Twitter заблокировал аккаунты, используемые для обмана ИБ-экспертов

Twitter заблокировал аккаунты, используемые для обмана ИБ-экспертов​

10:41 / 19 Октября, 2021


Хакеры загружали вредоносное ПО на устройства жертв в рамках длительной кампании по кибершпионажу.



Администрация социальной сети Twitter отключила две учетные записи (@lagal1990 и @shiftrows13), которые использовались злоумышленниками для обмана исследователей в области кибербезопасности. Хакеры загружали вредоносное ПО на устройства жертв в рамках длительной кампании по кибершпионажу, связанной с Северной Кореей.

Кампания была выявлена командой специалистов Google Threat Analysis Group (TAG) в январе нынешнего года. Злоумышленники создали «исследовательский» блог и использовали учетные записи в Twitter для распространения ссылок на мошеннический ресурс с целью привлечь потенциальных жертв. Аккаунты также использовались для публикации видеороликов с предполагаемыми эксплоитами, а также для ретвита сообщений из других учетных записей, контролируемых преступниками.

Кампания была нацелена на исследователей в области кибербезопасности, интересующихся уязвимостями. По словам экспертов, с помощью учетных записей злоумышленники выдавали себя за ИБ-экспертов, «опираясь на ажиотаж об уязвимостях нулевого дня».
«После установления первоначального взаимодействия преступники спрашивали потенциальную жертву, хочет ли она совместно работать над исследованием уязвимостей, а затем предоставляли проект Visual Studio», — рассказали эксперты.

В проекте Visual Studio содержится исходный код для использования уязвимости, а также дополнительная DLL-библиотеки, которая будет выполняться через события сборки Visual Studio. DLL-библиотека представляет собой настраиваемое вредоносное ПО и после запуска начнет взаимодействовать С&C-сервером преступников.
Для большей правдоподобности преступники также опубликовали на YouTube видеоролик с якобы успешной эксплуатацией уязвимости в Защитнике Windows ( CVE-2021-1647 ). Уязвимость была известна, поскольку использовалась хакерами в ходе атаки на SolarWinds .

Пострадавшие исследователи работали с полностью исправленными и обновленными версиями браузера Windows 10 и Google Chrome. Это означает, что злоумышленники использовали уязвимости нулевого дня .

Подробнее:

 

[Candellmans]

Сигнатура для встроенной системы предотвращения вторжений:
alert tcp any any -> any 445 ( msg:"BlackMatter remote encryption attempt"; content:"|01 00 00 00 00 00 05 00 01 00|"; content:"|2e 00 52 00 45 00 41 00 44 00 4d 00 45 00 2e 00 74 00|"; distance:100; priority:1; sid:10000001; )

rate_filter gen_id 1, sig_id 10000001, track by_src, count 4, seconds 1, new_action reject, timeout 86400
Кроме того, организации рекомендуют использовать уникальные пароли для разных типов пользователей корпоративной сети и подключить двухфакторную аутентификацию.
Также специалисты представили ряд дополнительных мер защиты:

• ограничить доступ к сетевым ресурсам для пользовательских служб и учетны записей;
• сегментировать сеть и мониторить ее на предмет подозрительных активностей;
• предоставлять временный доступ для учетных записей с правами администратора;
• отключить поддержку командной строки и сценариев для пользователей, которым нет нужды использовать эти функции в работе;
• регулярно создавать резервные копии сети.

Для критических важных ресурсов агентства рекомендуют:

• отключить хранение паролей в памяти LSASS;
• по возможности отказаться от использования NTLM и WDigest;
• внедрить Credential Guard для Windows 10 и Server 2016;
• для Windows Server 2012R2 включить Protected Process Light для LSA.

На данный момент BlackMatter является одним из самых крупных вымогателей. Разработчик зловреда — хакерская группировка DarkSide. Злоумышленники похищают данные пользователей, шифруют их и требуют выкуп. Если в течении установленного срока хакеры не получают средства, то публикуют информацию на своем сайте с утечками. Сейчас на портале злоумышленников представлены данные компаний из различных сфер, среди которых производители одежды, продуктов питания, программного обеспечения и гаджетов.

Хабр

 

[Candellmans]

Есть такое дело