MKD-CIRT National Centre for Computer Incident Response

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Новата APT хакерска група  наречена Lancefly користи прилагоден „Merdoor“ backdoor малвер за да ги таргетира владините, авијацијата и телекомуникациските организации во Јужна и Југоисточна Азија.

Symantec Threat лабораториите открија дека Lancefly распоредува таен Merdoor backdoor во високо таргетирани напади од 2018 година за да воспостави сила, да извршува команди и да врши keylogging на корпоративните мрежи.

„Прилагодениот Lancefly малвер, кој го нарековме Merdoor, е моќен backdoor кој постои од 2018 година“, открива новиот извештај на Symantec.

„Истражувачите на Symantec забележаа дека се користи во некоја активност во 2020 и 2021 година, како и оваа понова кампања, која продолжи во првиот квартал од 2023 година. Се верува дека мотивацијата зад двете кампањи е собирањето разузнавачки информации“.

Се верува дека Lancefly се фокусира на сајбер-шпионажа, со цел да собира разузнавачки информации од мрежите на своите жртви во долги периоди.

Symantec не го откри иницијалниот вектор на инфекција што го користеше Lancefly. Сепак, откри докази дека хакерската група користи phishing-мејлови, brute forcing на SSH ингеренциите и искористување на пропустите на серверот со кои се соочува јавноста за неовластен пристап со текот на годините.

Откако напаѓачите ќе влезат во системот на жртвата, тие вметнуваат Merdoor backdoor преку DLL странично вчитување или во „perfhost.exe“ или „svchost.exe“, двата легитимни Windows процеси што му помагаат на малициозниот софтвер да избегне детекција.

Merdoor му помага на Lancefly да го одржи својот пристап и да се зацврсти на системот на жртвата, инсталирајќи се како услуга што опстојува помеѓу рестартирањето.

Потоа Merdoor воспоставува комуникација со C2 серверот користејќи еден од неколкуте поддржани комуникациски протоколи (HTTP, HTTPS, DNS, UDP и TCP) и чека инструкции.

Освен што поддржува размена на податоци со C2 серверот, Merdoor може да прифаќа команди и со слушање на локални порти; сепак, аналитичарите на Symantec не дадоа конкретни примери.

Backdoor, исто така, снима притискање на копчињата на корисникот со цел да сними потенцијално вредни информации како што се кориснички имиња, лозинки или други тајни.

Исто така, забележано е дека Lancefly ја користи „Atexec“ функцијата на Impacket за да може веднаш да изврши закажана задача на оддалечена машина преку SMB. Се верува дека напаѓачите ја користат оваа функција со цел да се шират странично на други уреди на мрежата или да ги бришат излезните датотеки креирани од други команди.

Lancefly ги шифрира украдените датотеки користејќи маскирана верзија на алатката за архивирање WinRAR и потоа ги ексфилтрира податоците, најверојатно користејќи Merdoor.

Употребата на понова, полесна и побогата верзија на ZXShell rootkit беше забележана и во Lancefly нападите.

Rootkit вчитувачот, „FormDII.dll“, извезува функции што може да се користат за испуштање payloads што одговараат на системската архитектура на домаќинот, читање и извршување на shell кодот од датотека, убивање процеси и многу повеќе.

Rootkit исто така користи алатка за инсталација и ажурирање што споделува заеднички код со Merdoor вчитувачот, што покажува дека Lancefly користи заедничка база на кодови за нивните алатки.

Инсталационата функционалност на ZXShell поддржува креирање услуга, хакирање и лансирање, модификација на регистарот и компресирање на копија од сопствената извршна датотека заради затајување и издржливост.

ZXShell rootkit го поврзува Lancefly со другите кинески APT групи кои ја користеле алатката во напади, вклучувајќи ги APT17 и APT41.

Сепак, врската е слаба бидејќи изворниот код на rootkit е јавно достапен веќе неколку години.

Името „formdll.dll“ на Lancefly за rootkit вчитувачот беше претходно пријавено во кампања на APT27, aka „Budworm“.

Сепак, не е јасно дали ова е намерен избор за погрешно насочување на аналитичарите и за отежнување на атрибуцијата.

Елемент кој дополнително ја поддржува хипотезата дека Lancefly има кинеско потекло е забележаната употреба на PlugX и ShadowPad RAT (тројанци за далечински пристап), кои се споделуваат меѓу неколку кинески APT групи.

Извор: BleepingComputer

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Новата phishing-as-a-service (PhaaS или PaaS) платформа наречена Greatness е искористена од страна на сајбер-криминалците за да ги таргетира деловните корисници на Microsoft 365 cloud услугата од средината на 2022 година, ефикасно намалувајќи ја лентата за влез за phishing напади.

„Greatness, засега, е фокусирана само на phishing страниците на Microsoft 365, обезбедувајќи им на хакерите додаток и врски што создава многу убедливи мамки и страници за најавување“, изјави истражувачот на Cisco Talos, Tiago Pereira.

„Содржи функции како што се претходно пополнета email адреса на жртвата и прикажување на нивното соодветно лого на компанијата и слика за позадина, извлечени од таргетираната организациска Microsoft 365 страница за најавување.

Кампањите кои вклучуваат Greatness имаат главно производствени, здравствени и технолошки ентитети лоцирани во САД, Обединетото Кралство, Австралија, Јужна Африка и Канада, со скок во активноста откриени во декември 2022 и март 2023 година.

Phishing комплетите, како што е Greatness, нудат хакерите, е економична и скалабилна едношалтерска продавница, што овозможува да се дизајнираат убедливи страници за најавување поврзани со различни онлајн услуги и да се заобиколи заштитата со двофакторска автентикација (2FA).

Поточно, страниците за мамки со автентичен изглед функционираат како reverse proxy за собирање акредитиви и time based one time лозинки (TOTP) внесени од страна на жртвите.

Chains нападите започнуваат со малициозни мејлови кои содржат HTML прилог, кој, по отворањето, извршува заматен JavaScript код кој го пренасочува корисникот на таргетирана страница со претходно пополнета мејл адреса на примачот и ја бара неговата лозинка и MFA кодот.

Внесените акредитиви и токени последователно се препраќаат на Telegram каналот со цел да се добие неовластен пристап до сметките.

AiTM phishing комплетот доаѓа и со административна табла која му овозможува на хакерот да го конфигурира ботот на Telegram, да ги следи украдените информации, па дури и да создава прилози или врски кои служат како замка.

Исто така, се очекува секој хакер да има валиден API клуч за да може да ја вчита phishing страницата. API клучот исто така ги спречува несаканите IP адреси да ја гледаат phishing страницата и ја олеснува комуникацијата зад сцената со вистинската страница за најавување на Microsoft 365, претставувајќи се како жртва.

„Работејќи заедно, phishing комплетот и API платформата вршат ‘man-in-the-middle’ напад, барајќи информации од жртвата што API потоа ќе ги достави до легитимната страница за најавување во реално време“, изјави Pereira.

„Ова им овозможува на креаторите на PaaS да украдат кориснички имиња и лозинки, заедно со автентицираните сесиски колачиња доколку жртвата користи MFA“.

Наодите доаѓаат откако Microsoft почна да спроведува совпаѓање на броеви во Microsoft Authenticator нотификациите од 8 мај 2023 година, за да ја подобри 2FA заштитата и да ги спречи брзите бомбашки напади.

Извор: TheHackerNews

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Discord ги известува корисниците за пробивање на податоците откако била компромитирана сметката на агентот за поддршка од трета страна.

Пробивањето на безбедноста ја изложи редицата за билети за поддршка на агентот, која содржеше кориснички мејл адреси, пораки разменети со Discord поддршката и какви било прилози испратени како дел од билетите.

Discord изјави дека веднаш се осврнал на пробиената сметка за поддршка со тоа што ја оневозможил штом бил откриен инцидентот.

„Поради природата на инцидентот, можно е вашата мејл адреса, содржината на пораките за услуги на клиентите и сите прилози испратени помеѓу вас и Discord да биле изложени на трето лице“, стои во писмата испратени до засегнатите корисници на Discord.

„Штом Discord беше информиран за проблемот, ја деактивиравме загрозената сметка и ги завршивме проверките на малициозен софтвер на погодената машина“.

Тие, исто така, работеа со партнерот за услуги на клиентите за да спроведат ефективни мерки за да се спречат слични инциденти во иднина.

Ако сте погодени од пробивањето на податоците на Discord, внимавајте на какви било сомнителни активности, како обиди за измама или phishing напади. Иако Discord смета дека ризикот е минимален, подобро е да бидете внимателни.

„Иако веруваме дека ризикот е ограничен, се препорачува да бидете внимателни за какви било сомнителни пораки или активности, како што се измами или phishing обиди“, изјавија од компанијата.

Discord е широко користена платформа за инстант пораки и социјални медиуми со 150 милиони месечни активни корисници.

Дополнително, компанијата на својата веб-страница тврди дека платформата има 19 милиони активни сервери неделно.

Извор: BleepingComputer