Обновление отчета Cisco о киберпреступлениях за 2023 год
Отчет Коалиции о киберпреступлениях за 2023 год: обновление за середину года содержит данные организаций по всей территории Соединенных Штатов. Киберриск...
Lloyd’s of London предупреждает, что крупная кибератака на платежи может стоить миру 3,5 триллиона долларов
Lloyd’s, ведущий мировой рынок страхования и перестрахования, сегодня опубликовал сценарий системного риска, который моделирует глобальное экономическое воздействие гипотетической, но правдоподобной...
10 крупнейших тенденций в области кибербезопасности В 2024 году, к которым все должны быть готовы уже сейчас
К концу следующего года, по прогнозам, стоимость кибератак на мировую экономику превысит 10,5 трлн долларов. Эта ошеломляющая сумма отражает растущую...
10 основных шпаргалок по кибербезопасности
Шпаргалки представляют собой краткие ссылки по существу, разработанные для мгновенного понимания. В этой статье представлен подготовленный список из 10 основных шпаргалок...
![Исследователи предупреждают о возобновлении атак на высокопоставленные организации, предпринятых китайским APT-актером, известным в отрасли как ToddyCat. Группа совершенствует свою тактику, а также набор вредоносных инструментов с 2020 года, когда она была первоначально обнаружена. В новом отчете, опубликованном на этой неделе, исследователи из охранной фирмы Check Point Software Technologies задокументировали кампанию ToddyCat, которую они окрестили "Остаться в живых", нацеленную на организации из азиатских стран, в первую очередь из телекоммуникационного и государственного секторов. “Кампания Stayin 'Alive состоит в основном из загрузчиков, некоторые из которых используются в качестве начального переносчика инфекции против известных азиатских организаций”, - сообщили исследователи Check Point. “Первый обнаруженный загрузчик под названием CurKeep был нацелен на Вьетнам, Узбекистан и Казахстан. Проведя наш анализ, мы поняли, что эта кампания является частью гораздо более широкой кампании, нацеленной на регион ”. В недавнемотчетеопубликованном на этой неделе, исследователи из "Лаборатории Касперского" также задокументировали новое поколение загрузчиков вредоносных программ, используемых ToddyCat в недавних атаках, включая некоторые, которые, похоже, адаптированы для каждой жертвы. Исследователи Касперского первоначально раскрыли деятельность ToddyCat в конце 2020 года после того, как группа нацелилась на высокопоставленные азиатские и европейские организации. Сторонняя загрузка DLL - излюбленный метод ToddyCat Один из любимых методов ToddyCat по внедрению вредоносных программ на компьютеры - это технология, называемая боковой загрузкой DLL. Это включает в себя поиск законного исполняемого файла из приложения, которое выполняет поиск определенного DLL-файла в том же каталоге, а затем замену этой DLL вредоносной. Поскольку первоначально запущенный файл принадлежит законному приложению или службе, он, вероятно, будет иметь цифровую подпись и внесен в белый список в некоторых продуктах безопасности. Злоумышленники надеются, что последующая загрузка вредоносной библиотеки DLL законным исполняемым файлом не будет обнаружена или заблокирована. В прошлом ToddyCat использовал уязвимости в общедоступных серверах Microsoft Exchange, но также распространял вредоносное ПО через фишинговые электронные письма, к которым прикреплены вредоносные архивы. Эти архивы содержат законные исполняемые файлы вместе с вредоносной библиотекой DLL, загруженной сбоку. По данным Check Point, одно из приложений, использованных в недавних атаках, называется Dante Discovery и создано компанией Audinate. В ходе фишинг-атаки против вьетнамской телекоммуникационной компании злоумышленники отправили архив с исполняемым файлом Dante Discovery под названием to mDNSResponder.exe вместе со вредоносной библиотекой DLL, загруженной с боковой страницы, под названием dal_keepalives.библиотека dll, которую ищет программное обеспечение. Спонсируемый контент от MONGODB 12 шаблонов проектирования схем для вашего следующего приложения Автор MONGODB 21 августа 2023 г. Мошенник dal_keepalives.dll - это простой загрузчик вредоносных программ, который используется для настройки сохраняемости путем копирования списка файлов в папку Данных приложения и настройки запланированной задачи под названием AppleNotifyService для продолжения ее выполнения. Загрузчик вредоносного ПО используется для запуска простого бэкдора, который Check Point называет “CurKeep”. “Основная логика полезной нагрузки [CurKeep] состоит из трех основных функциональных возможностей: отчета, оболочки и файла”, - сказали исследователи. “Каждой из них присваивается отдельный тип сообщения, которое отправляется на сервер C & C. При выполнении полезная нагрузка изначально запускает функцию отчета, отправляя основную разведывательную информацию на сервер C & C. Затем она создает два отдельных потока, которые повторно запускают функции оболочки и файла. ” Функциональность оболочки используется злоумышленниками для удаленного выполнения команд оболочки на компьютере, а функция файла заключается в загрузке файлов на диск, которые затем будут выполнены. Между тем, исследователи Касперского сообщили, что видели похожие боковой загрузкой тактика воспользовавшись vlc.exe популярный с открытым исходным кодом видео плеер, разбойника, сопровождающих файл с названием плейлиста.дат, вредоносные загрузки в виде файлов DLL, которые загружаются непосредственно с утилитой rundll32.exe окна. Загрузчики, замеченные Касперским, использовались для загрузки троянской программы Ninja, которую ToddyCat использует с 2020 года и которую исследователи описывают как “сложное вредоносное ПО, написанное на C ++, вероятно, являющееся частью неизвестного инструментария для последующей эксплуатации”. Троянская программа может перечислять и уничтожать запущенные процессы, управлять системными файлами, открывать обратные сеансы командной оболочки, внедрять код в произвольные процессы, загружать дополнительные модули для расширения функциональности и настраивать прокси для связи с командно-контрольным сервером. Обнаруженные Kaspersky загрузчики вредоносных программ отличались друг от друга и использовали разные постоянные методы, связанные с разделами реестра и настройкой системных служб. На самом деле, некоторые варианты этих загрузчиков, похоже, были специально разработаны для жертв, использующих GUID компьютера в качестве ключа шифрования для своих последующих полезных загрузок. Спонсируемый контент от Stack Overflow Обзор WeAreDevelopers: наши анонсы с большого дня Автор Stack Overflow 01 августа 2023 г. Исследуя инфраструктуру ToddyCat, Check Point также обнаружила дополнительные загрузчики. Один из них они назвали "CurLu Loader" и он развернут с использованием загруженной библиотеки DLL под названием bdch.dll. Этот загрузчик использовался для развертывания полезной нагрузки, маскирующейся под файл изображения, который, в свою очередь, использовал дополнительную загрузку DLL с помощью mscoree.dll для развертывания другого бэкдора, получившего название “CurCore”. Check Point также обнаружила два других загрузчика, получивших названия "StylerServ" и "CurLog", каждый из которых использует разные методы развертывания. CurLog распространялся с приманками как в виде исполняемого файла, так и в виде дополнительной библиотеки DLL, в то время как StylerServ, по-видимому, является дополнительным загрузчиком, который работает как пассивный слушатель и развертывается более старой версией CurLu. В целом, ToddyCat, похоже, использует различные пользовательские загрузчики вредоносных программ и бэкдоры, распространяемые несколькими способами, но часто через стороннюю загрузку DLL. Дополнительные вредоносные инструменты ToddyCat Исследователи Kaspersky также задокументировали другие инструменты, которые группа использовала в своих операциях в дополнение к загрузчикам, бэкдорам и троянцу Ninja. Одна из них называется "LoFiSe" и представляет собой инструмент, используемый для поиска и сбора интересующих файлов из зараженных систем. Спонсируемый контент от Sophos Да, программы-вымогатели по-прежнему являются огромной проблемой Автор Sophos 27 июля 2023 г. “Название LoFiSe происходит от имени мьютекса, используемого этим инструментом (MicrosoftLocalFileService)”, - сказали исследователи. “Сам инструмент представляет собой DLL-файл с именем DsNcDiag.dll, который запускается с использованием технологии боковой загрузки DLL”. Другие инструменты включают загрузчики для DropBox и Microsoft OneDrive, которые используются для удаления файлов, пассивный UDP-бэкдор, который получает команды через UDP-пакеты, и Cobalt Strike, коммерческую платформу для тестирования на проникновение, которая стала популярной у многих хакеров. “Последние открытия подтверждают, что ToddyCat атакует свою цель с целью осуществления шпионской деятельности”, - заявили исследователи. “Для достижения этой цели злоумышленник проникает в корпоративные сети, используя такие инструменты, как загрузчики и троянские программы, описанные выше. Закрепившись, она начинает собирать информацию о хостах, подключенных к той же сети, чтобы найти цели, у которых могут быть представляющие интерес файлы. Группа проводит поисковые операции, перечисляя учетные записи доменов и серверы DC, используя стандартные утилиты администрирования операционной системы. ” После выявления дополнительных систем злоумышленники используют украденные учетные данные администратора домена для подключения сетевых дисков, выполнения скриптов и настройки запланированных задач в целевых системах с целью поиска и эксфильтрации документов.](https://i0.wp.com/newsletter.radensa.ru/wp-content/uploads/2023/10/shutterstock_1858812901_1200x800_redteam-100938532-orig.jpg?fit=1024%2C682&ssl=1)
Китайская APT group ToddyCat запускает новые кампании кибершпионажа
Новые кампании нацелены на азиатские и европейские организации, использующие усовершенствованные инструменты и тактику для повышения настойчивости.
Министерство финансов США подписало соглашение о кибербезопасности с Объединенными Арабскими Эмиратами
Соединенные Штаты и Объединенные Арабские Эмираты завершили работу над соглашением, в котором излагается, как две страны будут сотрудничать в области...
Остерегайтесь ловушек затрат, которые могут ограничить драгоценные бюджеты на обеспечение кибербезопасности
Инвестиции в безопасность могут сопровождаться скрытыми затратами, которые не всегда очевидны, но съедают средства руководителей служб безопасности, о чем они даже не подозревают
BlackBerry предоставляет Generative AI Cybersecurity Assistant
По словам компании,BlackBerry предоставит командам центра управления безопасностью (SOC) помощника по кибербезопасности, который использует генеративный искусственный интеллект (ИИ) для анализа...
Кибербезопасность: Оксюморон или неотъемлемая необходимость?
Вы когда-нибудь задумывались, не является ли “кибербезопасность” просто одним из самых известных примеров оксюморона в современном мире? Я имею в виду,...
АНБ выпускает хранилище подписей и аналитики для защиты операционных технологий
Киберпреступники продемонстрировали свою неизменную готовность осуществлять вредоносную киберактивность против критически важной инфраструктуры, используя доступные в Интернете и уязвимые активы операционных...
Европол опубликовал отчет «The Other Side of the Coin: An Analysis of Financial and Economic Crime»
The_Other_Side_of_the_Coin_Analysis_of_Financial_and_Economic_Crime.en.ru (русский) The_Other_Side_of_the_Coin_Analysis_of_Financial_and_Economic_Crime (оригинал) В рамках европейской оценки угроз, связанных с финансовыми и экономическими преступлениями, подробно анализируются текущие и потенциальные...
Облачные гиганты бьют тревогу о рекордных DDoS-атаках
Google, AWS и Cloudflare предупредили, что атаки с быстрым сбросом HTTP/2 выходят за рамки когда-либо зарегистрированных. AWS, Cloudflare и Google...