бэкдор

Apple внедрила в бета-версию iOS 15.2 бэкдор, по ее словам, с благими намерениями
17 ноября, 2021
Грядущее обновление iOS 15.2 станет самым радикальным обновлением для iPhone за последние несколько лет. Самым радикальным не только из-за новых функций и сервисов, но также из-за нового подхода к конфиденциальности пользователей iMessage.
APT-группа Nobelium ставит на ADFS-серверы новый бэкдор — FoggyWeb
30 сентября, 2021
Эксперты Microsoft изучили новый инструмент постэксплуатации, который APT-группа Nobelium уже пустила в ход.
Ловкий Linux-бэкдор несколько лет оставался вне поля зрения экспертов
01 мая, 2021
Недавно обнаруженному Linux-вредоносу удавалось много лет оставаться вне поля зрения исследователей в области кибербезопасности.
Обнаружен новый бекдор для кибершпионажа
12 апреля, 2021
Компания ESET сообщает об обнаружении ранее незафиксированного бэкдора под названием Vyveva, который использовался для атаки на логистическую компанию. Вредоносная программа может перехватывать файлы и собирать информацию о конкретном компьютере и его дисках.
Фишинговые атаки на пользователей LinkedIn становятся все более персонализированными
07 апреля, 2021
Фишеры вовсю нацелились на безработных пользователей LinkedIn, предлагая им несуществующие должности и заражая их компьютеры вредоносным ПО.
В код языка PHP внедрили бэкдоры от имени известных разработчиков
01 апреля, 2021
Неизвестные злоумышленники смогли взломать официальный Git-репозиторий открытого языка программирования PHP для написания web-приложений, исполняющихся на веб-сервере. В исходный код ПО были внедрены бэкдоры.
Стало известно о трех новых вредоносах, использованных в атаке на SolarWinds
09 марта, 2021
Исследователи безопасности из компаний Microsoft и FireEye опубликовали отдельные отчеты с подробным описанием новых вариантов вредоносных программ, которые были использованы злоумышленниками в рамках атаки на цепочку поставок SolarWinds и ее клиентов в 2020 году. Для описания киберпреступной группировки, ответственной за данную атаку, специалисты Microsoft дали ей кодовое название Nobelium.
Треть жертв «взлома SolarWinds» не использовали продукцию SolarWinds
04 февраля, 2021
Сама SolarWinds в настоящее время проверяет, не проникли ли злоумышленники в ее сети через облачный сервис Microsoft. Атаковавшая компанию SolarWinds хакерская группировка нашла другие способы атаковать американские компании, помимо взлома ПО SolarWinds. По сути, почти треть (30%) пострадавших вообще не использовали продукцию SolarWinds.
Скрытые объявления на сайте Белого дома
По материалам InfoTel 28 января, 2021
Скрытые сообщения, функции или шутки в приложениях и на веб-сайтах обычно называют на хакерском жаргоне пасхальными яйцами. Главная задумка – их нужно находить и получать от них удовольствие, но они не должны быть очевидными сразу.
Hack The Box. Прохождение Compromised. RCE LiteCart и бэкдор pam_unix
27 января, 2021
Продолжаю публикацию решений отправленных на дорешивание машин с площадки HackTheBox. Надеюсь, что это поможет хоть кому-то развиваться в области ИБ.
Microsoft определила конечную цель взломавших SolarWinds хакеров
12 января, 2021
По мнению специалистов Microsoft, конечной целью взломавших SolarWinds хакеров было получение доступа к облачным активам жертв через установленный в их сетях бэкдор Sunburst/Solorigate.
Компания SolarWinds устранила еще один бэкдор из платформы Orion
28 декабря, 2020
Компания SolarWinds опубликовала обновленное уведомление безопасности о дополнительном вредоносном ПО SUPERNOVA, распространяющемся через ее платформу для управления IT-ресурсами Orion.
Кибергруппировка Winnti атаковала разработчиков софта по всему миру
10 сентября, 2020
Экспертный центр безопасности компании Positive Technologies (PT Expert Security Center, PT ESC) выявил новую атаку группировки Winnti, а также изучил ее новый инструментарий и инфраструктуру. К сегодняшнему дню уже заражены несколько десятков ПК по всему миру, включая Россию, США, Японию, Южную Корею, Германию, Монголию, Беларусь, Индию, Бразилию т.д. Некоторые скомпрометированные организации специалистам PT Expert Security Center удалось идентифицировать, все они получили соответствующие уведомления об имеющихся рисках по линии национальных CERT.
Российские хакеры из APT28 атаковали экспертов НАТО по принципу «на авось»
Владимир Смирнов 25 октября, 2017
Исследователи Cisco Talos обнаружили атаку российских кибершпионов с помощью фишинга, содержащего документы, ссылающиеся на конференцию НАТО по кибербезопасности.
Бэкдор NyaDrop атакует IoT-устройства
17 октября, 2016
Устройства IoT (Internet of Things) с жестко запрограммированными по умолчанию данными для входа все чаще становятся мишенью для недавно обнаруженной вредоносной программы под Linux. Новая угроза для Linux NyaDrop была замечена полгода назад в некоторых атаках. На тот момент этот вредонос не мог успешно заразить устройства, так как не был хорошо реализован, об этом говорится в посте на Malware Must Die. Однако в последнее время вредоносная программа получила ряд усовершенствований. По словам экспертов, основная причина этих атак кроется в давно известной уязвимости, связанной с тем, что производитель использует в устройствах по умолчанию известные данные для входа. Данный бэкдор ориентирован на уязвимые маршрутизаторы и аналогичные сетевые устройства, основанные на архитектуре процессора MIPS.


Исследователь утверждает, что ФБР могло не тратить на взлом iPhone террориста $1 млн
19 сентября, 2016
Сергей Скоробогатов, специалист из Кембриджского университета, опубликовал результаты своих исследований на тему взлома заблокированных iOS-устройств. В начале 2016 года многие исследователи предлагали сотрудникам ФБР, которые никак не могли взломать iPhone, принадлежавший террористу, воспользоваться техникой NAND mirroring. Тогда представители ФБР заявили, что данный метод не работает, а вскоре агентство заплатило неназванной компании миллион долларов за разблокировку устройства. Теперь Скоробогатов решил доказать, что эта техника отлично работает и представил доказательства. Напомню, что скандал, едва не перешедший в затяжной судебный процесс между ФБР и компанией Apple, разразился в начале 2016 года. Тогда в руках правоохранительных органов оказался iPhone, принадлежавший Саейду Фаруку, одному из организаторов теракта в Сан-Бернардино. Так как сам Фарук на тот момент был мертв, перед ФБР встал вопрос о разблокировке устройства. Вначале правоохранители попытались оказать давление на компанию Apple и вынудить специалистов «оказать содействие в расследовании». По сути, ФБР попросило разработчиков Apple не просто вскрыть iPhone террориста, но создать бэкдор. Тогда компания отказалась исполнить предписание суда.
Злоумышленники используют PUB-файлы для хищения корпоративных данных
16 сентября, 2016
Исследователи компании Bitdefender зафиксировали спам-кампанию, в ходе которой злоумышленники распространяют бэкдор, замаскированный под файл Microsoft Publisher (.pub), предназначенный для хищения конфиденциальной корпоративной информации. В основном киберпреступников интересуют предприятия среднего и малого бизнеса. Троян пока не получил наименование и в настоящее время детектируется как Generic.Malware.SFLl.545292C, сообщает Hot For Security.

Электронные письма, ссылающиеся на различные китайские и британские бренды, содержат вложение в виде файла Microsoft Publisher. После его открытия (в письме рекомендуется использовать приложение Microsoft Publisher) запускается скрипт VBScript, загружающий на компьютер жертвы самораспаковывающийся CAB-файл. Последний содержит скрипт AutoIt, инструмент для запуска скрипта и еще один файл, зашифрованный при помощи алгоритма AES-256. Как отмечается, ключом дешифрования для второго файла служит строка в скрипте AutoIt.
Злоумышленники используют PUB-файлы для хищения корпоративных данных
14 сентября, 2016
Исследователи компании Bitdefender зафиксировали спам-кампанию, в ходе которой злоумышленники распространяют бэкдор, замаскированный под файл Microsoft Publisher (.pub), предназначенный для хищения конфиденциальной корпоративной информации. В основном киберпреступников интересуют предприятия среднего и малого бизнеса. Троян пока не получил наименование и в настоящее время детектируется как Generic.Malware.SFLl.545292C, сообщает Hot For Security. Электронные письма, ссылающиеся на различные китайские и британские бренды, содержат вложение в виде файла Microsoft Publisher. После его открытия (в письме рекомендуется использовать приложение Microsoft Publisher) запускается скрипт VBScript, загружающий на компьютер жертвы самораспаковывающийся CAB-файл. Последний содержит скрипт AutoIt, инструмент для запуска скрипта и еще один файл, зашифрованный при помощи алгоритма AES-256. Как отмечается, ключом дешифрования для второго файла служит строка в скрипте AutoIt.
Cisco и Fortinet выпустили уведомления безопасности после утечки данных Equation Group
19 августа, 2016
В прошлом посте мы более подробно остановились на содержимом утекшего в сеть архива с данными кибергруппировки Equation Group. Мы также указали, что названия эксплойтов и имплантов (компонентов) вредоносных программ соответствуют названиям из архива NSA ANT. В ряде упоминавшихся вендоров, на устройства которых были нацелены эксплойты, указывались Cisco и Fortinet (Fortigate Firewall). В случае с Cisco речь идет о двух эксплойтах для устройств Cisco ASA, PIX и Firewall Services Module с названиями ANT EXTRABACON (EXBA) и EPICBANANA (EPBA). Первый эксплойт относится к типу 0day и использует ранее неизвестную уязвимость с идентификатором CVE-2016-6366 (Cisco ASA RCE vulnerability). Второй использует исправленную 1day уязвимость с идентификатором CVE-2016-6367 (Cisco ASA CLI RCE).

Ниже указана информация из блога Cisco, в которой приводятся соответствия эксплойтов Equation Group и названий уязвимостей. Там также упоминается имплант JETPLOW, который используется как бэкдор для firmware сетевого устройства. Далее указано описание JETPLOW из слайда ANT.
ESET предупреждает о всплеске активности опасного кликера
19 августа, 2016
Антивирусная компания ESET предупреждает пользователей о росте активности троянской программы Nemucod, которая распространяет бэкдор Kovter, кликающий по рекламным ссылкам. Nemucod использовался в 2016 году в нескольких крупных киберкампаниях. Как отмечается в отчёте, его доля достигала 24 % в общемировом объёме вредоносных программ, а уровень распространённости в отдельных странах превышал 50 %. Ранее злоумышленники использовали загрузчик для распространения шифраторы, таких как Locky и TeslaCrypt. В новой кампании Nemucod используется преимущественно для загрузки бэкдора Kovter, предназначенного для накрутки кликов по рекламным объявлениям. Сам загрузчик распространяется посредством спам-рассылки: к письмам прикладывается ZIP-архив, где под видом счёта-фактуры скрывается исполняемый файл. Если жертва запустит заражённый фал, Nemucod загрузит на её компьютер Kovter.
В софте Dell обнаружен бэкдор и пять серьезных уязвимостей
22 июля, 2016
Сотрудники американской компании Digital Defense Inc сообщили, что продукция Dell SonicWall небезопасна. Исследователи обнаружили в составе Dell SonicWALL Global Management System (GMS) скрытый дефолтный аккаунт с очень простым паролем и еще пять критических уязвимостей, две из которых могут привести к удаленному выполнению произвольного кода в системе. Компания Dell приобрела компанию SonicWALL еще в 2014 году. Продукция SonicWALL — это комплексные решения в области сетевой безопасности, безопасности электронной почты, безопасного удаленного доступа, защиты данных, анализа отчетности, централизованного управления и так далее. Специалисты Digital Defense Inc сообщают, что им удалось обнаружить в продуктах Dell SonicWALL GMS спрятанный аккаунт «с паролем, который очень легко подобрать». Данный бэкдор может использоваться для добавления в систему новых пользователей, так как через консоль GMS можно скачать CLI-клиент. Фактически, непривилегированный пользователь способен получить доступ к веб-интерфейсам и изменить пароль администратора, повысить собственные привилегии до максимальных и стать новым админом. Это даст злоумышленнику полный контроль над GMS и сопряженных устройствах SonicWALL