[Информационная безопасность, Антивирусная защита, Браузеры, Социальные сети и сообщества] Хакеры создали подставную фирму SecuriElite, чтобы атаковать исследователей безопасности и других хакеров
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Сайт несуществующей компании SecuriElite
В январе 2021 года специалисты Google Threat Analysis Group (TAG) рассказали об атаке на исследователей ИТ-безопасности по всему миру. Теперь опубликованы некоторые подробности этой необычной операции.
Злоумышленники использовали новые 0-day, которые срабатывают в последних версиях Windows 10 и Chrome. Кроме того, исследователям предлагали поучаствовать в совместном проекте Visual Studio и по их запросу предоставляли DLL якобы с кодом эксплоита (хэш DLL на VirusTotal). Такой вектор социальной инженерии встречается впервые в мире.
Как показало расследование, хакерская группа контактировала с исследователями безопасности через поддельные аккаунты в социальных сетях Twitter и LinkedIn.
Фейковые профили пользователей LinkedIn и Twitter
Более того, они создали поддельную компанию под названием SecuriElite, которая базируется в Турции и якобы приглашает экспертов по безопасности. Как сообщается, компания предлагает услуги offensive security, включая «пентесты, оценку безопасности программного обеспечения и эксплоиты».
В общей сложности Google идентифицировала восемь аккаунтов Twitter и семь профилей LinkedIn, которые участвовали в операции. Блог с интересной информацией на тему ИБ для привлечения целевой аудитории был запущен в 2020 году.
Блог с интересной информацией для привлечения исследователей по безопасности
Для операции были зарегистрированы профили на ряде платформ, включая Telegram, Keybase и Discord, чтобы общаться с исследователями и завоевать их доверие.
14 января 2021 года злоумышленники опубликовали в Twitter и на YouTube видео с демонстрацией эксплоита для недавно закрытой уязвимости в Windows Defender (CVE-2021-1647).
Если кто-то из исследователей по безопасности заглотил наживку, ему предлагали поучаствовать в совместном проекте Visual Studio. Это новый метод социальной инженерии, который ранее ещё не встречался.
Извините, данный ресурс не поддреживается. :(
Хакеры обещали, что в проекте Visual Studio будет код эксплоита, показанного на видео, и предоставляли DLL, которая исполнялась через Visual Studio Build Events. Сразу после этого она устанавливала соединение с удалённым командным сервером.
Сайт SecuriElite запустили 17 марта 2021 года. До этого атака велась только через блог.
Корейские коллеги уже определили уязвимость 0-day, через которую эксплоит срабатывал в Internet Explorer. О других браузерах информации пока нет.
Кроме сайта, атака велась через официальный блог blog.br0vvnn[.]io. Ранее сообщалось, что эксплоит срабатывает в последних версиях Windows 10 и Chrome со всеми патчами. Сейчас антивирусы уже начали его распознавать.
Если избранных жертв индивидуально приглашают на заражённый сайт, то это таргетированный фишинг. Если жертва сама нашла «новый интересный сайт», то это немного похоже на атаку типа watering hole (когда взламывается настоящий сайт, которым пользуется целевая группа). Наверное, в данном случае можно говорить о гибридной технике.
Пока непонятно, с какой целью на компьютеры специалистов устанавливали бэкдоры. Возможно, злоумышленники искали информацию о новых 0-day. Это ценный товар на чёрном рынке. Сведения о багах в популярном ПО продаются за сотни тысяч долларов. Уязвимости эксплуатируются несколько месяцев или лет, пока о них не становится известно широкой публике. Если хакер находит серьёзную уязвимость в Windows или iOS — он может обеспечить себе безбедное существование на годы вперёд и пожизненный авторитет в сообществе.
Теоретически, жертвой нацеленной атаки может стать каждый, даже эксперт по безопасности, если он не использует для выхода в интернет отдельный компьютер. Антивирусные программы здесь не помогут, скорее наоборот: зачастую они увеличивают поверхность атаки и ухудшают безопасность системы.
Google Threat Analysis Group опубликовала список аккаунтов в соцсетях, адреса командных серверов (в том числе взломанных чужих серверов, которые использовались как командные), хэши DLL для VS Project и индикаторы компрометации (IOCs).
оригинал
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность, Законодательство в IT, Производство и разработка электроники, Ноутбуки, IT-компании] Хакерская группировка REvil требует выкуп в размере $50 млн за чертежи Apple
- [Информационная безопасность, Киберпанк, Лайфхаки для гиков, Транспорт] Анонимность в современном мегаполисе
- [Информационная безопасность, Работа с видео, Социальные сети и сообщества] Гендиректор YouTube получила награду «Свобода выражения», которую спонсировал YouTube
- [Информационная безопасность, Стандарты связи, Законодательство в IT, IT-компании] Минцифры добавит подмену номера в качестве одной из угроз в правила для сетей связи
- [Информационная безопасность, Обработка изображений, Машинное обучение, Искусственный интеллект] Ковидная индустрия и системы распознавания
- [Информационная безопасность] Threat Intelligence по полочкам: разбираемся в стандартах обмена данными
- [Информационная безопасность, Управление e-commerce, Законодательство в IT, Финансы в IT] Слежка за онлайн-покупателями становится всё более активной (перевод)
- [Информационная безопасность, IT-стандарты, Законодательство в IT, Социальные сети и сообщества] Теперь персональные данные должны удалять отовсюду по первому требованию, но есть побочка
- [Информационная безопасность, Сетевые технологии] Концепция периметра безопасности устарела. Но как усложнить жизнь хакерам?
- [Информационная безопасность, Социальные сети и сообщества] Инструмент позволил связывать адреса электронной почты с учетными записями Facebook
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_antivirusnaja_zaschita (Антивирусная защита), #_brauzery (Браузеры), #_sotsialnye_seti_i_soobschestva (Социальные сети и сообщества), #_securielite, #_google_threat_analysis_group, #_sotsialnaja_inzhenerija (социальная инженерия), #_targetirovannyj_fishing (таргетированный фишинг), #_watering_hole, #_publichnyj_kljuch (публичный ключ), #_pgp, #_visual_studio, #_0day, #_blog_kompanii_globalsign (
Блог компании GlobalSign
), #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_antivirusnaja_zaschita (
Антивирусная защита
), #_brauzery (
Браузеры
), #_sotsialnye_seti_i_soobschestva (
Социальные сети и сообщества
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 17:29
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
 Сайт несуществующей компании SecuriElite В январе 2021 года специалисты Google Threat Analysis Group (TAG) рассказали об атаке на исследователей ИТ-безопасности по всему миру. Теперь опубликованы некоторые подробности этой необычной операции. Злоумышленники использовали новые 0-day, которые срабатывают в последних версиях Windows 10 и Chrome. Кроме того, исследователям предлагали поучаствовать в совместном проекте Visual Studio и по их запросу предоставляли DLL якобы с кодом эксплоита (хэш DLL на VirusTotal). Такой вектор социальной инженерии встречается впервые в мире. Как показало расследование, хакерская группа контактировала с исследователями безопасности через поддельные аккаунты в социальных сетях Twitter и LinkedIn.   Фейковые профили пользователей LinkedIn и Twitter Более того, они создали поддельную компанию под названием SecuriElite, которая базируется в Турции и якобы приглашает экспертов по безопасности. Как сообщается, компания предлагает услуги offensive security, включая «пентесты, оценку безопасности программного обеспечения и эксплоиты». В общей сложности Google идентифицировала восемь аккаунтов Twitter и семь профилей LinkedIn, которые участвовали в операции. Блог с интересной информацией на тему ИБ для привлечения целевой аудитории был запущен в 2020 году.  Блог с интересной информацией для привлечения исследователей по безопасности Для операции были зарегистрированы профили на ряде платформ, включая Telegram, Keybase и Discord, чтобы общаться с исследователями и завоевать их доверие. 14 января 2021 года злоумышленники опубликовали в Twitter и на YouTube видео с демонстрацией эксплоита для недавно закрытой уязвимости в Windows Defender (CVE-2021-1647).  Если кто-то из исследователей по безопасности заглотил наживку, ему предлагали поучаствовать в совместном проекте Visual Studio. Это новый метод социальной инженерии, который ранее ещё не встречался. Извините, данный ресурс не поддреживается. :( Хакеры обещали, что в проекте Visual Studio будет код эксплоита, показанного на видео, и предоставляли DLL, которая исполнялась через Visual Studio Build Events. Сразу после этого она устанавливала соединение с удалённым командным сервером.  Сайт SecuriElite запустили 17 марта 2021 года. До этого атака велась только через блог.  Корейские коллеги уже определили уязвимость 0-day, через которую эксплоит срабатывал в Internet Explorer. О других браузерах информации пока нет.  Кроме сайта, атака велась через официальный блог blog.br0vvnn[.]io. Ранее сообщалось, что эксплоит срабатывает в последних версиях Windows 10 и Chrome со всеми патчами. Сейчас антивирусы уже начали его распознавать. Если избранных жертв индивидуально приглашают на заражённый сайт, то это таргетированный фишинг. Если жертва сама нашла «новый интересный сайт», то это немного похоже на атаку типа watering hole (когда взламывается настоящий сайт, которым пользуется целевая группа). Наверное, в данном случае можно говорить о гибридной технике. Пока непонятно, с какой целью на компьютеры специалистов устанавливали бэкдоры. Возможно, злоумышленники искали информацию о новых 0-day. Это ценный товар на чёрном рынке. Сведения о багах в популярном ПО продаются за сотни тысяч долларов. Уязвимости эксплуатируются несколько месяцев или лет, пока о них не становится известно широкой публике. Если хакер находит серьёзную уязвимость в Windows или iOS — он может обеспечить себе безбедное существование на годы вперёд и пожизненный авторитет в сообществе. Теоретически, жертвой нацеленной атаки может стать каждый, даже эксперт по безопасности, если он не использует для выхода в интернет отдельный компьютер. Антивирусные программы здесь не помогут, скорее наоборот: зачастую они увеличивают поверхность атаки и ухудшают безопасность системы. Google Threat Analysis Group опубликовала список аккаунтов в соцсетях, адреса командных серверов (в том числе взломанных чужих серверов, которые использовались как командные), хэши DLL для VS Project и индикаторы компрометации (IOCs).  оригинал =========== Источник: habr.com =========== Похожие новости:
Блог компании GlobalSign ), #_informatsionnaja_bezopasnost ( Информационная безопасность ), #_antivirusnaja_zaschita ( Антивирусная защита ), #_brauzery ( Браузеры ), #_sotsialnye_seti_i_soobschestva ( Социальные сети и сообщества ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 17:29
Часовой пояс: UTC + 5