Відомо кілька кибергрупп, що спеціалізуються на крадіжці коштів у російських компаній. Ми спостерігали атаки із застосуванням лазівок в системах безпеки, що відкривають доступ до мережі цільових об'єктів. Отримавши доступ, атакуючі вивчають структуру мережі організації і розгортають власні інструменти для крадіжки коштів. Класичний приклад цього тренда – хакерські угруповання Buhtrap, Cobalt і Corkow.
image
Група RTM, якій присвячений цей звіт, є частиною даного тренду. Вона використовує спеціально розроблені шкідливі програми, написані на Delphi, які ми розглянемо докладніше в наступних розділах. Перші сліди цих інструментів в системі телеметрії ESET виявлені в кінці 2015 року. По мірі необхідності група завантажує заражені системи різні нові модулі. Атаки націлені на користувачів систем ДБО в Росії та деяких сусідніх країнах.

Читати далі →

Набір експлойтів Stegano використовується зловмисниками для компрометації користувачів

Спеціалісти ESET виявили, що мільйони відвідувачів популярних новинних веб-сайтів були мішенню декількох шкідливих оголошень, які спеціалізувалися на перенаправлення користувачів на набір експлойтів. Цей набір експлойтів використовувався на компрометації користувачів шкідливим ПЗ із залученням експлойтів для Flash Player.



Починаючи, принаймні, з жовтня місяця цього року, користувачі могли стикатися з оголошеннями, рекламують такі програми як «Browser Defence» і «Broxu». Нижче наведено банери цих оголошень, які використовувалися для показу на веб-сайтах.


Читати далі →

Google виправила уразливості в Android

Google випустила оновлення для Android під назвою Android Security Bulletin—December 2016, яке виправляє в цій ОС численні уразливості, а також уразливості в її сторонніх компонентах виробництва NVIDIA, MediaTek, HTC, Qualcomm. Наприклад, у вікні драйвера звукового кодека HTC було виправлено три уразливості типу Local Privilege Escalation (LPE), які можуть бути використані атакуючими для запуску шкідливого коду в режимі ядра Android. Виправленню підлягають пристрої Google Nexus 9.



Потрібно відзначити, що в цей раз не було виправлено жодної критичної уразливості в Android, яка могла бути використана для віддаленого виконання коду з підвищеними привілеями, наприклад, з використанням сумного компонента Mediaserver, відповідального за обробку мультимедійних файлів.


Читати далі →

Спеціалісти ESET випустили новий інструмент розшифровки файлів шифровальщика Crysis

З моменту своєї появи, вимагачі-шифрувальники представляють із себе прибутковий інструмент для організації бізнесу кіберзлочинців. Кількість представників таких родин шкідливих програм зросла досить швидко, причому їх жертвами ставали як корпоративні користувачі (компанії), так і прості користувачі.



Один з шифрувальників під назвою Crysis заразив досить велика кількість користувачів по всьому світу, антивірусні продукти ESET виявляють його як Win32/Filecoder.Crysis. У разі цього шифровальщика, жертвам пощастило більше, оскільки наші фахівці розробили безкоштовний инструмент для розшифровки зашифрованих файлів.


Читати далі →

Lenovo виправила уразливості в прошивках своїх комп'ютерів

Lenovo виправила дві важливі уразливості в системному ПО своїх комп'ютерів. Уразливості виправляються оновленням LEN-9903 (Intel ME protection not set on some Lenovo Notebook and ThinkServer systems) і LEN-8327 (Microsoft Device Guard protection bypass). Перша вразливість з ідентифікатором CVE-2016-8222 полягає в неправильної конфігурації Lenovo системного механізму чіпсетів Intel — Intel Management Engine на деяких моделях ноутбуків і комп'ютерів ThinkServer.


Друга уразливість з ідентифікатором CVE-2016-8222 чимось схожа на відому перш вразливість ThinkPwn, про яку ми вже писали тут. Уразливість може дозволити атакуючому перезаписати важливі системні змінні BIOS і викликати сервіси SMM режиму роботи мікропроцесора, тобто на рівні привілеїв мінус другого кільця (-2).


Читати далі →

Підсумки контесту PwnFest

Змагання (контест) між security-ресерчерами під назвою PwnFest чимось нагадує інший відомий контест — Pwn2Own. PwnFest проходив у Південній Кореї, де дослідникам з безпеки пропонувалося скомпрометувати різні пристрої і програми для віддаленого виконання коду, а також підвищення своїх привілеїв в системі. Спектр пропонованих для злому продуктів досить великий, це веб-браузер, Edge на Windows 10, ОС Android 7 на новітньому обладнанні Google Pixel, відома середовище віртуалізації Microsoft Hyper-V, веб-браузери Google Chrome, Apple Safari, а також VMware Workstation, Adobe Flash Player і Apple iOS 10.


Команда китайських дослідників з безпеки з відомої компанії Qihoo 360 Technology не тільки зуміла успішно скомпрометувати Microsoft Edge, VMware Workstation, Adobe Flash, Google Pixel, а також виграти титул «Lord of Pwn». В цілому команда заробила $530k.


Читати далі →

Шкідлива програма Retefe використовується для компрометації користувачів онлайн-банкінгу

Шкідлива програма під назвою Retefe спеціалізується на компрометації користувачів різних банків, серед яких і Tesco Bank. Клієнти цього банку нещодавно зазнали масової компрометації акаунтів. Retefe використовується зловмисниками для крадіжки даних онлайн-банкінгу, які потім можуть бути використані з метою здійснення шахрайських операцій.


Згідно новинному порталу BBC, за вихідні було зафіксовано близько 40 тис. підозрілих банківських транзакцій, причому половина з них припадала на незаконне списання грошових коштів. Пізніше представники Tesco Bank подтвердили, що в результаті компрометації постраждало близько 9 тис. клієнтів банку.

Читати далі →

Microsoft виправила серйозну уразливість в Windows

Microsoft випустила листопадовий набір оновлень, який виправляє численні уразливості в продуктах Windows і Office. Дві виправлених уразливості знаходяться в активній експлуатації зловмисниками. Перша з ідентифікатором CVE-2016-7255 типу Local Privilege Escalation (LPE) присутній у драйвері Win32k.sys на всіх підтримуваних версіях Windows. Про цю уразливість ми писали раніше вона використовувалася в кібератаках для обходу механізму sandbox веб-браузера спільно з RCE експлойтів для Flash Player.


Інша уразливість типу RCE з ідентифікатором CVE-2016-7256 присутня в графічній підсистемі на Windows Vista+. З використанням уразливості атакуючі можуть віддалено виконати шкідливий код у веб-браузері за допомогою шкідливого мультимедійного файлу, розміщеного на веб-сторінці. MS також виправила уразливість в підсистемі Secure Virtual Mode (VSM) на Windows 10, яка використовується для реалізації таких функцій безпеки як Device Guard і Credential Guard.


Читати далі →

Microsoft надасть антивірусам можливість контролю за активністю підсистеми Linux на Windows 10

В попередніх постах нашого корпоративного блогу ми кілька разів стосувалися теми підтримки підсистеми Linux на Windows 10 (WSL), а також описували особливості її технічної реалізації. Бета-версія цієї підсистеми була доставлена користувачам у вимкненому вигляді в рамках оновлення Windows 10 Redstone 1 (Anniversary Update) в серпні цього року.



Недавно Microsoft почала анонсировать зміни в ядрі Windows, які допоможуть AV-драйверам правильним чином працювати з процесами підсистеми Linux, в контексті яких запускаються виконувані ELF-файли.

Читати далі →