Часто при расследованиях преступлений в качестве доказательства невиновности или вины используются видеозаписи, полученные с помощью систем видеонаблюдения. О том, как восстановить запись из памяти видеорегистратора без специальных криминалистических программ рассказал специалист Лаборатории цифровой криминалистики и исследования вредоносного кода компании F.A.C.C.T. Андрей Кравцов.
Living off the Land: разбор задания от экспертов F.A.C.C.T. на CyberCamp2024
Привет Хабр!
На связи Владислав Азерский, заместитель руководителя Лаборатории цифровой криминалистики компании F.A.C.C.T. и Иван Грузд, ведущий специалист по реагированию на инциденты и цифровой криминалистике компании F.A.C.C.T.
В начале октября мы приняли участие в практической конференции по кибербезопасности CyberCamp 2024 в качестве спикеров. Ссылки на доклады вот и вот. Имея опыт в области реагирования на инциденты ИБ, было принято решение сфокусировать темы докладов на одном из наиболее популярных подходов к реализации современных атак среди злоумышленников – Living off the Land (LotL). Он подразумевает собой использование легитимных программ и инструментов для реализации задач на разных этапах атаки, будь то распространение по сети или выполнение команд на скомпрометированном устройстве.
На шаг впереди: как Threat Intelligence раскрывает возможности SIEM, IRP и SOAR
В условиях постоянно растущих киберугроз и увеличивающегося объема данных, компании сталкиваются с необходимостью эффективного управления инцидентами безопасности. Для решения этой проблемы используются инструменты по типу SIEM, SOAR и IRP, а в крупных компаниях, как правило, используют сразу комплекс систем от разных вендоров, формируя эшелонированную защиту от сложных угроз информационной безопасности. Эти решения играют важную роль в построении стратегии киберзащиты компании, эксперты даже скажут, что это те решения безопасности, без которых компании не смогут выжить. Но если разбираться глубже, становится очевидно, что камнем преткновения всех этих систем становится некачественное обогащение, дефицит и замкнутость источников данных (Фиды данных/Feeds), которыми оперируют системы для выявления и реагирования на угрозы внутри периметра организации.
Разбор новых атак Buhtrap на российских финансистов и юристов
Спустя год после затишья зафиксированы новые кампании преступников, использующих Buhtrap. В ходе исследования инцидента, связанного с загрузкой вредоносного объекта на устройство одного из клиентов, экспертами Центра кибербезопаcности компании F.A.C.C.T. были обнаружены детали его распространения: вредоносный экземпляр, находящийся в архиве, был атрибутирован в системе F.A.C.C.T. Managed XDR как Buhtrap RAT.
Атака с помощью нового Mythic-агента на PowerShell — «QwakMyAgent»
Во второй половине сентября 2024 года специалистами Центра Кибербезопасности компании F.A.C.C.T. была выявлена атака на российскую компанию с использованием ранее необнаруженного Mythic агента, написанного на PowerShell. К исследованию новой атаки подключились также специалисты F.A.C.C.T. Threat Intelligence. Обнаруженный агент был назван экспертами F.A.C.C.T “QwakMyAgent”. Агент получил название по причине того, что в случае получения команды для завершения своей работы, QwakMyAgent отправляет уникальную строку «Qwak!» на C2-сервер.
Истории
Скачай меня полностью: ресурсы с кряками-вредоносами стали продвигать на GitHub
Летом мы опубликовали исследование, в котором аналитики Центра кибербезопасности F.A.C.C.T. рассказали про обнаруженную ими сеть из более чем 1300 доменов, распространяющих вредоносные программы под видом популярных утилит, офисных приложений вместе с ключами активации или активаторами. В итоге пользователи, пытавшиеся установить популярный софт, переставший работать в России, загружали на свои компьютеры шпионское ПО, стилеры и криптомайнеры.
С недавнего времени злоумышленники стали продвигать ссылки на вредоносные ресурсы через GitHub — крупнейший веб‑сервис для хостинга IT‑проектов и их совместной разработки.
Призрачно всё: новые рассылки кибершпионов PhantomCore на российские компании с использованием PhantomCore.KscDL_trim
5 сентября специалистами F.A.C.C.T. было зафиксировано несколько рассылок группы PhantomCore, нацеленных в адрес российской ИТ-компании, являющейся разработчиком ПО и онлайн-касс, компании, занимающейся организацией командировок, конструкторского бюро, производителя систем и высокотехнологичного оборудования беспроводной связи.
OldGremlin: снова в строю
Группировка вымогателей OldGremlin сеяла страх среди российских компаний в 2020-2022 годах, суммы требуемых выкупов исчислялись миллионами, а в 2022 году в одной из атак ценник поднялся до 1 миллиарда рублей. Мы писали об атакующих в исследованиях, например, здесь и здесь.
Группа была неактивна с сентября 2022 года, или по крайней мере не попадала в наше поле зрения. Но вот почти спустя два года злоумышленники снова дали знать о себе. Специалисты F.A.C.C.T. проанализировали новую рассылку и новый инструмент атакующих – OldGremlin.JsDownloader. О новых открытиях, связанных с известной группировкой вымогателей, рассказал специалист по анализу вредоносного кода департамента Threat Intelligence компании F.A.C.C.T. Артем Грищенко.
Не хомяком единым: игры-кликеры, чьи бренды мошенники используют для угона аккаунтов или кражи крипты
Небывалый ажиотаж вокруг Telegram-приложения Hamster Kombat, в котором с марта этого года уже более 250 миллионов пользователей неистово «тапают хомяка» в надежде заработать криптовалюту, привлек повышенное внимание скамеров. За последние три месяца исследователи F.A.C.C.T. обнаружили более 600 фейковых ресурсов Hamster Kombat., созданных для угона аккаунтов в Telegram, а также дрейнеров, с помощью которых злоумышленники получают доступ к криптокошелькам жертв и выводят оттуда цифровые активы. Оказалось, что аналогичные риски поджидают не только игроков в Hamster Kombat, но другие популярные игры-кликеры.
В июне этого года исследователи F.A.C.C.T. одними из первых предупредили о рисках для игроков Hamster Kombat — злоумышленники создали 200 ресурсов, в которых использовали бренд популярного Telegram-приложения для получения доступа к криптокошелькам жертв или угона аккаунта. К концу июля таких ресурсов было уже 600.
YouTube как прикрытие
В некоторых экзотических странах водятся жуки, которые питаются муравьями, а из их экзоскелетов сооружают себе на спине камуфляж для маскировки. Что общего у насекомых Acanthaspis petax и операторов спам-рассылок? И те и другие прикрывают свою активность с помощью множества экзоскелетов или аккаунтов-пустышек для охоты и ухода от хищников либо антиспам-систем.
Письма якобы от YouTube начали массово поступать на адреса сотрудников российских компаний. Внутри сообщений было обсуждение ролика с предложением мгновенного заработка через крупную инвестиционную платформу. Однако есть нюанс: отправители этих писем желают только нажиться на наиболее доверчивых получателях писем. Каким образом спамеры научились использовать популярный видеохостинг для распространения мошеннического контента, и какие существуют способы борьбы против нового приема злоумышленников рассказывает руководитель отдела анализа сетевого трафика и машинного обучения компании F.A.C.C.T. Антон Афонин.
Быть или не быть: вопросы расшифровки данных после атаки программ-вымогателей
В этом блоге мы кратко расскажем, что происходит после шифрования ИТ-инфраструктуры, что чувствует жертва, какие действия предпринимаются ею для восстановления своей инфраструктуры. Что следует и не следует делать пострадавшим от атаки вымогателей, что могут предложить им ИБ-компании в таких случаях, рассказал Андрей Жданов, главный специалист по анализу вредоносного кода и проактивному поиску угроз Лаборатории цифровой криминалистики F.A.C.C.T.
На конкретном примере продемонстрируем нестандартный подход по поиску решения по расшифровке данных.
Разбор новой атаки кибершпионов Sticky Werewolf с использованием Rhadamanthys Stealer
5 апреля 2024 года на платформу VirusTotal была загружена вредоносная ссылка кибершпионской группы Sticky Werewolf. Внимание аналитиков тогда привлекла новая для группы полезная нагрузка – злоумышленники использовали Rhadamanthys Stealer, стилер с модульной архитектурой, написанный на C++ и выставленный на продажу в сентябре 2022 года. Об этом российские эксперты написали в небольшом Telegram посте, сосредоточив внимание преимущественно на autoit-скрипте.
В этой статье Борис Мартынюк, аналитик группы исследования сложных угроз департамента Threat Intelligence компании F.A.C.C.T. и Дмитрий Купин, руководитель отдела по анализу вредоносного кода F.A.C.C.T. Threat Intelligence, решили уделить чуть больше внимания новому инструменту и на примере еще одной атаки кибершпионов Sticky Werewolf рассказать, чем же так примечателен Rhadamanthys Stealer. Но сначала — небольшое отступление о самой группе.
Sticky Werewolf — проукраинская кибершпионская группа, атакующая преимущественно госучреждения и финансовые компании. По данным экспертов F.A.C.C.T. Threat Intelligence, в первом квартале 2024 года Sticky Werewolf провела 21 кибератаку в России, Беларуси и Польше. В качестве первоначального вектора атак группа использует фишинговые рассылки по электронной почте со ссылками на вредоносные файлы, а также такие инструменты, как трояны удаленного доступа Darktrack RAT и Ozone RAT, стилеры Glory Stealer и MetaStealer (вариация RedLine Stealer). Новый инструмент в их арсенале — Rhadamanthys Stealer.
10 апреля 2024 года на платформу VirusTotal была загружена вредоносная ссылка группы Sticky Werewolf. В ходе исследования аналитики получили дополнительные сетевые и файловые индикаторы, а также смогли почти полностью восстановить цепочку атаки. В качестве начального вектора заражения могли выступать целевые фишинговые письма, аналогичные прошлым атакам группы. При переходе по ссылке происходит переадресация на другой ресурс, с которого загружается исполняемый файл, мимикрирующий под PDF, используя двойное расширение.
Кибершпионы из Core Werewolf пытались атаковать российскую военную базу в Армении
Специалисты Threat Intelligence компании F.A.C.C.T. обнаружили на платформе VirusTotal загруженный из Армении (г. Гюмри) вредоносный файл, связанный с группировкой кибершпионов Core Werewolf. Он представляет собой самораспаковывающийся архив 7zSFX, предназначенный для скрытой установки и запуска легитимной программы удаленного доступа - UltraVNC.
Предполагаемой целью атаки является 102-я российская военная база. На это указывают следующие факты:
— в качестве документа-приманки использовалось ходатайство о якобы представлении к госнаградам, в том числе "Ордену Мужества" военнослужащих, отличившихся в ходе проведения СВО;
— вредоносный файл был загружен на VirusTotal из г. Гюмри (Армения), в котором дислоцируется 102-ая российская военная база.
Core Werewolf (PseudoGamaredon) — кибершпионская группа, которая активно атакует российские организации, связанные с оборонно-промышленным комплексом, объекты критической информационной инфраструктуры. Впервые были замечены в августе 2021 года. В своих кампаниях группа использует программное обеспечение UltraVNC.
Все подробности — в техническом блоге Дмитрия Купина, руководителя отдела по анализу вредоносного кода департамента Threat Intelligence компании F.A.C.C.T.
Не ок, Google: мошенники используют Looker Studio для фишинговых рассылок
Специалисты компании F.A.C.C.T. зафиксировали использование в России новой мошеннической схемы, позволяющей злоумышленникам отправлять фишинговые ссылки клиентам банков от имени популярного сервиса компании Google. Впервые об этой проблеме сообщили исследователи из компании Checkpoint в сентябре 2023 года. И вот, полгода спустя, этот инструмент взяли на вооружение мошенники, работающие по России. Все подробности — у Антона Афонина, руководителя отдела анализа сетевого трафика и машинного обучения компании F.A.C.C.T.
Ближайшие события
Избирательный стилер: SapphireStealer маскировался под листовку ЦИК о выборах президента
Специалисты Threat Intelligence компании F.A.C.C.T. обнаружили pdf‑файл с политинформацией о прошедших президентских выборах с модифицированным стилером SapphireStealer. Эту вредоносную программу, способную перехватывать учетные данные из браузеров и из мессенджера Telegram, злоумышленники распространяли с поддельного ресурса, мимикрирующего под домен Правительства РФ.
Учитывая, что это первый случай, когда киберпреступники во время выборов распространяли ВПО, замаскированное под официальные документы Центральной избирательной комиссии, не исключено, что подобный вектор атаки они могут использовать и во время следующих выборов — Единый день голосования назначен на 8 сентября 2024 года.
Попробуй спрячься: расширяем возможности обнаружения эксплуатации WinRM
Идея написать блог о том, как злоумышленники используют для перемещения в инфраструктуре жертвы возможности службы Windows Remote Management (WinRM) (Т1021.006), возникла у Антона Величко, руководителя Лаборатории компьютерной криминалистики компании F.A.C.C.T., еще в январе 2022 года. И виной тому стали не затянувшиеся новогодние праздники и наличие свободного времени, как может показаться, а как раз наоборот. В тот момент криминалисты F.A.C.C.T. столкнулись с очередным «праздничным» всплеском кибератак на российские компании, и в процессе реагирования на инцидент у одного из наших клиентов обнаружили интересный кейс, о котором Антон Величко и его соавтор — Кирилл Полищук захотели подробно рассказать.
Криминалист F.A.C.C.T. заявил, что новый IPhone 15 подвержен риску заражения шпионской программой Pegasus
Новость о взломе iPhone издателя «Медузы»* Галины Тимченко с помощью шпионской программы Pegasus не стала сенсацией для специалистов, которые уже много лет следят за разработкой от израильской компании NSO Group.
И хотя сами разработчики утверждают, что создавали программу исключительно для благих целей — борьбы с террористами и опасными преступниками, как это часто случается с легитимными инструментами (например, с популярным фреймворком для пентестеров CobaltStrike, — прим. авт) их уже давно активно используют и прогосударственные хакерские группы, и спецслужбы, и киберпреступники.
* организация признана нежелательной в России, внесена в реестр иноагентов
Buhtrap расставил новые «ловушки для бухгалтеров»
Эксперты Group-IB Threat Intelligence — Илья Шумеев, специалист по анализу вредоносного кода, и Дмитрий Купин, ведущий специалист по анализу вредоносного кода, проанализировав новые атаки, выяснили, что заражение происходило при посещении сайтов, замаскированных под профильные ресурсы для бухгалтеров и юристов. В атаках использовался уже давно и хорошо известный троян Buhtrap RAT, хотя качество используемых инструментов ощутимо деградировало по сравнению с более ранними кампанииями. По мнению экспертов, данная активность похожа на деятельность последователей преступной группы Buhtrap. Напомним, что ущерб от атак данной группы в 2020-2022 гг, по оценкам экспертов Group-IB, оценивается как минимум в 2 млрд рублей. Глобальный же ущерб, нанесенный Buhtrap'ом, за все время активности может достигать 6-7 млрд рублей.
Зашифрованные: как атаковали российский бизнес
Для того, чтобы понять, как атаковали российский бизнес, и с головой погрузиться в изучение матрицы наиболее часто используемых атакующими тактик, техник и процедур (TTPs), давайте сначала ответим на вопрос: кто атаковал?
Если еще пять лет назад практически 70% всей хакерской активности, с которой сталкивались эксперты Лаборатории компьютерной криминалистики Group-IB во время реагирований (Incident Response), было связано с целевыми атаками на финансовый сектор, то в прошлом году самым популярным типом киберугроз оказались.... Да, верно программы-вымогатели. На них пришлось 68% всех инцидентов.
Не время витать в “облаках”
В нашем новом блоге речь пойдет про распространенные ошибки пользователей публичных облаков — мы подробно поговорим о публичных бакетах и репозиториях пользователей и покажем как и почему эти недостатки стоит устранять. Мы надеемся, что он поможет компаниям лучше понимать логику действий атакующих и, соответственно, более качественно выстроить свою защиту. Ниже мы разберем распространенные недостатки со стороны пользователей облаков и дадим рекомендации, как их избежать.