Бэкдор LightNeuron, за которым стоит криминальная группировка Turla, берет под контроль почтовые серверы Microsoft Exchange. Об этом рассказали ИБ-специалисты, которые изучили работу зловреда в скомпрометированных системах. По мнению экспертов, программа действует на одном уровне со сканерами безопасности и спам-фильтрами, что затрудняет ее обнаружение.
Впервые об Exchange-бэкдоре в июле прошлого года сообщили специалисты Global Research and Analysis Team (GReAT) «Лаборатории Касперского». Новое исследование базируется на данных, полученных в трех организациях: неназванной бразильской компании, МИД одной из стран Восточной Европы и ближневосточном дипломатическом учреждении. Анализ зловреда показал, что злоумышленники используют административные привилегии, чтобы доставить и выполнить на машине вредоносный скрипт. Сценарий регистрирует вредоносную библиотеку в качестве транспортного агента Exchange, что позволяет ей оперировать на уровне легитимных служб и закрепиться в системе.

В результате злоумышленники получают возможность:
Перехватывать входящую и исходящую корреспонденцию.
Создавать и отправлять электронные письма.
Фильтровать почту на уровне отдельных пользователей.

Программа становится полноценной службой Exchange и удаление ее компонентов из системы приводит к неработоспособности почтового сервера. Как выяснили ИБ-специалисты, LightNeuron использует необычную систему управления — киберпреступники не подключаются к зловреду напрямую, а отправляют команды через вложения входящих писем. К посланию прикрепляется PDF- или JPG-файл, в котором при помощи стеганографии зашифрованы управляющие операторы.
Злоумышленники размещают в заголовке PDF-документа инструкции с адресами команд, которые могут находиться в любой части файла. В случае с изображением в формате JPG для этой цели использовались первые 16 бит таблицы квантования. В обоих случаях вложения можно было просмотреть. Как отмечают исследователи, атакующие маскировали свою активность под потоком пустых вложений — более чем из 7000 отправленных ими фотографий лишь 178 содержали операторы LightNeuron.
Стоящая за зловредом APT-группировка Turla с 2014 года атакует государственные учреждения и частные компании по всему миру. На прошлогодней конференции Virus Bulletin аналитики «Лаборатории Касперского» рассказали, что злоумышленники развивают и другие вредоносные инструменты — фреймворк Carbon, тулкит Mosquito, бэкдоры IcedCoffee и KopiLuwak.

Источник: https://threatpost.ru/experts-explained-how-nightneuron-backdoor-works/32566/

Вымогатели атаковали сотни пользователей Git, угрожая уничтожить код в репозиториях, если разработчики не заплатят выкуп. По мнению экспертов, причиной взлома стало ненадежное хранение паролей.
О проблеме стало известно из поста на Reddit, где пользователь под ником youxufkhan рассказал, как чуть не потерял свой код. Непосредственно перед инцидентом у него завис компьютер, что вынудило разработчика перезагрузить машину. При следующем запуске клиент Git выдал критическую ошибку и самостоятельно начал переустановку.
По завершении процесса youxufkhan так и не смог вернуться к работе из-за повреждения корневого файла с изменениями. Пользователь был вынужден сбросить настройки клиента, что вернуло файл более чем на 3,2 тыс. коммитов назад. В одном из последних сохраненных добавлений он обнаружил сообщение от вымогателя.
Злоумышленник дал разработчику 10 дней, чтобы перечислить 0,1 BTC (около 37 тыс. руб. на момент публикации) на указанный кошелек. После этого преступник пообещал вернуть код, который якобы сохранен на его сервере. В противном случае вымогатель пригрозил выложить похищенные наработки в публичный доступ.
Этот случай закончился удачно для youxufkhan: он восстановил данные из копии на компьютере коллеги. Всего же, по оценкам журналистов, атака затронула почти 400 пользователей Git. Судя по балансу указанного в сообщении кошелька, к настоящему моменту никто не поддался на уговоры злоумышленников.
Отчасти это может быть связано с тем, что некоторые пользователи смогли самостоятельно вернуть утраченный код. Как выяснилось вскоре после первых атак, злоумышленники не очищают хранилища, а только меняют заголовки коммитов. Это позволяет в отдельных случаях восстановить данные за несколько простых шагов.
Представители GitLab подтвердили, что незадолго до атак неизвестные сканировали Интернет в поисках конфигурационных файлов Git и пользовательских учетных данных. По словам главы отдела безопасности GitLab Кэти Вэнг (Kathy Wang), злоумышленники заполучили пароли потому, что жертвы атак сохраняли их в открытом виде прямо в своих репозиториях.
Эксперты также сообщили, что для взлома можно было использовать токены аутентификации, по которым к Git подключаются сторонние приложения. Некоторые жертвы признались, что действительно не утруждались созданием сильных паролей и забывали отозвать доступ у неиспользуемых программ.
Ранее исследователи обнаружили, что пользователи GitHub держат в публичных репозиториях токены API и криптографические ключи. Более чем в 80% случаев владельцы таких хранилищ не осознают угрозу, оставляя эти ценные данные в открытом доступе.

Источник: https://threatpost.ru/git-repositories-get-wiped-due-to-poor-password-handling/32538/

В начале мая власти Нидерландов экстрадировали в США гражданина Украины Алексея Иванова. Голландская полиция арестовала его в октябре 2018 года после расследования, проведенного совместно с американскими спецслужбами и Национальным агентством по борьбе с преступностью Великобритании. 31-летний мужчина обвиняется в том, что на протяжении пяти лет распространял через Интернет вредоносную рекламу.
Согласно обвинительному акту, с октября 2013 по май 2018 года он пытался обмануть миллионы пользователей по всему миру. С помощью фальшивых рекламных объявлений Иванов устанавливал на компьютеры жертв вредоносное ПО.
Совместно с несколькими сообщниками Иванов создавал сайты, описывающие фальшивые товары и услуги. Для регистрации доменов, на которых потом размещались якобы раскручиваемые страницы, он использовал краденые идентификационные данные. После этого он обращался в специализированные агентства, выдавая себя за владельца бизнеса, желающего запустить рекламу в Сети. Введенные в заблуждение компании-посредники размещали эти объявления в онлайн-магазинах, а также на новостных, спортивных и развлекательных страницах.
Как сказано в обвинительном заключении, злоумышленники «вынудили ничего не подозревающих пользователей просматривать вредоносную рекламу, в результате чего в общей сложности жертвы совершили более ста миллионов переходов по ссылкам преступников».
В частности, летом 2014 года Иванов выдавал себя за Дмитрия Залескиса (Dmitrij Zaleskis), генерального директора несуществующей британской компании Veldex Limited. От этого имени он, якобы для раскрутки в Интернете, обратился в американское агентство, и 15 июля фирма-посредник запустила две рекламных кампании. За несколько дней пользователи просмотрели объявления или перешли по ссылке более 17 млн раз.
Заметив, что антивирусные программы на серверах и платформах постоянно отмечают баннеры как вредоносное ПО, подрядчик обратился с предложением прекратить их распространение. Однако Иванов отказался и еще несколько месяцев вводил агентство в заблуждение, пока кампания не была пресечена окончательно. После этого злоумышленники сменили имена и обратились в другие маркетинговые бюро для продолжения своей деятельности.
Впоследствии Иванов продавал доступ к зараженным компьютерам. Так, в округе Нью-Джерси ему удалось создать ботнет из ста подключенных устройств.
В 2018 году Алексей Иванов, который до этого проживал в Киеве, перебрался в Нидерланды, где и был арестован. Ему предъявлено обвинение в четырех эпизодах мошенничества с использованием средств связи, одном эпизоде взлома компьютера с информацией высокой важности (International damage to a protected computer) и одном эпизоде сговора с целью мошенничества. Ущерб от деятельности злоумышленников может достигать миллионов долларов. В сентябре прошлого года суд США за схожее преступление приговорил гражданина Латвии к 33 месяцам тюрьмы.

Источник: https://threatpost.ru/us-court-will-considere-the-case-of-ukrainian-fraudster/32541/

Как сообщалось ранее в этом месяце, неизвестные взломали учетную запись сотрудника службы техподдержки Microsoft и долгое время имели доступ к аккаунтам пользователей Outlook. У киберпреступников был доступ не только к метаданным, как изначально заявляли представители Microsoft, но и к содержимому персональных электронных ящиков в сервисах Outlook, Hotmail и MSN. Поначалу было трудно сказать, какие цели преследовали злоумышленники, однако теперь их мотивы стали проясняться.
По данным Motherboard, уже начали появляться первые жалобы от жертв взлома, и большинство из них являются владельцами криптовалютных кошельков. «У хакеров также был доступ к моим входящим сообщениям, что позволило им сбросить пароль от моей учетной записи на Kraken.com (криптовалютной бирже – ред.) и снять мои биткойны», – сообщил Motherboard пользователь Джевон Ритмеестер (Jevon Ritmeester).
Ритмеестр предоставил журналистам уведомление об утечке, полученное им от Microsoft по электронной почте. Пользователь также прислал скриншот, свидетельствующий о том, что злоумышленники настроили переадресацию его электронной корреспонденции. Каждое входящее письмо, содержащее слово «Kraken», моментально пересылалось на подконтрольный взломщикам электронный ящик Gmail. Сюда входят письма для подтверждения сброса пароля и криптовалютных операций.
По словам Ритмеестера, злоумышленники украли у него 1 биткойн. Пользователь намерен заявить о случившемся в полицию и потребовать от Microsoft возмещения потерянных средств.
Ритмеестер далеко не единственный владелец криптовалютного кошелька, пострадавший от взлома Outlook. К примеру, на форуме Reddit есть ряд жалоб и от других пользователей.

Источник: https://www.securitylab.ru/news/498962.php

В утилите Dell SupportAssist, служащей для отладки, диагностики и автоматического обновления драйверов, обнаружена опасная уязвимость (CVE-2019-3719), позволяющая удаленно выполнить код с привилегиями администратора на компьютерах и лэптопах Dell. По оценкам экспертов, проблема затрагивает значительное количество устройств, поскольку инструмент Dell SupportAssist предустановлен на всех ПК и ноутбуках Dell, поставляемых с ОС Windows (системы, которые продаются без ОС, уязвимости не подвержены).
По словам исследователя безопасности Билла Демиркапи (Bill Demirkapi), обнаружившего баг, при определенных обстоятельствах CVE-2019-3719 предоставляет возможность с легкостью перехватить контроль над уязвимыми устройствами. Для этого злоумышленнику потребуется заманить жертву на вредоносный сайт, содержащий код JavaScript, который заставляет Dell SupportAssist загрузить и запустить вредоносные файлы на системе. Поскольку инструмент работает с правами администратора, атакующий получит полный доступ к целевому устройству.
Как пояснил исследователь, для того чтобы получить возможность удаленно выполнить код, злоумышленнику нужно осуществить ARP- и DNS-спуфинг атаки на компьютере жертвы. Демиркапи привел два возможных сценария: первый предполагает наличие доступа к публичным Wi-Fi сетям или крупным корпоративным сетям, где по меньшей мере одно устройство может использоваться для ARP- и DNS-спуфинг атак, а второй предполагает компрометацию локального маршрутизатора и модификацию DNS-трафика непосредственно на устройстве.
Компания Dell уже устранила уязвимость с выпуском новой версии Dell SupportAssist — 3.2.0.90. , которую владельцам уязвимых устройств Dell рекомендуется установить как можно скорее.
Демиркапи разместил на портале GitHub PoC-код для эксплуатации уязвимости, а также опубликовал видео, демонстрирующее атаку в действии.

Источник: https://www.securitylab.ru/news/498974.php