Інтерв'ю з власником vx-underground, найбільшої колекції семплів, вихідних кодів та статей з дослідження малварі. З понад 35 000 000 семплів малварі, vx-underground є раєм для хакерів. Найціннішими знахідками бібліотеки малварі є зразки APT груп, включаючи Lazarus, FIN7, Ferocious Kitten, Nobelium і не тільки.

Приємні новини на кібергоризонті. Російські системи активно почав атакувати шифрувальник під назвою RuRansom.

Як розповіли спеціалісти VMware, які підготували аналіз шифрувальника, малварь написана на .NET і може поширюватись на інші знімні або мережеві диски створюючи свою копію у вигляді файлу з назвою “Россия-Украина_Война-Обновление.doc.exe”.

При виконанні малварь виконує цікаву функцію під назвою IsRussia(), яка перевіряє публічний IP-адрес зараженої системи за допомогою сервіса https://api[.]ipify[.]org. І визначає геолокацію IP-адресу на сервісі https://ip-api[.]com. Якщо в геолокації машини жертви немає слова "Russia", тоді малварь виводить вікно з повідомленням “Программу могут запускать только российские пользователи”.

Для шифрування файлів малварь використовує AES алгоритм та змінює розширення зашифрованих файлів на “.fs_invade”. Коли файл зашифровано, у тій самій папці створюється ransom note файл з назвою “Полномасштабное_кибервторжение.txt”, у якому автор передає палке вітання Путіну і повідомляє, що ніякого способу розшифрувати файли немає..

Після зливу внутрішніх переписок та ресурсів українським учасником групи, Conti змогла оговтатись і схоже перебуває на тій стадії, коли угруповання є занадто великим, щоб провалитись через такий злив даних. Менше ніж через неділю після зливу переписок, нові жертви угруповання були виставлені на сайті ContiNews. Російський уряд чітко усвідомлює діяльність Conti та дозволяє їм діяти безкарно.

Блог-пост BushidoToken з найцікавішими моментами аналізу переписок та ресурсів Conti, про функціонування угруповання кіберзлочинців.

Експерти Citizen Lab у співпраці з каталонськими групами громадянського суспільства розкрили атаки шпигунського програмного забезпечення Pegasus і Candiru проти щонайменше 65 каталонських політиків та активістів.

Атаки включали використання iOS zero-click exploit під назвою HOMAGE, який раніше не був описаний та дозволяв проникати на пристрої з версіями iOS 13.2 та нижче.

Хоча атаки не були пов’язані з певним урядом або організацією, Citizen Lab припускали зв’язок з іспанською владою на основі «цілого ряду непрямих доказів», посилаючись на постійну напруженість між країною та Каталонією на тлі закликів до каталонської незалежності.

Google Project Zero назвав 2021 рік «рекордним роком для in-the-wild 0-days», оскільки протягом року було виявлено та розкрито 58 вразливостей. З 58 0-days лише 5 мають зразок експлоїту у публічному доступі. Для порівняння, лише 25 0-days було виявлено у 2020 році.

Наступний пост про дослідження набору методів, які можна використовувати для обходу провідних рішень з захисту кінцевих точок (EDR). При атаці ключовою проблемою на етапі "початкового доступу" є обхід EDR рішень. За словами автора, поєднання цих методів дозволяє обійти (серед інших) Microsoft Defender for Endpoint і CrowdStrike Falcon (перевірено в середині квітня 2022 року), які разом із SentinelOne лідирують у галузі захисту кінцевих точок.

Дослідники з Nozomi Networks Lab нещодавно виявили новий варіант ботнету BotenaGo, спеціально призначений для цифрових відеорегістраторів Lilin. Через ім'я, яке розробники використовували у вихідному коді (/root/lillin.go), експерти так і назвали його "сканером Lillin".

Вперше про ботнет BotenaGo світові стало відомо від дослідників AT&T в листопаді 2021 року, шкідливий код якого використовував 33 експлоїти для атаки на мільйони маршрутизаторів та пристроїв IoT. А ось вихідний код BotenaGo вжу був доступний в мережі з жовтня 2021 року, що дозволило багатьом зловмисникам створювати власні версії, додаючи нові експлойти для зараження найбільшої кількості пристроїв. BotenaGo був написаний на Golang (Go) і на момент публікації звіту мав досить низький рівень виявлення – всього 6/62.

Цього тижня ФБР випустило повідомлення, у якому сповіщає про те, що правоохоронна організація відстежила щонайменше 60 ransomware атак групою BlackCat (ALPHV) станом на березень. У повідомлені також сказано, що BlackCat є першою ransomware групою, яка успішно атакувала таку кількість жертв, використовуючи RUST, мову програмування, яку багато хто вважає безпечнішою за інші. А більшість розробників і відмивачів грошей BlackCat/ALPHV пов'язані з Darkside/Blackmatter, що вказує на те, що вони мають обширні мережі та досвід роботи з ransomware.

Вийшов PoC для недавньої криптографічної вразливості Java. Проблема полягає в реалізації Java алгоритму цифрового підпису еліптичної кривої (ECDSA), криптографічного механізму для цифрового підпису повідомлень і даних для перевірки автентичності та цілісності вмісту. PoC включає вразливий клієнт і зловмисний TLS сервер, перший з яких приймає недійсний підпис від сервера, фактично дозволяючи безперешкодно продовжувати рукостискання TLS.

CVE-2022-21449 (CVSS score: 7.5), впливає на наступні версії (Oracle Java SE: 7u331, 8u321, 11.0.14, 17.0.2, 18; Oracle GraalVM Enterprise Edition: 20.3.5, 21.3.1, 22.0.0.2).

В рамках нової кампанії, кросплатформний майнинговий ботнет LemonDuck націлений на Docker для майнінгу криптовалюти в системах Linux.

«Він здійснює анонімний майнінг за допомогою пулів проксі, які приховують адреси гаманців», — йдеться в новому звіті CrowdStrike. «Також, він може уникати виявлення, націлюючись на службу моніторингу Alibaba Cloud та вимикаючи її».

Остання кампанія використовує відкриті Docker API як вектор початкового доступу, для запуску зловмисного контейнера для отримання Bash shell script, який замаскований під нешкідливий файл зображення PNG з віддаленого сервера.

Дослідники Immunity Inc. пролили світло на віддалену експлуатацію ядра через призму нещодавнього переповнення віддаленого стека (CVE-2022-0435).

CVE-2022-0435 — це віддалене переповнення стека в мережевому модулі Transparent Inter-Process Communication (TIPC) ядра Linux.

Дослідники Check Point виявили RCE вразливість в чіпах Qualcomm/MediaTek, що дозволяє зловмиснику отримати контроль над мультимедійними даними користувача, включаючи потокове передавання зображення з камери зламаної машини (CVE-2021-0674, CVE-2021-0675, CVE-2021-30351).

Зловмисник може надіслати пісню (медіа-файл) і виконати код у привілейованому медіа-сервісі під час відтворення файлу.

Колекція гайдів із посилення безпеки, best practices, checklists, корисних інструментів та інших ресурсів (Linux, Windows, MacOs, network devices, virtualization, containers, services, NSA security best-practices).