Информационная безопасность IT

Источник

Исследователи кибербезопасности Компании Positive Tehnologies раскрыли серию атак злоумышленников.

Предполагается что атаки были китайского происхождения, нацеленные на организации в России и Гонконге с помощью вредоносных программ, включая ранее недокументированный бэкдор.

Авторство хакерской атаки приписывается Winnti (или APT41)

Positive Technologies датировала первую атаку 12 мая 2020 года, когда APT использовал ярлыки LNK для загрузки и запуска вредоносного ПО.

Во второй атаке, обнаруженной 30 мая, использовался вредоносный архивный файл RAR, состоящий из двух ярлыков PDF-документов, которые, как утверждается, были резюме и сертификатом IELTS.

Сами ярлыки содержали ссылки на страницы, размещенные на Zeplin, легитимном сервисе совместной работы для дизайнеров и разработчиков, который являлся промежуточным звеном для получения вредоносного ПО, которое, в свою очередь, включает загрузчик шелл-кода («svchast.exe») и бэкдор под названием Crosswalk. («3t54dE3r.tmp»).

Crosswalk, впервые задокументированный FireEye в 2017 году, представляет собой простой модульный бэкдор, способный проводить разведку системы и получать дополнительные модули с сервера, управляемого злоумышленником, в виде шелл-кода.

Хотя этот метод действий имеет сходство с корейской группировкой Higaisa, которая, как было обнаружено, использовала файлы LNK, прикрепленные к электронному письму, для запуска атак на ничего не подозревающих жертв в 2020 году. Исследователи заявили, что использование Crosswalk предполагает участие Winnti.

Это также подтверждается тем фактом, что сетевая инфраструктура образцов пересекается с ранее известной инфраструктурой APT41, причем некоторые из доменов прослеживаются до атак Winnti на индустрию онлайн-видеоигр в 2013 году.

Новая волна атак не исключение. Примечательно, что в число целей входит Battlestate Games, разработчик игр на Unity3D из Санкт-Петербурга.

Кроме того, исследователи обнаружили дополнительные образцы атак в виде файлов RAR, которые содержали Cobalt Strike Beacon в качестве полезной нагрузки, при этом хакеры в одном случае ссылались на протесты США, связанные со смертью Джорджа Флойда в прошлом году, как на приманку.

В другом случае взломанные сертификаты, принадлежащие тайваньской компании Zealot Digital, были использованы для нанесения ударов по организациям в Гонконге с помощью инжекторов Crosswalk и Metasploit, а также ShadowPad , Paranoid PlugX и нового бэкдора .NET под названием FunnySwitch.

Бэкдор, который, похоже, все еще находится в стадии разработки, способен собирать системную информацию и запускать произвольный код JScript. Он также имеет ряд общих черт с Crosswalk, что заставляет исследователей полагать, что они были написаны одними и теми же разработчиками.

Ранее Paranoid PlugX был связан с атаками на компании индустрии видеоигр в 2017 году. Таким образом, развертывание вредоносного ПО через сетевую инфраструктуру Winnti правдоподобности версии «совместной работы» между двумя группами.

«Winnti продолжает преследовать разработчиков и издателей игр в России и других странах», — заключили исследователи. «Небольшие студии, как правило, пренебрегают информационной безопасностью, что делает их заманчивой целью. Атаки на разработчиков программного обеспечения особенно опасны из-за того риска, который они представляют для конечных пользователей, как это уже произошло в известных случаях CCleaner и ASUS».

Источник

Источник

Уязвимость появилась в версии Windows 10 (сборка 1803) и продолжает существовать в последней версии.

Уязвимость в Microsoft Windows 10 позволяет злоумышленникам повредить жесткий диск, отформатированный под NTFS, с помощью однострочной команды. Однострочный файл может быть скрыт внутри ярлыка Windows, ZIP-архива, пакетных файлов или различных других векторов, чтобы вызвать ошибки в работе жесткого диска, мгновенно повреждающие индекс файловой системы.

Исследователь информационной безопасности, использующий псевдоним Jonas L, обратил внимание на неисправленную уязвимость в NTFS, затрагивающую Windows 10. По словам эксперта, уязвимость появилась в версии Windows 10 (сборка 1803) и продолжает существовать в последней версии. Кроме того, эксплуатацию проблемы может осуществить обычный пользователь с низкими привилегиями на системах Windows 10.

Диск может быть поврежден, даже если просто попытаться получить доступ к атрибуту NTFS «$i30» в папке определенным образом. Атрибут индекса Windows NTFS (строка «$i30») связан с каталогами и содержит список файлов и подпапок каталога. В некоторых случаях индекс NTFS может также включать удаленные файлы и папки, что удобно при проведении реагирования на инциденты или криминалистической экспертизы.

Остается неизвестным, почему доступ к этому атрибуту повреждает диск, однако ключ реестра, который помог бы диагностировать проблему, не работает.

После запуска команды в командной строке Windows 10 и нажатия Enter пользователь увидит сообщение об ошибке «Файл или каталог повреждены и нечитаемы». Windows 10 немедленно начнет отображать уведомления, предлагающие пользователю перезагрузить компьютер и восстановить поврежденный том диска. При перезагрузке запускается служебная программа проверки диска Windows и начинает восстановление жесткого диска.

После того, как диски будут повреждены, Windows 10 будет генерировать ошибки в журнале событий, указывающие, что главная таблица файлов (MFT) для конкретного диска содержит поврежденную запись.

Эксперт также отметил, что созданный файл ярлыка Windows (.url) с расположением значка, установленным на «C: \: $ i30: $ bitmap» проэксплуатирует уязвимость, даже если пользователь никогда не открывал файл. Как только этот файл ярлыка загружается на ПК с Windows 10 и пользователь просматривает папку, в которой он находится, проводник Windows попытается отобразить значок файла. Для этого проводник Windows будет пытаться получить доступ к созданному пути значка внутри файла в фоновом режиме, тем самым повреждая жесткий диск NTFS в процессе.

Источник

Источник

С помощью техники, замаскированной с использованием дополнительного слоя шифрования, TikTok обходил механизмы безопасности в Android.

Продолжающиеся споры вокруг TikTok обострились в четверг, 14 января, когда сервис обвинили в слежке за миллионами пользователей Android-устройств с использованием техники, запрещенной компанией Google.

Как сообщает газета Wall Street Journal, с помощью техники, замаскированной с использованием необычного дополнительного слоя шифрования, TikTok обходил реализованные в Android механизмы безопасности и собирал уникальные идентификаторы миллионов устройств, позволяющие сервису отслеживать пользователей online, не давая им никакого права выбора. По данным издания, в течение 15 месяцев TikTok эксплуатировал «лазейку» в мобильной ОС для сбора MAC-адресов и прекратил эту практику в ноябре 2020 года.

При установке и первого открытия приложения на устройстве TikTok отправлял MAC-адрес вместе с другими данными об устройстве своей родительской компании ByteDance.

Согласно Закону США о защите конфиденциальности детей в интернете (Children’s Online Privacy Protection Act, COPPA), MAC-адреса являются персонально идентифицируемой информацией. Они представляют собой уникальные идентификаторы, присутствующие во всех подключаемых к интернету смартфонах, в том числе в Android- и iOS-устройствах. MAC-адреса могут использоваться как для таргетированной рекламы, так и для отслеживания пользователей и составления их досье.

Как сообщили представители сервиса в комментарии изданию Wall Street Journal, «текущая версия TikTok не собирает MAC-адреса».

Apple iOS блокирует сторонним сервисам возможность читать MAC-адреса в рамках функции безопасности, добавленной в 2013 году, но в Android она по-прежнему присутствует. Уязвимость была обнаружена исследователем безопасности по фамилии Риардон, который уведомил о ней Google в июне 2020 года. По словам исследователя, он был очень удивлен, что уязвимость до сих пор присутствует в последних версиях Android. В ответ на уведомление Риардона Google сообщила, что у нее уже есть отчет об этой уязвимости.

Источник