Статистика киберстрахования: важный компонент взаимосвязанного цифрового мира
Киберстрахование – это форма покрытия, которая защищает частных лиц и предприятия от финансовых потерь в результате кибератак и утечки данных. В...
Взгляд Всемирного экономического форума на NFT
Вот основные тезисы из свежего доклада: NFT являются ключевым компонентом Web3, позволяющим создавать новые формы цифрового взаимодействия, владения и обмена....
Количество претензий по киберстрахованию выросло в первой половине 2023 года из-за роста числа атак программ-вымогателей: отчет
Компания по киберстрахованию сообщила о значительном росте числа претензий в течение первой половины года, добавив, что ущерб, причиненный атаками, также...
Обновление отчета Cisco о киберпреступлениях за 2023 год
Отчет Коалиции о киберпреступлениях за 2023 год: обновление за середину года содержит данные организаций по всей территории Соединенных Штатов. Киберриск...
Заявление председателя EG о статусе членства в Росфинмониторинге
На сайте международной группы фин разведок Egmont Group появилось заявление о том, что членство Росфинмониторинга приостанавливается на срок «необходимый для...
Lloyd’s of London предупреждает, что крупная кибератака на платежи может стоить миру 3,5 триллиона долларов
Lloyd’s, ведущий мировой рынок страхования и перестрахования, сегодня опубликовал сценарий системного риска, который моделирует глобальное экономическое воздействие гипотетической, но правдоподобной...
10 крупнейших тенденций в области кибербезопасности В 2024 году, к которым все должны быть готовы уже сейчас
К концу следующего года, по прогнозам, стоимость кибератак на мировую экономику превысит 10,5 трлн долларов. Эта ошеломляющая сумма отражает растущую...
Новый федеральный закон Швейцарии о защите данных (nFADP)
Новый федеральный закон Швейцарии о защите данных (nFADP) представляет собой всеобъемлющую правовую базу, разработанную для укрепления прав на неприкосновенность частной жизни...
Ключевой китайский орган по стандартизации опубликовал проект стандарта о том, как соблюдать правила Китая по генеративному искусственному интеллекту
Документ рассказывает компаниям, как привлечь своих моделей к борьбе с незаконной или «вредной» информацией. Ссылка для чтения стандарта онлайн. Ссылка...
![Исследователи предупреждают о возобновлении атак на высокопоставленные организации, предпринятых китайским APT-актером, известным в отрасли как ToddyCat. Группа совершенствует свою тактику, а также набор вредоносных инструментов с 2020 года, когда она была первоначально обнаружена. В новом отчете, опубликованном на этой неделе, исследователи из охранной фирмы Check Point Software Technologies задокументировали кампанию ToddyCat, которую они окрестили "Остаться в живых", нацеленную на организации из азиатских стран, в первую очередь из телекоммуникационного и государственного секторов. “Кампания Stayin 'Alive состоит в основном из загрузчиков, некоторые из которых используются в качестве начального переносчика инфекции против известных азиатских организаций”, - сообщили исследователи Check Point. “Первый обнаруженный загрузчик под названием CurKeep был нацелен на Вьетнам, Узбекистан и Казахстан. Проведя наш анализ, мы поняли, что эта кампания является частью гораздо более широкой кампании, нацеленной на регион ”. В недавнемотчетеопубликованном на этой неделе, исследователи из "Лаборатории Касперского" также задокументировали новое поколение загрузчиков вредоносных программ, используемых ToddyCat в недавних атаках, включая некоторые, которые, похоже, адаптированы для каждой жертвы. Исследователи Касперского первоначально раскрыли деятельность ToddyCat в конце 2020 года после того, как группа нацелилась на высокопоставленные азиатские и европейские организации. Сторонняя загрузка DLL - излюбленный метод ToddyCat Один из любимых методов ToddyCat по внедрению вредоносных программ на компьютеры - это технология, называемая боковой загрузкой DLL. Это включает в себя поиск законного исполняемого файла из приложения, которое выполняет поиск определенного DLL-файла в том же каталоге, а затем замену этой DLL вредоносной. Поскольку первоначально запущенный файл принадлежит законному приложению или службе, он, вероятно, будет иметь цифровую подпись и внесен в белый список в некоторых продуктах безопасности. Злоумышленники надеются, что последующая загрузка вредоносной библиотеки DLL законным исполняемым файлом не будет обнаружена или заблокирована. В прошлом ToddyCat использовал уязвимости в общедоступных серверах Microsoft Exchange, но также распространял вредоносное ПО через фишинговые электронные письма, к которым прикреплены вредоносные архивы. Эти архивы содержат законные исполняемые файлы вместе с вредоносной библиотекой DLL, загруженной сбоку. По данным Check Point, одно из приложений, использованных в недавних атаках, называется Dante Discovery и создано компанией Audinate. В ходе фишинг-атаки против вьетнамской телекоммуникационной компании злоумышленники отправили архив с исполняемым файлом Dante Discovery под названием to mDNSResponder.exe вместе со вредоносной библиотекой DLL, загруженной с боковой страницы, под названием dal_keepalives.библиотека dll, которую ищет программное обеспечение. Спонсируемый контент от MONGODB 12 шаблонов проектирования схем для вашего следующего приложения Автор MONGODB 21 августа 2023 г. Мошенник dal_keepalives.dll - это простой загрузчик вредоносных программ, который используется для настройки сохраняемости путем копирования списка файлов в папку Данных приложения и настройки запланированной задачи под названием AppleNotifyService для продолжения ее выполнения. Загрузчик вредоносного ПО используется для запуска простого бэкдора, который Check Point называет “CurKeep”. “Основная логика полезной нагрузки [CurKeep] состоит из трех основных функциональных возможностей: отчета, оболочки и файла”, - сказали исследователи. “Каждой из них присваивается отдельный тип сообщения, которое отправляется на сервер C & C. При выполнении полезная нагрузка изначально запускает функцию отчета, отправляя основную разведывательную информацию на сервер C & C. Затем она создает два отдельных потока, которые повторно запускают функции оболочки и файла. ” Функциональность оболочки используется злоумышленниками для удаленного выполнения команд оболочки на компьютере, а функция файла заключается в загрузке файлов на диск, которые затем будут выполнены. Между тем, исследователи Касперского сообщили, что видели похожие боковой загрузкой тактика воспользовавшись vlc.exe популярный с открытым исходным кодом видео плеер, разбойника, сопровождающих файл с названием плейлиста.дат, вредоносные загрузки в виде файлов DLL, которые загружаются непосредственно с утилитой rundll32.exe окна. Загрузчики, замеченные Касперским, использовались для загрузки троянской программы Ninja, которую ToddyCat использует с 2020 года и которую исследователи описывают как “сложное вредоносное ПО, написанное на C ++, вероятно, являющееся частью неизвестного инструментария для последующей эксплуатации”. Троянская программа может перечислять и уничтожать запущенные процессы, управлять системными файлами, открывать обратные сеансы командной оболочки, внедрять код в произвольные процессы, загружать дополнительные модули для расширения функциональности и настраивать прокси для связи с командно-контрольным сервером. Обнаруженные Kaspersky загрузчики вредоносных программ отличались друг от друга и использовали разные постоянные методы, связанные с разделами реестра и настройкой системных служб. На самом деле, некоторые варианты этих загрузчиков, похоже, были специально разработаны для жертв, использующих GUID компьютера в качестве ключа шифрования для своих последующих полезных загрузок. Спонсируемый контент от Stack Overflow Обзор WeAreDevelopers: наши анонсы с большого дня Автор Stack Overflow 01 августа 2023 г. Исследуя инфраструктуру ToddyCat, Check Point также обнаружила дополнительные загрузчики. Один из них они назвали "CurLu Loader" и он развернут с использованием загруженной библиотеки DLL под названием bdch.dll. Этот загрузчик использовался для развертывания полезной нагрузки, маскирующейся под файл изображения, который, в свою очередь, использовал дополнительную загрузку DLL с помощью mscoree.dll для развертывания другого бэкдора, получившего название “CurCore”. Check Point также обнаружила два других загрузчика, получивших названия "StylerServ" и "CurLog", каждый из которых использует разные методы развертывания. CurLog распространялся с приманками как в виде исполняемого файла, так и в виде дополнительной библиотеки DLL, в то время как StylerServ, по-видимому, является дополнительным загрузчиком, который работает как пассивный слушатель и развертывается более старой версией CurLu. В целом, ToddyCat, похоже, использует различные пользовательские загрузчики вредоносных программ и бэкдоры, распространяемые несколькими способами, но часто через стороннюю загрузку DLL. Дополнительные вредоносные инструменты ToddyCat Исследователи Kaspersky также задокументировали другие инструменты, которые группа использовала в своих операциях в дополнение к загрузчикам, бэкдорам и троянцу Ninja. Одна из них называется "LoFiSe" и представляет собой инструмент, используемый для поиска и сбора интересующих файлов из зараженных систем. Спонсируемый контент от Sophos Да, программы-вымогатели по-прежнему являются огромной проблемой Автор Sophos 27 июля 2023 г. “Название LoFiSe происходит от имени мьютекса, используемого этим инструментом (MicrosoftLocalFileService)”, - сказали исследователи. “Сам инструмент представляет собой DLL-файл с именем DsNcDiag.dll, который запускается с использованием технологии боковой загрузки DLL”. Другие инструменты включают загрузчики для DropBox и Microsoft OneDrive, которые используются для удаления файлов, пассивный UDP-бэкдор, который получает команды через UDP-пакеты, и Cobalt Strike, коммерческую платформу для тестирования на проникновение, которая стала популярной у многих хакеров. “Последние открытия подтверждают, что ToddyCat атакует свою цель с целью осуществления шпионской деятельности”, - заявили исследователи. “Для достижения этой цели злоумышленник проникает в корпоративные сети, используя такие инструменты, как загрузчики и троянские программы, описанные выше. Закрепившись, она начинает собирать информацию о хостах, подключенных к той же сети, чтобы найти цели, у которых могут быть представляющие интерес файлы. Группа проводит поисковые операции, перечисляя учетные записи доменов и серверы DC, используя стандартные утилиты администрирования операционной системы. ” После выявления дополнительных систем злоумышленники используют украденные учетные данные администратора домена для подключения сетевых дисков, выполнения скриптов и настройки запланированных задач в целевых системах с целью поиска и эксфильтрации документов.](https://i0.wp.com/newsletter.radensa.ru/wp-content/uploads/2023/10/shutterstock_1858812901_1200x800_redteam-100938532-orig.jpg?fit=1024%2C682&ssl=1)
Китайская APT group ToddyCat запускает новые кампании кибершпионажа
Новые кампании нацелены на азиатские и европейские организации, использующие усовершенствованные инструменты и тактику для повышения настойчивости.
Понимание киберугроз в геополитическом контексте
Кибербезопасность – это область с глубокими нюансами, требующая, чтобы специалисты по безопасности работали круглосуточно, чтобы извлекать значимую и своевременную информацию...
Министерство финансов США подписало соглашение о кибербезопасности с Объединенными Арабскими Эмиратами
Соединенные Штаты и Объединенные Арабские Эмираты завершили работу над соглашением, в котором излагается, как две страны будут сотрудничать в области...