Нова версія Truebot використовує вразливості у Netwrix Auditor та Raspberry Robin Worm

Фахівці з інформаційної безпеки попередили про збільшення кількості заражень новою версією TrueBot. Першочергово вона націлена на користувачів з Мексики, Бразилії, Пакистану та США.

Згідно Cisco Talos, оператори шкідливих програм в даний час перейшли від використання шкідливих електронних листів до альтернативних методів доставки. Вони включають використання вразливості RCE в Netwrix Auditor, а також використання хробака Raspberry Robin. Нагадаю, авторство TrueBot експерти приписують російськомовній хак-групі Silence, відомої завдяки великим пограбуванням фінансових установ.

Як повідомляється зараз, зловмисники не тільки перейшли на нові способи доставки шкідливого ПЗ, але й стали використовувати для крадіжки даних спеціальний інструмент Teleport. Вони ж поширювали шифрувальник Cl0p, яким зазвичай користуються хакери з групи TA505, пов’язаної з іншою російсько-мовною хак-групою – FIN11.

Clop encryptor
Опис атаки програми-вимагача Cl0p

Дослідники Cisco Talos пишуть, що виявили кілька нових векторів атак ще у серпні 2022 року. За їхніми спостереженнями, учасники Silence впровадили своє шкідливе програмне забезпечення в 1500 систем по всьому світу. Такий успіх пояснюється використанням шелкодів, маяків Cobalt Strike, шкідливого ПЗ Grace, інструменту для крадіжки даних Teleport та програми-вимагача Cl0p.

Зазначається, що у більшості атак, виявлених у період з серпня по вересень, хакери заражали системи жертв Truebot (Silence.Downloader), використовуючи критичну вразливість серверів Netwrix Auditor, яка відстежується як CVE-2022-31199. У жовтні 2022 року хакери повністю перейшли на використання шкідливих USB-накопичувачів та хробака Raspberry Robin. Останній доставляв на машини жертв корисні навантаження IcedID, Bumblebee та Truebot.

Нагадаю, що в жовтневому звіті Microsoft цей черв’як був пов’язаний з поширенням шифрувальника-вимагача Clop і хакерським угрупуванням DEV-0950, шкідлива активність якої пов’язана з діяльністю груп FIN11 та TA505. Як тепер зазначає Cisco Talos, оператори Truebot використовували Raspberry Robin для зараження понад 1000 хостів, багато з яких були недоступні через Інтернет. Найбільше жертв хакерів припадає на Мексику, Бразилію та Пакистан.

Botnet infection graphic
Розповсюдження ботнету за країнами світу

У листопаді хакери атакували сервери Windows, служби SMB, RDP та WinRM яких можна знайти в Інтернеті. Дослідники нарахували понад 500 випадків таких інфекцій, близько 75% їх у США.

Чим являлється Truebot?

Аналітики нагадують, що по суті Truebot – це модуль першого рівня, який збирає базову інформацію про систему жертви та робить скріншоти. Він також отримує інформацію про Active Directory, яка допомагає хакерам планувати свої наступні дії після зараження.

Truebot features and protocol

Як працює Truebot?

Сервер керування та контролю зловмисника може дати команду Truebot завантажити шелл-код або бібліотеки DLL у пам’ять, виконати додаткові модулі, видалити себе або завантажити файли DLL, EXE, BAT та файли PS1. Крім того, після злому хакери використовують Truebot для впровадження маяків Cobalt Strike або шкідливих програм Grace (FlawedGrace, GraceWire) у системи жертв. Потім зловмисники розгортають Teleport, який Cisco описує як новий інструмент, написаний на C++, який допомагає безшумно красти дані.

Канал зв’язку між Teleport та C&C сервером зашифрований. Оператори можуть обмежувати швидкість завантаження, фільтрувати файли за розміром (щоб вкрасти більше) або видаляти корисні навантаження. Teleport також може викрадати файли з папок OneDrive, збирати пошту жертви з Outlook та шукати файли з певними розширеннями.

Teleport and the C&C server is encrypted

Як хакери розповсюджують шифрувальник Clop?

Зазначається, що після розповсюдження всередині мережі, зараження максимальної кількості систем за допомогою Cobalt Strike та крадіжки даних, хакери в ряді випадків впроваджують у системи жертв вже згаданий вище шифрувальник Clop.

Truebot post-infection

На етапі дослідження та горизонтального переміщення зловмисники переглядали ключові серверні та настільні файлові системи, підключаються до баз даних SQL та збирали дані, які потім передавалися на віддалений сервер за допомогою інструмента Teleport. Як тільки зібрано достатньо даних, зловмисники створили заплановані завдання на великій кількості систем, щоб одночасно запустити на них програму-вимагач Clop і зашифрувати якомога більше даних.”- пояснюють дослідники.

Шкідливе програмне забезпечення GoTrim зламує сайти WordPress

Фахівці Fortinet виявили нове шкідливе програмне забезпечення GoTrim, написане мовою Go, яке сканує Інтернет у пошуках сайтів WordPres. Також воно здійснює їх перебір шляхом підбору пароля адміністратора.

Такі атаки можуть призвести до розміщення шкідливого ПЗ, впровадження на сайти скриптів для крадіжки банківських карт, розміщення фішингових сторінок та інших сценаріїв атак, які потенційно зачіпають мільйони користувачів (залежно від популярності зламаних ресурсів).

Нагадаю, ми також писали про те, що нова версія Truebot використовує вразливість у Netwrix Auditor і черв’яка Raspberry Robin. Також про те, що Україна зазнала DDoS-атаків зі зламаних сайтів WordPress.

Робота GoTrim

Експерти пишуть, що GoTrim все ще знаходиться в розробці, але вже має потужні функції. Атаки ботнетів почалися наприкінці вересня 2022 року і продовжуються досі. Оператори зловмисного програмного забезпечення надають своїм роботам довгий список цільових ресурсів і список облікових даних. Після чого зловмисне програмне забезпечення підключається до кожного сайту і намагається зламати облікові записи адміністратора, використовуючи логіни та паролі з існуючого списку.

У разі успіху GoTrim авторизується на зламаному сайті та надсилає інформацію про нове зараження на керуючий сервер (включаючи ідентифікатор бота у вигляді хеша MD5). Потім шкідлива програма використовує PHP-скрипти для вилучення бота-клієнта GoTrim із жорстко заданої URL-адреси. Після чого видаляє як скрипт, так і компонент брутфорсу із зараженої системи.

Власне, GoTrim може працювати у двох режимах: «клієнт» та «сервер». У клієнтському режимі шкідливе ПЗ ініціює підключення до керуючого сервера ботнета, а в серверному запускає HTTP-сервер і чекає на вхідні запити. Наприклад, якщо зламана кінцева точка безпосередньо підключена до Інтернету, зловмисне програмне забезпечення використовує режим сервера.

GoTrim
Схема GoTrim атаки

GoTrim відправляє запити на сервер зловмисника кожні кілька хвилин, і якщо бот не отримає відповіді після 100 спроб, він перестане працювати. C&C-сервер може надсилати GoTrim наступні зашифровані команди:

  • перевірте надані облікові дані для доменів WordPress;
  • перевірте надані облікові дані для Joomla! (ще не реалізовано);
  • перевірити надані облікові дані для доменів OpenCart;
  • перевірити надані облікові дані для доменів Data Life Engine (ще не реалізовано);
  • виявити установки CMS WordPress, Joomla!, OpenCart або Data Life Engine у домені;
  • усунути шкідливе ПЗ.

Цікаво, що ботнет намагався уникнути уваги команди безпеки WordPress і не атакував сайти, розміщені на WordPress.com, а лише сайти із власними серверами. Це реалізується шляхом перевірки заголовка HTTP Referer для «wordpress.com».

Постачальники керованого хостингу WordPress зазвичай мають більше заходів безпеки для відстеження, виявлення та блокування спроб грубої сили, ніж сайти, розміщені на власному хостингу. Отже, потенційно успішна атака не вартує ризику виявлення.” – пояснюють дослідники.

Навіщо GoTrim застосовує CAPTCHA

Також зазначається, що якщо цільовий сайт використовує плагін CAPTCHA для боротьби з ботами, шкідливе програмне забезпечення виявить його і завантажить відповідний вирішувач. В даний час GoTrim підтримує сім популярних плагінів CAPTCHA.

GoTrim застосовує CAPTCHA

Крім того, фахівці помітили, що ботнет уникає атакувати сайти, розміщені на 1gb.ru, проте точних причин такої поведінки не встановлено. Цілком можливо, що хакери, які створили шкідливе програмне забезпечення, просто знаходяться в Росії, і шукають можливість відмити гроші. Для захисту від GoTrim та інших подібних загроз експерти рекомендують адміністраторам сайтів використовувати надійні паролі, не використовувати паролі повторно та по можливості завжди використовувати двофакторну аутентифікацію.

Російська группа Killnet атакувала Starlink та сайт Білого Дому

Члени російського угруповання KillNet здійснили кібератаку на сервіси провайдера Starlink та сайт Білого Дому. Щоб вивести їх зі складу, росіяни вдалися до масованої DDoS-атаки.

Російська группа Killnet атакувала Starlink та сайт Білого Дому
приклад того як виглядав сайт під час атаки

Члени угруповання оприлюднили скріншот, де видно, що веб-ресурс Білого дому недоступний. В хакерській групі також зазначили, що колективна тестова атака на сайті Білого дому тривала 30 хвилин. Довше утримувати сайт у непрацездатному стані у хакерів не виходило, оскільки вони не брали до уваги чутливість системи фільтрації до явних надходжень шкідливого трафіку. Від DDoS-атак веб-ресурс Білого дому захищено військовою системою виробництва Automatic Inc.

Фішингова кампанія підробляла ідентичність понад 400 відомих компаній
Перенаправлення рекламного домену Fangxiao

Атака Killnet на послуги Starlink призвела до того, що протягом деякого часу абоненти не мали змоги авторизуватися на сайті. Російські хакери назвали адміністраторів веб-ресурсу «рабами Ілона Маска». Вони оперативно відновили функцію авторизації, проте увійти на сайт абоненти все одно не могли через відключену, російськими хакерами базу даних.

Фішингова кампанія Fangxiao підробляла ідентичність понад 400 відомих компаній

Дослідники з Cyjax опублікували звіт з великою ймовірністю про китайського зловмисника, який спеціалізується на видачі себе за відомі і надійні бренди. Нині імітується понад 400 організацій. З цієї причини фішингова група отримала назву Fangxiao (зі спрощеного китайського – «наслідування»). Дослідники знайшли кілька доказів до того, що група працює з Китаю, у тому числі відкриту панель управління мандаринським діалектом китайської мови.

WhatsApp

Незважаючи на те, що WhatsApp заборонено в Китаї, Fangxiao використовує цей додаток як основний засіб для досягнення цілей. Вони обіцяють фінансові або фізичні стимули для обдурення жертв і подальшого поширення кампанії через WhatsApp. Посилання в повідомленнях WhatsApp веде одержувачів на сайт, який контролює Fangxiao. Ці веб-сторінки видають себе за сайт відомого бренду.

Цільові сторінки Fangxiao

Цільові сторінки уособлюють локалізовану версію відомого та довіреного бренду, наприклад Coca Cola, FlyEmirates, McDonalds або Knorr. Щоб не потрапити до чорних списків, група перебирає величезну кількість доменів. Дослідники відзначили до 300 нових унікальних доменних імен за день.

Спосіб обрання імені для цих доменів часто містить у собі 2 випадкових слова зі списку імен доменів першого рівня (top-level domains) у пулі імен .top. Таким чином, найімовірнішими будуть імена на кшталт “preventprecending[.]top.

Перенаправлення

Цільові сторінки перенаправляють відвідувачів на шкідливі ресурси, наприклад фейкові опитування, сторінки, що завантажують шкідливе програмне забезпечення тощо. Але опитування завжди на першому місці. Відвідувачеві пропонується заповнити опитування, оснащені таймером, щоб додати невідкладності, а також значними за цінністю призами у випадку виграшу. Після того, як на всі запитання надано відповіді та сайт «підтвердив» отримання цієї інформації, учасникам повідомляють, що вони можуть виграти призи, і просять натиснути на певне поле. Це поле запустить анімацію, щоб тримати відвідувача у напрузі про те, чи виграли вони, і якщо так – що саме. Сайт може вимагати до трьох натискань для виграшу, причому зазвичай другий або третій клік повідомляє їм, що вони виграли подарункову карту високої вартості або будь-який інший привабливий приз. Щоб отримати приз, їм пропонується поділитися фішинговою кампанією через WhatsApp із п’ятьма групами або 20 друзями.

Фішингова кампанія підробляла ідентичність понад 400 відомих компаній
Перенаправлення рекламного домену Fangxiao

Реферальне поширення

Наступним кроком після добровільного спаму є завантаження програми за посиланням. Шахраї просять залишити її відкритою на 30 секунд після встановлення. Це, ймовірно, дозволяє групі збирати реферальну плату з видавців програми – за кожне встановлення сплачується невелика сума коштів. Наступний крок у ланцюжку перенаправлення відправляє відвідувача на сайт рекламної компанії з менш ніж гарною репутацією під назвою ylliX. При натисканні на банери на цих сайтах користувачі перенаправляються через кілька доменів. Кінцева точка редиректингу залежить як від розташування, так і від браузер-агента. Відправлення жертви на рекламну сторінку, мабуть, є ще одним джерелом доходу для Fangxiao. І з цього моменту жертва опиняється у руках рекламної компанії. На даний момент неясно, чи це пов’язана особа або «клієнт» Fangxiao.

Як не стати жертвою Fangxiao

Цей тип схеми зазвичай грає на тому факті, що чим більше зусиль ви доклали, тим більше ви готові ризикувати, щоб дістатися обіцяного Грааля. Будь то величезна подарункова карта, новенький iPhone або інші приємні несподіванки. У цій схемі достатньо моментів, що є звичними для шахрайства. Ось як не стати жертвою:

  • Не натискайте на небажані посилання у повідомленнях WhatsApp (або будь-яких інших повідомленнях), навіть якщо вони походять від друга.
  • Уникайте опитувань, навіть якщо інформація, яку вони запитують, здається тривіальною
  • Ніколи не допомагайте шахраям, розсилаючи більше посилань іншим користувачам
  • Не завантажуйте та не встановлюйте програми за посиланнями з сумнівних сайтів.

Google заплатить 392 мільйони доларів за таємне відстеження геолокації

Google нещодавно врегулювала кілька судових позовів про конфіденційність із 40 штатів, що стосуються заплутаних налаштувань історії геолокації, які вводять в оману та які компанія вела з 2014 по 2020 рік. Компанія виплатить загалом 392 мільйони доларів. Це, за підрахунками Ars Technica, дорівнює 12-годинному доходу Google. Такі висновки базуються на останньому річному звіті про доходи у розмірі 282 мільярдів доларів.

В ексклюзивному виданні Associated Press (AP) у 2018 році було показано, що історія розташування на пристроях Android та iPhone не є «головним елементом управління» для відстеження розташування, як багато хто думав. Навіть якщо користувачі призупинять «Історію розташування» на своїх телефонах, Google все одно зможе відстежувати та записувати їх за допомогою налаштувань Історії програм та веб-пошуку. Якщо обидва не вимкнені, Google може бачити ваше місцезнаходження.

“Якщо ви збираєтеся дозволити користувачам відключати щось під назвою “Історія розташування”, то всі місця, де ви зберігаєте історію розташування, повинні бути відключені”, – сказав тоді вчений-комп’ютерник з Прінстона Джонатан Майєр. “Це є досить простою і зрозумілою позицією”.

З того часу як звіт AP був опублікований, Google був у халепі. Він отримав позови від приватних осіб, а також від кількох генеральних прокурорів (AG) з різних штатів, включаючи Індіану, Техас та Вашингтон. Згідно з судовими документами, 40 штатів, з якими Google уклала угоду, – це Алабама, Аляска, Арканзас, Колорадо, Коннектикут. Також Делавер, Флорида, Джорджія, Гаваї, Айдахо, Іллінойс, Айова, Канзас, Кентуккі, Луїзіана, Мен, , Мічіган, Міннесота, Міссісіпі. Міссурі, Небраска, Невада, Нью-Джерсі, Нью-Мексико, Нью-Йорк, Північна Кароліна, Північна Дакота, Огайо. З ними ж Оклахома, Орегон, Пенсільванія, Південна Кароліна, Південна Дакота, Теннессі, Юта, Вірджинія та Вісконсін.

Оновлення політики конфіденційності Google

У рамках врегулювання гігант пошукової системи також погодився оновити свою політику конфіденційності, що, за його словами, він зробить у «найближчі місяці». Ці зміни включають:

  • Модернізація інформаційних центрів користувачів. Google додасть розкриття інформації на свої сторінки управління діями та сторінки даних та конфіденційності, щоб допомогти користувачам краще зрозуміти, як дані про місцезнаходження він використовує для покращення своїх послуг. Компанія також створить єдиний інформаційний хаб із виділенням ключових налаштувань локації.
  • Спрощене видалення даних про місцезнаходження. Google надасть «основний контроль» для відключення відстеження розташування в налаштуваннях «Історія розташування». А також в налаштуваннях «Історія програм та веб-пошуку». Цей елемент керування також дозволяє користувачам видаляти свої попередні дані, включаючи історію розташування.
  • Оновлення налаштування облікового запису. Google більш ретельно надаватиме новим користувачам інформацію про те: що таке історія програм та веб-пошуку; яка інформація про користувача міститься в ній; як ця інформація допомагає компанії.

Більшість доходів Google надходить від цільової реклами, що базується на персональних даних. Деякі з них використовуються таємно без належної згоди користувача. Проте компанія наголосила, що з роками вона перейшла до безпечнішого підходу до конфіденційності, надаючи користувачам більший контроль над своїми даними та забезпечуючи додаткову прозорість щодо того, як вона взаємодіє зі своїми користувачами. “Сьогоднішнє врегулювання – це ще один крок на шляху до надання більш осмисленого вибору і мінімізації збору даних при наданні більш корисних послуг”, – заявили в Google.

Атака PCspoF може вивести з ладу космічний корабель Orion

Група дослідників з університету Мічігану, Пенсільванського університету і NASA докладно описала атаку TTEthernet (Time-Triggered Ethernet) PCspoF, яка може вивести з ладу космічний корабель Orion.

Експерти кажуть, що вразливість у цій мережній технології, яка широко використовується в космічній та авіаційній галузях, може мати катастрофічні наслідки для критично важливих систем, включаючи зрив місій NASA.

Нагадаю, ми також писали про те, що NASA зіткнулося із 6000 кібератаками за останні чотири роки. Також ми писали, що на зображеннях з телескопа Джеймса Вебба ховається шкідливе програмне забезпечення.

TTEthernet перетворює звичайний Ethernet на детерміновану мережу з певним часом передачі між вузлами і значно розширює можливості використання класичного стандарту Ethernet. У такій мережі зі змішаним ступенем критичності може співіснувати трафік з різними вимогами до часу та стійкості до відмов.

Фактично, TTEthernet дозволяє часо-чутливому трафіку (від пристроїв, які відправляють синхронізовані та заплановані повідомлення відповідно до заздалегідь визначеного розкладу) використовувати ті ж комутатори, які обробляють некритичний трафік, наприклад пасажирський Wi-Fi в літаках. Крім того, TTEthernet сумісний зі стандартним Ethernet, який використовується у звичайних системах. TTEthernet ізолює трафік, що запускається за часом, від так званого трафіку з максимальною ефективністю, тобто некритичних систем, пересилаючи їх повідомлення в обхід важливішого трафіку, що запускається за часом. Це дозволяє об’єднувати різні пристрої в одну мережу, а критично важливі системи отримують можливість працювати на більш дешевому обладнанні. При цьому два типи трафіку не перетинаються один з одним.

Творці PCspooF кажуть, що TTEthernet, по суті, є “основою мережі” на космічних кораблях, включаючи космічний корабель NASA Orion, космічну станцію Lunar Gateway і ракету-носій Ariane 6 – претендент для заміни шини Controller Area Network і протоколу FlexRay.

Докладніше про атаку PCspooF

Атака PCspooF, на думку дослідників, є першою в історії атакою, яка порушила ізоляцію різних типів трафіку один від одного. Суть проблеми полягає в тому, що PCspooF порушує систему синхронізації, яка називається кадром управління протоколом (PCF), чиї повідомлення змушують пристрої працювати за розкладом та забезпечують їх швидкий зв’язок.

Отже, дослідники виявили, що некритичні пристрої з максимальною ефективністю можуть відображати приватну інформацію про керовану частину мережі. Ці пристрої також можуть використовуватися для створення шкідливих повідомлень синхронізації. Тобто шкідливий некритичний пристрій може порушити гарантію ізоляції в мережі TTEthernet.

Атака PCspooF
Схема атаки PCspooF

Потім скомпрометований пристрій з максимальною ефективністю можна використовувати для створення EMI в комутаторі, змушуючи його надсилати підроблені повідомлення синхронізації на інші TTEthernet пристрої.

PCSPOOF
Загальний огляд атаки PCspooF

Після запуску такої атаки TTEthernet час від часу втрачають синхронізацію і перепідключаються. В результаті вони втрачають синхронізацію (розсинхронізація може становити до секунди), що призведе до неможливості надсилання десятків повідомлень. Які в свою чергу спрацьовують за часом, та викличуть відмову критично важливих систем. У гіршому випадку PCspooF провокує такі збої одночасно для всіх пристроїв TTEthernet у мережі, пояснюють дослідники.

Щоб протестувати PCspooF, експерти використовували апаратні та програмні компоненти NASA для імітації місії з перенаправлення астероїда, коли «Оріон» мав зістикуватися з автоматичним пілотованим космічним кораблем. В результаті атака PCspooF змусила «Оріон» відхилитися від курсу та повністю провалити стикування.

Після успішного тестування атаки дослідники повідомили про проблему організаціям, які використовують TTEthernet, включаючи NASA, Європейське космічне агентство (ЄКА), Northrop Grumman Space Systems та Airbus Defense and Space. Тепер, грунтуючись на даних дослідників, NASA переглядає протоколи бортових експериментів, а також тестує готове комерційне обладнання.

Як запобігти атаки PCspoF?

Як захист від PCspoF та наслідків таких атак фахівці рекомендують:

  • використовувати оптичні роз’єми або стабілізатори напруги (для блокування електромагнітних перешкод);
  • перевірте вихідні MAC-адреси, щоб переконатися, що вони є справжніми;
  • приховати ключові поля PCF,
  • використовувати протокол аутентифікації канального рівня, такий як IEEE 802.1AE;
  • збільшити кількість майстрів синхронізації та вимкніть небезпечні переходи станів.

Космічні технології не гарантують стовідсоткового захисту: є приклади цілком реальних атак, наприклад, ЗМІ писали про те, що оператори шифрувальників DopplePaymer зламали підрядників NASA.

Мінфін США стали жертвою хакерів із РФ

Фінансове відомство вважає, що спрямовану проти нього DDos-атаку здійснювало російське угруповання Killnet. Голос Америки повідомив, що Міністерство фінансів США минулого місяця відбило кібератаки російського хакерського угруповання. Про це стало відомо 1 листопада. Атака не завдала значних збоїв і її вдалося вчасно відбити. Про це заявив представник міністерства фінансів Тодд Конклін.

Російське угруповання Killnet взяло на себе відповідальність за порушення роботи веб-сайтів в деяких американських штатах і аеропортах. Міністерство фінансів Сполучених Штатів Америки приписує цьому угрупуванню вчинені DDos атаки проти них.

Конклін охарактеризував атаку на Мінфін як “Досить низькорівневу DDoS-активність, спрямовану на вузли критичної інфраструктури Мінфіну”.

Після цього він зазначив наступне:“Відповідно до нових процедур, ухвалених при адміністрації Байдена, Мінфін швидко надав IP-адреси, використані в атаці”.

Інцидент стався за кілька днів до аналогічних атак Killnet на американські фірми, які надають фінансові послуги.

Нагадаємо, напередодні група російських хакерів атакувала сайт парламенту Ізраїлю перед виборами в країні. Атаку було відбито. Ще раніше російські хакери атакували сайти президента, уряду, деяких ключових міністерств та Конституційного суду Болгарії.

Хакери вкрали 130 репозиторіїв на GitHub

Після того, як зловмисники атакували GitHub, Dropbox виявив значні порушення безпеки. Хакери завдяки фішинговій атаці змогли отримати облікові дані співробітника компанії, і отримали доступ до облікових записів GitHub.

Як повідомляє BleepingComputer, зловмисники зламали обліковий запис 14 жовтня. Підозрілу активність GitHub помітили ще за за день до надсилання сповіщення.

«На сьогоднішні наше розслідування виявило, що код, до якого отримали доступ, містив деякі облікові дані, насамперед, ключі API, які використовували розробники Dropbox», — повідомили у компанії Dropbox.

Dropbox зазнав чималих втрат. Насамперед це код і дані, які включали кілька тисяч імен і адрес електронної пошти співробітників компанії, поточних і минулих клієнтів, потенційних клієнтів і постачальників до яких входять код і дані. Слід зазначити, що Dropbox має понад 700 млн зареєстрованих користувачів.

Саме завдяки фішинговій атаці, яка була націлена на кількох співробітників і базувалася на підроблених електронних листах, хакерам вдалось успішно зламати їх облікові записи. Електронні листи імітували сповіщення від платформи безперервної інтеграції та доставки CircleCI, і перенаправляли їх на фішингову цільову сторінку, де їм було запропоновано ввести ім’я користувача та пароль GitHub.

«Ці репозиторії включали наші власні копії сторонніх бібліотек, трохи модифікованих для використання Dropbox, внутрішні прототипи та деякі інструменти та конфігураційні файли, які використовує команда безпеки», — додала компанія.

Dropbox додали, що хакери ніколи не мали доступу до облікових записів користувачів, платіжної системи та паролів. Також вони оголосили на тому, що їх основні програми та інфраструктура не постраждали в результаті цього злому.

Хактивісти викрали 100,000 листів Організації з Атомної енергії Ірану

Організація з атомної енергії Ірану (AEOI) повідомила, що поштові сервери одного з її дочірніх підприємств були зламані. Раніше хакерська група Black Reward публікувала дані, викрадені з організації, заявивши, що всього вони викрали понад 100,000 повідомлень і 50 Гб інформації.

Нагадаємо, також повідомлялося, що експерти Microsoft розповіли про іранських хакерів, які атакують учасників конференції з безпеки.

AEOI повідомляє, що несанкціонована іноземна сторона з неназваної країни вкрала електронні листи з хакерського сервера, в яких здебільшого міститься щоденне листування співробітників і технічні нотатки. Організація пише, що вона негайно прийняла всі необхідні превентивні заходи і повідомила відповідним органам та посадовим особам, щоб вони були підготовлені до можливих нападів.

Бушерська АЕС на півдні Ірану

Представники AEOI повідомляють, що єдиною метою цього хаку було привернення уваги і псування іміджу організації в ЗМІ.

Хакерська група Black Reward взяла на себе відповідальність за атаку, назвавши себе іранською, але нібито виступила проти чинного уряду.

Наприкінці минулого тижня група випустила заяву на своєму каналі Telegram, в якій стверджувалось, що вона здатна зламати AEOI і витягти дані з 324 поштових скриньок організації, що містять в цілому більше 100,000 повідомлень і 50 Гб інформації.

Група Black Reward спочатку попередила, що вони опублікують свої знахідки протягом 24 годин, якщо іранський уряд не випустить всіх політичних в’язнів і затриманих протестувальників.

Хакери зазначили, що до оприлюднених відомостей увійшли «управлінські графіки різних частин Бушерської електростанції», паспорти і візи іранських та російських фахівців, які там працюють, а також «контракти та угоди про ядерний розвиток з вітчизняними та зарубіжними партнерами».

Крім того, хакери закликали експертів з відповідних галузей та ЗМІ публікувати звіти про розслідування цих документів. Після того, як іранська влада не підкорилася вимогам хакерів, Black Reward опублікували частину викрадених даних в тому ж каналі Telegram. Хакери випустили кілька RAR-архівів загальним обсягом 27 Гб, що містять 85,000 електронних листів, і зловмисники стверджують, що вони «ідеальні для дослідників».

Хакери пишуть, що вони ретельно дослідили всі дані перед публікацією, видаливши з дампу всі маркетингові повідомлення і спам, залишивши тільки цінний контент. Судячи з усього, цей витік містить паспорти і візи іранців і росіян, що працюють з АЕОІ, звіти про стан і експлуатацію обладнання, плани будівництва атомної електростанції, контракти, технічні звіти та іншу документацію. Можливо, ці викрадені дані можуть пролити світло на спроби Ірану розробити ядерну зброю.

Наприкінці свого повідомлення хакери згадують про 22-річну іранську жінку Махса Аміні, яку наприкінці вересня місцева віце-поліція затримала за неправильне носіння хіджабу. Незабаром після затримання вона померла. Потім влада опублікувала заяву, в якій стверджувалося, що Аміні раптово впала від серцевого нападу в центрі затримання і була доставлена в лікарню, де вона впала в кому і врешті решт померла.

Після смерті Аміні в соціальних мережах з’явилася інформація, що дівчина була замучена представниками поліції. Після цього по країні пішла хвиля антиурядових протестів, символом яких була Аміні. Послання хакерів також закінчується словами: «Життя та свобода для жінок».

Тисячі репозиторіїв GitHub розповсюджують шкідливе програмне забезпечення під експлойти

Фахівці Лейденського інституту передових комп’ютерних наук виявили тисячі репозиторіїв GitHub з підробленими експлойтами PoC для різних вразливостей, які поширюють шкідливе ПЗ.

Виявилося, що ймовірність зараження шкідливим ПЗ при завантаженні PoC може досягати 10. 3%, навіть якщо виключити явні збої. Нагадаємо ми також повідомляли, що GitHub вилучив експлойт ProxyLogon і був підданий критиці, а також що хакери використовують підроблені сповіщення CircleCI для доступу до облікових записів GitHub.

GitHub є одним з найбільших сайтів для розміщення коду. Дослідники по всьому світу використовують його для публікації експлойтів PoC, щоб інші члени спільноти могли тестувати патчі, визначати вплив і масштаби помилок у програмах.

Для своїх досліджень фахівці проаналізували понад 47,300 репозиторіїв, що пропонують експлойти для різних вразливостей, виявлених між 2017 і 2021 роками. Для аналізу були використані наступні методи.

  1. Аналіз IP-адрес. Порівняння IP-адреси автора з публічними блеклистами, а також VirusTotal і AbuseIPDB.
  2. Бінарний аналіз. Перевірка наданих виконуваних файлів і їх хешів через VirusTotal.
  3. Розбір шістнадцяткового та Base64 шифрування. Така перевірка спрощує бінарні і IP-перевірки обфускованого коду.

В результаті з 150734 унікальних IP-адрес, 2864 були чорного списку (1522 VirusTotal ідентифікував як зловмисні, ще 1069 були присутні в базі даних AbuseIPDB).

В ході бінарного аналізу був випробуваний набір з 6160 виконуваних файлів, серед яких було знайдено 2164 зловмисних зразків, розташованих в 1398 сховищах. У цьому огляді, в цілому 4,893 з 47,313 протестованих репозитаріїв, були визнані зловмисники, при цьому більшість PoC пов’язані з вразливостями в 2020 році.

Після вивчення деяких з цих експлойтів, дослідники виявили різні скрипти шкідливого програмного забезпечення і шкідливого програмного забезпечення, починаючи від троянів віддаленого доступу до Cobalt Strike.

Наприклад, в одному з прикладів, підроблений PoC для CVE-2019-0708, широко відомий як BlueKeep, містив заплутаний скрипт Python base64, який видобуває VBScript з Pastebin. Таким сценарієм був Houdini RAT, старий троян JavaScript, який підтримує віддалене виконання команд через командний рядок Windows.

В іншому випадку дослідники виявили підроблений експлойт, який був інформаційним стилером, що збирав системну інформацію, IP-адресу, а також інформацію UserAgent з інфікованої системи. Оскільки цей PoC раніше створювався як експеримент іншим дослідником, фахівці вважали його відкриття підтвердженням того, що їх підхід спрацював.

Експерти прийшли до висновку, що не слід сліпо довіряти репозиторіям GitHub, оскільки вміст тут не модерується. Згідно з авторами доповіді, всі тестери повинні виконувати наступні дії перед роботою з експлойтами:

  1. Уважно прочитайте код, який ви плануєте запустити у вашій мережі або клієнтській мережі;
  2. Якщо код занадто складний і аналізується вручну занадто довго, слід покласти його в ізольоване середовище (наприклад, віртуальну машину) і перевірити мережу на підозрілий трафік;
  3. Використовувати інструменти аналізу з відкритим кодом, такі як VirusTotal для тестування бінарних файлів.

Дослідники пишуть, що вони сповістили GitHub про всі зловмисні репозиторії, але для їх перевірки і видалення знадобиться деякий час, тому багато з них все ще доступні всім.