Zestawienie tygodniowe 26 kwietnia - 4 maja

O Emotecie pisaliśmy już wielokrotnie, podobnie jak o Have I Been Pwned. Teraz dowiadujemy się, że FBI przekazało ponad 4,3 miliona adresów e-mail, które zostały przechwycone przez botnet Emotet, do usługi Have I Been Pwned (HIBP), aby ułatwić ostrzeganie osób, których dotyczy problem.

Przypomnijmy, że HIPB, prowadzony przez australijskiego badacza bezpieczeństwa Troya Hunta, jest zaufaną usługą ostrzegania o włamaniach. Z kolei Emotet był odpowiedzialny za dystrybucję oprogramowania ransomware, trojanów bankowych i innych zagrożeń poprzez phishing i spam zawierający złośliwe oprogramowanie.

W styczniu holenderskie organy ścigania przejęły kontrolę nad kluczowymi domenami i serwerami Emotet, podczas gdy niemiecka agencja policji federalnej Bundeskriminalamt (BKA) przekazała aktualizację dla około 1,6 miliona komputerów zainfekowanych złośliwym oprogramowaniem Emotet, która w tym tygodniu aktywowała wyłącznik awaryjny odinstalowując to złośliwe oprogramowanie.

Hunt pisze na swoim blogu, że FBI przekazało mu „dane uwierzytelniające e-mail przechowywane przez Emotet w celu wysyłania spamu”, a także „dane uwierzytelniające internetowe zebrane z przeglądarek, które je zapisały, aby przyspieszyć późniejsze logowanie”.

HIBP zawiera obecnie 11 miliardów kont „pwned” z szeregu naruszeń danych, które miały miejsce w ciągu ostatniej dekady, takich jak MySpace i LinkedIn z 2012 r., a także ogromne listy z danymi uwierzytelniającymi znalezione w Internecie, które są wykorzystywane przez przestępców do przejęcia konta z wcześniej naruszonymi adresami e-mail i hasłami.

Autor: Kapitan Hack Data dodania: 4 maj 2021 10:30 6 min czytania

Nowy kolektyw hackerski i nowe wyrafinowane ataki

Luka typu zero-day, którą SonicWall naprawił w swoich urządzeniach Secure Mobile Access (SMA) na początku tego roku, została wykorzystana przez „wyrafinowaną i agresywną” grupę cyberprzestępczą, zanim producent opublikował poprawkę, poinformował w czwartek zespół FireEye Mandiant.

W ciągu ostatnich 6 miesięcy zaobserwowano nową grupę cyberprzestępców wykorzystującą szeroką gamę złośliwego oprogramowania i agresywną taktykę, aby zmusić ofiary ransomware do dokonywania płatności.

Motywacją grupy UNC2447 najprawdopodobniej są finanse. Grupa wykazała zaawansowane możliwości w atakach na organizacje w Europie i Ameryce Północnej. Majstrowała przy narzędziach bezpieczeństwa, regułach zapory i ustawieniach zabezpieczeń systemu.

Od listopada 2020 roku, jak donosi FireEye, kolektyw hackerski korzystał z rodzin złośliwego oprogramowania ransomware, takich jak: Sombrat, FiveHands (przepisany wariant oprogramowania ransomware DeathRansom), droppera Warprism PowerShell, radiolatarni Cobalt Strike i FoxGrabber, ale jej aktywność również pokazuje powiązania z oprogramowaniem ransomware HelloKitty i RagnarLocker.

Grupa została zauważona nadużywając CVE-2021-20016, krytycznego błędu wstrzyknięcia SQL w produktach SonicWall Secure Mobile Access SMA 100, który może umożliwić zdalnym, nieuwierzytelnionym atakującym dostęp do danych logowania i informacji o sesji, a następnie zalogowanie się do podatnych urządzeń.

Istnienie luki wyszło na jaw pod koniec stycznia, kiedy SonicWall poinformował klientów, że jego wewnętrzne systemy były celem ataku, który mógł wykorzystać luki „dnia zerowego” w zabezpieczonych produktach dostępu zdalnego firmy.

CVE-2021-20016 został załatany przez SonicWall na początku lutego, ale FireEye powiedział, że UNC2447 wykorzystał go w swoich atakach, zanim poprawka została wydana.

Jeśli chodzi o złośliwe oprogramowanie wykorzystywane przez UNC2447, backdoor Sombrat został zaobserwowany podczas włamań ransomware FiveHands, co sugeruje, że oba są wykorzystywane przez tego samego przeciwnika. Sombrat został wstępnie opisany w listopadzie 2020 r. Jest napisany w C ++ i zorganizowany jako zbiór interoperacyjnych wtyczek. Może pobierać i uruchamiać skrypty z serwera poleceń i kontroli (C&C), obsługuje dziesiątki poleceń, z których większość umożliwia hakerowi zmianę zaszyfrowanego pliku pamięci i rekonfigurację implantu.

Czy chińscy hakerzy atakują Rosyjski sektor wojskowy?

Naukowcy z Cybereason twierdzą, że odkryli nieudokumentowane złośliwe oprogramowanie, atakujące rosyjski sektor wojskowy, noszące znamiona tego, że pochodzi z Chin.

Badacze śledzili złośliwe pliki RTF generowane przez broń RoyalRoad (znaną również jako narzędzie do tworzenia exploitów 8.t Dropper / RTF), o którym wiadomo, że jest często używany przez chińskie grupy. Znaleziono jedną próbkę upuszczającą wcześniej nieznane złośliwe oprogramowanie, które badacze Cybereason nazwali teraz PortDoor.

Celem był dyrektor generalny pracujący w Rubin Design Bureau. To rosyjski wykonawca w dziedzinie obronności, który projektuje atomowe okręty podwodne dla rosyjskiej marynarki wojennej.

Cybereason nie może jeszcze przypisać ataku i wykorzystanego złośliwego oprogramowania do żadnego konkretnego aktora, ale zauważa, że plik RTF „nosi orientacyjne kodowanie nagłówka „b0747746” i został wcześniej zaobserwowany jako używany przez zespół Tonto (aka CactusPete), TA428 i Rancor”.

Zarówno Tonto, jak i TA428 były postrzegane jako atakujące rosyjskie cele badawcze i związane z obronnością. Ponadto istnieją podobieństwa językowe i wizualne w wiadomościach phishingowych między atakiem PortDoor, a wcześniejszymi atakami zespołu Tonto Team na rosyjskie organizacje.

Jednak naukowcy zauważają, że PortDoor „nie wydaje się mieć znaczących podobieństw w kodzie ze znanym wcześniej złośliwym oprogramowaniem używanym przez wyżej wymienione grupy… nie jest to wariant znanego złośliwego oprogramowania, ale w rzeczywistości jest to nowe złośliwe oprogramowanie, które zostało niedawno opracowane”. Niemniej jednak Cybereason uważa, że PortDoor w tym przypadku jest obsługiwany przez grupę APT działającą w imieniu chińskich interesów państwowych.

PortDoor to wieloaspektowy backdoor, który może prowadzić szpiegostwo, przeprowadzać profilowanie celów, zwiększać uprawnienia, omijać programy antywirusowe, wykonywać jednobajtowe szyfrowanie XOR, dostarczać dodatkowe ładunki i eksfiltrować dane zaszyfrowane za pomocą AES.