Справедливість

Новини, репортажі, українські військові новини

Пт. Бер 14th, 2025
новини

APT і фінансові атаки на промислові організації у другій половині 2023 року

Від Черний Олек Чер28,2024

Зміст

  • Корейськомовна діяльність
  • Діяльність на Близькому Сході
  • Китайомовна діяльність
  • Російськомовна активність
  • Інше
  • Сповіщення CISA

    У цьому підсумку наведено огляд звітів про APT і фінансові атаки на промислові підприємства, які були оприлюднені в другому півріччі 2023 року, а також пов’язану діяльність груп, за якими спостерігали напади на промислові організації та об’єкти критичної інфраструктури. Для кожної теми ми намагалися узагальнити ключові факти, знахідки та висновки дослідників, які, на нашу думку, можуть бути корисними фахівцям, які займаються практичними питаннями кібербезпеки промислових підприємств.
    Серед багатьох історій, пов’язаних з APT, виділяються три. Дві з них стосуються векторів атак, які призвели до отримання доступу до автоматизованої системи управління та призвели до фізичного ефекту – атаки на українську енергетичну компанію та атаки на компанію Unitronics PLC ізраїльського виробництва.
    Третя історія – атака на промислові підприємства за допомогою інструментів MATA – цікава високою складністю інструментів, які використовують зловмисники, захоплюючою історією про латеральне пересування зловмисників у мережі зламаної організації та інтригою, що виникла при віднесенні інструментів до відомих груп APT.
    Корейськомовна діяльність
    Лазар нападає
    Кампанія була спрямована на оборонну промисловість та атомників
    Дослідники Kaspersky виявили кампанію Lazarus, яка розпочалася у 2023 році і була націлена на оборонну промисловість та ядерників.
    Вони використовують троянські програми, особливо бекдорні програми VNC, для доступу до корпоративних систем. У цій кампанії Lazarus обманом змушує шукачів роботи в соціальних мережах відкривати шкідливі програми для підроблених співбесід. Щоб уникнути виявлення за допомогою рішень безпеки на основі поведінки, ця бекдорна програма працює непомітно, активуючись лише тоді, коли користувач вибирає сервер із розкривного меню клієнта Trojanized VNC. Відкривши цей початковий вектор зараження, програма запускає додаткові корисні навантаження в пам’ять і отримує подальший шкідливий код.
    Дослідники Kaspersky виявили додаткове корисне навантаження, відоме як LPEClient, яке раніше неодноразово використовувалося групою Lazarus. Крім того, він використовує складні методи зв’язку C2 і вимикає моніторинг поведінки додатків рішень безпеки шляхом відключення системних викликів режиму користувача. Виявлено використання оновленої версії COPPERHEDGE як додаткового бекдору, що демонструє складний ланцюг зараження. Крім того, було помічено наявність варіанту шкідливого програмного забезпечення, спеціально розробленого для передачі цільових файлів на віддалений сервер. Ця конкретна шкідлива програма служить для викрадання певних файлів, вибраних групою Lazarus, і надсилання їх на призначений віддалений сервер.
    Наша телеметрія підтверджує численні випадки скомпрометованих компаній. Більшість постраждалих організацій безпосередньо задіяні в оборонному виробництві, включаючи радіолокаційні системи, безпілотні літальні апарати (БПЛА), військові транспортні засоби, судна, озброєння та компанії, пов’язані з військово-морським флотом. Крім того, в одному з випадків було ідентифіковано ім’я користувача, пов’язане з початковим вектором зараження. Під час розмов із жертвою дослідники Kaspersky з’ясували, що ця особа була інженером-ядерником з Угорщини, який отримав шкідливий файл після того, як увійшов у підозрілий обліковий запис через Telegram і WhatsApp.
    Атаки за допомогою бекдора LightlessCan
    Дослідники ESET виявили кампанію зловмисного програмного забезпечення, пов’язану з раніше невідомим бекдором під назвою LightlessCan. Lazarus Group вдалося скомпрометувати аерокосмічну компанію в Іспанії. Початковим вектором атаки був фішинговий електронний лист, у якому хакери видавали себе за вербувальників із Meta та надсилали повідомлення розробникам через LinkedIn Messaging.
    Функції бекдора LightlessCan Windows включають можливість імітувати функціональність багатьох рідних команд Windows, таких як ping, ipconfig, systeminfo, sc, net тощо. ESET припустила, що при розробці LightlessCan Lazarus, можливо, використав двійкові файли із закритим вихідним кодом, щоб додати додаткові функції до RAT. Зловмисник також сфальсифікував LightlessCan таким чином, що його зашифроване корисне навантаження можна розшифрувати лише за допомогою ключа дешифрування, специфічного для скомпрометованої машини. Мета полягає в тому, щоб переконатися, що розшифровка корисного навантаження можлива лише в цільових системах, а не в будь-якому іншому середовищі, зазначив Калнаї, наприклад, у системі, що належить досліднику безпеки.
    Операція Коваль
    У новій груповій кампанії Lazarus, яку дослідники Cisco Talos назвали «Operation Blacksmith», ще з березня 2023 року використовувалися щонайменше три нові штами шкідливого програмного забезпечення на основі DLang для атак на організації по всьому світу з виробництва, сільського господарства та фізичної безпеки. Ця кампанія складається з продовження опортуністичних націлень на підприємства в усьому світі, які публічно розміщують і наражають свою вразливу інфраструктуру на n-денну експлуатацію вразливості, наприклад CVE‑2021-44228 (Log4j). Два з варіантів зловмисного програмного забезпечення є RAT, один з яких, NineRAT, використовує ботів Telegram і канали для зв’язку C2. RAT, не заснований на Telegram, відстежується дослідниками як DLRAT, а завантажувач на основі DLang відстежується як BottomLoader. Дослідники спостерігали збіг між TTP, які використовувалися в цій кампанії, і TTP Onyx Sleet (він же PLUTONIUM і Andariel).
    Напад на російську ракетно-інженерну компанію
    Дослідники SentinelLabs повідомили, що два зловмисники APT отримали постійний доступ до внутрішніх систем російського розробника ракет і супутників. ScarCruft був відповідальний за компрометацію систем електронної пошти компанії, тоді як Lazarus скомпрометував мережу за допомогою бекдору Windows під назвою OpenCarrot. Проаналізований варіант OpenCarrot реалізує понад 25 бекдор-команд із широким набором функціональних можливостей, що є типовими для бекдорів групи Lazarus. Згідно з дослідженнями, ці висновки встановлюють зв’язки між двома різними суб’єктами загрози, пов’язаними з КНДР, що свідчить про потенціал для спільних ресурсів, інфраструктури, імплантатів або доступу до мереж жертв.
    Андаріель атакує
    Дослідники AhnLab Security Emergency Response Center (ASEC) проаналізували нещодавні атаки, здійснені Andariel проти університетів, ІКТ, електронного обладнання, суднобудівних і виробничих компаній у Південній Кореї. Характерною рисою атак є використання нових шкідливих програм, розроблених мовою Go, зокрема Goat RAT і DurianBeacon. Останній також має версію, розроблену мовою Rust. Кажуть, що одна з атак, виявлених ASEC у лютому 2023 року, включала використання недоліків безпеки в корпоративному рішенні для передачі файлів під назвою Innorix Agent для розповсюдження бекдорів, таких як Volgmer і Andardoor, а також зворотної оболонки на основі Golang, відомої як 1th Троя.
    Повідомлялося про масштабну кампанію кібершпигунства, під час якої група Andariel APT зламала широкий спектр компаній і викрала конфіденційну інформацію оборони в Південній Кореї. Розслідування веде Департамент поліції Сеула за участю ФБР США. Чиновники вважають, що хакерам вдалося викрасти інформацію про лазерну зброю, яка використовується для підтримки роботи націо
  • міст
  • Корейськомовна діяльність
  • Діяльність на Близькому Сході
  • Китайомовна діяльність
  • Російськомовна активність
  • Інше
  • Сповіщення CISA
  • У цьому підсумку наведено огляд звітів про APT і фінансові атаки на промислові підприємства, які були оприлюднені в другому півріччі 2023 року, а також пов’язану діяльність груп, за якими спостерігали напади на промислові організації та об’єкти критичної інфраструктури. Для кожної теми ми намагалися узагальнити ключові факти, знахідки та висновки дослідників, які, на нашу думку, можуть бути корисними фахівцям, які займаються практичними питаннями кібербезпеки промислових підприємств.
  • Серед багатьох історій, пов’язаних з APT, виділяються три. Дві з них стосуються векторів атак, які призвели до отримання доступу до автоматизованої системи управління та призвели до фізичного ефекту – атаки на українську енергетичну компанію та атаки на компанію Unitronics PLC ізраїльського виробництва.
  • Третя історія – атака на промислові підприємства за допомогою інструментів MATA – цікава високою складністю інструментів, які використовують зловмисники, захоплюючою історією про латеральне пересування зловмисників у мережі зламаної організації та інтригою, що виникла при віднесенні інструментів до відомих груп APT.
  • Корейськомовна діяльність
  • Лазар нападає
  • Кампанія була спрямована на оборонну промисловість та атомників
  • Дослідники Kaspersky виявили кампанію Lazarus, яка розпочалася у 2023 році і була націлена на оборонну промисловість та ядерників.
  • Вони використовують троянські програми, особливо бекдорні програми VNC, для доступу до корпоративних систем. У цій кампанії Lazarus обманом змушує шукачів роботи в соціальних мережах відкривати шкідливі програми для підроблених співбесід. Щоб уникнути виявлення за допомогою рішень безпеки на основі поведінки, ця бекдорна програма працює непомітно, активуючись лише тоді, коли користувач вибирає сервер із розкривного меню клієнта Trojanized VNC. Відкривши цей початковий вектор зараження, програма запускає додаткові корисні навантаження в пам’ять і отримує подальший шкідливий код.
  • Дослідники Kaspersky виявили додаткове корисне навантаження, відоме як LPEClient, яке раніше неодноразово використовувалося групою Lazarus. Крім того, він використовує складні методи зв’язку C2 і вимикає моніторинг поведінки додатків рішень безпеки шляхом відключення системних викликів режиму користувача. Виявлено використання оновленої версії COPPERHEDGE як додаткового бекдору, що демонструє складний ланцюг зараження. Крім того, було помічено наявність варіанту шкідливого програмного забезпечення, спеціально розробленого для передачі цільових файлів на віддалений сервер. Ця конкретна шкідлива програма служить для викрадання певних файлів, вибраних групою Lazarus, і надсилання їх на призначений віддалений сервер.
  • Наша телеметрія підтверджує численні випадки скомпрометованих компаній. Більшість постраждалих організацій безпосередньо задіяні в оборонному виробництві, включаючи радіолокаційні системи, безпілотні літальні апарати (БПЛА), військові транспортні засоби, судна, озброєння та компанії, пов’язані з військово-морським флотом. Крім того, в одному з випадків було ідентифіковано ім’я користувача, пов’язане з початковим вектором зараження. Під час розмов із жертвою дослідники Kaspersky з’ясували, що ця особа була інженером-ядерником з Угорщини, який отримав шкідливий файл після того, як увійшов у підозрілий обліковий запис через Telegram і WhatsApp.
  • Атаки за допомогою бекдора LightlessCan
  • Дослідники ESET виявили кампанію зловмисного програмного забезпечення, пов’язану з раніше невідомим бекдором під назвою LightlessCan. Lazarus Group вдалося скомпрометувати аерокосмічну компанію в Іспанії. Початковим вектором атаки був фішинговий електронний лист, у якому хакери видавали себе за вербувальників із Meta та надсилали повідомлення розробникам через LinkedIn Messaging.
  • Функції бекдора LightlessCan Windows включають можливість імітувати функціональність багатьох рідних команд Windows, таких як ping, ipconfig, systeminfo, sc, net тощо. ESET припустила, що при розробці LightlessCan Lazarus, можливо, використав двійкові файли із закритим вихідним кодом, щоб додати додаткові функції до RAT. Зловмисник також сфальсифікував LightlessCan таким чином, що його зашифроване корисне навантаження можна розшифрувати лише за допомогою ключа дешифрування, специфічного для скомпрометованої машини. Мета полягає в тому, щоб переконатися, що розшифровка корисного навантаження можлива лише в цільових системах, а не в будь-якому іншому середовищі, зазначив Калнаї, наприклад, у системі, що належить досліднику безпеки.
  • Операція Коваль
  • У новій груповій кампанії Lazarus, яку дослідники Cisco Talos назвали «Operation Blacksmith», ще з березня 2023 року використовувалися щонайменше три нові штами шкідливого програмного забезпечення на основі DLang для атак на організації по всьому світу з виробництва, сільського господарства та фізичної безпеки. Ця кампанія складається з продовження опортуністичних націлень на підприємства в усьому світі, які публічно розміщують і наражають свою вразливу інфраструктуру на n-денну експлуатацію вразливості, наприклад CVE‑2021-44228 (Log4j). Два з варіантів зловмисного програмного забезпечення є RAT, один з яких, NineRAT, використовує ботів Telegram і канали для зв’язку C2. RAT, не заснований на Telegram, відстежується дослідниками як DLRAT, а завантажувач на основі DLang відстежується як BottomLoader. Дослідники спостерігали збіг між TTP, які використовувалися в цій кампанії, і TTP Onyx Sleet (він же PLUTONIUM і Andariel).
  • Напад на російську ракетно-інженерну компанію
  • Дослідники SentinelLabs повідомили, що два зловмисники APT отримали постійний доступ до внутрішніх систем російського розробника ракет і супутників. ScarCruft був відповідальний за компрометацію систем електронної пошти компанії, тоді як Lazarus скомпрометував мережу за допомогою бекдору Windows під назвою OpenCarrot. Проаналізований варіант OpenCarrot реалізує понад 25 бекдор-команд із широким набором функціональних можливостей, що є типовими для бекдорів групи Lazarus. Згідно з дослідженнями, ці висновки встановлюють зв’язки між двома різними суб’єктами загрози, пов’язаними з КНДР, що свідчить про потенціал для спільних ресурсів, інфраструктури, імплантатів або доступу до мереж жертв.
  • Андаріель атакує
  • Дослідники AhnLab Security Emergency Response Center (ASEC) проаналізували нещодавні атаки, здійснені Andariel проти університетів, ІКТ, електронного обладнання, суднобудівних і виробничих компаній у Південній Кореї. Характерною рисою атак є використання нових шкідливих програм, розроблених мовою Go, зокрема Goat RAT і DurianBeacon. Останній також має версію, розроблену мовою Rust. Кажуть, що одна з атак, виявлених ASEC у лютому 2023 року, включала використання недоліків безпеки в корпоративному рішенні для передачі файлів під назвою Innorix Agent для розповсюдження бекдорів, таких як Volgmer і Andardoor, а також зворотної оболонки на основі Golang, відомої як 1th Троя.
  • Повідомлялося про масштабну кампанію кібершпигунства, під час якої група Andariel APT зламала широкий спектр компаній і викрала конфіденційну інформацію оборони в Південній Кореї. Розслідування веде Департамент поліції Сеула за участю ФБР США. Чиновники вважають, що хакерам вдалося викрасти інформацію про лазерну зброю, яка використовується для підтримки роботи національної системи ППО. Агентства вважають, що вторгнення були частиною більшої кіберкампанії, яка призвела до витоку даних понад 1,2 ТБ, включаючи корпоративні, державні та особисті дані.
  • Андаріель зміг успішно зламати 14 організацій, а також брав участь в атаках з використанням програм-вимагачів, які здійснювалися з південнокорейського проксі-сервера, що слабо контролювався, і використовувався хакерами 83 рази з грудня 2022 року по березень 2023 року з району Рюгьондон у Пхеньяні. Сервер використовувався для доступу до веб-сайтів фірм і установ, при цьому група використовувала південнокорейський хостинговий сервіс, який орендував сервери невстановленим клієнтам. Серед скомпрометованих були великі компанії у сфері зв’язку, інформаційної безпеки та ІТ, технологічні центри, університети та науково-дослідні інститути, що займаються передовими розробками та технологіями, фармацевтичні компанії, оборонні підприємства та фінансові організації.
  • Атаки на оборонних підрядників з використанням оновленого фреймворку MATA
  • Фахівці Касперського виявили нову активну кампанію шкідливого програмного забезпечення кластера MATA, що компрометує оборонних підрядників у Східній Європі. Кампанія тривала понад шість місяців і залишалася активною до травня 2023 року та включала три нові покоління MATA.
  • Один із них є еволюцією попереднього покоління MATA 2. По-друге, зловмисне програмне забезпечення, яке ми назвали «MataDoor», було переписано з нуля та може розглядатися як покоління 4, а потім покоління 5 також було переписано з нуля. Усі вони містять кілька модифікацій протоколів шифрування, конфігурації та зв’язку.
  • Актор продемонстрував високі можливості навігації та використання рішень безпеки, розгорнутих у середовищі жертви. У ситуаціях, коли не було можливої лінії зв’язку з бажаним цільовим хостом, актор використовував модуль розповсюдження USB, здатний з’єднати мережі з повітряним розривом. Зловмисники використовували багато методів, щоб приховати свою активність: руткіти та вразливі драйвери, маскування файлів під легальні програми, використання портів, відкритих для зв’язку між програмами, багаторівневе шифрування файлів і мережеву активність шкідливих програм, встановлення тривалого часу очікування між підключеннями до контрольних серверів – це та багато іншого показує, наскільки складними можуть бути сучасні цілеспрямовані атаки.
  • З перших версій MATA у експертів виникали певні сумніви щодо того, до якого APT він належить. Цей сумнів зростає з останніми поколіннями MATA. З одного боку, є очевидні аргументи, які пов’язують сімейство MATA з групою Lazarus. У той же час останні покоління MATA мають більше технік, подібних до тих, які використовують групи Five Eyes APT.
  • Діяльність на Близькому Сході
  • Темний Каракал атакує
  • Відстежуючи діяльність Dark Caracal, дослідники Kaspersky виявили поточну кампанію, націлену на організації державного та приватного секторів у кількох іспаномовних країнах. Відомо, що Dark Caracal проводить кампанії кібершпигунства принаймні з 2012 року. Кампанії групи націлені на уряди, військові організації, комунальні служби, фінансові установи, виробничі компанії та оборонних підрядників по всьому світу. Тисячі постраждали від Темного Каракала – виявлено, що цінні дані були вкрадені, включаючи інтелектуальну власність та особисту інформацію. Цю групу називають «кібернайманською загрозливою групою» через різноманітність цілей і очевидну спрямованість кількох урядів під час її кампаній. З 2021 року повідомляється, що діяльність цієї групи зосереджена на іспаномовних країнах.
  • Напади балістичної рисі/чарівного кошеня
  • Дослідники ESET виявили складну кампанію кібершпигунства, яку проводив підозрюваний іранський агент Ballistic Bobcat (він же APT35, APT42, Charming Kitten, TA453 і PHOSPHORUS). Група використовувала новий бекдор під назвою «Спонсор», щоб націлитися на організації в Бразилії, Ізраїлі та ОАЕ: цільові організації включають автомобільну промисловість, виробництво, машинобудування, фінансові послуги, ЗМІ, охорону здоров’я, технології та телекомунікаційні сектори. Бекдор Sponsor написаний на C++ і призначений для збору інформації про хост і команди обробки, отримані від віддаленого сервера, результати яких надсилаються назад на сервер.
  • Згідно зі звітом, остання кампанія під кодовою назвою Sponsoring Access передбачає отримання початкового доступу шляхом використання відомих уразливостей на серверах Microsoft Exchange. В одному з інцидентів, описаних ESET, ізраїльська компанія була скомпрометована зловмисником у серпні 2021 року, і було надано інструменти для наступного етапу (PowerLess, Plink і ряд інструментів з відкритим вихідним кодом, написаних на Go). реалізовано протягом кількох місяців.
  • Як дійшли висновку експерти, Ballistic Bobcat продовжує знаходити можливості для використання невиправлених уразливостей на серверах Microsoft Exchange, доступних з мережі, використовуючи новий і різноманітний арсенал інструментів.
  • Напади імперського кошеня/жовтого лідерка/черепахового панцира
  • За даними дослідників PwC, загрозливий актор Yellow Liderc (він же Imperial Kitten, Tortoiseshell, TA456 і Crimson Sandstorm) запустив атаки watering hole для поширення шкідливого програмного забезпечення IMAPLoader, яке використовує утиліти Windows для визначення цільових систем і розгортання додаткових корисних навантажень. Цілі кампанії включають морські, судноплавні та логістичні організації в Середземному морі; ядерної, аерокосмічної та оборонної промисловості в США та Європі, а також постачальників послуг, керованих ІТ, на Близькому Сході. Хоча нові атаки включали компрометацію законних веб-сайтів за допомогою шкідливого JavaScript, призначеного для викрадання даних, зловмисник також використав шахрайський документ Microsoft Excel як початковий вектор атаки.
  • Після звіту PwC CrowdStrike повідомив, що той самий актор, якого називають «Імператорським кошеням», з початку конфлікту між Ізраїлем і ХАМАС націлився на сектори транспорту, логістики та технологій на Близькому Сході, включаючи Ізраїль. Діяльність групи характеризується використанням соціальної інженерії, зокрема контенту, присвяченого працевлаштуванню, для надання індивідуальних імплантатів на основі .NET. Зловмисники використовують скомпрометовані веб-сайти для профілювання відвідувачів за допомогою спеціально розробленого JavaScript і викрадають інформацію. На додаток до використання «полив’яних дір», зловмисник також використовує одноденні експлойти, викрадені облікові дані та фішинг, а також націлюється на перших постачальників ІТ-послуг для початкового доступу.
  • Напади на нафтову вишку
  • Дослідники ESET проаналізували серію нових завантажувачів OilRig (він же APT34, Lyceum, Crambus або Siamesekitten), які зловмисник використовував у кампаніях 2022 року для націлювання на організації в Ізраїлі, зокрема медичну установу, виробничу компанію та місцевий урядовий орган. Усі цілі раніше зазнали впливу кількох кампаній OilRig. Нові завантажувачі SampleCheck5000 (SC5k v1-v3), OilCheck, ODAgent і OilBooster відомі тим, що використовують легітимне хмарне сховище та хмарні служби електронної пошти для зв’язку C2 і викрадання даних як спосіб приховати зловмисне спілкування та маскувати мережу групи. інфраструктура: Microsoft OneDrive, Exchange Online і Office 365 через Microsoft Graph і Outlook API, а також Microsoft Office Exchange Web Services (EWS). Ці завантажувачі схожі з бекдорами MrPerfectionManager і PowerExchange, іншими нещодавніми доповненнями до набору інструментів OilRig, які використовують протоколи C&C на основі електронної пошти.
  • Персикова піщана буря/атаки APT33
  • За даними Microsoft, загрозливий актор Peach Sandstorm (він же APT33, Elfin і Refined Kitten) націлився на організації в секторі оборонної промисловості, використовуючи новий бекдор під назвою FalseFont. Це спеціальний бекдор, який дозволяє зловмисникам віддалено отримувати доступ до заражених систем, запускати додаткові файли та надсилати інформацію на його C2. Цей штам зловмисного програмного забезпечення вперше був помічений у дикій природі приблизно на початку листопада 2023 року. Розробка та використання FalseFont узгоджується з діяльністю Peach Sandstorm, яку спостерігала Microsoft протягом останнього року, що свідчить про те, що Peach Sandstorm продовжує вдосконалювати свою майстерність.
  • Китайомовна діяльність
  • TEMP.Hex і UNC4698 USB-атаки
  • Дослідники Mandiant повідомили про триразове збільшення атак із використанням USB-накопичувачів у першій половині цього року. В одній із таких кампаній загрозливий актор TEMP.Hex (він же HoneyMyte) використовував USB-накопичувачі для розповсюдження шкідливого програмного забезпечення Sogu, призначеного для викрадення конфіденційної інформації з хост-систем. Вони вважають, що TEMP.Hex використовує Sogu для збору інформації, що представляє інтерес для економіки та національної безпеки Китаю. TEMP.Hex націлений на різноманітні сектори, включаючи будівництво та інжиніринг, бізнес-послуги, уряд, охорону здоров’я, транспорт та роздрібну торгівлю в Європі, Азії та США.
  • Інший суб’єкт загрози, відстежуваний як UNC4698, також використовує USB-накопичувачі для поширення шкідливого програмного забезпечення SnowyDrive, яке створює бекдор в заражених системах, надаючи зловмисникам спосіб дистанційної взаємодії з пристроєм і видачі команд. Бекдор підтримує багато команд, які виконують файлові операції, викрадання даних, зворотний обстріл, виконання команд і розвідку. Він також поширюється на інші USB-накопичувачі та через мережу. Зловмисне програмне забезпечення використовує викрадення порядку пошуку DLL для завантаження шкідливої DLL через законні виконувані файли, такі як Notepad++, Microsoft Silverlight, програмне забезпечення VentaFax і програмне забезпечення CAM UnZip. UNC4698 націлений на нафтогазові організації в Азії.
  • Атаки космічних піратів
  • Positive Technologies опублікувала звіт про нові масштабні атаки на організації в Росії та Сербії, здійснені китайськомовною групою Space Pirates, яку дослідники відслідковують з 2022 року. Головна мета групи – шпигунство та крадіжка даних. Група розширила коло інтересів. За останній рік жертвами стали щонайменше 16 організацій у Росії та одне (міністерство) у Сербії, серед яких державні та освітні установи, підприємства авіаційної, ракетно-космічної та сільськогосподарської галузей, військово-промислового та паливно-енергетичного комплексів. комплексу та інформаційних компаній.
  • На одному з контрольних серверів виявлено сканер Acunetix. Це вказує на ймовірний вектор атаки через використання вразливостей, чого раніше не спостерігалося. Група також націлилася на архіви електронної пошти PST.
  • Веб-оболонка Godzilla та обфускований тунель Neo-reGeorg були знайдені на сервері C2. Група також почала використовувати шкідливе програмне забезпечення ShadowPad. Майже в кожному розслідуванні були сліди використання Deed RAT, який ще розробляється. Під час розслідування інциденту на одному із заражених пристроїв було виявлено 64-розрядну версію цього шкідливого ПЗ, яка майже не відрізняється від 32-розрядної. На комп’ютерах, заражених Deed RAT, виявлено два нових плагіни. Перший називається Disk і використовується для роботи з дисками. Другий плагін називається Portmap, який базується на утиліті ZXPortMap. Плагін використовується для переадресації портів і підтримує три мережеві команди.
  • Під час одного з розслідувань було виявлено раніше невідомий зразок шкідливого програмного забезпечення, яке було доставлено через уже встановлений Deed RAT і згодом названо Voidoor. Життєвий цикл цього шкідливого ПЗ включав взаємодію через GitHub і форум voidtools. Останнє разом з аналізом репозиторіїв GitHub привело дослідників до блогу хакера в китайській мережі розробників програмного забезпечення. Дослідники Positive Technologies з певною часткою впевненості припускають, що автор є одним із розробників шкідливого ПЗ (якщо не єдиним).
  • Атаки APT31
  • Kaspersky ICS CERT ідентифікував понад 15 імплантатів та їх варіантів, встановлених загрозою APT31 (так відомий як Judgement Panda та Zirconium) у серії атак на промислові організації у Східній Європі, призначених для викрадення конфіденційних даних. Зловмисне програмне забезпечення зазвичай встановлюється за допомогою викрадення DLL і приховує свої сліди за допомогою алгоритму RC4 для шифрування даних до безпосереднього впровадження. Зловмисне програмне забезпечення містить компонент-хробак, здатний заражати знімні диски та викрадати конфіденційні дані, включно з даними на пристрої з повітряним розривом. Інші імпланти включають варіанти бекдора FourteenHi, бекдора MeatBall, імплантату з використанням Yandex Cloud як C2 та імплантатів, які використовуються для завантаження файлів у Dropbox.
  • Атаки UNC4841
  • Продовжуючи попередні дослідження UNC4841 щодо використання вразливості віддаленого впровадження команд, що впливає на пристрій Barracuda Email Security Gateway (ESG) (CVE-2023-2868), дослідники Mandiant надали додаткові відомості про TTP, які використовує зловмисник.
  • UNC4841 розгорнув нове зловмисне програмне забезпечення, призначене для підтримки присутності на невеликій підмножині високопріоритетних цілей, скомпрометованих до виходу виправлення або незабаром після нього. Сюди входить використання бекдорів SKIPJACK і DEPTHCHARGE і пускової установки FOXTROT/FOXGLOVE.
  • Зловмисник націлився на широкий спектр вертикалей: основні цілі включають національні уряди, високотехнологічні та ІТ-структури, місцеві органи влади, постачальників телекомунікаційних послуг, виробничі підприємства, а також коледжі та університети. Агентство з кібербезпеки та безпеки інфраструктури США (CISA) надало додаткові IoC, пов’язані з використанням цієї вразливості.
  • Льон Напади Тайфуну
  • Дослідники Microsoft повідомляють, що нещодавно виявлена китайськомовна загроза під назвою Flax Typhoon була спрямована на десятки організацій на Тайвані. Flax Typhoon діє з середини 2021 року й націлений на державні установи, освіту, критичне виробництво та організації інформаційних технологій на Тайвані. Метою атак є кібершпигунство.
  • Група прагне якомога довше підтримувати доступ до організацій із широкого кола галузей. Flax Typhoon використовує мінімальну кількість зловмисного програмного забезпечення, головним чином покладаючись на методи «життя поза межами землі». Зловмисники отримали початковий доступ, використовуючи відомі вразливості на публічних серверах (у VPN, веб-додатках, Java та SQL) і розгортаючи веб-оболонки, включаючи China Chopper.
  • Деякі дослідники вважають, що загроза діяла з середини 2021 року. Однак тайванська група розвідки про загрози TeamT5 заперечила це, датуючи діяльність групи щонайменше 2020 роком і давши їй тимчасову кодову назву SLIME13.
  • Напади тайфуну Вольт
  • Команда Black Lotus Labs із Lumen Technologies пов’язала загрозливого актора Volt Typhoon (він же BRONZE SILHOUETTE) із ботнетом під назвою KV-botnet, який використовується для націлювання на маршрутизатори, брандмауери та пристрої VPN для маскування зловмисного трафіку в рамках легального трафіку. Цільові пристрої включають брандмауери Netgear ProSAFE, Cisco RV320s, маршрутизатори DrayTek Vigor та IP-камери Axis.
  • Ботнет KV використовувався в атаках, націлених на телекомунікаційні та інтернет-провайдери, орган територіального уряду США на Гуамі, компанію з відновлюваної енергетики в Європі та військові організації США, хоча дослідники класифікують більшість заражень KV як опортуністичні.
  • Починаючи з серпня 2023 року дослідники спостерігали сплеск використання нових ботів для KV‑ботнету. Цей кластер заразив пристрої SOHO, пов’язані з кількома мережами високої вартості. Незважаючи на те, що в оригінальному двійковому файлі не було виявлено попередньо створених функцій для націлювання на сусідню локальну мережу, була можливість створити віддалену оболонку на пристрої SOHO. Цю можливість можна було використати або для виконання команд вручну, або для потенційного отримання вторинного модуля, який ще не було виявлено, для націлювання на сусідню локальну мережу.
  • Краснокрилка нападає
  • Компанія Symantec виявила нову загрозу під назвою Redfly, яка проникла в національну енергомережу азіатської країни за допомогою трояна ShadowPad. У звіті йдеться, що зловмисникам вдалося викрасти облікові дані та скомпрометувати кілька комп’ютерів у мережі організації, і ця атака є останньою в серії шпигунських вторгнень у критично важливу національну інфраструктуру країни.
  • Варіант ShadowPad маскується під файли та каталоги VMware на заражених машинах і забезпечує стійкість, реєструючи службу, яка запускається під час запуску Windows. Окрім ShadowPad, Redfly розгортає PackerLoader, інструмент для завантаження та виконання шелл-коду та кейлоггер, який встановлюється під різними назвами на різних машинах. Група діяла досить методично та послідовно змінювала дозволи для драйвера, який пізніше використовувався для створення дампів файлової системи та завантаження облікових даних із реєстру Windows. Хакери використовували інструмент для скидання облікових даних із LSASS, а заплановане завдання було використано для виконання Oleview для бокового завантаження та бокового переміщення. Щоб встановити кейлоггер на скомпрометованій машині, зловмисники намагалися створити дамп облікових даних за допомогою ProcDump.
  • За даними Symantec, найбільш очевидним мотивом угруповання є шпигунство. Визначені інструменти та інфраструктура, використані в нещодавній кампанії, націленій на національну енергосистему, збігаються з атаками, про які повідомлялося раніше, пов’язаними з кластером активності APT41 (він же Brass Typhoon, Wicked Panda, Winnti та Red Echo).
  • Атаки на напівпровідникові компанії у Східній Азії
  • Напівпровідникові компанії у Східній Азії (Тайвань, Гонконг, Сінгапур) стали мішенню за допомогою повідомлень, які нібито надходять від Тайванської компанії з виробництва напівпровідників (TSMC).
  • Атаки використовували бекдор HyperBro, який використовував двійковий файл CyberArk з цифровим підписом (fv_host.exe, перейменований зловмисниками на vfhost.exe) для бокового завантаження DLL, що призвело до виконання в пам’яті маяка Cobalt Strike. Адреса C2, жорстко закодована в імплантаті Cobalt Strike, була замаскована під законний CDN jQuery, що дозволяло обходити захист брандмауера.
  • У другому варіанті атаки хакери використовували скомпрометований веб-сервер Cobra DocGuard, щоб завантажити додатковий бінарний файл McAfee (mcods.exe) і шкідливий файл (який завантажується в mcods.exe за допомогою бокового завантаження DLL), а також зашифрований Cobalt Strike шеллкод. У цьому випадку хакери розгорнули раніше незадокументований бекдор на основі Go під назвою ChargeWeapon, призначений для збору та передачі даних жертви на C2 у формі Base64.
  • Дослідники EclecticIQ приписали цю кампанію загрозі, пов’язаній з Китаєм, через використання HyperBro, який майже виключно використовувався Lucky Mouse (він же APT27, Budworm і Emissary Panda). Вони також знайшли тактичні збіги з RedHotel і Earth Lusca.
  • Російськомовна діяльність
  • Атаки за допомогою DroxiDat/SystemBC
  • Невідомий зловмисник націлився на електричну компанію в Африці за допомогою маяків Cobalt Strike і DroxiDat, новішого варіанту корисного навантаження SystemBC. Ця атака сталася на третьому та четвертому тижні березня 2023 року в рамках невеликої хвилі атак по всьому світу. В одному з кількох пов’язаних інцидентів було виявлено програму-вимагач Nokoyawa, яка пов’язана з використанням нульового дня та потенційно пов’язана з групою, яка розгорнула програму-вимагач Hive. На сьогоднішній день група, яка стоїть за діяльністю програм-вимагачів Nokoyawa, не бачила публічно доступних точних політичних приписів, але, схоже, вона використовується старішою російськомовною групою злочинних програм/вимагачів (ймовірно, Pistachio Tempest або FIN12).
  • Атаки APT29/Midnight Blizzard/Nobelium
  • Дослідники Microsoft повідомляють, що Midnight Blizzard (так відомий як Nobelium) використовував чати Microsoft Teams для націлювання на людей в уряді, неурядових організаціях, ІТ-службах, технологіях, дискретному виробництві та медіа-секторах. Загалом поточне розслідування показує, що ця кампанія вплинула на менше ніж 40 унікальних глобальних організацій.
  • Зловмисники використовували скомпрометовані облікові записи Microsoft 365 для створення доменів, які маскуються під організації, що пропонують технічну підтримку. Потім вони використовують ці домени для надсилання повідомлень чату з посиланнями на веб-сторінки, де вони намагаються підманити облікові дані одержувача, зокрема код MFA.
  • Команда реагування на інциденти FortiGuard повідомила, що в жовтні 2023 року американська біомедична виробнича організація була скомпрометована через критичну вразливість CVE-2023-42793 TeamCity, для якої загальнодоступний експлойт був випущений 27 вересня 2023 року. TeamCity — це продукт від JetBrains, який використовується для керування та автоматизації компіляції, створення, тестування та випуску програмного забезпечення.
  • Атаку спочатку використовували за допомогою спеціально створеного сценарію експлойту, написаного на Python. Зловмисник використовував експлойт TeamCity для встановлення сертифіката SSH, який використовувався для підтримки доступу до середовища жертви. Після виконання команд виявлення актор завантажив файл DLL AclNumsInvertHost.dll на хост TeamCity і знову використав уразливість TeamCity RCE, щоб створити заплановане завдання Windows, посилаючись на файл DLL для збереження.
  • Бібліотека AclNumsInvertHost.dll і кілька інших DLL-файлів, отриманих із веб-сервера зловмисників, зіставлялися за правилом Yara для відомого сімейства зловмисних програм під назвою GraphicalProton, яке історично було пов’язане з APT29 (відоме як Dukes, CozyBear і NOBELIUM/Midnight Blizzard/BlueBravo). . Враховуючи перехід техніки з діяльністю, про яку повідомлялося раніше, і ідентифікацію корисного навантаження GraphicalProton, FortiGuard із середньою впевненістю вважає, що ця атака була частиною нової кампанії BlueBravo/APT29.
  • У спільній консультації, опублікованій 13 грудня, ФБР, Агентство кібербезпеки та безпеки інфраструктури (CISA), АНБ, Служба військової контррозвідки Польщі (SKW), CERT Polska (CERT.PL) і Національний центр кібербезпеки Великобританії ( NCSC) попередив, що APT29 використовує вразливість обходу автентифікації (CVE-2023-42793) у TeamCity. Агентства попередили десятки компаній у США, Європі, Азії та Австралії після виявлення сотень зламаних пристроїв.
  • Атаки з використанням уразливості WinRAR
  • Уразливість CVE-2023-38831 у WinRAR, утиліті для архівування файлів Windows, є серйозною помилкою, яку використовували з початку 2023 року. RARLabs випустила WinRAR 6.23 у серпні, щоб усунути цю вразливість.
  • Напади піщаних черв’яків
  • Група аналізу загроз Google (TAG) виявила, що кілька підтримуваних державою хакерських груп використовують вразливість CVE-2023-38831. У квітні 2023 року TAG повідомила про FROZENBARENTS (так званий SANDWORM), націлений на енергетичний сектор і продовжуючи операції зі злому та витоку інформації. Під час атаки на початку вересня хакери Sandworm доставили зловмисне програмне забезпечення Rhadamanthys infostealer під час фішингових атак, використовуючи підроблені запрошення приєднатися до української школи підготовки дронів. Rhadamanthys — це інформаційно-викрадач товарів, який, серед іншого, збирає та викрадає облікові дані браузера та інформацію про сеанси. Він працює за моделлю передплати, і його можна взяти в оренду всього за 250 доларів США на 30 днів.
  • Атаки APT28
  • Група APT28 (відома також як Frozenlake, Fancy Bear, Strontium або Sednit) також використовувала недолік для доставки зловмисного програмного забезпечення, націленого на енергетичну інфраструктуру в Україні, за допомогою фішингової кампанії, яка використовувала документ-приманку, що запрошував цільових осіб на захід, організований Центром Разумкова. танк в Україні.
  • Proofpoint також повідомив про використання TA422 (він же APT28) уразливості CVE-2023-38831. За словами дослідників Proofpoint, TA422 використовував уразливості як початковий доступ до цілей уряду, аерокосмічного, освітнього, фінансового, виробничого та технологічного секторів, які, ймовірно, або розкриють облікові дані користувача, або ініціюють подальшу діяльність.
  • У вересні 2023 року актор розіслав зловмисні електронні листи з підробкою геополітичних утворень і використовуючи саміт БРІКС і засідання Європейського парламенту як предметні приманки, щоб спонукати цільові особи відкрити електронні листи. Дослідники також помітили, що в період з вересня 2023 року по листопад 2023 року зловмисники надсилали приманки до цілей, які включали посилання, яке, якщо натиснути, ініціювало ланцюжок шкідливих дій від служби Mockbin.
  • У листопаді 2023 року TA422 відмовився від використання Mockbin для початкової фільтрації та перенаправлення на користь прямої доставки URL-адрес InfinityFree.
  • Таємничий перевертень
  • Дослідники з Cyble Research and Intelligence Labs (CRIL) виявили цілеспрямовану фішингову атаку на російського постачальника напівпровідників. Фішинговий лист був замаскований під офіційне повідомлення Мінпромторгу Росії, лист містив оманливий архівний файл з назвою resultati_sovehchaniya_11_09_2023.rar.
  • Зловмисники, які стоять за цією атакою, також використовували цю вразливість.
  • Шкідливе корисне навантаження .NET, агент Athena фреймворку Mythic C2, оснащено широким інструментом попередньо встановлених команд, призначених для виконання різних дій у цільових системах. Athena містить такі функції, як кросплатформенність для Windows, Linux і OSX, підтримка SOCKS5, зворотне перенаправлення портів, рефлексивне завантаження збірок, модульне завантаження команд і багато іншого. У цьому випадку було налаштовано використовувати Discord як канал зв’язку C2.
  • Команда BI.ZONE Cyber Threat Intelligence також відстежила цей кластер активності під назвою Mysterious Werewolf і виявила ще одну атаку в рамках кампанії, цього разу спрямовану на промислові підприємства в Росії. Зловмисники видавали себе за Міністерство промисловості та торгівлі Росії та використовували фішингові електронні листи, які містили архіви під назвою Pismo_izveshcanie_2023_10_16.rar зі шкідливими файлами CMD, які використовували вразливість CVE-2023-38831 для запуску сценарію PowerShell і зрештою завантаження агента Athena. Зловмисники використовували динамічний DNS-сервіс і фреймворки після експлуатації, а також планове завдання запускати агент кожні 10 хвилин.
  • Інші атаки APT28/Fancy Bear
  • CERT-UA повідомив про цілеспрямовану кібератаку на об’єкт критичної енергетичної інфраструктури в Україні. Зловмисники надсилали електронні листи, щоб спонукати цільові особи завантажити, здавалося б, невинний архівний файл. Цей архів містив шкідливі сценарії, які захопили комп’ютер і викрали конфіденційні дані за допомогою таких служб, як mockbin.org і mocky.io.
  • Дослідники Zscaler проаналізували ключові компоненти цієї атаки та іншої кампанії під назвою StealIt із подібними TTP, які відповідають загрозі APT28 (Fancy Bear). За словами дослідників, зловмисники викрали та викрали хеші NTLMv2 за допомогою налаштованих версій сценарію Start-CaptureServer PowerShell від Nishang і виконали різні системні команди. У цій кампанії зловмисники зосередилися на регіонах, включаючи Австралію, Польщу та Бельгію.
  • З березня дослідники Microsoft спостерігали фішингові атаки TA422 (він же APT28, Forest Blizzard, Strontium, Fancy Bear і Fighting Ursa), націлені на урядові, енергетичні, транспортні та неурядові організації в США, Європі та на Близькому Сході.
  • Зловмисник використовує дві вразливості. Перший (CVE-2023-23397) — це вразливість Microsoft Outlook, яка може призвести до підвищення привілеїв. Уразливість не вимагає жодної взаємодії з користувачем. Дослідники з Пало-Альто спостерігали, як суб’єкт загрози використовує цю вразливість протягом останніх 20 місяців, щоб атакувати щонайменше 30 організацій у 14 країнах, у тому числі в енергетичному, транспортному та телекомунікаційному секторах, а також на військово-промисловій базі. Усі кампанії використовували мережеві пристрої Ubiquiti для збору повідомлень автентифікації NTLM із мереж жертв. Microsoft спочатку виправила вразливість Outlook у березні, попередивши, що вона активно використовується, і з тих пір оновила свої інструкції для клієнтів.
  • Про використання другої вразливості – CVE-2023-38831 – повідомило Proofpoint (див. вище).
  • Інші атаки Sandworm/Hades
  • За даними дослідників Mandiant, Sandworm (він же Hades) здійснив кібератаку на українську електрокомпанію, яка почалася в червні 2022 року та завершилася в жовтні 2022 року, спричинивши відключення електроенергії. Початковий вектор доступу до ІТ-середовища не визначено.
  • Спочатку зловмисники розгорнули веб-оболонку Neo-REGEORG на сервері, відкритому в загальнодоступному Інтернеті. Через місяць хакери запустили тунелер GOGETTER на базі Golang для проксі-сервера зашифрованого зв’язку для командного та контрольного сервера за допомогою бібліотеки з відкритим кодом Yamux.
  • Sandworm отримав доступ до середовища OT через гіпервізор, який розміщував екземпляр керування наглядовим контролем і збором даних (SCADA) для середовища підстанції жертви, і підтримував доступ до 3 місяців.
  • Кульмінацією нападу стала дія, яка мала фізичний ефект.
  • По-перше, Sandworm використовував файл образу ISO CD-ROM для запуску рідної утиліти АББ scilc.exe, яка, ймовірно, запускала шкідливі команди, написані АББ мовою SCIL (Supervisory Control Implementation Language), що вимикало підстанції 10 жовтня 2022 року. .
  • Грунтуючись на аналізі часових позначок файлу, Mandiant вважає, що акторам знадобилося 2 місяці, щоб розвинути можливості OT. Завантаження ISO-образу стало можливим, оскільки віртуальна машина, на якій працював MicroSCADA, мала функцію автозапуску, що дозволяло CD-ROM, фізичним або віртуальним (наприклад, файл ISO), запускатися автоматично. Утиліта scilc.exe є частиною набору програмного забезпечення MicroSCADA, і Sandworm використовував її для запуску команд SCIL, які сервер перетворював би на команди IEC 101/104 і передавав їх на віддалені термінали на підстанції. Згідно з висновками дослідників, зламаний сервер MicroSCADA працював із застарілою версією програмного забезпечення, яке дозволяло доступ до SCIL-API за умовчанням. Використання власного двійкового файлу в атаці вказує на перехід хакерів до методів живих поза межами (LoL/LOTL), які покладаються на більш легкі та загальні інструменти, які ускладнюють виявлення загроз.
  • Потім, 12 жовтня 2022 року, Sandworm розгорнув нову версію зловмисного програмного забезпечення CADDYWIPER, яке знищує дані, можливо, намагаючись перешкодити аналізу вторгнення. Mandiant не розкриває місцезнаходження цільового енергетичного об’єкта, а також довжину та масштаб знеструмлення.
  • Інший
  • Зміст
  • Корейськомовна діяльність
  • Діяльність на Близькому Сході
  • Китайомовна діяльність
  • Російськомовна активність
  • Інше
  • Сповіщення CISA
  • У цьому підсумку наведено огляд звітів про APT і фінансові атаки на промислові підприємства, які були оприлюднені в другому півріччі 2023 року, а також пов’язану діяльність груп, за якими спостерігали напади на промислові організації та об’єкти критичної інфраструктури. Для кожної теми ми намагалися узагальнити ключові факти, знахідки та висновки дослідників, які, на нашу думку, можуть бути корисними фахівцям, які займаються практичними питаннями кібербезпеки промислових підприємств.
  • Серед багатьох історій, пов’язаних з APT, виділяються три. Дві з них стосуються векторів атак, які призвели до отримання доступу до автоматизованої системи управління та призвели до фізичного ефекту – атаки на українську енергетичну компанію та атаки на компанію Unitronics PLC ізраїльського виробництва.
  • Третя історія – атака на промислові підприємства за допомогою інструментів MATA – цікава високою складністю інструментів, які використовують зловмисники, захоплюючою історією про латеральне пересування зловмисників у мережі зламаної організації та інтригою, що виникла при віднесенні інструментів до відомих груп APT.
  • Корейськомовна діяльність
  • Лазар нападає
  • Кампанія була спрямована на оборонну промисловість та атомників
  • Дослідники Kaspersky виявили кампанію Lazarus, яка розпочалася у 2023 році і була націлена на оборонну промисловість та ядерників.
  • Вони використовують троянські програми, особливо бекдорні програми VNC, для доступу до корпоративних систем. У цій кампанії Lazarus обманом змушує шукачів роботи в соціальних мережах відкривати шкідливі програми для підроблених співбесід. Щоб уникнути виявлення за допомогою рішень безпеки на основі поведінки, ця бекдорна програма працює непомітно, активуючись лише тоді, коли користувач вибирає сервер із розкривного меню клієнта Trojanized VNC. Відкривши цей початковий вектор зараження, програма запускає додаткові корисні навантаження в пам’ять і отримує подальший шкідливий код.
  • Дослідники Kaspersky виявили додаткове корисне навантаження, відоме як LPEClient, яке раніше неодноразово використовувалося групою Lazarus. Крім того, він використовує складні методи зв’язку C2 і вимикає моніторинг поведінки додатків рішень безпеки шляхом відключення системних викликів режиму користувача. Виявлено використання оновленої версії COPPERHEDGE як додаткового бекдору, що демонструє складний ланцюг зараження. Крім того, було помічено наявність варіанту шкідливого програмного забезпечення, спеціально розробленого для передачі цільових файлів на віддалений сервер. Ця конкретна шкідлива програма служить для викрадання певних файлів, вибраних групою Lazarus, і надсилання їх на призначений віддалений сервер.
  • Наша телеметрія підтверджує численні випадки скомпрометованих компаній. Більшість постраждалих організацій безпосередньо задіяні в оборонному виробництві, включаючи радіолокаційні системи, безпілотні літальні апарати (БПЛА), військові транспортні засоби, судна, озброєння та компанії, пов’язані з військово-морським флотом. Крім того, в одному з випадків було ідентифіковано ім’я користувача, пов’язане з початковим вектором зараження. Під час розмов із жертвою дослідники Kaspersky з’ясували, що ця особа була інженером-ядерником з Угорщини, який отримав шкідливий файл після того, як увійшов у підозрілий обліковий запис через Telegram і WhatsApp.
  • Атаки за допомогою бекдора LightlessCan
  • Дослідники ESET виявили кампанію зловмисного програмного забезпечення, пов’язану з раніше невідомим бекдором під назвою LightlessCan. Lazarus Group вдалося скомпрометувати аерокосмічну компанію в Іспанії. Початковим вектором атаки був фішинговий електронний лист, у якому хакери видавали себе за вербувальників із Meta та надсилали повідомлення розробникам через LinkedIn Messaging.
  • Функції бекдора LightlessCan Windows включають можливість імітувати функціональність багатьох рідних команд Windows, таких як ping, ipconfig, systeminfo, sc, net тощо. ESET припустила, що при розробці LightlessCan Lazarus, можливо, використав двійкові файли із закритим вихідним кодом, щоб додати додаткові функції до RAT. Зловмисник також сфальсифікував LightlessCan таким чином, що його зашифроване корисне навантаження можна розшифрувати лише за допомогою ключа дешифрування, специфічного для скомпрометованої машини. Мета полягає в тому, щоб переконатися, що розшифровка корисного навантаження можлива лише в цільових системах, а не в будь-якому іншому середовищі, зазначив Калнаї, наприклад, у системі, що належить досліднику безпеки.
  • Операція Коваль
  • У новій груповій кампанії Lazarus, яку дослідники Cisco Talos назвали «Operation Blacksmith», ще з березня 2023 року використовувалися щонайменше три нові штами шкідливого програмного забезпечення на основі DLang для атак на організації по всьому світу з виробництва, сільського господарства та фізичної безпеки. Ця кампанія складається з продовження опортуністичних націлень на підприємства в усьому світі, які публічно розміщують і наражають свою вразливу інфраструктуру на n-денну експлуатацію вразливості, наприклад CVE‑2021-44228 (Log4j). Два з варіантів зловмисного програмного забезпечення є RAT, один з яких, NineRAT, використовує ботів Telegram і канали для зв’язку C2. RAT, не заснований на Telegram, відстежується дослідниками як DLRAT, а завантажувач на основі DLang відстежується як BottomLoader. Дослідники спостерігали збіг між TTP, які використовувалися в цій кампанії, і TTP Onyx Sleet (він же PLUTONIUM і Andariel).
  • Напад на російську ракетно-інженерну компанію
  • Дослідники SentinelLabs повідомили, що два зловмисники APT отримали постійний доступ до внутрішніх систем російського розробника ракет і супутників. ScarCruft був відповідальний за компрометацію систем електронної пошти компанії, тоді як Lazarus скомпрометував мережу за допомогою бекдору Windows під назвою OpenCarrot. Проаналізований варіант OpenCarrot реалізує понад 25 бекдор-команд із широким набором функціональних можливостей, що є типовими для бекдорів групи Lazarus. Згідно з дослідженнями, ці висновки встановлюють зв’язки між двома різними суб’єктами загрози, пов’язаними з КНДР, що свідчить про потенціал для спільних ресурсів, інфраструктури, імплантатів або доступу до мереж жертв.
  • Андаріель атакує
  • Дослідники AhnLab Security Emergency Response Center (ASEC) проаналізували нещодавні атаки, здійснені Andariel проти університетів, ІКТ, електронного обладнання, суднобудівних і виробничих компаній у Південній Кореї. Характерною рисою атак є використання нових шкідливих програм, розроблених мовою Go, зокрема Goat RAT і DurianBeacon. Останній також має версію, розроблену мовою Rust. Кажуть, що одна з атак, виявлених ASEC у лютому 2023 року, включала використання недоліків безпеки в корпоративному рішенні для передачі файлів під назвою Innorix Agent для розповсюдження бекдорів, таких як Volgmer і Andardoor, а також зворотної оболонки на основі Golang, відомої як 1th Троя.
  • Повідомлялося про масштабну кампанію кібершпигунства, під час якої група Andariel APT зламала широкий спектр компаній і викрала конфіденційну інформацію оборони в Південній Кореї. Розслідування веде Департамент поліції Сеула за участю ФБР США. Чиновники вважають, що хакерам вдалося викрасти інформацію про лазерну зброю, яка використовується для підтримки роботи національної системи ППО. Агентства вважають, що вторгнення були частиною більшої кіберкампанії, яка призвела до витоку даних понад 1,2 ТБ, включаючи корпоративні, державні та особисті дані.
  • Андаріель зміг успішно зламати 14 організацій, а також брав участь в атаках з використанням програм-вимагачів, які здійснювалися з південнокорейського проксі-сервера, що слабо контролювався, і використовувався хакерами 83 рази з грудня 2022 року по березень 2023 року з району Рюгьондон у Пхеньяні. Сервер використовувався для доступу до веб-сайтів фірм і установ, при цьому група використовувала південнокорейський хостинговий сервіс, який орендував сервери невстановленим клієнтам. Серед скомпрометованих були великі компанії у сфері зв’язку, інформаційної безпеки та ІТ, технологічні центри, університети та науково-дослідні інститути, що займаються передовими розробками та технологіями, фармацевтичні компанії, оборонні підприємства та фінансові організації.
  • Атаки на оборонних підрядників з використанням оновленого фреймворку MATA
  • Фахівці Касперського виявили нову активну кампанію шкідливого програмного забезпечення кластера MATA, що компрометує оборонних підрядників у Східній Європі. Кампанія тривала понад шість місяців і залишалася активною до травня 2023 року та включала три нові покоління MATA.
  • Один із них є еволюцією попереднього покоління MATA 2. По-друге, зловмисне програмне забезпечення, яке ми назвали «MataDoor», було переписано з нуля та може розглядатися як покоління 4, а потім покоління 5 також було переписано з нуля. Усі вони містять кілька модифікацій протоколів шифрування, конфігурації та зв’язку.
  • Актор продемонстрував високі можливості навігації та використання рішень безпеки, розгорнутих у середовищі жертви. У ситуаціях, коли не було можливої лінії зв’язку з бажаним цільовим хостом, актор використовував модуль розповсюдження USB, здатний з’єднати мережі з повітряним розривом. Зловмисники використовували багато методів, щоб приховати свою активність: руткіти та вразливі драйвери, маскування файлів під легальні програми, використання портів, відкритих для зв’язку між програмами, багаторівневе шифрування файлів і мережеву активність шкідливих програм, встановлення тривалого часу очікування між підключеннями до контрольних серверів – це та багато іншого показує, наскільки складними можуть бути сучасні цілеспрямовані атаки.
  • З перших версій MATA у експертів виникали певні сумніви щодо того, до якого APT він належить. Цей сумнів зростає з останніми поколіннями MATA. З одного боку, є очевидні аргументи, які пов’язують сімейство MATA з групою Lazarus. У той же час останні покоління MATA мають більше технік, подібних до тих, які використовують групи Five Eyes APT.
  • Діяльність на Близькому Сході
  • Темний Каракал атакує
  • Відстежуючи діяльність Dark Caracal, дослідники Kaspersky виявили поточну кампанію, націлену на організації державного та приватного секторів у кількох іспаномовних країнах. Відомо, що Dark Caracal проводить кампанії кібершпигунства принаймні з 2012 року. Кампанії групи націлені на уряди, військові організації, комунальні служби, фінансові установи, виробничі компанії та оборонних підрядників по всьому світу. Тисячі постраждали від Темного Каракала – виявлено, що цінні дані були вкрадені, включаючи інтелектуальну власність та особисту інформацію. Цю групу називають «кібернайманською загрозливою групою» через різноманітність цілей і очевидну спрямованість кількох урядів під час її кампаній. З 2021 року повідомляється, що діяльність цієї групи зосереджена на іспаномовних країнах.
  • Напади балістичної рисі/чарівного кошеня
  • Дослідники ESET виявили складну кампанію кібершпигунства, яку проводив підозрюваний іранський агент Ballistic Bobcat (він же APT35, APT42, Charming Kitten, TA453 і PHOSPHORUS). Група використовувала новий бекдор під назвою «Спонсор», щоб націлитися на організації в Бразилії, Ізраїлі та ОАЕ: цільові організації включають автомобільну промисловість, виробництво, машинобудування, фінансові послуги, ЗМІ, охорону здоров’я, технології та телекомунікаційні сектори. Бекдор Sponsor написаний на C++ і призначений для збору інформації про хост і команди обробки, отримані від віддаленого сервера, результати яких надсилаються назад на сервер.
  • Згідно зі звітом, остання кампанія під кодовою назвою Sponsoring Access передбачає отримання початкового доступу шляхом використання відомих уразливостей на серверах Microsoft Exchange. В одному з інцидентів, описаних ESET, ізраїльська компанія була скомпрометована зловмисником у серпні 2021 року, і було надано інструменти для наступного етапу (PowerLess, Plink і ряд інструментів з відкритим вихідним кодом, написаних на Go). реалізовано протягом кількох місяців.
  • Як дійшли висновку експерти, Ballistic Bobcat продовжує знаходити можливості для використання невиправлених уразливостей на серверах Microsoft Exchange, доступних з мережі, використовуючи новий і різноманітний арсенал інструментів.
  • Напади імперського кошеня/жовтого лідерка/черепахового панцира
  • За даними дослідників PwC, загрозливий актор Yellow Liderc (він же Imperial Kitten, Tortoiseshell, TA456 і Crimson Sandstorm) запустив атаки watering hole для поширення шкідливого програмного забезпечення IMAPLoader, яке використовує утиліти Windows для визначення цільових систем і розгортання додаткових корисних навантажень. Цілі кампанії включають морські, судноплавні та логістичні організації в Середземному морі; ядерної, аерокосмічної та оборонної промисловості в США та Європі, а також постачальників послуг, керованих ІТ, на Близькому Сході. Хоча нові атаки включали компрометацію законних веб-сайтів за допомогою шкідливого JavaScript, призначеного для викрадання даних, зловмисник також використав шахрайський документ Microsoft Excel як початковий вектор атаки.
  • Після звіту PwC CrowdStrike повідомив, що той самий актор, якого називають «Імператорським кошеням», з початку конфлікту між Ізраїлем і ХАМАС націлився на сектори транспорту, логістики та технологій на Близькому Сході, включаючи Ізраїль. Діяльність групи характеризується використанням соціальної інженерії, зокрема контенту, присвяченого працевлаштуванню, для надання індивідуальних імплантатів на основі .NET. Зловмисники використовують скомпрометовані веб-сайти для профілювання відвідувачів за допомогою спеціально розробленого JavaScript і викрадають інформацію. На додаток до використання «полив’яних дір», зловмисник також використовує одноденні експлойти, викрадені облікові дані та фішинг, а також націлюється на перших постачальників ІТ-послуг для початкового доступу.
  • Напади на нафтову вишку
  • Дослідники ESET проаналізували серію нових завантажувачів OilRig (він же APT34, Lyceum, Crambus або Siamesekitten), які зловмисник використовував у кампаніях 2022 року для націлювання на організації в Ізраїлі, зокрема медичну установу, виробничу компанію та місцевий урядовий орган. Усі цілі раніше зазнали впливу кількох кампаній OilRig. Нові завантажувачі SampleCheck5000 (SC5k v1-v3), OilCheck, ODAgent і OilBooster відомі тим, що використовують легітимне хмарне сховище та хмарні служби електронної пошти для зв’язку C2 і викрадання даних як спосіб приховати зловмисне спілкування та маскувати мережу групи. інфраструктура: Microsoft OneDrive, Exchange Online і Office 365 через Microsoft Graph і Outlook API, а також Microsoft Office Exchange Web Services (EWS). Ці завантажувачі схожі з бекдорами MrPerfectionManager і PowerExchange, іншими нещодавніми доповненнями до набору інструментів OilRig, які використовують протоколи C&C на основі електронної пошти.
  • Персикова піщана буря/атаки APT33
  • За даними Microsoft, загрозливий актор Peach Sandstorm (він же APT33, Elfin і Refined Kitten) націлився на організації в секторі оборонної промисловості, використовуючи новий бекдор під назвою FalseFont. Це спеціальний бекдор, який дозволяє зловмисникам віддалено отримувати доступ до заражених систем, запускати додаткові файли та надсилати інформацію на його C2. Цей штам зловмисного програмного забезпечення вперше був помічений у дикій природі приблизно на початку листопада 2023 року. Розробка та використання FalseFont узгоджується з діяльністю Peach Sandstorm, яку спостерігала Microsoft протягом останнього року, що свідчить про те, що Peach Sandstorm продовжує вдосконалювати свою майстерність.
  • Китайомовна діяльність
  • TEMP.Hex і UNC4698 USB-атаки
  • Дослідники Mandiant повідомили про триразове збільшення атак із використанням USB-накопичувачів у першій половині цього року. В одній із таких кампаній загрозливий актор TEMP.Hex (він же HoneyMyte) використовував USB-накопичувачі для розповсюдження шкідливого програмного забезпечення Sogu, призначеного для викрадення конфіденційної інформації з хост-систем. Вони вважають, що TEMP.Hex використовує Sogu для збору інформації, що представляє інтерес для економіки та національної безпеки Китаю. TEMP.Hex націлений на різноманітні сектори, включаючи будівництво та інжиніринг, бізнес-послуги, уряд, охорону здоров’я, транспорт та роздрібну торгівлю в Європі, Азії та США.
  • Інший суб’єкт загрози, відстежуваний як UNC4698, також використовує USB-накопичувачі для поширення шкідливого програмного забезпечення SnowyDrive, яке створює бекдор в заражених системах, надаючи зловмисникам спосіб дистанційної взаємодії з пристроєм і видачі команд. Бекдор підтримує багато команд, які виконують файлові операції, викрадання даних, зворотний обстріл, виконання команд і розвідку. Він також поширюється на інші USB-накопичувачі та через мережу. Зловмисне програмне забезпечення використовує викрадення порядку пошуку DLL для завантаження шкідливої DLL через законні виконувані файли, такі як Notepad++, Microsoft Silverlight, програмне забезпечення VentaFax і програмне забезпечення CAM UnZip. UNC4698 націлений на нафтогазові організації в Азії.
  • Атаки космічних піратів
  • Positive Technologies опублікувала звіт про нові масштабні атаки на організації в Росії та Сербії, здійснені китайськомовною групою Space Pirates, яку дослідники відслідковують з 2022 року. Головна мета групи – шпигунство та крадіжка даних. Група розширила коло інтересів. За останній рік жертвами стали щонайменше 16 організацій у Росії та одне (міністерство) у Сербії, серед яких державні та освітні установи, підприємства авіаційної, ракетно-космічної та сільськогосподарської галузей, військово-промислового та паливно-енергетичного комплексів. комплексу та інформаційних компаній.
  • На одному з контрольних серверів виявлено сканер Acunetix. Це вказує на ймовірний вектор атаки через використання вразливостей, чого раніше не спостерігалося. Група також націлилася на архіви електронної пошти PST.
  • Веб-оболонка Godzilla та обфускований тунель Neo-reGeorg були знайдені на сервері C2. Група також почала використовувати шкідливе програмне забезпечення ShadowPad. Майже в кожному розслідуванні були сліди використання Deed RAT, який ще розробляється. Під час розслідування інциденту на одному із заражених пристроїв було виявлено 64-розрядну версію цього шкідливого ПЗ, яка майже не відрізняється від 32-розрядної. На комп’ютерах, заражених Deed RAT, виявлено два нових плагіни. Перший називається Disk і використовується для роботи з дисками. Другий плагін називається Portmap, який базується на утиліті ZXPortMap. Плагін використовується для переадресації портів і підтримує три мережеві команди.
  • Під час одного з розслідувань було виявлено раніше невідомий зразок шкідливого програмного забезпечення, яке було доставлено через уже встановлений Deed RAT і згодом названо Voidoor. Життєвий цикл цього шкідливого ПЗ включав взаємодію через GitHub і форум voidtools. Останнє разом з аналізом репозиторіїв GitHub привело дослідників до блогу хакера в китайській мережі розробників програмного забезпечення. Дослідники Positive Technologies з певною часткою впевненості припускають, що автор є одним із розробників шкідливого ПЗ (якщо не єдиним).
  • Атаки APT31
  • Kaspersky ICS CERT ідентифікував понад 15 імплантатів та їх варіантів, встановлених загрозою APT31 (так відомий як Judgement Panda та Zirconium) у серії атак на промислові організації у Східній Європі, призначених для викрадення конфіденційних даних. Зловмисне програмне забезпечення зазвичай встановлюється за допомогою викрадення DLL і приховує свої сліди за допомогою алгоритму RC4 для шифрування даних до безпосереднього впровадження. Зловмисне програмне забезпечення містить компонент-хробак, здатний заражати знімні диски та викрадати конфіденційні дані, включно з даними на пристрої з повітряним розривом. Інші імпланти включають варіанти бекдора FourteenHi, бекдора MeatBall, імплантату з використанням Yandex Cloud як C2 та імплантатів, які використовуються для завантаження файлів у Dropbox.
  • Атаки UNC4841
  • Продовжуючи попередні дослідження UNC4841 щодо використання вразливості віддаленого впровадження команд, що впливає на пристрій Barracuda Email Security Gateway (ESG) (CVE-2023-2868), дослідники Mandiant надали додаткові відомості про TTP, які використовує зловмисник.
  • UNC4841 розгорнув нове зловмисне програмне забезпечення, призначене для підтримки присутності на невеликій підмножині високопріоритетних цілей, скомпрометованих до виходу виправлення або незабаром після нього. Сюди входить використання бекдорів SKIPJACK і DEPTHCHARGE і пускової установки FOXTROT/FOXGLOVE.
  • Зловмисник націлився на широкий спектр вертикалей: основні цілі включають національні уряди, високотехнологічні та ІТ-структури, місцеві органи влади, постачальників телекомунікаційних послуг, виробничі підприємства, а також коледжі та університети. Агентство з кібербезпеки та безпеки інфраструктури США (CISA) надало додаткові IoC, пов’язані з використанням цієї вразливості.
  • Льон Напади Тайфуну
  • Дослідники Microsoft повідомляють, що нещодавно виявлена китайськомовна загроза під назвою Flax Typhoon була спрямована на десятки організацій на Тайвані. Flax Typhoon діє з середини 2021 року й націлений на державні установи, освіту, критичне виробництво та організації інформаційних технологій на Тайвані. Метою атак є кібершпигунство.
  • Група прагне якомога довше підтримувати доступ до організацій із широкого кола галузей. Flax Typhoon використовує мінімальну кількість зловмисного програмного забезпечення, головним чином покладаючись на методи «життя поза межами землі». Зловмисники отримали початковий доступ, використовуючи відомі вразливості на публічних серверах (у VPN, веб-додатках, Java та SQL) і розгортаючи веб-оболонки, включаючи China Chopper.
  • Деякі дослідники вважають, що загроза діяла з середини 2021 року. Однак тайванська група розвідки про загрози TeamT5 заперечила це, датуючи діяльність групи щонайменше 2020 роком і давши їй тимчасову кодову назву SLIME13.
  • Напади тайфуну Вольт
  • Команда Black Lotus Labs із Lumen Technologies пов’язала загрозливого актора Volt Typhoon (він же BRONZE SILHOUETTE) із ботнетом під назвою KV-botnet, який використовується для націлювання на маршрутизатори, брандмауери та пристрої VPN для маскування зловмисного трафіку в рамках легального трафіку. Цільові пристрої включають брандмауери Netgear ProSAFE, Cisco RV320s, маршрутизатори DrayTek Vigor та IP-камери Axis.
  • Ботнет KV використовувався в атаках, націлених на телекомунікаційні та інтернет-провайдери, орган територіального уряду США на Гуамі, компанію з відновлюваної енергетики в Європі та військові організації США, хоча дослідники класифікують більшість заражень KV як опортуністичні.
  • Починаючи з серпня 2023 року дослідники спостерігали сплеск використання нових ботів для KV‑ботнету. Цей кластер заразив пристрої SOHO, пов’язані з кількома мережами високої вартості. Незважаючи на те, що в оригінальному двійковому файлі не було виявлено попередньо створених функцій для націлювання на сусідню локальну мережу, була можливість створити віддалену оболонку на пристрої SOHO. Цю можливість можна було використати або для виконання команд вручну, або для потенційного отримання вторинного модуля, який ще не було виявлено, для націлювання на сусідню локальну мережу.
  • Краснокрилка нападає
  • Компанія Symantec виявила нову загрозу під назвою Redfly, яка проникла в національну енергомережу азіатської країни за допомогою трояна ShadowPad. У звіті йдеться, що зловмисникам вдалося викрасти облікові дані та скомпрометувати кілька комп’ютерів у мережі організації, і ця атака є останньою в серії шпигунських вторгнень у критично важливу національну інфраструктуру країни.
  • Варіант ShadowPad маскується під файли та каталоги VMware на заражених машинах і забезпечує стійкість, реєструючи службу, яка запускається під час запуску Windows. Окрім ShadowPad, Redfly розгортає PackerLoader, інструмент для завантаження та виконання шелл-коду та кейлоггер, який встановлюється під різними назвами на різних машинах. Група діяла досить методично та послідовно змінювала дозволи для драйвера, який пізніше використовувався для створення дампів файлової системи та завантаження облікових даних із реєстру Windows. Хакери використовували інструмент для скидання облікових даних із LSASS, а заплановане завдання було використано для виконання Oleview для бокового завантаження та бокового переміщення. Щоб встановити кейлоггер на скомпрометованій машині, зловмисники намагалися створити дамп облікових даних за допомогою ProcDump.
  • За даними Symantec, найбільш очевидним мотивом угруповання є шпигунство. Визначені інструменти та інфраструктура, використані в нещодавній кампанії, націленій на національну енергосистему, збігаються з атаками, про які повідомлялося раніше, пов’язаними з кластером активності APT41 (він же Brass Typhoon, Wicked Panda, Winnti та Red Echo).
  • Атаки на напівпровідникові компанії у Східній Азії
  • Напівпровідникові компанії у Східній Азії (Тайвань, Гонконг, Сінгапур) стали мішенню за допомогою повідомлень, які нібито надходять від Тайванської компанії з виробництва напівпровідників (TSMC).
  • Атаки використовували бекдор HyperBro, який використовував двійковий файл CyberArk з цифровим підписом (fv_host.exe, перейменований зловмисниками на vfhost.exe) для бокового завантаження DLL, що призвело до виконання в пам’яті маяка Cobalt Strike. Адреса C2, жорстко закодована в імплантаті Cobalt Strike, була замаскована під законний CDN jQuery, що дозволяло обходити захист брандмауера.
  • У другому варіанті атаки хакери використовували скомпрометований веб-сервер Cobra DocGuard, щоб завантажити додатковий бінарний файл McAfee (mcods.exe) і шкідливий файл (який завантажується в mcods.exe за допомогою бокового завантаження DLL), а також зашифрований Cobalt Strike шеллкод. У цьому випадку хакери розгорнули раніше незадокументований бекдор на основі Go під назвою ChargeWeapon, призначений для збору та передачі даних жертви на C2 у формі Base64.
  • Дослідники EclecticIQ приписали цю кампанію загрозі, пов’язаній з Китаєм, через використання HyperBro, який майже виключно використовувався Lucky Mouse (він же APT27, Budworm і Emissary Panda). Вони також знайшли тактичні збіги з RedHotel і Earth Lusca.
  • Російськомовна діяльність
  • Атаки за допомогою DroxiDat/SystemBC
  • Невідомий зловмисник націлився на електричну компанію в Африці за допомогою маяків Cobalt Strike і DroxiDat, новішого варіанту корисного навантаження SystemBC. Ця атака сталася на третьому та четвертому тижні березня 2023 року в рамках невеликої хвилі атак по всьому світу. В одному з кількох пов’язаних інцидентів було виявлено програму-вимагач Nokoyawa, яка пов’язана з використанням нульового дня та потенційно пов’язана з групою, яка розгорнула програму-вимагач Hive. На сьогоднішній день група, яка стоїть за діяльністю програм-вимагачів Nokoyawa, не бачила публічно доступних точних політичних приписів, але, схоже, вона використовується старішою російськомовною групою злочинних програм/вимагачів (ймовірно, Pistachio Tempest або FIN12).
  • Атаки APT29/Midnight Blizzard/Nobelium
  • Дослідники Microsoft повідомляють, що Midnight Blizzard (так відомий як Nobelium) використовував чати Microsoft Teams для націлювання на людей в уряді, неурядових організаціях, ІТ-службах, технологіях, дискретному виробництві та медіа-секторах. Загалом поточне розслідування показує, що ця кампанія вплинула на менше ніж 40 унікальних глобальних організацій.
  • Зловмисники використовували скомпрометовані облікові записи Microsoft 365 для створення доменів, які маскуються під організації, що пропонують технічну підтримку. Потім вони використовують ці домени для надсилання повідомлень чату з посиланнями на веб-сторінки, де вони намагаються підманити облікові дані одержувача, зокрема код MFA.
  • Команда реагування на інциденти FortiGuard повідомила, що в жовтні 2023 року американська біомедична виробнича організація була скомпрометована через критичну вразливість CVE-2023-42793 TeamCity, для якої загальнодоступний експлойт був випущений 27 вересня 2023 року. TeamCity — це продукт від JetBrains, який використовується для керування та автоматизації компіляції, створення, тестування та випуску програмного забезпечення.
  • Атаку спочатку використовували за допомогою спеціально створеного сценарію експлойту, написаного на Python. Зловмисник використовував експлойт TeamCity для встановлення сертифіката SSH, який використовувався для підтримки доступу до середовища жертви. Після виконання команд виявлення актор завантажив файл DLL AclNumsInvertHost.dll на хост TeamCity і знову використав уразливість TeamCity RCE, щоб створити заплановане завдання Windows, посилаючись на файл DLL для збереження.
  • Бібліотека AclNumsInvertHost.dll і кілька інших DLL-файлів, отриманих із веб-сервера зловмисників, зіставлялися за правилом Yara для відомого сімейства зловмисних програм під назвою GraphicalProton, яке історично було пов’язане з APT29 (відоме як Dukes, CozyBear і NOBELIUM/Midnight Blizzard/BlueBravo). . Враховуючи перехід техніки з діяльністю, про яку повідомлялося раніше, і ідентифікацію корисного навантаження GraphicalProton, FortiGuard із середньою впевненістю вважає, що ця атака була частиною нової кампанії BlueBravo/APT29.
  • У спільній консультації, опублікованій 13 грудня, ФБР, Агентство кібербезпеки та безпеки інфраструктури (CISA), АНБ, Служба військової контррозвідки Польщі (SKW), CERT Polska (CERT.PL) і Національний центр кібербезпеки Великобританії ( NCSC) попередив, що APT29 використовує вразливість обходу автентифікації (CVE-2023-42793) у TeamCity. Агентства попередили десятки компаній у США, Європі, Азії та Австралії після виявлення сотень зламаних пристроїв.
  • Атаки з використанням уразливості WinRAR
  • Уразливість CVE-2023-38831 у WinRAR, утиліті для архівування файлів Windows, є серйозною помилкою, яку використовували з початку 2023 року. RARLabs випустила WinRAR 6.23 у серпні, щоб усунути цю вразливість.
  • Напади піщаних черв’яків
  • Група аналізу загроз Google (TAG) виявила, що кілька підтримуваних державою хакерських груп використовують вразливість CVE-2023-38831. У квітні 2023 року TAG повідомила про FROZENBARENTS (так званий SANDWORM), націлений на енергетичний сектор і продовжуючи операції зі злому та витоку інформації. Під час атаки на початку вересня хакери Sandworm доставили зловмисне програмне забезпечення Rhadamanthys infostealer під час фішингових атак, використовуючи підроблені запрошення приєднатися до української школи підготовки дронів. Rhadamanthys — це інформаційно-викрадач товарів, який, серед іншого, збирає та викрадає облікові дані браузера та інформацію про сеанси. Він працює за моделлю передплати, і його можна взяти в оренду всього за 250 доларів США на 30 днів.
  • Атаки APT28
  • Група APT28 (відома також як Frozenlake, Fancy Bear, Strontium або Sednit) також використовувала недолік для доставки зловмисного програмного забезпечення, націленого на енергетичну інфраструктуру в Україні, за допомогою фішингової кампанії, яка використовувала документ-приманку, що запрошував цільових осіб на захід, організований Центром Разумкова. танк в Україні.
  • Proofpoint також повідомив про використання TA422 (він же APT28) уразливості CVE-2023-38831. За словами дослідників Proofpoint, TA422 використовував уразливості як початковий доступ до цілей уряду, аерокосмічного, освітнього, фінансового, виробничого та технологічного секторів, які, ймовірно, або розкриють облікові дані користувача, або ініціюють подальшу діяльність.
  • У вересні 2023 року актор розіслав зловмисні електронні листи з підробкою геополітичних утворень і використовуючи саміт БРІКС і засідання Європейського парламенту як предметні приманки, щоб спонукати цільові особи відкрити електронні листи. Дослідники також помітили, що в період з вересня 2023 року по листопад 2023 року зловмисники надсилали приманки до цілей, які включали посилання, яке, якщо натиснути, ініціювало ланцюжок шкідливих дій від служби Mockbin.
  • У листопаді 2023 року TA422 відмовився від використання Mockbin для початкової фільтрації та перенаправлення на користь прямої доставки URL-адрес InfinityFree.
  • Таємничий перевертень
  • Дослідники з Cyble Research and Intelligence Labs (CRIL) виявили цілеспрямовану фішингову атаку на російського постачальника напівпровідників. Фішинговий лист був замаскований під офіційне повідомлення Мінпромторгу Росії, лист містив оманливий архівний файл з назвою resultati_sovehchaniya_11_09_2023.rar.
  • Зловмисники, які стоять за цією атакою, також використовували цю вразливість.
  • Шкідливе корисне навантаження .NET, агент Athena фреймворку Mythic C2, оснащено широким інструментом попередньо встановлених команд, призначених для виконання різних дій у цільових системах. Athena містить такі функції, як кросплатформенність для Windows, Linux і OSX, підтримка SOCKS5, зворотне перенаправлення портів, рефлексивне завантаження збірок, модульне завантаження команд і багато іншого. У цьому випадку було налаштовано використовувати Discord як канал зв’язку C2.
  • Команда BI.ZONE Cyber Threat Intelligence також відстежила цей кластер активності під назвою Mysterious Werewolf і виявила ще одну атаку в рамках кампанії, цього разу спрямовану на промислові підприємства в Росії. Зловмисники видавали себе за Міністерство промисловості та торгівлі Росії та використовували фішингові електронні листи, які містили архіви під назвою Pismo_izveshcanie_2023_10_16.rar зі шкідливими файлами CMD, які використовували вразливість CVE-2023-38831 для запуску сценарію PowerShell і зрештою завантаження агента Athena. Зловмисники використовували динамічний DNS-сервіс і фреймворки після експлуатації, а також планове завдання запускати агент кожні 10 хвилин.
  • Інші атаки APT28/Fancy Bear
  • CERT-UA повідомив про цілеспрямовану кібератаку на об’єкт критичної енергетичної інфраструктури в Україні. Зловмисники надсилали електронні листи, щоб спонукати цільові особи завантажити, здавалося б, невинний архівний файл. Цей архів містив шкідливі сценарії, які захопили комп’ютер і викрали конфіденційні дані за допомогою таких служб, як mockbin.org і mocky.io.
  • Дослідники Zscaler проаналізували ключові компоненти цієї атаки та іншої кампанії під назвою StealIt із подібними TTP, які відповідають загрозі APT28 (Fancy Bear). За словами дослідників, зловмисники викрали та викрали хеші NTLMv2 за допомогою налаштованих версій сценарію Start-CaptureServer PowerShell від Nishang і виконали різні системні команди. У цій кампанії зловмисники зосередилися на регіонах, включаючи Австралію, Польщу та Бельгію.
  • З березня дослідники Microsoft спостерігали фішингові атаки TA422 (він же APT28, Forest Blizzard, Strontium, Fancy Bear і Fighting Ursa), націлені на урядові, енергетичні, транспортні та неурядові організації в США, Європі та на Близькому Сході.
  • Зловмисник використовує дві вразливості. Перший (CVE-2023-23397) — це вразливість Microsoft Outlook, яка може призвести до підвищення привілеїв. Уразливість не вимагає жодної взаємодії з користувачем. Дослідники з Пало-Альто спостерігали, як суб’єкт загрози використовує цю вразливість протягом останніх 20 місяців, щоб атакувати щонайменше 30 організацій у 14 країнах, у тому числі в енергетичному, транспортному та телекомунікаційному секторах, а також на військово-промисловій базі. Усі кампанії використовували мережеві пристрої Ubiquiti для збору повідомлень автентифікації NTLM із мереж жертв. Microsoft спочатку виправила вразливість Outlook у березні, попередивши, що вона активно використовується, і з тих пір оновила свої інструкції для клієнтів.
  • Про використання другої вразливості – CVE-2023-38831 – повідомило Proofpoint (див. вище).
  • Інші атаки Sandworm/Hades
  • За даними дослідників Mandiant, Sandworm (він же Hades) здійснив кібератаку на українську електрокомпанію, яка почалася в червні 2022 року та завершилася в жовтні 2022 року, спричинивши відключення електроенергії. Початковий вектор доступу до ІТ-середовища не визначено.
  • Спочатку зловмисники розгорнули веб-оболонку Neo-REGEORG на сервері, відкритому в загальнодоступному Інтернеті. Через місяць хакери запустили тунелер GOGETTER на базі Golang для проксі-сервера зашифрованого зв’язку для командного та контрольного сервера за допомогою бібліотеки з відкритим кодом Yamux.
  • Sandworm отримав доступ до середовища OT через гіпервізор, який розміщував екземпляр керування наглядовим контролем і збором даних (SCADA) для середовища підстанції жертви, і підтримував доступ до 3 місяців.
  • Кульмінацією нападу стала дія, яка мала фізичний ефект.
  • По-перше, Sandworm використовував файл образу ISO CD-ROM для запуску рідної утиліти АББ scilc.exe, яка, ймовірно, запускала шкідливі команди, написані АББ мовою SCIL (Supervisory Control Implementation Language), що вимикало підстанції 10 жовтня 2022 року. .
  • Грунтуючись на аналізі часових позначок файлу, Mandiant вважає, що акторам знадобилося 2 місяці, щоб розвинути можливості OT. Завантаження ISO-образу стало можливим, оскільки віртуальна машина, на якій працював MicroSCADA, мала функцію автозапуску, що дозволяло CD-ROM, фізичним або віртуальним (наприклад, файл ISO), запускатися автоматично. Утиліта scilc.exe є частиною набору програмного забезпечення MicroSCADA, і Sandworm використовував її для запуску команд SCIL, які сервер перетворював би на команди IEC 101/104 і передавав їх на віддалені термінали на підстанції. Згідно з висновками дослідників, зламаний сервер MicroSCADA працював із застарілою версією програмного забезпечення, яке дозволяло доступ до SCIL-API за умовчанням. Використання власного двійкового файлу в атаці вказує на перехід хакерів до методів живих поза межами (LoL/LOTL), які покладаються на більш легкі та загальні інструменти, які ускладнюють виявлення загроз.
  • Потім, 12 жовтня 2022 року, Sandworm розгорнув нову версію зловмисного програмного забезпечення CADDYWIPER, яке знищує дані, можливо, намагаючись перешкодити аналізу вторгнення. Mandiant не розкриває місцезнаходження цільового енергетичного об’єкта, а також довжину та масштаб знеструмлення.
  • Інший
  • Атаки RedEnergy
  • Дослідники Zscaler ThreatLabz виявили зловмисне програмне забезпечення .NET RedEnergy, яке використовувалося для атак на підприємства енергетичної, нафтогазової, телекомунікаційної та машинобудівної промисловості. Зловмисне програмне забезпечення дозволяє зловмисникам викрадати інформацію з різних браузерів, а також має функції програм-вимагачів (Stealer-as-a-Ransomware).
  • Зловмисники використовують тактику FAKEUPDATES, щоб обдурити жертв і змусити їх завантажити зловмисне програмне забезпечення RedEnergy під виглядом оновлень браузера. Зловмисники використовували сторінки LinkedIn, щоб націлюватися на жертв і перенаправляти їх на шахрайську URL-адресу, використовуючи досить авторитетні сторінки профілів, зокрема Philippines Industrial Machinery Manufacturing Company та кілька організацій у Бразилії.
  • Зловмисне програмне забезпечення працює на кількох етапах, починаючи з виконання замаскованих шкідливих виконуваних файлів. Він забезпечує постійність, зв’язується з DNS-серверами та завантажує додаткові корисні дані з віддалених місць. RedStealer спілкується із серверами через HTTPS, зберігає себе в каталозі запуску Windows і створює пункт меню «Пуск». Дослідники також виявили підозрілу активність, пов’язану з протоколом передачі файлів (FTP), яка свідчить про те, що зловмисники використовують його для викрадення даних. Після успішної атаки використовується модуль для шифрування даних із додаванням .FACKOFF! розширення для зашифрованих файлів, попутно видаляючи резервні копії.
  • Фішингова кампанія QR-коду
  • Дослідники Cofense виявили фішингову кампанію, яка використовує шкідливі QR-коди для викрадення облікових даних Microsoft. Кампанія триває щонайменше з травня 2023 року. Однією з цілей є неназвана енергетична компанія США, яка отримала близько 29% із понад 1000 електронних листів.
  • Більшість фішингових електронних листів є сповіщеннями безпеки Microsoft. Найкращі організації були у сфері виробництва, страхування, технологій та фінансових послуг, які отримали 15%, 9%, 7% та 6% електронних листів відповідно.
  • Більшість виявлених фішингових посилань були URL-адресами переспрямування Bing (26%), за ними йшли два домени, пов’язані з додатком Salesforce (15%) і службами Web3 Cloudflare. Використання перенаправлення URL-адрес Bing у поєднанні з приховуванням фішингових посилань у QR-кодах, вбудованих у зображення чи документи, та інші тактики обфускації допомогли зловмисним повідомленням обійти контроль безпеки та потрапити у папки вхідних повідомлень одержувачів.
  • Дослідники Cofense не приписували нову кампанію конкретному актору.
  • Таємнича команда Бангладеш атакує
  • Дослідники Group-IB Threat Intelligence проаналізували діяльність хактивістської групи Mysterious Team Bangladesh. Ця група, яка зазвичай націлена на логістику, державний і фінансовий сектори в Індії та Ізраїлі (і, меншою мірою, в Австралії, Сенегалі, Нідерландах, Швеції та Ефіопії), була пов’язана з понад 750 DDoS-атаками та 78 пошкодження веб-сайтів з червня 2022 року. Зловмисник, який, як вважають, був бангладешцем, як повідомляється, також отримав доступ до веб-серверів і адміністративних панелей, ймовірно, використовуючи відомі недоліки безпеки (наприклад, уразливі версії PHPMyAdmin і WordPress) або погано захищені паролі.
  • Атаки програм-вимагачів на Кубу
  • Дослідники Kaspersky представили аналіз програми-вимагача Cuba про історію групи та типові TTP.
  • Група вперше привернула увагу у 2020 році під назвою Tropical Scorpius. Куба націлилася на організації в США, Канаді, Австралії та Європі серією резонансних атак на нафтові компанії, виробництво, фінансові послуги, державні установи, постачальників медичних послуг тощо.
  • Група використовує класичну модель подвійного вимагання, крадучи, а потім шифруючи дані за допомогою симетричного алгоритму Xsalsa20, а ключ шифрування використовує асиметричний алгоритм RSA-2048. Програма-вимагач шифрує документи, зображення та архіви. Він також зупиняє всі служби SQL для шифрування всіх доступних баз даних і шукає дані як локально, так і в мережевих ресурсах.
  • Окрім шифрування, група викрадає конфіденційні дані, які вона виявляє в організації жертви. Тип даних, які шукають хакери, залежить від галузі цільової компанії. Група використовує як добре відомі класичні інструменти доступу до облікових даних, так і спеціальні програми: Bughatch, Burntcigar, Cobeacon, Hancitor (Chanitor), Termite, SystemBC, Veeamp, Wedgecut, RomCOM RAT, Mimikatz, PowerShell, PsExec і Remote Desktop Protocol. В основному використовуються вже відомі уразливості програмного забезпечення, такі як комбінація ProxyShell і ProxyLogon для атаки на сервери Exchange, а також діри в безпеці служби резервного копіювання та відновлення даних Veeam.
  • У звіті дослідники Kaspersky представляють результати розслідування одного з інцидентів з акцентом на аналізі раніше незадокументованого програмного забезпечення, групових TTP, а також спільних правил IoC, Sigma та YARA.
  • Основні атаки Перевертня
  • Дослідники з BI.ZONE Threat Intelligence повідомили про нові атаки групи Core Werewolf у своєму Telegram-каналі, спрямовані на підприємства оборонної та енергетичної промисловості в Росії, а також на інші об’єкти критичної інфраструктури з метою шпигунства.
  • Зловмисники розсилали електронні листи з прикріпленим архівом UKAZ.PDF.ZIP, який містив виконуваний шкідливий файл «О предоставлении информации по согласованию и наградам.exe». Виконуваний файл — це архів, що саморозпаковується, який під час запуску відображає очікуваний документ у форматі PDF або Microsoft Word на екрані жертви. В останній виявленій кампанії це був документ із наказом заступника генерального директора відомої промислової компанії. У той же час у фоновому режимі встановлюється законний інструмент UltraVNC, який дозволяє зловмисникам отримати повний контроль над скомпрометованим пристроєм.
  • Згідно з даними BI.ZONE, Core Werewolf працює принаймні з грудня 2021 року, і його TTP надавалися раніше.
  • Напади на російські промислові організації
  • Дослідники з «Лабораторії Касперського» повідомили про шпигунську кампанію, націлену на низку російських державних і промислових організацій, які використовують спеціальний бекдор, написаний на Go.
  • Вектор атаки почався з електронного листа зі шкідливим архівом під назвою finansovyy_kontrol_2023_180529.rar. Архів містив PDF-приманку, який використовувався для відволікання жертви, а також сценарій NSIS, який витягує та запускає бекдор із зовнішньої URL-адреси.
  • Функціональність бекдора обмежена шпигунським програмним забезпеченням і в основному зосереджена на пошуку файлів певних розширень і читанні вмісту буфера обміну. Усі дані, що надсилаються до C2, шифруються за допомогою AES, а зловмисне програмне забезпечення перевіряє середовище, у якому воно знаходиться, щоб уникнути аналізу. Результати цих перевірок надсилаються до C2 на початковій стадії зараження та використовуються для профілювання жертви.
  • Шкідлива активність була виявлена в червні 2023 року, а в середині серпня дослідники виявили нову версію шкідливого ПЗ. Оновлене шкідливе програмне забезпечення забезпечило покращений уникнення заходів безпеки, що свідчить про постійну систематичну роботу з оптимізації атак.
  • Атаки XDSpy
  • F.A.C.C.T. Дослідники повідомляють, що група XDSpy APT атакує російських металургів і підприємства ВПК. Нові шкідливі розсилки були виявлені 21-22 листопада на адресу російського металургійного підприємства, а також НДІ, що спеціалізується на розробці бойових ракет. В обох випадках у електронному підписі містився логотип інституту ядерних досліджень, а відправником була вказана електронна адреса логістичної компанії з Калінінграда. Крім того, було виявлено ще один лист, надісланий російським металургам, але з білоруської адреси.
  • Ланцюг вбивств групи нової листопадової кампанії відповідає описаним раніше атакам XDSpy. Електронні листи містять посилання на PDF-файл, який веде до завантаження шкідливого ZIP-архіву. Архів містить файл lnk і файл командного рядка, які в кінцевому підсумку призводять до того, що код C# компілюється в шкідливі корисні дані .NET і запускається. Віктимологія XDSpy корелює з попередніми цілями серед військових, фінансових, енергетичних, дослідницьких і гірничодобувних компаній у Російській Федерації.
  • Незважаючи на те, що APT активно працює з 2011 року, міжнародні дослідники досі не знають, в інтересах якої країни він працює.
  • DarkWatchman атакує RAT
  • F.A.C.C.T. Дослідники виявили нову кампанію з використанням безфайлового JavaScript DarkWatchman, пов’язану з атаками на російські компанії під виглядом розсилок від служби кур’єрської доставки Pony Express. До списку увійшли 30 одержувачів від банківських установ, маркетплейсів, операторів зв’язку, аграрних і паливно-енергетичних компаній, логістичних та IT-компаній.
  • У повідомленні одержувача повідомляють про те, що термін безкоштовного зберігання його посилок закінчився, а у вкладеному архіві з рахунком міститься шкідливий DarkWatchman RAT. Електронні листи були надіслані з домену сайту ponyexpress[.], який раніше використовувався для фішингу. Крім того, багатоканальний номер телефону, вказаний в електронному листі, насправді належить кур’єрській службі Pony Express.
  • DarkWatchman RAT вже давно спостерігають за російськими організаціями. Раніше оператори DarkWatchman RAT поширювали шкідливі програми під виглядом архіву з результатами фейкового тендеру від Міноборони Росії, фейкових повісток військкомату, а також через фейковий сайт російського розробника в області. криптографії.
  • Пекельні гончі нападають
  • Дослідники Positive Technologies викрили діяльність нової групи Hellhounds, яка націлена на російські комерційні та державні організації. Кампанія отримала назву Operation Lahat, тому що телеметрія із заражених хостів надсилалася на обліковий запис із іменем користувача «lahat».
  • Дослідження почалося в жовтні 2023 року, коли PT CSIRT виявив компрометацію енергетичної компанії за допомогою трояна Decoy Dog. Decoy Dog використовувався для атак на російські організації принаймні з вересня 2022 року. Однак зразок, знайдений на хості жертви, був новою, більш досконалою модифікацією трояна.
  • Дослідники повідомили, що Hellhounds докладає значних зусиль, щоб приховати свою активність на хостах і в мережі. На першому етапі зловмисники використовують Decoy Dog Loader, який захищений модифікованою версією пакувальника UPX. На відміну від звичайного UPX, ця модифікація не розпаковує виконуваний файл, а скоріше шелл-код, повністю написаний мовою асемблера та використовуючи лише системні виклики Linux. Сам завантажувач працює в системі та маскується під законну службу cron. На другому етапі використовується основне корисне навантаження, яке є модифікованою версією Pupy RAT (кросплатформенний багатофункціональний бекдор), який дослідники називають Decoy Dog.
  • Постраждали щонайменше 20 російських організацій, більшість з яких у державному секторі, інформаційних технологіях, космічній промисловості та енергетиці, а також будівельні, транспортні та логістичні компанії.
  • Аналіз TTP не дозволив дослідникам пов’язати зловмисників з будь-якими раніше відомими групами APT.
  • За даними PT, Hellhounds причетні до злому російського телекомунікаційного оператора, де їм вдалося вивести з ладу деякі з його послуг. Про це повідомили дослідники Solar 4RAYS в рамках своєї презентації «Thanos’ blip for the telecom operator» на SOC-Forum 2023.
  • Хмарний атлас атакує
  • F.A.C.C.T. дослідники виявили нову кампанію кібершпигунства групи Cloud Atlas APT (також відомої як Clean Ursa, Inception, Oxygen), націленої на російське агропромислове підприємство та державну дослідницьку компанію. Загрозливий актор відомий своїми постійними кампаніями, націленими на Росію, Білорусь, Азербайджан, Туреччину та Словенію.
  • Відправною точкою нової кампанії є фішингові повідомлення під виглядом підтримки учасників Спеціальної військової операції та військового обліку з документом-приманкою, який використовує CVE-2017-11882, пошкодження пам’яті шестирічної давності в редакторі формул Microsoft Office. , технологія Cloud Atlas застосовувалася ще в жовтні 2018 року. Електронні листи надходять від популярних російських поштових сервісів Yandex Mail і Mail.ru VK. Успішне використання вразливості призводить до виконання шелл-коду, який відповідає за завантаження та запуск обфускованого файлу HTA. Завантажена шкідлива програма HTML згодом запускає файли Visual Basic Script (VBS), які відповідають за отримання та виконання невідомого коду VBS з віддаленого сервера. На момент дослідження VBS-код наступного етапу був недоступний.
  • Харіус нападає
  • Дослідники Symantec поділилися доказами нової групи APT під назвою «Grayling», яка була спрямована переважно на тайванські організації в рамках кампанії кібершпигунства, яка тривала щонайменше чотири місяці. Діяльність групи почалася в лютому 2023 року і тривала принаймні до травня 2023 року, викрадаючи конфіденційну інформацію у виробничих, ІТ- та біомедичних компаній на Тайвані, а також у жертв у США, В’єтнамі та на островах Тихого океану.
  • Група розгорнула бічне завантаження DLL через експортований API SbieDll_Hook для завантаження таких інструментів, як Cobalt Strike Stager, що веде до популярного інструменту після експлуатації Cobalt Strike Beacon. Він також встановив «Havoc», структуру командування та управління (C2) з відкритим кодом, яка використовується подібно до Cobalt Strike. У звіті зазначається, що Grayling використовував загальнодоступний інструмент шпигунського програмного забезпечення NetSpy, скористався застарілою помилкою підвищення привілеїв Windows CVE-2019-0803, а також завантажив і виконав шелл-код. Інші дії цих зловмисників після експлуатації включають використання процесів знищення для знищення всіх процесів, перелічених у файлі під назвою processlist.txt, і використання Mimikatz для скидання облікових даних.
  • Атака на критичну інфраструктуру Данії
  • Данське SektorCERT повідомило про одночасну кібератаку на 22 компанії, пов’язані з енергетичним сектором країни, 11 травня 2023 року. Серед оприлюднених подробиць було те, що одна організація втратила видимість трьох своїх віддалених локацій, і співробітникам організації довелося виїхати в усі ці локації.
  • Зловмисники скористалися критичною вразливістю впровадження команд (CVE‑2023‑28771), яка впливає на брандмауери Zyxel. Одинадцять компаній було успішно скомпрометовано: зловмисники запустили шкідливий код, щоб провести розвідку конфігурацій брандмауера та визначити подальші дії. Деякі з розгорнутих корисних навантажень були пов’язані з варіантом Mirai Moobot.
  • Агентство приписує атаки або принаймні частину з них Sandworm (він же Hades), але без повної впевненості. Трафік в одній із постраждалих організацій був пов’язаний з IP-адресою, яка раніше використовувалася Sandworm. Однак SektorCERT наполягав на тому, що атрибуція не може бути зроблена з упевненістю через повну відсутність доказів.
  • Атаки AeroBlade
  • Дослідники BlackBerry виявили раніше невідому хакерську групу кібершпигунства під назвою AeroBlade, спрямовану на організації в аерокосмічному секторі США. Кампанія розгорталася в два етапи: хвиля тестування у вересні 2022 року та більш просунута атака в липні 2023 року.
  • Атаки використовували фішинг із застосуванням озброєних документів, скидаючи корисне навантаження зворотного снаряда. В обох атаках зворотна оболонка підключалася до тієї самої IP-адреси C2, а зловмисники використовували ті самі документи-приманки на етапі фішингу. Остання зворотна оболонка атаки 2023 року була більш прихованою, використовувала більше методів обфускації та антианалізу, а також містила опцію переліку каталогів із заражених жертв.
  • BlackBerry оцінює із середньою або високою впевненістю, що метою атак було комерційне кібершпигунство з метою збору цінної інформації.
  • USB-атаки за допомогою Vetta Loader
  • Під час розслідування, проведеного командою Yoroi зі зловмисного програмного забезпечення ZLab, було виявлено постійну загрозу, яка вражає кілька італійських компаній, насамперед у промисловості, виробництві та цифровому друку. Спосіб дії цієї загрози передбачає використання заражених USB-накопичувачів із використанням сильної залежності від флеш-накопичувачів для обміну даними в цих секторах.
  • Дослідники виявили принаймні чотири різні варіанти того самого завантажувача зловмисного програмного забезпечення під назвою Vetta Loader, який запускається як частина ланцюга зараження за допомогою USB-накопичувачів, усі вони написані різними мовами програмування: NodeJS, Golang, Python і .NET. Усі вони працюють за однаковою логікою для зв’язку з C2, а потім завантажують інші корисні дані. Остаточні завантажені корисні навантаження більше не були доступні на момент аналізу. Було знайдено початковий USB Infector, відповідальний за зараження USB-пристроїв, а також інші модулі, здатні збирати системну інформацію та шкідливе програмне забезпечення Bitcoin Clipper.
  • Дослідники Yoroi стверджують із середньо-високим рівнем упевненості, що атаки були здійснені італомовним загрозливим актором.
  • Сповіщення CISA
  • Повідомлення CISA щодо CVE-2022-47966 і CVE-2022-42475
  • Атаки на американську аеронавігаційну організацію були детально описані в консультації, авторами якої є CISA, ФБР і Кібернаціональна місія (CNMF). Вважається, що напади почалися в січні.
  • У повідомленні зазначено, що групи розширених постійних загроз (APT) національних держав використовували критичну вразливість віддаленого виконання коду (CVE-2022-47966), щоб отримати неавторизований доступ до примірника Zoho ManageEngine ServiceDesk Plus організації, а потім переміщувалися через їхню мережу. Інші групи APT використовували вразливість переповнення буфера на основі динамічної пам’яті (CVE‑2022-42475) у FortiOS SSL-VPN, щоб встановити присутність на брандмауері Fortinet організації.
  • Через експлойт Zoho зловмисники змогли отримати доступ до веб-сервера кореневого рівня та створити локальний обліковий запис користувача з правами адміністратора. Крім того, учасники могли завантажувати зловмисне програмне забезпечення, нумерувати мережу, збирати облікові дані адміністратора та переміщатися по мережі організації.
  • Залишається незрозумілим, чи призвели атаки до доступу до даних, їх зміни або викрадання через те, що організація не чітко визначила, де їхні дані розташовані в центрі, а CISA мала обмежене покриття мережі.
  • У повідомленні не віднесено атаку до будь-якої конкретної групи загроз, але зазначено, що розслідування CISA виявило дублюючі тактики, методи та процедури (TTP), які можна віднести до кількох груп APT.
  • Консультація CISA щодо програм-вимагачів Snatch
  • Федеральне бюро розслідувань (ФБР) і Агентство з кібербезпеки та безпеки інфраструктури (CISA) випустили спільне консультування з кібербезпеки (CSA) для поширення відомих програм-вимагачів IOC і TTP, пов’язаних із варіантом програм-вимагачів Snatch, ідентифікованим під час розслідувань ФБР ще 1 червня 2023 року.
  • Попередження попереджало про те, що зловмисник націлений на широкий спектр критично важливих секторів інфраструктури, включаючи ІТ-сектор, оборонно-промислову базу США, харчову та сільськогосподарську вертикалі.
  • З середини 2021 року суб’єкти загрози Snatch постійно вдосконалювали свою тактику, щоб скористатися перевагами поточних тенденцій у просторі кіберзлочинців, і було помічено, що вони купують раніше вкрадені дані в інших груп програм-вимагачів, намагаючись використати жертв і сплатити викуп, щоб уникнути їх дані, оприлюднені в блозі про вимагання Snatch.
  • У багатьох атаках оператори Snatch націлювалися на слабкі місця в протоколі віддаленого робочого столу (RDP), щоб отримати доступ на рівні адміністратора до цільової мережі. В інших випадках вони використовували вкрадені або придбані облікові дані, щоб закріпитися. Потрапивши в мережу, зловмисник іноді може витратити до трьох місяців, пересуваючись по мережі, шукаючи файли та папки для цільової атаки.
  • У повідомленні ФБР і CISA описано, що оператори Snatch використовують комбінацію законних і шкідливих інструментів у скомпрометованих мережах. До них належать такі інструменти для посткомпромісної перевірки, як інструмент тестування на проникнення з відкритим кодом Metasploit, Cobalt Strike для подальшого переміщення та утиліти, такі як sc.exe для створення, запиту, додавання та видалення служб і виконання інших завдань.
  • Попередження CISA про атаки BlackTech
  • У спільній консультації Агентства національної безпеки США (NSA), ФБР, Агентства з кібербезпеки та безпеки інфраструктури (CISA), Агентства національної поліції Японії (NPA) і Японського національного центру готовності до інцидентів і стратегії кібербезпеки (NISC) попереджено, що загроза Група під назвою BlackTech (також відома як Palmerworm, Temp.Overboard, Circuit Panda та Radio Panda) непомітно модифікувала мікропрограму маршрутизатора Cisco IOS і використовувала переваги доменно-довірчих відносин маршрутизаторів для переходу/переходу від дочірніх організацій до основних цільових організацій у США. і Японії. Зломи були спрямовані на державні установи, а також промислові, технологічні, медіа, електроніку та телекомунікаційні компанії.
  • У консультації агентства заявили, що BlackTech використовувала атаки для розгортання спеціального бекдору прошивки. Функція бекдору вмикається та вимикається за допомогою спеціально створених пакетів TCP або UDP. Вони закликали багатонаціональні організації переглянути всі мережеві з’єднання зі своїми дочірніми офісами та перерахували низку заходів безпеки, які вони повинні вжити, щоб зменшити потенційний ризик банди APT.
  • Cisco випустила бюлетень, у якому зазначається, що найпоширенішим початковим вектором доступу в цих атаках є вкрадені або слабкі облікові дані адміністратора. Не було жодних ознак використання вразливостей Cisco.
  • Сповіщення CISA про програму-вимагач Rhysida
  • Агентство кібербезпеки та безпеки інфраструктури США (CISA), Федеральне бюро розслідувань (ФБР) і Міждержавний центр обміну та аналізу інформації (MS-ISAC) випустили спільне сповіщення, яке надає захисникам індикатори компрометації Rhysida Ransomware (IOC). ), інформацію про виявлення, а також тактику, прийоми та процедури (ТТП), виявлені під час розслідувань станом на вересень 2023 року.
  • Зловмисники, які стоять за програмою-вимагачем Rhysida, беруть участь у опортуністичних атаках, націлених на організації в різних секторах промисловості. Якщо розглядати як модель Ransomware-as-a-Service (RaaS), учасники Rhysida скомпрометували організації в освіті, виробництві, інформаційних технологіях і державному секторі з травня 2023 року, і будь-який сплачений викуп розподіляється між групою та її філіями.
  • Учасники Rhysida використовують зовнішні віддалені служби, такі як VPN, уразливість Zerologon (CVE-2020-1472) і фішингові кампанії, щоб отримати початковий доступ і постійність у мережі. Кажуть також, що він збігається з іншою командою програм-вимагачів, відомою як Vice Society (така ж Storm-0832 або Vanilla Tempest).
  • Сповіщення CISA про програму-вимагач LockBit 3.0
  • 21 листопада 2023 року Агентство з кібербезпеки та безпеки інфраструктури (CISA), Федеральне бюро розслідувань (ФБР), Міждержавний центр обміну та аналізу інформації (MS-ISAC) і Австралійський центр кібербезпеки Директорату сигналів Австралії (ACSC ASD) опубліковано спільне попередження, яке поширює індикатори компрометації (IOC), тактику, методи та процедури (TTP) і методи виявлення, пов’язані з програмним забезпеченням-вимагачем LockBit 3.0, що використовує CVE-2023-4966, позначене Citrix Bleed, що впливає на контроль доставки веб-додатків Citrix NetScaler (ADC). ) і пристрої NetScaler Gateway. Уразливість дозволяє зловмисникам обійти вимоги до пароля та багатофакторну автентифікацію (MFA), що дозволяє їм контролювати сеанси користувачів на пристроях Citrix NetScaler ADC і Gateway.
  • LockBit — це сімейство програм-вимагачів, яке діє з вересня 2019 року за моделлю Ransomware-as-a-Service (RaaS). Афілійовані особи LockBit 3.0 здійснювали атаки на організації різного розміру в багатьох секторах критичної інфраструктури, включаючи освіту, енергетику, фінансові послуги, продовольство та сільське господарство, державні та екстрені служби, охорону здоров’я, виробництво та транспорт.
  • Сповіщення CISA про атаки CyberAv3ngers
  • 14 грудня Агентство з кібербезпеки та безпеки інфраструктури (CISA), Федеральне бюро розслідувань (ФБР), АНБ, EPA та Національне кіберуправління Ізраїлю опублікували спільну консультацію з кібербезпеки (CSA) про загрозу, яка називає себе CyberAv3ngers, відповідальною за атаку на Муніципальне водне управління Аліквіппи в Пенсільванії. На додаток до листопадового попередження CISA, агентства-автори випустили спільний CSA, щоб поділитися індикаторами компромісу (IOC) і тактикою, технікою та процедурами (TTP), пов’язаними з кіберопераціями актора.
  • Актор зосереджений на атаці та компрометації програмованих логічних контролерів (PLC) ізраїльського виробництва Unitronics Vision Series. Ці ПЛК зазвичай використовуються в секторі систем водопостачання та водовідведення (WWS), а також в інших галузях, включаючи, але не обмежуючись цим, енергетику, виробництво продуктів харчування та напоїв, а також охорону здоров’я. Після того, як пристрої зламано, хакери зіпсували їхній інтерфейс користувача, потенційно зробивши ПЛК непрацездатним.
  • Агентства заявили, що з 22 листопада зловмисники, пов’язані з IRGC, атакували численні об’єкти водного сектору США, які покладаються на ПЛК Unitronics Vision. Жертви перебували в кількох штатах.
  • Сповіщення CISA про Star Blizzard
  • У спільній консультації, опублікованій 7 грудня, агентства безпеки «П’ять очей» (Агентство з кібербезпеки та безпеки інфраструктури (CISA) у координації з Національним центром кібербезпеки Сполученого Королівства (UK-NCSC), Австралійським центром кібербезпеки Директорату сигналів Австралії ( ACSC ASD), Канадський центр кібербезпеки (CCCS), Національний центр кібербезпеки Нової Зеландії (NCSC-NZ), Агенство національної безпеки США (NSA), Федеральне бюро розслідувань (ФБР) і Кібернаціональна місія Cyber Command. (CNMF)) попередив про розвиток методів фішингу, які використовує Star Blizzard, і їх націлювання на окремих осіб і організації, включаючи уряд США та базу оборонної промисловості.
  • У сповіщенні розповідається про тактику та прийоми групи, засновані на реальних спостереженнях. Зловмисник використовує типові фішингові засоби та ділиться посиланням у повідомленні електронної пошти чи документі, яке нібито веде на цікавий документ чи веб-сайт. Це приведе ціль до серверу, керованого актором, і спонукає ціль ввести облікові дані облікового запису.
  • Star Blizzard використовує фреймворк з відкритим вихідним кодом EvilGinx у своїй фішинговій діяльності, що дозволяє їм збирати облікові дані та файли cookie сеансу, щоб успішно обійти використання двофакторної автентифікації. Потім Star Blizzard використовує викрадені облікові дані для входу в обліковий запис електронної пошти цілі, звідки вони, як відомо, отримують доступ до електронних листів і вкладень із папки “Вхідні” жертви та крадуть їх. Вони також встановили правила пересилання пошти, надаючи їм постійну видимість листування жертв, а також використовували скомпрометовані облікові записи електронної пошти для подальшої фішингової діяльності.
  • Атаки RedEnergy
  • Дослідники Zscaler ThreatLabz виявили зловмисне програмне забезпечення .NET RedEnergy, яке використовувалося для атак на підприємства енергетичної, нафтогазової, телекомунікаційної та машинобудівної промисловості. Зловмисне програмне забезпечення дозволяє зловмисникам викрадати інформацію з різних браузерів, а також має функції програм-вимагачів (Stealer-as-a-Ransomware).
  • Зловмисники використовують тактику FAKEUPDATES, щоб обдурити жертв і змусити їх завантажити зловмисне програмне забезпечення RedEnergy під виглядом оновлень браузера. Зловмисники використовували сторінки LinkedIn, щоб націлюватися на жертв і перенаправляти їх на шахрайську URL-адресу, використовуючи досить авторитетні сторінки профілів, зокрема Philippines Industrial Machinery Manufacturing Company та кілька організацій у Бразилії.
  • Зловмисне програмне забезпечення працює на кількох етапах, починаючи з виконання замаскованих шкідливих виконуваних файлів. Він забезпечує постійність, зв’язується з DNS-серверами та завантажує додаткові корисні дані з віддалених місць. RedStealer спілкується із серверами через HTTPS, зберігає себе в каталозі запуску Windows і створює пункт меню «Пуск». Дослідники також виявили підозрілу активність, пов’язану з протоколом передачі файлів (FTP), яка свідчить про те, що зловмисники використовують його для викрадення даних. Після успішної атаки використовується модуль для шифрування даних із додаванням .FACKOFF! розширення для зашифрованих файлів, попутно видаляючи резервні копії.
  • Фішингова кампанія QR-коду
  • Дослідники Cofense виявили фішингову кампанію, яка використовує шкідливі QR-коди для викрадення облікових даних Microsoft. Кампанія триває щонайменше з травня 2023 року. Однією з цілей є неназвана енергетична компанія США, яка отримала близько 29% із понад 1000 електронних листів.
  • Більшість фішингових електронних листів є сповіщеннями безпеки Microsoft. Найкращі організації були у сфері виробництва, страхування, технологій та фінансових послуг, які отримали 15%, 9%, 7% та 6% електронних листів відповідно.
  • Більшість виявлених фішингових посилань були URL-адресами переспрямування Bing (26%), за ними йшли два домени, пов’язані з додатком Salesforce (15%) і службами Web3 Cloudflare. Використання перенаправлення URL-адрес Bing у поєднанні з приховуванням фішингових посилань у QR-кодах, вбудованих у зображення чи документи, та інші тактики обфускації допомогли зловмисним повідомленням обійти контроль безпеки та потрапити у папки вхідних повідомлень одержувачів.
  • Дослідники Cofense не приписували нову кампанію конкретному актору.
  • Таємнича команда Бангладеш атакує
  • Дослідники Group-IB Threat Intelligence проаналізували діяльність хактивістської групи Mysterious Team Bangladesh. Ця група, яка зазвичай націлена на логістику, державний і фінансовий сектори в Індії та Ізраїлі (і, меншою мірою, в Австралії, Сенегалі, Нідерландах, Швеції та Ефіопії), була пов’язана з понад 750 DDoS-атаками та 78 пошкодження веб-сайтів з червня 2022 року. Зловмисник, який, як вважають, був бангладешцем, як повідомляється, також отримав доступ до веб-серверів і адміністративних панелей, ймовірно, використовуючи відомі недоліки безпеки (наприклад, уразливі версії PHPMyAdmin і WordPress) або погано захищені паролі.
  • Атаки програм-вимагачів на Кубу
  • Дослідники Kaspersky представили аналіз програми-вимагача Cuba про історію групи та типові TTP.
  • Група вперше привернула увагу у 2020 році під назвою Tropical Scorpius. Куба націлилася на організації в США, Канаді, Австралії та Європі серією резонансних атак на нафтові компанії, виробництво, фінансові послуги, державні установи, постачальників медичних послуг тощо.
  • Група використовує класичну модель подвійного вимагання, крадучи, а потім шифруючи дані за допомогою симетричного алгоритму Xsalsa20, а ключ шифрування використовує асиметричний алгоритм RSA-2048. Програма-вимагач шифрує документи, зображення та архіви. Він також зупиняє всі служби SQL для шифрування всіх доступних баз даних і шукає дані як локально, так і в мережевих ресурсах.
  • Окрім шифрування, група викрадає конфіденційні дані, які вона виявляє в організації жертви. Тип даних, які шукають хакери, залежить від галузі цільової компанії. Група використовує як добре відомі класичні інструменти доступу до облікових даних, так і спеціальні програми: Bughatch, Burntcigar, Cobeacon, Hancitor (Chanitor), Termite, SystemBC, Veeamp, Wedgecut, RomCOM RAT, Mimikatz, PowerShell, PsExec і Remote Desktop Protocol. В основному використовуються вже відомі уразливості програмного забезпечення, такі як комбінація ProxyShell і ProxyLogon для атаки на сервери Exchange, а також діри в безпеці служби резервного копіювання та відновлення даних Veeam.
  • У звіті дослідники Kaspersky представляють результати розслідування одного з інцидентів з акцентом на аналізі раніше незадокументованого програмного забезпечення, групових TTP, а також спільних правил IoC, Sigma та YARA.
  • Основні атаки Перевертня
  • Дослідники з BI.ZONE Threat Intelligence повідомили про нові атаки групи Core Werewolf у своєму Telegram-каналі, спрямовані на підприємства оборонної та енергетичної промисловості в Росії, а також на інші об’єкти критичної інфраструктури з метою шпигунства.
  • Зловмисники розсилали електронні листи з прикріпленим архівом UKAZ.PDF.ZIP, який містив виконуваний шкідливий файл «О предоставлении информации по согласованию и наградам.exe». Виконуваний файл — це архів, що саморозпаковується, який під час запуску відображає очікуваний документ у форматі PDF або Microsoft Word на екрані жертви. В останній виявленій кампанії це був документ із наказом заступника генерального директора відомої промислової компанії. У той же час у фоновому режимі встановлюється законний інструмент UltraVNC, який дозволяє зловмисникам отримати повний контроль над скомпрометованим пристроєм.
  • Згідно з даними BI.ZONE, Core Werewolf працює принаймні з грудня 2021 року, і його TTP надавалися раніше.
  • Напади на російські промислові організації
  • Дослідники з «Лабораторії Касперського» повідомили про шпигунську кампанію, націлену на низку російських державних і промислових організацій, які використовують спеціальний бекдор, написаний на Go.
  • Вектор атаки почався з електронного листа зі шкідливим архівом під назвою finansovyy_kontrol_2023_180529.rar. Архів містив PDF-приманку, який використовувався для відволікання жертви, а також сценарій NSIS, який витягує та запускає бекдор із зовнішньої URL-адреси.
  • Функціональність бекдора обмежена шпигунським програмним забезпеченням і в основному зосереджена на пошуку файлів певних розширень і читанні вмісту буфера обміну. Усі дані, що надсилаються до C2, шифруються за допомогою AES, а зловмисне програмне забезпечення перевіряє середовище, у якому воно знаходиться, щоб уникнути аналізу. Результати цих перевірок надсилаються до C2 на початковій стадії зараження та використовуються для профілювання жертви.
  • Шкідлива активність була виявлена в червні 2023 року, а в середині серпня дослідники виявили нову версію шкідливого ПЗ. Оновлене шкідливе програмне забезпечення забезпечило покращений уникнення заходів безпеки, що свідчить про постійну систематичну роботу з оптимізації атак.
  • Атаки XDSpy
  • F.A.C.C.T. Дослідники повідомляють, що група XDSpy APT атакує російських металургів і підприємства ВПК. Нові шкідливі розсилки були виявлені 21-22 листопада на адресу російського металургійного підприємства, а також НДІ, що спеціалізується на розробці бойових ракет. В обох випадках у електронному підписі містився логотип інституту ядерних досліджень, а відправником була вказана електронна адреса логістичної компанії з Калінінграда. Крім того, було виявлено ще один лист, надісланий російським металургам, але з білоруської адреси.
  • Ланцюг вбивств групи нової листопадової кампанії відповідає описаним раніше атакам XDSpy. Електронні листи містять посилання на PDF-файл, який веде до завантаження шкідливого ZIP-архіву. Архів містить файл lnk і файл командного рядка, які в кінцевому підсумку призводять до того, що код C# компілюється в шкідливі корисні дані .NET і запускається. Віктимологія XDSpy корелює з попередніми цілями серед військових, фінансових, енергетичних, дослідницьких і гірничодобувних компаній у Російській Федерації.
  • Незважаючи на те, що APT активно працює з 2011 року, міжнародні дослідники досі не знають, в інтересах якої країни він працює.
  • DarkWatchman атакує RAT
  • F.A.C.C.T. Дослідники виявили нову кампанію з використанням безфайлового JavaScript DarkWatchman, пов’язану з атаками на російські компанії під виглядом розсилок від служби кур’єрської доставки Pony Express. До списку увійшли 30 одержувачів від банківських установ, маркетплейсів, операторів зв’язку, аграрних і паливно-енергетичних компаній, логістичних та IT-компаній.
  • У повідомленні одержувача повідомляють про те, що термін безкоштовного зберігання його посилок закінчився, а у вкладеному архіві з рахунком міститься шкідливий DarkWatchman RAT. Електронні листи були надіслані з домену сайту ponyexpress[.], який раніше використовувався для фішингу. Крім того, багатоканальний номер телефону, вказаний в електронному листі, насправді належить кур’єрській службі Pony Express.
  • DarkWatchman RAT вже давно спостерігають за російськими організаціями. Раніше оператори DarkWatchman RAT поширювали шкідливі програми під виглядом архіву з результатами фейкового тендеру від Міноборони Росії, фейкових повісток військкомату, а також через фейковий сайт російського розробника в області. криптографії.
  • Пекельні гончі нападають
  • Дослідники Positive Technologies викрили діяльність нової групи Hellhounds, яка націлена на російські комерційні та державні організації. Кампанія отримала назву Operation Lahat, тому що телеметрія із заражених хостів надсилалася на обліковий запис із іменем користувача «lahat».
  • Дослідження почалося в жовтні 2023 року, коли PT CSIRT виявив компрометацію енергетичної компанії за допомогою трояна Decoy Dog. Decoy Dog використовувався для атак на російські організації принаймні з вересня 2022 року. Однак зразок, знайдений на хості жертви, був новою, більш досконалою модифікацією трояна.
  • Дослідники повідомили, що Hellhounds докладає значних зусиль, щоб приховати свою активність на хостах і в мережі. На першому етапі зловмисники використовують Decoy Dog Loader, який захищений модифікованою версією пакувальника UPX. На відміну від звичайного UPX, ця модифікація не розпаковує виконуваний файл, а скоріше шелл-код, повністю написаний мовою асемблера та використовуючи лише системні виклики Linux. Сам завантажувач працює в системі та маскується під законну службу cron. На другому етапі використовується основне корисне навантаження, яке є модифікованою версією Pupy RAT (кросплатформенний багатофункціональний бекдор), який дослідники називають Decoy Dog.
  • Постраждали щонайменше 20 російських організацій, більшість з яких у державному секторі, інформаційних технологіях, космічній промисловості та енергетиці, а також будівельні, транспортні та логістичні компанії.
  • Аналіз TTP не дозволив дослідникам пов’язати зловмисників з будь-якими раніше відомими групами APT.
  • За даними PT, Hellhounds причетні до злому російського телекомунікаційного оператора, де їм вдалося вивести з ладу деякі з його послуг. Про це повідомили дослідники Solar 4RAYS в рамках своєї презентації «Thanos’ blip for the telecom operator» на SOC-Forum 2023.
  • Хмарний атлас атакує
  • F.A.C.C.T. дослідники виявили нову кампанію кібершпигунства групи Cloud Atlas APT (також відомої як Clean Ursa, Inception, Oxygen), націленої на російське агропромислове підприємство та державну дослідницьку компанію. Загрозливий актор відомий своїми постійними кампаніями, націленими на Росію, Білорусь, Азербайджан, Туреччину та Словенію.
  • Відправною точкою нової кампанії є фішингові повідомлення під виглядом підтримки учасників Спеціальної військової операції та військового обліку з документом-приманкою, який використовує CVE-2017-11882, пошкодження пам’яті шестирічної давності в редакторі формул Microsoft Office. , технологія Cloud Atlas застосовувалася ще в жовтні 2018 року. Електронні листи надходять від популярних російських поштових сервісів Yandex Mail і Mail.ru VK. Успішне використання вразливості призводить до виконання шелл-коду, який відповідає за завантаження та запуск обфускованого файлу HTA. Завантажена шкідлива програма HTML згодом запускає файли Visual Basic Script (VBS), які відповідають за отримання та виконання невідомого коду VBS з віддаленого сервера. На момент дослідження VBS-код наступного етапу був недоступний.
  • Харіус нападає
  • Дослідники Symantec поділилися доказами нової групи APT під назвою «Grayling», яка була спрямована переважно на тайванські організації в рамках кампанії кібершпигунства, яка тривала щонайменше чотири місяці. Діяльність групи почалася в лютому 2023 року і тривала принаймні до травня 2023 року, викрадаючи конфіденційну інформацію у виробничих, ІТ- та біомедичних компаній на Тайвані, а також у жертв у США, В’єтнамі та на островах Тихого океану.
  • Група розгорнула бічне завантаження DLL через експортований API SbieDll_Hook для завантаження таких інструментів, як Cobalt Strike Stager, що веде до популярного інструменту після експлуатації Cobalt Strike Beacon. Він також встановив «Havoc», структуру командування та управління (C2) з відкритим кодом, яка використовується подібно до Cobalt Strike. У звіті зазначається, що Grayling використовував загальнодоступний інструмент шпигунського програмного забезпечення NetSpy, скористався застарілою помилкою підвищення привілеїв Windows CVE-2019-0803, а також завантажив і виконав шелл-код. Інші дії цих зловмисників після експлуатації включають використання процесів знищення для знищення всіх процесів, перелічених у файлі під назвою processlist.txt, і використання Mimikatz для скидання облікових даних.
  • Атака на критичну інфраструктуру Данії
  • Данське SektorCERT повідомило про одночасну кібератаку на 22 компанії, пов’язані з енергетичним сектором країни, 11 травня 2023 року. Серед оприлюднених подробиць було те, що одна організація втратила видимість трьох своїх віддалених локацій, і співробітникам організації довелося виїхати в усі ці локації.
  • Зловмисники скористалися критичною вразливістю впровадження команд (CVE‑2023‑28771), яка впливає на брандмауери Zyxel. Одинадцять компаній було успішно скомпрометовано: зловмисники запустили шкідливий код, щоб провести розвідку конфігурацій брандмауера та визначити подальші дії. Деякі з розгорнутих корисних навантажень були пов’язані з варіантом Mirai Moobot.
  • Агентство приписує атаки або принаймні частину з них Sandworm (він же Hades), але без повної впевненості. Трафік в одній із постраждалих організацій був пов’язаний з IP-адресою, яка раніше використовувалася Sandworm. Однак SektorCERT наполягав на тому, що атрибуція не може бути зроблена з упевненістю через повну відсутність доказів.
  • Атаки AeroBlade
  • Дослідники BlackBerry виявили раніше невідому хакерську групу кібершпигунства під назвою AeroBlade, спрямовану на організації в аерокосмічному секторі США. Кампанія розгорталася в два етапи: хвиля тестування у вересні 2022 року та більш просунута атака в липні 2023 року.
  • Атаки використовували фішинг із застосуванням озброєних документів, скидаючи корисне навантаження зворотного снаряда. В обох атаках зворотна оболонка підключалася до тієї самої IP-адреси C2, а зловмисники використовували ті самі документи-приманки на етапі фішингу. Остання зворотна оболонка атаки 2023 року була більш прихованою, використовувала більше методів обфускації та антианалізу, а також містила опцію переліку каталогів із заражених жертв.
  • BlackBerry оцінює із середньою або високою впевненістю, що метою атак було комерційне кібершпигунство з метою збору цінної інформації.
  • USB-атаки за допомогою Vetta Loader
  • Під час розслідування, проведеного командою Yoroi зі зловмисного програмного забезпечення ZLab, було виявлено постійну загрозу, яка вражає кілька італійських компаній, насамперед у промисловості, виробництві та цифровому друку. Спосіб дії цієї загрози передбачає використання заражених USB-накопичувачів із використанням сильної залежності від флеш-накопичувачів для обміну даними в цих секторах.
  • Дослідники виявили принаймні чотири різні варіанти того самого завантажувача зловмисного програмного забезпечення під назвою Vetta Loader, який запускається як частина ланцюга зараження за допомогою USB-накопичувачів, усі вони написані різними мовами програмування: NodeJS, Golang, Python і .NET. Усі вони працюють за однаковою логікою для зв’язку з C2, а потім завантажують інші корисні дані. Остаточні завантажені корисні навантаження більше не були доступні на момент аналізу. Було знайдено початковий USB Infector, відповідальний за зараження USB-пристроїв, а також інші модулі, здатні збирати системну інформацію та шкідливе програмне забезпечення Bitcoin Clipper.
  • Дослідники Yoroi стверджують із середньо-високим рівнем упевненості, що атаки були здійснені італомовним загрозливим актором.
  • Сповіщення CISA
  • Повідомлення CISA щодо CVE-2022-47966 і CVE-2022-42475
  • Атаки на американську аеронавігаційну організацію були детально описані в консультації, авторами якої є CISA, ФБР і Кібернаціональна місія (CNMF). Вважається, що напади почалися в січні.
  • У повідомленні зазначено, що групи розширених постійних загроз (APT) національних держав використовували критичну вразливість віддаленого виконання коду (CVE-2022-47966), щоб отримати неавторизований доступ до примірника Zoho ManageEngine ServiceDesk Plus організації, а потім переміщувалися через їхню мережу. Інші групи APT використовували вразливість переповнення буфера на основі динамічної пам’яті (CVE‑2022-42475) у FortiOS SSL-VPN, щоб встановити присутність на брандмауері Fortinet організації.
  • Через експлойт Zoho зловмисники змогли отримати доступ до веб-сервера кореневого рівня та створити локальний обліковий запис користувача з правами адміністратора. Крім того, учасники могли завантажувати зловмисне програмне забезпечення, нумерувати мережу, збирати облікові дані адміністратора та переміщатися по мережі організації.
  • Залишається незрозумілим, чи призвели атаки до доступу до даних, їх зміни або викрадання через те, що організація не чітко визначила, де їхні дані розташовані в центрі, а CISA мала обмежене покриття мережі.
  • У повідомленні не віднесено атаку до будь-якої конкретної групи загроз, але зазначено, що розслідування CISA виявило дублюючі тактики, методи та процедури (TTP), які можна віднести до кількох груп APT.
  • Консультація CISA щодо програм-вимагачів Snatch
  • Федеральне бюро розслідувань (ФБР) і Агентство з кібербезпеки та безпеки інфраструктури (CISA) випустили спільне консультування з кібербезпеки (CSA) для поширення відомих програм-вимагачів IOC і TTP, пов’язаних із варіантом програм-вимагачів Snatch, ідентифікованим під час розслідувань ФБР ще 1 червня 2023 року.
  • Попередження попереджало про те, що зловмисник націлений на широкий спектр критично важливих секторів інфраструктури, включаючи ІТ-сектор, оборонно-промислову базу США, харчову та сільськогосподарську вертикалі.
  • З середини 2021 року суб’єкти загрози Snatch постійно вдосконалювали свою тактику, щоб скористатися перевагами поточних тенденцій у просторі кіберзлочинців, і було помічено, що вони купують раніше вкрадені дані в інших груп програм-вимагачів, намагаючись використати жертв і сплатити викуп, щоб уникнути їх дані, оприлюднені в блозі про вимагання Snatch.
  • У багатьох атаках оператори Snatch націлювалися на слабкі місця в протоколі віддаленого робочого столу (RDP), щоб отримати доступ на рівні адміністратора до цільової мережі. В інших випадках вони використовували вкрадені або придбані облікові дані, щоб закріпитися. Потрапивши в мережу, зловмисник іноді може витратити до трьох місяців, пересуваючись по мережі, шукаючи файли та папки для цільової атаки.
  • У повідомленні ФБР і CISA описано, що оператори Snatch використовують комбінацію законних і шкідливих інструментів у скомпрометованих мережах. До них належать такі інструменти для посткомпромісної перевірки, як інструмент тестування на проникнення з відкритим кодом Metasploit, Cobalt Strike для подальшого переміщення та утиліти, такі як sc.exe для створення, запиту, додавання та видалення служб і виконання інших завдань.
  • Попередження CISA про атаки BlackTech
  • У спільній консультації Агентства національної безпеки США (NSA), ФБР, Агентства з кібербезпеки та безпеки інфраструктури (CISA), Агентства національної поліції Японії (NPA) і Японського національного центру готовності до інцидентів і стратегії кібербезпеки (NISC) попереджено, що загроза Група під назвою BlackTech (також відома як Palmerworm, Temp.Overboard, Circuit Panda та Radio Panda) непомітно модифікувала мікропрограму маршрутизатора Cisco IOS і використовувала переваги доменно-довірчих відносин маршрутизаторів для переходу/переходу від дочірніх організацій до основних цільових організацій у США. і Японії. Зломи були спрямовані на державні установи, а також промислові, технологічні, медіа, електроніку та телекомунікаційні компанії.
  • У консультації агентства заявили, що BlackTech використовувала атаки для розгортання спеціального бекдору прошивки. Функція бекдору вмикається та вимикається за допомогою спеціально створених пакетів TCP або UDP. Вони закликали багатонаціональні організації переглянути всі мережеві з’єднання зі своїми дочірніми офісами та перерахували низку заходів безпеки, які вони повинні вжити, щоб зменшити потенційний ризик банди APT.
  • Cisco випустила бюлетень, у якому зазначається, що найпоширенішим початковим вектором доступу в цих атаках є вкрадені або слабкі облікові дані адміністратора. Не було жодних ознак використання вразливостей Cisco.
  • Сповіщення CISA про програму-вимагач Rhysida
  • Агентство кібербезпеки та безпеки інфраструктури США (CISA), Федеральне бюро розслідувань (ФБР) і Міждержавний центр обміну та аналізу інформації (MS-ISAC) випустили спільне сповіщення, яке надає захисникам індикатори компрометації Rhysida Ransomware (IOC). ), інформацію про виявлення, а також тактику, прийоми та процедури (ТТП), виявлені під час розслідувань станом на вересень 2023 року.
  • Зловмисники, які стоять за програмою-вимагачем Rhysida, беруть участь у опортуністичних атаках, націлених на організації в різних секторах промисловості. Якщо розглядати як модель Ransomware-as-a-Service (RaaS), учасники Rhysida скомпрометували організації в освіті, виробництві, інформаційних технологіях і державному секторі з травня 2023 року, і будь-який сплачений викуп розподіляється між групою та її філіями.
  • Учасники Rhysida використовують зовнішні віддалені служби, такі як VPN, уразливість Zerologon (CVE-2020-1472) і фішингові кампанії, щоб отримати початковий доступ і постійність у мережі. Кажуть також, що він збігається з іншою командою програм-вимагачів, відомою як Vice Society (така ж Storm-0832 або Vanilla Tempest).
  • Сповіщення CISA про програму-вимагач LockBit 3.0
  • 21 листопада 2023 року Агентство з кібербезпеки та безпеки інфраструктури (CISA), Федеральне бюро розслідувань (ФБР), Міждержавний центр обміну та аналізу інформації (MS-ISAC) і Австралійський центр кібербезпеки Директорату сигналів Австралії (ACSC ASD) опубліковано спільне попередження, яке поширює індикатори компрометації (IOC), тактику, методи та процедури (TTP) і методи виявлення, пов’язані з програмним забезпеченням-вимагачем LockBit 3.0, що використовує CVE-2023-4966, позначене Citrix Bleed, що впливає на контроль доставки веб-додатків Citrix NetScaler (ADC). ) і пристрої NetScaler Gateway. Уразливість дозволяє зловмисникам обійти вимоги до пароля та багатофакторну автентифікацію (MFA), що дозволяє їм контролювати сеанси користувачів на пристроях Citrix NetScaler ADC і Gateway.
  • LockBit — це сімейство програм-вимагачів, яке діє з вересня 2019 року за моделлю Ransomware-as-a-Service (RaaS). Афілійовані особи LockBit 3.0 здійснювали атаки на організації різного розміру в багатьох секторах критичної інфраструктури, включаючи освіту, енергетику, фінансові послуги, продовольство та сільське господарство, державні та екстрені служби, охорону здоров’я, виробництво та транспорт.
  • Сповіщення CISA про атаки CyberAv3ngers
  • 14 грудня Агентство з кібербезпеки та безпеки інфраструктури (CISA), Федеральне бюро розслідувань (ФБР), АНБ, EPA та Національне кіберуправління Ізраїлю опублікували спільну консультацію з кібербезпеки (CSA) про загрозу, яка називає себе CyberAv3ngers, відповідальною за атаку на Муніципальне водне управління Аліквіппи в Пенсільванії. На додаток до листопадового попередження CISA, агентства-автори випустили спільний CSA, щоб поділитися індикаторами компромісу (IOC) і тактикою, технікою та процедурами (TTP), пов’язаними з кіберопераціями актора.
  • Актор зосереджений на атаці та компрометації програмованих логічних контролерів (PLC) ізраїльського виробництва Unitronics Vision Series. Ці ПЛК зазвичай використовуються в секторі систем водопостачання та водовідведення (WWS), а також в інших галузях, включаючи, але не обмежуючись цим, енергетику, виробництво продуктів харчування та напоїв, а також охорону здоров’я. Після того, як пристрої зламано, хакери зіпсували їхній інтерфейс користувача, потенційно зробивши ПЛК непрацездатним.
  • Агентства заявили, що з 22 листопада зловмисники, пов’язані з IRGC, атакували численні об’єкти водного сектору США, які покладаються на ПЛК Unitronics Vision. Жертви перебували в кількох штатах.
  • Сповіщення CISA про Star Blizzard
  • У спільній консультації, опублікованій 7 грудня, агентства безпеки «П’ять очей» (Агентство з кібербезпеки та безпеки інфраструктури (CISA) у координації з Національним центром кібербезпеки Сполученого Королівства (UK-NCSC), Австралійським центром кібербезпеки Директорату сигналів Австралії ( ACSC ASD), Канадський центр кібербезпеки (CCCS), Національний центр кібербезпеки Нової Зеландії (NCSC-NZ), Агенство національної безпеки США (NSA), Федеральне бюро розслідувань (ФБР) і Кібернаціональна місія Cyber Command. (CNMF)) попередив про розвиток методів фішингу, які використовує Star Blizzard, і їх націлювання на окремих осіб і організації, включаючи уряд США та базу оборонної промисловості.
  • У сповіщенні розповідається про тактику та прийоми групи, засновані на реальних спостереженнях. Зловмисник використовує типові фішингові засоби та ділиться посиланням у повідомленні електронної пошти чи документі, яке нібито веде на цікавий документ чи веб-сайт. Це приведе ціль до серверу, керованого актором, і спонукає ціль ввести облікові дані облікового запису.
  • Star Blizzard використовує фреймворк з відкритим вихідним кодом EvilGinx у своїй фішинговій діяльності, що дозволяє їм збирати облікові дані та файли cookie сеансу, щоб успішно обійти використання двофакторної автентифікації. Потім Star Blizzard використовує викрадені облікові дані для входу в обліковий запис електронної пошти цілі, звідки вони, як відомо, отримують доступ до електронних листів і вкладень із папки “Вхідні” жертви та крадуть їх. Вони також встановили правила пересилання пошти, надаючи їм постійну видимість листування жертв, а також використовували скомпрометовані облікові записи електронної пошти для подальшої фішингової діяльності.
  • нальної системи ППО. Агентства вважають, що вторгнення були частиною більшої кіберкампанії, яка призвела до витоку даних понад 1,2 ТБ, включаючи корпоративні, державні та особисті дані.
    Андаріель зміг успішно зламати 14 організацій, а також брав участь в атаках з використанням програм-вимагачів, які здійснювалися з південнокорейського проксі-сервера, що слабо контролювався, і використовувався хакерами 83 рази з грудня 2022 року по березень 2023 року з району Рюгьондон у Пхеньяні. Сервер використовувався для доступу до веб-сайтів фірм і установ, при цьому група використовувала південнокорейський хостинговий сервіс, який орендував сервери невстановленим клієнтам. Серед скомпрометованих були великі компанії у сфері зв’язку, інформаційної безпеки та ІТ, технологічні центри, університети та науково-дослідні інститути, що займаються передовими розробками та технологіями, фармацевтичні компанії, оборонні підприємства та фінансові організації.
    Атаки на оборонних підрядників з використанням оновленого фреймворку MATA
    Фахівці Касперського виявили нову активну кампанію шкідливого програмного забезпечення кластера MATA, що компрометує оборонних підрядників у Східній Європі. Кампанія тривала понад шість місяців і залишалася активною до травня 2023 року та включала три нові покоління MATA.
    Один із них є еволюцією попереднього покоління MATA 2. По-друге, зловмисне програмне забезпечення, яке ми назвали «MataDoor», було переписано з нуля та може розглядатися як покоління 4, а потім покоління 5 також було переписано з нуля. Усі вони містять кілька модифікацій протоколів шифрування, конфігурації та зв’язку.
    Актор продемонстрував високі можливості навігації та використання рішень безпеки, розгорнутих у середовищі жертви. У ситуаціях, коли не було можливої лінії зв’язку з бажаним цільовим хостом, актор використовував модуль розповсюдження USB, здатний з’єднати мережі з повітряним розривом. Зловмисники використовували багато методів, щоб приховати свою активність: руткіти та вразливі драйвери, маскування файлів під легальні програми, використання портів, відкритих для зв’язку між програмами, багаторівневе шифрування файлів і мережеву активність шкідливих програм, встановлення тривалого часу очікування між підключеннями до контрольних серверів – це та багато іншого показує, наскільки складними можуть бути сучасні цілеспрямовані атаки.
    З перших версій MATA у експертів виникали певні сумніви щодо того, до якого APT він належить. Цей сумнів зростає з останніми поколіннями MATA. З одного боку, є очевидні аргументи, які пов’язують сімейство MATA з групою Lazarus. У той же час останні покоління MATA мають більше технік, подібних до тих, які використовують групи Five Eyes APT.
    Діяльність на Близькому Сході
    Темний Каракал атакує
    Відстежуючи діяльність Dark Caracal, дослідники Kaspersky виявили поточну кампанію, націлену на організації державного та приватного секторів у кількох іспаномовних країнах. Відомо, що Dark Caracal проводить кампанії кібершпигунства принаймні з 2012 року. Кампанії групи націлені на уряди, військові організації, комунальні служби, фінансові установи, виробничі компанії та оборонних підрядників по всьому світу. Тисячі постраждали від Темного Каракала – виявлено, що цінні дані були вкрадені, включаючи інтелектуальну власність та особисту інформацію. Цю групу називають «кібернайманською загрозливою групою» через різноманітність цілей і очевидну спрямованість кількох урядів під час її кампаній. З 2021 року повідомляється, що діяльність цієї групи зосереджена на іспаномовних країнах.
    Напади балістичної рисі/чарівного кошеня
    Дослідники ESET виявили складну кампанію кібершпигунства, яку проводив підозрюваний іранський агент Ballistic Bobcat (він же APT35, APT42, Charming Kitten, TA453 і PHOSPHORUS). Група використовувала новий бекдор під назвою «Спонсор», щоб націлитися на організації в Бразилії, Ізраїлі та ОАЕ: цільові організації включають автомобільну промисловість, виробництво, машинобудування, фінансові послуги, ЗМІ, охорону здоров’я, технології та телекомунікаційні сектори. Бекдор Sponsor написаний на C++ і призначений для збору інформації про хост і команди обробки, отримані від віддаленого сервера, результати яких надсилаються назад на сервер.
    Згідно зі звітом, остання кампанія під кодовою назвою Sponsoring Access передбачає отримання початкового доступу шляхом використання відомих уразливостей на серверах Microsoft Exchange. В одному з інцидентів, описаних ESET, ізраїльська компанія була скомпрометована зловмисником у серпні 2021 року, і було надано інструменти для наступного етапу (PowerLess, Plink і ряд інструментів з відкритим вихідним кодом, написаних на Go). реалізовано протягом кількох місяців.
    Як дійшли висновку експерти, Ballistic Bobcat продовжує знаходити можливості для використання невиправлених уразливостей на серверах Microsoft Exchange, доступних з мережі, використовуючи новий і різноманітний арсенал інструментів.
    Напади імперського кошеня/жовтого лідерка/черепахового панцира
    За даними дослідників PwC, загрозливий актор Yellow Liderc (він же Imperial Kitten, Tortoiseshell, TA456 і Crimson Sandstorm) запустив атаки watering hole для поширення шкідливого програмного забезпечення IMAPLoader, яке використовує утиліти Windows для визначення цільових систем і розгортання додаткових корисних навантажень. Цілі кампанії включають морські, судноплавні та логістичні організації в Середземному морі; ядерної, аерокосмічної та оборонної промисловості в США та Європі, а також постачальників послуг, керованих ІТ, на Близькому Сході. Хоча нові атаки включали компрометацію законних веб-сайтів за допомогою шкідливого JavaScript, призначеного для викрадання даних, зловмисник також використав шахрайський документ Microsoft Excel як початковий вектор атаки.
    Після звіту PwC CrowdStrike повідомив, що той самий актор, якого називають «Імператорським кошеням», з початку конфлікту між Ізраїлем і ХАМАС націлився на сектори транспорту, логістики та технологій на Близькому Сході, включаючи Ізраїль. Діяльність групи характеризується використанням соціальної інженерії, зокрема контенту, присвяченого працевлаштуванню, для надання індивідуальних імплантатів на основі .NET. Зловмисники використовують скомпрометовані веб-сайти для профілювання відвідувачів за допомогою спеціально розробленого JavaScript і викрадають інформацію. На додаток до використання «полив’яних дір», зловмисник також використовує одноденні експлойти, викрадені облікові дані та фішинг, а також націлюється на перших постачальників ІТ-послуг для початкового доступу.
    Напади на нафтову вишку
    Дослідники ESET проаналізували серію нових завантажувачів OilRig (він же APT34, Lyceum, Crambus або Siamesekitten), які зловмисник використовував у кампаніях 2022 року для націлювання на організації в Ізраїлі, зокрема медичну установу, виробничу компанію та місцевий урядовий орган. Усі цілі раніше зазнали впливу кількох кампаній OilRig. Нові завантажувачі SampleCheck5000 (SC5k v1-v3), OilCheck, ODAgent і OilBooster відомі тим, що використовують легітимне хмарне сховище та хмарні служби електронної пошти для зв’язку C2 і викрадання даних як спосіб приховати зловмисне спілкування та маскувати мережу групи. інфраструктура: Microsoft OneDrive, Exchange Online і Office 365 через Microsoft Graph і Outlook API, а також Microsoft Office Exchange Web Services (EWS). Ці завантажувачі схожі з бекдорами MrPerfectionManager і PowerExchange, іншими нещодавніми доповненнями до набору інструментів OilRig, які використовують протоколи C&C на основі електронної пошти.
    Персикова піщана буря/атаки APT33
    За даними Microsoft, загрозливий актор Peach Sandstorm (він же APT33, Elfin і Refined Kitten) націлився на організації в секторі оборонної промисловості, використовуючи новий бекдор під назвою FalseFont. Це спеціальний бекдор, який дозволяє зловмисникам віддалено отримувати доступ до заражених систем, запускати додаткові файли та надсилати інформацію на його C2. Цей штам зловмисного програмного забезпечення вперше був помічений у дикій природі приблизно на початку листопада 2023 року. Розробка та використання FalseFont узгоджується з діяльністю Peach Sandstorm, яку спостерігала Microsoft протягом останнього року, що свідчить про те, що Peach Sandstorm продовжує вдосконалювати свою майстерність.
    Китайомовна діяльність
    TEMP.Hex і UNC4698 USB-атаки
    Дослідники Mandiant повідомили про триразове збільшення атак із використанням USB-накопичувачів у першій половині цього року. В одній із таких кампаній загрозливий актор TEMP.Hex (він же HoneyMyte) використовував USB-накопичувачі для розповсюдження шкідливого програмного забезпечення Sogu, призначеного для викрадення конфіденційної інформації з хост-систем. Вони вважають, що TEMP.Hex використовує Sogu для збору інформації, що представляє інтерес для економіки та національної безпеки Китаю. TEMP.Hex націлений на різноманітні сектори, включаючи будівництво та інжиніринг, бізнес-послуги, уряд, охорону здоров’я, транспорт та роздрібну торгівлю в Європі, Азії та США.
    Інший суб’єкт загрози, відстежуваний як UNC4698, також використовує USB-накопичувачі для поширення шкідливого програмного забезпечення SnowyDrive, яке створює бекдор в заражених системах, надаючи зловмисникам спосіб дистанційної взаємодії з пристроєм і видачі команд. Бекдор підтримує багато команд, які виконують файлові операції, викрадання даних, зворотний обстріл, виконання команд і розвідку. Він також поширюється на інші USB-накопичувачі та через мережу. Зловмисне програмне забезпечення використовує викрадення порядку пошуку DLL для завантаження шкідливої DLL через законні виконувані файли, такі як Notepad++, Microsoft Silverlight, програмне забезпечення VentaFax і програмне забезпечення CAM UnZip. UNC4698 націлений на нафтогазові організації в Азії.
    Атаки космічних піратів
    Positive Technologies опублікувала звіт про нові масштабні атаки на організації в Росії та Сербії, здійснені китайськомовною групою Space Pirates, яку дослідники відслідковують з 2022 року. Головна мета групи – шпигунство та крадіжка даних. Група розширила коло інтересів. За останній рік жертвами стали щонайменше 16 організацій у Росії та одне (міністерство) у Сербії, серед яких державні та освітні установи, підприємства авіаційної, ракетно-космічної та сільськогосподарської галузей, військово-промислового та паливно-енергетичного комплексів. комплексу та інформаційних компаній.
    На одному з контрольних серверів виявлено сканер Acunetix. Це вказує на ймовірний вектор атаки через використання вразливостей, чого раніше не спостерігалося. Група також націлилася на архіви електронної пошти PST.
    Веб-оболонка Godzilla та обфускований тунель Neo-reGeorg були знайдені на сервері C2. Група також почала використовувати шкідливе програмне забезпечення ShadowPad. Майже в кожному розслідуванні були сліди використання Deed RAT, який ще розробляється. Під час розслідування інциденту на одному із заражених пристроїв було виявлено 64-розрядну версію цього шкідливого ПЗ, яка майже не відрізняється від 32-розрядної. На комп’ютерах, заражених Deed RAT, виявлено два нових плагіни. Перший називається Disk і використовується для роботи з дисками. Другий плагін називається Portmap, який базується на утиліті ZXPortMap. Плагін використовується для переадресації портів і підтримує три мережеві команди.
    Під час одного з розслідувань було виявлено раніше невідомий зразок шкідливого програмного забезпечення, яке було доставлено через уже встановлений Deed RAT і згодом названо Voidoor. Життєвий цикл цього шкідливого ПЗ включав взаємодію через GitHub і форум voidtools. Останнє разом з аналізом репозиторіїв GitHub привело дослідників до блогу хакера в китайській мережі розробників програмного забезпечення. Дослідники Positive Technologies з певною часткою впевненості припускають, що автор є одним із розробників шкідливого ПЗ (якщо не єдиним).
    Атаки APT31
    Kaspersky ICS CERT ідентифікував понад 15 імплантатів та їх варіантів, встановлених загрозою APT31 (так відомий як Judgement Panda та Zirconium) у серії атак на промислові організації у Східній Європі, призначених для викрадення конфіденційних даних. Зловмисне програмне забезпечення зазвичай встановлюється за допомогою викрадення DLL і приховує свої сліди за допомогою алгоритму RC4 для шифрування даних до безпосереднього впровадження. Зловмисне програмне забезпечення містить компонент-хробак, здатний заражати знімні диски та викрадати конфіденційні дані, включно з даними на пристрої з повітряним розривом. Інші імпланти включають варіанти бекдора FourteenHi, бекдора MeatBall, імплантату з використанням Yandex Cloud як C2 та імплантатів, які використовуються для завантаження файлів у Dropbox.
    Атаки UNC4841
    Продовжуючи попередні дослідження UNC4841 щодо використання вразливості віддаленого впровадження команд, що впливає на пристрій Barracuda Email Security Gateway (ESG) (CVE-2023-2868), дослідники Mandiant надали додаткові відомості про TTP, які використовує зловмисник.
    UNC4841 розгорнув нове зловмисне програмне забезпечення, призначене для підтримки присутності на невеликій підмножині високопріоритетних цілей, скомпрометованих до виходу виправлення або незабаром після нього. Сюди входить використання бекдорів SKIPJACK і DEPTHCHARGE і пускової установки FOXTROT/FOXGLOVE.
    Зловмисник націлився на широкий спектр вертикалей: основні цілі включають національні уряди, високотехнологічні та ІТ-структури, місцеві органи влади, постачальників телекомунікаційних послуг, виробничі підприємства, а також коледжі та університети. Агентство з кібербезпеки та безпеки інфраструктури США (CISA) надало додаткові IoC, пов’язані з використанням цієї вразливості.
    Льон Напади Тайфуну
    Дослідники Microsoft повідомляють, що нещодавно виявлена китайськомовна загроза під назвою Flax Typhoon була спрямована на десятки організацій на Тайвані. Flax Typhoon діє з середини 2021 року й націлений на державні установи, освіту, критичне виробництво та організації інформаційних технологій на Тайвані. Метою атак є кібершпигунство.
    Група прагне якомога довше підтримувати доступ до організацій із широкого кола галузей. Flax Typhoon використовує мінімальну кількість зловмисного програмного забезпечення, головним чином покладаючись на методи «життя поза межами землі». Зловмисники отримали початковий доступ, використовуючи відомі вразливості на публічних серверах (у VPN, веб-додатках, Java та SQL) і розгортаючи веб-оболонки, включаючи China Chopper.
    Деякі дослідники вважають, що загроза діяла з середини 2021 року. Однак тайванська група розвідки про загрози TeamT5 заперечила це, датуючи діяльність групи щонайменше 2020 роком і давши їй тимчасову кодову назву SLIME13.
    Напади тайфуну Вольт
    Команда Black Lotus Labs із Lumen Technologies пов’язала загрозливого актора Volt Typhoon (він же BRONZE SILHOUETTE) із ботнетом під назвою KV-botnet, який використовується для націлювання на маршрутизатори, брандмауери та пристрої VPN для маскування зловмисного трафіку в рамках легального трафіку. Цільові пристрої включають брандмауери Netgear ProSAFE, Cisco RV320s, маршрутизатори DrayTek Vigor та IP-камери Axis.
    Ботнет KV використовувався в атаках, націлених на телекомунікаційні та інтернет-провайдери, орган територіального уряду США на Гуамі, компанію з відновлюваної енергетики в Європі та військові організації США, хоча дослідники класифікують більшість заражень KV як опортуністичні.


    Починаючи з серпня 2023 року дослідники спостерігали сплеск використання нових ботів для KV‑ботнету. Цей кластер заразив пристрої SOHO, пов’язані з кількома мережами високої вартості. Незважаючи на те, що в оригінальному двійковому файлі не було виявлено попередньо створених функцій для націлювання на сусідню локальну мережу, була можливість створити віддалену оболонку на пристрої SOHO. Цю можливість можна було використати або для виконання команд вручну, або для потенційного отримання вторинного модуля, який ще не було виявлено, для націлювання на сусідню локальну мережу.
    Краснокрилка нападає
    Компанія Symantec виявила нову загрозу під назвою Redfly, яка проникла в національну енергомережу азіатської країни за допомогою трояна ShadowPad. У звіті йдеться, що зловмисникам вдалося викрасти облікові дані та скомпрометувати кілька комп’ютерів у мережі організації, і ця атака є останньою в серії шпигунських вторгнень у критично важливу національну інфраструктуру країни.
    Варіант ShadowPad маскується під файли та каталоги VMware на заражених машинах і забезпечує стійкість, реєструючи службу, яка запускається під час запуску Windows. Окрім ShadowPad, Redfly розгортає PackerLoader, інструмент для завантаження та виконання шелл-коду та кейлоггер, який встановлюється під різними назвами на різних машинах. Група діяла досить методично та послідовно змінювала дозволи для драйвера, який пізніше використовувався для створення дампів файлової системи та завантаження облікових даних із реєстру Windows. Хакери використовували інструмент для скидання облікових даних із LSASS, а заплановане завдання було використано для виконання Oleview для бокового завантаження та бокового переміщення. Щоб встановити кейлоггер на скомпрометованій машині, зловмисники намагалися створити дамп облікових даних за допомогою ProcDump.
    За даними Symantec, найбільш очевидним мотивом угруповання є шпигунство. Визначені інструменти та інфраструктура, використані в нещодавній кампанії, націленій на національну енергосистему, збігаються з атаками, про які повідомлялося раніше, пов’язаними з кластером активності APT41 (він же Brass Typhoon, Wicked Panda, Winnti та Red Echo).
    Атаки на напівпровідникові компанії у Східній Азії
    Напівпровідникові компанії у Східній Азії (Тайвань, Гонконг, Сінгапур) стали мішенню за допомогою повідомлень, які нібито надходять від Тайванської компанії з виробництва напівпровідників (TSMC).
    Атаки використовували бекдор HyperBro, який використовував двійковий файл CyberArk з цифровим підписом (fv_host.exe, перейменований зловмисниками на vfhost.exe) для бокового завантаження DLL, що призвело до виконання в пам’яті маяка Cobalt Strike. Адреса C2, жорстко закодована в імплантаті Cobalt Strike, була замаскована під законний CDN jQuery, що дозволяло обходити захист брандмауера.
    У другому варіанті атаки хакери використовували скомпрометований веб-сервер Cobra DocGuard, щоб завантажити додатковий бінарний файл McAfee (mcods.exe) і шкідливий файл (який завантажується в mcods.exe за допомогою бокового завантаження DLL), а також зашифрований Cobalt Strike шеллкод. У цьому випадку хакери розгорнули раніше незадокументований бекдор на основі Go під назвою ChargeWeapon, призначений для збору та передачі даних жертви на C2 у формі Base64.
    Дослідники EclecticIQ приписали цю кампанію загрозі, пов’язаній з Китаєм, через використання HyperBro, який майже виключно використовувався Lucky Mouse (він же APT27, Budworm і Emissary Panda). Вони також знайшли тактичні збіги з RedHotel і Earth Lusca.
    Російськомовна діяльність
    Атаки за допомогою DroxiDat/SystemBC
    Невідомий зловмисник націлився на електричну компанію в Африці за допомогою маяків Cobalt Strike і DroxiDat, новішого варіанту корисного навантаження SystemBC. Ця атака сталася на третьому та четвертому тижні березня 2023 року в рамках невеликої хвилі атак по всьому світу. В одному з кількох пов’язаних інцидентів було виявлено програму-вимагач Nokoyawa, яка пов’язана з використанням нульового дня та потенційно пов’язана з групою, яка розгорнула програму-вимагач Hive. На сьогоднішній день група, яка стоїть за діяльністю програм-вимагачів Nokoyawa, не бачила публічно доступних точних політичних приписів, але, схоже, вона використовується старішою російськомовною групою злочинних програм/вимагачів (ймовірно, Pistachio Tempest або FIN12).
    Атаки APT29/Midnight Blizzard/Nobelium
    Дослідники Microsoft повідомляють, що Midnight Blizzard (так відомий як Nobelium) використовував чати Microsoft Teams для націлювання на людей в уряді, неурядових організаціях, ІТ-службах, технологіях, дискретному виробництві та медіа-секторах. Загалом поточне розслідування показує, що ця кампанія вплинула на менше ніж 40 унікальних глобальних організацій.
    Зловмисники використовували скомпрометовані облікові записи Microsoft 365 для створення доменів, які маскуються під організації, що пропонують технічну підтримку. Потім вони використовують ці домени для надсилання повідомлень чату з посиланнями на веб-сторінки, де вони намагаються підманити облікові дані одержувача, зокрема код MFA.
    Команда реагування на інциденти FortiGuard повідомила, що в жовтні 2023 року американська біомедична виробнича організація була скомпрометована через критичну вразливість CVE-2023-42793 TeamCity, для якої загальнодоступний експлойт був випущений 27 вересня 2023 року. TeamCity — це продукт від JetBrains, який використовується для керування та автоматизації компіляції, створення, тестування та випуску програмного забезпечення.
    Атаку спочатку використовували за допомогою спеціально створеного сценарію експлойту, написаного на Python. Зловмисник використовував експлойт TeamCity для встановлення сертифіката SSH, який використовувався для підтримки доступу до середовища жертви. Після виконання команд виявлення актор завантажив файл DLL AclNumsInvertHost.dll на хост TeamCity і знову використав уразливість TeamCity RCE, щоб створити заплановане завдання Windows, посилаючись на файл DLL для збереження.
    Бібліотека AclNumsInvertHost.dll і кілька інших DLL-файлів, отриманих із веб-сервера зловмисників, зіставлялися за правилом Yara для відомого сімейства зловмисних програм під назвою GraphicalProton, яке історично було пов’язане з APT29 (відоме як Dukes, CozyBear і NOBELIUM/Midnight Blizzard/BlueBravo). . Враховуючи перехід техніки з діяльністю, про яку повідомлялося раніше, і ідентифікацію корисного навантаження GraphicalProton, FortiGuard із середньою впевненістю вважає, що ця атака була частиною нової кампанії BlueBravo/APT29.
    У спільній консультації, опублікованій 13 грудня, ФБР, Агентство кібербезпеки та безпеки інфраструктури (CISA), АНБ, Служба військової контррозвідки Польщі (SKW), CERT Polska (CERT.PL) і Національний центр кібербезпеки Великобританії ( NCSC) попередив, що APT29 використовує вразливість обходу автентифікації (CVE-2023-42793) у TeamCity. Агентства попередили десятки компаній у США, Європі, Азії та Австралії після виявлення сотень зламаних пристроїв.
    Атаки з використанням уразливості WinRAR
    Уразливість CVE-2023-38831 у WinRAR, утиліті для архівування файлів Windows, є серйозною помилкою, яку використовували з початку 2023 року. RARLabs випустила WinRAR 6.23 у серпні, щоб усунути цю вразливість.
    Напади піщаних черв’яків
    Група аналізу загроз Google (TAG) виявила, що кілька підтримуваних державою хакерських груп використовують вразливість CVE-2023-38831. У квітні 2023 року TAG повідомила про FROZENBARENTS (так званий SANDWORM), націлений на енергетичний сектор і продовжуючи операції зі злому та витоку інформації. Під час атаки на початку вересня хакери Sandworm доставили зловмисне програмне забезпечення Rhadamanthys infostealer під час фішингових атак, використовуючи підроблені запрошення приєднатися до української школи підготовки дронів. Rhadamanthys — це інформаційно-викрадач товарів, який, серед іншого, збирає та викрадає облікові дані браузера та інформацію про сеанси. Він працює за моделлю передплати, і його можна взяти в оренду всього за 250 доларів США на 30 днів.
    Атаки APT28
    Група APT28 (відома також як Frozenlake, Fancy Bear, Strontium або Sednit) також використовувала недолік для доставки зловмисного програмного забезпечення, націленого на енергетичну інфраструктуру в Україні, за допомогою фішингової кампанії, яка використовувала документ-приманку, що запрошував цільових осіб на захід, організований Центром Разумкова. танк в Україні.
    Proofpoint також повідомив про використання TA422 (він же APT28) уразливості CVE-2023-38831. За словами дослідників Proofpoint, TA422 використовував уразливості як початковий доступ до цілей уряду, аерокосмічного, освітнього, фінансового, виробничого та технологічного секторів, які, ймовірно, або розкриють облікові дані користувача, або ініціюють подальшу діяльність.
    У вересні 2023 року актор розіслав зловмисні електронні листи з підробкою геополітичних утворень і використовуючи саміт БРІКС і засідання Європейського парламенту як предметні приманки, щоб спонукати цільові особи відкрити електронні листи. Дослідники також помітили, що в період з вересня 2023 року по листопад 2023 року зловмисники надсилали приманки до цілей, які включали посилання, яке, якщо натиснути, ініціювало ланцюжок шкідливих дій від служби Mockbin.
    У листопаді 2023 року TA422 відмовився від використання Mockbin для початкової фільтрації та перенаправлення на користь прямої доставки URL-адрес InfinityFree.
    Таємничий перевертень
    Дослідники з Cyble Research and Intelligence Labs (CRIL) виявили цілеспрямовану фішингову атаку на російського постачальника напівпровідників. Фішинговий лист був замаскований під офіційне повідомлення Мінпромторгу Росії, лист містив оманливий архівний файл з назвою resultati_sovehchaniya_11_09_2023.rar.
    Зловмисники, які стоять за цією атакою, також використовували цю вразливість.
    Шкідливе корисне навантаження .NET, агент Athena фреймворку Mythic C2, оснащено широким інструментом попередньо встановлених команд, призначених для виконання різних дій у цільових системах. Athena містить такі функції, як кросплатформенність для Windows, Linux і OSX, підтримка SOCKS5, зворотне перенаправлення портів, рефлексивне завантаження збірок, модульне завантаження команд і багато іншого. У цьому випадку було налаштовано використовувати Discord як канал зв’язку C2.
    Команда BI.ZONE Cyber Threat Intelligence також відстежила цей кластер активності під назвою Mysterious Werewolf і виявила ще одну атаку в рамках кампанії, цього разу спрямовану на промислові підприємства в Росії. Зловмисники видавали себе за Міністерство промисловості та торгівлі Росії та використовували фішингові електронні листи, які містили архіви під назвою Pismo_izveshcanie_2023_10_16.rar зі шкідливими файлами CMD, які використовували вразливість CVE-2023-38831 для запуску сценарію PowerShell і зрештою завантаження агента Athena. Зловмисники використовували динамічний DNS-сервіс і фреймворки після експлуатації, а також планове завдання запускати агент кожні 10 хвилин.
    Інші атаки APT28/Fancy Bear
    CERT-UA повідомив про цілеспрямовану кібератаку на об’єкт критичної енергетичної інфраструктури в Україні. Зловмисники надсилали електронні листи, щоб спонукати цільові особи завантажити, здавалося б, невинний архівний файл. Цей архів містив шкідливі сценарії, які захопили комп’ютер і викрали конфіденційні дані за допомогою таких служб, як mockbin.org і mocky.io.
    Дослідники Zscaler проаналізували ключові компоненти цієї атаки та іншої кампанії під назвою StealIt із подібними TTP, які відповідають загрозі APT28 (Fancy Bear). За словами дослідників, зловмисники викрали та викрали хеші NTLMv2 за допомогою налаштованих версій сценарію Start-CaptureServer PowerShell від Nishang і виконали різні системні команди. У цій кампанії зловмисники зосередилися на регіонах, включаючи Австралію, Польщу та Бельгію.
    З березня дослідники Microsoft спостерігали фішингові атаки TA422 (він же APT28, Forest Blizzard, Strontium, Fancy Bear і Fighting Ursa), націлені на урядові, енергетичні, транспортні та неурядові організації в США, Європі та на Близькому Сході.
    Зловмисник використовує дві вразливості. Перший (CVE-2023-23397) — це вразливість Microsoft Outlook, яка може призвести до підвищення привілеїв. Уразливість не вимагає жодної взаємодії з користувачем. Дослідники з Пало-Альто спостерігали, як суб’єкт загрози використовує цю вразливість протягом останніх 20 місяців, щоб атакувати щонайменше 30 організацій у 14 країнах, у тому числі в енергетичному, транспортному та телекомунікаційному секторах, а також на військово-промисловій базі. Усі кампанії використовували мережеві пристрої Ubiquiti для збору повідомлень автентифікації NTLM із мереж жертв. Microsoft спочатку виправила вразливість Outlook у березні, попередивши, що вона активно використовується, і з тих пір оновила свої інструкції для клієнтів.
    Про використання другої вразливості – CVE-2023-38831 – повідомило Proofpoint (див. вище).
    Інші атаки Sandworm/Hades
    За даними дослідників Mandiant, Sandworm (він же Hades) здійснив кібератаку на українську електрокомпанію, яка почалася в червні 2022 року та завершилася в жовтні 2022 року, спричинивши відключення електроенергії. Початковий вектор доступу до ІТ-середовища не визначено.
    Спочатку зловмисники розгорнули веб-оболонку Neo-REGEORG на сервері, відкритому в загальнодоступному Інтернеті. Через місяць хакери запустили тунелер GOGETTER на базі Golang для проксі-сервера зашифрованого зв’язку для командного та контрольного сервера за допомогою бібліотеки з відкритим кодом Yamux.
    Sandworm отримав доступ до середовища OT через гіпервізор, який розміщував екземпляр керування наглядовим контролем і збором даних (SCADA) для середовища підстанції жертви, і підтримував доступ до 3 місяців.
    Кульмінацією нападу стала дія, яка мала фізичний ефект.
    По-перше, Sandworm використовував файл образу ISO CD-ROM для запуску рідної утиліти АББ scilc.exe, яка, ймовірно, запускала шкідливі команди, написані АББ мовою SCIL (Supervisory Control Implementation Language), що вимикало підстанції 10 жовтня 2022 року. .
    Грунтуючись на аналізі часових позначок файлу, Mandiant вважає, що акторам знадобилося 2 місяці, щоб розвинути можливості OT. Завантаження ISO-образу стало можливим, оскільки віртуальна машина, на якій працював MicroSCADA, мала функцію автозапуску, що дозволяло CD-ROM, фізичним або віртуальним (наприклад, файл ISO), запускатися автоматично. Утиліта scilc.exe є частиною набору програмного забезпечення MicroSCADA, і Sandworm використовував її для запуску команд SCIL, які сервер перетворював би на команди IEC 101/104 і передавав їх на віддалені термінали на підстанції. Згідно з висновками дослідників, зламаний сервер MicroSCADA працював із застарілою версією програмного забезпечення, яке дозволяло доступ до SCIL-API за умовчанням. Використання власного двійкового файлу в атаці вказує на перехід хакерів до методів живих поза межами (LoL/LOTL), які покладаються на більш легкі та загальні інструменти, які ускладнюють виявлення загроз.
    Потім, 12 жовтня 2022 року, Sandworm розгорнув нову версію зловмисного програмного забезпечення CADDYWIPER, яке знищує дані, можливо, намагаючись перешкодити аналізу вторгнення. Mandiant не розкриває місцезнаходження цільового енергетичного об’єкта, а також довжину та масштаб знеструмлення.
    Інший
    Атаки RedEnergy
    Дослідники Zscaler ThreatLabz виявили зловмисне програмне забезпечення .NET RedEnergy, яке використовувалося для атак на підприємства енергетичної, нафтогазової, телекомунікаційної та машинобудівної промисловості. Зловмисне програмне забезпечення дозволяє зловмисникам викрадати інформацію з різних браузерів, а також має функції програм-вимагачів (Stealer-as-a-Ransomware).
    Зловмисники використовують тактику FAKEUPDATES, щоб обдурити жертв і змусити їх завантажити зловмисне програмне забезпечення RedEnergy під виглядом оновлень браузера. Зловмисники використовували сторінки LinkedIn, щоб націлюватися на жертв і перенаправляти їх на шахрайську URL-адресу, використовуючи досить авторитетні сторінки профілів, зокрема Philippines Industrial Machinery Manufacturing Company та кілька організацій у Бразилії.
    Зловмисне програмне забезпечення працює на кількох етапах, починаючи з виконання замаскованих шкідливих виконуваних файлів. Він забезпечує постійність, зв’язується з DNS-серверами та завантажує додаткові корисні дані з віддалених місць. RedStealer спілкується із серверами через HTTPS, зберігає себе в каталозі запуску Windows і створює пункт меню «Пуск». Дослідники також виявили підозрілу активність, пов’язану з протоколом передачі файлів (FTP), яка свідчить про те, що зловмисники використовують його для викрадення даних. Після успішної атаки використовується модуль для шифрування даних із додаванням .FACKOFF! розширення для зашифрованих файлів, попутно видаляючи резервні копії.
    Фішингова кампанія QR-коду
    Дослідники Cofense виявили фішингову кампанію, яка використовує шкідливі QR-коди для викрадення облікових даних Microsoft. Кампанія триває щонайменше з травня 2023 року. Однією з цілей є неназвана енергетична компанія США, яка отримала близько 29% із понад 1000 електронних листів.
    Більшість фішингових електронних листів є сповіщеннями безпеки Microsoft. Найкращі організації були у сфері виробництва, страхування, технологій та фінансових послуг, які отримали 15%, 9%, 7% та 6% електронних листів відповідно.
    Більшість виявлених фішингових посилань були URL-адресами переспрямування Bing (26%), за ними йшли два домени, пов’язані з додатком Salesforce (15%) і службами Web3 Cloudflare. Використання перенаправлення URL-адрес Bing у поєднанні з приховуванням фішингових посилань у QR-кодах, вбудованих у зображення чи документи, та інші тактики обфускації допомогли зловмисним повідомленням обійти контроль безпеки та потрапити у папки вхідних повідомлень одержувачів.
    Дослідники Cofense не приписували нову кампанію конкретному актору.
    Таємнича команда Бангладеш атакує
    Дослідники Group-IB Threat Intelligence проаналізували діяльність хактивістської групи Mysterious Team Bangladesh. Ця група, яка зазвичай націлена на логістику, державний і фінансовий сектори в Індії та Ізраїлі (і, меншою мірою, в Австралії, Сенегалі, Нідерландах, Швеції та Ефіопії), була пов’язана з понад 750 DDoS-атаками та 78 пошкодження веб-сайтів з червня 2022 року. Зловмисник, який, як вважають, був бангладешцем, як повідомляється, також отримав доступ до веб-серверів і адміністративних панелей, ймовірно, використовуючи відомі недоліки безпеки (наприклад, уразливі версії PHPMyAdmin і WordPress) або погано захищені паролі.
    Атаки програм-вимагачів на Кубу
    Дослідники Kaspersky представили аналіз програми-вимагача Cuba про історію групи та типові TTP.
    Група вперше привернула увагу у 2020 році під назвою Tropical Scorpius. Куба націлилася на організації в США, Канаді, Австралії та Європі серією резонансних атак на нафтові компанії, виробництво, фінансові послуги, державні установи, постачальників медичних послуг тощо.
    Група використовує класичну модель подвійного вимагання, крадучи, а потім шифруючи дані за допомогою симетричного алгоритму Xsalsa20, а ключ шифрування використовує асиметричний алгоритм RSA-2048. Програма-вимагач шифрує документи, зображення та архіви. Він також зупиняє всі служби SQL для шифрування всіх доступних баз даних і шукає дані як локально, так і в мережевих ресурсах.
    Окрім шифрування, група викрадає конфіденційні дані, які вона виявляє в організації жертви. Тип даних, які шукають хакери, залежить від галузі цільової компанії. Група використовує як добре відомі класичні інструменти доступу до облікових даних, так і спеціальні програми: Bughatch, Burntcigar, Cobeacon, Hancitor (Chanitor), Termite, SystemBC, Veeamp, Wedgecut, RomCOM RAT, Mimikatz, PowerShell, PsExec і Remote Desktop Protocol. В основному використовуються вже відомі уразливості програмного забезпечення, такі як комбінація ProxyShell і ProxyLogon для атаки на сервери Exchange, а також діри в безпеці служби резервного копіювання та відновлення даних Veeam.
    У звіті дослідники Kaspersky представляють результати розслідування одного з інцидентів з акцентом на аналізі раніше незадокументованого програмного забезпечення, групових TTP, а також спільних правил IoC, Sigma та YARA.
    Основні атаки Перевертня
    Дослідники з BI.ZONE Threat Intelligence повідомили про нові атаки групи Core Werewolf у своєму Telegram-каналі, спрямовані на підприємства оборонної та енергетичної промисловості в Росії, а також на інші об’єкти критичної інфраструктури з метою шпигунства.
    Зловмисники розсилали електронні листи з прикріпленим архівом UKAZ.PDF.ZIP, який містив виконуваний шкідливий файл «О предоставлении информации по согласованию и наградам.exe». Виконуваний файл — це архів, що саморозпаковується, який під час запуску відображає очікуваний документ у форматі PDF або Microsoft Word на екрані жертви. В останній виявленій кампанії це був документ із наказом заступника генерального директора відомої промислової компанії. У той же час у фоновому режимі встановлюється законний інструмент UltraVNC, який дозволяє зловмисникам отримати повний контроль над скомпрометованим пристроєм.
    Згідно з даними BI.ZONE, Core Werewolf працює принаймні з грудня 2021 року, і його TTP надавалися раніше.
    Напади на російські промислові організації
    Дослідники з «Лабораторії Касперського» повідомили про шпигунську кампанію, націлену на низку російських державних і промислових організацій, які використовують спеціальний бекдор, написаний на Go.
    Вектор атаки почався з електронного листа зі шкідливим архівом під назвою finansovyy_kontrol_2023_180529.rar. Архів містив PDF-приманку, який використовувався для відволікання жертви, а також сценарій NSIS, який витягує та запускає бекдор із зовнішньої URL-адреси.
    Функціональність бекдора обмежена шпигунським програмним забезпеченням і в основному зосереджена на пошуку файлів певних розширень і читанні вмісту буфера обміну. Усі дані, що надсилаються до C2, шифруються за допомогою AES, а зловмисне програмне забезпечення перевіряє середовище, у якому воно знаходиться, щоб уникнути аналізу. Результати цих перевірок надсилаються до C2 на початковій стадії зараження та використовуються для профілювання жертви.
    Шкідлива активність була виявлена в червні 2023 року, а в середині серпня дослідники виявили нову версію шкідливого ПЗ. Оновлене шкідливе програмне забезпечення забезпечило покращений уникнення заходів безпеки, що свідчить про постійну систематичну роботу з оптимізації атак.
    Атаки XDSpy
    F.A.C.C.T. Дослідники повідомляють, що група XDSpy APT атакує російських металургів і підприємства ВПК. Нові шкідливі розсилки були виявлені 21-22 листопада на адресу російського металургійного підприємства, а також НДІ, що спеціалізується на розробці бойових ракет. В обох випадках у електронному підписі містився логотип інституту ядерних досліджень, а відправником була вказана електронна адреса логістичної компанії з Калінінграда. Крім того, було виявлено ще один лист, надісланий російським металургам, але з білоруської адреси.
    Ланцюг вбивств групи нової листопадової кампанії відповідає описаним раніше атакам XDSpy. Електронні листи містять посилання на PDF-файл, який веде до завантаження шкідливого ZIP-архіву. Архів містить файл lnk і файл командного рядка, які в кінцевому підсумку призводять до того, що код C# компілюється в шкідливі корисні дані .NET і запускається. Віктимологія XDSpy корелює з попередніми цілями серед військових, фінансових, енергетичних, дослідницьких і гірничодобувних компаній у Російській Федерації.
    Незважаючи на те, що APT активно працює з 2011 року, міжнародні дослідники досі не знають, в інтересах якої країни він працює.
    DarkWatchman атакує RAT
    F.A.C.C.T. Дослідники виявили нову кампанію з використанням безфайлового JavaScript DarkWatchman, пов’язану з атаками на російські компанії під виглядом розсилок від служби кур’єрської доставки Pony Express. До списку увійшли 30 одержувачів від банківських установ, маркетплейсів, операторів зв’язку, аграрних і паливно-енергетичних компаній, логістичних та IT-компаній.
    У повідомленні одержувача повідомляють про те, що термін безкоштовного зберігання його посилок закінчився, а у вкладеному архіві з рахунком міститься шкідливий DarkWatchman RAT. Електронні листи були надіслані з домену сайту ponyexpress[.], який раніше використовувався для фішингу. Крім того, багатоканальний номер телефону, вказаний в електронному листі, насправді належить кур’єрській службі Pony Express.
    DarkWatchman RAT вже давно спостерігають за російськими організаціями. Раніше оператори DarkWatchman RAT поширювали шкідливі програми під виглядом архіву з результатами фейкового тендеру від Міноборони Росії, фейкових повісток військкомату, а також через фейковий сайт російського розробника в області. криптографії.
    Пекельні гончі нападають
    Дослідники Positive Technologies викрили діяльність нової групи Hellhounds, яка націлена на російські комерційні та державні організації. Кампанія отримала назву Operation Lahat, тому що телеметрія із заражених хостів надсилалася на обліковий запис із іменем користувача «lahat».
    Дослідження почалося в жовтні 2023 року, коли PT CSIRT виявив компрометацію енергетичної компанії за допомогою трояна Decoy Dog. Decoy Dog використовувався для атак на російські організації принаймні з вересня 2022 року. Однак зразок, знайдений на хості жертви, був новою, більш досконалою модифікацією трояна.
    Дослідники повідомили, що Hellhounds докладає значних зусиль, щоб приховати свою активність на хостах і в мережі. На першому етапі зловмисники використовують Decoy Dog Loader, який захищений модифікованою версією пакувальника UPX. На відміну від звичайного UPX, ця модифікація не розпаковує виконуваний файл, а скоріше шелл-код, повністю написаний мовою асемблера та використовуючи лише системні виклики Linux. Сам завантажувач працює в системі та маскується під законну службу cron. На другому етапі використовується основне корисне навантаження, яке є модифікованою версією Pupy RAT (кросплатформенний багатофункціональний бекдор), який дослідники називають Decoy Dog.
    Постраждали щонайменше 20 російських організацій, більшість з яких у державному секторі, інформаційних технологіях, космічній промисловості та енергетиці, а також будівельні, транспортні та логістичні компанії.
    Аналіз TTP не дозволив дослідникам пов’язати зловмисників з будь-якими раніше відомими групами APT.
    За даними PT, Hellhounds причетні до злому російського телекомунікаційного оператора, де їм вдалося вивести з ладу деякі з його послуг. Про це повідомили дослідники Solar 4RAYS в рамках своєї презентації «Thanos’ blip for the telecom operator» на SOC-Forum 2023.
    Хмарний атлас атакує
    F.A.C.C.T. дослідники виявили нову кампанію кібершпигунства групи Cloud Atlas APT (також відомої як Clean Ursa, Inception, Oxygen), націленої на російське агропромислове підприємство та державну дослідницьку компанію. Загрозливий актор відомий своїми постійними кампаніями, націленими на Росію, Білорусь, Азербайджан, Туреччину та Словенію.
    Відправною точкою нової кампанії є фішингові повідомлення під виглядом підтримки учасників Спеціальної військової операції та військового обліку з документом-приманкою, який використовує CVE-2017-11882, пошкодження пам’яті шестирічної давності в редакторі формул Microsoft Office. , технологія Cloud Atlas застосовувалася ще в жовтні 2018 року. Електронні листи надходять від популярних російських поштових сервісів Yandex Mail і Mail.ru VK. Успішне використання вразливості призводить до виконання шелл-коду, який відповідає за завантаження та запуск обфускованого файлу HTA. Завантажена шкідлива програма HTML згодом запускає файли Visual Basic Script (VBS), які відповідають за отримання та виконання невідомого коду VBS з віддаленого сервера. На момент дослідження VBS-код наступного етапу був недоступний.
    Харіус нападає
    Дослідники Symantec поділилися доказами нової групи APT під назвою «Grayling», яка була спрямована переважно на тайванські організації в рамках кампанії кібершпигунства, яка тривала щонайменше чотири місяці. Діяльність групи почалася в лютому 2023 року і тривала принаймні до травня 2023 року, викрадаючи конфіденційну інформацію у виробничих, ІТ- та біомедичних компаній на Тайвані, а також у жертв у США, В’єтнамі та на островах Тихого океану.
    Група розгорнула бічне завантаження DLL через експортований API SbieDll_Hook для завантаження таких інструментів, як Cobalt Strike Stager, що веде до популярного інструменту після експлуатації Cobalt Strike Beacon. Він також встановив «Havoc», структуру командування та управління (C2) з відкритим кодом, яка використовується подібно до Cobalt Strike. У звіті зазначається, що Grayling використовував загальнодоступний інструмент шпигунського програмного забезпечення NetSpy, скористався застарілою помилкою підвищення привілеїв Windows CVE-2019-0803, а також завантажив і виконав шелл-код. Інші дії цих зловмисників після експлуатації включають використання процесів знищення для знищення всіх процесів, перелічених у файлі під назвою processlist.txt, і використання Mimikatz для скидання облікових даних.
    Атака на критичну інфраструктуру Данії
    Данське SektorCERT повідомило про одночасну кібератаку на 22 компанії, пов’язані з енергетичним сектором країни, 11 травня 2023 року. Серед оприлюднених подробиць було те, що одна організація втратила видимість трьох своїх віддалених локацій, і співробітникам організації довелося виїхати в усі ці локації.
    Зловмисники скористалися критичною вразливістю впровадження команд (CVE‑2023‑28771), яка впливає на брандмауери Zyxel. Одинадцять компаній було успішно скомпрометовано: зловмисники запустили шкідливий код, щоб провести розвідку конфігурацій брандмауера та визначити подальші дії. Деякі з розгорнутих корисних навантажень були пов’язані з варіантом Mirai Moobot.
    Агентство приписує атаки або принаймні частину з них Sandworm (він же Hades), але без повної впевненості. Трафік в одній із постраждалих організацій був пов’язаний з IP-адресою, яка раніше використовувалася Sandworm. Однак SektorCERT наполягав на тому, що атрибуція не може бути зроблена з упевненістю через повну відсутність доказів.
    Атаки AeroBlade
    Дослідники BlackBerry виявили раніше невідому хакерську групу кібершпигунства під назвою AeroBlade, спрямовану на організації в аерокосмічному секторі США. Кампанія розгорталася в два етапи: хвиля тестування у вересні 2022 року та більш просунута атака в липні 2023 року.
    Атаки використовували фішинг із застосуванням озброєних документів, скидаючи корисне навантаження зворотного снаряда. В обох атаках зворотна оболонка підключалася до тієї самої IP-адреси C2, а зловмисники використовували ті самі документи-приманки на етапі фішингу. Остання зворотна оболонка атаки 2023 року була більш прихованою, використовувала більше методів обфускації та антианалізу, а також містила опцію переліку каталогів із заражених жертв.
    BlackBerry оцінює із середньою або високою впевненістю, що метою атак було комерційне кібершпигунство з метою збору цінної інформації.
    USB-атаки за допомогою Vetta Loader
    Під час розслідування, проведеного командою Yoroi зі зловмисного програмного забезпечення ZLab, було виявлено постійну загрозу, яка вражає кілька італійських компаній, насамперед у промисловості, виробництві та цифровому друку. Спосіб дії цієї загрози передбачає використання заражених USB-накопичувачів із використанням сильної залежності від флеш-накопичувачів для обміну даними в цих секторах.
    Дослідники виявили принаймні чотири різні варіанти того самого завантажувача зловмисного програмного забезпечення під назвою Vetta Loader, який запускається як частина ланцюга зараження за допомогою USB-накопичувачів, усі вони написані різними мовами програмування: NodeJS, Golang, Python і .NET. Усі вони працюють за однаковою логікою для зв’язку з C2, а потім завантажують інші корисні дані. Остаточні завантажені корисні навантаження більше не були доступні на момент аналізу. Було знайдено початковий USB Infector, відповідальний за зараження USB-пристроїв, а також інші модулі, здатні збирати системну інформацію та шкідливе програмне забезпечення Bitcoin Clipper.
    Дослідники Yoroi стверджують із середньо-високим рівнем упевненості, що атаки були здійснені італомовним загрозливим актором.
    Сповіщення CISA
    Повідомлення CISA щодо CVE-2022-47966 і CVE-2022-42475
    Атаки на американську аеронавігаційну організацію були детально описані в консультації, авторами якої є CISA, ФБР і Кібернаціональна місія (CNMF). Вважається, що напади почалися в січні.
    У повідомленні зазначено, що групи розширених постійних загроз (APT) національних держав використовували критичну вразливість віддаленого виконання коду (CVE-2022-47966), щоб отримати неавторизований доступ до примірника Zoho ManageEngine ServiceDesk Plus організації, а потім переміщувалися через їхню мережу. Інші групи APT використовували вразливість переповнення буфера на основі динамічної пам’яті (CVE‑2022-42475) у FortiOS SSL-VPN, щоб встановити присутність на брандмауері Fortinet організації.
    Через експлойт Zoho зловмисники змогли отримати доступ до веб-сервера кореневого рівня та створити локальний обліковий запис користувача з правами адміністратора. Крім того, учасники могли завантажувати зловмисне програмне забезпечення, нумерувати мережу, збирати облікові дані адміністратора та переміщатися по мережі організації.
    Залишається незрозумілим, чи призвели атаки до доступу до даних, їх зміни або викрадання через те, що організація не чітко визначила, де їхні дані розташовані в центрі, а CISA мала обмежене покриття мережі.
    У повідомленні не віднесено атаку до будь-якої конкретної групи загроз, але зазначено, що розслідування CISA виявило дублюючі тактики, методи та процедури (TTP), які можна віднести до кількох груп APT.
    Консультація CISA щодо програм-вимагачів Snatch
    Федеральне бюро розслідувань (ФБР) і Агентство з кібербезпеки та безпеки інфраструктури (CISA) випустили спільне консультування з кібербезпеки (CSA) для поширення відомих програм-вимагачів IOC і TTP, пов’язаних із варіантом програм-вимагачів Snatch, ідентифікованим під час розслідувань ФБР ще 1 червня 2023 року.
    Попередження попереджало про те, що зловмисник націлений на широкий спектр критично важливих секторів інфраструктури, включаючи ІТ-сектор, оборонно-промислову базу США, харчову та сільськогосподарську вертикалі.
    З середини 2021 року суб’єкти загрози Snatch постійно вдосконалювали свою тактику, щоб скористатися перевагами поточних тенденцій у просторі кіберзлочинців, і було помічено, що вони купують раніше вкрадені дані в інших груп програм-вимагачів, намагаючись використати жертв і сплатити викуп, щоб уникнути їх дані, оприлюднені в блозі про вимагання Snatch.
    У багатьох атаках оператори Snatch націлювалися на слабкі місця в протоколі віддаленого робочого столу (RDP), щоб отримати доступ на рівні адміністратора до цільової мережі. В інших випадках вони використовували вкрадені або придбані облікові дані, щоб закріпитися. Потрапивши в мережу, зловмисник іноді може витратити до трьох місяців, пересуваючись по мережі, шукаючи файли та папки для цільової атаки.
    У повідомленні ФБР і CISA описано, що оператори Snatch використовують комбінацію законних і шкідливих інструментів у скомпрометованих мережах. До них належать такі інструменти для посткомпромісної перевірки, як інструмент тестування на проникнення з відкритим кодом Metasploit, Cobalt Strike для подальшого переміщення та утиліти, такі як sc.exe для створення, запиту, додавання та видалення служб і виконання інших завдань.
    Попередження CISA про атаки BlackTech
    У спільній консультації Агентства національної безпеки США (NSA), ФБР, Агентства з кібербезпеки та безпеки інфраструктури (CISA), Агентства національної поліції Японії (NPA) і Японського національного центру готовності до інцидентів і стратегії кібербезпеки (NISC) попереджено, що загроза Група під назвою BlackTech (також відома як Palmerworm, Temp.Overboard, Circuit Panda та Radio Panda) непомітно модифікувала мікропрограму маршрутизатора Cisco IOS і використовувала переваги доменно-довірчих відносин маршрутизаторів для переходу/переходу від дочірніх організацій до основних цільових організацій у США. і Японії. Зломи були спрямовані на державні установи, а також промислові, технологічні, медіа, електроніку та телекомунікаційні компанії.
    У консультації агентства заявили, що BlackTech використовувала атаки для розгортання спеціального бекдору прошивки. Функція бекдору вмикається та вимикається за допомогою спеціально створених пакетів TCP або UDP. Вони закликали багатонаціональні організації переглянути всі мережеві з’єднання зі своїми дочірніми офісами та перерахували низку заходів безпеки, які вони повинні вжити, щоб зменшити потенційний ризик банди APT.
    Cisco випустила бюлетень, у якому зазначається, що найпоширенішим початковим вектором доступу в цих атаках є вкрадені або слабкі облікові дані адміністратора. Не було жодних ознак використання вразливостей Cisco.
    Сповіщення CISA про програму-вимагач Rhysida
    Агентство кібербезпеки та безпеки інфраструктури США (CISA), Федеральне бюро розслідувань (ФБР) і Міждержавний центр обміну та аналізу інформації (MS-ISAC) випустили спільне сповіщення, яке надає захисникам індикатори компрометації Rhysida Ransomware (IOC). ), інформацію про виявлення, а також тактику, прийоми та процедури (ТТП), виявлені під час розслідувань станом на вересень 2023 року.
    Зловмисники, які стоять за програмою-вимагачем Rhysida, беруть участь у опортуністичних атаках, націлених на організації в різних секторах промисловості. Якщо розглядати як модель Ransomware-as-a-Service (RaaS), учасники Rhysida скомпрометували організації в освіті, виробництві, інформаційних технологіях і державному секторі з травня 2023 року, і будь-який сплачений викуп розподіляється між групою та її філіями.
    Учасники Rhysida використовують зовнішні віддалені служби, такі як VPN, уразливість Zerologon (CVE-2020-1472) і фішингові кампанії, щоб отримати початковий доступ і постійність у мережі. Кажуть також, що він збігається з іншою командою програм-вимагачів, відомою як Vice Society (така ж Storm-0832 або Vanilla Tempest).
    Сповіщення CISA про програму-вимагач LockBit 3.0
    21 листопада 2023 року Агентство з кібербезпеки та безпеки інфраструктури (CISA), Федеральне бюро розслідувань (ФБР), Міждержавний центр обміну та аналізу інформації (MS-ISAC) і Австралійський центр кібербезпеки Директорату сигналів Австралії (ACSC ASD) опубліковано спільне попередження, яке поширює індикатори компрометації (IOC), тактику, методи та процедури (TTP) і методи виявлення, пов’язані з програмним забезпеченням-вимагачем LockBit 3.0, що використовує CVE-2023-4966, позначене Citrix Bleed, що впливає на контроль доставки веб-додатків Citrix NetScaler (ADC). ) і пристрої NetScaler Gateway. Уразливість дозволяє зловмисникам обійти вимоги до пароля та багатофакторну автентифікацію (MFA), що дозволяє їм контролювати сеанси користувачів на пристроях Citrix NetScaler ADC і Gateway.
    LockBit — це сімейство програм-вимагачів, яке діє з вересня 2019 року за моделлю Ransomware-as-a-Service (RaaS). Афілійовані особи LockBit 3.0 здійснювали атаки на організації різного розміру в багатьох секторах критичної інфраструктури, включаючи освіту, енергетику, фінансові послуги, продовольство та сільське господарство, державні та екстрені служби, охорону здоров’я, виробництво та транспорт.
    Сповіщення CISA про атаки CyberAv3ngers
    14 грудня Агентство з кібербезпеки та безпеки інфраструктури (CISA), Федеральне бюро розслідувань (ФБР), АНБ, EPA та Національне кіберуправління Ізраїлю опублікували спільну консультацію з кібербезпеки (CSA) про загрозу, яка називає себе CyberAv3ngers, відповідальною за атаку на Муніципальне водне управління Аліквіппи в Пенсільванії. На додаток до листопадового попередження CISA, агентства-автори випустили спільний CSA, щоб поділитися індикаторами компромісу (IOC) і тактикою, технікою та процедурами (TTP), пов’язаними з кіберопераціями актора.
    Актор зосереджений на атаці та компрометації програмованих логічних контролерів (PLC) ізраїльського виробництва Unitronics Vision Series. Ці ПЛК зазвичай використовуються в секторі систем водопостачання та водовідведення (WWS), а також в інших галузях, включаючи, але не обмежуючись цим, енергетику, виробництво продуктів харчування та напоїв, а також охорону здоров’я. Після того, як пристрої зламано, хакери зіпсували їхній інтерфейс користувача, потенційно зробивши ПЛК непрацездатним.
    Агентства заявили, що з 22 листопада зловмисники, пов’язані з IRGC, атакували численні об’єкти водного сектору США, які покладаються на ПЛК Unitronics Vision. Жертви перебували в кількох штатах.
    Сповіщення CISA про Star Blizzard
    У спільній консультації, опублікованій 7 грудня, агентства безпеки «П’ять очей» (Агентство з кібербезпеки та безпеки інфраструктури (CISA) у координації з Національним центром кібербезпеки Сполученого Королівства (UK-NCSC), Австралійським центром кібербезпеки Директорату сигналів Австралії ( ACSC ASD), Канадський центр кібербезпеки (CCCS), Національний центр кібербезпеки Нової Зеландії (NCSC-NZ), Агенство національної безпеки США (NSA), Федеральне бюро розслідувань (ФБР) і Кібернаціональна місія Cyber Command. (CNMF)) попередив про розвиток методів фішингу, які використовує Star Blizzard, і їх націлювання на окремих осіб і організації, включаючи уряд США та базу оборонної промисловості.
    У сповіщенні розповідається про тактику та прийоми групи, засновані на реальних спостереженнях. Зловмисник використовує типові фішингові засоби та ділиться посиланням у повідомленні електронної пошти чи документі, яке нібито веде на цікавий документ чи веб-сайт. Це приведе ціль до серверу, керованого актором, і спонукає ціль ввести облікові дані облікового запису.
    Star Blizzard використовує фреймворк з відкритим вихідним кодом EvilGinx у своїй фішинговій діяльності, що дозволяє їм збирати облікові дані та файли cookie сеансу, щоб успішно обійти використання двофакторної автентифікації. Потім Star Blizzard використовує викрадені облікові дані для входу в обліковий запис електронної пошти цілі, звідки вони, як відомо, отримують доступ до електронних листів і вкладень із папки “Вхідні” жертви та крадуть їх. Вони також встановили правила пересилання пошти, надаючи їм постійну видимість листування жертв, а також використовували скомпрометовані облікові записи електронної пошти для подальшої фішингової діяльності.

By Черний Олек

Related Post

новини

Російські фішингові кампанії використовують функцію зв’язування пристроїв Signal

Черний Олек Бер 13, 2025
новини

Підгрупа початкового доступу Sandworm APT вражає організації по всьому світу

Черний Олек Бер 12, 2025
новини

Повідомляється, що США звільнили російського кіберзлочинця Олександра Вінника в рамках обміну ув’язненими

Черний Олек Бер 10, 2025

Ви пропустили

новини

Російські фішингові кампанії використовують функцію зв’язування пристроїв Signal

новини

Підгрупа початкового доступу Sandworm APT вражає організації по всьому світу

новини

Повідомляється, що США звільнили російського кіберзлочинця Олександра Вінника в рамках обміну ув’язненими

новини

Підгрупа російського Sandworm компрометує організації США та Європи, заявляє Microsoft