Bize habercilerden veya telefonla ulaşın.

whatsapp telegram viber phone email
+79214188555

root

СисАдмин Форума
Yönetici
Full members of NP "MOD"
Katılım
17 Şub 2007
Mesajlar
677
Tepkime puanı
1,021
Puanları
93
Yaş
57
Любимые тактики хакерских группировок
Взлом компьютерных систем может происходить по-разному — от изощренных атак со взломом сетевых компонент до технически примитивных техник типа компрометации деловой переписки. В этом посте мы разберём тактики, которые используют самые опасные хакерские группировки — Lazarus, Pawn Storm, Cobalt, Silence и MoneyTaker.
Один из важнейших критериев выбора хакерских инструментов, помимо степени владения ими участников группировки, — это эффективность. Современные кибератаки — сложные многоступенчатые операции, проведение которых требует много времени и серьёзных финансовых ресурсов. Если проникновение в систему не удастся, вся предварительная работа и затраты окажутся напрасными. Таким образом, тактики проникновения в системы, которые используют ведущие группировки, можно рассматривать в качестве наиболее эффективных.

В числе таких тактик следует выделить:
  1. все виды фишинга — классический, целевой, фишинг через социальные сети, tabnabbing;
  2. атаки на цепочки поставок;
  3. атаки типа Watering Hole («водопой»);
  4. атаки через уязвимости сетевого оборудования и операционных систем;
  5. атаки через перехват DNS.
По сути, все эти способы давно известны, однако каждая группировка вносит свою «изюминку», превращая просто эффективную тактику в бронебойный снаряд или изящно комбинируя несколько техник, чтобы с лёгкостью обойти системы защиты компаний.

Фишинг

В простейшем варианте фишинг — это обычный емейл, в котором содержится вредоносное вложение или ссылка. Текст письма составлен таким образом, чтобы убедить получателя выполнить нужные отправителю действия: открыть вложение или перейти по ссылке, чтобы сменить пароль.

Письма, отправленные коллегами или руководителями, вызывают больше доверия, чем послания от незнакомцев, особенно если оформление письма соответствует принятому в компании стилю. В связи с этим подготовительный этап киберкампании, использующей фишинг, обязательно включает в себя сбор сведений о структуре организации, списка сотрудников и их емейлов, а также реальных писем, содержащих элементы оформления.

Группировка Silence использует для проникновения самый обычный фишинг с небольшим нюансом: её кампании обязательно включают тестовый этап с рассылкой безвредных писем для проверки актуальности собранной базы адресов. Это позволяет повысить эффективность атаки, рассылая письма с вредоносной нагрузкой по выверенной базе получателей.

Группировка Pawn Storm также использует фишинговые рассылки, а для повышения их эффективности в них добавляется такой усилитель воздействия, как авторитет. В связи с этим подготовительный этап их кампании включает так называемый High-Credential Phishing — хищение учётных записей высокопоставленных лиц. Собрав достаточное количество таких данных по целевой организации, Pawn Storm проводит рассылку от лица этих персон, «зарядив» их полезной нагрузкой, обеспечивающей успешное достижение цели.

В арсенале приёмов Fancy Bear есть ещё один, не слишком известный, — подмена легального сайта на фишинговый во вкладках браузера — tabnabbing, описанный Азой Раскиным из Mozilla в 2010 году. Атака tabnabbing выглядит следующим образом:
  • жертву заманивают на безобидный сайт, который контролируется злоумышленником;
  • на сайте имеется скрипт, который отслеживает поведение жертвы: как только она переключается на другую вкладку или длительное время не выполняет действий, содержимое сайта меняется на страницу авторизации в почте или социальной сети, а favicon сайта на favicon соответствующего сервиса — Gmail, Facebook и т.д.
  • вернувшись на вкладку, жертва обнаруживает, что её «разлогинило» и без сомнений вводит свои учётные данные;
  • скрипт передаёт логин и пароль злоумышленнику, а затем переадресовывает жертву на соответствующий сервис, который и не думал никого разлогинивать.
Хакеры Lazarus не размениваются на мелочи, предпочитая бить точно в цель. Их оружие — целевой фишинг по почте и в социальных сетях. Выбрав подходящего для своих задач сотрудника компании, они изучают его профили в соцсетях, а затем вступают с ним в переписку, которая, как правило, начинается с заманчивого предложения новой работы. Используя социальную инженерию, они убеждают его под видом чего-то важного загрузить вредоносную программу и запустить её на своём компьютере.

Команда MoneyTaker, которая специализируется на банках, проводит фишинговые рассылки от имени других банков, центрального банка, министерства финансов и других связанных с финансами организаций. Копируя шаблоны соответствующих ведомств, они придают письмам необходимую и достаточную для успешной атаки степень убедительности.

Атаки на контрагентов

Часто случается, что целевая организация хорошо защищена, особенно если речь идёт о банке, военной или государственной организации. Чтобы не разбивать лоб о «бетонную стену» защитных комплексов, группировки атакуют контрагентов, с которыми взаимодействует их мишень. Скомпрометировав почту нескольких сотрудников или даже внедрившись в переписку, хакеры получают необходимую для дальнейшего проникновения информацию и возможность выполнить задуманное.

Например, группировка Cobalt проникала в банковские сети, атакуя системных интеграторов и поставщиков других услуг, а взломы разработчиков электронных кошельков и терминалы оплаты позволили ей с помощью собственной программы автоматически похищать деньги через платёжные шлюзы.

Атака типа «водопой»

«Водопой», или Watering Hole, — одна из любимых тактик хакеров Lazarus. Смысл атаки состоит в компрометации легальных сайтов, которые часто посещают сотрудники целевой организации. Например, для сотрудников банков такими ресурсами будет сайт центрального банка, министерства финансов и отраслевые порталы. После взлома на сайте под видом полезного контента размещаются хакерские инструменты. Посетители загружают эти программы на свои компьютеры и обеспечивают атакующим доступ в сеть.

Среди взломанных Lazarus сайтов — польская Комиссия по финансовому надзору, Банк Восточной Республики Уругвай и Национальная банковская и фондовая комиссия Мексики. Для взлома сайтов хакеры использовали уязвимости в Liferay и JBoss.

Уязвимости ОС и сетевого оборудования

Эксплуатация уязвимостей операционных систем и сетевого оборудования дают серьёзные преимущества, однако для этого требуются профессиональные знания и навыки. Использование эксплойт-китов без глубокого понимания принципов их работы быстро сведёт к нулю успех атаки: взломать взломали, но ничего не смогли сделать.

Атаки с применением уязвимостей характерны для группировок MoneyTaker, Lazarus и Pawn Storm. Первые две группы в основном используют известные ошибки в прошивках сетевого оборудования для внедрения в сеть компании своего сервера через VPN, через который проводят дальнейшие действия. А вот в арсенале Pawn Storm обнаруживаются опаснейшие уязвимости нулевого дня, для которых нет патчей; она проводит сканирование систем, в которых имеются известные уязвимости.

продолжение в следующем сообщнии

Любимые тактики хакерских группировок.jpg


Источник
 
Original message
Любимые тактики хакерских группировок
Взлом компьютерных систем может происходить по-разному — от изощренных атак со взломом сетевых компонент до технически примитивных техник типа компрометации деловой переписки. В этом посте мы разберём тактики, которые используют самые опасные хакерские группировки — Lazarus, Pawn Storm, Cobalt, Silence и MoneyTaker.
Один из важнейших критериев выбора хакерских инструментов, помимо степени владения ими участников группировки, — это эффективность. Современные кибератаки — сложные многоступенчатые операции, проведение которых требует много времени и серьёзных финансовых ресурсов. Если проникновение в систему не удастся, вся предварительная работа и затраты окажутся напрасными. Таким образом, тактики проникновения в системы, которые используют ведущие группировки, можно рассматривать в качестве наиболее эффективных.

В числе таких тактик следует выделить:
  1. все виды фишинга — классический, целевой, фишинг через социальные сети, tabnabbing;
  2. атаки на цепочки поставок;
  3. атаки типа Watering Hole («водопой»);
  4. атаки через уязвимости сетевого оборудования и операционных систем;
  5. атаки через перехват DNS.
По сути, все эти способы давно известны, однако каждая группировка вносит свою «изюминку», превращая просто эффективную тактику в бронебойный снаряд или изящно комбинируя несколько техник, чтобы с лёгкостью обойти системы защиты компаний.

Фишинг

В простейшем варианте фишинг — это обычный емейл, в котором содержится вредоносное вложение или ссылка. Текст письма составлен таким образом, чтобы убедить получателя выполнить нужные отправителю действия: открыть вложение или перейти по ссылке, чтобы сменить пароль.

Письма, отправленные коллегами или руководителями, вызывают больше доверия, чем послания от незнакомцев, особенно если оформление письма соответствует принятому в компании стилю. В связи с этим подготовительный этап киберкампании, использующей фишинг, обязательно включает в себя сбор сведений о структуре организации, списка сотрудников и их емейлов, а также реальных писем, содержащих элементы оформления.

Группировка Silence использует для проникновения самый обычный фишинг с небольшим нюансом: её кампании обязательно включают тестовый этап с рассылкой безвредных писем для проверки актуальности собранной базы адресов. Это позволяет повысить эффективность атаки, рассылая письма с вредоносной нагрузкой по выверенной базе получателей.

Группировка Pawn Storm также использует фишинговые рассылки, а для повышения их эффективности в них добавляется такой усилитель воздействия, как авторитет. В связи с этим подготовительный этап их кампании включает так называемый High-Credential Phishing — хищение учётных записей высокопоставленных лиц. Собрав достаточное количество таких данных по целевой организации, Pawn Storm проводит рассылку от лица этих персон, «зарядив» их полезной нагрузкой, обеспечивающей успешное достижение цели.

В арсенале приёмов Fancy Bear есть ещё один, не слишком известный, — подмена легального сайта на фишинговый во вкладках браузера — tabnabbing, описанный Азой Раскиным из Mozilla в 2010 году. Атака tabnabbing выглядит следующим образом:
  • жертву заманивают на безобидный сайт, который контролируется злоумышленником;
  • на сайте имеется скрипт, который отслеживает поведение жертвы: как только она переключается на другую вкладку или длительное время не выполняет действий, содержимое сайта меняется на страницу авторизации в почте или социальной сети, а favicon сайта на favicon соответствующего сервиса — Gmail, Facebook и т.д.
  • вернувшись на вкладку, жертва обнаруживает, что её «разлогинило» и без сомнений вводит свои учётные данные;
  • скрипт передаёт логин и пароль злоумышленнику, а затем переадресовывает жертву на соответствующий сервис, который и не думал никого разлогинивать.
Хакеры Lazarus не размениваются на мелочи, предпочитая бить точно в цель. Их оружие — целевой фишинг по почте и в социальных сетях. Выбрав подходящего для своих задач сотрудника компании, они изучают его профили в соцсетях, а затем вступают с ним в переписку, которая, как правило, начинается с заманчивого предложения новой работы. Используя социальную инженерию, они убеждают его под видом чего-то важного загрузить вредоносную программу и запустить её на своём компьютере.

Команда MoneyTaker, которая специализируется на банках, проводит фишинговые рассылки от имени других банков, центрального банка, министерства финансов и других связанных с финансами организаций. Копируя шаблоны соответствующих ведомств, они придают письмам необходимую и достаточную для успешной атаки степень убедительности.

Атаки на контрагентов

Часто случается, что целевая организация хорошо защищена, особенно если речь идёт о банке, военной или государственной организации. Чтобы не разбивать лоб о «бетонную стену» защитных комплексов, группировки атакуют контрагентов, с которыми взаимодействует их мишень. Скомпрометировав почту нескольких сотрудников или даже внедрившись в переписку, хакеры получают необходимую для дальнейшего проникновения информацию и возможность выполнить задуманное.

Например, группировка Cobalt проникала в банковские сети, атакуя системных интеграторов и поставщиков других услуг, а взломы разработчиков электронных кошельков и терминалы оплаты позволили ей с помощью собственной программы автоматически похищать деньги через платёжные шлюзы.

Атака типа «водопой»

«Водопой», или Watering Hole, — одна из любимых тактик хакеров Lazarus. Смысл атаки состоит в компрометации легальных сайтов, которые часто посещают сотрудники целевой организации. Например, для сотрудников банков такими ресурсами будет сайт центрального банка, министерства финансов и отраслевые порталы. После взлома на сайте под видом полезного контента размещаются хакерские инструменты. Посетители загружают эти программы на свои компьютеры и обеспечивают атакующим доступ в сеть.

Среди взломанных Lazarus сайтов — польская Комиссия по финансовому надзору, Банк Восточной Республики Уругвай и Национальная банковская и фондовая комиссия Мексики. Для взлома сайтов хакеры использовали уязвимости в Liferay и JBoss.

Уязвимости ОС и сетевого оборудования

Эксплуатация уязвимостей операционных систем и сетевого оборудования дают серьёзные преимущества, однако для этого требуются профессиональные знания и навыки. Использование эксплойт-китов без глубокого понимания принципов их работы быстро сведёт к нулю успех атаки: взломать взломали, но ничего не смогли сделать.

Атаки с применением уязвимостей характерны для группировок MoneyTaker, Lazarus и Pawn Storm. Первые две группы в основном используют известные ошибки в прошивках сетевого оборудования для внедрения в сеть компании своего сервера через VPN, через который проводят дальнейшие действия. А вот в арсенале Pawn Storm обнаруживаются опаснейшие уязвимости нулевого дня, для которых нет патчей; она проводит сканирование систем, в которых имеются известные уязвимости.

продолжение в следующем сообщнии

Любимые тактики хакерских группировок.jpg


Источник
Moderatör tarafında düzenlendi:

root

СисАдмин Форума
Yönetici
Full members of NP "MOD"
Katılım
17 Şub 2007
Mesajlar
677
Tepkime puanı
1,021
Puanları
93
Yaş
57
DNS attacks

We only saw this family of attacks in Pawn Storm. Other well-known groups tend to be limited to phishing and two or three alternative methods.

Pawn Storm uses multiple layers of DNS compromise. For example, there are cases when they stole company credentials from the DNS control panel and changed MX servers to their own, gaining full access to the correspondence. The malicious server received and transmitted all mail to the target company, leaving copies of itself, and hackers could at any time infiltrate any chain and achieve the desired result without being noticed.

Another way to compromise was to gain complete control over the DNS registrar's servers. In many countries, there are only a very small number of registrars, so taking over of the largest of them provided almost endless opportunities for introducing most public and private organizations into information exchange, phishing and other types of influence.

conclusions

Phishing is popular not only among script kiddies that rent access to malicious services such as Phishing-as-a-Service or Ransomware-as-a-Service. The effectiveness and relative cheapness of this method made it the main and sometimes the only weapon of the most dangerous groups. The richness of options for its use plays into the hands of criminals: before the compromise of business correspondence, most security solutions fail, and the gullibility and absent-mindedness of users will remain a reliable support for fraudulent attacks for a long time to come.
Protecting computer systems and network equipment is undoubtedly an important task along with the timely installation of security updates, but taking into account the hit parade of cybercriminal tactics, measures related to protection from the human factor come out on top.

Intercepted credentials from high-profile mail will allow criminals to steal sensitive sensitive information, and then use this mail and information to conduct a multi-step attack. Meanwhile, banal skill training and the use of MFA would deprive hackers of this opportunity.

However, security systems are also moving forward, detecting malicious activity using artificial intelligence, deep learning and neural networks. Many companies are developing this class, and we also offer our clients to protect themselves from sophisticated BEC attacks using specially trained artificial intelligence. Their use in conjunction with training employees in safe behavior skills will help to successfully resist cyberattacks of even the most technically trained groups.
 
Original message
Атаки через DNS

Это семейство атак мы зафиксировали только у Pawn Storm. Другие известные группировки, как правило, ограничиваются фишингом и двумя-тремя альтернативными методами.

Pawn Storm использует несколько уровней DNS-компрометации. Например, известны случаи, когда они похищали учётные данные компании от панели управления DNS и меняли MX-серверы на свои, получая полный доступ к переписке. Вредоносный сервер принимал и передавал всю почту целевой компании, оставляя у себя копии, а хакеры могли в любой момент внедриться в любую цепочку и добиться нужного результата, оставаясь незамеченными.

Другой способ компрометации предполагал получение полного контроля над серверами DNS-регистратора. Во многих странах имеется лишь совсем небольшое число регистраторов, поэтому перехват управления над крупнейшими из них обеспечивал практически бесконечные возможности для внедрения в информационный обмен большинства государственных и частных организаций, фишинга и других видов воздействия.

Выводы

Фишинг популярен не только у скрипт-киддис, арендующих доступ к вредоносным сервисам типа «Фишинг-как-Услуга» или «Вымогатель-как-Услуга». Эффективность и относительная дешевизна этого метода сделала его основным, а иногда и единственным оружием самых опасных группировок. Богатство вариантов его использования играет на руку преступникам: перед компрометацией деловой переписки пасуют большинство защитных решений, а доверчивость и рассеянность пользователей ещё долго будет надёжной опорой для мошеннических атак.
Защита компьютерных систем и сетевого оборудования — несомненно, важная задача наряду со своевременной установкой обновлений безопасности, однако с учётом хит-парада киберпреступных тактик на первое место выходят меры, связанные с защитой от человеческого фактора.

Перехваченные учётные данные от почты высокопоставленной персоны позволят преступникам похитить конфиденциальные сведения особой важности, а затем использовать эту почту и информацию для проведения многоходовой атаки. Между тем, банальная тренировка навыков и использование MFA лишили бы хакеров такой возможности.

Однако защитные системы также не стоят на месте, обнаруживая вредоносные действия с помощью искусственного интеллекта, глубокого обучения и нейросетей. Разработки такого класса проводят многие компании, и мы также предлагаем нашим клиентам защититься от изощрённых BEC-атак с помощью специально обученного искусственного интеллекта. Их использование совместно с тренировкой сотрудников навыкам безопасного поведения позволит успешно противостоять кибератакам даже самых технически подготовленных группировок.

Матушкин Андрей Николаевич

Президент IAPD
Yönetici
Private access level
Full members of NP "MOD"
Katılım
1 Ocak 1970
Mesajlar
21,925
Tepkime puanı
3,755
Puanları
113
Yaş
53
Konum
Россия,
Web sitesi
o-d-b.ru
Very interesting. Thank you!
 
Original message
Очень интересно. Спасибо!

Частный детектив. Москва.

Зарегистрированный
Katılım
19 Ocak 2015
Mesajlar
332
Tepkime puanı
192
Puanları
43
Well, this is very commonplace. There are even more advanced methods of hacking and deception. But thanks for the post anyway!
 
Original message
Ну, это очень банально. Есть еще более прокаченные способы взлома и обмана. Но все равно спасибо за пост!

David Mamedov

Зарегистрированный
Katılım
21 May 2021
Mesajlar
392
Tepkime puanı
228
Puanları
43
Yaş
27
Konum
Джалал Абад
Атаки через DNS

Это семейство атак мы зафиксировали только у Pawn Storm. Другие известные группировки, как правило, ограничиваются фишингом и двумя-тремя альтернативными методами.

Pawn Storm использует несколько уровней DNS-компрометации. Например, известны случаи, когда они похищали учётные данные компании от панели управления DNS и меняли MX-серверы на свои, получая полный доступ к переписке. Вредоносный сервер принимал и передавал всю почту целевой компании, оставляя у себя копии, а хакеры могли в любой момент внедриться в любую цепочку и добиться нужного результата, оставаясь незамеченными.

Другой способ компрометации предполагал получение полного контроля над серверами DNS-регистратора. Во многих странах имеется лишь совсем небольшое число регистраторов, поэтому перехват управления над крупнейшими из них обеспечивал практически бесконечные возможности для внедрения в информационный обмен большинства государственных и частных организаций, фишинга и других видов воздействия.

Выводы

Фишинг популярен не только у скрипт-киддис, арендующих доступ к вредоносным сервисам типа «Фишинг-как-Услуга» или «Вымогатель-как-Услуга». Эффективность и относительная дешевизна этого метода сделала его основным, а иногда и единственным оружием самых опасных группировок. Богатство вариантов его использования играет на руку преступникам: перед компрометацией деловой переписки пасуют большинство защитных решений, а доверчивость и рассеянность пользователей ещё долго будет надёжной опорой для мошеннических атак.
Защита компьютерных систем и сетевого оборудования — несомненно, важная задача наряду со своевременной установкой обновлений безопасности, однако с учётом хит-парада киберпреступных тактик на первое место выходят меры, связанные с защитой от человеческого фактора.

Перехваченные учётные данные от почты высокопоставленной персоны позволят преступникам похитить конфиденциальные сведения особой важности, а затем использовать эту почту и информацию для проведения многоходовой атаки. Между тем, банальная тренировка навыков и использование MFA лишили бы хакеров такой возможности.

Однако защитные системы также не стоят на месте, обнаруживая вредоносные действия с помощью искусственного интеллекта, глубокого обучения и нейросетей. Разработки такого класса проводят многие компании, и мы также предлагаем нашим клиентам защититься от изощрённых BEC-атак с помощью специально обученного искусственного интеллекта. Их использование совместно с тренировкой сотрудников навыкам безопасного поведения позволит успешно противостоять кибератакам даже самых технически подготовленных группировок.
Сделайте пожалуйста про то, как защитить компанию от этого
 
Original message
Атаки через DNS

Это семейство атак мы зафиксировали только у Pawn Storm. Другие известные группировки, как правило, ограничиваются фишингом и двумя-тремя альтернативными методами.

Pawn Storm использует несколько уровней DNS-компрометации. Например, известны случаи, когда они похищали учётные данные компании от панели управления DNS и меняли MX-серверы на свои, получая полный доступ к переписке. Вредоносный сервер принимал и передавал всю почту целевой компании, оставляя у себя копии, а хакеры могли в любой момент внедриться в любую цепочку и добиться нужного результата, оставаясь незамеченными.

Другой способ компрометации предполагал получение полного контроля над серверами DNS-регистратора. Во многих странах имеется лишь совсем небольшое число регистраторов, поэтому перехват управления над крупнейшими из них обеспечивал практически бесконечные возможности для внедрения в информационный обмен большинства государственных и частных организаций, фишинга и других видов воздействия.

Выводы

Фишинг популярен не только у скрипт-киддис, арендующих доступ к вредоносным сервисам типа «Фишинг-как-Услуга» или «Вымогатель-как-Услуга». Эффективность и относительная дешевизна этого метода сделала его основным, а иногда и единственным оружием самых опасных группировок. Богатство вариантов его использования играет на руку преступникам: перед компрометацией деловой переписки пасуют большинство защитных решений, а доверчивость и рассеянность пользователей ещё долго будет надёжной опорой для мошеннических атак.
Защита компьютерных систем и сетевого оборудования — несомненно, важная задача наряду со своевременной установкой обновлений безопасности, однако с учётом хит-парада киберпреступных тактик на первое место выходят меры, связанные с защитой от человеческого фактора.

Перехваченные учётные данные от почты высокопоставленной персоны позволят преступникам похитить конфиденциальные сведения особой важности, а затем использовать эту почту и информацию для проведения многоходовой атаки. Между тем, банальная тренировка навыков и использование MFA лишили бы хакеров такой возможности.

Однако защитные системы также не стоят на месте, обнаруживая вредоносные действия с помощью искусственного интеллекта, глубокого обучения и нейросетей. Разработки такого класса проводят многие компании, и мы также предлагаем нашим клиентам защититься от изощрённых BEC-атак с помощью специально обученного искусственного интеллекта. Их использование совместно с тренировкой сотрудников навыкам безопасного поведения позволит успешно противостоять кибератакам даже самых технически подготовленных группировок.
Сделайте пожалуйста про то, как защитить компанию от этого

Turdubaev Dastan

Зарегистрированный
Katılım
13 Tem 2021
Mesajlar
279
Tepkime puanı
128
Puanları
43
Yaş
27
Konum
Москва
Are these tactics and methods used only by hacker groups? What prevents one hacker from doing this too?
 
Original message
Эти тактики и способы использует только группы хакеров? Что мешает это делать и одному хакеру?

Детективное агентство Израиль.

Private access level
Full members of NP "MOD"
Katılım
30 Eki 2009
Mesajlar
485
Tepkime puanı
238
Puanları
43
Konum
Израиль Иерусалим
Эти тактики и способы использует только группы хакеров? Что мешает это делать и одному хакеру?
Интересный вопрос. Ждем ответа от автора.
 
Original message
Эти тактики и способы использует только группы хакеров? Что мешает это делать и одному хакеру?
Интересный вопрос. Ждем ответа от автора.