Оборонный сектор в Украине и Восточной Европе стал мишенью нового бэкдора на основе .NET под названием DeliveryCheck (он же CAPIBAR или GAMEDAY). В этой статье узнаем, кто стоит за взломом, и какой ущерб он нанёс.

Группа разведки угроз Microsoft в сотрудничестве с Украинской группой реагирования на компьютерные чрезвычайные ситуации (CERT-UA) обвинила в атаках российскую хакерскую группировку, известную как Turla, которая также отслеживается под именами Iron Hunter, Secret Blizzard (ранее Krypton), Uroburos, Venomous Bear и Waterbug. Специалисты считают, что группировка связана с Федеральной службой безопасности России (ФСБ).



«DeliveryCheck распространяется по электронной почте в виде документов с вредоносными вирусами», — говорится в серии твитов компании. «Он сохраняется через запланированную задачу, которая загружает и запускает его в памяти компьютера. Он также связывается с сервером C2 для получения задач, которые могут включать запуск произвольных загрузок, встроенных в таблицы стилей XSLT».





Успешный доступ также сопровождается в некоторых случаях распространением известной малвари Turla, получившей название Kazuar. Она оборудована для кражи файлов конфигурации приложений, журналов событий и широкого спектра данных из веб-браузеров.
Конечной целью атак является эксфильтрация (метод взлома, который заключается в извлечении информации из системы или сети, не используя открытый доступ или пароль) сообщений из приложения обмена сообщениями Signal для Windows, что позволяет злоумышленнику получить доступ к конфиденциальным разговорам, документам и изображениям в целевых системах.



Примечательным аспектом DeliveryCheck является его способность взламывать серверы Microsoft Exchange для установки компонента на стороне сервера с помощью PowerShell Desired State Configuration (DSC) — платформы управления PowerShell, которая помогает администраторам автоматизировать настройку систем Windows.
«DSC создает файл Managed Object Format (MOF), содержащий сценарий PowerShell, который загружает встроенную загрузку .NET в память, фактически превращая сервер жертвы в центр управления вредоносными программами», — пояснили в Microsoft.






Раскрытие информации произошло после того, как Киберполиция Украины ликвидировала огромную ферму ботов, на которой более 100 человек якобы распространяли враждебную пропаганду, оправдывающую российскую сво, сливали личную информацию, принадлежащую гражданам Украины, и участвовали в различных мошеннических схемах.
В рамках операции были проведены обыски в 21 офисе, в результате которых изъято компьютерное оборудование, мобильные телефоны, более 250 GSM-шлюзов и около 150 000 SIM-карт, принадлежащих различным операторам мобильной связи.

Иными словами, взлом не был замечен напрямую. О бэкдоре стало известно случайно, неполадок в сети до обыска фермы оборонный сектор Украины не обнаружил. Официальная информация о масштабах бэкдора не разглашается.

Руские хацкеры рулят)))

Русские хакеры вымогают деньги у правительства США



По данным одного из ведущих агентств США по кибербезопасности, несколько федеральных правительственных учреждений США пострадали в результате глобальной кибератаки со стороны российских хакеров, использующих уязвимость в широко используемом программном обеспечении.
Сегодня подробно разберем, как произошла кибератака, и кто за ней стоит.
Что произошло

Агентство США по кибербезопасности и безопасности инфраструктуры «оказывает поддержку нескольким федеральным агентствам, которые столкнулись со вторжениями, затрагивающими их приложения MOVEit», — заявил Эрик Гольдштейн, исполнительный помощник директора агентства по кибербезопасности, в заявлении для CNN, имея в виду ПО, через которое произошел взлом. «Мы работаем в срочном порядке, чтобы понять последствия и обеспечить своевременное устранение».
Clop, банда вымогателей, предположительно ответственная за это, как известно, обычно требует многомиллионных выкупов. Но никаких требований о выкупе от федеральных агентств не поступало, сообщил высокопоставленный чиновник журналистам на брифинге.
Ответ CISA пришел после того, как Progress Software, американская фирма, производящая программное обеспечение, используемое хакерами, заявила, что обнаружила вторую уязвимость в коде, над исправлением которой компания работала. Министерство энергетики входит в число нескольких федеральных агентств, взломанных в ходе продолжающейся глобальной хакерской кампании, подтвердил CNN представитель министерства.



Последствия взлома

Взломы не оказали «значительного воздействия» на федеральные гражданские агентства, заявила журналистам директор CISA Джен Истерли, добавив, что хакеры «в значительной степени просто авантюристы» в использовании уязвимости в программном обеспечении для взлома сетей.
Эта новость дополняет растущее число жертв широкомасштабной хакерской кампании, которая началась два месяца назад и затронула крупные университеты США и правительства штатов. Хакерское веселье усиливает давление на федеральных чиновников, которые пообещали положить конец угрозе атак программ-вымогателей, которые нанесли ущерб школам, больницам и местным органам власти по всей территории США.
Университет Джона Хопкинса в Балтиморе и известная система здравоохранения университета заявили, что в результате взлома могла быть украдена «конфиденциальная личная и финансовая информация», включая записи о медицинских счетах.
Подробности кибератаки

Хакеры использовали брешь в широко используемом программном обеспечении, известном как MOVEit, которое компании и агентства используют для передачи данных. Progress Software, американская фирма, производящая программное обеспечение, сообщила CNN, что в программном обеспечении была обнаружена новая уязвимость, «которая может быть использована злоумышленником».

Российские хакеры пытаются вывести из строя Starlink

Российские хакеры используют приложение Zulip Chat в дипломатических фишинговых атаках


Продолжающаяся кампания, нацеленная на министерства иностранных дел стран, входящих в НАТО, указывает на причастность к этому российских хакеров.
Особенности атаки

В фишинговых атаках используются PDF-документы с дипломатическими приманками, некоторые из которых замаскированы под сообщения из Германии, для доставки варианта вредоносного ПО под названием Duke, которое было приписано APT29 (он же BlueBravo, Cloaked Ursa, Cozy Bear, Iron Hemlock, Midnight Blizzard и The Dukes).




«Злоумышленник использовал Zulip — чат-приложение с открытым исходным кодом — для управления и контроля, чтобы уклоняться от своих действий и скрывать их за законным веб-трафиком», — заявила голландская компания по кибербезопасности EclecticIQ в анализе, проведенном на прошлой неделе.
Последовательность заражения следующая: вложение в формате PDF под названием «Прощание с послом Германии» содержит код JavaScript, который инициирует многоэтапный процесс, чтобы оставить постоянный бэкдор в скомпрометированных сетях.
Были ли подобные атаки ранее

Об использовании APT29 тем приглашений ранее сообщал Lab52, который задокументировал атаку, которая выдавала себя за норвежское посольство для доставки полезной нагрузки DLL, способной связаться с удаленным сервером для получения дополнительных полезных данных.
Использование домена «bahamas.gov[.]bs» в обоих наборах вторжений еще больше укрепляет эту связь. Выводы также подтверждают предыдущее исследование Anheng Threat Intelligence Center, опубликованное в прошлом месяце.
Если потенциальная цель поддается фишинговой ловушке, открыв файл PDF, запускается вредоносная дроппер HTML под названием Invitation_Farewell_DE_EMB для выполнения JavaScript, который сбрасывает файл ZIP-архива, который, в свою очередь, упаковывается в файл HTML-приложения (HTA), предназначенный для развертывания. вредоносное ПО Duke.
Командование и управление (C2) облегчается за счет использования Zulip API для отправки сведений о жертве в чат-комнату, контролируемую действующим лицом (toyy.zulipchat[.]com), а также для удаленного захвата скомпрометированных хостов.



Масштаб атаки

EclecticIQ заявила, что обнаружила второй PDF-файл, который, вероятно, использовался APT29 для разведки или тестирования.

«Он не содержал полезной нагрузки, но уведомлял хакера, если жертва открывала вложение электронной почты, получая уведомление через скомпрометированный домен edenparkweddings[.]com», — заявили исследователи.

Стоит отметить, что злоупотребление Zulip является нормой для спонсируемой государством группы, которая имеет опыт использования широкого спектра законных интернет-сервисов, таких как Google Drive, Microsoft OneDrive, Dropbox, Notion, Firebase и Trello. для С2.

Основными целями APT29 являются правительства и государственные деятели, политические организации, исследовательские фирмы и критически важные отрасли в США и Европе. Но, что интересно, неизвестный противник использует свою тактику для взлома китайскоязычных пользователей с помощью Cobalt Strike.

Это произошло после того, как Группа реагирования на компьютерные чрезвычайные ситуации Украины (CERT-UA) предупредила о новой серии фишинговых атак против государственных организаций Украины с использованием набора инструментов постэксплуатации с открытым исходным кодом на основе Go под названием Merlin. Активность отслеживается под псевдонимом UAC-0154.

Трояны в рекламе: новый ход российских хакеров

Майкл Сикорски, технический директор и вице-президент по разработке Unit 42 компании Palo Alto Networks, рассказал об изобретательности русских хакеров. В этой статье подробнее узнаем о необычном способе взлома. Кстати, эту кибератаку мы уже освещали в этой статье.


По словам Сикорского, этот метод предполагает использование, казалось бы, безобидной рекламы в качестве средства распространения вредоносного ПО. Российские хакеры перехватили рекламу польского дипломата, который пытался продать свой автомобиль BMW на фоне конфликта с Украиной. Хакеры перепрофилировали рекламу, встроив в нее вредоносное ПО. Эта тактика, по словам Сикорского, подчеркивает российскую стратегию по созданию тайных крючков в иностранных системах.


Компрометируя посольства и дипломатические миссии, злоумышленники могут заложить основу для более изощренных атак, потенциально влияющих на политические решения. Что отличает этот инцидент, так это новаторское использование подлинного документа в качестве носителя вредоносного ПО.

«Те же хакеры, которые отвечали за SolarWinds — мы отслеживали их как Cloaked Ursa — получила этот документ и разослала его по посольствам по всей Украине», — сказал он. «А когда Россия заполучила его (объявление о продаже BMW), они даже снизили цену, внедрили в него вредоносное ПО и начали его отправлять снова и снова. Это показывает, что у русских хакеров есть доступ к украинским сетям».

Специалист отметил, что кибератаки русских хакеров становятся все более изощренные и неочевидные. Это первый зафиксированный случай, когда исходный документ был использован как носитель вредоносного ПО. Сикорски добавил, что такой способ взлома может стать реальной проблемой, ведь от него невозможно защититься.

Русские хакеры взломали польские банки и фондовую биржу

Хакеры NoName наносят удар

Неделю назад мы уже обсуждали хакерскую группировку NoName, прочитать можно тут. В этом подкасте узнаем подробнее о NoName.
С чего всё началось

Было отмечено, что в первой половине 2023 года группировка NoName057(16) была одной из самых активных на политической арене.
В последние месяцы методы группы усовершенствовались, согласно эксклюзивному интервью Cybernews о NoName, в котором в этом месяце участвовали два исследователя угроз Radware в Black Hat.
Чем сейчас занимаются хакеры

Согласно последнему сообщению Radware, группа вербует сторонников своего бот-проекта DDoSia из даркнета. Затем новобранцы получают выплаты в криптовалюте в зависимости от того, в скольких целевых кампаниях они участвуют и насколько успешными являются атаки.
Исследователи также обнаружили, что NoName изменила тактику и начала целенаправленно атаковать критически важную инфраструктуру, такую ​​как финансовый, государственный и авиационный секторы, чтобы оптимизировать воздействие своих DDoS-атак.



Недавняя кибератака

В июле NoName057(16) взяли на себя ответственность за атаки на банковские системы Украины и Италии, французский парламент и почти дюжину атак на финансовый и авиационный сектор Швейцарии.



Их DDoS-атака переполнила сервера тысячами запросов трафика от случайных компьютеров-ботов, что привело к повсеместному сбою веб-сайтов.



Между тем, атака на польские железные дороги привела к аварийной остановке около двадцати поездов после того, как двое польских граждан подделали сигнальную систему поездов, используя радиочастоту. СМИ связывают эту атаку с пророссийскими хакерскими группировками.

Русские и турецкие кибермошенники объединились

Киберпреступники в Турции объединились с недавно прибывшими российскими хакерами-эмигрантами, чтобы наводнить некогда умирающий онлайн-рынок десятками миллионов недавно украденных личных учетных данных. Специалисты уже назвали это развитием транснационального характера мошенничества. В этой статье узнаем об этом подробнее.
Что произошло

Тысячи мужчин, многие из которых получили образование инженеров-программистов, бежали из России в Турцию в сентябре прошлого года.
Некоторые из них, по словам турецкой полиции и исследователей безопасности, обратились к относительно низкоуровневому онлайн-мошенничеству, объединяясь с авторитетными турецкими коллегами, чтобы избежать обнаружения, отмывать свои доходы и продавать учетные данные, полученные с компьютеров по всему миру.


Расследование мошенничества

Недавний всплеск активности побудил турецкую полицию провести расследование.
Специалисты заявили, что преступники, базирующиеся в русскоязычных странах, как правило, действуют относительно открыто, поскольку меры со стороны их правительств были слабыми.
Полицейские сообщили, что хакеры в основном создают фишинговые ссылки и воруют личную информацию жертв, объединяясь вместе с турецкими онлайн-преступниками.
Куда утекает информация

Излюбленная торговая площадка киберпреступников в последние месяцы была наводнена десятками миллионов украденных кредитных карт, паролей и учетных данных.
Эта находка, обнаруженная специалистом по информационной безопасности Ошером Ассором из Auren Cyber Israel, использует сложный код, который отправляет только что украденные учетные данные большому количеству клиентов, которые подписываются на потоки данных в группах Telegram.
Данные собираются с помощью обычного вредоносного ПО, которое, похоже, обходит большинство известных антивирусных программ. Ассор считает, что вредоносное ПО под названием Redline случайно загружается людьми, использующими нелегальные веб-сайты для игры в видеоигры или пиратские версии популярного программного обеспечения.


Что именно крадут мошенники

Но особую ценность данных, собираемых Redline, делает тот факт, что они также крадут файлы cookie или небольшие фрагменты личного кода, которые находятся в браузерах людей, позволяя хакерам выдавать себя за жертву в Интернете и даже копировать кредитные карты, которые люди сохраняют в своих аккаунтах.
«Такие данные более ценны, потому что они свежие», — сказал Ассор. «Кража паролей не является чем-то новым, но уникальным здесь является то, что информация поступает «свежей» — каждое обновление содержит пакет с сотнями и тысячами журналов, украденных за последние несколько часов, что сохраняет файлы cookie «горячими».
На скриншотах разговоров с турецким хакером, которыми Ассор поделился с Financial Times, видно, что сотни групп Telegram предлагают доступ к свежесобранным данным, часто всего за 50 долларов. Каждый пакет содержит тысячи записей — на одном снимке экрана показано 76 миллионов различных точек данных, сопоставленных для удобства использования.
Мнение специалистов

Турецкий специалист по информационной безопасности, попросивший не называть его имени, поскольку контакты с хакерами в Турции подпадают под серую зону закона, заявил, что он проник в одну из этих групп Telegram, маскируясь под покупателя.
В течение нескольких месяцев он наблюдал, как вновь прибывшие российские хакеры обучали своих турецких коллег сложному коду для сопоставления огромных объемов собираемых данных, в то время как турецкие преступники использовали свои контакты в Западной Европе, особенно в Германии, для обеспечения более выгодных цен и более эффективной работы.
В других чатах он был свидетелем того, как группа праздновала массовые кражи, обсуждала способы конвертации украденной криптовалюты в турецкую лиру и даже разрабатывала способы покупки недвижимости для получения турецкого паспорта.


«Ни один из них не является крупным хакером, но они очень эффективны и научились очень хорошо автоматизировать процессы — их производительность быстро растет», — сказал он.
Взаимодействие Ассора с группой показывает то же самое — профессиональный маркетинг и даже индивидуальное руководство. В одном случае турецкий хакер даже дал ему совет о ресторане в Стамбуле.
Но когда хакера спросили о его связях с русскими, он возразил.
«Нет, братан», — ответил он. «Я не хочу знать — главное не знать [их] лица, а быть рядом с талантливыми людьми».

HTTrack: Руководство по парсингу сайта

HTTrack: Руководство по парсингу сайта

В интернете часто необходимо собрать большой объем информации с сайта, после чего её проанализировать и применить для каких-либо целей. Однако, делать это вручную — очень трудоемкий и энергоресурсный процесс. Откройте для себя HTTrack, автоматизированный инструмент для парсинга сайтов с открытым исходным кодом, который может собирать данные за считанные минуты. В этой статье мы рассмотрим инструмент HTTrack в мельчайших деталях, а также предоставим пошаговую инструкцию к использованию.



Что такое парсинг сайта
Парсинг – это автоматизированный сбор информации с любого сайта, ее анализ, преобразование и выдача в структурированном виде, чаще всего в виде таблицы с набором данных.

Парсер сайта — это любая программа или сервис, которая осуществляет автоматический сбор информации с заданного ресурса.

Законно ли парсить чужие сайты
Парсинг данных с сайтов не противоречит закону, если:

получаемая информация находится в открытом доступе и не несет коммерческую тайну;
не затрагиваются авторские права полученной информации;
парсинг проводится законным методом;
парсинг не влияет на нормальную работу сайта (не приводит к сбоям).

Что такое HTTrack и его возможности
HTTrack — бесплатный инструмент с открытым исходным кодом, разработанный Xavier Roche. Он может копировать целые сайты, включая файлы HTML, изображения, CSS, JavaScript и многое другое. Основная функция HTTrack — создание локального зеркала сайта, позволяющего просматривать его в автономном режиме.

HTTrack может фильтровать контент, позволяя загружать только определенные файлы, такие как изображения, видео или документы.
Важно отметить, что HTTrack сохраняет исходную структуру папок зеркального сайта. С их помощью вы сможете легко ориентироваться.
HTTrack может приостанавливать и возобновлять загрузку без потери прогресса.
Кроме того, вы можете легко обновлять свою локальную копию с помощью функции «Обновление». Инструмент добавит недостающий контент на ваш зеркальный сайт.
HTTrack отличается скоростью и эффективностью, так как использует многопоточную систему для быстрой загрузки.
HTTrack ведет подробные журналы процесса, что упрощает мониторинг и устранение любых возникающих проблем.

Как использовать HTTrack: пошаговое руководство
Давайте углубимся в практические аспекты использования HTTrack.

1. Загрузите и установите HTTrack с официального сайта HTTrack по ссылке. Скачайте версию HTTrack, соответствующую вашей операционной системе (Windows, Linux, macOS). Установите программу, следуя инструкциям на экране.

2. Запустите HTTrack. После установки запустите HTTrack.

3. Настройте свой проект. Нажмите «Далее», чтобы начать создание нового проекта. Введите имя своего проекта и выберите папку назначения, в которой будет храниться зеркальный сайт. Нажмите "Далее."



4. Установите параметры. Настройте параметры парсинга, указав начальный URL-адрес (сайт, который вы хотите парсить). Установите фильтры для всех типов файлов (например, скачать только изображения). Нажмите «Далее», чтобы продолжить.



5. Запустите парсинг. Нажмите «Готово», чтобы начать Парсинг сайта. Вы можете отслеживать ход выполнения и проверять журналы на наличие ошибок.


После завершения парсинга перейдите в папку назначения, указанную вами ранее. Откройте файл «index.html», чтобы начать изучение зеркального сайта.

Заключение
HTTrack — это универсальный инструмент для парсинга сайтов, который делает процесс простым и эффективным. Удобный интерфейс, настраиваемые функции и открытый исходный код делают его незаменимым помощником в вашем арсенале инструментов. Начните свое изучение парсинга сайтов уже сегодня с помощью HTTrack. Удачного пользования!

Русские хакеры атаковали украинских операторов связи

Русские хакеры атаковали украинских операторов связи

Согласно недавнему отчету органов кибербезопасности, с мая российская хакерская группа, известная как Sandworm, атаковала по меньшей мере одиннадцать украинских интернет- и телекоммуникационных провайдеров. Сегодня узнаем больше об этих атаках.



Особенности атаки
Атаки привели к перебоям в обслуживании и потенциальной утечке данных, сообщила украинская группа реагирования на компьютерные чрезвычайные ситуации CERT-UA.

Sandworm использовал различные вредоносные программы, в том числе Poemgate и Poseidon, для кражи учетных данных и управления зараженными устройствами, а также Whitecat для стирания любых следов.

Кроме того, хакеры использовали скомпрометированные учетные записи VPN, не защищенные многофакторной аутентификацией, для проникновения в сети жертв.




Последствия взлома
Злоумышленники похитили документы, схемы, контракты и пароли из официальных аккаунтов жертв в социальных сетях, чтобы сделать эту информацию общедоступной или использовать ее для продвижения своих атак.

По данным CERT-UA, на заключительном этапе атаки они вывели из строя активное сетевое и серверное оборудование, а также системы хранения данных.

Известная группировка русских хакеров UAC-0056

Мурат Уртембаев — история первого советского хакера




В этой статье продолжаем знакомиться с самыми известными русскими хакерами. Первым советским хакером был выпускник МГУ Мурат Уртембаев. В 1983 г. он хакнул систему ПО АвтоВАЗ, в результате чего работа конвейера остановилась на три дня. И это одна из первых «кибер-атак» в СССР, которую обнаружили.



Как стал хакером
Когда в 1983 году молодой выпускник МГУ и работник автозавода ВАЗ оказался в тяжелом финансовом положении, он обратился за помощью к своим работодателям. Руководство завода отговорило Мурата Уртембаева искать другую работу и пообещало ему повышение по службе и повышение зарплаты.

Однако со временем Уртембаев понял, что руководство его обмануло. Затем он разработал план мести. Он тайно изменял программу, используемую для работы сборочной линии, и заражал ее вредоносной ошибкой. Затем он вмешался и устранил проблему, получив должное признание со стороны руководства завода, которое, как он считал, уже давно назрело.

Схема атаки
По плану Мурата, «вирус» должен был запуститься в определенный час. И чтобы обезопасить себя, программист позаботился об алиби — он назначил старт патча на день своего выхода из отпуска. По расчету Уртембаева должен был выйти на работу, обнаружить сбой и устранить его, героически спасая конвейер. Но план провалился, так как программа самостоятельно запустилась раньше на несколько дней…


Последствия взлома
В результате вмешательства Уртембаева завод был парализован на три дня. Поскольку это не входило в намерения Уртембаева – он лишь планировал вызвать проблему, чтобы немедленно ее устранить – он обратился к руководству с повинной.

Советский уголовный кодекс не предусматривал, что делать с киберпреступлениями, поэтому Уртембаев был признан виновным в хулиганстве и получил условный срок, а также крупный штраф. Он также стал первым пойманным советским хакером.

Произошедшая история стала известной на весь Союз и вызвала множество споров на счет поступка Уртенбаева. В газетах писали, что системный программист Волжского автозавода модифицировал ПО АСУ ТП главного конвейера, в результате чего работа была остановлена на трое суток. Двести автомобилей не сошло с конвейера ВАЗа, пока программисты искали источник сбоев. Ущерб исчислялся миллионами рублей.

Российские хакеры используют функцию Ngrok и эксплойт WinRAR для атак на посольства




После Sandworm и APT28 (известного как Fancy Bear), другая российская хакерская группа, APT29, использует уязвимость CVE-2023-38831 в WinRAR для кибератак. Сегодня узнаем подробнее об этой атаке.

Кто ответственен за взлом
APT29 отслеживается под разными именами (UNC3524,/NobleBaron/Dark Halo/NOBELIUM/Cozy Bear/CozyDuke, SolarStorm) и нацелен на посольства с помощью приманки для продажи автомобилей BMW.

Уязвимость безопасности CVE-2023-38831 затрагивает версии WinRAR до 6.23 и позволяет создавать архивы .RAR и .ZIP, которые могут выполняться в фоновом коде, подготовленном злоумышленником для вредоносных целей.

Уязвимость использовалась как нулевой день с апреля злоумышленниками, нацеленными на форумы по торговле криптовалютами и акциями.

Статический домен Ngrok
В отчете, опубликованном на этой неделе, Совет национальной безопасности и обороны Украины (NDSC) сообщает, что APT29 использует вредоносный ZIP-архив, который в фоновом режиме запускает сценарий для показа PDF-приманки и загрузки кода PowerShell, который загружает и выполняет полезную нагрузку.

Вредоносный архив называется «DIPLOMATIC-CAR-FOR-SALE-BMW.pdf» и нацелен на несколько стран европейского континента, включая Азербайджан, Грецию, Румынию и Италию.



APT29 уже использовал фишинговую приманку с рекламой автомобилей BMW для нападения на дипломатов в Украине во время майской кампании по доставке полезных данных ISO с помощью техники контрабанды HTML.

Украинский NDSC утверждает, что в этих атаках APT29 объединил старую тактику фишинга с новой техникой, обеспечивающей связь с вредоносным сервером.

NDSC сообщает, что российские хакеры использовали бесплатный статический домен Ngrok (новая функция, о которой Ngrok объявила 16 августа) для доступа к серверу управления и контроля (C2), размещенному на их экземпляре Ngrok.

Используя этот метод, злоумышленникам удалось скрыть свою активность и связаться со скомпрометированными системами, не подвергаясь риску быть обнаруженными.

Поскольку исследователи из компании Group-IB, занимающейся кибербезопасностью, сообщили, что уязвимость CVE-2023-38831 в WinRAR использовалась как нулевой день, продвинутые злоумышленники начали включать ее в свои атаки.

Исследователи безопасности из ESET обнаружили в августе атаки, приписываемые российской хакерской группе APT28, которая использовала уязвимость в целевой фишинговой кампании, нацеленной на политические субъекты в ЕС и Украине, используя повестку дня Европейского парламента в качестве приманки.




В октябрьском отчете Google отмечается, что проблема безопасности была использована российскими и китайскими государственными хакерами для кражи учетных данных и других конфиденциальных данных, а также для обеспечения устойчивости целевых систем.

Украинский NDSC заявляет, что наблюдаемая кампания APT29 выделяется тем, что она сочетает в себе старые и новые методы, такие как использование уязвимости WinRAR для доставки полезных данных и сервисов Ngrok для сокрытия связи с C2.

В отчете украинского агентства представлен набор индикаторов компрометации (IoC), состоящий из имен файлов и соответствующих хешей для сценариев PowerShell и файла электронной почты, а также доменов и адресов электронной почты.