Pomimo, że w badacze z CTU publicznie ujawnili taktyki, techniki i wewnętrzne procedury grupy jeszcze w maju 2022 r. to do dzisiaj wykazują oni wiele powtarzalnych zachowań. Rys. 1. Ujawniona aktywność grupy COBALT MIRAGE, źródło. Przestępcy jednak próbowali usunąć ślady swoich działań poprzez likwidację webshelli, logów oraz narzędzi. Jednak kilka…
Czytaj dalej »
Spójrzcie na ten przegląd kilku cyberataków mających miejsce w krajach Europy Wchodniej, a związanych z inwazją na Ukrainę. Google wskazuje przykładowo próby dystrybucji appki, hostowanej na stronie, która przedstawia się jako należąca do grupy Cyber Azow: Appka rzeczywiście komunikuje się (dla niepoznaki) z rosyjskimi serwisami (lista tutaj), ale wykonuje do…
Czytaj dalej »
SentinelOne opisuje działania grupy o kryptonimie ModifiedElephant, która jak się okazuje działa od blisko dekady w Indiach. Tak jak wspomniałem w tytule – grupa ma na celu podrzucanie np. plików świadczących o rzekomym dokonaniu przestępstwa przez ofiarę. Używają w tym celu głównie komercyjnych narzędzi (w tym używanych przez firmy zajmujące…
Czytaj dalej »
Podatność była exploitowana jeszcze przed załataniem, a obecnie Microsoft uzupełnił wpis o dodatkową adnotację „Exploited” (tj. trwa exploitacja). Jak widzicie powyżej, podatność jest wynikiem braku poprawnego łatania poprzedniej luki. Teraz dobre informacje: CVE-2022-21882 jest „tylko” podatnością klasy privilege escalation – czyli umożliwia zwiększenie uprawnień dowolnego zalogowanego użytkownika, do uprawnień admina….
Czytaj dalej »
„Zapachniało sierpniem 1945 roku. Ktoś, prawdopodobnie organizacja państwowa, właśnie użył broni cybernetycznej w czasie pokoju… żeby zniszczyć coś, co inne państwo uważa za swoją infrastrukturę krytyczną. To poważna sprawa. To nigdy się wcześniej nie wydarzyło”[1]. To słowa Michaela Haydena, byłego dyrektora NSA oraz CIA, opisującego reakcje na wiadomość o konsekwencjach…
Czytaj dalej »
Jak wynika z raportu BlackBerry, oprócz trendów takich jak raas (ransomware as a service) czy cryptojacking, modne staje się również wykorzystywanie przez państwa usług hakerskich grup cyber przestępczych. * Wykres przedstawiający wykrycia grup APT na przestrzeni lat BAHAMUT Badacze jako przykład podają działania grupy Bahamut, która skutecznie atakowała podmioty rządowe…
Czytaj dalej »
Co dopiero pisaliśmy o ataku na amerykański Departament Skarbu, a tymczasem pokazało się więcej informacji o samym incydencie, które dodatkowo wskazują na o wiele większą kampanię: The victims have included government, consulting, technology, telecom and extractive entities in North America, Europe, Asia and the Middle East. Cały czas mowa jest…
Czytaj dalej »
Na razie nie ma zbyt wielu informacji – urzędnicy dostali też zakaz przekazywania informacji do prasy… Guardian wspomina o „wysoce zaawansowanych napastnikach”, którym udało się przeniknąć m.in. do Office 365: The hackers are “highly sophisticated” and have been able to trick the Microsoft platform’s authentication controls (…) The hack involves…
Czytaj dalej »
Pełna treść zarzutów tutaj. Wprawdzie nie ma wskazanych z nazwy konkretnych firm, ale są branże / kraje: amerykańska firma z przemysłu obronnego (wykradzione 200 GB; informacje dot. technologii laserowych, radiowych) amerykański dostawca dla branży wojskowej (140GB; prezentacje, projekty, rysunki dotyczące dostaw dla amerykańskich sił powietrznych, FBI) amerykańska firma z branży…
Czytaj dalej »
Wielka Brytania ostrzega o kampanii prowadzonej przez rosyjską grupę APT29, a kierowaną na organizacje pracujące nad szczepionką na COVID-19 Throughout 2020, APT29 has targeted various organisations involved in COVID-19 vaccine development in Canada, the United States and the United Kingdom, highly likely with the intention of stealing information and intellectual…
Czytaj dalej »
Informacja zaczęła wypływać chyba od tego dość alarmującego Twitta: So, it’s public now. Domain controller-level access at Kudankulam Nuclear Power Plant. The government was notified way back. Extremely mission-critical targets were hit. Rząd w Indiach najpierw zdementował informację, niewiele później jednak ją potwierdził (choć bez podania szczegółów ataku). Co ciekawe,…
Czytaj dalej »
Mowa o grupie STRONT, zwanej też jako Fancy Bear/APT28. Jeśli ktoś chce zerknąć na przykładową akcję hakerską organizowaną przez tę grupę, niech zerknie tutaj: „Siergiej ruszaj dupę!!! Kliknęli w linka, wbijaj się bistro na tę drukarkę i jedziemy dalej!„. W każdym razie Microsoft donosi: At least 16 national and international sporting…
Czytaj dalej »
Zapowiadał się kolejny spokojny wieczór. Mały pokój w jednym z moskiewskich biur, z porozwalanymi pudełkami po pizzy i rozrzuconymi niemal wszędzie butelkami po wyśmienitym napoju Bajkał. – Te Wowa, widziałeś te nowe dumpy 0-dayów na IoT z chińskich forów? Centrala podrzuciła dzisiaj na to namiary. – No… widziałem. TP-Linki, routerki ASUS-a,…
Czytaj dalej »
Tytuł dość sensacyjny, ale takie informacje przekazuje izraelska firma Cybereason. Opisane są konkretne wykorzystane narzędzia czy sposoby infekcji (tym razem wskazuje się jako pierwszy krok atak na serwery webowe, a dokładniej aplikacje webowe dostępne z Internetu). Przykładowy efekt uzyskany przez napastników jest dość ciekawy: They were able to compromise critical…
Czytaj dalej »
0-day we Flashu. Flash zaszyty w dokumencie Worda, Word w archiwum RAR, w którym znajduje się też plik .jpg. W pliku .jpg zaszyty trojan, który odpalany jest z exploita na Flasha. Całość po to, żeby maksymalnie utrudnić ew. alerty systemów antymalware. Dla wzrokowców: Sam dokument wygląda tak: Ciekawostką są wskazania…
Czytaj dalej »
