• OceanLotus: атака watering hole в Юго-Восточной Азии

      Специалисты ESET выполнили анализ новой кампании watering hole, которая нацелена на несколько сайтов в Юго-Восточной Азии. Предположительно атакующие действуют с начала сентября 2018 года. Кампания отличается масштабом – нам удалось обнаружить 21 скомпрометированный ресурс, в том числе – сайты Министерства обороны Камбоджи, Министерства иностранных дел и международного сотрудничества Камбоджи, а также нескольких вьетнамских газет и блогов.


      По итогам анализа мы установили, что кампанию выполняет группа OceanLotus, также известная как АРТ32 и АРТ-С-00. Группа действует как минимум с 2012 года и специализируется на кибершпионаже, проявляя особый интерес к правительственным учреждениям и диссидентам.

      Читать дальше →
    • Зафиксирована атака на криптовалютную биржу Gate.io

        4 ноября злоумышленники скомпрометировали StatCounter, платформу для анализа веб-трафика. Сервис используется для сбора статистических данных о посетителях сайтов, примерно как Google Analytics. Для этого веб-мастера добавляют на каждую страницу сайта внешний тег JavaScript, содержащий фрагмент кода StatCounter – www.statcounter[.]com/counter/counter.js. Посредством StatCounter атакующие могут инжектировать код JavaScript на все сайты, использующие данную платформу. Тем не менее, целью атаки стал один ресурс – криптовалютная биржа Gate.io.

        Читать дальше →
        • +10
        • 2,8k
        • 1
      • GreyEnergy: наследник BlackEnergy атакует предприятия энергосектора

          Специалисты ESET выполнили анализ сложного вредоносного ПО, не изученного ранее, предназначенного для целевых атак на предприятия критической инфраструктуры в Центральной и Восточной Европе. Программа, названная GreyEnergy, имеет концептуальное сходство с BlackEnergy – вредоносным ПО, которое использовалось в атаках на украинские энергетические компании в декабре 2015 года. Помимо этого, имеются ссылки, указывающие на то, что операторы GreyEnergy работали вместе с группой TeleBots, стоящей за рядом деструктивных атак.


          В отчете представлена информация о деятельности группы GreyEnergy в течение последних лет. Отметим, что мы не приписываем атаки и разработку вредоносного ПО какому-либо государству. Согласно нашей терминологии, «АРТ-группа» — это набор технических индикаторов.
          Читать дальше →
        • Новый бэкдор кибергруппы TeleBots: первое доказательство связи Industroyer и NotPetya

            Исследование нового бэкдора кибергруппы TeleBots, стоящей за эпидемией шифратора NotPetya, выявило значительное сходство кода с основным бэкдором Industroyer, что подтверждает взаимосвязь, о которой ранее только распространялись слухи.


            В числе крупнейших киберинцидентов последних лет – атаки на украинские энергетические предприятия и эпидемия шифратора NotPetya. В посте мы рассмотрим взаимосвязь между этими событиями.

            Читать дальше →
          • LoJax: первый известный UEFI руткит, используемый во вредоносной кампании

              Кибергруппа Sednit, также известная как АРТ28, Strontium и Fancy Bear, работает как минимум с 2004 года. Считается, что группа стоит за рядом резонансных кибератак. Некоторые ИБ-компании и Министерство юстиции США назвали Sednit ответственной за взлом Национального комитета Демократической партии перед выборами в США в 2016 году. Группе приписывают взлом глобальной телевизионной сети TV5Monde, утечку электронных писем Всемирного антидопингового агентства (WADA) и другие инциденты. У Sednit множество целей и широкий спектр инструментов, некоторые из которых мы уже задокументировали ранее, но в этой работе мы впервые детально опишем применение UEFI руткита.


              Читать дальше →
              • +13
              • 7,5k
              • 5
            • Банковский троян DanaBot атакует пользователей в странах Европы

                Недавно мы зафиксировали всплеск активности банковского трояна DanaBot, обнаруженного ранее в этом году. Вредоносное ПО первоначально использовалось в атаках, нацеленных на Австралию, затем операторы переключились на Польшу и расширили географию – сейчас мы наблюдаем кампании в Италии, Германии, Австрии, а в сентябре 2018 года и на Украине.

                DanaBot – банковский троян с модульной архитектурой, впервые описанный Proofpoint в мае 2018 года после обнаружения в спам-кампаниях в Австралии. Троян написан на Delphi, имеет мультикомпонентную и мультиэтапную архитектуру, большинство функций реализовано как плагины. На момент первого обнаружения вредоносная программа находилась на этапе активной разработки.



                Читать дальше →
              • Аддоны Kodi используются для распространения криптомайнеров

                  Если вы используете Kodi, то могли заметить, что популярный голландский репозиторий аддонов XvBMC был закрыт из-за нарушения авторских прав. После этого мы обнаружили, что репозиторий скрытно использовался в кампании криптомайнинга, начавшейся в декабре 2017 года. Это второй известный инцидент, связанный с распространением вредоносного ПО через аддоны Kodi, и первый случай криптомайнинга с помощью данной платформы. Интересно, что пользователям Kodi направляются бинарники, соответствующие используемой ОС (Windows или Linux).



                  Для тех, кто не знаком с платформой Kodi: медиаплеер не поставляет контент; пользователи самостоятельно расширяют функциональность продукта, устанавливая аддоны из официального репозитория и сторонних площадок. Некоторые неофициальные дополнения позволяют получить доступ к пиратскому контенту, в связи с чем Kodi неоднозначно воспринимается общественностью.

                  Дополнения Kodi, нарушающие авторские права, уже связывали с распространением вредоносного ПО, но, за исключением инцидента с DDoS-модулем в составе популярного аддона, доказательств предъявлено не было.

                  Читать дальше →
                • Кибергруппа PowerPool освоила уязвимость нулевого дня в Advanced Local Procedure Call

                    27 августа 2018 года в твиттере ИБ-специалиста с ником SandboxEscaper была опубликована информация об уязвимости нулевого дня. Уязвимость затрагивает версии Microsoft Windows с 7 по 10, точнее, интерфейс Advanced Local Procedure Call (ALPC) в Планировщике заданий Windows. Она обеспечивает локальное повышение привилегий (Local Privilege Escalation), что позволяет атакующему повысить права вредоносного кода от уровня User до SYSTEM. О скоординированном раскрытии уязвимости речь не идет – аккаунт SandboxEscaper вскоре удалили, закрывающие патчи отсутствовали.

                    Ссылка из твита вела в репозиторий GitHub с Proof-of-Concept кодом эксплойта – не только скомпилированной версией, но и исходным кодом. Следовательно, любой желающий мог модифицировать и перекомпилировать эксплойт, чтобы улучшить его, избежать обнаружения или включить в собственный код.

                    В общем, неудивительно, что всего через два дня эксплойт появился in the wild в кампании кибергруппы PowerPool. По данным телеметрии ESET, в числе целевых стран атакующих – Россия, Украина, Польша, Германия, Великобритания, США, Индия, Филиппины, Чили. Жертв сравнительно немного, что может указывать на высокую таргетированность кампании.


                    Читать дальше →
                    • +12
                    • 3,5k
                    • 4
                  • OceanLotus: новый бэкдор, старые схемы

                      Группа OceanLotus (она же APT32 и APT-C-00) известна благодаря атакам в Восточной Азии. В прошлом году опубликован ряд исследований о работе группы, включая документы CyberReason, обзор FireEye и описание watering-hole атаки Volexity. Как мы видим, группа обновляет бэкдоры, инфраструктуру и векторы заражения.

                      OceanLotus продолжает деятельность, нацеленную на компании и госучреждения в странах Восточной Азии. По данным телеметрии ESET, приоритетные цели OceanLotus – во Вьетнаме, Лаосе, Камбодже и на Филиппинах.

                      Несколько месяцев назад мы обнаружили и проанализировали один из их новейших бэкдоров. В нем реализовано несколько инструментов, позволяющих затруднить анализ и избежать обнаружения – их и обсудим в посте.



                      Читать дальше →
                    • Анализ Outlook-бэкдора кибергруппы Turla

                        Turla (Snake, Uroboros) – кибершпионская группа, получившая известность в 2008 году после взлома защищенных объектов, включая сеть Центрального командования ВС США. С тех пор специализируется на атаках на военные объекты и дипломатические ведомства по всему миру. Среди известных жертв – Министерство иностранных дел Финляндии в 2013 году, швейцарская оборонная корпорация RUAG в период с 2014 по 2016 гг. и правительство Германии в конце 2017 – начале 2018 гг.


                        После последнего инцидента несколько СМИ опубликовали информацию о методах атакующих – использовании вложений электронной почты для управления вредоносной программой и передачи украденных данных из системы. Тем не менее, технической информации о бэкдоре представлено не было. В этом отчете мы публикуем результаты анализа бэкдора Turla, который управлялся с помощью PDF-вложений в электронной почте.


                        Читать дальше →

                      Самое читаемое