Lloyd’s of London предупреждает, что крупная кибератака на платежи может стоить миру 3,5 триллиона долларов
Lloyd’s, ведущий мировой рынок страхования и перестрахования, сегодня опубликовал сценарий системного риска, который моделирует глобальное экономическое воздействие гипотетической, но правдоподобной...
![Исследователи предупреждают о возобновлении атак на высокопоставленные организации, предпринятых китайским APT-актером, известным в отрасли как ToddyCat. Группа совершенствует свою тактику, а также набор вредоносных инструментов с 2020 года, когда она была первоначально обнаружена. В новом отчете, опубликованном на этой неделе, исследователи из охранной фирмы Check Point Software Technologies задокументировали кампанию ToddyCat, которую они окрестили "Остаться в живых", нацеленную на организации из азиатских стран, в первую очередь из телекоммуникационного и государственного секторов. “Кампания Stayin 'Alive состоит в основном из загрузчиков, некоторые из которых используются в качестве начального переносчика инфекции против известных азиатских организаций”, - сообщили исследователи Check Point. “Первый обнаруженный загрузчик под названием CurKeep был нацелен на Вьетнам, Узбекистан и Казахстан. Проведя наш анализ, мы поняли, что эта кампания является частью гораздо более широкой кампании, нацеленной на регион ”. В недавнемотчетеопубликованном на этой неделе, исследователи из "Лаборатории Касперского" также задокументировали новое поколение загрузчиков вредоносных программ, используемых ToddyCat в недавних атаках, включая некоторые, которые, похоже, адаптированы для каждой жертвы. Исследователи Касперского первоначально раскрыли деятельность ToddyCat в конце 2020 года после того, как группа нацелилась на высокопоставленные азиатские и европейские организации. Сторонняя загрузка DLL - излюбленный метод ToddyCat Один из любимых методов ToddyCat по внедрению вредоносных программ на компьютеры - это технология, называемая боковой загрузкой DLL. Это включает в себя поиск законного исполняемого файла из приложения, которое выполняет поиск определенного DLL-файла в том же каталоге, а затем замену этой DLL вредоносной. Поскольку первоначально запущенный файл принадлежит законному приложению или службе, он, вероятно, будет иметь цифровую подпись и внесен в белый список в некоторых продуктах безопасности. Злоумышленники надеются, что последующая загрузка вредоносной библиотеки DLL законным исполняемым файлом не будет обнаружена или заблокирована. В прошлом ToddyCat использовал уязвимости в общедоступных серверах Microsoft Exchange, но также распространял вредоносное ПО через фишинговые электронные письма, к которым прикреплены вредоносные архивы. Эти архивы содержат законные исполняемые файлы вместе с вредоносной библиотекой DLL, загруженной сбоку. По данным Check Point, одно из приложений, использованных в недавних атаках, называется Dante Discovery и создано компанией Audinate. В ходе фишинг-атаки против вьетнамской телекоммуникационной компании злоумышленники отправили архив с исполняемым файлом Dante Discovery под названием to mDNSResponder.exe вместе со вредоносной библиотекой DLL, загруженной с боковой страницы, под названием dal_keepalives.библиотека dll, которую ищет программное обеспечение. Спонсируемый контент от MONGODB 12 шаблонов проектирования схем для вашего следующего приложения Автор MONGODB 21 августа 2023 г. Мошенник dal_keepalives.dll - это простой загрузчик вредоносных программ, который используется для настройки сохраняемости путем копирования списка файлов в папку Данных приложения и настройки запланированной задачи под названием AppleNotifyService для продолжения ее выполнения. Загрузчик вредоносного ПО используется для запуска простого бэкдора, который Check Point называет “CurKeep”. “Основная логика полезной нагрузки [CurKeep] состоит из трех основных функциональных возможностей: отчета, оболочки и файла”, - сказали исследователи. “Каждой из них присваивается отдельный тип сообщения, которое отправляется на сервер C & C. При выполнении полезная нагрузка изначально запускает функцию отчета, отправляя основную разведывательную информацию на сервер C & C. Затем она создает два отдельных потока, которые повторно запускают функции оболочки и файла. ” Функциональность оболочки используется злоумышленниками для удаленного выполнения команд оболочки на компьютере, а функция файла заключается в загрузке файлов на диск, которые затем будут выполнены. Между тем, исследователи Касперского сообщили, что видели похожие боковой загрузкой тактика воспользовавшись vlc.exe популярный с открытым исходным кодом видео плеер, разбойника, сопровождающих файл с названием плейлиста.дат, вредоносные загрузки в виде файлов DLL, которые загружаются непосредственно с утилитой rundll32.exe окна. Загрузчики, замеченные Касперским, использовались для загрузки троянской программы Ninja, которую ToddyCat использует с 2020 года и которую исследователи описывают как “сложное вредоносное ПО, написанное на C ++, вероятно, являющееся частью неизвестного инструментария для последующей эксплуатации”. Троянская программа может перечислять и уничтожать запущенные процессы, управлять системными файлами, открывать обратные сеансы командной оболочки, внедрять код в произвольные процессы, загружать дополнительные модули для расширения функциональности и настраивать прокси для связи с командно-контрольным сервером. Обнаруженные Kaspersky загрузчики вредоносных программ отличались друг от друга и использовали разные постоянные методы, связанные с разделами реестра и настройкой системных служб. На самом деле, некоторые варианты этих загрузчиков, похоже, были специально разработаны для жертв, использующих GUID компьютера в качестве ключа шифрования для своих последующих полезных загрузок. Спонсируемый контент от Stack Overflow Обзор WeAreDevelopers: наши анонсы с большого дня Автор Stack Overflow 01 августа 2023 г. Исследуя инфраструктуру ToddyCat, Check Point также обнаружила дополнительные загрузчики. Один из них они назвали "CurLu Loader" и он развернут с использованием загруженной библиотеки DLL под названием bdch.dll. Этот загрузчик использовался для развертывания полезной нагрузки, маскирующейся под файл изображения, который, в свою очередь, использовал дополнительную загрузку DLL с помощью mscoree.dll для развертывания другого бэкдора, получившего название “CurCore”. Check Point также обнаружила два других загрузчика, получивших названия "StylerServ" и "CurLog", каждый из которых использует разные методы развертывания. CurLog распространялся с приманками как в виде исполняемого файла, так и в виде дополнительной библиотеки DLL, в то время как StylerServ, по-видимому, является дополнительным загрузчиком, который работает как пассивный слушатель и развертывается более старой версией CurLu. В целом, ToddyCat, похоже, использует различные пользовательские загрузчики вредоносных программ и бэкдоры, распространяемые несколькими способами, но часто через стороннюю загрузку DLL. Дополнительные вредоносные инструменты ToddyCat Исследователи Kaspersky также задокументировали другие инструменты, которые группа использовала в своих операциях в дополнение к загрузчикам, бэкдорам и троянцу Ninja. Одна из них называется "LoFiSe" и представляет собой инструмент, используемый для поиска и сбора интересующих файлов из зараженных систем. Спонсируемый контент от Sophos Да, программы-вымогатели по-прежнему являются огромной проблемой Автор Sophos 27 июля 2023 г. “Название LoFiSe происходит от имени мьютекса, используемого этим инструментом (MicrosoftLocalFileService)”, - сказали исследователи. “Сам инструмент представляет собой DLL-файл с именем DsNcDiag.dll, который запускается с использованием технологии боковой загрузки DLL”. Другие инструменты включают загрузчики для DropBox и Microsoft OneDrive, которые используются для удаления файлов, пассивный UDP-бэкдор, который получает команды через UDP-пакеты, и Cobalt Strike, коммерческую платформу для тестирования на проникновение, которая стала популярной у многих хакеров. “Последние открытия подтверждают, что ToddyCat атакует свою цель с целью осуществления шпионской деятельности”, - заявили исследователи. “Для достижения этой цели злоумышленник проникает в корпоративные сети, используя такие инструменты, как загрузчики и троянские программы, описанные выше. Закрепившись, она начинает собирать информацию о хостах, подключенных к той же сети, чтобы найти цели, у которых могут быть представляющие интерес файлы. Группа проводит поисковые операции, перечисляя учетные записи доменов и серверы DC, используя стандартные утилиты администрирования операционной системы. ” После выявления дополнительных систем злоумышленники используют украденные учетные данные администратора домена для подключения сетевых дисков, выполнения скриптов и настройки запланированных задач в целевых системах с целью поиска и эксфильтрации документов.](https://i0.wp.com/newsletter.radensa.ru/wp-content/uploads/2023/10/shutterstock_1858812901_1200x800_redteam-100938532-orig.jpg?fit=1024%2C682&ssl=1)
Китайская APT group ToddyCat запускает новые кампании кибершпионажа
Новые кампании нацелены на азиатские и европейские организации, использующие усовершенствованные инструменты и тактику для повышения настойчивости.
Взломана еще одна криптоплатформа: у AVAX украдены миллионы
Недавно запущенная социальная сеть Stars Arena, популярная в мире web3, стала объектом крупного взлома. Эта DDOS-атака на платформу, основанную на...
Yahoo! 2013: Крупнейшая за всю историю утечка данных
Новое исследование показало, что при утечке данных Yahoo в 2013 году было скомпрометировано наибольшее количество записей данных – три миллиарда записей. Компания-разработчик программного...
Китай, Северная Корея преследуют новые цели, оттачивая кибернетические возможности
В прошлом году Китай усовершенствовал новую возможность автоматической генерации изображений, которые он может использовать для операций влияния, предназначенных для имитации...
Банда китайской триады поражает пользователей США масштабной атакой
Triad умело выдает себя за почтовые службы доставки, такие как Royal Mail или USPS, чтобы заманить ничего не подозревающих граждан...
Бразильский пилотный проект CBDC содержит код, который может заморозить или сократить средства, утверждает разработчик
Педро Магальяйнш, разработчик блокчейна, который утверждает, что провел реверс-инжиниринг пилотного бразильского CBDC, нашел код, который позволит замораживать или удалять учетные...
Эксперты: число DDoS-атак на компании РФ во II квартале выросло на 28%
Россия заняла восьмое место в рейтинге самых атакуемых в мире стран, сообщили в пресс-службе StormWall МОСКВА, 5 июля. /ТАСС/. Общее...
Открыт сезон вымогательства и кибератак в юридических фирмах
Юридические фирмы несут этическую ответственность за защиту конфиденциальной информации своих клиентов, но недавней волны кибератак, похоже, недостаточно, чтобы убедить юридические...
Microsoft раскрыла банковский AitM-фишинг и BEC-атаки, нацеленные на финансовых гигантов
Банковские организации и организации, предоставляющие финансовые услуги, стали объектами новой многоэтапной атаки типа “злоумышленник посередине” (AitM), направленной на компрометацию деловой...
ТОП кибератак, выявленные в новом отчете Threat Intelligence
В новом отчете представлены оперативные данные об атаках, исполнителях угроз и кампаниях. Мы признаем, что в современном мире лидеры в...
AceCryptor: мощное оружие киберпреступников, обнаружено при более чем 240 тысячах атак
Вредоносная программа crypter (альтернативно пишется cryptor), получившая название AceCryptor, использовалась для упаковки многочисленных разновидностей вредоносных программ с 2016 года. Словацкая фирма...