😈 Группировка Scattered Spider использует шифровальщики RansomHub и Qilin

Scattered Spider пополнила свой арсенал вымогательской малварью Qilin и RansomHub, и уже использует вредоносы в своих атаках, они активны с начала 2022 года.

Группировка также известна под именами 0ktapus (Group-IB), Scatter Swine (Okta), Starfraud, UNC3944 (Mandiant), Octo Tempest (Microsoft) и Muddled Libra. Ее финансово мотивированные атаки в основном направлены на организации, работающие в сфере управления отношениями с клиентами (CRM), аутсорсинга бизнес-процессов, телекоммуникаций и технологий.

Упомянутый шифровальщик Qilin появился в августе 2022 года и сначала назывался Agenda, но спустя месяц был переименован в Qilin. За последние два года на сайте для утечек, принадлежащем группировке, была опубликована информация о 130 пострадавших от атак компаниях.

— Что касается RansomHub, этот шифровальщик появился в феврале 2024 года и считается «ребрендингом» вымогателя Knight. Именно RansomHub использовался в таких громких атаках, как недавние взломы аукционного дома Christie's и американской аптечной сети Rite Aid.

#Malware #News | 🧑‍💻 Этичный хакер

😈 Погружаемся в PEB. Подмена аргументов командной строки

Про спуфинг аргументов в PEB было рассказано многое, но, если честно, нам ни разу не попадались материалы про изменения аргументов прямо в рантайме.

— Под катом разобрались, как добраться до PEB руками в IDA Pro и написали простейшее приложение для манипуляции аргументами в PEB.

🗣 Ссылка на чтиво

#PEB #Spoofing #Windows #Malware | 🧑‍💻 Этичный хакер

😈 Погружаемся в PEB. DLL Spoofing

В предыдущей статье мы в первом приближении рассмотрели PEB и разобрались, как подменить аргументы командной строки.

— Под катом продолжая разбираться с PEB, рассмотрим еще один способ повлиять на исполнение программы, и попробуем подменить вызываемую из DLL функцию.

🗣 Ссылка на чтиво

#PEB #Spoofing #Windows #Malware | 🧑‍💻 Этичный хакер

😈 В Совете Федерации заговорили о едином центре по кибербезопасности

С территории Украины против Российской Федерации воюет целая армия киберпреступников. Об этом во время посещения центра киберзащиты Сбера сенаторами Совфеда заявил вице-президент по кибербезопасности Сбера Сергей Лебедь.

«Сбер эффективно обеспечивает кибербезопасность клиентов и собственной инфраструктуры. Однако угроза выходит далеко за рамки работы Сбербанка – это вопрос общенациональной безопасности. Поэтому только наших усилий по определению не может быть достаточно для кардинального решения задачи по обеспечению безопасности жителей России», — добавил Лебедь.

По результатам встречи сенаторы заявили, что России нужен единый орган по обеспечению кибербезопасности, который будет координировать государственную политику в этой сфере.

🗣 Ссылка на чтиво

#PEB #Spoofing #Windows #Malware | 🧑‍💻 Этичный хакер

😈 Разработка вредоносного ПО для MacOS: создание заготовки

В этой статье мы погрузимся в мир проектирования и разработки вредоносного ПО для macOS, которая по сути является операционной системой на основе Unix.

При исследовании внутренностей системы Apple мы воспользуемся классическим подходом с опорой на базовые знания эксплойтов, программирования на C и Python, а также знакомство с низкоуровневым языком ассемблера.

❗️ Что будет затрагиваться в статье:
- Знакомства с архитектурой macOS и с особенностями её безопасности
- Углубимся во внутреннее устройство и рассмотрим ключевые элементы: Mach API и ядро
- Создадим заготовку зловредного ПО

🗣 Ссылка на чтиво

#Malware #MacOS #SIP | 🧑‍💻 Этичный хакер

😈 Вымогательская группировка OldGremlin возобновила активность

OldGremlin атаковала российские компании в 2020-2022 годах, и суммы требуемых выкупов исчислялись миллионами, а в 2022 году ценник поднялся до 1 миллиарда рублей. Теперь ИБ-спецы сообщают, что группа снова активна и использует новый инструмент OldGremlin.JsDownloader.

Было обнаружено загруженное на платформу AnyRun письмо, которое было отправлено от имени сотрудницы компании «Диадок» с использованием адреса электронной почты - Ольга Макарова <makarova@diadok[.]net>. Получателем письма был сотрудник неназванной российской нефтехимической компании.

— Если проверка подписи прошла успешно, OldGremlin.JsDownloader будет ожидать данных от своего управляющего сервера. А когда вредоносный загрузчик получит данные от сервера, они будут расшифрованы и переданы в функцию eval(), которая позволяет выполнить произвольный JavaScript-код.

❗️ Алгоритм шифрования данных — RC4, где ключом является хеш-сумма MD5, полученная от случайно сгенерированного набора байт, который был отправлен на сервер ранее.

#News #Malware #Gremlin #Russia | 🧑‍💻 Этичный хакер

😈 Разраб Styx Stealer случайно скомпроментировал свой ПК

Создатель нового инфостилера Styx Stealer случайно скомпрометировал собственный компьютер и слил в сеть свои данные, включая информацию о клиентах и прибылях, а также никнеймы, номера телефонов и адреса электронной почты.

— Styx Stealer, появившийся в апреле 2024 года, представляет собой вариацию стилера Phemedrone и способен похищать данные из браузеров, сессии Telegram и Discord, а также информацию о криптовалютных кошельках жертв.

❗️ Исследователи объясняют, что STY1X допустил ошибку и произвел отладку Styx Stealer на своей собственной машине, используя токен для Telegram-бота, предоставленный FucosReal.

#News #Stealer #Malware #Fail | 🧑‍💻 Этичный хакер

😈 Уязвимость в PHP используется для доставки бэкдора

Неизвестные развернули на Windows-системе одного из университетов Тайваня бэкдор, для атаки использовалась ранее исправленная RCE-уязвимость: CVE-2024-4577

— Напоминаем, что CVE-2024-4577 (9,8 CVSS) в PHP-CGI была раскрыта в начале июня 2024 года. Она позволяет злоумышленнику удаленно выполнять вредоносные команды в Windows-системах. Проблема усугубляется при использовании некоторых локализаций, которые более восприимчивы к этому багу, включая традиционный китайский, упрощенный китайский и японский.

❗️ Отличительной особенностью бэкдора Msupedge является использование DNS-трафика для связи с управляющим сервером.

DNS-туннелирование (функция реализована на базе опенсорсного инструмента dnscat2) позволяет инкапсулировать данные в DNS-запросы и ответы для получения команд от управляющего сервера.

#News #Malware #PHP #Backdoor | 🧑‍💻 Этичный хакер

😈 Три из четырех атак на страны СНГ нацелены на Россию

Эксперты Positive Technologies представили исследование актуальных киберугроз СНГ за 2023 год и первую половину 2024 года

— Согласно отчету, интерес злоумышленников к региону значительно вырос: во втором квартале 2024 года здесь зафиксировано в 2,6 раза больше атак, чем годом ранее, при этом почти три четверти всех этих атак приходятся на долю России

❗️ Наиболее распространенными методами кибератак в странах СНГ, как и во всем мире, являются использование малвари и социальная инженерия

#News #Statistics #Malware #SE | 🧑‍💻 Этичный хакер

😈 Ключ от всех дверей: как нашли бэкдор в самых надежных* картах доступа

Вы прикладываете ключ-карту к считывателю, и дверь офиса открывается. Но что, если такой пропуск может взломать и скопировать любой желающий?

В 2020 году Shanghai Fudan Microelectronics выпустила новые смарт-карты FM11RF08S

Производитель заявил об их полной защищенности от всех известных методов взлома

Группа исследователей проверила эти заявления и обнаружила встроенный бэкдор, позволяющий получить полный доступ к данным карты

— В этой автор расскажет захватывающую историю о том, как нашли бэкдор, и разберет катастрофические последствия его внедрения

Этот случай наглядно демонстрирует:
1. Рискованность слепого доверия маркетинговым заявлениям о безопасности
2. Важность независимого аудита критических систем

🗣 Ссылка на чтиво

#Malware #Backdoor #Info | 🧑‍💻 Этичный хакер

😈 Подборка образцов вредоносных программ

В этом посте собраны ссылки на опасные вредоносные программы

Они не деактивированы и представляют реальную угрозу. Не скачивайте их, если не уверены в том, что делаете.

— Используйте для исследований только изолированные программные среды

❗️ В этих коллекциях много червей, которые заразят все, до чего смогут дотянуться

1. theZoo: активно пополняемая коллекция вредоносных программ, собранная специально для исследователей и специалистов по кибербезопасности

2. Malware-Feed: коллекция вредоносных программ от virussamples.com

3. Malware samples: пополняемый github-репозиторий с вредоносами, к которым прилагаются упражнения по анализу вредоносного ПО

4. vx-underground: еще одна обширная и постоянно растущая коллекция бесплатных образцов вредоносных программ

5. Malshare: репозиторий, который помимо образцов малвари предлагает дополнительные данные для YARA

6. MalwareBazaar: проект, целью которого является обмен образцами вредоносного ПО с поставщиками антивирусных программ и сообществом экспертов по информационной безопасности. Поддерживает собственное API

7. VirusShare: большой репозиторий вредоносных программ с обязательной регистрацией

8. The Malware Museum: вирусы, распространявшиеся в 1980-х и 1990-х годах. Практически безобидны на фоне остальных ссылок из этого раздела и представляют скорее историческую ценность

Ссылки предоставляются исключительно в научных и образовательных целях

#Virus #Malware | 🧑‍💻 Этичный хакер

😈 Призрачный администратор: как хакеры захватывают контроль над WordPress-сайтами

‼️ На более чем 5000 сайтов WordPress выявлена вредоносная кампания, в ходе которой злоумышленники создают фальшивые учётные записи администратора, устанавливают вредоносные плагины и похищают данные

— После компрометации сайта вредоносный скрипт из указанного домена создаёт учётную запись администратора с именем wpx_admin, а её данные сохраняются в коде

Затем скрипт загружает и активирует вредоносный плагин под названием plugin.php с того же домена

🗣 Ссылка на чтиво

#WordPress #Vulnerability #Malware #News #CSRF | 🧑‍💻 Этичный хакер

😈 Новый троян массово рассылают в Telegram

❗️ Злоумышленники массово рассылают в Telegram троян Mamont в формате apk-файла, замаскированного под видео

При открытии подобных файлов на устройство жертвы устанавливается зараженное трояном Mamont приложение

— Вирус может считывать push-уведомления, СМС, получать доступ к фотографиям из галереи, а также автоматически рассылать опасный файл всем контактам пользователя в Telegram

🗣 Ссылка на чтиво

#News #Mamont #Trojan #Telegram #Malware | 🧑‍💻 Этичный хакер