Вопросы кибербезопасности

MetaStealer пытается выдать себя за сертификат Минцифры


Специалисты компании FACCT (бывшая Group-IB) предупредили, что перехватили фишинговые письма, отправленные якобы от лица Минцифры.

В этих посланиях жертвам предлагается срочно установить сертификат безопасности Минфицры, а иначе у них якобы возникнут проблемы с доступом к онлайн-банкингу и «Госуслугам». На деле под видом сертификата распространяется стилер MetaStealer (вариация малвари RedLine).

«Министерство цифрового развития РФ сообщает, что с 30.01.2024 у пользователей не установивших на свои операционные системы сертификаты НУЦ Минцифры РФ, могут возникнуть проблемы с доступом, вплоть до полного его отсутствия, к таким сервисам как: Госуслуги, онлайн банкинг, государственные ресурсы, и ряд других российских сервисов», — гласит мошенническое письмо (орфография и пунктуация сохранены).
Нажмите, чтобы раскрыть...

mail.jpg

При этом исследователи отмечают, что это письмо, в отличие от большинства вредоносных рассылок, составлено довольно грамотно и оформлено таким образом, чтобы вызвать доверие у жертвы.

При этом кнопка «Скачать», которую можно увидеть на скиншоте выше, указывает на архив с загрузчиком, который в итоге приводит к скачиванию стилера MetaStealer, а тот похищает у жертвы различные данные.

Так, в тексте письма присутствует ссылка, при переходе по которой загружается архив russian_trusted_ca_ms.cer.rar (sha1: 242fb5d530c4da533bac43ef6d4e26af7e080adb) с вредоносного ресурса hXXps://wb4o[.]com/click?key=667d6c67929b40aa205b&sub1=user@example[.]ru, где вместо user@example[.]ru указывается реальный адрес электронной почты потенциальной цели атаки.

В самом архиве содержатся два одинаковых исполняемых файла: russian_trusted_root_ca.cer.exe и russian_trusted_sub_ca.cer.exe (sha1: 5244539842ff4a2e58331aa6a825deb6246da8ee), которые и маскируются под сертификат безопасности.

Кроме того, при рассылке этих писем-приманок атакующие использовали спуфинг, то есть технику, которая позволяет подделать почту отправителя и создать видимость, что письмо пришло с легитимного адреса.

В FACCT пишут, что в последнее время MetaStealer часто использовала кибершпионская группировка Sticky Werewolf. Однако за новыми рассылками, судя по технике, стоят другие злоумышленники, ведь стилер продается в свободном доступе.

===
Источник: xakep.ru
 
Сценарии атак зачастую начинаются примерно одинаково, вне зависимости от целей и мотивов злоумышленников. В качестве подготовительного этапа атакующие всегда проводят рекогносцировку (Reconnaissance), то есть собирают и изучают общедоступные сведения о компании, ее сотрудниках, сервисах и доступных ресурсах.
Затем злоумышленники пытаются получить первоначальный доступ (Initial Access) в инфраструктуру компании — например обнаружив и проэксплуатировав уязвимый сервис на сетевом периметре компании или проведя успешную фишинговую кампанию в отношении сотрудников компании.
Еще один способ попасть во внутреннюю сеть компании — применить методы социальной инженерии к ее сотрудникам. К примеру, злоумышленники могут направить им фишинговое сообщение, содержащее вредоносное вложение или ссылку на мошеннический сайт.
С этим и другими способами проникновения во внутреннюю сеть компании подробнее можно ознакомиться в соответствующем разделе матрицы MITRE ATT&CK®.
После получения первоначального доступа злоумышленники стараются разместить в инфраструктуре вредоносное ПО для удаленного подключения к их управляющим серверам (Command & Control) и обеспечения постоянного доступа (Persistence). В качестве примеров можно выделить фреймворки Sliver и Cobalt Strike. Как правило, уже на этом этапе атаки встает вопрос ухода от детектирования средствами защиты с целью сокрытия вредоносной активности. Для подобных целей используется разнообразное ПО, в основном направленное на противодействие статическому анализу (Defense Evasion).
В подавляющем большинстве случаев после проникновения в инфраструктуру злоумышленники проводят хостовую и сетевую или доменную разведку (Discovery) — как правило, на протяжении всего своего пребывания в инфраструктуре жертвы. В результате они могут, например, получать списки процессов, пользователей и их привилегий, перехватывать запросы, получать доступ к базам данных, содержащим конфиденциальную информацию, информацию о структуре объектов Active Directory и другие данные.
Освоившись в инфраструктуре, киберпреступники стараются повысить привилегии (Privilege Escalation), к примеру получив доступ к учетной записи администратора домена. Сделать это можно различными способами, например с помощью извлечения из памяти процесса lsass.exe хэшей паролей. Они могут быть использованы в атаке типа Pass the Hash, что в дальнейшем позволит получить доступ к доменному контроллеру. Привилегированный доступ позволяет киберпреступникам беспрепятственно перемещаться по инфраструктуре компании (Lateral Movement) и распространять вредоносное ПО, соответствующее их целям.
После того как злоумышленники убедились в эффективности распространения своего влияния при помощи полученных привилегий, начинают проявляться вариации в их поведении в зависимости от целей.

Источник: материалы зарубежной печати, в частности, использованные при написании собственной дипломной работы.
 
NordWind сказал(а):
Сценарии атак зачастую начинаются примерно одинаково, вне зависимости от целей и мотивов злоумышленников. В качестве подготовительного этапа атакующие всегда проводят рекогносцировку (Reconnaissance), то есть собирают и изучают общедоступные сведения о компании, ее сотрудниках, сервисах и доступных ресурсах.
Затем злоумышленники пытаются получить первоначальный доступ (Initial Access) в инфраструктуру компании — например обнаружив и проэксплуатировав уязвимый сервис на сетевом периметре компании или проведя успешную фишинговую кампанию в отношении сотрудников компании.
Еще один способ попасть во внутреннюю сеть компании — применить методы социальной инженерии к ее сотрудникам. К примеру, злоумышленники могут направить им фишинговое сообщение, содержащее вредоносное вложение или ссылку на мошеннический сайт.
С этим и другими способами проникновения во внутреннюю сеть компании подробнее можно ознакомиться в соответствующем разделе матрицы MITRE ATT&CK®.
После получения первоначального доступа злоумышленники стараются разместить в инфраструктуре вредоносное ПО для удаленного подключения к их управляющим серверам (Command & Control) и обеспечения постоянного доступа (Persistence). В качестве примеров можно выделить фреймворки Sliver и Cobalt Strike. Как правило, уже на этом этапе атаки встает вопрос ухода от детектирования средствами защиты с целью сокрытия вредоносной активности. Для подобных целей используется разнообразное ПО, в основном направленное на противодействие статическому анализу (Defense Evasion).
В подавляющем большинстве случаев после проникновения в инфраструктуру злоумышленники проводят хостовую и сетевую или доменную разведку (Discovery) — как правило, на протяжении всего своего пребывания в инфраструктуре жертвы. В результате они могут, например, получать списки процессов, пользователей и их привилегий, перехватывать запросы, получать доступ к базам данных, содержащим конфиденциальную информацию, информацию о структуре объектов Active Directory и другие данные.
Освоившись в инфраструктуре, киберпреступники стараются повысить привилегии (Privilege Escalation), к примеру получив доступ к учетной записи администратора домена. Сделать это можно различными способами, например с помощью извлечения из памяти процесса lsass.exe хэшей паролей. Они могут быть использованы в атаке типа Pass the Hash, что в дальнейшем позволит получить доступ к доменному контроллеру. Привилегированный доступ позволяет киберпреступникам беспрепятственно перемещаться по инфраструктуре компании (Lateral Movement) и распространять вредоносное ПО, соответствующее их целям.
После того как злоумышленники убедились в эффективности распространения своего влияния при помощи полученных привилегий, начинают проявляться вариации в их поведении в зависимости от целей.

Источник: материалы зарубежной печати, в частности, использованные при написании собственной дипломной работы.
Нажмите, чтобы раскрыть...
Собственная ДР это не источник а аналитическое обозрение.
Источником будет когда на вас ссылаться будут.
 

AnyDesk взломали хакеры — похищены исходники и ключи для подписи кода

196.jpg


Компания AnyDesk объявила, что недавно подверглась кибератаке, в ходе которой злоумышленникам удалось получить доступ к производственным системам компании. По данным источника, хакеры украли исходный код ПО и ключи для подписи кода.
Напомним, компания AnyDesk является разработчиком одноимённого решения для удалённого управления рабочими столами. Приложение пользуется большой популярностью в корпоративной среде. По данным AnyDesk, компания имеет более 170 тыс. клиентов по всему миру, включая Samsung, NVIDIA, Siemens и др.
Согласно имеющимся данным, специалисты AnyDesk обнаружили взлом после выявления подозрительной активности во внутренних системах компании. Проведя аудит безопасности, они определили, что внутренние системы были скомпрометированы неизвестными. Для расследования инцидента были привлечены специалисты компании CrowdStrike, работающей в сфере информационной безопасности.
В компании подтвердили, что хакерская атака не связана с вымогательским программным обеспечением. AnyDesk не предоставила подробную информацию об инциденте, упомянув лишь о том, что были взломаны внутренние серверы. Компания уже отозвала все связанные с безопасностью сертификаты, а также восстановила затронутые инцидентом системы.
Клиентов компании заверили в том, что использовать AnyDesk безопасно, и нет доказательств того, что инцидент затронул конечные пользовательские устройства. «Мы можем подтвердить, что ситуация находится под контролем, и использовать AnyDesk безопасно. Пожалуйста, убедитесь в том, что вы используете последнюю версию приложения с новым сертификатом подписи кода», — говорится в сообщении компании.
Хотя AnyDesk не уточнила подробности касательно инцидента, источник сообщил, что хакерам удалось похитить исходный код ПО и сертификаты для подписи кода. В заявлении компании отмечается, что злоумышленникам не удалось украсть токены аутентификации, но из соображений безопасности компания сбросила все пароли к своему веб-порталу, предложив пользователям их смену. В дополнение к этому AnyDesk уже начала заменять сертификаты подписи кода в своих продуктах.

===
Источник: 3DNews
 

Завершен первый этап создания государственной антивирус-системы "Мультисканер"


840px-Rspectr-adobe-stock-dlya-antivirusov-1.jpg


Цель проекта - самостоятельное выявление вирусов, без предоставления информации "супостату", заявили в Минцифры.

В России завершился первый этап создания системы противодействия вредоносному софту и выявлению уязвимостей "Мультисканер", сообщил на "Инфофоруме-2024" замминистра цифрового развития, связи и массовых коммуникаций Александр Шойтов.
По его словам, работа по проекту будет продолжаться в 2024 году.
"В итоге должна появиться единая национальная система противодействия вредоносному программному обеспечению, которая будет использовать как в государственных информационных системах, так и будет доступна всем гражданам", - сказал он.
"Можно сказать, что определенный аналог американской системы VirusTotal, которую они предоставляют гражданам всего мира. И многие, граждане всех стран мира, в том числе, может быть, и российские, имея подозрение на вирус, отправляют свои файлы на анализ за рубеж", - добавил он.
По словам Шойтова, "если мы будем иметь свою систему, то сможем качественно выявлять вирусы", а также "не будем супостату нашему предоставлять соответствующую информацию". Он назвал создание этой системы перспективным проектом и значимой задачей.
Первое сканирование Рунета в июне 2023 года показало, что почти четверть российских IP-адресов являются потенциально уязвимыми для хакерских атак; для постоянного мониторинга отечественного сегмента Глобальной сети создается система по поиску уязвимостей "Сканер", сообщил директор Центра мониторинга и управления сети связи общего пользования (ЦМУ ССОП) Сергей Хуторцев на форуме "Спектр" в конце октября прошлого года.
Он предположил тогда, что "первые результаты ее работы будут к концу года". "Мы уже начнём взаимодействие с операторами связи при плотном участии регуляторов в области информационной безопасности. Попытаемся сделать российский интернет чище, это цель этой системы", - сказал он.
Кроме того, собранный объем информации, в частности о том, какие сервисы находятся на IP-адресах, какие сервисы находились там раньше, позволит, отметил Хуторцев, "построить некий репутационный режим и сделать репутационную базу IP-адресов, которую можно будет принимать во внимание при мероприятиях в области информационной безопасности, обеспечении защиты объектов КИИ и других социально значимых ресурсов".

===
Источник: Интерфакс
 
Для ответа нужно войти/зарегистрироваться
Назад
Верх Низ