Вступить в наш чат

Вступить в наш чат

APT28 оказались причастны к новой фишинговой кампании, в которой в качестве фишинговой приманки использовался выставленный на продажу автомобиль для доставки модульного бэкдора Windows под названием HeadLace.

Что произошло
«Кампания, вероятно, была нацелена на дипломатов и началась еще в марте 2024 года», — говорится в опубликованном сегодня отчете Palo Alto Networks Unit 42, в котором говорится, что ее со средней или высокой степенью уверенности приписывают APT28, которая также известна как BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard, FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy и TA422.

Стоит отметить, что фишинговые темы «автомобили на продажу» ранее использовались другой российской государственной группировкой под названием APT29 еще в мае 2023 года, что свидетельствует о том, что APT28 перепрофилирует успешные тактики для своих собственных кампаний.

Особенности атаки
Ранее в мае этого года злоумышленник был замешан в серии кампаний, нацеленных на сети по всей Европе с помощью вредоносного ПО HeadLace и веб-страниц для сбора учетных данных.

Атаки характеризуются использованием легитимной службы, известной как webhook[.]site — отличительной черты киберопераций APT28 наряду с Mocky — для размещения вредоносной HTML-страницы, которая сначала проверяет, работает ли целевая машина на Windows, и если да, предлагает ZIP-архив для загрузки («IMG-387470302099.zip»).

Если система не основана на Windows, она перенаправляет на обманное изображение, размещенное на ImgBB, в частности, на внедорожник Audi Q7 Quattro.

В архиве находятся три файла: легитимный исполняемый файл калькулятора Windows, маскирующийся под файл изображения («IMG-387470302099.jpg.exe»), DLL («WindowsCodecs.dll») и пакетный скрипт («zqtxmo.bat»).



Двоичный файл калькулятора используется для загрузки вредоносной DLL, компонента бэкдора HeadLace, предназначенного для запуска пакетного скрипта, который, в свою очередь, выполняет команду в кодировке Base64 для извлечения файла с другого URL-адреса webhook[.]site.

Затем этот файл сохраняется как "IMG387470302099.jpg" в папке загрузок пользователя и переименовывается в "IMG387470302099.cmd" перед выполнением, после чего он удаляется, чтобы стереть следы любой вредоносной активности.

"Хотя инфраструктура, используемая Fighting Ursa, различается для разных кампаний атак, группа часто полагается на эти свободно доступные сервисы", - заявили в Unit 42. "Более того, тактика этой кампании соответствует ранее задокументированным кампаниям Fighting Ursa, а бэкдор HeadLace является эксклюзивным для этого субъекта угрозы".

Вступить в наш чат

Двое граждан России признали себя виновными в суде США за участие в качестве аффилированных лиц в схеме распространения вируса-вымогателя LockBit и содействие осуществлению атак с использованием вирусов-вымогателей по всему миру.

Что произошло
Среди обвиняемых — 21-летний Руслан Магомедович Астамиров из Чеченской Республики и 34-летний Михаил Васильев, гражданин Канады и России из Брэдфорда, Онтарио.

Астамиров был арестован в Аризоне правоохранительными органами США в мае 2023 года. Васильев, которого уже разыскивают по аналогичным обвинениям в Канаде, был приговорен к почти четырем годам тюремного заключения. Впоследствии он был экстрадирован в США в прошлом месяце.

Это событие произошло более чем через два месяца после того, как Национальное агентство по борьбе с преступностью Великобритании (NCA) разоблачило 31-летнего гражданина России по имени Дмитрий Юрьевич Хорошев как администратора и разработчика операции по вымогательству LockBit.



Подробности взлома
LockBit, который, по оценкам, атаковал более 2500 организаций с момента своего появления к концу 2019 года, заработав не менее 500 миллионов долларов в виде выкупов от своих жертв.

Ранее в этом году синдикат электронной преступности понес серьезный удар после того, как его онлайн-инфраструктура была уничтожена в рамках скоординированной операции правоохранительных органов под названием Cronos. Однако группа продолжает оставаться активной.

Васильев и Астамиров «сначала выявляли и незаконно получали доступ к уязвимым компьютерным системам», — заявило Министерство юстиции США. «Затем они развертывали программу-вымогатель LockBit на компьютерных системах жертв, а также крали и шифровали хранящиеся данные».

«После успешной атаки LockBit аффилированные лица LockBit требовали выкуп от своих жертв в обмен на расшифровку данных жертв и удаление украденных данных».

Сообщается, что Астамиров (он же BETTERPAY, offtitan и Eastfarmer) применил LockBit по меньшей мере против 12 жертв в период с 2020 по 2023 год, получив 1,9 миллиона долларов в качестве выкупа от жертв, проживающих в американском штате Вирджиния, Японии, Франции, Шотландии и Кении.

Он признал себя виновным в сговоре с целью совершения компьютерного мошенничества и злоупотребления и сговоре с целью совершения электронного мошенничества. Обвинения по двум пунктам предусматривают максимальное наказание в виде 25 лет лишения свободы.

Аналогичным образом Васильев, действуя под псевдонимами Ghostrider, Free, Digitalocean90, Digitalocean99, Digitalwaters99, Newwave110, применил вирус-вымогатель против 12 компаний в американских штатах Нью-Джерси и Мичиган, а также в Великобритании и Швейцарии.





Приговор
Васильеву грозит до 45 лет тюрьмы по обвинениям, связанным с сговором с целью совершения компьютерного мошенничества и злоупотребления, преднамеренным повреждением защищенного компьютера, передачей угрозы в связи с повреждением защищенного компьютера и сговором с целью совершения электронного мошенничества.

Оба обвиняемых должны быть приговорены 8 января 2025 года. Хорошеву было предъявлено обвинение по 26 пунктам ранее в мае этого года за руководство операцией LockBit, хотя он остается на свободе.

«Распространенное заблуждение, что киберхакеры не будут пойманы правоохранительными органами, потому что они умнее и опытнее нас», — сказал Джеймс Э. Деннехи, специальный агент ФБР, отвечающий за отделение в Ньюарке.

«Двое членов филиала LockBit, признавшие себя виновными в своих преступлениях в федеральном суде США, показывают, что мы можем остановить их и привлечь к ответственности. Эти злоумышленники считают, что могут действовать безнаказанно, и не боятся быть пойманными, потому что они находятся в стране, где чувствуют себя в безопасности и защищенными».

https://t.me/BlackMASTChat

В этой статье расскажем, как русские хакеры были замечены в использовании USB-червя под названием LitterDrifter в атаках, направленных на украинские организации.

Что произошло
Check Point, в котором подробно описаны новейшие тактики Гамаредона (также известные как Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm и Winterflounder), заклеймил группировку как участвующую в крупномасштабных кампаниях, за которыми следуют «усилия по сбору данных, направленные на конкретные цели, выбор которых вероятно, мотивировано шпионскими целями».

Особенности взлома
Червь LitterDrifter обладает двумя основными функциями: автоматическое распространение вредоносного ПО через подключенные USB-накопители, а также взаимодействие с серверами управления и контроля (C&C) злоумышленника. Также предполагается, что это развитие USB-червя на базе PowerShell, который ранее был раскрыт Symantec в июне 2023 года.

Модуль распространения, написанный на VBS, отвечает за распространение червя в виде скрытого файла на USB-накопителе вместе с ложным LNK, которому присвоены случайные имена.

«Подход Gamaredon к C&C довольно уникален, поскольку он использует домены в качестве заполнителя для циркулирующих IP-адресов, фактически используемых в качестве серверов C2», — пояснили в Check Point.

LitterDrifter также способен подключаться к командному серверу, полученному из канала Telegram. Эту тактику злоумышленник неоднократно использовал, по крайней мере, с начала года.

Фирма по кибербезопасности заявила, что она также обнаружила признаки возможного заражения за пределами Украины на основе материалов VirusTotal из США, Вьетнама, Чили, Польши, Германии и Гонконга.

https://t.me/BlackMASTChat

Исследователи в области кибербезопасности пролили свет на сложную кампанию по краже информации, которая выдает себя за настоящие бренды и распространяет вредоносное ПО, такое как DanaBot и StealC. Сегодня узнаем подробнее об этих взломах.

Что произошло
Взломы, организованные русскоязычными хакерам и получившие общее кодовое название Tusk, как говорят, охватывает несколько подкампаний, использующих репутацию платформ, чтобы обманом заставить пользователей загрузить вредоносное ПО с помощью поддельных сайтов и аккаунтов социальных сетей.

«Все активные подкампании размещают начальный загрузчик на Dropbox», — заявили исследователи «Лаборатории Касперского» Эльсаид Эльрефаи и АбдулРхман Альфаифи. «Этот загрузчик отвечает за доставку дополнительных образцов вредоносного ПО на компьютер жертвы, которые в основном являются похитителями информации (DanaBot и StealC) и клипперами».





Особенности взлома
Из 19 подкампаний, выявленных на сегодняшний день, три, как сообщается, в настоящее время активны. Название «Tusk» является отсылкой к слову «Mammoth», которое злоумышленники использовали в сообщениях журнала, связанных с первоначальным загрузчиком. Стоит отметить, что mammoth — это жаргонное слово, часто используемое российскими группами электронной преступности для обозначения жертв.

Кампании также примечательны применением фишинговых тактик для обмана жертв, чтобы заставить их расстаться со своей личной и финансовой информацией, которая затем продается в даркнете или используется для получения несанкционированного доступа к их игровым аккаунтам и криптовалютным кошелькам.

Первая из трех подкампаний, известная как TidyMe, имитирует peerme[.]io с похожим сайтом, размещенным на tidyme[.]io (а также tidymeapp[.]io и tidyme[.]app), который предлагает щелкнуть, чтобы загрузить вредоносную программу для систем Windows и macOS. Исполняемый файл предоставляется из Dropbox.

Загрузчик представляет собой приложение Electron, которое при запуске предлагает жертве ввести отображаемую CAPTCHA, после чего отображается основной интерфейс приложения, в то время как два дополнительных вредоносных файла скрытно извлекаются и выполняются в фоновом режиме.

Оба вида полезной нагрузки, обнаруженные в кампании, представляют собой артефакты Hijack Loader, которые в конечном итоге запускают вариант вредоносного ПО-кральщика StealC с возможностями сбора широкого спектра информации.

Сегодня рассмотрим одну фишку для анонимов, связанную с луковичной маршрутизацией Tor. Вы узнайте, как настроить автоматический запуск Tor при каждой загрузке Windows. Это позволит пускать трафик Windows через Tor. Кроме этого вы сможете работать с Tor даже когда браузер закрыт.



Запуск Tor автоматический
Для того чтобы Tor запускался по умолчанию вместе с запуском операционной системы, нужно его установить как служба Windows. Для реализации этого нам потребуется Tor Expert Bundle.

Скачивание и установка Tor Expert Bundle
Скачиваем с официального сайта Tor Expert Bundle. Не путайте с Tor Browser, который наверное у вас уже установлен. Тор Браузер позволяет анонимно серфить, а Expert Bundle — это в чистом виде Tor без браузера Firefox.

Теперь разархивируем скаченный архив. Настоятельно рекомендую извлечь архив в корневой каталог диска C:, и назвать папку не используя никаких кириллических символов. В моем примере будет использоваться папка:

C:\Tor
Установка Tor как служба Windows
В корневом каталоге левый клик на папке Tor удерживая клавишу Шифт.

В появившемся меню выбираем пункт «Открыть окно команд».

Командная строка должна быть запущена с Админ-правами! В противном случае вы увидите сообщение об ошибке.
Для установки службы в появившемся окне консоли вводим команду:

tor.exe --service install
На этом установка Tor как сервис Windows завершена.

Проверка службы Tor
Проверить работу службы Tor можно разными способами. Для начала не покидая окно консоли введем команду:

netstat -aon | findstr ":9050"
По умолчанию Тор прослушивает порт 9050. Если видите Listening, тогда все верно.

Вы также можете проверить работу службы с помощью инструмента «Службы». Для этого сочетанием клавиш Win + R вызываем окно выполнить:

В появившемся окне вводим команду:

services.msc
Полистав вы найдете службу «Tor Win32 Service». Для просмотра статуса нажмите на ней левым кликом мышки и выберите пункт «Свойства».

Можно найти «Tor Win32 Service» в списке и просмотреть ее статус, а также остановить, запустить или перезапустить службу.

Запуск и остановка службы Tor
Для запуска и остановки службы используйте команды:

tor.exe --service start
tor.exe --service stop
Тоже самое можно сделать с помощью инструмента «Службы».

Удаление службы Tor
Прежде чем удалить службу необходимо ее остановить. После остановки службы вводим команду:

tor.exe --service remove
Заключение
Вот вроде бы и все на сегодня. Теперь при каждом запуске Windows Tor будет загружаться автоматически. Удачного веб-серфинга!