Алекс / Блог RSS

Исследователи из западной ИБ-компании Outflank рассказали о новом методе внедрения кода под названием Early Cascade Injection, который позволяет обходить современные системы обнаружения угроз (EDR). Новая техника задействует особенности процесса создания приложений в Windows и минимизирует риск обнаружения, эффективно конкурируя с популярными методами вроде Early Bird APC Injection. В основе Early Cascade Injection лежит вмешательство в создание процессов на уровне пользовательского режима.Подробнее

Для обхода систем защиты хакеры все чаще стали использовать сервисы хранения файлов, такие как SharePoint, OneDrive и Dropbox, говорят в Microsoft. В «Газинформсервисе» рассказали, какие решения могут быть эффективны при подобных атаках. В таких кибератаках злоумышленники компрометируют бизнес-почты, что приводит к краже финансов, данных и распространению вредоносного ПО на другие устройства.Подробнее

Хакеры начали использовать новую программу-вымогатель Brain Cipher. Кибератака произошла на национальный дата-центр в Индонезии. Хакеры зашифровали серверы правительства Индонезии, что привело к сбоям в работе иммиграционных служб, паспортных контролей, выдачи разрешений на мероприятия и других онлайн-сервисов. Были нарушены работы более 200 госучреждений.Подробнее

Группа вымогателей Lockbit заявила, что сегодня 25 июня будут опубликованы 33 ТБ конфиденциальных данных, включая «банковские тайны американцев». Группировка Lockbit добавила Федеральную резервную систему (ФРС) в список жертв на своем сайте и пригрозила утечкой данных. Вчера в СМИ появились сообщения, что злоумышленники шантажируют ФРС и ведут переговоры о сумме выкупа. Но, пока информации о результатах переговоров нет.Подробнее

Зафиксирована новая хакерская атака с помощью эмодзи – ее реализовала хакерская группировка из Пакистана. Киберэксперт Овчинников рассказал, как реализуются такие атаки и как не стать жертвой хакеров. Целью злоумышленников стали серверы мессенджера и соцсети Discord. Для атаки хакеры написали специальную программу Disgomoji, которую активно распространяют на ПК. Через вредоносные ссылки аферисты подключаются к каналам в Discord и загружают свое приложение на компьютеры.Подробнее

В новой кампании ClickFix злоумышленники распространяют вредоносные программы с помощью фейковых ошибок популярного софта: Google Chrome, Word и OneDrive. Пользователям направляют PowerShell, который якобы должен исправить ошибки. За кампанией стоит киберпреступная группа TA571, известная распространением спама и отправкой большого количества электронных вредоносных писем. В HTML-вложениях, прикрепленных к письмам, содержится вредоносный JavaScript.Подробнее

В Morphisec зафиксировали новый всплеск активности APT-группы Sticky Werewolf на территории России. Адресные рассылки нацелены на кражу секретов авиационной промышленности и вместо вредоносных ссылок используют вложения. Поддельные сообщения на электронную почту написаны от имени заместителя гендиректора ОКБ «Кристалл» — конструкторского бюро, занимающегося разработкой и производством агрегатов для самолетов, в том числе военного назначения.Подробнее

Группа исследователей сообщила, что смогла взломать уязвимости нулевого дня, которые еще не известны, с помощью команды автономных агентов на основе крупных языковых моделей (LLM), используя метод иерархического планирования с агентами, выполняющими специфические задачи (HPTSA). Исследователи смогли успешно взломать более половины тестируемых веб-сайтов, используя автономные команды ботов на базе GPT-4.Подробнее

Новая программа-вымогатель RansomHub начинает свою активность в киберпространстве, сообщает ИБ-компания Symantec. ИБ-эксперты фиксируют увеличение количества атак шифровальщиков. Эволюция вирусов углубляется: RansomHub, ранее известный как Knight, стал более функциональным и расширил сферу действия. Экспертами уже зафиксированы атаки на крупные компании. RansomHub унаследовал методику двойного вымогательства: данные не только шифруются, но и копируются для давления на жертву.Подробнее

Компания по управлению цепочками поставок программного обеспечения Sonatype обнаружила новый вредоносный PyPi-пакет, нацеленный на пользователей Windows. Злоумышленники нашли новый способ распространения вредоносного ПО – через Stack Overflow*. Отвечая на вопросы пользователей, хакеры рекомендуют установить вредоносный PyPi-пакет, который заражает компьютеры и похищает конфиденциальную информацию. Злоумышленники загрузили вредонос на репозиторий PyPi под видом инструмента для управления API.Подробнее

Forescout обнаружила новую хакерская кампанию, использующую уязвимость в устройствах Fortinet FortiClient EMS для распространения вредоносных программ. Уязвимость SQL-инъекции CVE-2023-48788 позволяет неавторизованному злоумышленнику выполнять код с помощью специально сформированных запросов. Для осуществления атаки не требуется взаимодействия с пользователем, и она довольно проста в реализации.Подробнее

Крупный российский агрокомплекс им. Н.И. Ткачева стал жертвой успешной хакерской атаки, сообщает «Коммерсантъ». По словам одного из собеседников, злоумышленники провели масштабное нападение на все IT-системы компании. В результате инцидента данные на серверах агрокомплекса были похищены и зашифрованы вредоносным ПО. Сайт холдинга не работал 8 и 9 апреля. В Агрокомплексе подтвердили технический сбой, вызванный хакерской атакой. Сейчас ведутся работы по устранению последствий взлома.Подробнее

Исследователи из Trend Micro сообщают, что китайская группа хакеров Winnti освоили новый способ незаметного проникновения – с помощью вредоносного ПО под названием UNAPIMON. Этот метод позволяет им собирать данные, оставаясь невидимыми для систем обнаружения и антивирусов. Хакеры внедряют зловредный код в безобидно выглядящий процесс программного обеспечения VMware Tools, инициируя серию событий, которая в итоге приводит к сбору важной информации о системе.Подробнее

Группировка Agenda наращивает количество атак по всему миру благодаря новому варианту своей программы-вымогателя, ориентированной на виртуальные машины. Программа-вымогатель группировки Agenda последние пару лет использовалась против широкого круга целей в здравоохранении, производстве и образовании. Сегодня финансовая сфера, IT-компании и юридические фирмы являются самыми актуальными целями их атак, говорится в отчете компании Trend Micro.Подробнее

Исследователи выявили новый вектор атаки «GhostRace» на современные процессоры, поддерживающие спекулятивное выполнение. Эксперты в исследование пишут, что GhostRace (CVE-2024-2193) – это новая атака, сочетающая спекулятивное выполнение и условия гонки, два очень сложных класса атак. Условия гонки возникают, когда несколько потоков пытаются получить доступ к общему ресурсу без надлежащей синхронизации, что часто приводит к уязвимостям, таким как одновременное использование после освобождения.Подробнее

Хакеры отправляют на корпоративные адреса машиностроительных предприятий письма от имени Следственного комитета Российской Федерации с трояном. При открытии письма в систему с помощью WhiteSnake внедряется JavaScript-бэкдор. Цель атаки – сбор информации о сотрудниках компаний, инфраструктуре и внутренней сети. Поддельные письма рассылаются с аккаунта @mail.Подробнее

Новая вредоносная программа WogRAT атакует Windows и Linux. Исследователи из AhnLab Security Intelligence Center (ASEC) пишут, что злоумышленники используют WogRAT в атаках с конца прошлого года. Особенностью вредоноса является использование онлайн-блокнота aNotepad для хранения и получения вредоносного кода. Метод распространения исследователи пока не указывают, но судя по всему, операторы задействуют рекламные механизмы.Подробнее

ИБ-компания Proofpoint выявила, что хакерская группировка TA577 теперь использует фишинговые электронные письма для кражи хэшей аутентификации NT LAN Manager (NTLM), это позволяет осуществлять захват учетных записей. Новая волна хакерских атак началась 26 февраля – киберпреступники разослали тысячи писем сотням организаций по всему миру с целью кражи NTLM хэшей сотрудников. Вредоносные письма маскировались под ответы на предыдущие сообщения жертвы. Эта техника называется «перехват переписки».Подробнее

Хакеры выложили на GitHub троян Xeno, который может открыть удаленный доступ к компьютерам россиян. Xeno может работать в системах Windows 10 и Windows 11,пишет Anti-malware.ru. «Троян написан полностью с нуля, что гарантирует уникальный подход к реализации удаленного доступа», – указано в описание Xeno. Специалисты компании, специализирующейся на кибербезопасности и разведке в интернете (Cyfirma) отметили, что Xeno попадет на устройства жертв через сеть доставки контента Discord.Подробнее

Хакерская группировка Mysterious Werewolf атакует военно-промышленный комплекс России, используя в атаках бэкдор собственной разработки. В BI.ZONE зафиксировали несколько атак кибергруппы, которую очень интересует военно-промышленный комплекс страны. Для проникновения в целевую инфраструктуру злоумышленники используют адресные рассылки и эксплойт CVE-2023-38831 для WinRAR. Фейковые сообщения распространяются от имени профильного регулятора.Подробнее

За последние 1,5 года только одна из преступных группировок LockBit получила более $125 млн. в виде выкупов. Согласно пресс-релизу Национального агентства по борьбе с преступностью Великобритании (NCA) было выявлено более 500 активных криптокошельков, на которые с июля 2022 по февраль 2024 года было перечислено более $125 млн.Подробнее

В открытом доступе обнаружен новый вредонос под названием SSH-Snake, который используется для незаметного перемещения по инфраструктуре жертвы, отмечают специалисты ИБ-компании Sysdig. SSH-Snake – это «самомодифицирующийся червь», отличающийся от обычных SSH-червей тем, что он избегает распространенных паттернов поведения, ассоциируемых с атаками по сценарию, обеспечивая этим большую скрытность.Подробнее

Исходный код третьей версии программы-вымогателя Knight продаётся на одном из форумов для киберпреступников. Шифровальщик нацелен на системы Windows, macOS, Linux/ESXi. Специалисты компании KELA, занимающейся мониторингом и анализом киберпреступности, обнаружили информацию, размещенную на форуме RAMP – «Продаю исходный код шифровальщика Knight 3.0, включая панель и сам локер». Эксперты отмечают, что эта версия отличается ускоренным на 40% шифрованием.Подробнее

Операторы программы-вымогателя Cactus в конце января 2024 года украли 1,5 ТБ внутренних данных техногиганта Schneider Electric и теперь требуют выкуп, пишет издание BleepingComputer. На сайте группировки в дарквебе злоумышленники выложили 25 МБ информации в качестве подтверждения утечки. Операторы Cactus грозятся опубликовать все данные, если корпорация не заплатит выкуп.Подробнее

Зловред распространяется в фишинговых письмах и эксплуатирует уязвимость в Windows SmartScreen. Эксперты компании Palo Alto Networks впервые зафиксировали Mispadu еще 5 лет назад и на этот раз зловред был обнаружен их специалистами. Новая волна хакерских атак сопровождается использованием опасных файлов-ярлыков, запакованных в ZIP-архив. Mispadu* эксплуатирует уязвимость под идентификатором CVE-2023-36025.Подробнее

Исследователь команды Snyk Security Labs сообщает об обнаружении четырех уязвимостей runC в инструменте CLI для создания и запуска контейнеров в Linux. Речь идет о проблемах безопасности CVE-2024-23652, CVE-2024-23653, CVE-2024-23651 и CVE-2024-21626. Все четыре уязвимости позволяют потенциальному злоумышленнику получить несанкционированный доступ к базовой ОС хоста, а, следовательно, конфиденциальным данным.Подробнее

Обнаружен новый вариант семейства вымогательских программ Phobos – Faust, информация была опубликована исследователями компании Fortinet. Атака начинается через инфицированный документ Microsoft Excel формата «.XLAM» со встроенным VBA-скриптом. Атакующие используют сервис Gitea для хранения файлов, закодированных в Base64, каждый из которых содержит вредоносный двоичный файл. Вместе с тем извлекается исполняемый файл, маскирующийся под обновление AVG AntiVirus («AVG updater.Подробнее

Устраненная уязвимость безопасности в Microsoft Outlook может быть использована злоумышленниками для доступа к хешированным паролям NT LAN Manager (NTLM) v2* при открытии специально созданного файла. Главная задача атакующего – убедить жертву перейти по ссылке, встроенной в фишинговое электронное письмо или отправленной через сообщение, а затем обманом заставить пользователя открыть определенный файл.Подробнее

«В ближайшие годы таргетированные фишинговые атаки достигнут определенного совершенства и будут максимально автоматизированы, поэтому рядовые пользователи сети Интернет скоро столкнутся с этими атаками в своей ежедневной деятельности», – заявил главный специалист отдела комплексных систем защиты информации компании «Газинформсервис» Дмитрий Овчинников.Подробнее

Программа-вымогатель Kasseika использует технику «приноси свой уязвимый драйвер» (Bring Your Own Vulnerable Driver, BYOVD) для отключения антивирусных программ перед шифрованием файлов жертвы. В частности, авторы Kasseika выбрали драйвер Martini (Martini.sys/viragt64.sys), являющийся частью TG Soft VirtIT Agent System. Ранее вектор BYOVD использовался, например, для установки тулкита Sliver, пишет Anti-malware.ru.Подробнее

Киберпреступники из банды LockBit пишут, что «увели» чувствительные данные у сети американских заведений быстрого питания Subway. На днях злоумышленники добавили Subway в список жертв на своем сайте в сети Tor, пишет Anti-malware.ru. По словам операторов шифровальщика, они похитили сотни гигабайт конфиденциальных данных, включая информацию о доходе сотрудников, оборотах ресторанов, выплатах за франшизу и пр.Подробнее

В недавнем отчете компании Huntress было выявлено, что операторы программ-вымогателей вернулись к использованию софта для удаленного доступа TeamViewer в атаках на организации. О методах выявления вредоносной активности через анализ поведения пользователей рассказал киберэксперт Дмитрий Овчинников. Киберпреступники снова используют TeamViewer, легитимный инструмент удаленного доступа, для первоначального проникновения на корпоративные устройства и попыток развертывания шифровальщиков.Подробнее

Хакеры, используя вирус Phemedrone Stealer, атакуют пользователей ПК, пишет TechRadar. Эксперты говорят, что вирус использует уязвимости во встроенной защите операционной системы от Microsoft. Программа обходит алгоритмы Windows Defender SmartScreen и связанные с ним запросы. Для того, чтобы провести атаку на пользователей, хакеры создают отдельный сайт в интернете и взаимодействуют с вирусной программой через него.Подробнее

Среди функциональных возможностей NoaBot – самораспространение по типу сетевого червя, а также скачивание и выполнение на сервере дополнительных бинарников». Атаки ботнета проходят по всему миру. NoaBot – новый ботнет, основанный на известном Mirai. Он уже был замечен в компаниях криптомайнинга. Его особенность – самораспространяющийся компонент и SSH-бэкдор, пишут на сайте ИБ-компании Akamai.com.Подробнее

На прошлой неделе хакерская группировка Sticky Werewolf предприняла очередную попытку атаковать российскую фармацевтическую компанию. На этот раз злоумышленники отправили целевой компании фишинговое письмо от имени Министерства по чрезвычайным ситуациям РФ. В письме говорилось о якобы вступившем в силу новом приказе ведомства, с просьбой проинструктировать сотрудников о порядке действий, пишет Securitylab.ru.Подробнее

Вирусная программа, названная Chameleon («Хамелеон»), распространяется через сервис Zombinder – набор приложений, выдающих себя за популярный браузер Google Chrome. Создали «Хамелеона» научили программу отключать некоторые функции смартфона, а затем воровать личные данные, об этом сообщает издание BleepingComputer. Одна из особенностей вирусного ПО – возможность отключения биометрического сенсора на Android-смартфоне.Подробнее

По данным исследования «Лаборатории Касперского», за последние два года подавляющее большинство организаций в России (69%) пострадали как минимум от одного инцидента кибербезопасности. Больше половины из них – 58% оцениваются как критические. Среди основных причин подобных случаев опрошенные отметили недостаток инструментов для обнаружения угроз (15%) и нехватку внутренних профильных специалистов (10%).Подробнее

Хакеры нашли способ слежки за владельцами смартфонов Apple через сторонние клавиатуры. Об этом сообщает издание PhoneArena. Киберэксперт Полунин напомнил, что и в официальных магазинах периодически встречаются вредоносные приложения. Эксперты британской компании Certo Software выяснили, что киберперступники продавали пользователям, которые хотели следить за своими друзьями, знакомыми или другими людьми, вредоносные приложения.Подробнее

В технологии беспроводного обмена данными Bluetooth обнаружены две уязвимости. Их обнаружили исследователи французской Высшей инженерной школы EUROCOM. Используя данные проблемы безопасности, потенциальные злоумышленники могут перехватывать и расшифровывать передаваемую по Bluetooth информацию через так называемые атаки BLUFFS. Используя обнаруженные проблемы безопасности, злоумышленник может при генерации ключа шифрования сделать его недостаточно надежным.Подробнее

ИБ-компания Arctic Wolf обнаружила серию атак хакерской группировки CACTUS, эксплуатирующую недавно обнаруженные уязвимости в платформе бизнес-аналитики Qlik Sense и проникающую в корпоративные системы. В этих атаках, после успешной эксплуатации недостатков следует использование сервиса Qlik Sense Scheduler для установки дополнительных инструментов с целью получения удаленного управления.Подробнее