Хакеры взломали три антивирусные компании в США

В Сети выставлены на продажу данные, принадлежащие трем американским производителям решений безопасности. Киберпреступная группировка, предположительно российского происхождения, выставила на продажу информацию, похищенную у трех американских производителей антивирусного ПО. Речь идет о группировке под названием Fxmsp, долгое время специализирующейся на продаже подлинных корпоративных данных. Как сообщает ИБ-компания Advanced Intelligence (AdvIntel), нелегальный бизнес принес киберпреступникам порядка $1 млн. Fxmsp существует с 2017 года и хорошо известна на киберпреступных форумах. По данным AdvIntel, в группировку входят русско- и англоговорящие хакеры. Главной целью киберпреступников являются правительственные учреждения по всему миру, у которых они похищают конфиденциальную информацию. Продажа похищенных данных осуществляется через надежную сеть доверенных посредников. Как правило, Fxmsp проникает в корпоративные сети через доступные извне серверы RDP и незащищенные активные каталоги (active directory). Кроме того, киберпреступники создали ботнет, способный выуживать у жертв нужные учетные данные. В марте 2019 года Fxmsp заявили, что в их распоряжении оказались данные трех крупных производителей решений безопасности из США, в том числе исходные коды антивирусных продуктов, Искусственного интеллекта и плагинов безопасности. За предоставление доступа к корпоративным сетям и похищенную информацию группировка просит более $300 тыс. Киберпреступники не сообщают названия скомпрометированных компаний, но предоставляют индикаторы для их идентификации. Fxmsp также предлагает «скриншоты папок с 30 терабайтами данных, предположительно извлеченных из корпоративных сетей». В папках содержится документация по разработке, модели искусственного интеллекта, решения для обеспечения безопасности в Сети, а также код антивирусного ПО.

securitylab.ru

Китайские кибершпионы использовали инструменты АНБ за год до утечки The Shadow Brokers

В настоящее время неизвестно, каким образом Buckeye удалось получить доступ к инструментам. Группировка Buckeye (также известна как APT3, Gothic Panda, TG-011 и UPS) использовала вредоносные инструменты Агентства национальной безопасности США (АНБ) по меньшей мере за год до того, как группа The Shadow Brokers разместила их в открытом доступе, утверждают исследователи из компании Symantec. Напомним, в августе 2016 года хакерская группировка The Shadow Brokers начала публиковать инструменты из арсенала АНБ. Часть эксплоитов участники группы разместили в открытом доступе, а остальные предлагали за определенную плату. В настоящее время неизвестно, каким образом Buckeye удалось получить доступ к инструментам. Согласно отчету Symantec, группировка использовала версию бэкдора DoublePulsar с марта 2016 года – за 12 месяцев до того, как The Shadow Brokers опубликовала содержащий данный инструмент дамп (в апреле 2017 года). Специалисты не нашли свидетельств, что группировка задействовала в своих атаках другие инструменты АНБ, такие как фреймворк FuzzBunch, обычно используемый для установки бэкдора. Вместо этого Buckeye применяла собственный троян под названием Bemstour, эксплуатирующий две уязвимости в Windows, - CVE-2019-0703 и CVE-2017-0143. Первая представляет собой уязвимость раскрытия информации, которая в сочетании с другими уязвимостями предоставляет возможность удаленного выполнения кода, а вторая – баг в SMB-сервере, позволяющий удаленно выполнить код. CVE-2017-0143 была исправлена в марте 2017 года, а CVE-2019-0703 Microsoft устранила в марте 2019 года. Специалисты отмечают, что Buckeye применяла версию DoublePulsar, отличающуюся от опубликованной The Shadow Brokers. В частности, она содержала код, предназначенный для атак на более новые версии Windows (Windows 8.1 и Windows Server 2012 R2), также в ней был реализован дополнительный слой обфускации. Как правило, группировка использовала бэкдор для создания новых учетных записей и не задействовала другие возможности DoublePulsar, позволявшие скрытно осуществлять и другую деятельность. Инструмент использовался только в нескольких атаках, отмечают исследователи, в основном против организаций в Бельгии, Люксембурге, Филиппинах, Вьетнаме и Гонконге. Основной целью атак была кража информации. Группировка прекратила использовать DoublePulsar в середине 2017 года после того, как атаки с применением других эксплоитов АНБ (EternalBlue и прочих) начали привлекать пристальное внимание общественности. Buckeye была активна по меньшей мере с 2009 года, однако в середине 2017 года прекратила деятельность. Тем не менее, разработка трояна Bemstour продолжалась вплоть до 2019 года – исследователи обнаружили версию вредоноса, скомпилированную 23 марта – спустя 11 дней после того, как Microsoft исправила эксплуатирую им уязвимость. В настоящее время неясно, кто продолжал использовать инструменты Buckeye в 2018-2019 годах. Эксперты не нашли свидетельства, что группировка возобновила деятельность, но, по их мнению, Buckeye могла передать свои инструменты другой киберпреступной группе.
securitylab.ru

Киберпреступник отобрал у скрипт-деток 29 ботнетов

Операторы ботнетов использовали для авторизации на C&C-серверах ненадежные пароли или учетные данные по умолчанию. За последние несколько недель киберпреступник, известный в Сети как Subby, захватил контроль над 29 чужими IoT-ботнетами. Задачу преступнику облегчил тот факт, что операторы некоторых ботнетов использовали для авторизации на C&C-серверах ненадежные пароли или учетные данные по умолчанию. Как сообщил Subby в беседе с исследователем безопасности из NewSky Security Анкитом Анубхавом (Ankit Anubhav), для взлома C&C-серверов он осуществил атаку по словарю путем подстановки популярных паролей и логинов. Операторы некоторых ботнетов использовали такие ненадежные учетные данные как "root:root", "admin:admin" и "oof:oof", поэтому подобрать их не составило труда. По словам Subby, это можно объяснить тем, что большинство операторов являются скрипт-кидди. «Создавая ботнеты, большинство операторов просто следуют инструкциям, распространяемым по сообществу или опубликованным в YouTube. Следуя инструкции, они не меняют учетные данные по умолчанию, а если и меняют, то на очень ненадежные, уязвимые к брутфорсу», - пояснил Subby. Сказанное Subby не является чем-то новым, по крайней мере, для исследователей безопасности IoT-устройств. К примеру, в прошлом месяце Анубхав рассказал о создателях нашумевшего ботнета Kepler, которыми оказались два подростка. Кроме того, как недавно выяснил исследователь под псевдонимом MisterCh0c, оператором ботнетов OrangeFox, BlackNET, Arkei и ряда других ботнетов также является подросток, забывший в журналах серверов свою фотографию. Ни один из 29 захваченных киберпреступником ботнетов не является особо крупным. Первоначальный подсчет выявил порядка 40 тыс. ботов, но после удаления дубликатов их число уменьшилось до 25 тыс.
securitylab.ru