Μια θυγατρική της ομάδας BlackCat ransomware, επίσης γνωστή ως APLHV, βρίσκεται πίσω από την επίθεση που διέκοψε τις λειτουργίες της MGM Resorts, αναγκάζοντας την εταιρεία να κλείσει τα συστήματα πληροφορικής. Σε ανακοίνωσή της, η ομάδα BlackCat ransomware ισχυρίζεται ότι είχε διεισδύσει στην υποδομή της MGM από την Παρασκευή και κρυπτογράφησε περισσότερους από 100 ESXi hypervisors, αφού η εταιρεία έθεσε εκτός λειτουργίας την εσωτερική υποδομή. Η ομάδα αναφέρει ότι εξαφάνισε δεδομένα από το δίκτυο και διατηρεί πρόσβαση σε ορισμένες από τις υποδομές της MGM, απειλώντας ότι θα αναπτύξει νέες επιθέσεις εάν δεν επιτευχθεί συμφωνία για την καταβολή λύτρων.
Ανάπτυξη Ransomware και κλοπή δεδομένων της MGM
Ο ερευνητής κυβερνοασφάλειας vx-underground αποκάλυψε πρώτος την είδηση ότι οι χάκερς που συνδέονται με την επιχείρηση ransomware ALPHV φέρεται να παραβίασαν την MGM μέσω επίθεσης κοινωνικής μηχανικής. Επικαλούμενες πηγές που γνωρίζουν το θέμα, αναφορές στο διαδίκτυο, ανέφεραν αργότερα ότι ο χάκερ που παραβίασε την MGM Resorts εντοπίζεται από εταιρείες κυβερνοασφάλειας ως Scattered Spider (Crowdstrike). Άλλες εταιρείες χρησιμοποιούν διαφορετικά ονόματα για να εντοπίσουν τον ίδιο δράστη απειλής: 0ktapus (Group-IB), UNC3944 (Mandiant) και Scatter Swine (Okta).
Σύμφωνα με τους δημοσιογράφους του Bloomberg, οι Scattered Spider παραβίασαν επίσης το δίκτυο της Caesars Entertainment, η οποία, σε ανακοίνωση της αμερικανικής Επιτροπής Κεφαλαιαγοράς την Πέμπτη, έδωσε σαφή υπαινιγμό ότι πλήρωσε τον επιτιθέμενο για να αποφύγει τη διαρροή των δεδομένων πελατών που εκλάπησαν κατά την επίθεση. Η απαίτηση για λύτρα φέρεται να ήταν 30 εκατομμύρια δολάρια. Στη σημερινή ανακοίνωσή της, η BlackCat αναφέρει ότι η MGM Resorts παρέμεινε σιωπηλή σχετικά με το κανάλι επικοινωνίας που δόθηκε, υποδεικνύοντας ότι η εταιρεία δεν έχει καμία πρόθεση να διαπραγματευτεί την καταβολή λύτρων. Οι χάκερς τονίζουν ότι η μόνη ενέργεια που είδαν από την MGM ήταν ως απάντηση στην παραβίαση, αποσυνδέοντας κάθε έναν από τους διακομιστές Okta Sync τους, αφού έμαθαν ότι παραμονεύαμε στους δικούς τους
Προς το παρόν, οι χάκερς δηλώνουν ότι δεν γνωρίζουν τι είδους δεδομένα έκλεψαν από την MGM, αλλά υπόσχονται να αποσπάσουν σχετικές πληροφορίες και να τις μοιραστούν στο διαδίκτυο, εκτός αν καταλήξουν σε συμφωνία με την MGM. Για να πιέσουν ακόμη περισσότερο την εταιρεία να πληρώσει, η BlackCat απείλησε ότι θα χρησιμοποιήσει την τρέχουσα πρόσβασή της στις υποδομές της MGM για να “πραγματοποιήσει πρόσθετες επιθέσεις”.
Ποιοι είναι οι Scattered Spider
Οι Scattered Spider πιστεύεται ότι είναι μια ομάδα χάκερς που είναι γνωστό ότι χρησιμοποιούν ένα ευρύ φάσμα επιθέσεων κοινωνικής μηχανικής για να παραβιάσουν εταιρικά δίκτυα. Αυτές οι επιθέσεις περιλαμβάνουν την υποδυόμενη προσωπικότητα του help desk για να εξαπατήσει τους χρήστες ώστε να τους παράσχουν διαπιστευτήρια, επιθέσεις ανταλλαγής SIM για να καταλάβουν τον αριθμό τηλεφώνου μιας στοχευμένης κινητής συσκευής, καθώς και επιθέσεις κόπωσης και phishing MFA για να αποκτήσουν πρόσβαση σε κωδικούς ελέγχου ταυτότητας πολλαπλών παραγόντων. Σε αντίθεση με τους περισσότερους συνεργάτες ransomware που προέρχονται από χώρες της ΚΑΚ, οι ερευνητές πιστεύουν ότι η ομάδα χάκερ αποτελείται από αγγλόφωνους εφήβους και νεαρούς ενήλικες ηλικίας 16-22 ετών. Επιπλέον, λόγω των παρόμοιων τακτικών, οι ερευνητές πιστεύουν ότι η ομάδα επικαλύπτεται με την ομάδα hacking Lapsus$, η οποία είχε παρόμοια σύνθεση ως προς τα μέλη και τις τακτικές.
Μια εκστρατεία Scattered Spider με την ονομασία “0ktapus” χρησιμοποιήθηκε για να στοχεύσει πάνω από 130 οργανισμούς για να κλέψει διαπιστευτήρια ταυτότητας Okta και κωδικούς 2FA, με μερικούς από αυτούς τους στόχους να περιλαμβάνουν τις T-Mobile, MetroPCS, Verizon Wireless, AT&T, Slack, Twitter, Binance, KuCoin, CoinBase, Microsoft, Epic Games, Riot Games, Evernote, AT&T, HubSpot, TTEC και Best Buy. Μόλις οι απειλητικοί φορείς παραβιάσουν ένα δίκτυο, έχουν ιστορικό χρήσης επιθέσεων “Φέρε τον δικό σου ευάλωτο οδηγό” για να αποκτήσουν αυξημένη πρόσβαση σε μια παραβιασμένη συσκευή. Αυτή η πρόσβαση χρησιμοποιείται στη συνέχεια για περαιτέρω πλευρική εξάπλωση στο δίκτυο, ενώ παράλληλα κλέβουν δεδομένα και τελικά αποκτούν πρόσβαση σε διαπιστευτήρια διαχειριστή. Μόλις αποκτήσουν πρόσβαση με διαπιστευτήρια διαχειριστή, μπορούν να πραγματοποιήσουν περαιτέρω επιθέσεις, όπως η πειρατεία της διαχείρισης ενιαίας σύνδεσης, η καταστροφή αντιγράφων ασφαλείας και πιο πρόσφατα, η ανάπτυξη του ransomware BlackCat/ALPHV για την κρυπτογράφηση συσκευών. Ενώ το στοιχείο ransomware είναι μια σχετικά νέα τακτική της ομάδας χάκερ, σχεδόν όλες οι επιθέσεις τους περιλαμβάνουν εκβιασμό, όπου απαιτούν λύτρα εκατομμυρίων δολαρίων σε αντάλλαγμα για να μην δημοσιεύσουν δεδομένα ή για να λάβουν ένα κρυπτογράφημα.
Πώς να χακάρετε ένα WPA/WPA2 WPS Router με το Android σας και το bcmon
Θέλετε να ελέγξετε την ασφάλεια του δικτύου σας;
Κάποτε μπορεί να χρειαζόταν να εγκατασταθεί ένα desktop λειτουργικό σύστημα με μια συγκεκριμένη κάρτα ασύρματου δικτύου. Τώρα, όμως, μπορείτε να χρησιμοποιήσετε ορισμένες Android συσκευές να ανιχνεύσετε και να σπάσετε ασύρματα δίκτυα. Αυτά τα εργαλεία είναι διαθέσιμα δωρεάν εφόσον η συσκευή σας είναι συμβατή. Το χακάρισμα των routers χωρίς άδεια είναι παράνομο. Αυτά τα βήματα παρέχονται για να ελέγξετε την ασφάλεια του δικού σας δικτύου!
Πάμε να δούμε, λοιπόν, ποια είναι τα απαραίτητα βήματα:
1.Rootάρετε μια συμβατή συσκευή.
Δεν είναι κάθε Android τηλέφωνο ή tablet θα είναι σε θέση να σπάσει ένα WPS PIN.
Η συσκευή πρέπει να έχει ένα Broadcom bcm4329 ή bcm4330 ασύρματο chipset και πρέπει να είναι root-αρισμένη. Η Cyanogen ROM θα σας δώσει τις μεγαλύτερες πιθανότητες επιτυχίας. Μερικές από τις γνωστές υποστηριζόμενες συσκευές είναι οι:
Nexus 7
Galaxy Ace / S1 / S2 / S3
Nexus One
Desire HD
2.Κατεβάστε και εγκαταστήστε το bcmon.
Αυτό το εργαλείο ενεργοποιεί το Monitor Mode στο Broadcom chipset, που είναι απαραίτητο για να μπορέσει να σπάσει το PIN. Το bcmon APK αρχείο είναι διαθέσιμο δωρεάν από την bcmon σελίδα στην Google Code ιστοσελίδα.
Για να εγκαταστήσετε ένα APK αρχείο, θα πρέπει να επιτρέψετε την εγκατάσταση από άγνωστες πηγές στο Security μενού σας.
3.Εκτελέστε το bcmon.
Αφότου εγκαταστήσετε το APK αρχείο, εκτελέστε την εφαρμογή.
Εάν σας ζητηθεί, εγκαταστήστε το firmware και τα εργαλεία. Πατήστε την επιλογή «Ενεργοποίηση του Monitor Mode«.
Εάν η εφαρμογή κρασάρει, ανοίξτε την και δοκιμάστε ξανά. Εάν αποτύχει και για τρίτη φορά, είναι πολύ πιθανό να μην υποστηρίζεται η συσκευή σας.
Η συσκευή σας πρέπει να είναι root-αρισμένη, για να τρέξει το bcmon.
4.Κατεβάσετε και εγκαταστήσετε το Reaver.
Το Reaver είναι ένα πρόγραμμα που αναπτύχθηκε για να σπάει το WPS PIN για να μπορεί να ανακτηθεί η WPA2 φράση πρόσβασης (passphrase).
Το Reaver APK μπορείτε να το κατεβάσετε από το thread των προγραμματιστών στα XDA-developers forums.
5.Εκκίνηση το Reaver.
Πατήστε το εικονίδιο του Reaver στο Android από το App drawer.
Μετά την επιβεβαίωση ότι δεν το χρησιμοποιείτε για παράνομους σκοπούς, το Reaver θα σαρώσει για διαθέσιμα σημεία πρόσβασης.
Επιλέξτε το σημείο πρόσβασης που θέλετε να σπάσετε για να συνεχίσετε.
Μπορεί να χρειαστεί να επιβεβαιώσετε την Monitor Mode πριν προχωρήσετε. Σε αυτή την περίπτωση, το bcmon θα ανοίξει και πάλι.
Το σημείο πρόσβασης που θα επιλέξετε πρέπει να δέχεται WPS αυθεντικοποίηση. Δεν το υποστηρίζουν όλοι οι δρομολογητές αυτό.
6.Επιβεβαιώστε τις ρυθμίσεις σας.
Στις περισσότερες περιπτώσεις, μπορείτε να αφήσετε τις προεπιλεγμένες ρυθμίσεις. Βεβαιωθείτε ότι το «Αυτόματες ρυθμίσεις για προχωρημένους» κουτάκι είναι επιλεγμένο.
7.Ξεκινήστε την cracking διαδικασία.
Πατήστε το κουμπί «Start attack» στο κάτω μέρος του μενού Ρυθμίσεις του Reaver. Η οθόνη θα ανοίξει και θα δείτε τα αποτελέσματα του εν εξελίξει crack να εμφανίζονται.
Το cracking του WPS μπορεί να διαρκέσει από 2 έως 10 + ώρες μέχρι να ολοκληρωθεί και δεν είναι πάντα επιτυχές.
Εγκατάσταση
Κατεβάστε/εγκαταστήστε το bcmon.apk και το RfA.apk από εδώ(Ή μόνοι σας). Το RfA μπορεί να κατεβάσει το bcmon αυτόματα.
Τρέξτε το bcmon, αν κρασάρει ξαναδοκιμάστε.
Αν όλα πάνε καλά,τρέξτε το RfA. Αν όχι,μπορεί η συσκευή σας να μην είναι συμβατή με το bcmon.
Αφού διαλέγοντας ένα WPS-enabled router, πατήστε πάνω στο “Test Monitor-Mode”.
Τώρα μπορείτε να χρησιμοποιπήσετε το Rfa. Μην απεγκαταστήσετε το bcmon.
Τα βήματα 1-4 είναι μόνο για την εγκατάσταση, δεν χρειάζεται να τα επαναλάβετε.
Η ομάδα hackers Evasive Gelsemium εντοπίστηκε σε επίθεση κατά της ασιατικής κυβέρνησης
Μια προηγμένη απειλή (APT) που εντοπίστηκε ως Gelsemium παρατηρήθηκε σε επιθέσεις με στόχο μια κυβέρνηση της Νοτιοανατολικής Ασίας που διήρκεσαν έξι μήνες μεταξύ 2022 και 2023.
Η Gelsemium είναι μια ομάδα κυβερνοκατασκοπείας που λειτουργεί από το 2014 και στοχεύει κυβερνήσεις, εκπαιδευτικούς φορείς και κατασκευαστές ηλεκτρονικών ειδών στην Ανατολική Ασία και τη Μέση Ανατολή.
Η έκθεση της ESET από το 2021 χαρακτηρίζει την ομάδα απειλών ως “αθόρυβη”, υπογραμμίζοντας την τεράστια τεχνική ικανότητα και τις γνώσεις προγραμματισμού που τη βοήθησαν να πετάξει κάτω από το ραντάρ για πολλά χρόνια.
Μια νέα έκθεση της Μονάδας 42 της Palo Alto Network αποκαλύπτει πώς μια νέα εκστρατεία της Gelsemium χρησιμοποιεί σπάνια παρατηρούμενα backdoors που συνδέονται με τους φορείς απειλής με μέτρια εμπιστοσύνη.
Πρόσφατες επιθέσεις της Gelsemium
Η αρχική παραβίαση των στόχων της Gelsemium επιτεύχθηκε μέσω της εγκατάστασης κελυφών ιστού, πιθανότατα μετά την εκμετάλλευση ευπαθειών σε διακομιστές που έχουν πρόσβαση στο διαδίκτυο.
Η Μονάδα 42 αναφέρει ότι είδε τα κελύφη ιστού “reGeorg”, “China Chopper” και “AspxSpy”, τα οποία είναι δημόσια διαθέσιμα και χρησιμοποιούνται από πολλές ομάδες απειλών, καθιστώντας την απόδοση δύσκολη.
Χρησιμοποιώντας αυτά τα κελύφη ιστού, το Gelsemium πραγματοποίησε βασική αναγνώριση δικτύου, μετακινήθηκε πλευρικά μέσω SMB και ανέκτησε πρόσθετα ωφέλιμα φορτία.
Αυτά τα πρόσθετα εργαλεία που βοηθούν στην πλευρική μετακίνηση, τη συλλογή δεδομένων και την κλιμάκωση προνομίων περιλαμβάνουν τα OwlProxy, SessionManager, Cobalt Strike, SpoolFool και EarthWorm.
Το Cobalt Strike είναι μια ευρέως χρησιμοποιούμενη σουίτα δοκιμών διείσδυσης, το EarthWorm είναι ένας δημόσια διαθέσιμος tunneler SOCKS και το SpoolFool είναι ένα τοπικό εργαλείο κλιμάκωσης προνομίων ανοικτού κώδικα, οπότε αυτά τα τρία δεν αφορούν ειδικά το Gelsemium.
Ωστόσο, το OwlProxy είναι ένα μοναδικό, προσαρμοσμένο εργαλείο HTTP proxy και backdoor της Μονάδας 42 αναφέρει ότι το Gelsemium το χρησιμοποίησε σε μια παλαιότερη επίθεση με στόχο την κυβέρνηση της Ταϊβάν.
Στην τελευταία εκστρατεία, ο δράστης της απειλής ανέπτυξε ένα εκτελέσιμο πρόγραμμα που αποθήκευσε ένα ενσωματωμένο DLL (wmipd.dll) στο δίσκο του παραβιασμένου συστήματος και δημιούργησε μια υπηρεσία που το εκτελεί.
Το DLL είναι μια παραλλαγή του OwlProxy, το οποίο δημιουργεί μια υπηρεσία HTTP που παρακολουθεί τις εισερχόμενες αιτήσεις για συγκεκριμένα μοτίβα URL που κρύβουν εντολές.
Οι ερευνητές λένε ότι τα προϊόντα ασφαλείας στο σύστημα-στόχο εμπόδισαν την εκτέλεση του OwlProxy, οπότε οι επιτιθέμενοι επέστρεψαν στη χρήση του EarthWorm.
Το δεύτερο προσαρμοσμένο εμφύτευμα που σχετίζεται με το Gelsemium είναι το SessionManager, μια κερκόπορτα IIS που η Kaspersky συνέδεσε με την ομάδα απειλών το περασμένο καλοκαίρι.
Το δείγμα της πρόσφατης επίθεσης παρακολουθούσε τις εισερχόμενες αιτήσεις HTTP, αναζητώντας ένα συγκεκριμένο πεδίο Cookie που μεταφέρει εντολές για εκτέλεση στον υπολογιστή.
Οι εντολές αυτές αφορούν τη μεταφόρτωση αρχείων στον ή από τον διακομιστή C2, την εκτέλεση εντολών, την εκκίνηση εφαρμογών ή τη διαμεσολάβηση για συνδέσεις σε πρόσθετα συστήματα.
Η λειτουργία μεσολάβησης στο πλαίσιο των OwlProxy και SessionManager δείχνει την πρόθεση των φορέων απειλής να χρησιμοποιήσουν τον παραβιασμένο διακομιστή ως πύλη για την επικοινωνία με άλλα συστήματα στο δίκτυο-στόχο.
Κακόβουλες διαφημίσεις Notepad++ Google αποφεύγουν την ανίχνευση για μήνες
Μια νέα κακόβουλη δραστηριότητα Google Search στοχεύει σε χρήστες που επιθυμούν να κατεβάσουν το δημοφιλές πρόγραμμα επεξεργασίας κειμένου Notepad++, χρησιμοποιώντας προηγμένες τεχνικές για να αποφύγουν την ανίχνευση και την ανάλυση.
Οι φορείς απειλών κάνουν όλο και περισσότερο κατάχρηση των διαφημίσεων Google σε κακόβουλες καμπάνιες για την προώθηση ψεύτικων ιστότοπων λογισμικού που διανέμουν κακόβουλο λογισμικό.
Σύμφωνα με τη Malwarebytes, η οποία εντόπισε την κακόβουλη διαφημιστική καμπάνια Notepad++, ήταν ζωντανή εδώ και αρκετούς μήνες, αλλά κατάφερε να περάσει κάτω από το ραντάρ όλο αυτό το διάστημα.
Το τελικό ωφέλιμο φορτίο που παραδίδεται στα θύματα είναι άγνωστο, αλλά η Malwarebytes λέει ότι πιθανότατα πρόκειται για το Cobalt Strike, το οποίο συνήθως προηγείται των ιδιαίτερα επιζήμιων αναπτύξεων ransomware.
Κατάχρηση διαφημίσεων της Google
Το κακόβουλο Notepad++ προωθεί διευθύνσεις URL που είναι προφανώς άσχετες με το πρόγραμμα λογισμικού, αλλά χρησιμοποιούν παραπλανητικούς τίτλους που εμφανίζονται στις διαφημίσεις αποτελεσμάτων αναζήτησης της Google.
Αυτή η στρατηγική SEO χρησιμοποιείται σε μεγάλο βαθμό σε αυτή την περίπτωση, και δεδομένου ότι οι τίτλοι είναι πολύ μεγαλύτεροι και πιο ορατοί από τις διευθύνσεις URL, πολλοί άνθρωποι είναι πιθανό να πέσουν στην παγίδα.
Μόλις τα θύματα κάνουν κλικ σε κάποια από τις διαφημίσεις, ένα βήμα ανακατεύθυνσης ελέγχει την IP τους για να φιλτράρει τους χρήστες που πιθανόν να είναι crawlers, VPN, bots κ.λπ. και τους οδηγεί σε έναν ιστότοπο δόλωμα που δεν ρίχνει τίποτα κακόβουλο.
Αντίθετα, οι νόμιμοι στόχοι ανακατευθύνονται στο “notepadxtreme[.]com”, το οποίο μιμείται τον πραγματικό ιστότοπο του Notepad++, με συνδέσμους λήψης για διάφορες εκδόσεις του επεξεργαστή κειμένου.
Όταν οι επισκέπτες κάνουν κλικ σε αυτούς τους συνδέσμους, εκτελείται ένας δεύτερος έλεγχος δακτυλικών αποτυπωμάτων συστήματος από ένα τμήμα JavaScript για να επικυρωθεί ότι δεν υπάρχουν ανωμαλίες ή ενδείξεις ότι ο επισκέπτης χρησιμοποιεί ένα sandbox.
Στα θύματα που χαρακτηρίζονται ως κατάλληλοι στόχοι σερβίρεται στη συνέχεια μια δέσμη ενεργειών HTA, στην οποία αποδίδεται ένα μοναδικό αναγνωριστικό, το οποίο πιθανότατα επιτρέπει στους επιτιθέμενους να παρακολουθούν τις μολύνσεις τους. Αυτό το ωφέλιμο φορτίο σερβίρεται μόνο μία φορά ανά θύμα, οπότε μια δεύτερη επίσκεψη οδηγεί σε σφάλμα 404.
Η εξέταση του HTA από το Malwarebytes δεν παρήγαγε χρήσιμες πληροφορίες λόγω του ότι δεν ήταν οπλισμένο εκείνη τη στιγμή, αλλά οι αναλυτές βρήκαν το ίδιο αρχείο σε ένα VirusTotal upload από τον Ιούλιο.
Αυτό το αρχείο προσπάθησε να συνδεθεί σε έναν απομακρυσμένο τομέα σε μια προσαρμοσμένη θύρα, με τους ερευνητές να πιστεύουν ότι ήταν πιθανότατα μέρος μιας ανάπτυξης του Cobalt Strike.
Για να αποφύγετε τη λήψη κακόβουλου λογισμικού όταν αναζητάτε συγκεκριμένα εργαλεία λογισμικού, παραλείψτε τα προωθημένα αποτελέσματα στην Αναζήτηση Google και ελέγξτε ξανά ότι έχετε προσγειωθεί στον επίσημο τομέα.
Αν δεν είστε σίγουροι για τον πραγματικό ιστότοπο του προγράμματος, ελέγξτε τη σελίδα “Σχετικά”, την τεκμηρίωση, τη σελίδα της Wikipedia και τα επίσημα κανάλια κοινωνικής δικτύωσης.