Zacz\u0119\u0142o si\u0119 od niewinnego maila\u2026 Wiele czarnych scenariuszy inicjuje w\u0142a\u015bnie klikni\u0119cie w za\u0142\u0105cznik przes\u0142any mailem\u2026 kt\u00f3ry wydawa\u0142 si\u0119 by\u0107 w porz\u0105dku. W tym zestawieniu ostrzegamy was przed kampani\u0105, w kt\u00f3rej przest\u0119pcy podszywaj\u0105 si\u0119 pod pracownik\u00f3w dzia\u0142u HR. Dodatkowo: Google pozby\u0142 si\u0119 49 rozszerze\u0144 dla Chrome, Microsoft Patch Tuesday z 113 \u0142atkami, mi\u0119dzynarodowy koncern energetyczny pad\u0142 ofiar\u0105 ransomware. Publikujemy tak\u017ce najnowsze ustalenia nt. xHelper. Wygl\u0105da na to, \u017ce jego ofiary b\u0119d\u0105 mog\u0142y odetchn\u0105\u0107 z ulg\u0105. Na koniec AgentTesla otrzyma\u0142 nowy modu\u0142, kt\u00f3ry umo\u017cliwia kradzie\u017c hase\u0142 WiFi. <\/p>\n\n\n\n\n\n\n\n
W najnowszej kampanii grupa Hive0065 podszywa si\u0119 pod specjalist\u00f3w z dzia\u0142u HR i wysy\u0142a do pracownik\u00f3w maile z niebezpiecznym za\u0142\u0105cznikiem o nazwie Resume.doc (Podanie.doc).<\/p>\n\n\n\n
Elegancki szablon, sk\u0142adny j\u0119zykowo komunikat i przekonuj\u0105ca tre\u015b\u0107. Powiedzmy sobie szczerze\u2026 ile os\u00f3b bez najmniejszego wahania pobierze dokument otrzymany od w\u0142asnego dzia\u0142u HR? Pracujemy na r\u00f3\u017cnego typu systemach i aplikacjach – dlaczego w przypadku dzia\u0142u Human Resources mia\u0142oby by\u0107 inaczej? I chocia\u017c ten artyku\u0142 nie b\u0119dzie skupia\u0107 si\u0119 na potrzebie prowadzenia ci\u0105g\u0142ej edukacji pracownik\u00f3w – jest to klucz do skutecznego opierania si\u0119 atakom cybernetycznym.<\/p>\n\n\n\n
Tymczasem (prawie) niezauwa\u017cenie\u2026<\/strong> Wiadomo\u015b\u0107 mail kieruje ofiar\u0119 na z\u0142o\u015bliw\u0105 domen\u0119. Po kilkukrotnym przekierowania trafia ona na adres hxxps:\/\/dl1.sync-share[.]com?Or2at. W ci\u0105gu nast\u0119pnych kilku sekund na maszynie jest tworzony dokument o nazwie main_template.docx. Z ka\u017cdym nowym otwarciem, w tle uruchomi\u0105 si\u0119 makra. Te z kolei wy\u015bwietl\u0105 nieprawdziwe okno logowania Microsoft Office. Je\u015bli u\u017cytkownik wprowadzi prawid\u0142owe has\u0142o, okno zniknie. Has\u0142o zostanie za\u015b zapisane jako plik Password.txt, kt\u00f3ry po chwili zostaje usuni\u0119ty. Word Resume.doc mo\u017ce by\u0107 tak\u017ce opatrzony komunikatem \u201eTen dokument jest chroniony\u201d, kt\u00f3rego zamkni\u0119cie inicjuje z\u0142o\u015bliwe makra. <\/p>\n\n\n\n Fina\u0142.<\/strong> Atak ko\u0144czy wpuszczenie na infrastruktur\u0119 SDBbot, kt\u00f3re jak wi\u0119kszo\u015b\u0107 zagro\u017ce\u0144 typu Remote-access Trojan, umo\u017cliwia komunikacj\u0119 z serwerami C&C, przechwytywanie polece\u0144 oraz zbieranie informacji o systemie. Przest\u0119pcy mog\u0105 r\u00f3wnie\u017c wykorzysta\u0107 malware do zainstalowania dodatkowych payloads, zdalnej kontroli nad systemem oraz wykonywania operacji, na kt\u00f3re u\u017cytkownik posiada stosowne uprawnienia. RATs nale\u017c\u0105 do jednych z najbardziej popularnych narz\u0119dzi wykorzystywanych w atakach ukierunkowanych. Dzi\u0119ki nim utrzymanie zdalnej kontroli nad przej\u0119tym systemem, a potem firmow\u0105 infrastruktur\u0105 jest znacznie prostsze. I cho\u0107by z uwagi na to \u2013 zostan\u0105 z nami na d\u0142u\u017cej. <\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Usuni\u0119te rozszerzenia udawa\u0142y legalne aplikacje takie jak Ledger, Trezor, Jaxx, Electrum, MyEtherWallet, MetaMask, Exodus, czy KeepKey.<\/p>\n\n\n\n Wiele wskazuje na to, \u017ce za oszustwem stoi jedna grupa przest\u0119pcza. Wszystkie aplikacje zawiera\u0142y ten sam kod \u2013 r\u00f3\u017cni\u0142y si\u0119 wy\u0142\u0105cznie brandingiem. Dane podane na etapie konfiguracji trafi\u0142y na serwery command&control. Na ten moment uda\u0142o si\u0119 namierzy\u0107 14 z nich. Wi\u0119kszo\u015b\u0107 zosta\u0142a uruchomiona zaledwie przed kilkoma tygodniami.<\/p>\n\n\n\n Co ciekawe, kradzie\u017c zgromadzonych \u015brodk\u00f3w nast\u0119powa\u0142a dopiero po pewnym czasie. Specjali\u015bci z MyCrypto podejrzewaj\u0105, \u017ce by\u0107 mo\u017ce przest\u0119pcy byli zainteresowani wy\u0142\u0105cznie u\u017cytkownikami, kt\u00f3rzy zgromadzili spore zapasy kryptowalut. Jest te\u017c ca\u0142kiem mo\u017cliwe, \u017ce atakuj\u0105cy nie byli w stanie zautomatyzowa\u0107 tych operacji i aby wykra\u015b\u0107 \u015brodki musieli si\u0119 logowa\u0107 do ka\u017cdego z portfeli manualnie.<\/p>\n\n\n\n Przest\u0119pcy postarali si\u0119 r\u00f3wnie\u017c o pozytywny PR dla swoich rozszerze\u0144. Niekt\u00f3re z nich cieszy\u0142y si\u0119 bardzo du\u017cym zaufaniem spo\u0142eczno\u015bci (pi\u0119\u0107 gwiazdek!) oraz posiada\u0142y liczne opinie w stylu \u201eDobra\u201d, \u201ePrzydatna aplikacja\u201d, \u201eLegalne rozszerzenie\u201d. Przest\u0119pc\u00f3w ponios\u0142a r\u00f3wnie\u017c fantazja. Jeden z wielokrotnie kopiowanych komentarzy zachwala\u0142 MyEtherWallet jako najlepsz\u0105 wtyczk\u0119 dla posiadaczy Bitcoin. Tyle, \u017ce prawdziwe MyEtherWallet nie obs\u0142uguje tej kryptowaluty.<\/p>\n\n\n\n \u0179r\u00f3d\u0142o: 1<\/a> |\u00a02<\/a><\/p>\n\n\n\n MS<\/strong> \u0142ata produkty:<\/strong> \u0142\u0105cznie 113 \u0142atek dla Microsoft Windows, Edge, ChakraCore, Office, Office Services, Office Web Apps, Internet Explorer, Windows Defender, Microsoft Dynamics, Visual Studio, Microsoft Apps dla Android oraz Microsoft Apps dla Mac.<\/p>\n\n\n Najwa\u017cniejsza aktualizacja dotyczy trzech podatno\u015bci typu zero-day.<\/p>\n\n\n\n CVE-2020-1020 oraz CVE-2020-0938<\/strong><\/p>\n\n\n\n Oba b\u0142\u0119dy umo\u017cliwiaj\u0105 zdalne wykonywanie kodu przez atakuj\u0105cych. Jest to mo\u017cliwe poniewa\u017c komponent biblioteki Windows Adobe Type Manager niepoprawnie obs\u0142uguje specjalnie spreparowan\u0105 czcionk\u0119 Adobe (dwa rodzaje). Atakuj\u0105cy, kt\u00f3ry zdo\u0142a sk\u0142oni\u0107 u\u017cytkownika do otwarcia lub wy\u015bwietlenia dokumentu, jest ju\u017c w stanie dzia\u0142a\u0107 na podatnym systemie.<\/p>\n\n\n\n W przypadku Windows 10 atakuj\u0105cy musi si\u0119gn\u0105\u0107 po AppContainer sandbox. Tyle, \u017ce zyskuje przez to ograniczone uprawnienia. Nie zmienia to jednak faktu, \u017ce mo\u017ce bez wi\u0119kszych przeszk\u00f3d instalowa\u0107 programy, przegl\u0105da\u0107 i edytowa\u0107 dane oraz tworzy\u0107 nowe konta w systemie.<\/p>\n\n\n\n Ostatnie zero-day za\u0142atane w kwietniowym Microsoft Patch Tuesday – CVE-2020-0968<\/strong> – wywo\u0142uje krytyczne uszkodzenie pami\u0119ci Internet Explorer. Atakuj\u0105cy, kt\u00f3remu uda si\u0119 wykorzysta\u0107 t\u0119 luk\u0119, mo\u017ce wykona\u0107 dowolny kod w kontek\u015bcie bie\u017c\u0105cego u\u017cytkownika i uzyska\u0107 takie same uprawnienia. Korzystaj\u0105c m.in. z socjotechnik mo\u017ce sk\u0142oni\u0107 ofiar\u0119 do wej\u015bcia na stron\u0119 zawieraj\u0105c\u0105 z\u0142o\u015bliwy kod lub otwarcia niebezpiecznych makr.<\/p>\n\n\n\n Wszystkie zero-day wyst\u0119puj\u0105 w tych samych systemach: Windows 7, Windows Server 2008 oraz Windows Server 2008 R2. Poniewa\u017c \u201esi\u00f3demka\u201d nie jest ju\u017c wspierana, aktualizacj\u0119 otrzymali wy\u0142\u0105cznie u\u017cytkownicy, kt\u00f3rzy dysponuj\u0105 rozszerzon\u0105 aktualizacj\u0105 zabezpiecze\u0144 (ESU).<\/p>\n\n\n\n Microsoft Patch Tuesday: <\/strong> \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Energias de Portugal (EDP) – mi\u0119dzynarodowy koncern energetyczny pad\u0142 ofiar\u0105 ataku ransomware. Przest\u0119pcy wykorzystali oprogramowanie Ragnar Locker, zaszyfrowali systemy koncernu i \u017c\u0105daj\u0105 okupu w bitcoinach o r\u00f3wnowarto\u015bci 9,9 mln euro.<\/p>\n\n\n\n Grupa EDP jest jednym z najwi\u0119kszych europejskich operator\u00f3w w sektorze energetycznym (gaz i energia elektryczna) oraz czwartym co do wielko\u015bci producentem energii wiatrowej na \u015bwiecie. Firma jest obecna w 19 krajach, na 4 kontynentach. Zatrudnia ponad 11,5 tys. pracownik\u00f3w i dostarcza energi\u0119 do ponad 11 mln klient\u00f3w.<\/p>\n\n\n\n Leakware – zap\u0142acisz, albo Twoje dane ujrz\u0105 \u015bwiat\u0142o dzienne<\/strong><\/p>\n\n\n\n Atakuj\u0105cy gro\u017c\u0105 wyciekiem 10 TB skradzionych poufnych plik\u00f3w firmowych je\u017celi nie otrzymaj\u0105 p\u0142atno\u015bci. Jest to klasyczny przyk\u0142ad Leakware\/Doxware, kt\u00f3remu przyjrzeli\u015bmy si\u0119 w Raporcie Cyberbezpiecze\u0144stwo: Trendy 2020<\/a>. <\/p>\n\n\n\n Jako demonstracj\u0119 si\u0142 przest\u0119pcy opublikowali ju\u017c plik edpradmin2.kdb, kt\u00f3ry jest baz\u0105 danych mened\u017cera hase\u0142 KeePass. Ujawniony link prowadzi do bazy danych nazw logowania, hase\u0142, kont, adres\u00f3w URL i notatek pracownik\u00f3w EDP. <\/p>\n\n\n\n Przest\u0119pcy gro\u017c\u0105, \u017ce pozosta\u0142e dane opublikuj\u0105 w znanych czasopismach i blogach, powiadomi\u0105 r\u00f3wnie\u017c klient\u00f3w, partner\u00f3w i konkurent\u00f3w. W\u015br\u00f3d skradzionych informacji s\u0105 faktury, umowy, dane o klientach, partnerach i transakcjach. <\/p>\n\n\n\n Ragnar Locker zosta\u0142 pierwszy raz zauwa\u017cony pod koniec grudnia 2019 r. Dostarczany jest za po\u015brednictwem oprogramowania MSP, w tym ConnectWise<\/a>. Po etapie rozpoznania i instalacji, atakuj\u0105cy upuszczaj\u0105 plik wykonywalny ransomware, kt\u00f3ry dodaje okre\u015blone rozszerzenie do zaszyfrowanych plik\u00f3w i ma wbudowany klucz RSA-2048. Notatka o okupie obejmuje nazw\u0119 firmy, link do strony Tor oraz witryny z opublikowanymi danymi ofiary – w tych atakach nie ma miejsca na przypadki.\u00a0<\/p>\n\n\n\n Ciekawi jeste\u015bmy, jak sko\u0144czy si\u0119 ta historia przest\u0119pc\u00f3w walcz\u0105cych z wiatrakami…<\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n xHelper, wyj\u0105tkowo trwa\u0142y backdoor na Androida sp\u0119dza\u0142 sen z powiek specjalist\u00f3w ds. bezpiecze\u0144stwa od miesi\u0119cy. Przypomnijmy: raz zainstalowany na urz\u0105dzeniu, zostawa\u0142 \u201cna zawsze\u201d. Na nic zda\u0142y si\u0119 programy antywirusowe czy przywr\u00f3cenie ustawie\u0144 fabrycznych. Wraca\u0142 na urz\u0105dzenie jak bumerang.<\/p>\n\n\n\n Dok\u0142adny opis dzia\u0142ania xHelper i daremnych pr\u00f3b jego odinstalowania znajdziesz tutaj<\/a>.\u00a0<\/p>\n\n\n\n W lutym, specjalista Malwarebytes, Nathan Collier, ujawni\u0142 swoje pr\u00f3by odinstalowania malware. Ustali\u0142, \u017ce ponowne infekcje by\u0142y wynikiem niewykrywalnego pliku w ukrytym folderze, kt\u00f3rego nie uda\u0142o si\u0119 usun\u0105\u0107 w zwyk\u0142y spos\u00f3b. Nie wiadomo r\u00f3wnie\u017c jak trafia\u0142 na zainfekowane telefony. Teraz inny specjalista uzupe\u0142ni\u0142 brakuj\u0105ce elementy…<\/p>\n\n\n\n Badacz z Kaspersky Lab, Igor Golovin twierdzi, \u017ce za ponowne infekcje – pobranie i zainstalowanie plik\u00f3w – odpowiada znany trojan Triada, kt\u00f3ry uruchamia\u0142 si\u0119 wraz z instalacj\u0105 xHelper<\/a>. To ona wykorzystuje prawa systemowe i instaluje seri\u0119 z\u0142o\u015bliwych plik\u00f3w bezpo\u015brednio na partycji systemowej. Odbywa si\u0119 to poprzez ponowne zamontowanie partycji systemowej w trybie zapisu. Co wi\u0119cej, Triada nadaje plikom niezmienny atrybut, kt\u00f3ry zapobiega ich usuni\u0119ciu nawet przez superu\u017cytkownik\u00f3w. <\/p>\n\n\n\n Plik o nazwie install-recovery.sh wykonuje wywo\u0142ania do plik\u00f3w dodanych do folderu \/system\/xbin. Dzi\u0119ki temu z\u0142o\u015bliwe oprogramowanie mo\u017ce by\u0107 uruchamiane po ka\u017cdym resecie ustawie\u0144 urz\u0105dzenia.<\/p>\n\n\n\n Tw\u00f3rcy Triady zastosowali r\u00f3wnie\u017c inn\u0105 technik\u0119 ochrony, kt\u00f3ra polega\u0142a na modyfikacji biblioteki systemowej \/system\/lib\/libc.so. Zawiera ona wsp\u00f3lny kod u\u017cywany przez prawie wszystkie pliki wykonywalne na urz\u0105dzeniu. Triada zast\u0119puje w\u0142asny kod funkcj\u0105 montowania w libc, uniemo\u017cliwiaj\u0105c w ten spos\u00f3b u\u017cytkownikowi zamontowanie partycji \/system w trybie zapisu.<\/p>\n\n\n\n Jak wyleczy\u0107 telefon?<\/strong> Wykorzysuj\u0105c tryb odzyskiwania w celu zast\u0105pienia zainfekowanego pliku libc.so legalnym plikiem do\u0142\u0105czonym do oryginalnego oprogramowania sprz\u0119towego. U\u017cytkownicy mog\u0105 nast\u0119pnie usun\u0105\u0107 z\u0142o\u015bliwe oprogramowanie z partycji systemowej albo jeszcze pro\u015bciej – flashowa\u0107 urz\u0105dzenie.<\/p>\n\n\n\n2. Google usuwa 49 rozszerze\u0144 dla Chrome. Pow\u00f3d? Kradzie\u017c kluczy do krypto portfeli<\/strong><\/h2>\n\n\n
3. Microsoft Patch Tuesday: 113 za\u0142atanych podatno\u015bci, w tym 3 zero-day<\/strong><\/h2>\n\n\n
Microsoft Patch Tuesday: najistotniejsze poprawki<\/h6>\n\n\n
szczeg\u00f3\u0142owe informacje nt. najnowszych aktualizacji znajdziecie na blogu Microsoft Security Response Center<\/a>.<\/p>\n\n\n\n4. Gigant energetyczny pada ofiar\u0105 ransomware. Przest\u0119pcy \u017c\u0105daj\u0105 10 mln euro okupu<\/strong><\/h2>\n\n\n
5. Tajemnica nie\u015bmiertelnego xHelper wreszcie ujawniona <\/strong><\/h2>\n\n\n