Ресерчеры BI.ZONE сообщают об активности Sapphire Werewolf, которая модифицировала опенсорс-стилер для проведения новых атак в целях кибершпионажа.

Начиная с марта 2024 года Sapphire Werewolf реализовала уже более 300 атак на российские организации в сфере образования, промышленности, ИТ, ВПК и космоса с использованием стилера Amethyst, который злоумышленники разработали на основе программы с открытым исходным кодом - SapphireStealer.

Атакующие распространяли вредоносное ПО с помощью фишинговых электронных писем со ссылками в формате t[.]ly под видом постановления о возбуждении исполнительного производства, информационного бюллетеня ЦИК, а также указа Президента РФ.

После открытия вредоносного файла осуществляется создание папки %AppData%\Microsoft\EdgeUpdate, из Resources.MicrosoftEdgeUpdate в нее записывается MicrosoftEdgeUpdate.exe. Попутно производится запись отвлекающего документа в текущую директорию и его открытие.

Для обеспечения персистентности в системе жертвы осуществляется создание задачи в планировщике с помощью встроенной в исполняемый файл библиотеки FunnyCat.Microsoft.Win32.TaskScheduler.dll.

Имя, описание и путь к исполняемому файлу в задаче маскируются под легитимную задачу MicrosoftEdgeUpdateTaskMachineCore.

После закрепления осуществляется запись стилера Amethyst (в файл VPN.exe во временной папке данных) и его запуск, сопровождающийся изменением зоны безопасности исполняемого потока на MyComputer, а также созданием асинхронной задачи, которая впоследствии отправит собранные файлы на С2.

Собранные файлы сохраняются в папку, названием которой является строка, сгенерированная с помощью UUID. Папка находится в каталоге с временными файлами.

Стиллер собирает файлы конфигурации мессенджера Telegram, файлы с различными расширениями и с внешних носителей, данные из браузеров (Chrome, Opera, Yandex, Brave, Edge и др.), а также журналы использования PowerShell и конфиги FileZilla и SSH.

Собранные материалы помещаются в архив и отправляются на С2, а в последних версиях при создании архива используется пароль и добавляется комментарий с данными по хосту.

Роль командного сервера для отправки архива выполнял бот в Telegram, токен которого, как и идентификатор пользователя, находился в ПО.

При этом злоумышленники в код разных версий ВПО указывали не один, а сразу несколько токенов и идентификаторов пользователя. Если главный бот или основной клиент были недоступны, вредоносное ПО обращалось к другим.

IOCs и рекомендации по обнаружению вредоносной активности - в отчете.

В киберподполье набирает популярность нацеленный на банкоматы в Европе новый штамм вредоносного ПО под названием EU ATM Malware с заявленной беспрецедентной эффективностью в 99%.

Согласно утверждениям селлера, EU ATM Malware способен расчехлить практически любой европейский банкомат и до 60% устройств по всему миру, производимых Diebold Nixdorf, Hyosung, Oki, Bank of America, NCR, GRG, Hitachi и др.

Заявленные экономические ТТХ вредоноса гарантируют покупателю до 30 000 долларов за банкомат, при этом модностью автоматизировано, обеспечивая развертывание и эксплуатацию. Но также имеет и ручной режим работы.

Селлер предлагает гибкую систему оплаты и готов предоставить ежемесячную подписку, демоверсию полезной нагрузки на срок до трех дней, а также первоначальный взнос с выделением доли прибыли от успешных операций.

Насколько EU ATM Malware соответствует заявленным характеристикам и станет ли реальной угрозой банковского сектора в Европе пока не ясно, но будем посмотреть.

Лаборатория Касперского выпустила новый общедоступный инструмент для платформы Linux под названием KVRT, реализующий сканирование системы на наличие известных угроз и их удаление.

Несмотря на распространенное мнение о защищенности по своей природе систем Linux от угроз, в последние время становится очевидным, что это не более чем заблуждение.

Яркий демонстрирующий сиё пример - бэкдор XZ Utils.

Новый инструмент ЛК — это не инструмент защиты от угроз в режиме реального времени, но и автономный сканер, способный обнаруживать вредоносное и рекламное ПО, задействуемый в вредоносных целях легитимный софт и другие известные угрозы, также обеспечивающий их очистку.

Все копии удаленных или обезвреженных вредоносных файлов сохраняются в карантинном каталоге «/var/opt/KVRT2024_Data/Quarantine» (для пользователей root) в безопасной форме.

Приложение использует часто обновляемую антивирусную базу данных для сканирования всей системы на наличие совпадений иможет сканировать системную память, объекты автозагрузки, загрузочные сектора и все файлы ОС, включая архивные.

При этом KVRT поддерживает только 64-битные системы и для работы требуется активное подключение к Интернету. KVRT может выполняться как в графическом интерфейсе пользователя (GUI), так и в терминале в виде инструмента командной строки.

Инструмент апробирован на популярных дистрибутивах Linux и среди прочего работает на Red Hat Enterprise Linux, CentOS, Linux Mint, Ubuntu, SUSE, openSUSE и Debian.

Исследователи полагают, что несмотря на отсутствие в указанном перечне поддерживаемых систем, с большой вероятностью KVRT будет работать и на других.

Скачать KVRT можно здесь: https://www.kaspersky.com/downloads/free-virus-removal-tool, а подробные инструкции к нему доступны на этой странице.

В Лаборатории Касперского продолжили творить настоящий must have, что впрочем и так делают, но судя по динамике, - перешли почти на круглосуточный режим.

Новая серия отчетов за первый квартал 2024 года охватывает общую аналитику по развитию информационных угроз, а также показатели по мобильной статистике и ПК.

Но и это еще не все, ресерчеры подготовили отдельный весьма содержательный отчет с обзором основных инцидентов, вызванных атаками на промышленные организации.

Всего потерпевшие подтвердили 30 нарушений, что соответствует предыдущим периодам наблюдений (60+ публично подтвержденных случаев за полгода).

37% пострадавших сообщили об отказе в работе или отгрузке продукции из-за инцидента, статистика почти аналогична предыдущему периоду (37,5% за второе полугодие 2023 года).

Почти половина (47%) всех инцидентов привела к нарушению работы публичных цифровых услуг жертв.

Большая часть из которых принадлежат к следующим секторам: обрабатывающая промышленность (включая автомобильную, аэрокосмическую, фармацевтическую, пищевую, косметическую и многие другие подотрасли), коммунальное хозяйство, энергетика, транспорт и логистика, машиностроение и горнодобывающая промышленность.

Причем две трети жертв приходится на производственный сектор. 50% всех пострадавших на производстве сообщили об отказе в работе, что составляет 100% всех жертв, подтвердивших перерыв в работе в результате атаки.

Тут либо сектор менее устойчив к атакам, либо организации просто более откровенны при предоставлении публичной отчетности.

Ни одна из жертв, управляющих критически важной инфраструктурой, например, в энергетическом и коммунальном секторах, не сообщила о каком-либо значительном ущербе – к чему уже все привыкли.

Наиболее пострадавшими странами являются: США – 1/6 всех жертв, Германия – 1/6 всех жертв, Франция, Бельгия, Нидерланды – по 1/10. Но есть и более редкие страны: Северная Македония, Южная Африка, Сингапур.

В отчете приведены кликабельные ссылки на оригинальные источники по каждому конкретному инциденту.

Ежегодная всероссийская независимая премия для пентестеров — Pentest award возвращается!

Раз в году у этичных хакеров появляется шанс громко заявить о своих достижениях, показать свой вклад в развитие российского рынка ИБ и обменяться лучшими историями из практики на церемонии награждения Pentest award.

В этот раз нас ждут 6 номинаций, по три призовых места в каждой:

— Пробив WEB
— Пробив инфраструктуры
— Девайс
— Hack the logic
— Раз bypass, два bypass
— Ловись рыбка

Главный приз — тяжеленная стеклянная именная статуэтка за первое место. Не менее главные призы: макбуки, айфоны, смарт-часы, умный колонки, а также бесценные подарки от партнеров проекта BI.ZONE Bug Bounty и VK Bug Bounty.

Сбор заявок уже открыт на сайте — https://award.awillix.ru/
Давайте покажем, на что способны этичные хакеры!
#pentestaward

Реклама. ООО «Авилликс». erid: 2VtzqvLamcN

Никогда такого не было и вот опять!

Через журналистов 404 Media в паблик утекла корпоративная база данных Google по инцидентам в области конфиденциальности и безопасности, которую слили им анонимные отправители.

Она содержит подробную информацию в отношении тысячи инцидентов, о которых рапортовали сотрудники Google в период с 2013 по 2018 гг. При этом если большинство проблем возникали без преднамеренного умысла, то некоторые - вызывают вопросы.

Оказалось, что новая функция AI Overview в реальности собирала конфиденциальные данные от пользователей.

Звуковой функционал Google случайно записал голоса 1000 детей, Waze сливал адреса пользователей, Google Street View фактически сканировал, расшифровывал и затем сохранял данные номерных знаков автомобилей.

Принадлежащий Alphabet сервис YouTube пропихивал рекомендации, основывались на удаленной истории просмотров пользователей.

Безусловно, все перечисленное в купе с остальными инцидентами можно было списать случайности, уязвимости сторонних поставщиков и ошибки, допущенные отдельными сотрудниками Google или подрядчиками.

Однако утечка продемонстрировала, как подрядчик Google использовал свои административные привилегии для входа в учетную запись Nintendo на YouTube и слива информации о компании перед ее официальным релизом.

Тогда в 2017 году в обход правообладателя на Reddit раньше срока анонсировали новую игру Yoshi.

Новый ушат помоев на Google, последовал вслед за другой утечкой документов, согласно которым стало понятно, что система поисковой выдачи реализует работу вне соответствия официально заявленным алгоритмам.

Тем не менее, Google подтвердила утечку и заверила, что все зарегистрированные проблемы были решены «собственными силами». Так что дело закрыто, можно расходиться.

🗞 Paged Out!

• Очень ламповый журнал по информационной безопасности и этичному хакингу. Публикуется в формате: 1 страница - 1 статья. На данный момент опубликовано 4 выпуска, которые вы можете скачать тут: https://pagedout.institute

#ИБ

После неугомонных речей микромягких про высокие стандарты безопасности исследователи решили наглядно продемонстрировать, что такое в реальности Windows Recall и как его можно использовать для кражи информации.

Как предполагается, новый функционал будет активирован по умолчанию на всех новых ПК Copilot+, позволяя пользователям Windows серфить историю всех своих прошлых активностей в системе.

Несмотря на мгновенную реактивную критику инфосек-сообщества, Microsoft продолжает причитать все одни и те же мантры про безопасность и необходимость физического авторизованного доступа для кражи данных с помощью Recall.

Но на самом деле все оказалось иначе и куда драматичнее.

Исследователь Марк-Андре Моро смог восстановить из локальной незашифрованной базы данных SQLite пароль менеджера удаленного рабочего стола, который изначально был собран с помощью Recall, упрощающего задачу инфостиллеру.

Другой эксперт Александр Хагена предоставил инструмент с открытым исходным кодом под названием TotalRecall, который может легко извлекать и отображать данные из базы данных Recall.

Несмотря на то, что официальный запуск состоится через две недели, Хагена удалось запустить Windows Recall на ПК, не поддерживающем CoPilot+, внутри ARM Azure и потестить его, прийдя к выводу, что никакой безопасности нет от слова совсем.

Авторитетный Кевин Бомонт также внимательно присмотрелся к безопасности Recall и предупредил, что злоумышленники могут модифицировать средства кражи информации для получения данных посредством новой функции Windows.

Он отметил, что данные, собранные Recall, эффективно сжимаются: для хранения данных за несколько дней требуется менее 100 КБ памяти.

Кроме того, провел тесты с использованием рабочего стиллера и смог выкрасть данные Recall до того, как они были обнаружены Microsoft Defender для Endpoint.

Recall в настоящее время все еще находится на стадии предварительной версии, и у Microsoft еще есть все шансы внести в нее изменения (если конечно, их одобрит вашингтонский обком). Как обычно, будем посмотреть.