Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Lazarus/Bluenoroff - cyberataki finansowe na dużą skalę

GReAT
Dodany 3 kwietnia 2017, 15:36 CEST
Tagi:

W lutym 2017 r. artykuł w polskich mediach przerwał ciszę w odniesieniu do długotrwałej serii ataków na banki, przypisywanych grupie Lazarus. Mimo że w pierwotnej publikacji nie wspomniano o tej grupie, badacze ds. cyberbezpieczeństwa szybko podchwycili temat. W tym artykule podzielimy się naszymi odkryciami i dodamy kilka informacji do ogólnej wiedzy o ugrupowaniu Lazarus oraz jego połączeniach z szeroko dyskutowanym incydencie z lutego 2016 r., kiedy nieznana wówczas grupa cyberprzestępców przypuściła próbę ataki, którego celem była kradzież 851 mln dolarów z Centralnego Banku Bangladeszu. 

Od wykrycia incydentu w Bangladeszu pojawiło się zaledwie kilka artykułów tłumaczących połączenia między grupą Lazarus a skokiem na systemy SWIFT. Jeden z nich został napisany przez BAE Systems w maju 2016 r., jednak tekst zawierał wyłącznie analizę kodu szkodliwego modułu odpowiedzialnego za niszczenie danych (tzw....


Ataki „EyePyramid”

GReAT
Dodany 17 stycznia 2017, 11:12 CET

10 stycznia 2017 roku włoska policja odtajniła nakaz sądowy dotyczący se...

Infektor bankomatowy

GReAT
Dodany 18 maja 2016, 12:44 CEST
Tagi:

Siedem lat temu, w 2009 roku, zauważyliśmy całkowicie nowy typ ataków na banki. Zamiast infekować komputery tysięcy użytkowników na całym świecie, przestępcy postawili bezpośrednio na bankomat – infekując go szkodliwym oprogramowaniem o nazwie Skimer. Siedem lat później nasz Globalny Zespół ds. Badań i Analiz (GReAT), wraz z grupą odpowiedzialną za testy penetracyjne, został wezwany do reakcji na incydent. W efekcie, została wykryta nowa, udoskonalona wersja Skimera.

 

Infekcje w stylu wirusów

 

Przestępcy często zaciemniali swoje szkodliwe oprogramowanie przy użyciu pakerów, aby utrudnić analizę badaczom. W ten sposób postępowali również przestępcy stojący za Skimerem, wykorzystując komercyjnie dostępnego pakera o nazwie Themida, który kompresuje zarówno infektora jak i droppera.   

 

Po tym, jak szkodliwe oprogramowanie zostanie wykonane, sprawdza, czy system plików to FAT32. Jeśli tak, wrzuca plik netmgr.dll do...



Oznaki włamania

Potężne ugrupowanie cyberprzestępcze występujące pod nazwą „Wild Neutron” (znane również jako „Jripbot” oraz „Morpho“) wykazuje aktywność przynajmniej od 2011 roku, infekując znane firmy od kilku lat poprzez wykorzystywanie w tym celu zestawu różnych exploitów, ataków „przy wodopoju” oraz szkodliwego oprogramowania wieloplatformowego.

W ostatniej rundzie ataków z 2015 r. wykorzystano skradziony certyfikat służący do podpisywania kodu, należący do tajwańskiego producenta elektroniki Acer oraz nieznany exploit Flash Playera.

O grupie Wild Neutron zrobiło się głośno w 2013 roku, gdy skutecznie zainfekowała takie firmy jak Apple, Facebook, Twitter oraz Microsoft. W ataku tym wykorzystano exploita zero-day Javy oraz zhakowane fora jako tzw. „wodopoje”. Incydent z 2013 r. został szeroko nagłośniony, po czym odpowiedzialna za niego grupa zniknęła na prawie rok.   

Ataki zostały wznowione pod koniec 2013 r. i na...


Moduł przetrwania Duqu 2.0

GReAT
Dodany 16 czerwca 2015, 13:35 CEST

Wcześniej wspominaliśmy, że Duqu 2.0 nie posiada normalnego mechanizmu „przetrwania”. Na tej podstawie można sądzić, że pozbycie się tego szkodliwego oprogramowania sprowadza się do ponownego uruchomienia wszystkich zainfekowanych maszyn. W rzeczywistości sprawa jest trochę bardziej skomplikowana.

Osoby atakujące stworzyły nietypowy moduł przetrwania, który umieszczają w zhakowanych sieciach. Pełni on podwójną funkcję, ponieważ dodatkowo obsługuje ukryty mechanizm komunikacji z centrum kontroli (C&C). To przetrwanie na poziomie organizacji umożliwia sterownik, który jest instalowany jako normalna usługa systemowa. W systemach 64-bitowych oznacza to ścisły wymóg sygnatury cyfrowej Authenticode. Zaobserwowaliśmy dwa takie sterowniki przetrwania zaimplementowane podczas ataków.  

Podczas swojego działania osoby stojące za kampanią Duqu instalują takie szkodliwe sterowniki na zaporach sieciowych, bramach...


Szkodliwe oprogramowanie 'Destover' teraz podpisane cyfrowo przy pomocy certyfikatów Sony (wpis uaktualniony)

GReAT
Dodany 7 stycznia 2015, 13:11 CET
Tagi:

Niedawno nasze produkty wykryły nietypową próbkę z rodziny Destover. Trojany z tej rodziny były wykorzystywane w głośnych atakach pod nazwą DarkSeoul w marcu 2013 roku oraz podczas ataku na Sony w listopadzie 2014 roku.

Nowa próbka wyróżnia się tym, że została podpisana przy użyciu ważnego certyfikatu cyfrowego firmy Sony:  

signature_is_ok_auto.png

Z próbką tą, w postaci bez podpisu, spotkaliśmy się już wcześniej. Posiadała MD5: 6467c6df4ba4526c7f7a7bc950bd47eb i została skompilowana w lipcu 2014 roku.    

Nowa próbka posiada MD5 e904bf93403c0fb08b9683a9e858c73e i została prawdopodobnie podpisana 5 grudnia 2014 roku.

timestamp_auto.png

Pod względem funkcjonalnym backdoor zawiera dwa centra kontroli (C&C) i próbuje połączyć się na przemian z obydwoma, z przerwą występującą między kolejnymi połączeniami:

  • 208.105.226[.]235:443 - United States Champlain Time Warner Cable Internet Llc
  • 203.131.222[.]102:443 - Thailand Bangkok Thammasat University

Co...


Na czym polega „BashBug"?

GReAT
Dodany 1 października 2014, 15:02 CEST
Tagi:

Luka w bashu, określana jako CVE-2014-6271, to niezwykle poważna luka ze względu na duży wpływ i łatwość, z jaką może zostać wykorzystana. Osoba atakująca może po prostu wykonać polecenia na poziomie systemu, uzyskując te same przywileje co zaatakowane usługi.

W większości przykładów, jakie można obecnie znaleźć w internecie, osoby atakujące przeprowadzają zdalne ataki na serwery sieciowe hostujące skrypty CGI, które zostały napisane w języku powłoki bash, lub przekazują wartości do skryptów powłoki.     

W momencie pisania tego tekstu opisywana luka była już wykorzystywana do szkodliwych celów – infekowania szkodliwym oprogramowaniem podatnych na ataki serwerów sieciowych oraz przeprowadzania ataków hakerskich. Nasi badacze nieustannie gromadzą nowe próbki i oznaki infekcji wykorzystujących tę lukę. Więcej informacji dotyczących tego szkodliwego oprogramowania zostanie opublikowanych wkrótce. 

Istotną...