На прошлой неделе крупнейшая норвежская телекоммуникационная компания Telenor заявила, что ее внутренняя сеть подверглась атаке, причем этот инцидент классифицируется как промышленный кибершпионаж. Сообщается, что злоумышленники смогли проникнуть во внутреннюю сеть компании, а также получить доступ к персональным компьютерам топ-менеджеров. Специалисты Telenor обратились за помощью к полиции и CERT за расследованием этого инцидента. Менеджер по вопросам информационной безопасности компании — Rune Dyrlie в комментарии заявил, что атакующие смогли получить доступ к конфиденциальной информации сотрудников компании.
Расследование таргетированной атаки в Южной Азии
В этом посте мы хотим представить наше расследование таргетированной атаки (targeted attack), которая использовалась для похищения конфиденциальной информации из различных организаций по всему миру. В ходе этого расследования было обнаружено, что следы этой атаки уходят в Индию, а наиболее пострадавшей страной является Пакистан. Кроме этого, действия злоумышленников были активны на протяжении как минимум последних двух лет. Отличительной особенностью атаки было использование действительного цифрового сертификата, который использовался для подписания вредоносных исполняемых файлов. Мы также обнаружили эксплойт, который злоумышленники использовали для установки вредоносного кода в систему.
Бэкдор Win32/Syndicasec.A используется в операции кибершпионажа
Недавно мы столкнулись с интересным образцом вредоносного кода, который обнаруживается ESET как Win32/Syndicasec.A. Он обращал на себя внимание по ряду следующих причин:
Мы провели детальное исследование этого бэкдора и выяснили детали его установки на скомпрометированный компьютер, используемые им механизмы по поддержанию своего присутствия, а также детали взаимодействия с C&C сервером.
- Наша система телеметрии показывает весьма небольшой масштаб заражений данной угрозой, а география распространения ограничивается такими странами как Непал и Китай. Предыдущие версии этого вредоносного кода фиксировались нами начиная с 2010 года.
- Полезная нагрузка представляет из себя небольшой фрагмент кода на Javascript, который регистрируется с использованием подсистемы Windows WMI.
- Бэкдор использует веб-сайты поддельных блогов для получения информации о командных C&C серверах. Эти веб-сайты размещаются на доменах, зарегистрированных в Тибете.
- По своим характеристикам эта операция очень похожа на предыдущие шпионские кампании, направленные против тибетских активистов, такие как OS X Lamadai и другие.
Мы провели детальное исследование этого бэкдора и выяснили детали его установки на скомпрометированный компьютер, используемые им механизмы по поддержанию своего присутствия, а также детали взаимодействия с C&C сервером.
Исследование направленной атаки
Недавно мы проанализировали четыре вредоносных инструмента, которые использовались в направленных атаках на пользователей Тайваня и Вьетнама. С использованием нашей системы телеметрии мы зафиксировали, что это вредоносное ПО доставлялось пользователям через кампании по распространению фишинговых сообщений. Один из файлов вредоносной программы был доставлен в систему пользователя через почтовый веб-интерфейс вьетнамского государственного учреждения. Злоумышленники использовали специальные фишинговые почтовые сообщений, которые содержали убедительный текст, а также специальные фальшивые документов для заманивания пользователя и усиления эффекта атаки.
По результатам этого исследования нам удалось установить следующие факты:
По результатам этого исследования нам удалось установить следующие факты:
- Один и тот же компонент вредоносного кода несколько раз использовался в этих кампаниях.
- Атаки требовали ручного вмешательства злоумышленника (оператор).
- В атаках обнаружены следы известной группы APT1 (aka Comment crew).
- Для первоначального вектора атаки, т. е. для установки вредоносного кода, использовались фишинговые сообщения, которые якобы содержали важные документы.
- Плохая подготовка злоумышленников: опечатки в конфигурации, наивная реализация криптографических алгоритмов, недостаточная практика в написании кода.
- Вредоносные программы с четко заданным поведением: одна из угроз не сохраняет свое присутствие после перезагрузки, а другая не делает никаких вредоносных функций до перезагрузки.
Троянец-вымогатель Bad Rabbit: плохой, плохой кролик
24 октября на нас посыпались уведомления о массовых атаках с помощью троянца-вымогателя Bad Rabbit. Основная цель — российские организации и потребители, но есть сообщения и о пострадавших из Украины.
Вот как выглядит требование выкупа у незадачливых жертв:
Security Week 44: тихая охота, или Carbanak в помощь, зачем Firefox функции Tor Browser, лазейка в Google-«баганайзер»
Кто не знает Carbanak? Несколько лет назад эти ловкие ребята умело увели, по некоторым данным, до миллиарда долларов из доброй сотни банков России, Украины, США и даже Японии. Наши эксперты выявили группу злоумышленников под кодовым именем Silence, которая старательно копировала лучшие техники Carbanak в попытках добраться банковских счетов.Технология атаки действительно до боли похожа: через фишинговое письмо сотруднику банка злоумышленникам удается проникнуть в его внутреннюю сеть, обосноваться там и тихонько изучать инфраструктуру, рассылая тем временем “договора” партнерам — то есть такие же вредоносные письма, но уже от имени реальных сотрудников и даже с их подписью. Понятно, что при таком раскладе на заражённое вложение кликнут с большой долей вероятности, чем на письмо от очередного нигерийского благотворителя. Старая-добрая социальная инженерия все еще на коне.
Всё что вы хотели узнать об XDR в одном посте
Tutorial
Хабр, привет!
На днях мне посчастливилось поучаствовать тут (обойдемся ссылкой на запись, без прямой рекламы), где обсуждалась такая новая тема на рынке ИБ, как XDR.
По горячим следам эфира зафиксирую основные тезисы: мои собственные мысли и факты относительно XDR и, в целом, отвечу на два важных вопроса: что такое XDR? зачем он стал нужен?