Channel: SecAtor
Бизоны рассказали о том, как новая планируемая Scaly Wolf кампания потерпела фиаско из-за загрузчика, который не смог.
Как и в прошлых атаках, Scaly Wolf полагались на фишинговые письма с прикрепленным легитимным документом якобы от имени федерального ведомства, нацеливаясь таким образом на российские промышленные, логистические и государственные компании.
Для достижения своих кибершпионских намерений APT задействует последние версии стилера White Snake.
Но в отличие от предыдущих атак, в мартовской кампании в отношении российских и белорусских компаний злоумышленники попробовали реализовать новый способ внедрения вредоносного ПО в инфраструктуру.
Раньше они просто укладывали стилер в защищенный паролем архив, теперь же они воспользовались вредоносным загрузчиком под названием in2al5d p3in4er (invalid printer).
При открытии архива printer проверял, не попал ли в виртуальную среду, и в случае успеха внедрял внедрял вредоносную нагрузку в адресное пространство процесса explorer.exe.
Проверка осуществлялась с использованием библиотеки dxgi.dll, которая сверяла идентификаторы производителей графических карт, используемых системой.
Не найдя Nvidia, AMD или Intel, вредоносный файл прекращал выполнение.
Особенностью загрузчика является то, что он не использует WinAPI‑вызовы для обращения к ядру Windows. Вместо этого функции вызываются напрямую с помощью syscall с требуемыми аргументами.
Также стоит отметить, что загрузчик во время выполнения пытается открыть множество случайных несуществующих в системе файлов и записать в них случайные данные.
Для определения процесса explorer.exe загрузчик перебирает структуры запущенных процессов и сравнивает контрольную сумму от имени процесса с сохраненным значением.
После обнаружения нужного копирует в него расшифрованную вредоносную нагрузку, после чего изменяет контекст процесса для выполнения внедренного шелл-кода.
Полезная нагрузка представляет собой шелл-код, полученный с помощью утилиты с открытым исходным кодом Donut, позволяющей выполнять в памяти исполняемые файлы (в том числе .NET).
Однако из-за ошибки в коде скопировался легитимный explorer.exe, без внедренного шелл-кода, сводя на нет всю цепочку заражения.
Обновленный перечень IOC и и детальное описание TTPs - в отчете.
Как и в прошлых атаках, Scaly Wolf полагались на фишинговые письма с прикрепленным легитимным документом якобы от имени федерального ведомства, нацеливаясь таким образом на российские промышленные, логистические и государственные компании.
Для достижения своих кибершпионских намерений APT задействует последние версии стилера White Snake.
Но в отличие от предыдущих атак, в мартовской кампании в отношении российских и белорусских компаний злоумышленники попробовали реализовать новый способ внедрения вредоносного ПО в инфраструктуру.
Раньше они просто укладывали стилер в защищенный паролем архив, теперь же они воспользовались вредоносным загрузчиком под названием in2al5d p3in4er (invalid printer).
При открытии архива printer проверял, не попал ли в виртуальную среду, и в случае успеха внедрял внедрял вредоносную нагрузку в адресное пространство процесса explorer.exe.
Проверка осуществлялась с использованием библиотеки dxgi.dll, которая сверяла идентификаторы производителей графических карт, используемых системой.
Не найдя Nvidia, AMD или Intel, вредоносный файл прекращал выполнение.
Особенностью загрузчика является то, что он не использует WinAPI‑вызовы для обращения к ядру Windows. Вместо этого функции вызываются напрямую с помощью syscall с требуемыми аргументами.
Также стоит отметить, что загрузчик во время выполнения пытается открыть множество случайных несуществующих в системе файлов и записать в них случайные данные.
Для определения процесса explorer.exe загрузчик перебирает структуры запущенных процессов и сравнивает контрольную сумму от имени процесса с сохраненным значением.
После обнаружения нужного копирует в него расшифрованную вредоносную нагрузку, после чего изменяет контекст процесса для выполнения внедренного шелл-кода.
Полезная нагрузка представляет собой шелл-код, полученный с помощью утилиты с открытым исходным кодом Donut, позволяющей выполнять в памяти исполняемые файлы (в том числе .NET).
Однако из-за ошибки в коде скопировался легитимный explorer.exe, без внедренного шелл-кода, сводя на нет всю цепочку заражения.
Обновленный перечень IOC и и детальное описание TTPs - в отчете.
BI.ZONE
Новый загрузчик Scaly Wolf оказался непригодным для атак
Специалисты BI.ZONE Threat Intelligence обнаружили свежую кампанию группировки, нацеленную на российские и белорусские организации
Спустили методички и западный инфосек, на этот раз в лице Cyfirma, вновь демонстрирует примеры ангажированности.
Пытаясь нарисовать аналитику в части APT получилось все то же завывание про злых тоталитарных хакеров из группы РИСКа (Россия-Иран-Северная Корея-Китай).
По существу ничего нового, кому интересно - для общего развития можно полистать.
Пытаясь нарисовать аналитику в части APT получилось все то же завывание про злых тоталитарных хакеров из группы РИСКа (Россия-Иран-Северная Корея-Китай).
По существу ничего нового, кому интересно - для общего развития можно полистать.
CYFIRMA
APT Quarterly Highlights : Q1 - 2024 - CYFIRMA
EXECUTIVE SUMMARY In the first quarter of 2024, Advanced Persistent Threat (APT) groups from diverse global regions, including China, North...
Avast сообщает о новой вредоносной кампании, в которой механизм обновления индийского антивирусного ПО eScan использовался для доставки бэкдоров и майнеров криптовалюты в крупные корпоративные сети с помощью вредоносного ПО GuptiMiner.
Исследователи описывают GuptiMiner как очень сложную угрозу, по некоторым признакам связанную с северокорейской Kimsuky и реализующую интересную цепочку заражения.
GuptiMiner может выполнять DNS-запросы к DNS-серверам злоумышленника, извлекать полезные данные из изображений, подписывать свои полезные данные и выполнять загрузку неопубликованных DLL.
Актор, стоящий за GuptiMiner, реализовал AitM для перехвата пакета обновлений eScan, заменяя его вредоносным с именем updll62.dlz.
Вредоносный файл помимо необходимых обновлений антивируса также включает GuptiMiner в виде DLL-файла с именем version.dll.
Программа обновления eScan обрабатывает пакет как обычно, распаковывая и выполняя его. На этом этапе DLL загружается легитимными двоичными файлами eScan, предоставляя вредоносному ПО привилегии системного уровня.
Затем DLL извлекает дополнительные полезные данные из инфраструктуры, обеспечивает постоянство на хосте с помощью запланированных задач, выполняет манипуляции DNS, внедряет шелл-код в процессы, использует виртуализацию кода, сохраняет полезные данные, зашифрованные XOR, в реестре Windows и извлекает PE из PNG-файлов.
Хакеры использовали GuptiMiner для развертывания нескольких вредоносных ПО на скомпрометированных системах, включая два отдельных бэкдора и майнер XMRig Monero.
Первый бэкдор представляет собой расширенную версию Putty Link, развернутую в корпоративных системах для сканирования локальной сети на предмет уязвимых систем и опорных точек на предмет бокового перемещения.
Второй бэкдор представляет собой сложную модульную вредоносную программу, которая сканирует хост на предмет сохраненных личных ключей и криптовалютных кошельков.
Он способен принимать команды для установки дополнительных модулей в реестр, однако Avast не предоставила дополнительных подробностей.
Злоумышленники также во многих случаях отключали XMRig, что может быть попыткой отвлечь внимание от основной линии атаки.
Avast раскрыла использованную уязвимость в eScan, а поставщик антивируса подтвердил и устранена проблему, которая оставалась незамеченной как минимум пять лет. Несмотря на это, в Avast продолжают наблюдать новые заражения GuptiMiner.
Полный список IoC GuptiMiner можно найти на GitHub.
Исследователи описывают GuptiMiner как очень сложную угрозу, по некоторым признакам связанную с северокорейской Kimsuky и реализующую интересную цепочку заражения.
GuptiMiner может выполнять DNS-запросы к DNS-серверам злоумышленника, извлекать полезные данные из изображений, подписывать свои полезные данные и выполнять загрузку неопубликованных DLL.
Актор, стоящий за GuptiMiner, реализовал AitM для перехвата пакета обновлений eScan, заменяя его вредоносным с именем updll62.dlz.
Вредоносный файл помимо необходимых обновлений антивируса также включает GuptiMiner в виде DLL-файла с именем version.dll.
Программа обновления eScan обрабатывает пакет как обычно, распаковывая и выполняя его. На этом этапе DLL загружается легитимными двоичными файлами eScan, предоставляя вредоносному ПО привилегии системного уровня.
Затем DLL извлекает дополнительные полезные данные из инфраструктуры, обеспечивает постоянство на хосте с помощью запланированных задач, выполняет манипуляции DNS, внедряет шелл-код в процессы, использует виртуализацию кода, сохраняет полезные данные, зашифрованные XOR, в реестре Windows и извлекает PE из PNG-файлов.
Хакеры использовали GuptiMiner для развертывания нескольких вредоносных ПО на скомпрометированных системах, включая два отдельных бэкдора и майнер XMRig Monero.
Первый бэкдор представляет собой расширенную версию Putty Link, развернутую в корпоративных системах для сканирования локальной сети на предмет уязвимых систем и опорных точек на предмет бокового перемещения.
Второй бэкдор представляет собой сложную модульную вредоносную программу, которая сканирует хост на предмет сохраненных личных ключей и криптовалютных кошельков.
Он способен принимать команды для установки дополнительных модулей в реестр, однако Avast не предоставила дополнительных подробностей.
Злоумышленники также во многих случаях отключали XMRig, что может быть попыткой отвлечь внимание от основной линии атаки.
Avast раскрыла использованную уязвимость в eScan, а поставщик антивируса подтвердил и устранена проблему, которая оставалась незамеченной как минимум пять лет. Несмотря на это, в Avast продолжают наблюдать новые заражения GuptiMiner.
Полный список IoC GuptiMiner можно найти на GitHub.
Avast Threat Labs
GuptiMiner: Hijacking Antivirus Updates for Distributing Backdoors and Casual Mining - Avast Threat Labs
Avast discovered and analyzed GuptiMiner, a malware campaign hijacking an eScan antivirus update mechanism to distribute backdoors and coinminers.
Критическая уязвимость максимальной степени серьезности в решении для мониторинга производительности сети Progress Flowmon обрела общедоступный эксплойт и готова к массовой эксплуатации.
Так что полутора тысячам ее клиентам, включая SEGA, KIA, TDK, Volkswagen, Orange, Tietoevry и др., приготовиться.
Проблема отслеживается как CVE-2024-2389 и была обнаружена Rhino Security Labs.
Она позволяет посредством специального запроса API получить удаленный неаутентифицированный доступ к веб-интерфейсу Flowmon для выполнения произвольных системных команд.
Progress Software впервые предупредила об уязвимости 4 апреля, предупредив, что она затрагивает версии продукта v12.x и v11.x.
Клиентам было рекомендовано обновиться до последних версий: v12.3.4 и 11.1.14.
В свою очередь, Rhino Security Labs теперь представила технические подробности уязвимости, а также продемонстрировала, как можно с ее помощью внедрить веб-шелл и повысть привилегии до root.
При этом достичь выполнения произвольных команд им удалось, манипулируя pluginPath или параметрами файла и используя синтаксис подстановки команд, например $(...).
При это команда выполняется вслепую, поэтому невозможно увидеть вывод выполненной команды, но можно записать веб-шелл в /var/www/shtml/.
По сообщению итальянской CSIRT, эксплойт для CVE-2024-2389 стал доступен еще около двух недель назад.
Тем не менее, Progress Software заверяет своих клиентов об отсутствии опасений относительно эксплуатации CVE-2024-2389.
Но будем посмотреть.
Так что полутора тысячам ее клиентам, включая SEGA, KIA, TDK, Volkswagen, Orange, Tietoevry и др., приготовиться.
Проблема отслеживается как CVE-2024-2389 и была обнаружена Rhino Security Labs.
Она позволяет посредством специального запроса API получить удаленный неаутентифицированный доступ к веб-интерфейсу Flowmon для выполнения произвольных системных команд.
Progress Software впервые предупредила об уязвимости 4 апреля, предупредив, что она затрагивает версии продукта v12.x и v11.x.
Клиентам было рекомендовано обновиться до последних версий: v12.3.4 и 11.1.14.
В свою очередь, Rhino Security Labs теперь представила технические подробности уязвимости, а также продемонстрировала, как можно с ее помощью внедрить веб-шелл и повысть привилегии до root.
При этом достичь выполнения произвольных команд им удалось, манипулируя pluginPath или параметрами файла и используя синтаксис подстановки команд, например $(...).
При это команда выполняется вслепую, поэтому невозможно увидеть вывод выполненной команды, но можно записать веб-шелл в /var/www/shtml/.
По сообщению итальянской CSIRT, эксплойт для CVE-2024-2389 стал доступен еще около двух недель назад.
Тем не менее, Progress Software заверяет своих клиентов об отсутствии опасений относительно эксплуатации CVE-2024-2389.
Но будем посмотреть.
Rhino Security Labs
CVE-2024-2389: Command Injection Vulnerability In Progress Flowmon - Rhino Security Labs
CVE-2024-2389 unauthenticated command injection vulnerability found in Progress Flowmon server.
А вот Cisco, напротив, на этой неделе не порадует клиентов хорошими новостями, предупреждая о кампании кибершпионажа, нацеленной на правительственные сети по всему миру, которая получила наименование ArcaneDoor.
По данным APT-группировка UAT4356 реализует атаки как минимум с ноября 2023 года с использованием двух 0-day в межсетевых экранах Adaptive Security Appliance (ASA) и Firepower Threat Defense (FTD).
Несмотря на то, что первоначальный вектор атаки до сих пор неизвестен, исследователям удалось обнаружить и закрыть те самые нули: CVE-2024-20353 (CVSS: 8,6, DoS) и CVE-2024-20359 (CVSS: 6,0, постоянное выполнение локального кода).
Активность хакеров попала в поле зрения в январе 2024 года после обращения к PSIRT неназванного клиента в отношении проблем безопасности в продуктах ASA.
Дальнейшее расследование показало, что эксплойты для атак разрабатывались еще с июля 2023 года.
В качестве компонентов кампании задействовались два бэкдора: Line Runner и Line Dancer, которые использовались совместно для обеспечения персистентности и проведения вредоносных действий, включая изменение конфигурации, разведку, захват и эксфильтрацию сетевого трафика, а также горизонтальное перемещение.
Один из имплантатов, Line Dancer, представляет собой загрузчик шелл-кода в памяти, который помогает доставлять и выполнять произвольные полезные нагрузки для отключения ведения журналов, обеспечения удаленного доступа и фильтрации захваченных пакетов.
Второй имплант, постоянный бэкдор под названием Line Runner, оснащен множеством механизмов уклонения от защиты и обнаружения, позволяя злоумышленникам запускать произвольный код Lua на взломанных системах.
Сетевая телеметрия Cisco позволила задетектить сложную цепочку атак, которая использовалась для внедрения специального вредоносного ПО среди небольшой группы клиентов.
Тем не менее, информация партнеров Cisco указывают на то, что хакеры заинтересованы в проникновении в сетевые устройства Microsoft и других производителей.
Компания в среду выпустила обновления безопасности с исправлением двух нулей и настоятельно рекомендует всем клиентам обновить свои устройства до фиксированного ПО.
Кроме того, администраторам следует отслеживать системные журналы на предмет любых признаков незапланированных перезагрузок, несанкционированных изменений конфигурации или подозрительной активности учетных данных.
В своих рекомендациях Cisco также отразила соответствующие инструкции по проверке целостности устройств ASA или FTD.
По данным APT-группировка UAT4356 реализует атаки как минимум с ноября 2023 года с использованием двух 0-day в межсетевых экранах Adaptive Security Appliance (ASA) и Firepower Threat Defense (FTD).
Несмотря на то, что первоначальный вектор атаки до сих пор неизвестен, исследователям удалось обнаружить и закрыть те самые нули: CVE-2024-20353 (CVSS: 8,6, DoS) и CVE-2024-20359 (CVSS: 6,0, постоянное выполнение локального кода).
Активность хакеров попала в поле зрения в январе 2024 года после обращения к PSIRT неназванного клиента в отношении проблем безопасности в продуктах ASA.
Дальнейшее расследование показало, что эксплойты для атак разрабатывались еще с июля 2023 года.
В качестве компонентов кампании задействовались два бэкдора: Line Runner и Line Dancer, которые использовались совместно для обеспечения персистентности и проведения вредоносных действий, включая изменение конфигурации, разведку, захват и эксфильтрацию сетевого трафика, а также горизонтальное перемещение.
Один из имплантатов, Line Dancer, представляет собой загрузчик шелл-кода в памяти, который помогает доставлять и выполнять произвольные полезные нагрузки для отключения ведения журналов, обеспечения удаленного доступа и фильтрации захваченных пакетов.
Второй имплант, постоянный бэкдор под названием Line Runner, оснащен множеством механизмов уклонения от защиты и обнаружения, позволяя злоумышленникам запускать произвольный код Lua на взломанных системах.
Сетевая телеметрия Cisco позволила задетектить сложную цепочку атак, которая использовалась для внедрения специального вредоносного ПО среди небольшой группы клиентов.
Тем не менее, информация партнеров Cisco указывают на то, что хакеры заинтересованы в проникновении в сетевые устройства Microsoft и других производителей.
Компания в среду выпустила обновления безопасности с исправлением двух нулей и настоятельно рекомендует всем клиентам обновить свои устройства до фиксированного ПО.
Кроме того, администраторам следует отслеживать системные журналы на предмет любых признаков незапланированных перезагрузок, несанкционированных изменений конфигурации или подозрительной активности учетных данных.
В своих рекомендациях Cisco также отразила соответствующие инструкции по проверке целостности устройств ASA или FTD.
Cisco Talos Blog
ArcaneDoor - New espionage-focused campaign found targeting perimeter network devices
ArcaneDoor is a campaign that is the latest example of state-sponsored actors targeting perimeter network devices from multiple vendors. Coveted by these actors, perimeter network devices are the perfect intrusion point for espionage-focused campaigns.
Исследователи Team82 из Claroty раскрыли подробности и разработали PoC для критической уязвимости в продукте продукте SIMATIC Energy Manager (EnMPro) компании Siemens.
CVE-2022-23450 имеет максимальную оценку серьезности CVSS 10.0) и связана с проблемами десериализации.
Она позволяет злоумышленнику без аутентификации удаленно выполнить код и получить полный контроль над сервером EnMPro.
EnMPro - это система энергетического менеджмента для промышленности, функционал которой применяется для управления, планирования и визуализации энергопотребления, а также оценки и сравнения энергоэффективности.
Под капотом EnMPRO служба .NET (называемая BDataWIndowsService), включающая исполняемый файл .NET, который обрабатывает львиную долю всех основных функций сервера EnMPRO, позволяя клиентам (клиентский пользовательский интерфейс DocLiber.exe) подключаться к нему удаленно, используя собственный сетевой протокол TCP/4444.
Проведя реверс-инжиниринг двоичных файлов сервера и изучив дамп сетевых коммуникаций, исследователи заметили потенциальную уязвимость, связанную с использованием небезопасного по своей сути класса BinaryFormatter.
Все дело в том, что BinaryFormatter сериализатор не очищает типы десериализуемых классов, а вместо этого имеет возможность создавать произвольные классы, что и позволило создать вредоносный сериализованный класс, который будет приводить к выполнению произвольного кода всякий раз, когда он будет десериализован.
Учитывая серьезность уязвимости, раскрытие любых технических подробностей Team82 решили отложить до текущего времени, обеспечив временной лаг пользователям для обновления до V7.3 Update 1, включающего исправления для недостатка.
Полный перечень закрытых в обновленной версии продукта уязвимостей с их описанием - в рекомендациях по безопасности Siemens.
CVE-2022-23450 имеет максимальную оценку серьезности CVSS 10.0) и связана с проблемами десериализации.
Она позволяет злоумышленнику без аутентификации удаленно выполнить код и получить полный контроль над сервером EnMPro.
EnMPro - это система энергетического менеджмента для промышленности, функционал которой применяется для управления, планирования и визуализации энергопотребления, а также оценки и сравнения энергоэффективности.
Под капотом EnMPRO служба .NET (называемая BDataWIndowsService), включающая исполняемый файл .NET, который обрабатывает львиную долю всех основных функций сервера EnMPRO, позволяя клиентам (клиентский пользовательский интерфейс DocLiber.exe) подключаться к нему удаленно, используя собственный сетевой протокол TCP/4444.
Проведя реверс-инжиниринг двоичных файлов сервера и изучив дамп сетевых коммуникаций, исследователи заметили потенциальную уязвимость, связанную с использованием небезопасного по своей сути класса BinaryFormatter.
Все дело в том, что BinaryFormatter сериализатор не очищает типы десериализуемых классов, а вместо этого имеет возможность создавать произвольные классы, что и позволило создать вредоносный сериализованный класс, который будет приводить к выполнению произвольного кода всякий раз, когда он будет десериализован.
Учитывая серьезность уязвимости, раскрытие любых технических подробностей Team82 решили отложить до текущего времени, обеспечив временной лаг пользователям для обновления до V7.3 Update 1, включающего исправления для недостатка.
Полный перечень закрытых в обновленной версии продукта уязвимостей с их описанием - в рекомендациях по безопасности Siemens.
Claroty
Exploiting a Classic Deserialization Vulnerability in Siemens SIMATIC Energy Manager
Team82 disclosed to Siemens a deserialization vulnerability found in its SIMATIC Energy Manager (EnMPro) productThe vulnerability, CVE-2022-23450, was assessed a CVSS v3 score of 10.0, the highest criticality score possible; given the severity of the vulnerability…
Исследователи GReAT из Лаборатории Касперского выкатили вторую часть аналитики по резонансному инциденту с бэкдором в XZ Utils.
Основной акцент в исследовании сделан на социоинженерном аспекте атаки с подробным разбором личностей и хронологии активности участников, провернувших настоящую многолетнюю операцию по вытеснению мейнтейнера XZ Utils и троянизации пакета.
Исследователи отмечают, что высококлассные APT-группы проводят весьма продуманные кампании социнженерии для проникновения в хорошо защищенные цели, как в случае с продвижением имплантатов Green Lambert на Ближний Восток.
И, судя по всему, подход к внедрению XZ Utils, скорее всего, также имел тщательно спланированный и долгосрочный характер, правда, был несколько неуклюже реализован.
Конечная цель заключалась в том, чтобы скрытно внедрить бэкдор, нацелившись на процесс сборки XZ Utils.
После чего имплиментировать зашифрованный код в основные дистрибутивы Linux в рамках крупномасштабной атаки на цепочку поставок.
Безусловно, такой подход в социнженерии, возможно, не является чем-то новым, но обращает на себя внимание другое - потрясающе тонкая вставка вредоносного кода в процессе сборки - до этого нечто подобное было замечена в наделавшем шуму инциденте с SolarWinds.
Только на этот раз в процессе сборки участвовал человек, а продолжительный доступ к исходному коду/среде разработки был получен с помощью социнженерии и дополнен взаимодействиями с вымышленными личностями.
Все подробности, откуда нарисовались парни из Сингапура, Индии и Германии в истории с XZ Utils и как удалось провернуть аферу - в отчете на securelist.
Основной акцент в исследовании сделан на социоинженерном аспекте атаки с подробным разбором личностей и хронологии активности участников, провернувших настоящую многолетнюю операцию по вытеснению мейнтейнера XZ Utils и троянизации пакета.
Исследователи отмечают, что высококлассные APT-группы проводят весьма продуманные кампании социнженерии для проникновения в хорошо защищенные цели, как в случае с продвижением имплантатов Green Lambert на Ближний Восток.
И, судя по всему, подход к внедрению XZ Utils, скорее всего, также имел тщательно спланированный и долгосрочный характер, правда, был несколько неуклюже реализован.
Конечная цель заключалась в том, чтобы скрытно внедрить бэкдор, нацелившись на процесс сборки XZ Utils.
После чего имплиментировать зашифрованный код в основные дистрибутивы Linux в рамках крупномасштабной атаки на цепочку поставок.
Безусловно, такой подход в социнженерии, возможно, не является чем-то новым, но обращает на себя внимание другое - потрясающе тонкая вставка вредоносного кода в процессе сборки - до этого нечто подобное было замечена в наделавшем шуму инциденте с SolarWinds.
Только на этот раз в процессе сборки участвовал человек, а продолжительный доступ к исходному коду/среде разработки был получен с помощью социнженерии и дополнен взаимодействиями с вымышленными личностями.
Все подробности, откуда нарисовались парни из Сингапура, Индии и Германии в истории с XZ Utils и как удалось провернуть аферу - в отчете на securelist.
Securelist
Social engineering aspect of the XZ incident
In this article we analyze social engineering aspects of the XZ backdoor incident. Namely pressuring the XZ maintainer to pass on the project to Jia Cheong Tan, and then urging major downstream maintainers to commit the backdoored code to their projects.
Хакерская группа Sea Lotus, также известная как APT32 или OceanLotus, продолжает наводить шороху в Азиатско-Тихоокеанском регионе.
Злоумышленники орудуют с 2012 года и преимущественно проводят таргетированные атаки в отношении госсектора, НИИ, СМИ и промпредприятий Китая и стран Юго-Восточной Азии.
Причём арсенал OceanLotus достаточно широкий и включает вредоносы собственной разработки, инструменты с открытым исходным кодом, а также коммерческие продукты для осуществления своих многочисленных атак.
Как сообщили исследователи Qi Anxin, последние атаки включали использование нового загрузчика на Rust, используемого APT для инъекции троянца Cobalt Strike в оперативную память целевых систем.
Этот загрузчик показал значительные сходства с ранее идентифицированными образцами вредоносного ПО, предположительно, разработанными той же группой.
В частности, отмечена трансформация его структуры для более эффективного сокрытия связей с серверами С2, используя облачные сервисы, такие как Cloudflare, для маскировки настоящих IP-адресов.
Подробный технический анализ этих образцов показал, что они используют многоэтапный шелл-код для расшифровки и выполнения вредоносной нагрузки, содержащей Cobalt Strike.
Qi Anxin акцентировала внимание на возрастании опасности кибератак, поскольку OceanLotus активно использует достаточно изощрённые методы, в том числе шифруя полезную нагрузку и встраивая ее в "хвост" загрузчика, а также используя законные DLL для хранения вредоносного кода в памяти, что затрудняет обнаружение.
Группа также использует водяные знаки Cobalt Strike для запутывания атрибуции атак, но, как заверяют сами исследователи, продукты Qi Anxin поддерживают их обнаружение. Не пробовали, не знаем, но поверим на слово.
Злоумышленники орудуют с 2012 года и преимущественно проводят таргетированные атаки в отношении госсектора, НИИ, СМИ и промпредприятий Китая и стран Юго-Восточной Азии.
Причём арсенал OceanLotus достаточно широкий и включает вредоносы собственной разработки, инструменты с открытым исходным кодом, а также коммерческие продукты для осуществления своих многочисленных атак.
Как сообщили исследователи Qi Anxin, последние атаки включали использование нового загрузчика на Rust, используемого APT для инъекции троянца Cobalt Strike в оперативную память целевых систем.
Этот загрузчик показал значительные сходства с ранее идентифицированными образцами вредоносного ПО, предположительно, разработанными той же группой.
В частности, отмечена трансформация его структуры для более эффективного сокрытия связей с серверами С2, используя облачные сервисы, такие как Cloudflare, для маскировки настоящих IP-адресов.
Подробный технический анализ этих образцов показал, что они используют многоэтапный шелл-код для расшифровки и выполнения вредоносной нагрузки, содержащей Cobalt Strike.
Qi Anxin акцентировала внимание на возрастании опасности кибератак, поскольку OceanLotus активно использует достаточно изощрённые методы, в том числе шифруя полезную нагрузку и встраивая ее в "хвост" загрузчика, а также используя законные DLL для хранения вредоносного кода в памяти, что затрудняет обнаружение.
Группа также использует водяные знаки Cobalt Strike для запутывания атрибуции атак, но, как заверяют сами исследователи, продукты Qi Anxin поддерживают их обнаружение. Не пробовали, не знаем, но поверим на слово.
Weixin Official Accounts Platform
海莲花(APT-Q-31)组织数字武器Rust加载器技术分析
奇安信威胁情报中心观察到海莲花在针对国内某目标的攻击活动中使用了由Rust编写的加载器,内存加载Cobalt Strike木马。开源平台发现了类似的恶意软件,其Rust代码、中间阶段shellcode等方面特征都与该Rust加载器高度重合。
Forwarded from Social Engineering
• Официальный YT-канал пока не опубликовал видео с выступлений, но за то были опубликованы презентации в одном из репозиториев:
• А ещё обязательно посмотрите выступления с предыдущих ивентов, где можно подчеркнуть для себя много нового и полезного:
- Видео Black Hat Europe 2023;
- Видео Black Hat USA 2023;
- Видео Black Hat Asia 2023.
- Видео Black Hat Europe 2022;
- Видео Black Hat USA 2022;
- Видео Black Hat Asia 2022.
- Презентации Black Hat Europe 2023;
- Презентации Black Hat USA 2023;
- Презентации Black Hat Asia 2023.
- Презентации Black Hat Europe 2022;
- Презентации Black Hat USA 2022;
- Презентации Black Hat Asia 2022.
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
Shadowserver сообщает (об очередной атаке на цепочку мудаков), что более 1400 серверов CrushFTP остаются уязвимы для атак (из 5232 открытых в Интернете, по данным Shodan), нацеленных на ошибку внедрения шаблонов на стороне сервера (SSTI) критической серьезности, ранее использовавшуюся в качестве 0-day.
Поставщик описывает CVE-2024-4040 как выход из «песочницы» VFS в своем ПО для управляемой передачи файлов, приводящий к произвольному чтению файлов.
Но на деле же неаутентифицированные злоумышленники могут использовать ее для реализации RCE в непропатченных системах.
В пятницу компания предупредила клиентов о необходимости немедленного обновления, но воз и ныне там.
Тем временем Rapid7 подтвердила серьезность уязвимости, заявив, что она полностью не аутентифицирована и может быть проэксплутирована без особых трудностей.
Успешная эксплуатация позволяет не только читать произвольный файл от имени пользователя root, но также обходить аутентификацию для доступа к учетной записи администратора и полностью удаленно выполнять код.
В свою очередь, CrowdStrike выкатил отчет с раскрытием реальных атак на ряд организации в США с целью кибершпионажа.
Будем следить.
Поставщик описывает CVE-2024-4040 как выход из «песочницы» VFS в своем ПО для управляемой передачи файлов, приводящий к произвольному чтению файлов.
Но на деле же неаутентифицированные злоумышленники могут использовать ее для реализации RCE в непропатченных системах.
В пятницу компания предупредила клиентов о необходимости немедленного обновления, но воз и ныне там.
Тем временем Rapid7 подтвердила серьезность уязвимости, заявив, что она полностью не аутентифицирована и может быть проэксплутирована без особых трудностей.
Успешная эксплуатация позволяет не только читать произвольный файл от имени пользователя root, но также обходить аутентификацию для доступа к учетной записи администратора и полностью удаленно выполнять код.
В свою очередь, CrowdStrike выкатил отчет с раскрытием реальных атак на ряд организации в США с целью кибершпионажа.
Будем следить.
X (formerly Twitter)
Shadowserver (@Shadowserver) on X
We are now sharing CrushFTP CVE-2024-4040 (CrushFTP VFS Sandbox Escape Vulnerability) vulnerable instances. At least 1400 vulnerable on 2024-04-24. CVE-2024-4040 is currently exploited in the wild & on @CISACyber KEV.
Top affected: US, Germany, Canada
…
Top affected: US, Germany, Canada
…
Исследователи из Sekoia расчехлили один из серверов C2, используемый USB-червем PlugX и мониторили его активность в течение шести месяцев, обнаружив более более 2,5 миллионов обращений с уникальных IP-адресов.
Причем с сентября прошлого года сервер ежедневно получает более 90 000 запросов на наличие команд от зараженных хостов из более чем 170 стран.
На 15 из них пришлось более 80% от общего числа заражений: лидеры - Нигерия, Индия, Китай, Иран, Индонезия, Великобритания, Ирак и США.
За время наблюдения исследователям удалось проанализировать трафик, выявить заражения и предотвратить злонамеренную активность.
Для того, чтобы провернуть столь мощную операцию Sekoia была вынуждена потратиться всего на 7 долларов, которые ушли на приобретение IP-адреса 45.142.166[.]112, соответствующего серверу С2, который к тому времени уже вышел из оборота хакеров.
IP ранее в марте 2023 года упоминался в отчете Sophos в отношении новой версии PlugX. Тогда вредоносная программа уже получила возможность самораспространения через USB-устройства.
После того, как Seqoia перехватила контроль над адресом исследователи получили доступ к оболочке сервера, используя IP.
После чего настроили простой веб-сервер, имитирующий поведение исходного C2 и смогли перехватывать HTTP-запросы от зараженных хостов.
Безусловно, пришлось потрудиться и определиться со стратегиями противодействию угрозе, передав соответствующие инструкции национальным CERT во избежание юридических сложностей с отправкой команд удаленного удаления на зараженные хосты.
Как полагают в Seqoia, ботнет, созданный с использованием скрытой версии PlugX, можно считать мертвым, поскольку операторы вредоносного ПО утратили контроль над ситуацией.
Правда, это не относится к инфицированным изолированным сетям и носителям.
Причем с сентября прошлого года сервер ежедневно получает более 90 000 запросов на наличие команд от зараженных хостов из более чем 170 стран.
На 15 из них пришлось более 80% от общего числа заражений: лидеры - Нигерия, Индия, Китай, Иран, Индонезия, Великобритания, Ирак и США.
За время наблюдения исследователям удалось проанализировать трафик, выявить заражения и предотвратить злонамеренную активность.
Для того, чтобы провернуть столь мощную операцию Sekoia была вынуждена потратиться всего на 7 долларов, которые ушли на приобретение IP-адреса 45.142.166[.]112, соответствующего серверу С2, который к тому времени уже вышел из оборота хакеров.
IP ранее в марте 2023 года упоминался в отчете Sophos в отношении новой версии PlugX. Тогда вредоносная программа уже получила возможность самораспространения через USB-устройства.
После того, как Seqoia перехватила контроль над адресом исследователи получили доступ к оболочке сервера, используя IP.
После чего настроили простой веб-сервер, имитирующий поведение исходного C2 и смогли перехватывать HTTP-запросы от зараженных хостов.
Безусловно, пришлось потрудиться и определиться со стратегиями противодействию угрозе, передав соответствующие инструкции национальным CERT во избежание юридических сложностей с отправкой команд удаленного удаления на зараженные хосты.
Как полагают в Seqoia, ботнет, созданный с использованием скрытой версии PlugX, можно считать мертвым, поскольку операторы вредоносного ПО утратили контроль над ситуацией.
Правда, это не относится к инфицированным изолированным сетям и носителям.
Sekoia.io Blog
Unplugging PlugX: Sinkholing the PlugX USB worm botnet
Learn about our process for collecting telemetry data from PlugX worm-infected workstations, as well as how to disinfect them.
Dragos выкатила неплохой отчет по вымогателям за первый квартал 2024 года, называя ransomware самой серьезной угрозой для промышленных организаций по всему миру.
Из изменений на ландшафте отметили значительные успехи реализованных спецслужбами операций в отношении инфраструктуры ряда групп (прежде всего, Lockbit), и рокировки среди самих банд (Alphv/Blackcat), приведших к некоторой дезорганизации их операторов.
Однако произошедшие события имели обратный эффект в части ужесточения бандами своей тактики вымогательства по отношению к жертвам и концентрации на более чувствительных секторах, включая здравоохранение, дабы максимализировать ущерб/прибыль на фоне снижения выплат по выкупам.
Технические возможности групп вымогателей подчеркивают их гибкость и изощренность в использовании уязвимостей, особенно в общедоступных приложениях, как в случае с ConnectWise ScreenConnect с BlackBasta и Lockbit и Qlik Sense с CACTUS.
Замечена стратегическая нацеленность на использованию брпешей в широко используемых платформах и оперативность в эксплуатации новых проблем: 24 часа понадобилось Cactus для препарирования уязвимого Ivanti ICS VPN.
По цифрам наблюдается некоторое снижение активности программ-вымогателей, нацеленных на промышленный сектор (количество инцидентов сократилось с 204 до 169).
Зато набрали по атакам на сектор здравоохранения. Причем банды координировали операторов по части таргета для общего нацеливанная на конкретные сектора.
Положительной тенденцией отмечено отсутствие серьезных операционных сбоев, вызванных программами-вымогателями.
Но несмотря на это, Dragos прогнозируют потенциальное смещение акцента групп вымогателей на критически важные процессы и среды ОТ, чтобы значительно усилить воздействие своих атак и активнее склонять жертв к выполнению требований выкупа.
Последствия таких атак выходят за рамки потери данных и финансового ущерба, непосредственно угрожая основной операционной целостности организаций.
Статистика по отраслям, географии и актуальной конъюнктуре банд - детально отражена отчете.
Из изменений на ландшафте отметили значительные успехи реализованных спецслужбами операций в отношении инфраструктуры ряда групп (прежде всего, Lockbit), и рокировки среди самих банд (Alphv/Blackcat), приведших к некоторой дезорганизации их операторов.
Однако произошедшие события имели обратный эффект в части ужесточения бандами своей тактики вымогательства по отношению к жертвам и концентрации на более чувствительных секторах, включая здравоохранение, дабы максимализировать ущерб/прибыль на фоне снижения выплат по выкупам.
Технические возможности групп вымогателей подчеркивают их гибкость и изощренность в использовании уязвимостей, особенно в общедоступных приложениях, как в случае с ConnectWise ScreenConnect с BlackBasta и Lockbit и Qlik Sense с CACTUS.
Замечена стратегическая нацеленность на использованию брпешей в широко используемых платформах и оперативность в эксплуатации новых проблем: 24 часа понадобилось Cactus для препарирования уязвимого Ivanti ICS VPN.
По цифрам наблюдается некоторое снижение активности программ-вымогателей, нацеленных на промышленный сектор (количество инцидентов сократилось с 204 до 169).
Зато набрали по атакам на сектор здравоохранения. Причем банды координировали операторов по части таргета для общего нацеливанная на конкретные сектора.
Положительной тенденцией отмечено отсутствие серьезных операционных сбоев, вызванных программами-вымогателями.
Но несмотря на это, Dragos прогнозируют потенциальное смещение акцента групп вымогателей на критически важные процессы и среды ОТ, чтобы значительно усилить воздействие своих атак и активнее склонять жертв к выполнению требований выкупа.
Последствия таких атак выходят за рамки потери данных и финансового ущерба, непосредственно угрожая основной операционной целостности организаций.
Статистика по отраслям, географии и актуальной конъюнктуре банд - детально отражена отчете.
Dragos | Industrial (ICS/OT) Cyber Security
Dragos Industrial Ransomware Analysis: Q1 2024 | Dragos
The Dragos Ransomware Analysis for Q1 2024 evaluated variants used against industrial organizations worldwide. Learn more about our assessments and findings.
Forwarded from Russian OSINT
🔺За минувший год количество инцидентов в сфере информационной безопасности в России выросло более чем на 60%.
🔺Фишинговых атак и скам-ссылок стало больше в пять раз.
https://iz.ru/1687824/valentina-averianova/virtualnyi-shtorm-kak-izmenilis-kiberataki-na-rossiiskuiu-infrastrukturu
Please open Telegram to view this post
VIEW IN TELEGRAM
Известия
Виртуальный шторм: как изменились кибератаки на российскую инфраструктуру
Число инцидентов в сфере ИБ выросло на 60%
Используешь Brocade SANnav до 2.3.0 - ошибка, упустил последние обновления - фатальная ошибка.
По словам независимого исследователя Пьера Барре, более 18 уязвимостей затрагивают все версии приложения управления сетью хранения данных Brocade SANnav до 2.3.0 включительно.
Причем несколько из них опасности могут быть использованы для полной компрометации уязвимых устройств.
В основной массе выявленные проблемы охватывают от небезопасного root-доступа, неправильных правил брандмауэра и настроек Docker до отсутствия аутентификации и шифрования, что позволяет злоумышленнику перехватывать учетные данные, перезаписывать произвольные файлы и полностью взломать устройство.
Среди наиболее серьезных недостатков:
- CVE-2024-2859 (CVSS: 8,8): позволяет неаутентифицированному удаленному злоумышленнику войти на уязвимое устройство с использованием учетной записи root и выполнить произвольные команды.
- CVE-2024-29960 (CVSS: 7,5): обусловлена использованием жестко запрограммированных ключей SSH в образе OVA, которые могут быть использованы злоумышленником для расшифровки SSH-трафика к устройству SANnav и его компрометации.
- CVE-2024-29961 (CVSS: 8,2): позволяет неаутентифицированному удаленному злоумышленнику провести атаку на цепочку поставок, воспользовавшись тем, что служба SANnav отправляет команды ping в фоновом режиме через определенные промежутки времени в домены Gridgain[.]com и ignite.apache[.]org для проверки обновлений.
- CVE-2024-29963 (CVSS: 8,6): использование жестко закодированных ключей Docker в SANnav OVA для доступа к удаленным реестрам через TLS, что позволяет злоумышленнику выполнить AitM-атаку.
- CVE-2024-29966 (CVSS: 7,5): наличие жестко запрограммированных учетных данных для пользователей root в общедоступной документации, которые могут предоставить неаутентифицированному злоумышленнику полный доступ к устройству Brocade SANnav.
После раскрытия в августе 2022 года и мае 2023 года все проблемы были устранены с выходом версии SANnav 2.3.1 от декабря 2023 года.
Помимо этого Brocade Broadcom, которой принадлежат Symantec и VMware, опубликовала рекомендации по устранению недостатков.
В свою очередь, Hewlett Packard Enterprise также выпустила исправления для некоторых уязвимостей в HPE SANnav Management Portal версий 2.3.0a и 2.3.1.
По словам независимого исследователя Пьера Барре, более 18 уязвимостей затрагивают все версии приложения управления сетью хранения данных Brocade SANnav до 2.3.0 включительно.
Причем несколько из них опасности могут быть использованы для полной компрометации уязвимых устройств.
В основной массе выявленные проблемы охватывают от небезопасного root-доступа, неправильных правил брандмауэра и настроек Docker до отсутствия аутентификации и шифрования, что позволяет злоумышленнику перехватывать учетные данные, перезаписывать произвольные файлы и полностью взломать устройство.
Среди наиболее серьезных недостатков:
- CVE-2024-2859 (CVSS: 8,8): позволяет неаутентифицированному удаленному злоумышленнику войти на уязвимое устройство с использованием учетной записи root и выполнить произвольные команды.
- CVE-2024-29960 (CVSS: 7,5): обусловлена использованием жестко запрограммированных ключей SSH в образе OVA, которые могут быть использованы злоумышленником для расшифровки SSH-трафика к устройству SANnav и его компрометации.
- CVE-2024-29961 (CVSS: 8,2): позволяет неаутентифицированному удаленному злоумышленнику провести атаку на цепочку поставок, воспользовавшись тем, что служба SANnav отправляет команды ping в фоновом режиме через определенные промежутки времени в домены Gridgain[.]com и ignite.apache[.]org для проверки обновлений.
- CVE-2024-29963 (CVSS: 8,6): использование жестко закодированных ключей Docker в SANnav OVA для доступа к удаленным реестрам через TLS, что позволяет злоумышленнику выполнить AitM-атаку.
- CVE-2024-29966 (CVSS: 7,5): наличие жестко запрограммированных учетных данных для пользователей root в общедоступной документации, которые могут предоставить неаутентифицированному злоумышленнику полный доступ к устройству Brocade SANnav.
После раскрытия в августе 2022 года и мае 2023 года все проблемы были устранены с выходом версии SANnav 2.3.1 от декабря 2023 года.
Помимо этого Brocade Broadcom, которой принадлежат Symantec и VMware, опубликовала рекомендации по устранению недостатков.
В свою очередь, Hewlett Packard Enterprise также выпустила исправления для некоторых уязвимостей в HPE SANnav Management Portal версий 2.3.0a и 2.3.1.
WPScan предупреждает о начале активной эксплуатации ошибки плагина WP-Automatic для создания подконтрольных учетных записей администратора и захвата уязвимых сайтов WordPress.
Применяемая при этом CVE-2024-27956 связана с SQL-инъекцией (SQLi) и имеет оценку CVSS 9,9 из максимальных 10, затрагивая все версии до 3.9.2.0.
Злоумышленники могут использовать ее для получения несанкционированного доступа к веб-сайтам, создания учетных записей пользователей с правами админа, загрузки вредоносных файлов и потенциально получения полного контроля над затронутыми сайтами.
Проблема кроется в механизме аутентификации пользователей плагина, который можно тривиально обойти, выполняя произвольные SQL-запросы к базе данных с помощью специально созданных запросов.
В наблюдаемых к настоящему времени атаках CVE-2024-27956 используется для реализации запросов к базе данных и создания новых админских учеток на уязвимых сайтах WordPress, которые затем можно задействовать для установки плагинов загрузки файлов или модификации кода.
После взлома сайта WordPress злоумышленники обеспечивают персистентность, создавая бэкдоры и запутывая код.
При этом чтобы избежать обнаружения, злоумышленники переименовавают уязвимый файл WP‑Automatic (с /wp‑content/plugins/wp‑automatic/inc/csv.php на wp‑content/plugins/wp‑automatic/inc/csv65f82ab408b3.php), в том числе для блокировки атак со стороны других коллег.
Недостаток был публично раскрыт Patchstack 13 марта 2024 года.
С тех пор было обнаружено более 5,5 миллионов попыток атак с целью использования этой уязвимости.
Применяемая при этом CVE-2024-27956 связана с SQL-инъекцией (SQLi) и имеет оценку CVSS 9,9 из максимальных 10, затрагивая все версии до 3.9.2.0.
Злоумышленники могут использовать ее для получения несанкционированного доступа к веб-сайтам, создания учетных записей пользователей с правами админа, загрузки вредоносных файлов и потенциально получения полного контроля над затронутыми сайтами.
Проблема кроется в механизме аутентификации пользователей плагина, который можно тривиально обойти, выполняя произвольные SQL-запросы к базе данных с помощью специально созданных запросов.
В наблюдаемых к настоящему времени атаках CVE-2024-27956 используется для реализации запросов к базе данных и создания новых админских учеток на уязвимых сайтах WordPress, которые затем можно задействовать для установки плагинов загрузки файлов или модификации кода.
После взлома сайта WordPress злоумышленники обеспечивают персистентность, создавая бэкдоры и запутывая код.
При этом чтобы избежать обнаружения, злоумышленники переименовавают уязвимый файл WP‑Automatic (с /wp‑content/plugins/wp‑automatic/inc/csv.php на wp‑content/plugins/wp‑automatic/inc/csv65f82ab408b3.php), в том числе для блокировки атак со стороны других коллег.
Недостаток был публично раскрыт Patchstack 13 марта 2024 года.
С тех пор было обнаружено более 5,5 миллионов попыток атак с целью использования этой уязвимости.
WPScan
New Malware Campaign Targets WP-Automatic Plugin
A few weeks ago a critical vulnerability was discovered in the plugin WP-Automatic. This vulnerability, a SQL injection (SQLi) flaw, poses a severe threat as attackers can exploit it to gain unauth…
Индийская Seqrite Labs констатирует усиление атак на правительственный сектор и оборонные предприятия, в том числе обусловленных существенной активизацией связанных с Пакистаном APT.
Одна из таких групп, констатирует уза последние несколько недель развернула широко используемую RAT AllaKore в трех отдельных кампаниях, причем в каждой кампании одновременно было развернуто по две таких RAT.
Вообще же в ее арсенал также входят Ares RAT, Action RAT, AllaKore RAT, Reverse RAT, Margulas RAT и др.
В тоже время вышестоящая над ней APT Transparent Tribe (APT36) с таким же устойчивым таргетингом продолжила задействовать Crimson RAT, но в закодированном исполнении.
В целом имеет схожий код и постоянно обновляет свой арсенал вредоносного ПО для Linux. Действуя с 2013 года, постоянно использовала в своих кампаниях такие полезные нагрузки, как Crimson RAT, Capra RAT, Eliza RAT и Oblique RAT.
Основываясь на их инфраструктуре C2, Seqrite смогли профилировать обе APT, еще раз продемонстрировав связь между ними, также подробно изложив технические тонкости новых кампаний в контексте атрибуции и корреляции с ранее задокументированными цепочками атак.
Одна из таких групп, констатирует уза последние несколько недель развернула широко используемую RAT AllaKore в трех отдельных кампаниях, причем в каждой кампании одновременно было развернуто по две таких RAT.
Вообще же в ее арсенал также входят Ares RAT, Action RAT, AllaKore RAT, Reverse RAT, Margulas RAT и др.
В тоже время вышестоящая над ней APT Transparent Tribe (APT36) с таким же устойчивым таргетингом продолжила задействовать Crimson RAT, но в закодированном исполнении.
В целом имеет схожий код и постоянно обновляет свой арсенал вредоносного ПО для Linux. Действуя с 2013 года, постоянно использовала в своих кампаниях такие полезные нагрузки, как Crimson RAT, Capra RAT, Eliza RAT и Oblique RAT.
Основываясь на их инфраструктуре C2, Seqrite смогли профилировать обе APT, еще раз продемонстрировав связь между ними, также подробно изложив технические тонкости новых кампаний в контексте атрибуции и корреляции с ранее задокументированными цепочками атак.
Blogs on Information Technology, Network & Cybersecurity | Seqrite
Pakistani APTs Escalate Attacks on Indian Gov. Seqrite Labs Unveils Threats and Connections
<p>In the recent past, cyberattacks on Indian government entities by Pakistan-linked APTs have gained significant momentum. Seqrite Labs APT team has discovered multiple such campaigns during telemetry analysis and hunting in the wild. One such threat group…
HTML Embed Code: