Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Szkodliwe oprogramowanie 'Destover' teraz podpisane cyfrowo przy pomocy certyfikatów Sony (wpis uaktualniony)

GReAT
Dodany 7 stycznia 2015, 13:11 CET
Tagi:

Niedawno nasze produkty wykryły nietypową próbkę z rodziny Destover. Trojany z tej rodziny były wykorzystywane w głośnych atakach pod nazwą DarkSeoul w marcu 2013 roku oraz podczas ataku na Sony w listopadzie 2014 roku.

Nowa próbka wyróżnia się tym, że została podpisana przy użyciu ważnego certyfikatu cyfrowego firmy Sony:  

signature_is_ok_auto.png

Z próbką tą, w postaci bez podpisu, spotkaliśmy się już wcześniej. Posiadała MD5: 6467c6df4ba4526c7f7a7bc950bd47eb i została skompilowana w lipcu 2014 roku.    

Nowa próbka posiada MD5 e904bf93403c0fb08b9683a9e858c73e i została prawdopodobnie podpisana 5 grudnia 2014 roku.

timestamp_auto.png

Pod względem funkcjonalnym backdoor zawiera dwa centra kontroli (C&C) i próbuje połączyć się na przemian z obydwoma, z przerwą występującą między kolejnymi połączeniami:

  • 208.105.226[.]235:443 - United States Champlain Time Warner Cable Internet Llc
  • 203.131.222[.]102:443 - Thailand Bangkok Thammasat University

Co...


Na czym polega „BashBug"?

GReAT
Dodany 1 października 2014, 15:02 CEST
Tagi:

Luka w bashu, określana jako CVE-2014-6271, to niezwykle poważna luka ze względu na duży wpływ i łatwość, z jaką może zostać wykorzystana. Osoba atakująca może po prostu wykonać polecenia na poziomie systemu, uzyskując te same przywileje co zaatakowane usługi.

W większości przykładów, jakie można obecnie znaleźć w internecie, osoby atakujące przeprowadzają zdalne ataki na serwery sieciowe hostujące skrypty CGI, które zostały napisane w języku powłoki bash, lub przekazują wartości do skryptów powłoki.     

W momencie pisania tego tekstu opisywana luka była już wykorzystywana do szkodliwych celów – infekowania szkodliwym oprogramowaniem podatnych na ataki serwerów sieciowych oraz przeprowadzania ataków hakerskich. Nasi badacze nieustannie gromadzą nowe próbki i oznaki infekcji wykorzystujących tę lukę. Więcej informacji dotyczących tego szkodliwego oprogramowania zostanie opublikowanych wkrótce. 

Istotną...


Kampania The Luuuk

GReAT
Dodany 27 czerwca 2014, 12:02 CEST
Tagi:

Kradzież ponad pół miliona euro w ciągu zaledwie jednego tygodnia – brzmi jak scenariusz filmu rodem z Hollywood. W rzeczywistości pieniądze te zgarnęli organizatorzy oszustwa bankowego pod nazwą The Luuuk za pośrednictwem kampanii Man-in-the-Browser (MITB) wymierzonej w konkretny bank europejski. Skradziona suma została następnie automatycznie przelana na utworzone wcześniej konta tzw. słupów. Gdy zespół GReAT wykrył panel sterowania kampanii The Luuuk, natychmiast skontaktował się z bankiem i rozpoczął dochodzenie.  

20 stycznia 2014 r. Kaspersky Lab wykrył podejrzany serwer zawierający kilka plików dziennika, w tym zdarzenia z botów raportujących do sprawującego kontrolę panelu sieci Web. Wysłane informacje wydawały się mieć związek z oszustwem finansowym; zawierały szczegóły dotyczące ofiar oraz kwoty skradzionych pieniędzy.      


Rysunek 1: Przykład pliku dziennika

Po dalszej analizie...


HackingTeam 2.0: Historia staje się mobilna

GReAT
Dodany 27 czerwca 2014, 09:09 CEST
Tagi:

Ponad rok minął od opublikowania naszego ostatniego artykułu dotyczącego HackingTeam - włoskiej firmy, która rozwija „legalne” narzędzie spyware pod nazwą Remote Control System lub, w skrócie, RCS. Wiele zdarzyło się w międzyczasie, dlatego najwyższa pora na aktualizację wyników wszystkich naszych badań dotyczących szkodliwego oprogramowania RCS.    

 

Lokalizacja serwerów kontroli

Jedną z najważniejszych rzeczy, jakie odkryliśmy podczas naszego długotrwałego i szeroko zakrojonego badania, jest specjalna funkcja, która może być wykorzystana do identyfikowania serwerów kontroli RCS (C2s). Szczegóły dotyczące tej metody przedstawiliśmy na konferencji Virus Bulletin 2013.      

Podsumowując, gdy specjalne zapytanie zostaje wysłane do “nieszkodliwego” serwera kontroli RCS firmy HackingTeam, serwer odpowiada następującym komunikatem o błędzie: 


Slajd z naszej prezentacji podczas...


Zagrożenie APT Careto/The Mask: często zadawane pytania

GReAT
Dodany 14 lutego 2014, 11:48 CET
Tagi:

the_mask_01_auto.jpg
Czym dokładnie jest Careto / “The Mask”?

The Mask to zaawansowany aktor na arenie zagrożeń, który od co najmniej 2007 roku był zaangażowany w operacje cyberszpiegowskie.

Tym, co wyróżnia The Mask, jest złożoność zestawu narzędzi wykorzystywanych przez osoby atakujące. Obejmuje on niezwykle wyrafinowane szkodliwe oprogramowanie, rootkita, bootkita, wersje dla systemu Mac OS X i Linux oraz - prawdopodobnie - wersje dla Androida i iPad/iPhone (iOS).

The Mask przeprowadził również ukierunkowany atak na starsze wersje produktów firmy Kaspersky Lab w celu ukrycia się w systemie. Tym samym, pod względem wyrafinowania wyprzedza Duqu i stanowi obecnie jedno z najbardziej zaawansowanych zagrożeń. Ten i kilka innych czynników pozwala nam przypuszczać, że możemy mieć tu do czynienia z operacją sponsorowaną przez państwo.    

Dlaczego zagrożenie nosi nazwę The Mask?

Nazwa "Mask" wywodzi się z hiszpańskiego słowa...


"NetTraveler Is Running!" – ukierunkowane ataki na ofiary wysokiego szczebla

GReAT
Dodany 5 czerwca 2013, 09:42 CEST
Tagi:

Przez ostatnie kilka lat monitorowaliśmy cyberszpiegowską kampanię, w ramach której z powodzeniem zaatakowano ponad 350 ofiar wysokiego szczebla z 40 krajów. Głównym narzędziem wykorzystywanym przez cyberprzestępców był NetTraveler – szkodliwy program służący do inwigilacji zainfekowanych komputerów.

Nazwa ‘NetTraveler’ pochodzi od tekstu znajdującego się w kodzie wczesnej wersji tego szkodnika: “NetTraveler Is Running!”. Najstarsze znane nam próbki NetTravelera pochodzą z 2005 roku, jednak istnieją dane wskazujące na to, że operacja ta była aktywna już rok wcześniej. Najwięcej wariantów NetTravelera powstało w latach 2010 – 2013.

nettraveler_01.png
Ikona NetTravelera

Zidentyfikowane cele NetTravelera (znanego także jako ‘Travnet’ oraz ‘Netfile’) obejmują aktywistów tybetańskich/ujgurskich, firmy z przemysłu naftowego, naukowe centra oraz instytuty badawcze, uniwersytety, firmy prywatne, rządy i instytucje...


Więcej niż tylko gra - FAQ dotyczące kampanii Winnti

GReAT
Dodany 24 kwietnia 2013, 15:55 CEST
Tagi:

Niedawno zespół ekspertów z Kaspersky Lab opublikował szczegółowy raport, który podaje wyniki analizy trwającej kampanii cyberszpiegowskiej, prowadzonej przez cyberprzestępców z organizacji znanej jako „Winnti”. Według raportu Kaspersky Lab, grupa Winnti od 2009 r. aktywnie atakuje firmy zajmujące się produkcją gier online. Działania grupy obejmują kradzież cyfrowych certyfikatów podpisanych przez legalnych producentów oprogramowania oraz kradzież własności intelektualnej, w tym kodu źródłowego projektów gier internetowych. Ulubionym narzędziem agresorów jest złośliwy program, który nazwaliśmy „Winnti”. Szkodnik znacznie ewoluował od momentu pierwszego użycia, ale ogólnie wszystkie jego warianty mogą zostać podzielone na dwie generacje: 1.x oraz 2.x. Nasze publikacje omawiają obie generacje wykrytego zagrożenia.

W osobnym raporcie opublikujemy niebawem obszerną analizę pierwszej generacji wariantów...