Новости мира информационной безопасности. Расследование и реагирование на инциденты. Кибербезопасность.

Новости информационной безопасности




Продавец краденой информации выручил более 100 тыс. рублей

Житель Вологды в течение двух лет занимался взломом почтовых аккаунтов и продажей добытой оттуда информации, сообщает прокуратура Вологодской области.

Установлено, что злоумышленник использовал вредоносное ПО для определения паролей жертв, после чего копировал их переписку, содержащую персональные данные и другие сведения.

Уголовное дело по ч. 2 ст. 273 УК РФ завели после расследования, проведенного силами областного управления ФСБ. Как выяснили сотрудники ведомства, 24-летний житель Вологды с 2016 по 2017 год атаковал почтовые сервисы и проникал в чужие аккаунты. Представители прокуратуры не уточняют, какую именно информацию похищал злоумышленник из электронных ящиков своих жертв, однако сообщают, что в дальнейшем эти сведения были проданы третьим лицам.

За украденную информацию киберпреступник получил от покупателей в общей сложности более 100 тыс. рублей. Прокуратура выдала обвинительное заключение и направила дело на рассмотрение в Вологодский городской суд. В случае если суд согласится с правоохранителями, злоумышленнику грозит лишение свободы на срок до четырех лет.

Российские силовые ведомства регулярно отчитываются о результатах борьбы с киберпреступностью. В августе этого года достоянием общественности стало дело Константина Мельника и Игоря Маковкина.

Как выяснили следователи, злоумышленники взламывали корпоративные банковские аккаунты при помощи трояна Lurk и в сумме похитили со счетов различных организаций около 1,2 млрд рублей. Мошенников, действовавших в составе большой преступной группировки, задержали в мае 2016 года.

В феврале 2018 года в суд передали дело 40-летнего жителя Волгограда, который вымогал деньги у жителей республики Беларусь. При помощи соучастников мужчина устанавливал на компьютеры жертв вредоносные программы, которые блокировали работу устройства якобы за просмотр порнографии. Для снятия ограничений киберпреступник от имени белорусских силовых ведомств требовал заплатить штраф на указанный им расчетный счет. Злоумышленника задержали в московском аэропорту Домодедово, когда он возвращался из Таиланда.

Дата: 2018-09-19 15:04:31

Источник: https://threatpost.ru/vologda-resident-charged-with-information-stealing-and-trading/28303/



Daily Blog #483: Typed Paths Amnesia

Hello Reader,
               I'm going to update this post with a video when I get to my hotel room tonight and do a test kitchen. I wanted to take a moment to talk about the Typed Paths registry key in Windows. Typed Paths if you are not familiar records the last 25 directories you manually typed into the file explorer path bar seen highlighted below:
titlebar.PNG

If you ever tested this registry key (located under NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\TypedPaths) you might have been confused that entries didn't show up in the key when you typed paths into path bar above, but they still showed up in the drop down within the GUI.

dropdown.png

You have to close the file explorer window for the entries you see within the GUI to be committed to the registry key.

When I showed this in class some time ago I had a student who asked a very smart question, they asked 'well, what happens if you have two file explorer windows open'. So we did the test and as it turns out something very interesting happens.

Both file explorer windows will start with a copy of the registry key loaded in its process memory and display the same entries. As you type in new paths into each window each will show their own version of the list without any knowledge of the other file explorer process.

When you close the first file explorer window the registry key will get updated with the contents of that processes Typed Paths. However, when you close the second it will overwrite the key without checking its contents meaning you will lose any unique entries typed into the first window as it will just write to the registry the contents of its process memory.

So TypedPaths works, but like every other artifact it has limitations. Make sure you know what those limitations are!

Дата: 2018-09-19 14:48:52

Источник: http://www.hecfblog.com/2018/09/daily-blog-483-typed-paths-amnesia.html



SMS-мошенники рассылают сообщения от имени Центробанка

Злоумышленники прикрываются новым банковским законодательством и воруют средства со счетов клиентов кредитных организаций. Пользуясь тем, что Центробанк ужесточил меры по отслеживанию подозрительных транзакций, мошенники от лица регулятора рассылают SMS с сообщением о блокировке карты. Чтобы избежать заморозки средств, жертве предлагают позвонить по контактному телефону и во время разговора выманивают все необходимые для хищения денег сведения — номер карты, PIN-код и CVV.

Сообщается, что преступники действуют в Самарской, Смоленской, Волгоградской областях, Красноярском крае, республиках Мордовия и Карелия. Так, из-за мошеннической рассылки житель Смоленска лишился 160 тыс. рублей, а женщина из Волгограда — 46 тыс.

Злоумышленники пользуются тем, что многие слышали о принятии закона, однако мало кто знает о том, когда и в какой именно форме он начнет действовать. Согласно новым установлениям, при обнаружении подозрительной транзакции банк обязан в течение двух дней связаться с клиентом, чтобы подтвердить либо опровергнуть легитимность операции.

В случае, если перевод совершен не от имени владельца, финансовые организации имеют право его заблокировать. Правила вступают в силу 27 сентября и призваны помочь кредитным учреждениям бороться с кражей денег со счетов.

В мошенническом сообщении нет информации о том, в соответствии с каким законом банк заморозил операции, а также не указаны ФИО пользователя и минимальные уточняющие данные о его счете.

На мошенничество указывает и то, что SMS отправлено от имени Центробанка. Регулятор не работает с физическими лицами и не занимается рассылкой сообщений на телефоны. Уведомление о блокировке может прийти только от конкретного банка эмитента.

Помимо уведомления о блокировке, в SMS содержится только номер телефона «для справок». Однако наиболее бдительные клиенты воспользовались не им, а горячей линией своего банка и выяснили, что их карты не заблокированы.

«Следует звонить только по официальному телефону банка, который есть на всех картах с оборотной стороны. Банковские колл-центры работают круглосуточно, даже в новогоднюю ночь. Это базовый принцип, которому нужно следовать для того, чтобы деньги были в безопасности», — пояснил финансовый эксперт Владимир Григорьев.

Кроме риска выдать банковские реквизиты мошенникам, даже сам факт дозвона на номер злоумышленников может привести к списанию средств со счета мобильного телефона.

Дата: 2018-09-19 14:13:03

Источник: https://threatpost.ru/fraudsters-send-sms-spam-on-behalf-of-russian-central-bank/28291/



Fbot удаляет криптомайнеры и прячет командный сервер

Специалисты из  компании Qihoo 360 отловили необычный бот. Он проникает на устройства, уже зараженные криптомайнером ADB.Miner, удаляет приложение и связанные с ним процессы. Оператор ботнета скрывает командный сервер в домене, поддерживаемом альтернативной системой DNS. Цели атаки пока не ясны.

Бот, получивший название Fbot, сканирует адресное пространство в поиске устройств, использующих отладочный интерфейс  Android Debug Bridge (ADB) с открытым портом 5555, после чего проникает на них. Среди его целей — смартфоны, игровые приставки, умные телевизоры и другие устройства Интернета вещей.

Атака состоит из двух этапов. Сначала Fbot ищет и удаляет с зараженного устройства программу com.ufo.miner — один из вариантов зловреда ADB.Miner, нацеленного на генерацию Monero. Попутно из памяти выгружаются все процессы, связанные с добычей криптовалюты. Далее бот внедряет в систему свою полезную нагрузку, содержащую инструкции для связи с командным сервером.

Оператор Fbot разместил центр управления в распределенном DNS-пространстве, которое работает на технологии блокчейна. Домен командного сервера находится в зоне .lib, которая не зарегистрирована в ICANN и не обнаруживается через традиционную систему адресации в Интернете. Такой ресурс не контролируется обычными регистраторами доменных имен, не может быть досрочно снят с делегирования по жалобе государственных органов или решению суда и не выявляется большинством систем безопасности.

Код приложения основан на одном из вариантов движка Mirai, в котором сохранен, но не используется оригинальный DDoS-компонент. Исследователи затрудняются назвать истинные цели атаки. Возможно, это деятельность этичных хакеров по борьбе с вредоносными криптомайнерами..Однако не исключено, что нападающие просто расчищают пространство для следующей стадии кампании.

ADB.Miner, с которым борется Fbot, также использует наработки Mirai. Червь появился на радарах ИБ-специалистов в феврале этого года и за короткий срок заразил несколько тысяч устройств. Зловред нацелен на IoT-оборудование, расположенное в Китае и Южной Корее, — под удар попали преимущественно Smart TV, телевизионные приставки и небольшое количество смартфонов на Android.

Дата: 2018-09-19 13:21:32

Источник: https://threatpost.ru/fbot-hides-c2-in-dns-blockchain-net/28287/



EggShell - iOS/macOS/Linux Remote Administration Tool

EggShell_1.png

EggShell is a post exploitation surveillance tool written in Python. It gives you a command line session with extra functionality between you and a target machine. EggShell gives you the power and convenience of uploading/downloading files, tab completion, taking pictures, location tracking, shell command execution, persistence, escalating privileges, password retrieval, and much more. This is project is a proof of concept, intended for use on machines you own.

Follow on twitter: @neoneggplant


New In Version 3.0.0

Getting Started

macOS/Linux Installation
git clone https://github.com/neoneggplant/eggshell
cd eggshell
python eggshell.py

iOS (Jailbroken)
Add Cydia source: http://lucasjackson.io/repo Install EggShell 3 Use any mobile terminal application and run the command eggshell
EggShell_2.png

Creating Payloads
Eggshell payloads are executed on the target machine. The payload first sends over instructions for getting and sending back device details to our server and then chooses the appropriate executable to establish a secure remote control session.

bash
Selecting bash from the payload menu will give us a 1 liner that establishes an eggshell session upon execution on the target machine

EggShell_3.png

teensy macOS (USB injection)
Teensy is a USB development board that can be programmed with the Arduino ide. It emulates usb keyboard strokes extremely fast and can inject the EggShell payload just in a few seconds.

EggShell_4.jpeg

Selecting teensy will give us an arduino based payload for the teensy board.

EggShell_5.png

After uploading to the teensy, we can use the device to plug into a macOS usb port. Once connected to a computer, it will automatically emulate the keystrokes needed to execute a payload.

EggShell_6.png

Interacting with a session

After a session is established, we can execute commands on that device through the EggShell command line interface. We can show all the available commands by typing "help"

EggShell_8.png

Tab Completion
Similar to most command line interfaces, EggShell supports tab completion. When you start typing the path to a directory or filename, we can complete the rest of the path using the tab key.
EggShell_9.png

Multihandler
The Multihandler option lets us handle multiple sessions. We can choose to interact with different devices while listening for new connections in the background.
EggShell_10.png

Similar to the session interface, we can type "help" to show Multihandler commands
EggShell_11.png

Commands

macOS


iOS

Linux

Дата: 2018-09-19 12:25:04

Источник: https://www.kitploit.com/2018/09/eggshell-iosmacoslinux-remote.html



Киберпреступники продают в даркнете похищенные бонусные мили

Злоумышленники взламывают учетные записи клиентов авиакомпаний и похищают заработанные ими бонусы.

Бонусные мили – не тот товар, который ожидаешь встретить в даркнете, однако бизнес по продаже похищенных бонусов процветает. Бонусные мили могут использоваться для бесплатных полетов, доступа к эксклюзивным комнатам отдыха в аэропортах, возможности летать первым или бизнес-классом и т.д. Их можно получить, регулярно пользуясь услугами одних и тех же авиакомпаний, или, как показывает практика, купив на черном рынке в интернете.

Как сообщает эксперт компании Comparitech Пол Бискофф (Paul Bischoff), на подпольных торговых площадках, в том числе на сайтах Dream Market, Olympus и Berlusconi Market, недорого продаются похищенные бонусные мили таких авиакомпаний, как Delta, British Airways, Emirates и Alaska Air. По словам эксперта, всего за $31 можно купить приличный пакет бонусов от компании Delta, а за $45 – от компании British Airways. Оплата производится в криптовалюте, в частности в Bitcoin и Monero.

Киберпреступники либо взламывают учетные записи клиентов авиакомпаний и похищают их бонусы, либо эксплуатируют уязвимости в системах для несанкционированного перемещения или начисления бонусов.

Безусловно, похищенные бонусы нельзя использовать как законно заработанные, например, для перелетов или бронирования отелей, поскольку для этого требуется удостоверение личности. Тем не менее, из-за недостаточной проверки, их можно обменять на подарочные карты или использовать для покупок в магазинах, имеющих партнерские отношения с перевозчиками.

Дата: 2018-09-19 12:04:43

Источник: http://www.securitylab.ru/news/495641.php



ICANN утвердила план смены ключа KSK

Смена ключа начнется с 16:00 UTC 11 октября 2018 года.

Правление Корпорации по управлению доменными именами и IP-адресами (ICANN) в ходе совещания в Бельгии утвердило план смены криптографического ключа для корневой зоны DNS. Обновление ключа начнется с 16:00 UTC (19:00 мск) 11 октября нынешнего года.

Некоторые пользователи могут пострадать, если сетевые операторы или интернет-провайдеры не будут готовы к смене ключа, но, если все пройдет должным образом, подавляющее большинство пользователей будут иметь доступ к корневой зоне DNS, заверили в организации.

Как отмечается, операторы, включившие проверку расширений безопасности системы доменных имен или информации DNSSEC, должны проверить свою готовность к смене ключа.

«Можно с практически полной уверенностью утверждать, что где-нибудь в мире есть как минимум несколько операторов, не готовых к смене ключа, но даже при этом худшем сценарии им просто надо будет исправить проблему, а именно - отключить валидацию DNSSEC, установить новый ключ, заново включить валидацию DNSSEC, и у их пользователей полностью восстановится возможность связи с DNS», - заявил технический директор ICANN Давид Конрад (David Conrad).

Как считают в организации, смена ключа не повлечет за собой отрицательные последствия. По словам вице-президента ICANN Мэтта Ларсона (Matt Larson), корпорация прилагает все возможные усилия, чтобы «все прошло максимально гладко». Подобные процедуры будут проводиться и в дальнейшем, добавил он.

ICANN – всемирная некоммерческая партнерская организация, основной целью которой является поддержка безопасности, стабильности и интероперабельности Интернета.

DNSSEC – набор протоколов безопасности, используемый для подтверждения отсутствия непреднамеренных или преднамеренных изменений информации DNS.

Дата: 2018-09-19 11:48:51

Источник: http://www.securitylab.ru/news/495640.php



Хакеры атаковали авиакомпанию British Airways: украдены данные 380 000 банковских карт клиентов

wzgua4vfc_v89opol5o5ugzuyfw.jpeg

Изображение: Riik@mctr | CC BY-SA 2.0

Британский авиакомпания British Airways подтвердила информацию о том, что стала жертвой кибератаки. Злоумышленникам удалось получить доступ к персональным данным клиентам и завладеть информацией о 380 000 банковских карт.

Что случилось


Согласно заявлению компании, жертвами атаки стали пользователи, приобретавшие авиабилеты через сайт ba.com и мобильные приложения British Airways в период с 21 августа по 5 сентября.

В своем Twitter авиакомпания сообщила, что помимо платежной информации злоумышленники получили доступ к личным данным, включая имена и адреса клиентов. При этом завладеть номера паспортов или информацией о забронированных перелетах им не удалось.

Несмотря на то, что в опубликованном заявлении не содержалась информация о количестве жертв, представитель British Airways в разговоре со СМИ подтвердил, что речь идет о 380 тысячах скомпрометированных банковских карт.

В чем причина атаки


В настоящий момент не до конца понятно, что стало причиной взлома. Однако некоторые СМИ уже написали, что атака была обнаружена, когда «сторонняя организация обнаружила необычную активность» и проинформировала авиакомпанию об этом.

Представитель British Airways заявлял о том, что в данном случае речь идет о «похищении данных, а не их утечки». Это позволило журналистам предположить, что кражу совершили сотрудники компании, имевшие доступ к важной информации. По заявлению компании, в настоящий момент кибератака отражена, и все системы работают в штатном режиме.

В конце августа 2018 года жертвой кибератаки стала другая авиакомпания – Air Canada. Тогда наряду с персональными данными были похищены номера паспортов пассажиров и информация об их перелетах. Жертвами атаки стали 20 тысяч человек.

Время хакеров-одиночек, которые взламывают корпоративные сети финансовых компаний и государственных учреждений, проходит. Сегодня организатору кибератаки не обязательно обладать техническими навыками разработки вредоносного ПО и взлома компьютерных систем. Он может найти необходимые инструменты и наемников на специализированных торговых площадках в дарквебе.

В рамках исследовательской деятельности Positive Technologies в сфере ИБ, мы детально проанализировали рынок преступных киберуслуг и постарались оценить, нужен ли вообще киберпреступнику широкий спектр специализированных знаний, или для реализации атаки достаточно обратиться к представителям теневого рынка.

В четверг, 20 сентября в 14:00, в ходе бесплатного вебинара аналитик Positive Technologies Вадим Соловьев расскажет, сколько стоит организация кибератаки, какие продукты и услуги используются на этапе подготовки и во время проведения атаки, а также приведем примеры реальных наказаний. Вебинар будет интересен всем, кто вовлечен в сферу информационной безопасности.

Для участия в вебинаре нужно зарегистрироваться.

Дата: 2018-09-19 11:19:06

Источник: https://habr.com/post/423767/



26 сентября в Санкт-Петербурге пройдет NeoQUEST-2018

Организаторами выступают компания «НеоБИТ» совместно с кафедрой «Информационная безопасность компьютерных систем» Санкт-Петербургского политехнического университета.

26 сентября в Санкт-Петербурге пройдет NeoQUEST-2018 – ежегодное мероприятие, посвященное кибербезопасности. Организаторами выступают компания «НеоБИТ» совместно с кафедрой «Информационная безопасность компьютерных систем» Санкт-Петербургского политехнического университета.

В этом году в программе NeoQUEST:

· Доклады: собственные исследования и эксперименты специалистов по безопасности

· Воркшопы: практические занятия в области пентеста и реверса

· Развлекательная часть: конкурсы, призы и сувенирка

· Cold-Boot шоу: демонстрация восстановления из памяти компьютера экрана виртуальной машины с помощью жидкого азота

· On-line квест от DC7831: команда DEF CON из Нижнего Новгорода проведет испытание для гостей NeoQUEST

Подробно о тематике докладов и воркшопов, а также других подробностях мероприятия, можно прочитать в анонсе: https://habr.com/company/neobit/blog/420295/

Кроме того, в этом году NeoQUEST пройдет вместе с научно-технической конференцией «Методы и технические средства обеспечения безопасности информации», что дает гостям возможность посетить сразу два мероприятия!

NeoQUEST-2018 состоится 26 сентября в 11:00 по адресу: ул. Рюхина, д. 9а, отель Parklane Resort and SPA. Вход бесплатный, для участия нужно зарегистрироваться на сайте мероприятия: https://neoconf.ru/ .

Дата: 2018-09-19 11:14:38

Источник: http://www.securitylab.ru/news/495638.php



Группировка MageCart нацелилась на клиентов интернет-магазина ABS-CBN

Внедренный группировкой скиммер присутствует на сайте по меньшей мере с середины августа нынешнего года.

Крупнейший филиппинский медиаконгломерат ABS-CBN может столкнуться с утечкой данных платежных карт клиентов принадлежащего компании интернет-магазина. По данным исследователя Виллема де Гроота (Willem de Groot), по меньшей мере с середины августа текущего года на сайте присутствует скиммер, внедренный группировкой MageCart, жертвами которой уже стали британская авиакомпания British Airways , сервис уведомлений Feedify и компания по продаже билетов Ticketmaster UK .

Вредоносный код, скрытый в файле JavaScript, собирает финансовую информацию платежных карт клиентов, воспользовавшихся интернет-магазином. Похищенная информация отправляет на сервер в России (adaptivecss.org), который ранее был замечен в другой вредоносной кампании - Cofee&Tea , направленной на кражу данных через файлы JavaScript и поддельные платежные уведомления.

В настоящее время неизвестно, сколько клиентов ABS-CBN могли пострадать в результате операции MageCart. Де Гроот проинформировал компанию об инциденте, однако ее представители никак не отреагировали на сообщение исследователя.

Группировка MageCart активна с 2015 года. Первые два года злоумышленники в основном атаковали сайты на платформе Magento, но позже сменили тактику и переключились на более крупные сервисы.

Дата: 2018-09-19 10:55:00

Источник: http://www.securitylab.ru/news/495639.php