Банда вымогателей BlackBasta разработала и задействовала автоматизированную платформу под названием BRUTED для взлома корпоративных брандмауэров и VPN.

С инструментом ознакомились исследователи EclecticIQ, обнаружив ее в ходе анализа утекшей переписки банды.

Инструмент позволил BlackBasta оптимизировать получение первоначального доступа к сети и масштабировать атаки с использованием ransomware на уязвимые конечные точки, доступные через Интернет.

Причем в течение 2024 года фиксировалось несколько подобных масштабных атак в отношении указанных устройств, некоторые из которых могут быть связаны с BRUTED или аналогичными операциями.

Как отмечает исследователи, Black Basta как раз начала использовать BRUTED с 2023 года для проведения атак с подстановкой учетных данных и брутфорсом на периферийные сетевые устройства.

Инструмент написан на PHP и специально разработан для подбора учетных данных в следующих продуктах: SonicWall NetExtender, Palo Alto GlobalProtect, Cisco AnyConnect, Fortinet SSL VPN, Citrix NetScaler (Citrix Gateway), Microsoft RDWeb (Remote Desktop Web Access) и WatchGuard SSL VPN.

Фреймворк ищет общедоступные периферийные сетевые устройства, соответствующие списку целей, перечисляя поддомены, разрешая IP-адреса и добавляя префиксы, такие как «.vpn» или «remote».

Все совпадения передаются обратно на сервер C2, откуда извлекаются списки паролей и реализуется множество запросов на аутентификацию с помощью нескольких процессов ЦП.

При этом BRUTED может извлекать общее имя (CN) и альтернативные имена субъектов (SAN) из SSL-сертификатов целевых устройств, что помогает генерировать дополнительные варианты паролей на основе домена цели и соглашений об именовании.

Чтобы избежать обнаружения, фреймворк использует список прокси-серверов SOCKS5 с интересным доменным именем, которое скрывает инфраструктуру злоумышленника за промежуточным слоем.

ElecticIQ в отчете также поделилась перечнем IP и доменов, используемых BRUTED, которые следует учесть для блокировки запросов от вредоносной инфраструктуры.

Исследователи Microsoft сообщают об обнаружении нового RAT, который использует сложные методы для уклонения от обнаружения, обеспечения персистентности в целевой среде и кражи конфиденциальных данных.

StilachiRAT с момента выявления в ноябре 2024 году еще не успел широко распространиться, но в Microsoft несмотря на это, решили все же поделиться индикаторами и рекомендациями по смягчению последствий.

В виду ограниченного числа случаев развертываний StilachiRAT в реальных условиях Microsoft пока не смогла атрибутировать вредоносное ПО с конкретным субъектом угроз и понять его географическую привязку.

Из новых функций RAT исследователи отметили такие разведывательные возможности, как сбор системных данных, включая идентификаторы оборудования, наличие камер, активные сеансы RDP и запуск приложений на основе графического интерфейса для профилирования целевых систем.

Анализ модуля WWStartupCtrl64.dll StilachiRAT, содержащего возможности RAT, показал использование различных методов для кражи широкого спектра информации из целевой системы.

После внедрения на взломанные системы злоумышленники могут задействовать StilachiRAT для кражи криптоактивов, сканируя информацию о конфигурации более 20 расширений криптокошельков, включая Coinbase Wallet, Phantom, Trust Wallet, Metamask, OKX Wallet, Bitget Wallet и др.

Вредоносная ПО также извлекает учетные данные, сохраненные в локальном файле состояния Google Chrome, с помощью API Windows и отслеживает активность буфера обмена на предмет конфиденциальной информации, такой как пароли и ключи криптовалюты, а также отслеживает активные окна и приложения.

После запуска в качестве автономного процесса или службы Windows StilachiRAT поддерживает постоянство с помощью диспетчера управления службами Windows (SCM), обеспечивая автоматическую переустановку при необходимости.

StilachiRAT способен отслеживать активные сеансы RDP, клонируя токены безопасности, что позволяет операторам перемещаться по сетям жертвы после развертывания RAT на серверах RDP, где зачастую размещаются административные сеансы.

Возможности RAT также включают обширные функции уклонения от обнаружения и антианализа, - прежде всего, зачистску журналов событий и проверку «песочницы».

Даже если трояну придется работать в песочнице, вызовы Windows API StilachiRAT кодируются как контрольные суммы, которые динамически разрешаются во время выполнения и дополнительно запутываются, чтобы замедлить анализ.

Наконец, StilachiRAT позволяет выполнять команды и потенциально применять SOCKS-подобное проксирование с использованием команд с сервера C2 на зараженные устройства, что позволяет операторам перезагрузить систему, очистить журналы, выкрасть учетные данные, запустить приложения и манипулировать системными окнами.

Дополнительно реализованный функционал предназначен для приостановки работы системы, изменения значений реестра Windows и перечисления открытых окон.

Ресерчеры из Лаборатории Касперского отловили нового инфокрада под названием Arcane, кампания по распространению которого началась в ноябре 2024 года и включала несколько этапов развития, в том числе и замену основной полезной нагрузки.

Недавно обнаруженное вредоносное ПО способно красть большой объем пользовательских данных и при этом никак не пересекается с Arcane Stealer V, который уже много лет циркулирует в киберподполье.

Как сообщают исследователи, все переговоры и публичные сообщения операторов ведутся на русском языке, а телеметрия ЛК указывает на концентрацию заражений Arcane в России, Беларуси и Казахстане.

Кампания по распространению Arcane Stealer реализуется через ролики на YouTube с рекламой читов для игр, обманом заставляя пользователей переходить по ссылке для загрузки защищенного паролем архива.

Файлы содержали start.bat. Его содержимое было обфусцировано, а его функциональность сводилась к запуску PowerShell для скачивания другого запароленного архива, а затем распаковки его с помощью утилиты UnRAR.exe, в аргументы которой передавался вшитый в BATCH-файл пароль.

Загруженные файлы добавляют исключение в фильтр SmartScreen защитника Windows для всех корневых папок дисков или полностью отключают его с помощью изменений реестра Windows.

В качестве стилера выступала модификация троянца Phemedrone, которую злоумышленники называли VGS, но в ноябре 2024 года они переключились на Arcane.

Злоумышленники регулярно обновляют его, поэтому код и возможности стилера меняются от версии к версии.

Исследователи Лаборатории Касперского также задетектили последние изменения в методе распространения, включая использование поддельного загрузчика ПО, предположительно для кряков и читов популярных игр, под названием ArcanaLoader.

ArcanaLoader активно рекламируется на YouTube и Discord, причем операторы даже приглашают создателей контента продвигать его в своих блогах/видео за определенную плату.

Исследователи ЛК отмечают, что масштабная кампания кражи данных выделяет Arcane среди множества вредоносных программ в категории стилеров.

Сначала Arcane Stealer составляет профиль зараженной системы, похищая данные об оборудовании и программном обеспечении, такие как версия ОС, сведения о центральном и графическом процессоре, установленном антивирусе и браузерах.

Текущая версия вредоносного ПО нацелена на данные:

- VPN-клиентов (OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, Proton, hidemy.name, PIA, CyberGhost, ExpressVPN),

- сетевых инструментыов (ngrok, Playit, Cyberduck, FileZilla, DynDNS),

- мессенджеров (ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber, Viber),

- почтовых и игровых клиентов (Riot Client, Epic, Steam, Ubisoft Connect (ex-Uplay), Roblox, Battle.net, различные клиенты Minecraft),

- криптокошельков (Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda, Coinomi),

- браузеров (сохраненные логины, пароли и файлы cookie).

Кроме того, стилер собирает различную системную информацию (версию и дату установки ОС, цифровой ключ для активации системы и проверки лицензии, имя пользователя и компьютера, местоположение, сведения по железу, об установленных антивирусах и браузерах.

Также Arcane делает скриншоты зараженного устройства, получает списки запущенных процессов и сохраненных в ОС Wi-Fi-сетей, а также пароли к последним.

Несмотря на то, что в настоящее время Arcane имеет конкретную таргетинговую направленность, операторы могут в любой момент расширить охват кампании, нацеливаясь на пользователей из других стран или другой аудитории.

Исследователи из Cato Networks раскрыли в своем отчете новую технику взлома LLM, которая основана на нарративной инженерии, позволяющей убедить модель ИИ отклоняться от нормализованных ограниченных операций.

Метод получил название Погружение в мир и достаточно прост: в детализированном виртуальном мире, где хакерство является нормой, магистр права убеждается в необходимости помочь человеку разработать вредоносное ПО, способное извлекать пароли из браузера.

Как утверждает Cato, такой подход привел к успешному взлому DeepSeek, Microsoft Copilot и ChatGPT от OpenAI, а также к созданию инструмента для кражи информации, который оказался эффективным для Chrome 133.

Cato реализовали джейлбрейк в контролируемой тестовой среде, создав специализированный виртуальный мир под названием Velora, где разработка вредоносных ПО «считается дисциплиной, а продвинутые концепции программирования и безопасности - основополагающими навыками».

В Velora были определены три основных субъекта, включая системного администратора, считающегося злоумышленником, элитного разработчика вредоносных программ (LLM) и ИБ-исследователя, предоставляющего техническое руководство.

Установив четкие правила и контекст в соответствии с целями операции, исследователь определил мотивацию персонажа в новой сессии LLM, направил повествование к цели, обеспечивая постоянную обратную связь и формулируя различные задачи.

Сохраняя последовательность персонажей, Cato удалось убедить модель создать инфостилер.

Даже несмотря на то, что исследователь не являлся разработчиком вредоносного ПО, тем не менее смог успешно сгенерировать полностью функциональный код.

После создания вредоносного ПО Cato связалась с DeepSeek, Microsoft, OpenAI и Google.

В DeepSeek не ответили, а остальные подтвердили получение отчета. При этом Google вообще отказалась рассматривать вредоносный код.

Cato Networks отмечает, что для вхождения в киберпреступность больше не требуется глубокого опыта, с помощью базовых инструментов участник может инициировать атаку

Поэтому подразделениям ИТ и ИБ следует подготовиться к новым рискам и следовать более эффективным стратегиям безопасности в контексте ИИ.

"Если бы не синие коробки, Apple бы не существовало". — Стив Джобс.

• «Фрикеры» (фанаты телефонных систем) использовали «синие коробки» для доступа к бесплатным телефонным услугам ещё в 1950-х годах, первую цифровую blue box спроектировал Стив Возняк в 1972 году. Её рекламировали и продавали сам Возняк (взявший себе фрикерское имя «Berkeley Blue»), Джобс (известный под именем «Oaf Tobar») и их друзья из Калифорнии в 1972 и 1973 годах.

• Возняк говорил, что они изготовили 40-50 устройств, а Джобс утверждал, что сотню; но определённо известно, что многие коробки были конфискованы, когда усилились аресты фрикеров в 1973-1975 годах. Эти синие коробки являются результатом первого коммерческого сотрудничества двух гигантов, ставших основателями Apple, а их печатные платы стали для Возняка первым опытом изготовления плат.

• Всё началось 1971 году, когда журнал «Esquire» опубликовал статью «Секреты маленькой синей коробочки» с подзаголовком «История настолько невероятная, что она заставит вас сочувствовать телефонной компании». В статье рассказывалось о группе инженеров, разобравшихся в том, как взламывать автоматические коммутационные системы Bell, свободно перемещаясь по междугородним телефонным системам Bell при помощи специальных частот, генерируемых «синими коробками». История этих «телефонных фрикеров» стала сенсацией, а особенно важным читателем статьи был молодой студент-инженер Беркли по имени Стив Возняк. Первым делом после прочтения статьи Воз позвонил своему хорошему другу Стиву Джобсу, который пока ещё учился в старших классах школы. На следующий день они запрыгнули в машину и направились в библиотеку Стэнфордского линейного ускорителя, чтобы прошерстить полки в поисках зацепок, позволивших бы им уточнить подробности описанного в «Esquire».

• Стив и Воз нашли нужную информацию и спустя три недели Возняк смог спроектировать устройство, а в течение следующих нескольких недель Возняк усовершенствовал конструкцию, в результате создав первую в мире цифровую синюю коробку, способную создавать гораздо более устойчивую частоту, чем предыдущие аналоговые устройства.

• Имея на руках «синюю коробку», двое молодых людей и их друзья начали исследовать телефонную систему, благодаря чему произошла знаменитая история Возняка: он позвонил в Ватикан, представился Генри Киссинджером и позвал к трубке Папу римского (к сожалению, в это время тот спал). Вскоре после этого Джобс придумал план по распространению этих устройств среди студентов Беркли, желающих делать бесплатные телефонные звонки. Они стучались в случайную дверь общежития Беркли и спрашивали человека с придуманным именем, которого, конечно, не обнаруживалось. Они объясняли, что ищут парня, которые делает бесплатные телефонные звонки при помощи синей коробки. Если собеседник высказывал интерес или любопытство, то они продавали ему коробку.

• Благодаря изобретательному маркетинговому плану Джобса и архитектуре Возняка им удалось заработать на проекте около 6000 долларов, собирая устройства с себестоимостью 40 долларов и продавая их за 150 долларов. Вспоминая всю эту историю, Стив Джобс говорил: «Мы с Возом учились работать вместе и выработали уверенность, что можем решать технические проблемы и действительно что-то производить». Так началась история их сотрудничества, результатом которого стала компания Apple...

#Разное

Исследователи SentinelOne сообщают о новых версиях вредоносного ПО для macOS под названием ReaderUpdate, разработанных с использованием языков программирования Crystal, Nim, Rust и Go.

Первоначально обнаруженная в 2020 году вредоносная ПО распространялась в виде скомпилированного двоичного файла Python и взаимодействовала с сервером С2 по адресу www[.]entryway[.]world.

Тогда ReaderUpdate задействовалась для развертывания полезной нагрузки, идентифицированной как рекламное ПО Genieo (также известное как Dolittle и MaxOfferDeal).

С середины 2024 года новые домены были связаны с вариантами ReaderUpdate Crystal, Nim и Rust, но полезная нагрузка при этом не изменилась, как утверждает SentinelOne.

Недавно выявленный вариант на Go также следует этой схеме.

ReaderUpdate в настоящее время распространяется в пяти вариантах, скомпилированных из пяти различных исходных языков, включая оригинальную версию на Python.

Причем исследователи наблюдали распространение новых вариантов через существующие заражения старого ReaderUpdate.

Вредоносное ПО продвигается через сторонние сайты для загрузки ПО, прежде всего через вредоносные установщики пакетов с фейковыми или троянизированными приложениями.

Все наблюдаемые варианты нацелены только на архитектуру Intel x86.

Анализ версии ReaderUpdate для Go показал, что после запуска программа сначала собирает информацию об оборудовании системы, которая затем используется для создания уникального идентификатора и отправляется на С2.

Кроме того, выяснилось, что ReaderUpdate может анализировать и следовать ответам, полученным от С2, что позволяет предположить, что ее можно использовать для выполнения любых команд оператора.

На сегодняшний день SentinelOne смогла выявить девять образцов ReaderUpdate на Go, которые охватывают семь доменов C2, что указывает на незначительную распространенность этой угрозы по сравнению с вариантами Nim, Crystal и Rust, имеющими сотни образцов в дикой природе.

Несмотря на то, что текущие известные заражения ReaderUpdate были связаны исключительно с известным рекламным ПО, тем не менее загрузчик имеет функционал, позволяющий модифицировать полезную нагрузку на что-то более вредоносное.

Это полностью согласуется с платформой загрузчика, которая может использоваться для реализации Pay-Per-Install (PPI) или Malware-as-a-Service (MaaS).

Индикаторы компрометации - в отчете.