MKD-CIRT National Centre for Computer Incident Response

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Ransomware нападот, познат како Medusa, почна да добива сила во 2023 година, таргетирајќи ги корпоративните жртви ширум светот со барања за откуп од милион долари.

Medusa нападот започна во јуни 2021 година, но имаше релативно слаба активност, со малку жртви. Меѓутоа, во 2023 година, ја зголеми активноста и започна „Medusa Блог“ што се користи за протекување податоци на жртвите кои одбиле да платат откуп.

Medusa го привлече вниманието на медиумите оваа недела откако ја презедоа одговорноста за нападот на Minneapolis Public Schools (MPS) и споделија видео од украдените податоци.

Многу малвер варијанти себси се нарекуваат Medusa, вклучително и Mirai ботнет базиран на можности за откуп, Medusa Android малвер и широко познатиот MedusaLocker ransomware напад.

Поради најчесто користеното име, има некои збунувачки извештаи за оваа ransomware варијанта, при што многумина мислат дека тоа е исто како MedusaLocker.

Сепак, Medusa и MedusaLocker ransomware нападите се сосема различни.

MedusaLocker нападот започна во 2019 година како Ransomware-as-a-Service, со бројни можности, белешка за откуп наречена How_to_back_files.html и широк спектар на екстензии на датотеки за шифрирани датотеки.

MedusaLocker нападот користи веб-страница на Tor на qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion за преговори.

Сепак, Medusa ransomware нападот започна околу јуни 2021 година и користеше белешка за откуп со име !!!READ_ME_MEDUSA!!!.txt и статичко шифрирана екстензија на датотека од .MEDUSA.

BleepingComputer успеа само да го анализира Medusa енкрипторот за Windows, а засега не е познато дали имаат таков за Linux.

Шифрирањето на Windows ќе прифати опции од командната линија што му овозможуваат на напаѓачот да конфигурира како датотеките ќе се шифрираат на уредот.

На пример, аргументот на командната линија -v ќе предизвика ransomware да прикаже конзола, прикажувајќи ги статусните пораки додека шифрира уред.

Во редовно извршување, без аргументи на командната линија, Medusa ransomware ќе прекине преку 280 услуги и Windows процеси за програми што може да спречат шифрирање на датотеките. Тие вклучуваат Windows услуги за сервери за пошта, сервери за бази на податоци, резервни сервери и безбедносен софтвер.

Ransomware потоа ќе ги избрише Windows Shadow Volume Copies за да спречи нивно користење за враќање на датотеките.

Ransomware експертот Michael Gillespie, исто така, го анализираше шифрирањето и му посочи на BleepingComputer дека ги шифрира датотеките користејќи AES-256 + RSA-2048 шифрирање со помош на BCrypt библиотеката.

Gillespie дополнително потврди дека методот на шифрирање што се користи во Medusa е различен од оној што се користи во MedusaLocker.

Кога шифрирате датотеки, ransomware ќе ја додаде .MEDUSA екстензијата на шифрирани имиња на датотеки. На пример, 1.doc би бил шифриран и преименуван во 1.doc.MEDUSA.

Во секоја папка, ransomware ќе создаде белешка за откуп со име !!!READ_ME_MEDUSA!!!.txt која содржи информации за тоа што се случило со датотеките на жртвата.

Белешката за откуп исто така ќе вклучува информации за контакт на екстензијата, вклучително и страница за протекување податоци на Tor, канал на Telegram, Tox ID и key.medusa.serviceteam@protonmail.com адресата за е-пошта.

Сајтот за преговори Tor е на http://medusacegu2ufmc3kx2kkqicrlcxdettsjcenhjena6uannk5f4ffuyd.onion.

Како дополнителен чекор за да се спречи враќањето на датотеките од резервните копии, Medusa ransomware ќе ја изврши следната команда за да ги избрише локално складираните датотеки поврзани со програмите за резервна копија, како што е резервната копија на Windows. Оваа команда ќе ги избрише и хард дисковите за виртуелен диск (VHD) што ги користат виртуелните машини.

Сајтот за преговори Tor себеси се нарекува „Secure Chat“, каде што секоја жртва има единствена идентификација што може да се користи за комуникација со ransomware напаѓачите.

Како и повеќето ransomware напади, Medusa има сајт за протекување податоци наречен „Medusa Блог“, каде што напаѓачите објавуваат податоци за жртвите кои одбиваат да платат откуп.

Кога жртвата е додадена на протекувањето на податоците, нивните податоци не се објавуваат веднаш. Наместо тоа, напаѓачите им даваат на жртвите платени опции да го продолжат одбројувањето пред да бидат објавени податоците, да ги избришат податоците или да ги преземат сите податоци. Секоја од овие опции има различни цени.

Овие три опции се направени за да се изврши дополнителен притисок врз жртвата да се исплаши за да плати откуп.

За жал, ниту една позната слабост во шифрирањето на Medusa Ransomware не им дозволува на жртвите бесплатно да ги повратат своите датотеки.

Истражувачите ќе продолжат да го анализираат енкрипторот и доколку се открие слабост, ќе биде пријавен на BleepingComputer.

Извор: BleepingComputer

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Осомничена севернокорејска хакерска група таргетира истражувачи за безбедност и медиумски организации во САД и Европа со лажни понуди за работа што водат до ширење на три нови варијанти на малициозен софтвер.

Напаѓачите користат social engineering за да ги убедат жртвите да се вклучат преку WhatsApp, каде што испуштаат malware payload „PlankWalk“, C++  backdoor што им помага да воспостават основа во корпоративната средина.

Според Mandiant, кој ја следи конкретната кампања од јуни 2022 година, набљудуваната активност се преклопува со „Операција Dream Job“, која му се припишува на севернокорејскиот кластер познат како „Lazarus group“.

Сепак, Mandiant забележа доволно разлики во употребените алатки, инфраструктура и TTP (тактики, техники и процедури) за да ја припише оваа кампања на посебна група што ја следат како „UNC2970“.

Напаѓачите користат претходно невиден малициозен софтвер со име „TOUCHMOVE“, „SIDESHOW“ и „TOUCHSHIFT“, кои не се припишуваат на ниту една позната група за закана.

Mandiant изјави дека конкретната група претходно била насочена кон технолошки фирми, медиумски групи и субјекти во одбранбената индустрија. Нејзината последна кампања покажува дека еволуирала и ги адаптирала своите способности.

Хакерите го започнуваат својот напад со приближување на жртвите преку LinkedIn, претставувајќи се како регрутери за работа. На крајот, тие се префрлија на WhatsApp за да го продолжат процесот на „регрутирање“, споделувајќи Word документ вграден со малициозни макроа.

Mandiant изјави дека во некои случаи, овие Word документи се едитирани за да одговараат на описите на работните места што ги промовираат на жртвите.

Макроата на Word документот вршат вметнување на далечински шаблон за да добијат тројанизирана верзија на TightVNC од компромитирани WordPress сајтови кои служат како сервери за команди и контрола на напаѓачот.

Mandiant ја следи оваа верзија на TightVNC како „LidShift“. По извршувањето, користи рефлектирачко DLL вметнување за да вчита шифриран DLL (тројанизиран Notepad++ plugin) во меморијата на системот.

Вчитаната датотека е преземач на малициозен софтвер наречен „LidShot“, кој врши системско набројување и го распоредува последниот payload, „PlankWalk“.

За време на post-exploitation фазата, севернокорејските хакери користат нов, приспособен малициозен софтвер наречен „TouchShift“, кој се маскира како легитимен Windows binary (mscoree.dll или netplwix.dll).

TouchShift потоа вчитува друга алатка за слики од екранот наречена „TouchShot“, keylogger наречен „TouchKey“, tunneller наречен „HookShot“, нов вчитувач со име „TouchMove“ и нов backdoor наречен „SideShow“.

Најинтересен е новиот прилагоден backdoor SideShow, која поддржува вкупно 49 команди. Овие команди му овозможуваат на напаѓачот да изврши произволно извршување на код на компромитиран уред, да го модифицира регистарот, да манипулира со поставките на заштитниот ѕид, да додава нови задачи и да извршува дополнителни payloads.

Во некои случаи кога таргетираните организации не користеле VPN, беше забележано дека хакерите го злоупотребуваат Microsoft Intune за да го шират малициозниот софтвер „CloudBurst“ користејќи PowerShell скрипти.

Таа алатка, исто така, се маскира како легитимна Windows датотека, поконкретно, „mscoree.dll“, а нејзината улога е да врши системско набројување.

Вториот извештај објавен од страна на Mandiant денес се фокусира на тактиката „bring your own vulnerable driver “ (BYOVD) проследена со UNC2970 во последната кампања.

По испитувањето на логовите на компромитирани системи, аналитичарите на Mandiant пронајдоа сомнителни драјвери и DLL-датотека („_SB_SMBUS_SDK.dll“).

По понатамошна истрага, истражувачите открија дека овие датотеки се создадени од друга датотека наречена „Share.DAT“.

Улогата на payload е да ги закрпи рутините на кернелот што ги користи EDR софтверот (Endpoint Detection and Response), помагајќи им на напаѓачите да избегнат откривање.

Имено, двигателот што се користеше во оваа кампања беше ASUS driver („Driver7.sys“) за кој не се знаеше дека е ранлив во времето на откривањето на Mandiant, па севернокорејските хакери искористуваа zero-day пропуст.

Mandiant го пријави проблемот во ASUS во октомври 2022 година, ранливоста го доби идентификаторот CVE-2022-42455, а driver-от го поправи преку ажурирање објавено седум дена подоцна.

Севернокорејските хакери претходно ги таргетираа истражувачите за безбедност  вклучени во ранливоста и го експлоатираат развојот со создавање на лажни онлајн личности на социјалните медиуми кои се преправаа дека се истражувачи за ранливост.

Овие личности потоа ќе контактираат со други истражувачи за безбедност за потенцијална соработка во истражувањето на ранливоста.

Откако воспоставиле контакт со истражувач, хакерите испратиле малициозни Visual Studio проекти и MHTML-датотеки кои го експлоатираат zero-day на Internet Explorer.

И двете мамки беа искористени за ширење на малициозен софтвер на уредите на таргетираните истражувачи за да се добие далечински пристап до компјутерите.

Извор: BleepingComputer

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Emotet малвер операцијата повторно спамува малициозни е-пошти од вторник наутро по тримесечна пауза, обновувајќи ја својата мрежа и заразувајќи ги уредите ширум светот.

Emotet е малициозен софтвер дистрибуиран преку е-пошта што содржи малициозни прилози за Microsoft Word и Excel документи. Кога корисниците ги отвораат овие документи и се овозможени макроата, Emotet DLL ќе се преземе и ќе се вчита во меморијата.

Откако ќе се вчита Emotet, малициозниот софтвер ќе седи тивко, чекајќи инструкции од далечинскиот сервер за команди и контрола.

На крајот, малициозниот софтвер ќе ги украде е-поштата и контактите на жртвите за употреба во идните кампањи на Emotet или ќе преземе дополнителни payloads како што е Cobalt Strike или друг малициозен софтвер што вообичаено води до ransomware напади.

И покрај тоа што Emotet се сметаше за најдистрибуиран малициозен софтвер во минатото, тој постепено се успори, а неговата последна спам операција беше забележана во ноември 2022 година. Сепак, дури и тогаш, спамирањето траеше само две недели.

Денес, фирмата за сајбер безбедност Cofense и групата за следење на Emotet Cryptolaemus предупредија дека Emotet ботнетот повторно продолжува со испраќање е-пошта.

„Од 1200UTC Иван конечно доби E4 за испраќање спам. Гледаме шаблони на Red Dawn кои се многу големи кои доаѓаат со над 500 MB. Моментално гледаме пристоен проток на спам. Септет од URL-адреси за payload и макроа“, твитна Cryptolaemus.

Cofense, исто така, потврди за BleepingComputer дека спам кампањата започнала во 7:00 часот по ET, а моменталниот волумен останал низок.

„Првата е-пошта што ја видовме беше околу 7 часот наутро по EST. Јачината на звукот во овој момент останува ниска бидејќи тие продолжуваат да се обновуваат и собираат нови акредитиви за да ги користат и адресите за цел“, изјави Confense за BleepingComputer.

Наместо да користат reply – chain е-пошти како во претходната кампања, хакерите користат е-пошти што наликуваат на фактури.

Кон овие е-пораки се прикачени ZIP архиви кои содржат Word документи со големина од над 500 MB. Тие се пополнети со неискористени податоци за да ги направат датотеките поголеми и потешки за антивирусните решенија да ги скенираат и да ги детектираат како малициозни.

Овие Microsoft Word документи го користат „Red Dawn“ шаблонот за документи на Emotet, што ги поттикнува корисниците да мислат дека содржината на документот е правилна.

Овие документи содржат голем број макроа што ќе го преземат Emotet вчитувачот како DLL од компромитирани сајтови, од кои се хакирани многу WordPress блогови.

Кога ќе се преземе, Emotet ќе се зачува во папка со случајно име под %LocalAppData% и ќе се стартува со regsvr32.exe.

Како и Word документот, Emotet DLL е исто така пополнет со 526 MB за да се спречи можноста да се открие како малициозен од антивирусен софтвер.

Оваа техника покажува успех, како што е илустрирано во VirusTotal scan каде што малициозниот софтвер е откриен само од еден безбедносен продавач, при што тој продавач го открива само како „Malware.SwollenFile“.

Откако ќе се активира, малициозниот софтвер ќе работи во позадина, чекајќи команди, кои најверојатно ќе инсталираат дополнителни payloads на уредот.

Овие напади вообичаено водат до кражба на податоци и до целосни ransomware напади на пробиени мрежи.

Cofense изјави дека сега не забележале отфрлени дополнителни payloads, а малициозниот софтвер само собира податоци за идните спам кампањи.

Додека Emotet ја обновува својата мрежа, сегашниот метод можеби нема да има голем успех по неодамнешните промени од страна на Microsoft.

Во јули 2022 година, Microsoft конечно ги оневозможи макроата стандардно во Microsoft Office документите преземени од Интернет.

Поради оваа промена, корисниците кои отвораат Emotet документ ќе бидат пречекани со порака во која се наведува дека макроата се оневозможени бидејќи изворот на датотеката не е доверлив.

Постариот аналитичар за ранливост на ANALYGENCE, Will Dormann, за BleepingComputer изјави дека оваа промена влијае и на прилозите зачувани од е-пошта.

За повеќето корисници кои примаат Emotet е-пораки, оваа функција најверојатно ќе ги заштити од погрешно овозможување макроа освен ако не вложат заеднички напори да ги овозможат.

Оваа промена ги натера другите хакери да се оддалечат од Word и Excel документите и да злоупотребуваат други формати на датотеки, како што се Microsoft OneNote, ISO сликите и JS-датотеките.

Не би било изненадувачки ако Emotet премине на различни типови прикачувања откако оваа почетна кампања не оди како што е замислено.

Извор: BleepingComputer