Драматичная эпопея борьбы Джеймса Хауэллса из мира криптовалют вновь напомнила о себе. 39-летний 🇬🇧британец и житель Ньюпорта в Уэльсе уже более десяти лет пытается вернуть cвой жесткий диск с 8 000 биткойнами. Стоимость хард драйва с биткоинами оценивается в $750 миллионов. Он был одним из первых майнеров BTC в былые времена.
История началась в 2013 году, когда Хауэллс, проводил уборку дома и, не придавая особого значения, выбросил старый жесткий диск, который, как он думал, больше ему не понадобится. В мусорное ведро отправился
Хауэллс рассказывал, что у него было два одинаковых жёстких диска: один с биткойнами, другой — неисправный.
По другой версии, диск случайно отправила в мусорку его бывшая девушка во время уборки.
На тот момент стоимость крипты была относительно невысокой, поэтому Джеймс не рассматривал биткоины как что-то ценное. Однако спустя несколько лет цена криптовалюты ощутимо взлетела и Хауэллс осознал масштабы своей потери. На тот момент жесткий диск вероятно покоился где-то на городской свалке Ньюпорта, среди отходов.
С тех пор началась его затяжная борьба с городской администрацией, которая раз за разом
Хауэллс предложил 10% от общей суммы городскому совету в том случае, если найдется HDD. Он собрал международную команду инженеров, юристов и инвесторов, готовых профинансировать многолетний проект по "раскопкам". Более того, он разработал сложный план, включающий в себя использование 🤖роботов,
Городские власти заявили, что по закону, как только жесткий диск оказался на свалке,
Хауэллс снова попытался через суд обязать совет допустить его к поискам HDD или выплатить компенсацию в размере £495 миллионов ($608 миллионов). Однако судья Кейсер из Высокого суда Великобритании не увидел «реальных оснований» для рассмотрения дела и поддержал позицию города. Вдобавок подчеркивается, что физическое состояние жесткого диска за 12 лет в агрессивной среде вызывает сомнения в сохранности каких-либо данных.
«Система правосудия Великобритании снова нанесла удар», — с горечью отметил Хауэллс после вынесения решения.
«Закон на их стороне, но биткойны мои», — заявил Джеймс в интервью криптовалютному изданию BraveNewCoin, выражая готовность продолжать борьбу.
======
Не хватает мема: «Жаль, конечно, этого добряка»
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
SecAtor пишет https://www.tg-me.com/true_secator:
Исследователи Google Project Zero выкатили подробности в отношении исправленной Zero-Click уязвимости в Monkey's Audio (APE) на смартфонах Samsung, которая позволяет реализовать выполнение кода.
Уязвимость высокой степени серьезности отслеживается как CVE-2024-49415 и имеет оценку CVSS: 8,1.
Она затрагивает устройства Samsung под управлением Android версий 12, 13 и 14.
Как пояснили в Samsung, запись за пределами допустимого диапазона в libsaped.so до SMR Dec-2024 Release 1 позволяет удаленным злоумышленникам выполнять произвольный код.
Выпущенный в декабре 2024 года патч добавляет надлежащую проверку входных данных.
В свою очередь, в Google Project Zero описывают недостаток как не требующий никакого взаимодействия с пользователем для эксплуатации и обнаружили новую интересную поверхность атаки при определенных условиях.
В частности, это работает, если Google Messages настроен на RCS, конфигурацию по умолчанию на телефонах Galaxy S23 и S24, поскольку служба транскрипции локально декодирует входящий звук до того, как пользователь взаимодействует с сообщением для целей транскрипции.
Функция saped_rec в libsaped.so записывает данные в буфер обмена dmabuf, выделенный службой мультимедиа C2, который всегда имеет размер 0x120000.
Хотя максимальное значение блоков на кадр, извлекаемое libsapedextractor, также ограничено 0x120000, saped_rec может записывать до 3* блоков на кадр байт, если байт на выборку входных данных равен 24.
Таким образом, файл APE с большим размером блоков на кадр способен сильно переполнить буфер.
В гипотетическом сценарии атаки злоумышленник может отправить специально созданное аудиосообщение через Google Messages на любое целевое устройство, на котором включен RCS, что приведет к сбою его процесса медиакодека (samsung.software.media.c2).
Обновление Samsung от декабря 2024 года также устраняет другую уязвимость высокой степени серьезности в SmartSwitch (CVE-2024-49413, CVSS: 7,1), которая позволяет локальным злоумышленникам устанавливать вредоносные приложения, пользуясь ненадлежащей проверкой криптографической подписи.
Исследователи Google Project Zero выкатили подробности в отношении исправленной Zero-Click уязвимости в Monkey's Audio (APE) на смартфонах Samsung, которая позволяет реализовать выполнение кода.
Уязвимость высокой степени серьезности отслеживается как CVE-2024-49415 и имеет оценку CVSS: 8,1.
Она затрагивает устройства Samsung под управлением Android версий 12, 13 и 14.
Как пояснили в Samsung, запись за пределами допустимого диапазона в libsaped.so до SMR Dec-2024 Release 1 позволяет удаленным злоумышленникам выполнять произвольный код.
Выпущенный в декабре 2024 года патч добавляет надлежащую проверку входных данных.
В свою очередь, в Google Project Zero описывают недостаток как не требующий никакого взаимодействия с пользователем для эксплуатации и обнаружили новую интересную поверхность атаки при определенных условиях.
В частности, это работает, если Google Messages настроен на RCS, конфигурацию по умолчанию на телефонах Galaxy S23 и S24, поскольку служба транскрипции локально декодирует входящий звук до того, как пользователь взаимодействует с сообщением для целей транскрипции.
Функция saped_rec в libsaped.so записывает данные в буфер обмена dmabuf, выделенный службой мультимедиа C2, который всегда имеет размер 0x120000.
Хотя максимальное значение блоков на кадр, извлекаемое libsapedextractor, также ограничено 0x120000, saped_rec может записывать до 3* блоков на кадр байт, если байт на выборку входных данных равен 24.
Таким образом, файл APE с большим размером блоков на кадр способен сильно переполнить буфер.
В гипотетическом сценарии атаки злоумышленник может отправить специально созданное аудиосообщение через Google Messages на любое целевое устройство, на котором включен RCS, что приведет к сбою его процесса медиакодека (samsung.software.media.c2).
Обновление Samsung от декабря 2024 года также устраняет другую уязвимость высокой степени серьезности в SmartSwitch (CVE-2024-49413, CVSS: 7,1), которая позволяет локальным злоумышленникам устанавливать вредоносные приложения, пользуясь ненадлежащей проверкой криптографической подписи.
Telegram
SecAtor
Руки-ножницы российского инфосека.
Для связи - [email protected]
Для связи - [email protected]
Cвязанный с Telegram The Open Network (TON) готовится к активному выходу на рынок США. Вступающий в должность президента 20 января Дональд Трамп обещает сделать США мировым центром цифровых активов.
Новым президентом TON Foundation стал Мануэль Стоц, основатель Kingsway Capital Partners Ltd. Он заменил Стива Юна, который остаётся в совете директоров и обеспечит преемственность амбициозных целей организации.
Блокчейн-система интегрирована в Telegram и позволяет 950 миллионам пользователей совершать платежи.
====
Частично становится понятно почему так.
Please open Telegram to view this post
VIEW IN TELEGRAM
4
В первом Patch Tuesday в 2025 году Microsoft раскрывает подробности о 8 zero-day и фиксит 159 уязвимостей в своих продуктах, включая .NET, Visual Studio, Excel, компоненты Windows и сервисы Azure. Особо выделяеются три критических уязвимости, получившие 9,8 балла по шкале CVSS:
1️⃣ CVE-2025-21298 в Windows Object Linking and Embedding (OLE). Она позволяет злоумышленникам запускать код на устройстве жертвы, даже если вредоносный файл предварительно просмотрен в Outlook.
2️⃣ CVE-2025-21307 касается драйвера RMCAST. Уязвимость позволяет атаковать системы через открытые порты при использовании протокола PGM. Microsoft советует защитить порты межсетевыми экранами.
3️⃣ CVE-2025-21311 связана с NTLM и позволяет удалённо повысить привилегии на атакуемых системах. Microsoft рекомендует отключить устаревший NTLMv1 или ограничить его использование, чтобы минимизировать риск эксплуатации этой уязвимости.
🖇 Cо списком January 2025 Security Updates можно ознакомиться тут — https://msrc.microsoft.com/update-guide/releaseNote/2025-Jan
Please open Telegram to view this post
VIEW IN TELEGRAM
Фитнес-приложения на смарт-часах давно являются частью глобального тренда на ЗОЖ, но кто бы мог подумать, что одно из них станет настоящей проблемой для национальной безопасности Франции?
Как сообщает Daily Mail со ссылкой на расследование Le Monde, экипаж французской ядерной подводной лодки неосознанно на протяжении определенного промежутка времени раскрывал местоположение патрулей через популярное приложение Strava.
По данным Le Monde, французская военная база на острове
Ярким примеров "утечки" стал некий "Поль" (имя изменено), который в 2023 году опубликовал результаты своих 16 пробежек, включая маршрут вдоль доков, где стоят подводные лодки. После внезапного исчезновения с платформы Strava на два месяца и столь же неожиданного возвращения стало ясно, что его отсутствие совпало с патрульным выходом подводной лодки.
Коллеги "Поля", условно названные "Артур" и "Шарль", проявили ту же самую модель поведения. Их совместное исчезновение и возобновление тренировок намекает на совместную службу на одном и том же судне. Один из этих военнослужащих даже оставил насмешливый комментарий о том, что ему 🥴"сложно возвращаться к спорту после двух с половиной месяцев, проведенных в коробке с какашками".
По данным расследования, на протяжении последних 10 лет более 450 пользователей Strava были активны на территории военной базы Île Longue. Официально инцидент назвали лишь "небрежностью персонала", которая "не представляет угрозы для оперативной деятельности". Вопросы у журналистов остались.
👆Это далеко не первый случай, когда Strava становится предметом обсуждений среди военных. Strava это то самое приложение из-за которого мог быть убит в Краснодаре капитан 2-го ранга Станислав Ржицкий. По одной из версий, он публиковал маршрут бега в приложении Strava, по которому его смогли выследить.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
5
Многие знают про такой замечательный "пуленепробиваемый" парольный менеджер 🔓 Lastpass. Увидел дискуссию о том, что пользователи проверили его на Exodus и возмутились встроенными трекерами (данные на декабрь 2024).
Пользователи негодуют, что приложение содержит👁 4 трекера для сбора аналитики о поведении пользователя.
🔻 Google Crashlytics – инструмент для разработчиков мобильных приложений, позволяющий собирать и анализировать отчёты об ошибках и сбоях (crash-репорты), возникающие при работе приложения. Как и любой крупный сервис, принадлежащий Google, Crashlytics подчиняется политике Google в контексте взаимодействия с 👮 правоохранительными органами или другими государственными структурами. Если правоохранительные органы требуют предоставить определённые данные (идентификаторы устройств и т.д.), и при этом запрос оформлен юридически корректно (судебное постановление или иной законный инструмент), то Google может предоставить соответствующие данные.
🔻 Google Firebase Analytics — сервис аналитики от Google, интегрированный в мобильные приложения. Собирает данные о пользовательской активности (события, сеансы, устройства), чтобы разработчики понимали, как юзеры пользуются их приложением. Firebase Analytics передаёт информацию на серверы Google по зашифрованным каналам, но собранные данные могут содержать информацию о геолокации, технические характеристики устройства, продолжительность сеанса и т.п. По запросам государственных органов (в соответствии с законом) эти данные также могут быть предоставлены.
🔻 Pendo — платформа аналитики (ранее Insert) собирает данные о пользовательских действиях в приложениях. Сервис может отслеживать клики, просмотры экранов, переходыи другую информацию.
🔻 Segment — универсальный «комбайн» по сбору аналитики и её пересылке в другие системы (Google Analytics, Mixpanel, Amplitude и т.п.). Может собирать поведенческие события, анализировать клики, просмотры, технические данные девайса, включая тип устройства, версию ОС, браузер, IP-адрес, а также связывать разные каналы аналитики в 👍 единый цифровой профиль пользователя.
Пользователей насторожило, что приложение просит выдать 29 разрешений. Некоторые вызывают вопросы:
🤔Решил ради интереса проверить у других приложений наличие трекеров на Exodus:
Bitwarden — 1 трекер — Google CrashLytics
12 разрешений. (Упд изменения 15 января 2015)
1Password — 0 трекеров. 15 разрешений.
Адекватные permissions у🔓 KeePassDX и 0 трекеров на Android.
✋ @Russian_OSINT
Пользователи негодуют, что приложение содержит
Пользователей насторожило, что приложение просит выдать 29 разрешений. Некоторые вызывают вопросы:
❗️RECORD_AUDIO
Разрешение на запись аудио кажется особенно подозрительным.
❗️ACCESS_ADSERVICES_AD_ID и ACCESS_ADSERVICES_ATTRIBUTION
Эти разрешения связаны с рекламой и атрибуцией рекламы. Для парольного менеджера они выглядят странно, так как это приложение должно быть ориентировано на конфиденциальность, а не на маркетинговую деятельность.
❗️NFC (Near Field Communication)
Использование NFC в парольном менеджере может быть объяснено функциями быстрого обмена данными или аутентификации, но в большинстве случаев оно не требуется.
🤔Решил ради интереса проверить у других приложений наличие трекеров на Exodus:
Bitwarden — 1 трекер — Google CrashLytics
12 разрешений. (Упд изменения 15 января 2015)
1Password — 0 трекеров. 15 разрешений.
Адекватные permissions у
Please open Telegram to view this post
VIEW IN TELEGRAM
РКН в 2023 году зафиксировал 168 утечек персональных данных, в результате которых в открытый доступ попали более 300 млн записей о россиянах.
🆙 В 2024 году зафиксировано 135 утечек персональных данных россиян, в открытый доступ попали более 700 млн записей о них.
✋ @Russian_OSINT
🆙 В 2024 году зафиксировано 135 утечек персональных данных россиян, в открытый доступ попали более 700 млн записей о них.
Please open Telegram to view this post
VIEW IN TELEGRAM
🇺🇸В США выделят $30 миллиардов на кибербезопасность в 2025 году
Конгресс США утвердил бюджет в размере $30 миллиардов на кибербезопасность в рамках Закона о национальной обороне на 2025 год (NDAA), что составляет около 3.35% от общего бюджета $895,2 миллиардов на оборонные расходы США.
Особая роль в этом вопросе отводится противодействию🇨🇳Китаю. В том числе, как сообщалось ранее, около $3 миллиардов будут направлены на замену телекоммуникационного оборудования от китайских производителей, таких как Huawei и ZTE.
NDAA также закладывает основу для создания центра по безопасности искусственного интеллекта под эгидой🇺🇸 АНБ.
Также стало известно, что закрывается🇺🇸 Глобальный центр взаимодействия Госдепартамента (GEC), который якобы занимался "борьбой с дезинформацией". Его деятельность прекратилась из-за отсутствия финансирования.
✋ @Russian_OSINT
Конгресс США утвердил бюджет в размере $30 миллиардов на кибербезопасность в рамках Закона о национальной обороне на 2025 год (NDAA), что составляет около 3.35% от общего бюджета $895,2 миллиардов на оборонные расходы США.
Особая роль в этом вопросе отводится противодействию🇨🇳Китаю. В том числе, как сообщалось ранее, около $3 миллиардов будут направлены на замену телекоммуникационного оборудования от китайских производителей, таких как Huawei и ZTE.
Особое внимание уделено защите мобильных устройств сотрудников Минобороны от вмешательства иностранного коммерческого шпионского ПО. Планируется составить детализированный отчет о ранее зафиксированных случаях утечек данных через вредоносное ПО.
NDAA также закладывает основу для создания центра по безопасности искусственного интеллекта под эгидой
Также стало известно, что закрывается
Please open Telegram to view this post
VIEW IN TELEGRAM
2
Помните перед 🎄НГ писал про 🇨🇳 🐍 китайского LLM-дракона DeepkSeek-V3?
На днях удалось ознакомиться с моделью. Порадовала. Не сказать, чтобы прям идеал, но во всяком случае отвечает на русском языке вполне сносно и даже некоторые 👨🔬статистические данные вытягивает с референсами на китайские источники (в отличие от ChatGPT). Понравилась реализация🧠 DeepThink, аналог Reasoning в ChatGPT.
Главная фича — бесплатно.
🤖 https://chat.deepseek.com/
✋ @Russian_OSINT
На днях удалось ознакомиться с моделью. Порадовала. Не сказать, чтобы прям идеал, но во всяком случае отвечает на русском языке вполне сносно и даже некоторые 👨🔬статистические данные вытягивает с референсами на китайские источники (в отличие от ChatGPT). Понравилась реализация
Главная фича — бесплатно.
Please open Telegram to view this post
VIEW IN TELEGRAM
Неправительственная организация OpenText Corporation, основанная в 1991 году в г. Ватерлоо (🇨🇦Канада), тесно сотрудничает с силовыми структурами 🇺🇸США, привлекается к информационно-техническому обеспечению развернутой Западом пропагандистской кампании против России. Является подрядчиком министерства обороны США, поставляет🛡 Пентагону программное обеспечение по разграничению доступа и идентификации пользователей компьютерных сетей.
Подразделение этой организации – Micro Focus International, расположенное в 🇬🇧Великобритании, предоставляет 🇺🇦украинским силовым ведомствам программное обеспечение и услуги киберзащиты, необходимые в процессе сбора данных для нанесения ударов по российским войскам и инфраструктуре.
Генеральной прокуратурой Российской Федерации принято решение о признании ее деятельности нежелательной на территории РФ.
— cообщается на сайте ведомства.
Ранее в западных источниках открыто сообщалось, что
Please open Telegram to view this post
VIEW IN TELEGRAM
Китай начинает расследование в отношении американских субсидий, выделяемых правительством США полупроводниковому сектору страны в рамках CHIPS and Science Act, об этом сообщило Министерство торговли КНР. Меры связаны с предполагаемым ущербом, нанесенным китайским производителям полупроводниковой промышленности.
Администрация Байдена обвиняется в том, что американские компании получают не только финансовую поддержку, но и несправедливое конкурентное преимущество, имея возможность экспортировать "зрелые чипы" в Китай по заниженным ценам. В отличие от передовых ИИ-чипов, так называемые "зрелые чипы" используются в бытовой электронике и телекоммуникациях. Они легче и дешевле в производстве, поэтому предназначены в основном для массового рынка. Китайская ассоциация полупроводников поддержала расследование.
Теперь эксперты будут гадать, какие именно будут последствия для американских техногигантов. Пекин готов продемонстрировать свою решимость не только в защите национальных интересов, но и привлечь внимание международного сообщества к проводимой политике США в этом вопросе.
Если Пекин в результате расследования увидит, что США нарушают условия добросовестной рыночной конкуренции, то он может ввести дополнительные пошлины или ограничения на американские чипы "зрелого уровня". Соответственно, не исключено давление на Intel после результатам расследования, как одного из игроков в этой отрасли в качестве ответной контрмеры на политику Вашингтона.
Please open Telegram to view this post
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
Snoop
Он бесплатен и поддерживает
Please open Telegram to view this post
VIEW IN TELEGRAM
10
❗️В связи с публикацией газетой «Коммерсант» недостоверной информации разъясняем, что развиваемая ГРЧЦ система мониторинга радиочастотного спектра предназначена для выявления и устранения радиопомех. Данная система не связана с ограничением доступа к запрещённым ресурсам.
Просим СМИ публиковать только проверенную информацию
— написал РКН у себя в Telegram-канале.
Please open Telegram to view this post
VIEW IN TELEGRAM
🤔 Google внёс важное изменение в работу своего поисковика и сделал обязательным включение JavaScript при работе с ним. Решение Google уже вызвало бурное обсуждение в IT-сообществе.
Необходимость якобы связана с защитой от
🛡 При отключённом JavaScript пользователь видит сообщение о необходимости его включения.
— пишет Роджер Монти из SEJ.
Некоторые эксперты предположили, что нововведение может быть связано с желанием Google усложнить работу специализированных скрепперов и SEO-инструментов. Наблюдается ограничение возможностей анализа поисковых данных сторонними сервисами. Например, популярные инструменты для анализа позиций в выдаче, такие как SERPrecon, уже столкнулись с перебоями в своей работе.
Использование headless-браузеров для рендеринга страниц с JavaScript потребует больше вычислительных ресурсов, увеличивая нагрузку на сервера...
Внедрение JS как обязательного элемента может сделать услуги SEO-инструментов дороже.
Отдельно стоит упомянуть, что нововведение от Google вызвало обеспокоенность у другой категории пользователей —
По данным Google, менее 0,1% пользователей отключают JavaScript при работе с поисковиком, но в масштабах ежедневных запросов это миллионы человек.
😡Пользователи без энтузиазма встретили новые изменения.
Please open Telegram to view this post
VIEW IN TELEGRAM
SecAtor пишет https://www.tg-me.com/true_secator:
Исследователи F.A.C.C.T. сообщают об обнаружении новой угрозы – FakeTicketer, которая действует как минимум с июня 2024 года, основной мотивацией, предположительно, является шпионаж, а вероятными целями — чиновники и спортивные функционеры.
Под видом билетов на матчи футбольной премьер-лиги России и соревнований по гребле FakeTicketer рассылал уникальное вредоносное ПО — стилер, RAT и дроппер с возможностью кражи данных из браузеров.
Вариации вредоносного ПО получили название Zagrebator, указывающее на уникальный артефакт, обнаруженный специалистами компании в ходе исследования.
В первой обнаруженной F.A.C.C.T. атаке в качестве документа-приманки использовались билеты на матчи футбольной премьер-лиги России, позже – на соревнования по водной гребле на байдарках и каноэ. Благодаря этой тактике злоумышленник и получил свое наименование.
Впоследствии данные, полученные при анализе ВПО от FakeTicketer, позволили специалистам вскрыть ещё две атаки с использованием этих вредоносных ПО.
К этому времени злоумышленник сменил маскировку, начал использовать в качестве приманок официальные документы: в октябре это был скан школьного аттестата, в декабре – нормативные акты администрации города Симферополя Республики Крым.
Предположительно, злоумышленник рассылал электронные письма с вложением в виде архива, имя которого дублирует тему письма. Вложенный архив содержит исполняемый файл с аналогичным именем, связанным с легендой атаки.
Ресерчеры классифицировали исполняемый файл внутри архива как Zagrebator.Dropper.
Он извлекает в зараженную систему исполняемый файл (Zagrebator.Stealer или Zagrebator.RAT), а также файл-приманку (BMP или PDF).
После чего создает LNK-файл в startup-директории для закрепления следующей стадии в системе и отображает файл-приманку.
В последней обнаруженной атаке в декабре 2024 Zagrebator.Dropper был незначительно обновлён: помимо описанных выше действий, ВПО также поддерживало сбор и эксфильтрацию данных авторизации из браузеров Mozilla, Opera, Microsoft Edge, Chrome.
Как отмечают в F.A.C.C.T., Zagrebator.RAT – это исполняемый файл, написанный на .NET, который поддерживает следующие команды различные команды с файлами, в том числе на перегрузку системы.
Zagrebator.Stealer также является исполняемым файлом, написанным на .NET, он имеет функциональные возможности для эксфильтрации файлов из зараженной системы.
Эксфильтрация реализуется по следующему алгоритму: приложение скандирует все диски на ПК и рекурсивно ищет на них файлы документов и баз данных (с расширениями *.anb, *.csv, *.doc, *.docx, *.xls, *.xlsx, *.pdf, *.txt), пропуская системные каталоги, создаёт %AppData%\WMI\[BOT_GUID].dat, в который записывает хэш-суммы найденных файлов.
Затем проверяет по хэш-сумме и, если файл не был ранее обработан, отправляет его содержимое на С2-адрес.
Отправка файла выполняется по HTTPS-протоколу с помощью PUT-запросов.
В целом, злоумышленник использует самописное вредоносное ПО, что позволяет ему быть более скрытным и обходить определённые системы обнаружения в ходе эксплуатации цепочки атаки на зараженной системе, преследуя цель шпионажа и нацеливаясь на госсектор.
Подробности атак и IoC - в отчете.
Исследователи F.A.C.C.T. сообщают об обнаружении новой угрозы – FakeTicketer, которая действует как минимум с июня 2024 года, основной мотивацией, предположительно, является шпионаж, а вероятными целями — чиновники и спортивные функционеры.
Под видом билетов на матчи футбольной премьер-лиги России и соревнований по гребле FakeTicketer рассылал уникальное вредоносное ПО — стилер, RAT и дроппер с возможностью кражи данных из браузеров.
Вариации вредоносного ПО получили название Zagrebator, указывающее на уникальный артефакт, обнаруженный специалистами компании в ходе исследования.
В первой обнаруженной F.A.C.C.T. атаке в качестве документа-приманки использовались билеты на матчи футбольной премьер-лиги России, позже – на соревнования по водной гребле на байдарках и каноэ. Благодаря этой тактике злоумышленник и получил свое наименование.
Впоследствии данные, полученные при анализе ВПО от FakeTicketer, позволили специалистам вскрыть ещё две атаки с использованием этих вредоносных ПО.
К этому времени злоумышленник сменил маскировку, начал использовать в качестве приманок официальные документы: в октябре это был скан школьного аттестата, в декабре – нормативные акты администрации города Симферополя Республики Крым.
Предположительно, злоумышленник рассылал электронные письма с вложением в виде архива, имя которого дублирует тему письма. Вложенный архив содержит исполняемый файл с аналогичным именем, связанным с легендой атаки.
Ресерчеры классифицировали исполняемый файл внутри архива как Zagrebator.Dropper.
Он извлекает в зараженную систему исполняемый файл (Zagrebator.Stealer или Zagrebator.RAT), а также файл-приманку (BMP или PDF).
После чего создает LNK-файл в startup-директории для закрепления следующей стадии в системе и отображает файл-приманку.
В последней обнаруженной атаке в декабре 2024 Zagrebator.Dropper был незначительно обновлён: помимо описанных выше действий, ВПО также поддерживало сбор и эксфильтрацию данных авторизации из браузеров Mozilla, Opera, Microsoft Edge, Chrome.
Как отмечают в F.A.C.C.T., Zagrebator.RAT – это исполняемый файл, написанный на .NET, который поддерживает следующие команды различные команды с файлами, в том числе на перегрузку системы.
Zagrebator.Stealer также является исполняемым файлом, написанным на .NET, он имеет функциональные возможности для эксфильтрации файлов из зараженной системы.
Эксфильтрация реализуется по следующему алгоритму: приложение скандирует все диски на ПК и рекурсивно ищет на них файлы документов и баз данных (с расширениями *.anb, *.csv, *.doc, *.docx, *.xls, *.xlsx, *.pdf, *.txt), пропуская системные каталоги, создаёт %AppData%\WMI\[BOT_GUID].dat, в который записывает хэш-суммы найденных файлов.
Затем проверяет по хэш-сумме и, если файл не был ранее обработан, отправляет его содержимое на С2-адрес.
Отправка файла выполняется по HTTPS-протоколу с помощью PUT-запросов.
В целом, злоумышленник использует самописное вредоносное ПО, что позволяет ему быть более скрытным и обходить определённые системы обнаружения в ходе эксплуатации цепочки атаки на зараженной системе, преследуя цель шпионажа и нацеливаясь на госсектор.
Подробности атак и IoC - в отчете.
Telegram
SecAtor
Руки-ножницы российского инфосека.
Для связи - [email protected]
Для связи - [email protected]