемый на перфоленте. Эти 8-битные коды затем были преобразованы в 14-битный внутренний код, который компьютер использовал для получения нужного символа.
• Всего клавиатура содержала 423 полноценных китайских иероглифа и 264 символьных компонента. В окончательном варианте на клавиатуре Пекинского университета можно было вводить в общей сложности 7 282 китайских иероглифа. По оценкам команды, это составляло более 90% всех иероглифов, использующихся в повседневности. С помощью одного нажатия можно было ввести 423 наиболее распространенных символа. С помощью двух — 2 930 символов, с помощью трех — 3 106. Остальные 823 символа потребовали четырех или пяти нажатий клавиш.
• Клавиатура Пекинского университета была лишь одной из многих в той эпохе. IBM в 1970-х годах создала собственную 256-клавишную клавиатуру для китайского и японского языков. Она включала 12-значную клавиатуру, с помощью которой оператор мог переключаться между 12 полноценными китайскими иероглифами, расположенными на каждой клавише (всего 3 072 символа). В 1980 году профессор Китайского университета Гонконга Ло Шиу-чан разработал клавиатуру, которая также имела 256 клавиш.
➡️ https://spectrum.ieee.org/chinese-keyboard
#Разное
⚡️Отличные новости: разыгрываем годовую подписку на журнал «Хакер».
• Целых 30 (!) призовых мест, итоги подведем 7 марта, в 18:30 по московскому времени, с помощью бота, который рандомно выберет победителей.
• Напоминаем, что участники сообщества Xakep.ru получают несколько материалов в неделю: мануалы по кодингу и взлому, гайды по новым возможностям и эксплойтам, подборки хакерского софта и обзоры веб-сервисов. Так что не упустите возможность вступить в сообщество и выиграть 1 из 30 призов.
Для участия нужно:
1. Быть подписанным на наш канал: infosec.
2. Подписаться на канал наших друзей: SecurityLab.
3. Нажать на кнопку «Участвовать».
Бот может немного подвиснуть — не переживайте! В таком случае просто нажмите еще раз кнопку «Участвовать».
ФБР США официально связало рекордный взлом Bybit на сумму в 1,5 млрд. долл. с северокорейскими хакерами, приписав инцидент конкретному кластеру, который отслеживается как TraderTraitor (Jade Sleet, Slow Pisces и UNC4899).
Как отметили в ведомстве, злоумышленники TraderTraitor действоввали быстро и успели конвертировать часть украденных активов в биткоины и другие криптоактивы, распределенные по тысячам адресов на нескольких блокчейнах.
Ожидается, что они будут отмыты и в конечном итоге конвертированы в фиатную валюту.
Ранее TraderTraitor была замечена в краже криптовалюты на сумму 308 млн. долл. у криптокомпании DMM Bitcoin в мае 2024 года.
В свою очередь, ByBit объявила войну Lazarus, запустив программу вознаграждений для возвращения украденных средств, одновременно критикуя eXch за отказ сотрудничать в расследовании и блокировке активов.
К настоящему времени заморожено только 3% ($42 млн) украденной криптовалюты. Почти $95 млн в настоящее время отмечены в состоянии ожидания.
Bybit уже выплатила более $4 млн в качестве вознаграждений тем, кто помог отследить и заморозить средства.
Кампания также поделилась выводами предварительного расследования, к проведению которого привлекли Sygnia и Verichains, которые связывают взлом с Lazarus Group.
Криминалистическое изучение хостов трех подписантов показывает, что основной базой для атаки стал вредоносный код, исходящий из инфраструктуры Safe{Wallet}.
Признаков того, что собственная инфраструктура Bybit была скомпрометирована, не получено.
Verichains отметили, что файл JavaScript app.safe.global, по-видимому, был заменен вредоносным кодом 19 февраля в 15:29:25 UTC, специально нацеленным на холодный кошелек Ethereum Multisig от Bybit.
При этом он был разработан для активации во время следующей транзакции, которая произошла 21 февраля, приводя к манипуляции содержимым во время процесса подписания.
Затем злоумышленники быстро удалили вредоносный код из JavaScript-файла Safe{Wallet}.
Представители Safe{Wallet} заявили, что атака была осуществлена путем компрометации машины разработчика, что привело к атаке на цепочку поставок ПО.
На данный момент неясно, каким образом была взломана система разработчика, но ее смарт-контракты не затронуты, как и исходный код интерфейса и сервисов.
Вскрылась другая интересная деталь: анализ Silent Push показал, что Lazarus Group зарегистрировала домен bybit-assessment[.]com в 22:21:57 20 февраля 2025 года, за несколько часов до кражи криптовалюты.
Записи WHOIS показывают, что домен был зарегистрирован с использованием адреса trevorgreer9312@gmail[.]com, который ранее был связан с Lazarus Group в связи с другой кампанией под названием Contagious Interview.
Будем продолжать следить.
Исследователи Solar сообщают о новой вредоносной кампании китайской APT Erudite Mogwai, которая с 2017 года нацелена на Россию.
В ноябре 2024 года Соларам в ходе анализа атак на российские ИТ-организации из числа господрядчиков удалось задетектить утилиту, которая обладала функциональностью прокси-инструмента.
При расследовании инцидента, следы атаки привели к непокрытому мониторингом сегменту сети заказчика, в котором были обнаружены образцы Stowaway и ShadowPad Light.
Атака на незащищенный сегмент сети началась не позднее марта 2023 года с публично доступных веб-сервисов, а в ноябре 2024 года атакующие попытались развить ее и захватить новые сегменты сети, но были к тому времени уже обнаружены.
В процессе анализа стало понятно, что замеченный Stowaway - кастомизированная версия общедоступного многоуровневого прокси-инструмента от китайских разработчиков, написанного на Go и предназначенного для пентестеров.
Интересной особенностью упомянутых семплов является то, что по сравнению с оригинальной утилитой, часть функциональности из них удалена, а оставшаяся - модифицирована.
Злоумышленники адаптировали Stowaway для своих целей, фактически создав свой собственный форк утилиты.
Утилита Stowaway используется в качестве средства проксирования трафика.
В целях обфускации с каждой итерацией изменяется структура протокола, добавляются новые возможности.
Последняя известная на данный момент версия использует LZ4 в качестве алгоритма сжатия, шифрование с помощью XXTEA.
Также злоумышленниками добавлена поддержка протокола QUIC.
В сочетании с другими инструментами, включая ShadowPad Light aka Deed RAT, эта утилита задействуется APT, которую Солары называют Erudite Mogwai, а Позитивы - Space Pirates.
Как отмечают исследователи, наименование Erudite Mogway - неслучайно.
В их модификациях утилиты Stowaway можно встретить отсылки к известным литературным произведениям, а также историческим событиям.
Ранее семейство этого вредоносного ПО упоминалось в отчете ПТ, где приводились хэши пяти известных образцов Stowaway.
С тех пор Соларам удалось выявить еще четыре новых экземпляра.
Характерные черты группировки и подробный технический анализ линейки всех версий Stowaway - в отчете.
🐧 Вы уже работаете с Linux, но хотите оперативно устранять сбои и решать нестандартные задачи при настройке серверов?
💪 Все продвинутые навыки — от баш-скриптов и умения гибко рулить авторизацией до применения подхода Infrastructure as code — ждут вас на онлайн-курсе «Administrator Linux. Professional» от OTUS.
Пройдите тестирование, чтобы:
- оценить свои навыки;
- занять место на курсе по специальной цене;
- получить доступ к бесплатным урокам курса (доступны сайте курса).
👉 Полное тестирование: https://otus.pw/dId6m/
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576, www.otus.ru
Шшшшшш
А вы знали, что суммы первоначального выкупа за расшифровку данных в 2024 году для малого бизнеса составляли от 100 000 до 5 млн ₽, а для крупных и средних компаний запросы преступников начинались от 5 млн рублей?
Страшшшно?
Не бойтесь! Рекомендации, как изучить и обезвредить киберврагов уже собраны в первом аналитический отчете F6 «Киберугрозы в России и СНГ. Аналитика и прогнозы 2024/25»
Специалисты F6 собрали полный источник стратегических и тактических данных о киберугрозах, актуальных для России и СНГ.
Среди основных выводов, можно выделить, что:
– продолжится рост хакерских групп;
– увеличится число DDoS-атак;
– среди главных киберугроз для российских компаний останутся программы-вымогатели;
– преступники не перестанут охотиться за данными;
– будет расти число фишинговых атак с использованием шпионских программ по модели Malware-as-a-Service, атак на цепочки поставок и поставщиков.
Все подробности уже ждут вас в отчете!
#реклама
О рекламодателе
⚡️Готовы стать востребованным ИБ-специалистом и освоить инструменты для создания архитектуры кибербезопасности компании?
Освойте актуальные подходы и инструменты, чтобы управлять рисками, защищать бизнес от кибератак и быть на шаг впереди злоумышленников.
Пройдите повышение квалификации «Информационная безопасность. Professional» и получите знания, которые откроют двери в крупнейшие компании.
👉Начните свой путь 27 февраля! Успейте оставить заявку и получить скидку: https://otus.pw/o7I3/?erid=2W5zFHprqfE
Реклама. ООО "ОТУС ОНЛАЙН-ОБРАЗОВАНИЕ". ИНН 9705100963.
👩💻 Как создавалось ядро Linux.
• В далёком 2013 году один из разработчиков Microsoft детально объяснил, в чём главные технические проблемы при разработке ядра Windows NT. Спустя десять лет Windows 10/11 работает на том же ядре, а многие старые проблемы так и остались нерешёнными.
• Хотя в ряде задач Windows превосходит Linux, но в большинстве тестов она на порядок медленнее. По словам разработчика, это отставание усугубляется, а причина «социальная». Суть в том, как организован процесс разработки, внесения изменений в ОС. Если в мире опенсорса это открытый процесс, который несёт пользу и улучшает систему, то в мире корпоративного ПО зачастую изменения вносятся по причинам эгоизма, желания продвижения по карьерной лестнице, славы и т.д. Всё это ведёт к деградации продукта.
• Один из студенческих товарищей Линуса Торвальдса вспоминает ранние дни Linux, как всё начиналось. С исторической точки зрения в воспоминаниях Ларса Вирцениуса много интересных фактов. Они дают понять, под влиянием каких концепций создавалось ядро Linux. Сообщество Open Source — это абсолютно другой мир, который кардинально отличается от корпоративной разработки.
• Ларс познакомился с Линусом Торвальдсом на первом курсе в университете Хельсинки, тогда же они получили доступ к серверу Unix и случайно обнаружили на нём Usenet, когда по ошибке ввели команду rn вместо rm (подробнее вот тут). После службы в армии в 1990 году ребята взяли курс обучения по C и программированию Unix, что включало в себя изучение архитектуры ядра Unix. Ларс и Линус также заинтересовались и изучили устройства ядра других ОС, таких как QNX и Plan 9.
• В январе 1991 года Линус купил свой первый ПК и сутками зависал в Prince of Persia, а позже приобрёл ОС MINIX, потому что с университета привык к Unix и хотел установить на домашнем компьютере похожую систему.
• Когда Линус наконец прошёл игру, он начал изучать ассемблер и в качестве эксперимента реализовал программу с многозадачностью. Затем начал понемногу писать ядро, добавляя функцию за функцией. Например, однажды он случайно запустил HDD вместо модема, так что в загрузочный сектор записалась инструкция ATDT с номером университетской BBS — после этого Линус прописал в ядре права доступа к файлам. Так и шёл процесс. Постепенно появлялась и другая функциональность. Во время рождественских каникул 1991 года после сессии Линус реализовал виртуальную память, и т. д.
• Ядро Linux было написано студентами под сильным влиянием Unix. В августе 1991 года Линус впервые упомянул о своём проекте в эхоконференции comp.os.minix. Первоначально система называлась Freax. В 1992 году вышел первый дистрибутив Softlanding Linux System (SLS), а также под Linux была портирована система X11, что сильно повлияло на популярность Linux.
• Когда Линус программировал на рабочем ПК, его раздражала медлительность машины — и он потратил целый день, чтобы переписать на ассемблере парсер командной строки в ядре (потом его переписали обратно на С). А потом Линус несколько дней играл в Quake, выдавая это за стресс-тест управления памятью ядра.
• Так или иначе, но разработчики Linux изначально ориентировались на производительность, они писали на С и ассемблере, и в общем это была цельная, мощная концепция. Наверное, в этом одно из отличий с ядром Windows NT, над которым работают тысячи программистов в корпорации Microsoft, не имея единого видения.
• Весной 1994 года работа над ядром Linux была в основном закончена, так что Ларс организовал торжественную презентацию Linux 1.0 с приглашением прессы:
➡ https://youtu.be/qaDpjlFpbfo
• На презентации 30 марта 1994 года Линус Торвальдс пошутил, что коммерческая лицензия на Unix стоит так дорого, что проще написать собственную операционную систему.
#Linux
☝ Факты о Linux: помощь в развитии Linux от крупнейших IT-компаний.
• Многие считают, что Linux - это нечто, созданное и поддерживаемое энтузиастами-одиночками на чистом энтузиазме. Но на самом деле ведущие ИТ-компании не только используют Linux в своей работе, но и активно участвуют в его разработке. Команды разработчиков IBM, Intel, Samsung, Google, Facebook, Amazon, Microsoft занимаются улучшением Linux и открытых компонентов его экосистемы.
• Давайте возьмем, к примеру, IBM. Компания использует Linux на своих мейнфреймах, суперкомпьютерах и облачных платформах. IBM также разрабатывает собственный дистрибутив для корпоративных клиентов – Red Hat Enterprise Linux (RHEL), который приобрела вместе с компанией Red Hat за $34 миллиарда в 2019 году.
• Что касается Intel, то они регулярно добавляют в Linux поддержку новых функций своих процессоров, оптимизируют производительность и безопасность. Многие подсистемы ядра, связанные с энергосбережением, виртуализацией, обработкой графики, были разработаны именно специалистами Intel.
• ОС Android (Google) построена на базе модифицированного ядра Linux. Команда Google вносит огромный вклад в основную ветку разработки Linux. Такие функции ядра, как cgroups (механизм изоляции и ограничения ресурсов), поддержка модели векторных вычислений SIMD, используемой в машинном обучении, и многое другое было разработано инженерами Google.
• Даже Microsoft, которая долгое время считалась главным конкурентом и критиком Linux, в последние годы кардинально изменила свое отношение. Сейчас Microsoft активно использует Linux в своем облаке Azure, разрабатывает собственный дистрибутив CBL-Mariner и вносит изменения в ядро для лучшей совместимости Linux с Windows.
• Этот список можно продолжать долго. Практически все крупные ИТ-компании так или иначе вовлечены в разработку Linux и открытого ПО. Они понимают, что сотрудничество и обмен наработками выгодны всем, ведь чем лучше и стабильнее будет Linux - тем больше пользы получит вся отрасль.
• Конечно, у каждой компании свои интересы и своё видение развития Linux. Иногда эти интересы сталкиваются, и возникают конфликты. Но в целом, благодаря усилиям корпоративных разработчиков, Linux становится всё более зрелой, функциональной и удобной системой, способной решать самые сложные задачи современного цифрового мира.
#Разное
👩💻 Бесплатный курс: Linux CLI.
• Linux CLI, или умение пользоваться терминалом - жизненно необходимый навык для каждого IT-специалиста (даже если вы работаете на Windows и используете только графическую оболочку). На данном курсе Вы изучите материал, который полностью покроет ваши нужды как пользователя/разработчика/QA.
• Курс именно для начинающих (для тех, кто ранее не работал с терминалом и не знает что это такое). Тут не рассматривается сам Linux, а потому, если вы хотите изучить нечто большее чем исключительно базовое использование командного интерфейса - данный курс не подойдёт.
• На курсе вы получите теорию в виде текста/изображений/примеров, а отработать её на практике вы сможете у себя локально на компьютере и ответить на вопросы по теме прямо в модулях курса.
➡️ https://stepik.org/course/124646
#Курс #Linux
👨💻 Пентест Active Directory.
• С момента создания службы каталогов Active Directory (AD) прошло уже 25 лет. За это время служба обросла функционалом, протоколами и различными клиентами.
• Материал, который Вы найдете по ссылкам ниже, станет хорошей отправной точкой для изучения особенностей и слабых мест AD. Содержание следующее:
- Trees and Forests / Components;
- Enumerating AD with Bloodhound;
- Authentication, Authorization, Access Control and more;
- Enumeration;
- LLMNR Poisoning;
- Lateral movement & privilege escalation;
- Domain persistence and cross forest attacks.
• Вот ещё очень хороший цикл статей "Active Directory in Red Teaming" — включает в себя описание различных инструментов, основ и нюансов при проведении тестирования на проникновение в AD:
- Introduction;
- Offensive PowerShell;
- Local Privilege Escalation;
- Lateral Movement;
- Domain Persistence;
- Domain Privilege Escalation;
- Forest Trust Abuse.
• Дополнительно:
- DetectionLab — проект, который позволит тебе развернуть виртуальную лабораторию на базе Windows, для использования в исследовательских целях.
- Vulnerable-AD — заведомо уязвимая Active Directory. Окажется полезной для практических занятий и тестов.
- Cheat Sheet AD — эта шпаргалка описывает определенные методы, которые используются для атак Windows Active Directory.
#Пентест #AD