Аналитические статьи

Обзор Эксперты из AhnLab Security Intelligence Center (ASEC) обнаружили случай распространения криптомайнингового вредоносного ПО через USB-накопители в Южной Корее. На фоне роста цен на криптовалюты увеличилось количество атак с использованием майнеров, которые используют ресурсы ПК без согласия пользователя. Хотя криптомайнинг сам по себе легален, установка программ для майнинга без разрешения, которые ухудшают производительность системы, считается незаконной. В данном случае злоумышленники распространяли майнер для Monero через USB и вносили изменения в системные настройки жертвы для оптимизации производительности и обхода систем защиты. Характеристика атаки Атака включала следующие действия: Добавление исключений в Windows...

Аналитический центр AhnLab Security Intelligence Center (ASEC) ранее анализировал атаки группы Kimsuky, использующей бэкдор PebbleDash и собственную разработку RDP Wrapper. Группа продолжает использовать эти методы атак, и в этом посте рассмотрены дополнительные вредоносные программы, которые были выявлены в новых инцидентах. 1. Обзор Злоумышленники распространяют ярлыки (*.LNK), содержащие вредоносные команды, через атаки типа spear-phishing. Названия файлов, включающие имена и компании, указывают на то, что угроза может быть направлена на конкретные цели. Вредоносные ярлыки маскируются под документы с иконками Office, такими как PDF, Excel или Word. При запуске файла исполняется PowerShell или Mshta, что позволяет загрузить и...

В декабре 2024 года Microsoft Threat Intelligence зафиксировала ограниченную активность неизвестного злоумышленника, который использовал публично доступный статический ключ ASP.NET для внедрения вредоносного кода и доставки фреймворка для пост-эксплуатации Godzilla. В ходе расследования и разработки мер защиты Microsoft выявила небезопасную практику, при которой разработчики интегрировали публично раскрытые ключи ASP.NET из открытых источников, таких как документация и репозитории кода. Это позволило злоумышленникам совершать атаки на целевые серверы. Microsoft обнаружила более 3 000 публично доступных ключей, которые могут использоваться для атак путем инъекций кода через ViewState. Ранее подобные атаки основывались на...

Эксперты AhnLab Security Intelligence Center (ASEC) выявили, что группа Andariel применяет вредоносный файл для выполнения атаки RID-хайджек (RID Hijacking) в процессе взлома. RID-хайджек — это техника атаки, которая включает изменение значения RID (Relative Identifier) учетной записи с ограниченными привилегиями (например, обычного пользователя или гостевой учетной записи) на значение учетной записи с более высокими привилегиями, такой как учетная запись администратора. В отчете Корейского агентства интернета и безопасности (KISA) «TTPs #11: Operation An Octopus – Analysis on Attack Strategies Targeting Centralized Management Solutions» упоминается, что группа Andariel использует технику RID-хайджека для создания бэкдор-аккаунта в...

Хватит насиловать труп... Вы задумывались, почему Microsoft выпускает исправления безопасности для всех своих ОС в один день? Бюллетень безопасности Microsoft от 13 мая 2014 года не содержит заплаток для Windows XP, но это вовсе не означает отсутствия новых уязвимостей в этой системе. Сегодня я хочу обсудить риски работы в ОС после окончания срока ее поддержки. Эта запись продолжает летнюю серию статей о безопасности, начало которой положил рассказ о бюллетенях Microsoft. Поскольку я не пишу об XP, мало кто из постоянных читателей работает дома в этой системе. Предположу, однако, что многие из вас все еще сталкиваются с ней у друзей и знакомых, а также по месту работы или учебы, потому что до сих пор ее доля составляет четверть ОС...

24 июля 2024 года CrowdStrike сообщила, что глобальный сбой с BSOD на более чем 8,5 млн ПК с Windows произошёл из-за логической ошибки в коде в файле размером 40,04 КБ с обновлением для ИБ-сенсора Falcon, которую с помощью тестового ПО внутри компании обнаружить не удалось. Фактически текущие тестовые инструменты CrowdStrike не позволяли должным образом проверять код в обновлении контента для сенсоров, который был распространён на миллионы компьютеров по всему миру. CrowdStrike пообещала более тщательно тестировать обновления, улучшить обработку ошибок в коде и реализовать поэтапное развёртывание патчей, чтобы избежать повторения этой IT-катастрофы. В CrowdStrike пояснили, что выпустили некорректное обновление конфигурации контента...

Исследователи показывают, как спрятать слона в муравейнике. Специалисты Trustedsec опубликовали исследование Hiding in Plain Sight, которое предлагает новый и необычный бесфайловый метод скрытия данных с использованием структуры папок. Скрытие данных без файлов Традиционно антивирусное ПО и DLP-решения (Data Loss Prevention) фокусируются на файлах, где и хранится информация. Однако новое открытие исследователей ставит под сомнение привычную парадигму. Специалисты предложили использовать папки как контейнеры для хранения данных. Папки сами по себе не содержат данных, но их имена могут использоваться для кодирования информации. Как это работает? Идея состоит в создании иерархической структуры папок (одна внутри другой), где каждая...

DevOps стал важной частью современной разработки, интегрируя процессы разработки и эксплуатации для ускорения выпуска продуктов. Одной из ключевых составляющих успеха в DevOps являются правильно подобранные инструменты, которые помогают автоматизировать, ускорять и оптимизировать процессы. В этой статье мы рассмотрим пять инструментов, которые необходимы каждому IT-специалисту для успешной работы с DevOps. Инструмент 1: Jenkins Jenkins — один из самых популярных инструментов для автоматизации процессов непрерывной интеграции и доставки (CI/CD). Он позволяет разработчикам легко интегрировать изменения в коде и автоматически тестировать их перед развертыванием. С Jenkins можно настроить пайплайн, который охватывает все этапы разработки...

Анализ CVE-2024-38063: удаленная эксплуатация ядра Windows Мы разобрались, как работает ошибка в сетевом стеке Windows, позволяющая удаленно получить максимальные привилегии в системе без каких-либо действий со стороны пользователя. Рассказываем, как локализовали уязвимость, сравнив две версии драйвера, и сформировали сценарий атаки. Каждый второй вторник месяца компания Microsoft выпускает Patch Tuesday — обновление для ОС Windows, в котором устраняет критические уязвимости. В обновлении от 13 августа 2024 года была исправлена критическая уязвимость в сетевом стеке, позволяющая получить удаленный доступ с максимальными привилегиями при возможности сетевого взаимодействия по протоколу IPv6. Ей был присвоен идентификатор...

Polyfill.js - популярная библиотека с открытым исходным кодом для поддержки старых браузеров. Более 100 тыс. сайтов встраивают ее через домен cdn.polyfill.io. Среди известных пользователей JSTOR (цифровая база данных полнотекстовых научных журналов), Intuit и вебсайт Всемирного экономического форума. В феврале этого года китайская компания Funnull купила домен и аккаунт на Github. С тех пор этот домен был замечен в внедрении вредоносного ПО на мобильные устройства через вебсайты, использующие cdn.polyfill.io. Любые жалобы быстро удалялись из репозитория Github (архив здесь). Полифил динамически генерируется на основе HTTP-заголовков, поэтому вероятны несколько векторов атаки. Специалисты из компании Sansec декодировали один из...

Использование социальной инженерии в атаке на цепочку поставок программного обеспечения с открытым исходным кодом Передовые APT-группировки проводят довольно интересные кампании социальной инженерии, чтобы добраться до хорошо защищенных целей. Например, в инцидентах на Ближнем Востоке тщательно продуманные ответы прицельно выбранным жертвам на профильных форумах и последующие обсуждения ПО для моделирования подземных железнодорожных систем на сторонних ресурсах, позволили внедрить импланты Green Lambert. В инциденте с XZ Utils тоже чувствуются многолетняя подготовка и большое терпение со стороны злоумышленников. Атака была заранее спланирована, хотя и несколько неуклюже реализована. В ходе этой недавно раскрытой кампании в XZ Utils...

Программы-вымогатели стали одним из главных киберугроз для российских компаний. По данным F.A.C.C.T., за последний год число атак с их использованием увеличилось на 33% по сравнению с 2021 годом. Среди наиболее распространенных шифровальщиков в России можно выделить Phobos, Dharma, CryLock и другие. Однако в последнее время на российском рынке появились новые игроки, основанные на Babuk, Conti и LockBit. Эти шифровальщики изначально были ориентированы на атаку западных компаний, но после того, как их исходные коды и билдеры попали в открытый доступ, они стали доступны для любых киберпреступников и хактивистов. В условиях геополитического конфликта эти программы-вымогатели превратились в “оружие” против российского бизнеса. Кроме того...

В этом руководстве представлены шаги, которые организации могут предпринять, чтобы оценить, стали ли пользователи объектом нападения или скомпрометированы злоумышленниками, использующими CVE-2022-21894 через буткит Unified Extensible Firmware Interface (UEFI) под названием BlackLotus. Буткиты UEFI особенно опасны, поскольку они запускаются при запуске компьютера, до загрузки операционной системы, и поэтому могут мешать или деактивировать различные механизмы безопасности операционной системы (ОС), такие как BitLocker, целостность кода, защищенного гипервизором (HVCI) и Microsoft Defender. Антивирус. Хотя это может затруднить расследования и усилия по поиску угроз, некоторые артефакты все же можно использовать для идентификации затронутых...

Если одной метафорой, то произошли первые испытания термоядерной бомбы. Специалисты с благоговейным ужасом и радостью смотрят на поднимающийся над планетою гриб. Остальное человечество живёт обычной жизнью, пока не зная, современниками какого события они являются. Мне нравилось изучение цифровых технологий, сильнее интересовала только работа человеческой психики и междисциплинарное знание, которое можно объединить под условным названием "общая теория информации". Эти увлечения позволили увидеть в смене цифр смену эпох. Постараюсь объяснить суть случившегося максимально доступно. GPT-4 технически считается языковой моделью. Языковая модель — это программа, которую проще всего представлять как систему исправления опечаток на стероидах...

Сегодня речь пойдёт о технологии распределённой сети VPN Gate, своего рода недруга Поднебесной в области интернет цензуры. На Хабре много статей на тему SoftEther VPN (нижележащий слой VPN Gate), но нет ни одной технически всесторонней статьи про саму распределённую сеть и такое чувство, что в рунете про неё вообще забыли. VPN Gate — академический эксперимент Дайу Нобори с 2013-го года. Проект представляет собой интернет-сервис научных исследований в Высшей Школе Университета Цукуба, Япония. Цель данного исследования заключается в расширении знаний «Глобальных распределенных открытых ретрансляторов VPN». Отличительной особенностью данной сети является её функционирование в виде роя. То есть каждый желающий пользователь может...

Исследователи провели технический эксперимент, протестировав десять вариантов программ-вымогателей, чтобы определить, насколько быстро они шифруют файлы, и оценить возможность своевременного реагирования на их атаки. Программа-вымогатель — это вредоносное ПО, которое перечисляет файлы и каталоги на скомпрометированной машине, выбирает допустимые цели шифрования, а затем шифрует данные, поэтому они недоступны без соответствующего ключа дешифрования. Это не позволяет владельцу данных получить доступ к файлам, поэтому атаки программ-вымогателей осуществляются либо для уничтожения данных и нарушения работы, либо для финансового вымогательства с требованием выплаты выкупа в обмен на ключ дешифрования. Скорость шифрования устройства важна...

Вредоносная программа Emotet теперь распространяется через вредоносные пакеты Windows App Installer, которые выдают себя за программное обеспечение Adobe PDF. Emotet - это печально известное вредоносное ПО, которое распространяется через фишинговые письма и вредоносные вложения. После установки он будет красть электронные письма жертв для других спам-кампаний и развертывать вредоносные программы, такие как TrickBot и Qbot, которые обычно приводят к атакам программ-вымогателей. Злоумышленники, стоящие за Emotet, теперь заражают системы, устанавливая вредоносные пакеты с помощью встроенной функции Windows 10 и Windows 11, называемой установщиком приложений. Ранее исследователи видели, что этот же метод использовался для распространения...

В наши дни ни месяца не проходит без новостей о новой крупной атаке криптовымогателей. Поначалу сумма выкупа составляла всего несколько сотен долларов, но теперь возросла до миллионов. Как же мы дошли до такой ситуации, когда наши данные и сервисы могут быть захвачены с требованием выкупа? А если единственная атака позволяет заработать миллионы долларов, то закончится ли это когда-нибудь? История Ransomware Доктор Джозеф Попп, работавший над исследованиями области биологии, известен и как первый человек, потребовавший выкуп с помощью компьютерного программного обеспечения. В декабре 1989 года Попп разослал по почте 20 тысяч гибких дисков с подписью «Информация о СПИДе — ознакомительная дискета» сотням медицинских исследовательских...

Тысячи незащищённых баз данных, выставленных на всеобщее обозрение в интернете, стали мишенью автоматизированной атаки Meow («мяу»), которая уничтожает данные без каких-либо объяснений, пишет Bleeping Computer. Впервые атака была замечена на прошлой неделе, когда начали исчезать БД в инстансах Elasticsearch и MongoDB без каких-либо записок с пояснениями или требований выкупа. Затем атаки распространились на другие типы БД и на файловые системы, открытые для общего доступа в интернет. Быстрый поиск в Shodan показывает тысячи БД, затронутых этой атакой. Эти атаки подтолкнули исследователей к гонке на поиск открытых БД, чтобы предупредить владельцев до того, как БД будет уничтожена. Одним из первых публично известных примеров атаки...

В мае этого года Управлением «К» МВД России при содействии компании Group-IB был задержан 32-летний житель Волгоградской области, обвиняемый в хищениях денежных средств у клиентов российских банков при помощи фальшивого приложения для интернет-банкинга, на деле оказавшегося вредоносной программой — Android-трояном. Ежедневно с его помощью у пользователей похищали от 100 000 до 500 000 руб., часть украденных денег для дальнейшего обналичивания и сокрытия мошеннической деятельности переводилась в криптовалюту. Анализируя «цифровые следы» совершенных краж, специалисты Group-IB выяснили, что используемый в преступной схеме банковский троян был замаскирован под финансовое приложение «Банки на ладони», выполняющее роль «агрегатора» систем...