Информационная безопасность

Представители киберподполья анонсировали обнаружение 0-day в решении F5 BIG-IP и реализуют RCE-эксплойт по цене в 100 000 долларов США, которые намерены продать единственному покупателю через гаранта и в расчетах Monero. Все признаки указывают на то, что предложение более чем реально, а у поставщика есть уникальная возможность стать тем самым счастливчиком-обладателем эксплойта. Так что будем посмотреть.

Исследователи F.A.C.C.T. сообщают, что АРТ XDSpy снова в деле и на этот раз нацелена на российских металлургов и отечественный ВПК. Новые вредоносные рассылки были обнаружены 21-22 ноября и адресовались одному из российских металлургических предприятий, а также НИИ, специализирующийся на разработке боевых ракет. В обоих случаях в подписи красуется логотип "ядерного" НИИ, а в качестве отправителя указана электронная почта логистической компании из Калининграда. Металлургам же писали якобы коллеги из Белоруссии. Киллчейн новой ноябрьской кампании соответствует ранее описанным атакам XDSpy, которые мы также отслеживали ранее, а со свежими индикаторами компрометации можно ознакомиться в блоге (https:/...4/) исследователей F.A.C.C.T. При этом виктимология XDSpy также соотносится с предыдущими целями из числа военных, финансовых учреждений, энергетических, исследовательских и добывающих компании в РФ. Несмотря на то, что АРТ активна с 2011 года, но до сих пор международные исследователи не знают, в интересах какой страны она работает. Мы же остаемся верны своему мнению (https:/...4), (https:/...04) полагая, что XDSpy работает под патронажем одной из спецслужб разведсообщества Five Eyes.

А DLS банды вымогателей Rhysida пополнился достаточно серьезным мировым тяжеловесом - зарансомилась China Energy Engineering Corporation. CEEC — одна из ведущих госкомпаний Китая в энергетическом и инфраструктурном секторах с оборотом более 42 млрд. долл., которая участвует в разработке широкого спектра проектов в угольной, гидроэнергетической, атомной и возобновляемой энергетике по всему миру. Хакеры утверждают, что им удалось выкрасть значительную часть весьма «впечатляющих» данных, которые будут проданы на аукционе за 50 BTC единственному покупателю по истечение семи дней, если не поступит выкуп. Как известно, коллектив Rhysida действует с мая 2023 года и насчитывает как минимум 62 жертвы. В своей работе операторы воздействуют преимущественно на «цели возможностей», ориентируясь на крупные компании в сфере образования, здравоохранения, производства, IT и госсектора. Почерк вымогателей в некоторой степени имеет сходство с деятельностью Vice Society (DEV-0832). Злоумышленники, как правило, используют внешние удаленные службы (например, VPN, RDP) для получения первоначального доступа к целевой сети и обеспечения устойчивости, а для выполнения вредоносных операций полагаются на современные методы, включая встроенные в ОС инструменты сетевого администрирования. Учитывая, благосклонность китайского бизнеса к переговорам с вымогателями и выплатам отступных, как в случае с ICBC, появление новой крупной рыбки из Поднебесной в сетях ransomware удивления не вызывает, особенно на фоне западных инициатив по вводу жестких ограничений на выплаты хакерам.

Исследователи F.A.C.C.T. зафиксировал (https:/...0/) новую кампанию с использованием трояна DarkWatchman RAT, связанную с атаками на российские компании под видом почтовой рассылки от курьерской службы доставки Pony Express. В списке замечено 30 адресатов из числа банковских учреждений, маркетплейсов, операторов связи, предприятий АПК и ТЭК, логистических и IT-компаний. В отправляемых сообщениях адресата информируют об окончании срока бесплатного хранения товара, а прилагаемый архив с накладной содержит вредоносный DarkWatchman RAT. Письма счастья рассылаются с домена ponyexpress[.]site, который ранее уже использовался для фишинга. Причем указанный в письме многоканальный телефон, действительно, принадлежит курьерской службе Pony Express. Впрочем, ничего нового, ранее операторы DarkWatchman RAT распространяли малварь под видом архива с результатами фейкового тендера от Минобороны РФ, липовых повесток от военкомата, а также через поддложный сайт российского разработчика в сфере криптографии.

Google выпускает экстренное обновление для исправления шестой в этом году 0-day в Chrome, которая активно эксплуатируется в реальных атаках. Компания сообщила (https:/...ml) о существовании рабочего эксплойта для новой CVE-2023-6345, которая связана с проблемой целочисленного переполнения в 2D-графической библиотеке Skia с открытым исходным кодом, вызывая различные последствия от DoS до RCE. Об ошибке сообщили в прошлую пятницу исследователи из Google TAG, которые последнее время специализируются на недостатках, задействованных в spyware и деятельности АРТ. Google не разглашает каких-либо подробностей относительно уязвимости и его обстоятельств ее применения, дожидаясь полного развертывания обновлений, доступных в версиях для Windows (119.0.6045.199/.200), а также для Mac и Linux (119.0.6045.199).