Інтерв'ю з власником vx-underground, найбільшої колекції семплів, вихідних кодів та статей з дослідження малварі. З понад 35 000 000 семплів малварі, vx-underground є раєм для хакерів. Найціннішими знахідками бібліотеки малварі є зразки APT груп, включаючи Lazarus, FIN7, Ferocious Kitten, Nobelium і не тільки.
therecord.media
How vx-underground is building a hacker\'s dream library
When malware repository vx-underground launched in 2019, it hardly made a splash in the hacking world. \"I had no success really,\" said its founder, who goes by the online moniker smelly_vx.
Приємні новини на кібергоризонті. Російські системи активно почав атакувати шифрувальник під назвою RuRansom.
Як розповіли спеціалісти VMware, які підготували аналіз шифрувальника, малварь написана на .NET і може поширюватись на інші знімні або мережеві диски створюючи свою копію у вигляді файлу з назвою “Россия-Украина_Война-Обновление.doc.exe”.
При виконанні малварь виконує цікаву функцію під назвою IsRussia(), яка перевіряє публічний IP-адрес зараженої системи за допомогою сервіса https://api[.]ipify[.]org. І визначає геолокацію IP-адресу на сервісі https://ip-api[.]com. Якщо в геолокації машини жертви немає слова "Russia", тоді малварь виводить вікно з повідомленням “Программу могут запускать только российские пользователи”.
Для шифрування файлів малварь використовує AES алгоритм та змінює розширення зашифрованих файлів на “.fs_invade”. Коли файл зашифровано, у тій самій папці створюється ransom note файл з назвою “Полномасштабное_кибервторжение.txt”, у якому автор передає палке вітання Путіну і повідомляє, що ніякого способу розшифрувати файли немає..
Як розповіли спеціалісти VMware, які підготували аналіз шифрувальника, малварь написана на .NET і може поширюватись на інші знімні або мережеві диски створюючи свою копію у вигляді файлу з назвою “Россия-Украина_Война-Обновление.doc.exe”.
При виконанні малварь виконує цікаву функцію під назвою IsRussia(), яка перевіряє публічний IP-адрес зараженої системи за допомогою сервіса https://api[.]ipify[.]org. І визначає геолокацію IP-адресу на сервісі https://ip-api[.]com. Якщо в геолокації машини жертви немає слова "Russia", тоді малварь виводить вікно з повідомленням “Программу могут запускать только российские пользователи”.
Для шифрування файлів малварь використовує AES алгоритм та змінює розширення зашифрованих файлів на “.fs_invade”. Коли файл зашифровано, у тій самій папці створюється ransom note файл з назвою “Полномасштабное_кибервторжение.txt”, у якому автор передає палке вітання Путіну і повідомляє, що ніякого способу розшифрувати файли немає..
VMware Security Blog
Understanding the RuRansom Malware – A Retaliatory Wiper
Take a deep dive with the Threat Analysis Unit into the RuRansom malware. A new ransomware shaping the Russian/Ukraine conflict.
Після зливу внутрішніх переписок та ресурсів українським учасником групи, Conti змогла оговтатись і схоже перебуває на тій стадії, коли угруповання є занадто великим, щоб провалитись через такий злив даних. Менше ніж через неділю після зливу переписок, нові жертви угруповання були виставлені на сайті ContiNews. Російський уряд чітко усвідомлює діяльність Conti та дозволяє їм діяти безкарно.
Блог-пост BushidoToken з найцікавішими моментами аналізу переписок та ресурсів Conti, про функціонування угруповання кіберзлочинців.
Блог-пост BushidoToken з найцікавішими моментами аналізу переписок та ресурсів Conti, про функціонування угруповання кіберзлочинців.
blog.bushidotoken.net
Lessons from the Conti Leaks
CTI, threat intelligence, OSINT, malware, APT, threat hunting, threat analysis, CTF, cybersecurity, security
Експерти Citizen Lab у співпраці з каталонськими групами громадянського суспільства розкрили атаки шпигунського програмного забезпечення Pegasus і Candiru проти щонайменше 65 каталонських політиків та активістів.
Атаки включали використання iOS zero-click exploit під назвою HOMAGE, який раніше не був описаний та дозволяв проникати на пристрої з версіями iOS 13.2 та нижче.
Хоча атаки не були пов’язані з певним урядом або організацією, Citizen Lab припускали зв’язок з іспанською владою на основі «цілого ряду непрямих доказів», посилаючись на постійну напруженість між країною та Каталонією на тлі закликів до каталонської незалежності.
Атаки включали використання iOS zero-click exploit під назвою HOMAGE, який раніше не був описаний та дозволяв проникати на пристрої з версіями iOS 13.2 та нижче.
Хоча атаки не були пов’язані з певним урядом або організацією, Citizen Lab припускали зв’язок з іспанською владою на основі «цілого ряду непрямих доказів», посилаючись на постійну напруженість між країною та Каталонією на тлі закликів до каталонської незалежності.
The Citizen Lab
CatalanGate: Extensive Mercenary Spyware Operation against Catalans Using Pegasus and Candiru - The Citizen Lab
The Citizen Lab, in collaboration with Catalan civil society groups, has identified at least 65 individuals targeted or infected with mercenary spyware, including members of the European Parliament, Catalan Presidents, legislators, jurists, and members of…
Google Project Zero назвав 2021 рік «рекордним роком для in-the-wild 0-days», оскільки протягом року було виявлено та розкрито 58 вразливостей. З 58 0-days лише 5 мають зразок експлоїту у публічному доступі. Для порівняння, лише 25 0-days було виявлено у 2020 році.
Blogspot
The More You Know, The More You Know You Don’t Know
A Year in Review of 0-days Used In-the-Wild in 2021 Posted by Maddie Stone, Google Project Zero This is our third annual year in rev...
Наступний пост про дослідження набору методів, які можна використовувати для обходу провідних рішень з захисту кінцевих точок (EDR). При атаці ключовою проблемою на етапі "початкового доступу" є обхід EDR рішень. За словами автора, поєднання цих методів дозволяє обійти (серед інших) Microsoft Defender for Endpoint і CrowdStrike Falcon (перевірено в середині квітня 2022 року), які разом із SentinelOne лідирують у галузі захисту кінцевих точок.
Vincent Van Mieghem
A blueprint for evading industry leading endpoint protection in 2022
Bypassing CrowdStrike and Microsoft Defender for Endpoint
Дослідники з Nozomi Networks Lab нещодавно виявили новий варіант ботнету BotenaGo, спеціально призначений для цифрових відеорегістраторів Lilin. Через ім'я, яке розробники використовували у вихідному коді (/root/lillin.go), експерти так і назвали його "сканером Lillin".
Вперше про ботнет BotenaGo світові стало відомо від дослідників AT&T в листопаді 2021 року, шкідливий код якого використовував 33 експлоїти для атаки на мільйони маршрутизаторів та пристроїв IoT. А ось вихідний код BotenaGo вжу був доступний в мережі з жовтня 2021 року, що дозволило багатьом зловмисникам створювати власні версії, додаючи нові експлойти для зараження найбільшої кількості пристроїв. BotenaGo був написаний на Golang (Go) і на момент публікації звіту мав досить низький рівень виявлення – всього 6/62.
Вперше про ботнет BotenaGo світові стало відомо від дослідників AT&T в листопаді 2021 року, шкідливий код якого використовував 33 експлоїти для атаки на мільйони маршрутизаторів та пристроїв IoT. А ось вихідний код BotenaGo вжу був доступний в мережі з жовтня 2021 року, що дозволило багатьом зловмисникам створювати власні версії, додаючи нові експлойти для зараження найбільшої кількості пристроїв. BotenaGo був написаний на Golang (Go) і на момент публікації звіту мав досить низький рівень виявлення – всього 6/62.
Nozominetworks
BotenaGo's New Variant: A Find by Nozomi's Research Team
Lillin scanner is a new variant of the BotenaGo malware that specifically targets Lilin security camera DVR devices, discovered by Nozomi Networks Labs.
Цього тижня ФБР випустило повідомлення, у якому сповіщає про те, що правоохоронна організація відстежила щонайменше 60 ransomware атак групою BlackCat (ALPHV) станом на березень. У повідомлені також сказано, що BlackCat є першою ransomware групою, яка успішно атакувала таку кількість жертв, використовуючи RUST, мову програмування, яку багато хто вважає безпечнішою за інші. А більшість розробників і відмивачів грошей BlackCat/ALPHV пов'язані з Darkside/Blackmatter, що вказує на те, що вони мають обширні мережі та досвід роботи з ransomware.