Порвали два трояна

Атаки в AWS, новые инструменты вымогателей и другие исследования APT за неделю

🟣Технический анализ атак на среды AWS, проводимых вымогательской группировкой Crimson Collective. Самой известной жертвой на сегодня является Red Hat.

🟣В атаках ransomware замечено использование Velociraptor — предназначенного для цифровой криминалистики ПО с открытым исходным кодом. Группа Storm-2603, ассоциирующая с шифровальщиками Warlock, LockBit и Babuk, использовала старую версию ПО, уязвимую к повышению привилегий, для захвата сети  и установки VSCode, в которой им, конечно, нужны были только туннели.

🔴А в атаках, компрометирующих веб-сервисы при помощи шелла China Chopper, на следующих этапах вторжения стали использовать китайский open source инструмент Nezha, в норме предназначенный для мониторинга серверов администраторами. 

🟢Разбор шпионских атак, проводимых группировкой UTA0388 на организации Европы, Азии и США. Целевой фишинг готовят предположительно с помощью LLM, поскольку письма рассылали на пяти языках. При этом в них есть странности, присущие ИИ-агентам, такие как спорадическая смена языка или попытки отправить письмо на явно несуществующий адрес. В случае успешного фишинга  у жертвы разворачивают ВПО GOVERSHELL.

🔵У МСБ выманивают деньги в качестве «залога», предлагая стать поставщиком крупных авиакомпаний. Схема целиком социоинженерная, ВПО не используется.

🟣Разбор обновлённого ботнета RondoDox, который теперь эксплуатирует почти 60 уязвимостей в 50 разных устройствах (в основном роутеры, веб-серверы, NAS и IP-камеры) для целей DDoS и майнинга.

🟠Новая интересная разновидность ClickFix — вредоносная веб-страница содержит ВПО под видом картинки,  а скрипт PowerShell активизирует его, сначала разыскав в кэше браузера. 

🔵Кстати, атаки ClickFix теперь интегрируют прямо в фишинг-киты.

🟢Технический анализ инфостилера Shuyal, который умеет красть данные из 19 браузеров.

🟠Крупная утечка паспортных данных пользователей Discord. Злоумышленники утащили из Zendesk не то 70 тысяч (версия Discord), не то 5,5 миллионов (версия хакеров) фото документов. Если вход на сайты по паспорту будет продолжать своё победное шествие по планете, таких инцидентов станет больше. 

🟢По оценкам Elliptic, кластер Lazarus в этом году украл более $2 млрд. крипты.

🟣Docker сделал свою программу Docker Hardened Images (DHI) доступной по подписке для МСБ. В DHI входят оперативно обновляемые образы с разумно ограниченным набором сервисов и прав, и конечно минимумом известных уязвимостей. 
Стоимость публично не называют, но она affordable, то есть доступная.

#дайджест #APT @П2Т

Please open Telegram to view this post

VIEW IN TELEGRAM

🔥5👏4👍1

www.group-telegram.com/us/kasperskyb2b.com/1921

1.55K viewsOct 13 at 07:42

Атаки в AWS, новые инструменты вымогателей и другие исследования APT за неделю

🟣Технический анализ атак на среды AWS, проводимых вымогательской группировкой Crimson Collective. Самой известной жертвой на сегодня является Red Hat.

🟣В атаках ransomware замечено использование Velociraptor — предназначенного для цифровой криминалистики ПО с открытым исходным кодом. Группа Storm-2603, ассоциирующая с шифровальщиками Warlock, LockBit и Babuk, использовала старую версию ПО, уязвимую к повышению привилегий, для захвата сети  и установки VSCode, в которой им, конечно, нужны были только туннели.

🔴А в атаках, компрометирующих веб-сервисы при помощи шелла China Chopper, на следующих этапах вторжения стали использовать китайский open source инструмент Nezha, в норме предназначенный для мониторинга серверов администраторами. 

🟢Разбор шпионских атак, проводимых группировкой UTA0388 на организации Европы, Азии и США. Целевой фишинг готовят предположительно с помощью LLM, поскольку письма рассылали на пяти языках. При этом в них есть странности, присущие ИИ-агентам, такие как спорадическая смена языка или попытки отправить письмо на явно несуществующий адрес. В случае успешного фишинга  у жертвы разворачивают ВПО GOVERSHELL.

🔵У МСБ выманивают деньги в качестве «залога», предлагая стать поставщиком крупных авиакомпаний. Схема целиком социоинженерная, ВПО не используется.

🟣Разбор обновлённого ботнета RondoDox, который теперь эксплуатирует почти 60 уязвимостей в 50 разных устройствах (в основном роутеры, веб-серверы, NAS и IP-камеры) для целей DDoS и майнинга.

🟠Новая интересная разновидность ClickFix — вредоносная веб-страница содержит ВПО под видом картинки,  а скрипт PowerShell активизирует его, сначала разыскав в кэше браузера. 

🔵Кстати, атаки ClickFix теперь интегрируют прямо в фишинг-киты.

🟢Технический анализ инфостилера Shuyal, который умеет красть данные из 19 браузеров.

🟠Крупная утечка паспортных данных пользователей Discord. Злоумышленники утащили из Zendesk не то 70 тысяч (версия Discord), не то 5,5 миллионов (версия хакеров) фото документов. Если вход на сайты по паспорту будет продолжать своё победное шествие по планете, таких инцидентов станет больше. 

🟢По оценкам Elliptic, кластер Lazarus в этом году украл более $2 млрд. крипты.

🟣Docker сделал свою программу Docker Hardened Images (DHI) доступной по подписке для МСБ. В DHI входят оперативно обновляемые образы с разумно ограниченным набором сервисов и прав, и конечно минимумом известных уязвимостей. 
Стоимость публично не называют, но она affordable, то есть доступная.

#дайджест #APT @П2Т