Гибридный банковский троян GozNym атакует известные мировые бренды

Исследователи компании buguroo Threat Intelligence Labs опубликовали доклад, посвященный деятельности гибридного банковского трояна GozNym, сочетающего в себе функционал известных вредоносов Gozi и Nymaim. Троян GozNym уже был замечен в ряде различных кампаний, направленных на пользователей в США и Канаде, а затем распространившихся на Европу.

Эксперты buguroo зафиксировали новый виток атак с использованием GozNym, в основном направленных на банки и финансовые сервисы в Испании, Польше и Японии и в ряде случаев – на пользователей из Канады, Италии и Австралии. По данным исследователей, операторы трояна используют новые техники, пока еще далекие от совершенства.

К примеру, в Испании вредоносное ПО распространяется через вредоносные ссылки, ведущие на скомпрометированные сайты под управлением WordPress. Согласно экспертам, число жертв в этой стране значительно ниже по сравнению с показателями Польши и Японии. На момент проведения исследования серверы, использовавшиеся для распространения и управления вредоносом, были неактивны или отключены. В числе пострадавших от действий GozNym оказались известные финансовые группы и платежные системы, в частности PayPal, CitiDirect BE, ING Bank, Société Générale, BNP Paribas, Bank of Tokyo и пр.

Как показал анализ, GozNym продолжает эволюционировать. Сейчас троян использует сложную технику динамической web-инъекции, позволяющей избежать обнаружения. Кроме того, каждый раз после обнаружения атаки операторы вредоноса модифицируют его код, что позволяет обойти защиту, установленную целевой организацией и осуществить повторную атаку.

Когда жертва пытается провести транзакцию, троян немедленно отсылает соответствующее сообщение на C&C-сервер злоумышленников. В ответ сервер отправляет пользователю фальшивое предупреждение о необходимости ввода ключа для завершения транзакции. Жертва вводит необходимые данные и таким образом отправляет средства на счет так называемого «мула».

По данным исследователей, некоторые пользователи привязываются к определенному «мулу» в какой-либо стране, и операторы трояна сами решают, сколько средств будет переведено в результате транзакции. В то же время другим пользователям назначаются случайные мулы, а сумма транзакции четко фиксирована. В конечном итоге все зависит от «ценности» жертвы. Как правило, более масштабные операции привязываются к более надежным мулам, отметили исследователи.

Источник: securitylab.ru

Рубрика: Report | Оставить комментарий

Cамораспространяющийся троянец для Linux организует ботнеты

Операционные системы семейства Linux все чаще подвергаются заражению вредоносными программами. Вирусные аналитики компании «Доктор Веб» исследовали еще одного Linux-троянца, написанного на языке Go. Он умеет атаковать сайты, работающие под управлением различных CMS, осуществлять DDoS-атаки, рассылать электронные письма и самостоятельно распространяться по сети.

Новый троянец получил наименование Linux.Rex.1. Пользователи форума Kernelmode, одними из первых сообщившие о распространении этого троянца, назвали его «вымогателем для Drupal» (Drupal ransomware), однако вирусные аналитики «Доктор Веб» считают это определение неполным. Linux.Rex.1 действительно атакует сайты, работающие на популярном движке Drupal, но этим его возможности не ограничиваются.

Современные ботнеты условно делятся на два типа. Первый получает команды с управляющих серверов, второй работает без них, напрямую передавая информацию от одного зараженного узла к другому. Linux.Rex.1 организует бот-сети второго типа. Они называются одноранговыми, пиринговыми или P2P-сетями (от англ. peer-to-peer, «равный к равному»). В архитектуре Linux.Rex.1 имеется собственная реализация протокола, позволяющего обмениваться информацией с другими зараженными узлами и создавать таким образом децентрализованный P2P-ботнет. Сам зараженный компьютер при запуске троянца работает как один из узлов этой сети.

Троянец принимает от других инфицированных компьютеров управляющие директивы по протоколу HTTPS и при необходимости передает их другим узлам ботнета. По команде Linux.Rex.1 начинает или останавливает DDoS-атаку на узел с заданным IP-адресом. С помощью специального модуля троянец сканирует сеть в поисках веб-сайтов, на которых установлены системы управления контентом Drupal, WordPress, Magento, JetSpeed и другие. Также он ищет сетевое оборудование под управлением операционной системы AirOS. Linux.Rex.1 использует известные уязвимости в этих программных продуктах, чтобы получить список пользователей, закрытые SSH-ключи, логины и пароли, хранящиеся на удаленных узлах. Хотя сделать это возможно далеко не всегда.

Еще одна функция Linux.Rex.1 — рассылка сообщений по электронной почте. В этих письмах злоумышленники угрожают владельцам веб-сайтов организовать на них DDoS-атаку. Если письмо попало не по адресу, киберпреступники просят получателя переслать его ответственному сотруднику компании, которой принадлежит сайт. Чтобы избежать атаки, потенциальной жертве предлагается заплатить выкуп в криптовалюте биткойн.

Для взлома сайтов, работающих под управлением Drupal, используется известная уязвимость этой CMS. С помощью SQL-инъекции троянец авторизуется в системе. Если взлом удался, Linux.Rex.1 загружает на скомпрометированный сайт собственную копию и запускает ее. Таким образом в Linux.Rex.1 реализована саморепликация — возможность автоматического распространения без участия пользователей.

Linux.Rex.1 представляет серьезную опасность для владельцев веб-сайтов, а также пользователей устройств под управлением Linux. Сигнатура Linux.Rex.1 добавлена в базы Антивируса Dr.Web для Linux, этот троянец детектируется и удаляется антивирусными продуктами «Доктор Веб».

Источник: news.drweb.ru

Рубрика: Report | Оставить комментарий

Новый метод внедрения вредоносного кода в файлы с цифровой подписью позволяет обойти антивирусную защиту

Исследователь из израильской компании Deep Instinct Том Ниправски (Tom Nipravsky) разработал новый метод, позволяющий внедрить вредоносный код в файлы с легитимной цифровой подписью без нарушения сигнатуры и загрузить их в память другого процесса. Результаты исследования эксперт представил в рамках конференции по безопасности Black Hat.

Разработанный Ниправски метод может оказаться ценным инструментом для злоумышленников или хакерских группировок, специализирующихся на кибершпионаже, так как позволит им инфицировать систему вредоносным ПО незаметно для антивирусных решений.

Новый метод позволяет спрятать вредоносный код в файл с легитимной цифровой подписью, что имеет довольно важное значение, поскольку наличие подписи, по идее, должно гарантировать подлинность файла.

Информация о цифровом сертификате содержится в заголовке файла в поле таблицы Атрибутов Сертификата (ACT), не учитываемой при подсчете хэш-суммы файла. По словам Ниправски, информация о цифровом сертификате добавляется уже после того, как файл был скомпилирован. Таким образом злоумышленники могут добавлять данные нарушения цифровой подписи.

В ОС Windows реализована технология проверки подлинности программного обеспечения Microsoft Authenticode, однако из-за ошибки в дизайне инструмент проверяет только два значения размера файла (злоумышленник может модифицировать их без нарушения цифровой подписи) в его заголовке, но не третье, неизменяемое значение.

При исполнении модифицированного файла добавленный в ACT вредоносный код не загружается в системную память, поскольку содержится в заголовке, а не теле файла. Тем не менее, ACT может служить отличным укрытием, позволяющим вредоносному файлу избежать обнаружения антивирусными решениями. К примеру, злоумышленники могут внедрить вредоносный код в легитимные системные файлы Windows или Microsoft Office. Их подписи будут действительны, а сами файлы – функциональны.

Источник: securitylab.ru

Рубрика: Report | Оставить комментарий

О взломе DNC

Попробуем рассмотреть доказательства в пользу того, что за кражей email DNC стоят «русские». Постараюсь избежать политики.

Итак у нас есть действующие лица, которые публикуют пространные отчеты, о взломе DNC и краже массива email. Есть компании, которые «проверяют» эти отчеты, для того чтобы утвердить или опровергнуть выводы.

Начнем с главного, и пожалуй самого авторитетного из команды, которая говорит «Это все сделали плохие русские» — Брюс Шнайдер. Ну что, можно сказать, не касаясь личности престарелого героя. Брюс кратко и лаконично утверждает «Виноваты русские», причем ссылается на отчеты компаний И журналистские расследования. Собственные выводы? Исследования? Нет. Просто и лаконично — «русские». Кому-то кажется стыдно. Комментарии к «выводу» стоят того, чтобы их почитать

Основной поставщик информации о краже данных, компания CrowdStrike. Они были наняты DNC чтобы расследовать этот инцидент. Ок, они предполагают, на основании того, что методы проникновения и закрепления в системе были использованы разные, что действовали 2 разные группы хакеров. Это логичное предположение. Далее они делают элегантную и в тоже время логичную вещь, обзывают 2 группы хакеров в соответствии со своим «неймингом» Это логично опять же, ведь пока нет причин ссылаться на классификации АРТ, или «нейминг» других компаний, ведущих исследования в области инфосека. И тут появляется элегантность и волшебство, легким движением руки формируется табличка

Вот так. Это теперь не COZY-FANCY, плод воображения CrowdStrike , а ранее известные, в том числе Касперскому (!!!) хакерские группировки. На основании того, что часть malware и ПО, использовавшаяся в проникновении и закреплении в системе DNC, ЧАСТИЧНО и ПО_НЕКОТОРЫМ признакам совпадает с использовавшимися ранее. То что существует рынок малвари, вирусов и подобных зловредов и инструментов, компании CrowdStrike, работающей по заказу одной из ведущих партий США, видимо не известно. Возможно ли не знать о darknet компании, которая занимается атрибуцией в стране, спецслужбы которой победили SilkRoad? Ой, и президент CrowdStrike Services и по совместительству CSO компании Shawn Henry — бывший «executive assistant director of the FBI» Ну может он им не сказал?

Ну, и далее следуют основные «доказательства«, время в которое фиксировался доступ и активность вышепоименованных хакерских групп, совпадает с рабочим временем в Москве. Я не могу рассматривать серьезно, на основании чего, CrowdStrike сделала выводы о принадлежности этих групп к ГРУ и ФСБ. Это уже из серии анекдотов про «Посадите его за изнасилование! Ну он же не насиловал? Да, но инструмент-то есть!» Никаких других доказательств, прямых или косвенных, CrowdStrike не приводит. Возможно они не публичные, в отличии от обвинений? Странно это.

Отдельно стоит остановиться на компании Fidelis Cybersecurity, которая проверяла отчет CrowdStrike. Да, они подтверждают, что все ТЕХНИЧЕСКИЕ детали, которые представлены в отчете CrowdStrike соответствуют истине. Детали — да, а выводы? Тут лучше процитировать: «While we believe this settles the question of “who was responsible for the DNC attack,” we will continue to watch, along with the rest of the security community, the new twists and turns this story takes as the U.S. presidential elections swings into full gear.»  Как говорят в американских фильмах: «Ууупс!»

За множеством технических деталей, которые описывает Fidelis, отлично маскируется только один вывод «Ну да, взлом произвели те, кого CrowdStrike называет CozyBear и FancyBear. А кто они, мы утверждать не можем, но CrowdStrike считает, что русские» Только вот Fidelis попытались «углубить» выводы CrowdStrike
И невзначай приплели к истории еще и Microsoft, и даже отчет о взломе Бундестага.

Давайте начнем с немецкого инцидента. И действительно, немецкий отчет очень красивый, четкий, ясный. Есть расхождения некие, но они вполне могут объяснятся давностью происшествия. Там тоже говорится о совпадающем наборе инструментов: malware, ПО для exfiltration data, и remote control, а также о ВОЗМОЖНОЙ причастности русских. Гипотеза о ВОЗМОЖНОЙ причастности русских хакеров, «спонсируемых правительством» строится на … гипотезе о ВОЗМОЖНОЙ причастности русскоязычных хакеров, выдвинутой FireEye, когда была заведена в каталог группа APT28. Зато в отчете есть ip-адреса С2 (Comand&Control) сервера, который hard-coded в malware. Этот ip-адрес в тот момент принадлежал bullet-proof хостеру, из Франции CroockServers.com, а физически располагался (ВОЗМОЖНО! По другим данным он и физически был во Франции) в Пакистане. В атаке был использован сертификат с CN Министерства Финансов Украины mail.mfa.gov.ua.
Вот скажите мне, что тут говорит о «русских правительственных хакерах»? Сервер Парламента Германии, члена ЕС, взламывают из Франции, члена ЕС, используя сертификат МинФина Украины. А виноваты русские? Чет перебор, нет? А спецслужбы ведущих стран ЕС не могут обменяться информацией?

Отчет Microsoft, на который ссылается Fidelis еще более технический, еще более конкретный, и вообще очень четко описывает «почерк» не совпадающий ну никак с «закрепленным» за «русскими» АРТ28 и АРТ29. То есть, все «доказательства» на тот момент, строятся на времени активности хакеров, совпадающих с московским «рабочим временем» и предположениях о том, что «это может быть выгодно России». ООООООкккк.

Потом некий хакер, Guccifer 2.0 , берет на себя ответственность за кражу почтовых сообщений у DNC, пытается общаться с СМИ, называет себя румыном, но не может ответить на румынском корреспонденту, попытавшемуся проверить его национальную принадлежность. И в массиве выложенных писем (которые выдаются за украденные) находят метаданные, о том что MS Office которым открывали эти письма, зарегистрирован на Феликса Дзержинского, и редакция Office поддерживает Russian Language. Вот это уже серьезней. Только почему-то этот хакер, которого с завидной регулярностью ловят на «ошибках» и несоответствиях, не выкладывает недостающую часть массива в 30 тысяч писем. Г-жа Клинтон их «удалила» якобы, но там «ничего интересного не было, исключительно личная переписка».

Напомню, что основной официальной причиной, по которой ФБР рекомендовала не предъявлять обвинение г-же Клинтон в связи с «инцидентом» было «Есть интересный вопрос, была ли она достаточно опытной, чтобы понимать, что означает пометка (C)» — это официальный ответ ФБР. Вот такой потрясающе интуитивный человек. Не понимает, что означает пометка «Top Secret», а какие 30 тысяч писем удалить — понимает. И у хакера, который якобы год провел внутри системы DNC, копируя информацию, тоже не сохранились эти 30 тысяч писем. Ну так бывает, жизнь сложная штука.

Источник: Алексей Пятигорский via facebook.com

Рубрика: Opinion | Оставить комментарий

Обнаружена кибершпионская группировка Strider

Исследователи из компании Symantec сообщили о ранее неизвестной группировке Strider, занимающейся кибершпионажем. Жертвами злоумышленников становятся избранные цели в России, Китае, Швеции и Бельгии. В ходе атак хакеры из Strider используют сложное вредоносное ПО Remsec.

По словам экспертов, им удалось обнаружить возможную связь Strider с атаками уже известной группировки Flamer (в частности использование модулей Lua). Одна из целей Strider ранее также была инфицирована шпионским ПО Regin.

Обнаруженная Symantec группировка действует по крайней мере с октября 2011 года, и до недавнего времени о ней ничего не было известно. Жертвами Strider являются как отдельные пользователи, так и целые организации, интересующие правительственные спецслужбы. Как показал анализ образца вредоносного ПО, полученного исследователями от одного из клиентов Symantec, Remsec разработан специально для шпионажа. Вредонос выполняет функции бэкдора и кейлоггера (в его коде упоминается главный антигерой саги «Властелин колец» Саурон), а также похищает хранящиеся на зараженном компьютере файлы.

В общей сложности исследователи обнаружили следы инфицирования Remsec лишь на 36 компьютерах в семи не связанных между собой организациях (в том числе на системах нескольких российских пользователей и организаций, китайской авиакомпании, шведской организации и посольства в Бельгии).

Remsec состоит из ряда модулей, работающих вместе как фреймворк, позволяющий злоумышленнику получить полный контроль над инфицированным компьютером, перемещаться внутри сети, похищать данные и при необходимости использовать дополнительные модули.

Избежать обнаружения вредоносу удается несколькими способами. К примеру, некоторые компоненты Remsec представляют собой исполняемые BLOB-объекты (Binary Large Objects), которые весьма сложно обнаружить с помощью традиционных антивирусных решений. В добавок, большая часть функционала Remsec развертывается по сети, а значит, он сохраняется не на диске, а только в памяти компьютера.

Поскольку хакеры из Strider способны создавать собственные вредоносные инструменты и оставались необнаруженными в течение как минимум пяти лет, по мнению исследователей, они могут работать на правительство какого-нибудь государства.

Обновлено: Независимо от Symantec деятельность группировки была зафиксирована исследователями «Лаборатории Касперского». Из-за упоминания в коде Саурона эксперты назвали используемое злоумышленниками вредоносное ПО ProjectSauron. По данным ЛК, жертвами APT-группы являются свыше 30 организаций в России, Руанде и Иране. Подробнее ознакомиться с отчетом «Лаборатории Касперского» о деятельности ProjectSauron можно здесь.

Источник: securitylab.ru

Рубрика: Report | Оставить комментарий

«Доктор Веб» обнаружил Linux-троянца, написанного на Go

Вирусные аналитики компании «Доктор Веб» обнаружили и исследовали нового троянца для операционных систем семейства Linux, способного запускать на зараженном компьютере программу для добычи криптовалют. Особенность этой вредоносной программы заключается в том, что она написана на разработанном корпорацией Google языке программирования Go.

Троянец, получивший наименование Linux.Lady.1, способен выполнять ограниченный ряд функций: определять внешний IP-адрес инфицированной машины, атаковать другие компьютеры, скачивать и запускать на зараженной машине программу для добычи (майнинга) криптовалют. Linux.Lady.1 написан на разработанном корпорацией Google языке программирования Go. Опасные приложения, созданные с использованием этого языка, попадались вирусным аналитикам и ранее, но пока встречаются относительно нечасто. В своей архитектуре троянец использует множество библиотек, опубликованных на популярнейшем сервисе хранения и совместной разработки приложений GitHub.

После запуска Linux.Lady.1 передает на управляющий сервер информацию об установленной на компьютере версии Linux и наименовании семейства ОС, к которой она принадлежит, данные о количестве процессоров, имени, числе запущенных процессов и иные сведения. В ответ троянец получает конфигурационный файл, с использованием которого скачивается и запускается программа-майнер, предназначенная для добычи криптовалют. Полученные таким образом деньги троянец зачисляет на принадлежащий злоумышленникам электронный кошелек.

Linux.Lady.1 умеет определять внешний IP-адрес инфицированной машины с помощью специальных сайтов, ссылки на которые вредоносная программа получает в файле конфигурации, и атаковать другие компьютеры из этой сети. Троянец пытается подключиться к удаленным узлам через порт, используемый журналируемым хранилищем данных Redis (remote dictionary server), без пароля, в расчете на то, что системный администратор атакуемой машины неправильно настроил систему. Если соединение удалось установить, троянец записывает в планировщик задач cron удаленного компьютера скрипт-загрузчик, детектируемый Антивирусом Dr.Web под именем Linux.DownLoader.196, а тот, в свою очередь, скачивает и устанавливает на скомпрометированном узле копию Linux.Lady.1. Затем вредоносная программа добавляет в список авторизованных ключей ключ для подключения к атакуемой машине по протоколу SSH.

Антивирус Dr.Web успешно детектирует и удаляет вредоносные программы Linux.Lady.1 и Linux.DownLoader.196, поэтому они не представляют опасности для наших пользователей.

Источник: news.drweb.ru

Рубрика: Report | Оставить комментарий

Шпионская сеть NetTraveler атакует российских и европейских производителей оружия

Исследователи Proofpoint зафиксировали всплеск активности в рамках международной кампании по государственному и промышленному кибершпионажу NetTraveler. Новая кампания направлена на различные организации из России и близлежащих стран, в том числе Монголии, Беларуси и других европейских государств. Наибольший интерес для злоумышленников представляют производители оружия, различные правозащитные организации и продемократические группы.

В рамках нынешней кампании преступники рассылают фишинговые письма, включающие ссылку на RAR-архив, расположенный на подконтрольных хакерам сайтах, или прикрепленный вредоносный документ Microsoft Word. Данный файл содержит эксплоит для уязвимости CVE-2012-0158, позволяющий установить на компьютер пользователя бэкдор NetTraveler.

Для усыпления бдительности жертв злоумышленники регистрируют сайты, имитирующие новостные и военные ресурсы, используемые в качестве C&C-серверов и хостингов для вредоносного ПО. За несколько дней до запуска целевой фишинговой кампании злоумышленники подбирают темы, которые будут интересны жертвам, например, ядерная энергетика, военные учения, геополитическая обстановка и пр. Затем преступники делают соответствующую подборку новостей и используют материалы в качестве приманки.

Кибершпионская кампания NetTraveler стартовала в 2004 году, но пик ее активности пришелся на период с 2010-го по 2013-й годы. За более чем 10 лет работы сеть успела атаковать свыше 350 компьютерных систем в 40 странах мира. От действий преступников больше всего пострадали Монголия, Индия, Казахстан, Киргизия, Китай, Таджикистан, Южная Корея, Испания, Германия, а также Россия. По данным специалистов компании «Лаборатория Касперского», сеть имеет четкую национальную принадлежность: в организации атак принимали участие до 50 человек, для большинства из которых родным языком является китайский.

Источник: securitylab.ru

Рубрика: Report | Оставить комментарий