Аналитические статьи

Обновление от 11 сентября, 9:00 ET Мы благодарим сообщество за комментарии, вопросы и обсуждения вокруг этой публикации. В ответ на них мы решили поделиться более детальной информацией: уточнить временные рамки, упомянутые ранее, и подробно рассказать, как именно проводилось расследование данного инцидента. Отображённая ниже схема показывает, что наши аналитики SOC удалили агент через 84 минуты после его установки на хост. К этому моменту они уже изучили вредоносные индикаторы, включая имя машины, исходное вредоносное ПО и попытки этой машины скомпрометировать учётные записи жертв. После этого аналитики провели дополнительное расследование, чтобы определить исходные намерения пользователя, в том числе выяснить, не пытался ли он...

Недавно появившейся в мессенджер «Макс», наделал много шума. Он является достаточно спорным приложением и мне пришла в голову мысль изучить приложение и посмотреть, а настолько ли опасно оно, как о нем говорят. Как можно познакомиться с приложением ближе, чем через его код? Тем более, что для исследования android-приложений нам не понадобятся сложные инструменты на подобии IDA или Ghidra, как это бывает с анализом исполняемых файлов. Для анализа я использовал стандартный, для подобной задачи, набор инструментов: JADX, APKtool, VSCode ну и конечно же Android Studio, куда без него в анализе APK файлов. Но, прежде чем лезть под капот «Макса» я установил его на эмулятор устройства и посмотрел его функционал и требуемые им разрешения. После...

RenderShock — это комплексная стратегия атак без кликов (zero-click), нацеленная на пассивные процессы предпросмотра файлов, индексации и автоматизации в современных операционных системах и корпоративных средах. Она использует встроенные механизмы доверия и фоновые процессы в файловых системах, почтовых клиентах, антивирусах и графических интерфейсах, чтобы доставлять вредоносные нагрузки без какого-либо взаимодействия пользователя. В отличие от традиционного фишинга или кампаний, требующих действий жертвы, RenderShock применяет стандартные функции системы и автоматизации для выполнения операций — от разведки и кражи данных до получения учетных данных и удалённого выполнения кода. Логика атак встраивается в метаданные, триггеры...

За год, прошедший с прошлого исследования, мы проанализировали около 581 млн новых уникальных учетных записей (пары электронная почта/пароль). В данном отчете проанализировано 6,1 млрд уникальных учетных записей. Как обычно, основной упор мы делаем на пароли. Начиная с 2017 года, всего нами было проанализировано 43,3 млрд учетных записей, включая неуникальные. Таким образом за 2024 год в анализ попало дополнительно примерно 6,7 млрд неуникальных учетных записей. Традиционно источниками анализируемых данных для нас служат различные сообщества, занимающиеся восстановлением паролей из хешей, теневые форумы и Telegram-каналы, где в открытый доступ выкладываются массовые утечки. Мы очищаем данные от «мусора» (пустых и повторяющихся...

1. Обзор В июне 2024 года компания CheckPoint-Research (CPR) опубликовала отчет о кибератаке, использующей технику Legacy Driver Exploitation. Основная цель злоумышленников — удаленное управление зараженными системами с помощью Gh0stRAT и нанесение дополнительного ущерба. Мошенники распространяли вредоносное ПО через фишинговые сайты и мессенджеры, загружая дополнительные полезные нагрузки методом DLL side-loading. Они использовали модифицированный драйвер TrueSight.sys, чтобы обойти защиту Microsoft, а затем отключали антивирусные программы и системы обнаружения угроз (EDR) для нейтрализации защиты. 2. Техника атаки Ключевая уязвимость атаки связана с драйвером TrueSight.sys, который является частью инструмента RogueKiller...

Какие выводы должен сделать обычный держатель криптовалюты из крупнейшего в истории ограбления. 21 февраля стало черным днем крипторынка из-за крупнейшего в истории взлома криптобиржи. Злоумышленники смогли вывести из второй по величине криптобиржи Bybit около $1,5 млрд. Ряд экспертов считает этот случай вообще крупнейшим ограблением всех времен. И хотя ни эта потеря, ни вывод еще пяти миллиардов долларов паникующими пользователями не являются фатальными для Bybit, этот инцидент ярко демонстрирует фундаментальные недостатки современной криптовалютной экосистемы и позволяет извлечь несколько ценных уроков для обычных владельцев крипты. Как обокрали Bybit Как и все крупные криптобиржи, Bybit использует многоуровневую защиту хранимой...

Обзор Microsoft Threat Intelligence зафиксировала изменение тактики китайской шпионской группы Silk Typhoon. Теперь группа ориентируется на распространенные IT-решения, такие как инструменты удаленного управления и облачные приложения, чтобы получить начальный доступ к системам. Хотя они не атакуют напрямую облачные сервисы Microsoft, злоумышленники эксплуатируют уязвимые приложения для повышения уровня доступа и последующих вредоносных действий. После успешного взлома Silk Typhoon использует украденные ключи и учетные данные для проникновения в сети жертв. Там они могут злоупотреблять различными развернутыми приложениями, включая сервисы Microsoft, в целях шпионажа. В новом блоге Microsoft объясняет, как ее решения по безопасности...

Обзор угрозы Платформы: Microsoft Windows Целевые жертвы: Организации любого масштаба Уровень угрозы: Высокий Последствия: Полный контроль над зараженными системами Havoc — это мощный фреймворк командно-контрольного (C2) сервера, используемый для удалённого управления заражёнными системами. Подобно другим известным C2-фреймворкам, таким как Cobalt Strike, Silver и Winos4.0, Havoc применяется в атаках для полного захвата целей. Более того, он является открытым исходным кодом и доступен на GitHub, что позволяет злоумышленникам модифицировать его для обхода систем обнаружения. Недавняя фишинговая кампания FortiGuard Labs обнаружили фишинговую атаку, в которой используется ClickFix и многоступенчатое вредоносное ПО для доставки...

Как распространяется вредоносное ПО? Исследователи AhnLab Security Intelligence Center (ASEC) обнаружили, что злоумышленники распространяют LummaC2, маскируя его под взломанную версию Total Commander. Total Commander — это файловый менеджер для Windows с поддержкой множества форматов и функций, включая копирование, перемещение, поиск по содержимому файлов, синхронизацию папок и работу с FTP/SFTP. После бесплатного пробного периода пользователям необходимо приобрести лицензию. Как жертвы заражают свои устройства? Пользователь ищет в Google “Total Commander Crack”. В поисковой выдаче отображается пост с предложением скачать кряк. Переход по ссылке приводит к Google Colab drive и предлагает скачать файл. Затем пользователь проходит...

Microsoft впервые публикует исследование о подразделении российской хакерской группы Seashell Blizzard и её долгосрочной операции по начальному проникновению, известной как кампания BadPilot. Это подразделение осуществляло компрометацию различных интернет-ориентированных инфраструктур, обеспечивая Seashell Blizzard возможность сохранять доступ к высокоценным целям и поддерживать специализированные операции в сетях. В этом материале рассматриваются недавно зафиксированные тактики, техники и процедуры (TTPs) этой группы, а также три характерных способа эксплуатации уязвимостей. Географический охват этой кампании существенно расширяет деятельность Seashell Blizzard за пределами Восточной Европы. Кроме того, методы случайного доступа...

Это логическое продолжение этой статьи. 1. Обзор CoinMiner — это вредоносное ПО, которое скрытно использует ресурсы процессора (CPU) и видеокарты (GPU) зараженного компьютера для майнинга криптовалют. Это приводит к замедлению работы системы. Обычно CoinMiner распространяется через фишинговые электронные письма, вредоносные веб-сайты, уязвимости системы и другие методы. В данном отчете рассмотрены обнаруженные механизмы работы CoinMiner на основе данных системы AhnLab EDR, а также объясняются методы его выявления. 2. Повышение привилегий Зараженный USB-носитель содержит не оригинальные файлы пользователя, а ярлык с именем USB Drive.lnk. При запуске он выполняет VBS-скрипт x<случайные 6 цифр>.vbs, расположенный в скрытой папке...

Обзор Эксперты из AhnLab Security Intelligence Center (ASEC) обнаружили случай распространения криптомайнингового вредоносного ПО через USB-накопители в Южной Корее. На фоне роста цен на криптовалюты увеличилось количество атак с использованием майнеров, которые используют ресурсы ПК без согласия пользователя. Хотя криптомайнинг сам по себе легален, установка программ для майнинга без разрешения, которые ухудшают производительность системы, считается незаконной. В данном случае злоумышленники распространяли майнер для Monero через USB и вносили изменения в системные настройки жертвы для оптимизации производительности и обхода систем защиты. Характеристика атаки Атака включала следующие действия: Добавление исключений в Windows...

Аналитический центр AhnLab Security Intelligence Center (ASEC) ранее анализировал атаки группы Kimsuky, использующей бэкдор PebbleDash и собственную разработку RDP Wrapper. Группа продолжает использовать эти методы атак, и в этом посте рассмотрены дополнительные вредоносные программы, которые были выявлены в новых инцидентах. 1. Обзор Злоумышленники распространяют ярлыки (*.LNK), содержащие вредоносные команды, через атаки типа spear-phishing. Названия файлов, включающие имена и компании, указывают на то, что угроза может быть направлена на конкретные цели. Вредоносные ярлыки маскируются под документы с иконками Office, такими как PDF, Excel или Word. При запуске файла исполняется PowerShell или Mshta, что позволяет загрузить и...

В декабре 2024 года Microsoft Threat Intelligence зафиксировала ограниченную активность неизвестного злоумышленника, который использовал публично доступный статический ключ ASP.NET для внедрения вредоносного кода и доставки фреймворка для пост-эксплуатации Godzilla. В ходе расследования и разработки мер защиты Microsoft выявила небезопасную практику, при которой разработчики интегрировали публично раскрытые ключи ASP.NET из открытых источников, таких как документация и репозитории кода. Это позволило злоумышленникам совершать атаки на целевые серверы. Microsoft обнаружила более 3 000 публично доступных ключей, которые могут использоваться для атак путем инъекций кода через ViewState. Ранее подобные атаки основывались на...

Эксперты AhnLab Security Intelligence Center (ASEC) выявили, что группа Andariel применяет вредоносный файл для выполнения атаки RID-хайджек (RID Hijacking) в процессе взлома. RID-хайджек — это техника атаки, которая включает изменение значения RID (Relative Identifier) учетной записи с ограниченными привилегиями (например, обычного пользователя или гостевой учетной записи) на значение учетной записи с более высокими привилегиями, такой как учетная запись администратора. В отчете Корейского агентства интернета и безопасности (KISA) «TTPs #11: Operation An Octopus – Analysis on Attack Strategies Targeting Centralized Management Solutions» упоминается, что группа Andariel использует технику RID-хайджека для создания бэкдор-аккаунта в...

Хватит насиловать труп... Вы задумывались, почему Microsoft выпускает исправления безопасности для всех своих ОС в один день? Бюллетень безопасности Microsoft от 13 мая 2014 года не содержит заплаток для Windows XP, но это вовсе не означает отсутствия новых уязвимостей в этой системе. Сегодня я хочу обсудить риски работы в ОС после окончания срока ее поддержки. Эта запись продолжает летнюю серию статей о безопасности, начало которой положил рассказ о бюллетенях Microsoft. Поскольку я не пишу об XP, мало кто из постоянных читателей работает дома в этой системе. Предположу, однако, что многие из вас все еще сталкиваются с ней у друзей и знакомых, а также по месту работы или учебы, потому что до сих пор ее доля составляет четверть ОС...

24 июля 2024 года CrowdStrike сообщила, что глобальный сбой с BSOD на более чем 8,5 млн ПК с Windows произошёл из-за логической ошибки в коде в файле размером 40,04 КБ с обновлением для ИБ-сенсора Falcon, которую с помощью тестового ПО внутри компании обнаружить не удалось. Фактически текущие тестовые инструменты CrowdStrike не позволяли должным образом проверять код в обновлении контента для сенсоров, который был распространён на миллионы компьютеров по всему миру. CrowdStrike пообещала более тщательно тестировать обновления, улучшить обработку ошибок в коде и реализовать поэтапное развёртывание патчей, чтобы избежать повторения этой IT-катастрофы. В CrowdStrike пояснили, что выпустили некорректное обновление конфигурации контента...

Исследователи показывают, как спрятать слона в муравейнике. Специалисты Trustedsec опубликовали исследование Hiding in Plain Sight, которое предлагает новый и необычный бесфайловый метод скрытия данных с использованием структуры папок. Скрытие данных без файлов Традиционно антивирусное ПО и DLP-решения (Data Loss Prevention) фокусируются на файлах, где и хранится информация. Однако новое открытие исследователей ставит под сомнение привычную парадигму. Специалисты предложили использовать папки как контейнеры для хранения данных. Папки сами по себе не содержат данных, но их имена могут использоваться для кодирования информации. Как это работает? Идея состоит в создании иерархической структуры папок (одна внутри другой), где каждая...

DevOps стал важной частью современной разработки, интегрируя процессы разработки и эксплуатации для ускорения выпуска продуктов. Одной из ключевых составляющих успеха в DevOps являются правильно подобранные инструменты, которые помогают автоматизировать, ускорять и оптимизировать процессы. В этой статье мы рассмотрим пять инструментов, которые необходимы каждому IT-специалисту для успешной работы с DevOps. Инструмент 1: Jenkins Jenkins — один из самых популярных инструментов для автоматизации процессов непрерывной интеграции и доставки (CI/CD). Он позволяет разработчикам легко интегрировать изменения в коде и автоматически тестировать их перед развертыванием. С Jenkins можно настроить пайплайн, который охватывает все этапы разработки...

Анализ CVE-2024-38063: удаленная эксплуатация ядра Windows Мы разобрались, как работает ошибка в сетевом стеке Windows, позволяющая удаленно получить максимальные привилегии в системе без каких-либо действий со стороны пользователя. Рассказываем, как локализовали уязвимость, сравнив две версии драйвера, и сформировали сценарий атаки. Каждый второй вторник месяца компания Microsoft выпускает Patch Tuesday — обновление для ОС Windows, в котором устраняет критические уязвимости. В обновлении от 13 августа 2024 года была исправлена критическая уязвимость в сетевом стеке, позволяющая получить удаленный доступ с максимальными привилегиями при возможности сетевого взаимодействия по протоколу IPv6. Ей был присвоен идентификатор...