Беседка для общения!

Информация о пользователе

Привет, Гость! Войдите или зарегистрируйтесь.

Хакеры

Страница:   1 2

Сообщений 11 страница 14 из 14

11

  • Автор: Leon
  • Leon
  • Уважение: +188
  • Сообщений: 398
  • Позитив: +88
  • Зарегистрирован: 21-01-2019
  • Провел на форуме:
    3 дня 10 часов

Китайские кибершпионы использовали инструменты АНБ за год до утечки The Shadow Brokers
https://www.securitylab.ru/upload/iblock/091/091b19682d84be52e7c19fe5c62b1c2a.jpg
В настоящее время неизвестно, каким образом Buckeye удалось получить доступ к инструментам. Группировка Buckeye (также известна как APT3, Gothic Panda, TG-011 и UPS) использовала вредоносные инструменты Агентства национальной безопасности США (АНБ) по меньшей мере за год до того, как группа The Shadow Brokers разместила их в открытом доступе, утверждают исследователи из компании Symantec. Напомним, в августе 2016 года хакерская группировка The Shadow Brokers начала публиковать инструменты из арсенала АНБ. Часть эксплоитов участники группы разместили в открытом доступе, а остальные предлагали за определенную плату. В настоящее время неизвестно, каким образом Buckeye удалось получить доступ к инструментам. Согласно отчету Symantec, группировка использовала версию бэкдора DoublePulsar с марта 2016 года – за 12 месяцев до того, как The Shadow Brokers опубликовала содержащий данный инструмент дамп (в апреле 2017 года). Специалисты не нашли свидетельств, что группировка задействовала в своих атаках другие инструменты АНБ, такие как фреймворк FuzzBunch, обычно используемый для установки бэкдора. Вместо этого Buckeye применяла собственный троян под названием Bemstour, эксплуатирующий две уязвимости в Windows, - CVE-2019-0703 и CVE-2017-0143. Первая представляет собой уязвимость раскрытия информации, которая в сочетании с другими уязвимостями предоставляет возможность удаленного выполнения кода, а вторая – баг в SMB-сервере, позволяющий удаленно выполнить код. CVE-2017-0143 была исправлена в марте 2017 года, а CVE-2019-0703 Microsoft устранила в марте 2019 года. Специалисты отмечают, что Buckeye применяла версию DoublePulsar, отличающуюся от опубликованной The Shadow Brokers. В частности, она содержала код, предназначенный для атак на более новые версии Windows (Windows 8.1 и Windows Server 2012 R2), также в ней был реализован дополнительный слой обфускации. Как правило, группировка использовала бэкдор для создания новых учетных записей и не задействовала другие возможности DoublePulsar, позволявшие скрытно осуществлять и другую деятельность. Инструмент использовался только в нескольких атаках, отмечают исследователи, в основном против организаций в Бельгии, Люксембурге, Филиппинах, Вьетнаме и Гонконге. Основной целью атак была кража информации. Группировка прекратила использовать DoublePulsar в середине 2017 года после того, как атаки с применением других эксплоитов АНБ (EternalBlue и прочих) начали привлекать пристальное внимание общественности. Buckeye была активна по меньшей мере с 2009 года, однако в середине 2017 года прекратила деятельность. Тем не менее, разработка трояна Bemstour продолжалась вплоть до 2019 года – исследователи обнаружили версию вредоноса, скомпилированную 23 марта – спустя 11 дней после того, как Microsoft исправила эксплуатирую им уязвимость. В настоящее время неясно, кто продолжал использовать инструменты Buckeye в 2018-2019 годах. Эксперты не нашли свидетельства, что группировка возобновила деятельность, но, по их мнению, Buckeye могла передать свои инструменты другой киберпреступной группе.
securitylab.ru

0

12

  • Автор: Leon
  • Leon
  • Уважение: +188
  • Сообщений: 398
  • Позитив: +88
  • Зарегистрирован: 21-01-2019
  • Провел на форуме:
    3 дня 10 часов

APT-группа Turla в течение 5 лет успешно скрывала мощнейший бэкдор
https://www.securitylab.ru/upload/iblock/509/509a2e3eaca57ce81ce4a4fb76d1af51.jpg
LightNeuron был специально создан для взаимодействия с почтовым сервером Microsoft Exchange. В арсенале APT-группы Turla появился один из самых высокотехнологичных бэкдоров, когда-либо обнаруженных исследователями безопасности. Бэкдор под названием LightNeuron специально разработан для почтовых серверов Microsoft Exchange и работает как агент пересылки сообщений – функционал, никогда ранее не встречавшийся среди бэкдоров. Как сообщил исследователь компании ESET Матье Фау (Matthieu Faou), LightNeuron является первым известным вредоносным ПО, предназначенным специально для Microsoft Exchange. Ранее Turla использовала вредоносное ПО Neuron (другое название DarkNeuron), но оно не было создано для взаимодействия конкретно с Microsoft Exchange. Автором LightNeuron являются участники Turla. Группировка использует бэкдор как минимум с 2014 года, однако в течение пяти лет ей удавалось успешно его скрывать. Вредонос является одним из мощнейших инструментов в своем роде и позволяет операторам контролировать все данные, проходящие через инфицированный почтовый сервер. То есть, злоумышленники могут не только перехватывать, но также отправлять, переадресовывать, блокировать и редактировать письма. Специалистам ESET удалось идентифицировать три жертвы LightNeuron. Ими оказались неназванная организация в Бразилии, министерство иностранных дел в одной из восточноевропейских стран, а также дипломатическая организация на Среднем Востоке. Еще одной особенностью LightNeuron, отличающей его от других бэкдоров, является необычный C&C-механизм. После заражения и модифицирования сервера Microsoft Exchange вредонос никогда не подключается к C&C-инфраструктуре напрямую. Связь осуществляется через файлы PDF и JPG, отправляемые в электронных письмах. С помощью стеганографии киберпреступники прячут в этих файлах команды, которые бэкдор считывает и выполняет. Спам-фильтры отсеивают эти письма, поэтому они не попадаются на глаза жертвы, оставляя ее в полном неведении
securitylab.ru

0

13

  • Автор: Leon
  • Leon
  • Уважение: +188
  • Сообщений: 398
  • Позитив: +88
  • Зарегистрирован: 21-01-2019
  • Провел на форуме:
    3 дня 10 часов

Киберпреступник отобрал у скрипт-деток 29 ботнетов
https://www.securitylab.ru/upload/iblock/2c7/2c7ca512e028f5068231386831b2c749.jpg
Операторы ботнетов использовали для авторизации на C&C-серверах ненадежные пароли или учетные данные по умолчанию. За последние несколько недель киберпреступник, известный в Сети как Subby, захватил контроль над 29 чужими IoT-ботнетами. Задачу преступнику облегчил тот факт, что операторы некоторых ботнетов использовали для авторизации на C&C-серверах ненадежные пароли или учетные данные по умолчанию. Как сообщил Subby в беседе с исследователем безопасности из NewSky Security Анкитом Анубхавом (Ankit Anubhav), для взлома C&C-серверов он осуществил атаку по словарю путем подстановки популярных паролей и логинов. Операторы некоторых ботнетов использовали такие ненадежные учетные данные как "root:root", "admin:admin" и "oof:oof", поэтому подобрать их не составило труда. По словам Subby, это можно объяснить тем, что большинство операторов являются скрипт-кидди. «Создавая ботнеты, большинство операторов просто следуют инструкциям, распространяемым по сообществу или опубликованным в YouTube. Следуя инструкции, они не меняют учетные данные по умолчанию, а если и меняют, то на очень ненадежные, уязвимые к брутфорсу», - пояснил Subby. Сказанное Subby не является чем-то новым, по крайней мере, для исследователей безопасности IoT-устройств. К примеру, в прошлом месяце Анубхав рассказал о создателях нашумевшего ботнета Kepler, которыми оказались два подростка. Кроме того, как недавно выяснил исследователь под псевдонимом MisterCh0c, оператором ботнетов OrangeFox, BlackNET, Arkei и ряда других ботнетов также является подросток, забывший в журналах серверов свою фотографию. Ни один из 29 захваченных киберпреступником ботнетов не является особо крупным. Первоначальный подсчет выявил порядка 40 тыс. ботов, но после удаления дубликатов их число уменьшилось до 25 тыс.
securitylab.ru

0

14

  • Автор: Leon
  • Leon
  • Уважение: +188
  • Сообщений: 398
  • Позитив: +88
  • Зарегистрирован: 21-01-2019
  • Провел на форуме:
    3 дня 10 часов

Хакеры начали заражать компьютеры через сервис «Яндекса
https://c.radikal.ru/c27/1905/58/8ed2e83a948c.jpg
Антивирусная компания ESET сообщила о новой киберугрозе, распространяемой мошенниками с использованием сети рекламных баннеров «Яндекс.Директа». Детали хакерской схемы организация раскрыла в пресс-релизе, поступившем в редакцию «Ленты.ру». По данным специалистов, основная цель преступников — финансовые и юридические подразделения различных организаций, так как вредоносное ПО было замаскировано под деловые документы. На удочку аферистов попались пользователи, искавшие в сети шаблоны юридических договоров, образцов договора на квартиру или шаблоны судебных ходатайств. Они переходили через рекламные баннеры «Яндекс.Директа» на сайты, где якобы были размещены вредоносные файлы. Баннеры появлялись на специализированных бухгалтерских и юридических сайтах, таких как regforum.ru, napravah.com. ксперты ESET утверждают, что ранее с использованием баннерной рекламы хакеры распространяли программу для кражи криптовалюты — банковский троян, способный перехватывать доступ к микрофону и введенный с клавиатуры текст, а также программу-вымогатель, шифровавшую файлы и требовавшую за восстановление доступа к ним выкуп. Специалисты отмечают, что в настоящий момент баннеры мошенников заблокированы. В пресс-службе «Яндекса» заявили, что в компании действует строгая система модерации рекламных объявлений. «В случае обнаружения на сайте вредоносного кода или иной угрозы для пользователей объявления автоматически отклоняются», — утверждают в компании. Однако некоторые рекламодатели используют недобросовестные методы и подменяют контент на сайте после прохождения модерации. «Любые попытки обойти ограничения в мошеннических целях ведут к отклонению рекламных материалов и блокировке аккаунта рекламодателя. Если пользователь найдет в сети потенциально опасный файл, "Яндекс.Браузер" предупредит его об этом. Мы постоянно рассказываем пользователям об угрозах в сети и методах защиты, делая со своей стороны все, чтобы сделать пространство рунета максимально безопасным», — заверили в пресс-службе. В середине апреля стало известно , что хакеры научились заражать компьютеры через старую переписку. Юзеры получают на электронную почту письмо от одного из предыдущих собеседников, в котором содержалась ссылка на вредоносное ПО.
lenta.ru

Внимание! Если Вам будут приходить на e-mail письма от Александра Громова "Заработок на брошенных сайтах", то ни в коем случае не переходите по ссылкам - это чревато.

0

Страница:   1 2