Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Пользователь хотел защитить свои пароли, но собственными руками запустил злоумышленников в организацию. К такому неожиданному выводу привело недавнее расследование атаки шифровальщика-вымогателя. Инцидент начался с того, что один из сотрудников скачал популярный менеджер паролей KeePass. Важное «но»: он зашел на сайт-фальшивку. Исходный код KeePass открыт, поэтому злоумышленники без проблем скопировали его, внесли изменения и добавили вредоносные функции. Затем они повторно скомпилировали программу и распространили ее через поддельные сайты, которые продвигали через легитимные системы онлайн-рекламы.

Компрометация менеджера паролей — серьезная угроза и для обычных пользователей, и для организаций. Как заметить ее и как защититься?

Что делал фальшивый KeePass

Вредоносная кампания длилась как минимум 8 месяцев начиная с середины 2024 года. Злоумышленники создавали поддельные сайты, имитирующие официальный сайт KeePass, и использовали вредоносные рекламные объявления (malvertising), чтобы перенаправлять пользователей, ищущих KeePass, на домены с многообещающими именами вроде keeppaswrd, keebass и KeePass-download.

Если жертва скачивала KeePass с фальшивого сайта, то менеджер паролей исправно выполнял основную функцию, но также сохранял все пароли из открытой базы данных в незашифрованный текстовый файл, а еще устанавливал в системе «маячок» Cobalt Strike — инструмента, используемого как для оценки защищенности организаций, так и для реальных кибератак.

С помощью Cobalt Strike атакующие смогли не только украсть экспортированные пароли, но и использовать их для захвата дополнительных систем и в конечном счете зашифровать серверы ESXi в организации.

Поискав следы этой атаки в Интернете, исследователи обнаружили пять разных троянизированных модификаций KeePass. Некоторые из них были устроены более просто — сразу выгружали украденные пароли на сервер атакующих.

 

View the full article

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      Автор KL FC Bot
      До недавнего времени злоумышленники в основном интересовались криптокошельками исключительно домашних пользователей. Однако, по всей видимости, бизнес все чаще стал использовать криптовалюту — теперь злоумышленники пытаются добраться и до кошельков организаций. За примерами далеко ходить не надо. Недавно исследованный коллегами зловред Efimer, рассылаемый организациям, умеет подменять адреса криптокошельков в буфере обмена. В России организации не имеют права рассчитываться криптовалютой, но, тем не менее, некоторые используют ее в качестве инвестиций. Поэтому функциональность, связанная с криптокошельками, появилась даже в зловредах, используемых в атаках исключительно на российские организации. Вредоносное ПО семейства Pure, например, не только подменяет адреса в буфере, но также охотится и за учетными данными программных криптокошельков. Поэтому мы не очень удивились, когда увидели и криптовалютный фишинг, направленный не только на домашних, но и на корпоративных пользователей. Чему мы удивились, так это легенде и, в целом, качеству этого фишинга.
      Фишинговая схема
      Сама по себе схема нацелена на пользователей аппаратных криптокошельков Ledger: Nano X и Nano S Plus. Злоумышленники рассылают фишинговое письмо, в котором многословно извиняются за допущенный промах — якобы из-за технического недочета сегменты приватного ключа от криптокошелька были переданы на сервер Ledger. И он в общем-то был очень хорошо защищен и зашифрован, но вот команда обнаружила очень сложную утечку, в ходе которой атакующие эксфильтрировали фрагменты ключей и при помощи крайне продвинутых методов расшифровали их и реконструировали часть ключей, что привело к краже криптоактивов. И чтобы через эту уязвимость не взломали еще и ваш криптокошелек, авторы письма рекомендуют немедленно обновить микропрошивку устройства.
      Фишинговое предупреждение о необходимости обновления микропрошивки
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      Технологию ключей доступа (КД, passkeys) рекламируют все ИТ-гиганты как эффективную и удобную замену паролям, которая может покончить с фишингом и утечками учетных данных. Суть в следующем — человек входит в систему при помощи криптографического ключа, сохраненного в специальном аппаратном модуле на его устройстве, а разблокирует эти данные при помощи биометрии или ПИН-кода. Мы подробно разобрали текущее положение дел с passkeys для домашних пользователей в двух статьях (терминология и базовые сценарии использования, сложные случаи), но у компаний к ИБ-технологиям совершенно другие требования и подходы. Насколько хороши ключи доступа и FIDO2 WebAuthn в корпоративной среде?
      Мотивы перехода на passkeys в компании
      Как и любая крупная миграция, переход на ключи доступа требует бизнес-обоснования. В теории passkeys решают сразу несколько злободневных проблем:
      Снижают риски компрометации компании с использованием кражи легитимных учетных записей (устойчивость к фишингу — главное заявленное преимущество КД). Повышают устойчивость к другим видам атак на identity, таким как перебор паролей — brute forcing, credential stuffing. Помогают соответствовать регуляторным требованиям. Во многих индустриях регуляторы обязуют применять для аутентификации сотрудников устойчивые методы, и passkeys обычно признаются таковыми. Снижают затраты. Если компания выбрала passkeys, хранящиеся в ноутбуках и смартфонах, то высокого уровня безопасности можно достичь без дополнительных затрат на USB-устройства, смарт-карты, их администрирование и логистику. Повышают продуктивность сотрудников. Хорошо налаженный процесс аутентификации повседневно экономит время каждому сотруднику и снижает процент неудачных входов в ИТ-системы. Также переход на КД обычно увязывают с отменой всем привычных и ненавистных регулярных смен пароля. Снижают нагрузку на хелпдеск за счет уменьшения числа заявок, связанных с забытыми паролями и заблокированными учетными записями.  
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      Исследователи Маттео Риццо и Энди Нгуен из компании Google опубликовали работу, в которой предложили усовершенствованную атаку Retbleed. Как мы объясняли в одном из предыдущих постов, атака Retbleed эксплуатирует уязвимости в процессорах AMD Zen и Zen 2, а также в процессорах Intel поколений Kaby Lake и Coffee Lake. Аппаратные уязвимости такого рода крайне сложно использовать на практике, из-за чего всевозможные варианты Spectre, а также производные атаки, типа Retbleed, остаются по большому счету теоретическими. Хотя методы борьбы с ними внедряют и создатели процессоров, и разработчики ПО. Суть работы исследователей Google заключается в повышении эффективности атаки Retbleed. Не меняя ничего кардинально в архитектуре атаки, они смоги использовать особенности процессоров AMD Zen 2, чтобы читать произвольные данные из оперативной памяти.
      Кратко о Retbleed
      Retbleed, как и Spectre, эксплуатирует особенности так называемой системы предсказания ветвлений центрального процессора. Предсказание ветвлений позволяет процессору выполнять инструкции заранее, не дожидаясь результатов предыдущих вычислений. Иногда предсказание оказывается неправильным, но в норме это должно приводить только к небольшому и незаметному для пользователя замедлению работы программы.
      Атака Spectre в 2018 году показала, что неправильные предсказания могут быть использованы для кражи секретов. Это возможно благодаря двум ключевым особенностям. Во-первых, систему предсказания ветвлений можно натренировать так, что произойдет обращение к области памяти с секретными данными, и они будут загружены в кэш-память процессора. Во-вторых, был найден способ вытащить эти секретные данные из кэш-памяти по стороннему каналу, измеряя время выполнения определенной инструкции.
       
      View the full article
    • Mrak
      Автор Mrak
      Всем привет!
       
      Поделитесь информацией об используемом вами приложении для учёта доходов и расходов. Кто чем пользуется?
       
      Во времена виндовс-фонов испльзовал Finance Tracker Application. Отличная программа была. Умела всё, что мне нужно, не просила денег вообще.
       
      Полез на iOS искать похожую, а там сплошные жадины-разработчики. За простейшую программу (ведь по идее это переделанный эксель, урезанный и с несколькими видами диаграмм) просят ежемесячные платежи, ежегодные платежи или фантастические разовые суммы (А ты точно будешь всю оставшуюся жизнь поддерживать программу, если я тебе 6000 рублей отдам сейчас? Что-то сомневаюсь).
       
      В общем давайте обсудим, кто и что применяет. Или меньше знаешь, крепче спишь, не надо ничего считать?  
    • KL FC Bot
      Автор KL FC Bot
      Требования к ИБ непрерывно растут по мере цифровизации бизнеса, увеличения стоимости инцидентов и ужесточения регуляторики. Растет и сложность атак на организации. По данным сервиса Kaspersky Incident Response за 2024 год, в 39% расследованных инцидентов эксплуатировались уязвимости в публично доступных серверах компании, а треть атак использовали легитимные учетные данные для проникновения в организацию. Получив начальный доступ, злоумышленники часто стараются «не шуметь». Они не применяют вредоносное ПО, а ограничиваются легитимными сетевыми инструментами: средствами удаленного доступа (AnyDesk, SSH, RDP), утилитами туннелирования (Cloudflare, ngrok), системными службами (PsExec, PowerShell). Для скачивания дополнительных инструментов, выгрузки украденных данных и передачи команд также используются крупные легитимные сервисы — от Amazon S3 и Cloudflare до GitHub и Google Calendar, причем 87% трафика зашифровано.
      Чтобы детектировать такие атаки и останавливать их развитие, в распоряжении команды ИБ должны быть современные инструменты, между которыми автоматизирован обмен информацией в реальном времени. Какие возможности будут ключевыми?
      Расшифровка трафика и анализ на уровне приложений
      Сам факт установки соединения с сервером мало что значит в условиях, когда подавляющее большинство веб-сервисов работает на хостинг-инфраструктуре крупных компаний (Amazon, Microsoft, Google, Cloudflare) и каждым из них так или иначе могут злоупотреблять атакующие.
      Вот несколько примеров широко известных атак, в которых злоумышленники опираются на публичные сервисы для загрузки ВПО, С2 и кражи данных.
      Атака на цепочку поставок, в которой было скомпрометировано популярное офисное ПО для VoIP-телефонии 3CXDesktopApp, загружала необходимые компоненты с GitHub. Еще одна атака, в ходе которой злоумышленники использовали легитимное ПО виртуализации QEMU, чтобы создать на скомпрометированном хосте RDP-прокси для дальнейшего доступа к другому хосту внутренней сети в обход традиционного файрвола. Кампания EastWind с использованием бэкдора CloudSorcerer получает команды с публичных сервисов «Живой Журнал», Quora и Dropbox; также на Dropbox отправляются украденные файлы. Многочисленные атаки при помощи шифровальщика ALPHV BlackCat на организации из сферы здравоохранения, в которых для эксфильтрации данных использовались серверы Dropbox и Mega.nz. Кампания SERPENTINE#CLOUD, в которой которой загрузка ВПО ведется с серверов WebDAV через туннели Cloudflare — бесплатный сервис trycloudflare позволяет злоумышленникам раздавать любые файлы, не регистрируя хостинг и обходя обычные проверки хостинг-провайдеров.  
      View the full article
×
×
  • Создать...