Атаки APT-групп

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
4,897
Реакции
6,522
Patchwork

Исследователи компании Cymmetria сообщили о новой APT-группе под названием Patchwork. Её активность впервые зафиксировали в конце 2015 г., и с тех пор её жертвами стали 2,5 тыс. пользователей. Но Patchwork, вероятно, начала свою деятельность еще в 2014 году.

Злоумышленники атакуют преимущественно правительственные организации и связанные с ними компании по всему миру, в том числе в США, Европе, Южной Азии, Азиатско-Тихоокеанском регионе и на Среднем Востоке. Киберпреступники, скорее всего, являются индусами по происхождению – весьма необычно, так как APT-группировки чаще связывали либо с Китаем, либо Россией, но не с Индией.
india-art.png
Рис. Атакующий цифровой индийский слон, сшитый из цифровых кодов-лоскутов

По словам экспертов, несмотря на весьма ограниченные технические возможности хакеров из Patchwork, их кампании отличаются впечатляющей эффективностью. Название от слова "patchwork" – техника шитья из лоскутов ткани. APT-группа как раз и использует при разработке своих инструментов и вредоносного ПО разнообразные, взятые из разных источников (с форумов, GitHub и Даркнета), коды.

По словам исследователей, сложнее всего было обнаружить вредоносное ПО, используемое злоумышленниками на втором этапе кампании. Хакеры применяли вредонос только тогда, когда убеждались в получении устойчивости на системе жертвы.

Источник краткого перевода

PS. На момент публикации сайт Cymmetria недоступен, потому прилагаю PDF-документ для самостоятельного перевода и ознакомления.
 

Вложения

  • Unveiling_Patchwork.pdf
    2.1 MB · Просмотры: 2
NetTraveler

Исследователи Proofpoint сообщили о всплеске активности международной кампании по государственному и промышленному кибершпионажу NetTraveler APT.

Наибольший интерес для злоумышленников представляют производители оружия, различные правозащитные организации и продемократические группы. Кампания направлена на различные организации в России, Монголии, Беларуси и других европейских странах.

В её рамках преступники распространяют фишинговые письма со ссылкой на RAR-архив, расположенный на подконтрольных хакерам сайтах, или прикрепленный вредоносный документ Word, содержащий эксплоит для уязвимости CVE-2012-0158, позволяющий установить на компьютер пользователя бэкдор NetTraveler.

Для усыпления бдительности жертв злоумышленники регистрируют сайты, имитирующие новостные и военные ресурсы, используемые в качестве C&C-серверов и хостингов для вредоносного ПО. За несколько дней до запуска целевой фишинговой кампании злоумышленники подбирают темы, которые будут интересны жертвам, например, ядерная энергетика, военные учения, геополитическая обстановка и пр. Затем преступники делают соответствующую подборку новостей и используют материалы в качестве приманки.

Кибершпионская кампания NetTraveler стартовала в 2004 году, но пик ее активности пришелся на период с 2010-го по 2013-й годы. За более чем 10 лет работы сеть успела атаковать свыше 350 компьютерных систем в 40 странах мира. От действий преступников больше всего пострадали Монголия, Индия, Казахстан, Киргизия, Китай, Таджикистан, Южная Корея, Испания, Германия, а также Россия. По данным компании ЛК, сеть имеет четкую национальную принадлежность: в организации атак принимали участие до 50 человек, для большинства из которых родным языком является китайский.

Источник краткого перевода

PDF-версия прилагается.
 

Вложения

  • NetTraveler APT Targets Russian & European Interests _ Proofpoint.pdf
    2 MB · Просмотры: 1
PoodleCorp и OurMine

Группа хакеров под названием PoodleCorp взяла на себя ответственность за сбой в работе серверов игры Pokemon Go в США и Европе. Об этом PoodleCorp, известная своими атаками на популярные каналы в YouTube, сообщила на своей странице в Twitter.

Сбой в работе серверов произошел в субботу, 16 июля, о чем сообщали пользователи в социальных сетей. Специалисты из Niantic отметили, что серверы просто не справляются с наплывом пользователей.

После заявлений Niantic в Twitter PoodleCorp появилось следующее сообщение: «сбой работы серверов Pokemon Go – это небольшой тест и вскоре грядет атака масштабнее. 1 августа 2016 года».

В воскресенье, 17 июля, хакерская группа OurMine на своем сайте написала, что собирается атаковать серверы Pokemon Go до тех пор, пока представители игры с ними не свяжутся. Отметим, что OurMine раннее взяли ответственность за компрометацию принадлежащую гендиректору Google Сундару Пичаи учетную запись в сервисе вопросов-ответов Quora, а также учетные записи основателя Facebook Марка Цукерберга в соцсетях Instagram, Twitter, LinkedIn и Pinterest.

На странице Pokemon Go в Twitter сообщено об устранении проблемы и игроки могут продолжать поиски покемонов. Но у некоторых пользователей до сих возникают проблемы с доступом к игре. Играть или не играть пусть каждый выбирает сам.

 
Pravyy Sector

Хакерская группа «Правый Сектор» из Украины взяла на себя ответственность за кибератаку на серверы медицинского урологического центра Огайо (Central Ohio Urology Group, США). Группа похитила 223 Гб конфиденциальных данных и загрузила их в Dropbox перед тем, как опубликовать данные в Сети.

По словам представителей израильской компании Hacked-DB, занимающейся глубинным анализом данных, изучение такого массива информации займет достаточно времени до окончательного подтверждения легитимности данных. В числе похищенных оказалось 401 828 файлов, включая 16 646 текстовых файлов, 1 212 ZIP-файлов, 13 RAR-файлов, 108 SQL-файлов, 30 CSV-файлов, 10 BAK-файлов, 33 841 DOC/Docx-файл, 150 325 XLS/XLSX-файлов, 8 видеофайлов, 64 312 pdf-файлов, 1 234 jpg-файла, 4 264 TIF-файла и 9 327 .crypt-файлов.

 
OurMine

На прoшедших выходных хакеры взломали официальную учетную запись в Twitter, принадлежащую основателю Википедии, директору хостинговой компании Wikia Джимми Уэйлсу.

Ответствнность за инцидент лежит на группировке OurMine, специализирующейся на взломах аккаунтов в Twitter руководителей крупных технологических компаний. Скомпрметировав учетку Уэйлса, хакеры из OurMine его биографические данные и опубликовали от его имени два твита: «Я подтверждаю, что все сказанное в «Википедии» – ложь, а OurMine – правда» и «RIP Джимми Уэйлс 1966-2016». Второе сообщение хакеры сопроводили хэштегом #RIPJimmyWales, чем обескуражили подписчиков Уэйлса.

По утверждению самих OurMine, осуществляя взломы, они рекламируют свой «сервис по безопасности»...

 
Spain Squad

Специализируются на восстановлении заблокированных или неактивных аккаунтов, а затем продают их через социальные сети.
Так им удалось получить контроль над учетными записями @Hell, @Nazi, @ak47 и др. Учетки @Hell и @LizardSquad ранее были заблокированы администрацией Twitter, а такие как @AK47, @megaupload и @1337 уже давно неактивны. По всей видимости, Spain Squad обнаружили ранее неизвестную уязвимость в сервисе микроблогов и создали для нее эффективный эксплойт.

Владельцы Twitter отказались давать комментарии, но «восставшие из неактивных» учетные записи снова были заблокированы.
Если аккаунт заблокирован из-за нарушения правил пользования, то создать новый с тем же именем невозможно. Даже если учетка долго не использовалась, все равно никто не может зарегистрировать еще одну такую же.

Как хакерам удалось проделать этот трюк, неизвестно. Также не известно, удастся ли это повторить. Похоже, секрет знают только участники Spain Squad, и они не собираются его раскрывать.

«Мы не хотим говорить о нашем эксплойте и не хотим, чтобы вскоре вышел патч», - сообщил участник группы Akma через учетную запись @LizardSquad. По его словам, они могут взломать любую учетную запись, активную более шести месяцев, и присвоить одно имя пользователя другому.

 
Последнее редактирование:
Lion Soldiers Team (Aslan Neferler Tim)

Эта группировка атаковала в минувшие выходные аэропорт Вены. По словам хакеров, ихх действия были ответом на "расизм" руководства аэропорта, когда те не дали временную визу турецким гражданам.

Пассажиры летели рейсом, совершившим вынужденную посадку в Вене по техническим причинам. Из-за отказа выдать визы они не смогли выйти из здания аэропорта, снять номер в отеле и были вынуждены ночевать в зале ожидания.

В апреле этого года Aslan Neferler Tim также атаковала правительственные сайты Армении, после обострения ситуации в зоне карабахского конфликта. Ранее они совthшали атаки на сайты правительства Бельгии, Центрального банка Армении, известного хакерского движения Anonymous и пр. пр. Был бы повод, а причина найдётся.

 
Анти-атака на vDos и арест

Израильские правоохранители арестовали 18-летних Итая Хури (он же P1st) и Ярдена Бидани (он же AppleJ4ck), возможно являющихся владельцами vDos, крупнейшего сервиса по осуществлению DDoS-атак. О нем недавно рассказал ИБ-эксперт Брайан Кребс. Личности обоих преступников были раскрыты в результате утечки базы данных vDos, оказавшейся в распоряжении Кребса.

ФБР США заинтересовалось ими после того, как 7 марта 2015 @AppleJ4ck_vDos сообщил в Twitter о DDoS-атаке на сайт Пентагона.
В пятницу, 9 сентября, обвиняемые были выпущены под залог в размере $10 тыс. за каждого без права пользоваться компьютерами и телефонами. В этот же день сайт Кребса подвергся DDoS-атаке, мощность которой достигала 140 Гб/с. В каждом пакете было сообщение «godiefaggot».

Сайт vDos недоступен с пятницы из-за атаки на BGP (подмены маршрутов через протокол BGP), осуществленной экспертами BackConnect Security. По их словам они подверглись мощной DDoS-атаке, достигавшей 200 Гб/с. Согласно письму BackConnect Security, ответственность за инцидент лежит на vDos. Т.к. Кребс опубликовал IP-адреса серверов vDos, экспертам компании не составило труда осуществить атаку на BGP, тем самым «выбив» серверы прямо из-под ног атакующих.

 
Fancy Bear: Тот редкий случай полезности...

Хакерская группировка объявила о взломе компьютерных систем Всемирного антидопингового агентства (WADA) и получении документов, подтверждающих употребление допинга американскими спортсменами. Хакерам удалось извлечь из базы данных организации сертификаты на терапевтическое применение допинга. Копии документов группировка разместила на своем сайте. Представители агентства подтвердили факт утечки данных.

Согласно опубликованным документам на Олимпиаде в Рио:
1) американская гимнастка четырехкратная олимпийская чемпионка Симона Байлз четыре раза во время соревнований в Рио-де-Жанейро положительно сдавала тест на психостимулятор метилфенидат. Более того, среди документов обнаружилось разрешение врача на прием препарата фокалин, содержащего метилфенидат.
2) баскетболистка из США Елена Делле Дон сдала положительный тест на амфетамины, на прием которых также имела разрешение. С 2014 года спортсменка принимала препарат гидрокортизон, что классифицируется как допинг.

Хакеры также разместили документы о разрешении на прием запрещенных препаратов теннисисткам Серене и Винус Уильямс, которые те принимали по крайней мере с 2010 года. Информацию о допинг-тестах сестер Уильямс на Олимпиаде в Рио-де-Жанейро хакеры не опубликовали.

В начале сентября нынешнего года глава WADA Оливье Ниггли сообщил о том, что его организация уже несколько недель подвергается кибератакам. По словам руководителя антидопингового агентства, информаторы WADA и сама организация постоянно получает угрозы от российских хакеров.


См. во вложении PDF-документ разрешений по годам на допинг для Сирены Уильямс и Симоны Байлз. :Biggrin:

PS. Да, сразу было ясно, что дело НЕЧИСТО, как нечисты все названные "спортсмены", точнее допингистки-культуристки. :Girl Crazy:
 

Вложения

  • Serena.pdf
    646.1 KB · Просмотры: 3
  • Simone.pdf
    407.7 KB · Просмотры: 1
Последнее редактирование:
Группа неизвестных "русских" хакеров

ФБР США намерено завести судебное дело на «русских хакеров», причастных, по мнению властей, к недавним атакам на американских политиков. Бюро собирает доказательную базу, которая позволит Министерству юстиции США предъявить обвинения ответственным за инциденты российским гражданам.

Процесс возбуждения судебного дела в подобных случаях довольно сложный, поскольку главные улики против иностранных хакеров, как правило, засекречены. Этот судебный иск, по мнению представителей БД, является лучшим ответом на то, что они называют "попытками России дискредитировать президентские выборы". Подобный шаг поможет избежать очевидной конфронтации с президентом России.

«Ничего не предпринимать – это не выход, поскольку тогда мы покажем слабость и только воодушевим русских на новые попытки вмешательства. Однако нанесение ответного удара может быть рискованным», – цитирует Reuters неназванного представителя властей.

 
Powerful Greek Army

Хакеры этой APT-группы пообещали 22 сентября запустить DDoS-кампанию #OpClosedMedia, нацеленную на крупнейшие мировые новостные агентства и медиа-ресурсы. Таким образом они намерены выступить против некорректного освещения событий информагентствами и проправительственной позиции, которую они занимают.

В списке целей — ресурсы BBC, The Daily Mail, The Independent, Reuters, телеканал «Первый канал» (Россия), The Huffington Post, FOX и др. По словам участников группировки, кампания #OpClosedMedia продлится месяц.

 
Monte Melkonian Cyber Army

Эти армянские хакеры опубликовали массив данных принадлежащих 1200 азербайджанским офицерам. Утекший архив содержит идентификационные номера, адреса проживания, телефонные номера и другую персональную информацию.

Monte Melkonian также получили доступ к клиентской базе одного из банков Азербайджана, содержащей персональные данные порядка 10 000 человек. Согласно заявлению MMCA, взлом приурочен к 25-летию независимости Республики Армения, отмечавшегося 21 сентября.

В апреле текущего года участники группs заявляли о получении доступа к базе данных c персональной информацией 25 тыс. военнослужащих Азербайджана, а также к свыше 500 учетным записям на турецких правительственных сайтах.

 
Someone Hacked Yahoo!

Компания Yahoo! в 2014 году стала жертвой кибератаки. Руководство компании до сих пор уверено, что за взломом стоят русские хакеры.
По словам источника, хакеров интересовали данные 30-40 определенных пользователей, которые вели бизнес в России. Кроме того, атака была совершена с российских адресов. На этой неделе компания (спустя два года!) подтвердила факт утечки информации 500 млн пользователей, однако источник не уверен в связи двух инцидентов.

Согласно источнику, взлом был обнаружен через несколько недель после осуществления, и руководство Yahoo! незамедлительно сообщило о нем ФБР. B атаке могли участвовать одновременно несколько хакеров с целью замести следы и запутать следствие.

В прошлый четверг Yahoo! подтвердила факт утечки персональных данных 500 млн пользователей почтового сервиса. В руки злоумышленников попали имена, адреса электронной почты, номера телефонов, даты рождения, хеши паролей и в ряде случаев зашифрованные или открытые ответы на секретные вопросы.

 
Team XRat (CorporationXRat)

Бразильские киберпреступники давно известны в создании и развитии банковских троянов, но они начали концентрировать свои усилия b в новых областях, в том числе на крипто-вымогательском поприще.

Бразильская кибер-групировка Team XRat, начиная с лета сего года, стала специализироваться на криптовымогательстве и RDP-атаках, благодаря которым и осцуществляется компрометация компьютерных сетей организаций и компаний. При проведении этих атаки эксплуатируются уязвимости в ПО серверов, что в случае успеха позволяет злоумышленникам использовать довольно сырое в программном отношении криптовымогательское ПО XRat Ransomware. Оно используется группировкой CorporationXRat для инфицирования компьютерных сетей бразильских компаний и, особенно, местных учреждений здравохранения (больниц), которые не могут ждать и вынуждены срочно платить выкуп, чтобы не пострадали невинные люди.

Целями недавних атак группы стали именно бразильские больницы. После недавних атак вымогателей руководство одно из бразильских больницы обратилось в ЛК за помощью в восстановлении своих файлов. Подробности работы ЛК пока не раскрываются. Жертвы, которые также пострадали от новой версии криптовымогателя XRat (по версии ЛК Trojan-Ransom.Win32.Xpan) и нуждаются в дешифровщике должны связаться со специалистами ЛК через их раздел поддержки. Пока бесплатной утилиты в открытом доступе нет.

 
Последнее редактирование:
4chan

Воспользовавшись вероятной оплошностью WikiLeaks, опубликовавшего части электронной переписки Джона Подесты, руководителя предвыборного штаба кандидата в президенты США Хиллари Клинтон, с его персональными данными, включая номер социального страхования и пароль от почтового ящика в Gmail участники группы 4chan, хакеры получили доступ к email Подесты, затем отправили запрос на изменение пароля для его учетной записи в Twitter.

Позже 4chan опубликовали в микроблоге Подесты твит, гласивший: «Я перешел на другую сторону. Голосуйте за Трампа 2016».

4chan удалось не только взломать ученую запись в Twitter, но и удалить всю информацию с iPhone и iPad Подесты. В дампе содержался идентификатор Apple ID, используя который 4chan удалось получить доступ к учетной записи Подесты в iCloud и при помощи функции «Найти мой iPhone» удаленно стереть все данные, содержащиеся на гаджетах. В избирштабе Клинтон подтвердили только взлом учетной записи Подесты в Twitter, а факт удаления информации с его iOS-устройств оставили без комментариев.

Как утверждают представители WikiLeaks, перед публикацией документов сотрудники организации изменили все соответствующие учетные данные.

 
Назад
Сверху Снизу