Подкасты от BlackMast

[BlackMAST]

Вступить в наш чат
Хакеры, подозреваемые в работе на российскую службу внешней разведки, атаковали десятки дипломатов в посольствах в Украине с помощью поддельной рекламы подержанных автомобилей, пытаясь взломать их компьютеры. Широкомасштабная шпионская деятельность была направлена ​​против дипломатов, работающих как минимум в 22 из примерно 80 иностранных представительств в столице Украины Киеве, говорится в отчете аналитиков исследовательского подразделения Palo Alto Networks Unit 42. В этой статье узнаем подробности взлома.
Что произошло

Польский дипломат, который отказался назвать свое имя, сославшись на соображения безопасности, подтвердил роль рекламы в цифровом вторжении. Хакеры, известные как APT29 или «Cozy Bear», перехватили и скопировали эту рекламу (BMW), внедрили в нее вредоносное ПО, а затем отправили ее десяткам других иностранных дипломатов, работающих в Киеве.«Это ошеломляет по своим масштабам, ведь обычно такие взломы представляют собой узкомасштабные и тайные операции», — говорится в отчете.

Как произошел взлом

«Взлом начался с безобидного и законного события», — говорится в отчете, о котором впервые сообщило агентство Reuters.​

«В середине апреля 2023 года дипломат Министерства иностранных дел Польши отправил по электронной почте в различные посольства настоящие листовки, рекламирующие продажу подержанного седана BMW 5-й серии, находящегося в Киеве».​

Хакеры, известные как APT29 или «Cozy Bear», перехватили и скопировали эту рекламу (BMW), внедрили в нее вредоносное ПО, а затем отправили ее десяткам других иностранных дипломатов, работающих в Киеве.
Кто стоит за взломом

В 2021 году спецслужбы США и Великобритании идентифицировали APT29 как подразделение Службы внешней разведки России, СВР. СВР не ответила на запрос Reuters о комментариях по поводу хакерской кампании.
В апреле польские органы контрразведки и кибербезопасности предупредили, что эта же группа провела «широкомасштабную разведывательную кампанию» против стран-членов НАТО, Европейского Союза и Африки.
Исследователи из Unit 42 смогли связать фальшивую рекламу автомобиля с СВР, потому что хакеры повторно использовали определенные инструменты и методы, которые ранее были связаны с этой хакерской группировкой.

Б/У BMW стал инструментом взлома

Польский дипломат сказал, что отправил объявление в различные посольства в Киеве, и что кто-то перезвонил ему, потому что цена выглядела «привлекательной».

«Когда я с ними связался, я понял, что они говорили о более низкой цене, чем я указал в объявлении, и это меня насторожило», — сказал дипломат.​

Как выяснилось, хакеры указали на BMW дипломата более низкую цену — 7500 евро — в своей поддельной версии рекламы, пытаясь побудить больше людей загружать вредоносное программное обеспечение, которое дало бы им удаленный доступ к их устройствам.
Это программное обеспечение, по словам Unit 42, было замаскировано под альбом фотографий подержанного BMW. В отчете говорится, что попытки открыть эти фотографии заразили бы машину жертвы.

Масштаб утечки

21 из 22 посольств, подвергшихся нападению хакеров, не предоставили комментариев. Неясно, какие посольства, если таковые имеются, были скомпрометированы.
Представитель Госдепартамента США заявил, что они «знали об этой деятельности и на основании анализа Управления кибербезопасности и технологической безопасности пришли к выводу, что она не затронула системы или учетные записи департамента».
Что касается автомобиля, то он по-прежнему доступен, сообщил польский дипломат:«Возможно, я попытаюсь продать его в Польше», — сказал он. «После этой ситуации я больше не хочу иметь проблем».

 

[BlackMAST]

Самый незаметный бэкдор от русских хакеров
​

​

Вступить в наш чат
​

Оборонный сектор в Украине и Восточной Европе стал мишенью нового бэкдора на основе .NET под названием DeliveryCheck (он же CAPIBAR или GAMEDAY). В этой статье узнаем, кто стоит за взломом, и какой ущерб он нанёс.

Что произошло
​

Группа разведки угроз Microsoft в сотрудничестве с Украинской группой реагирования на компьютерные чрезвычайные ситуации (CERT-UA) обвинила в атаках российскую хакерскую группировку, известную как Turla, которая также отслеживается под именами Iron Hunter, Secret Blizzard (ранее Krypton), Uroburos, Venomous Bear и Waterbug. Специалисты считают, что группировка связана с Федеральной службой безопасности России (ФСБ).

​

Механизм взлома
​

«DeliveryCheck распространяется по электронной почте в виде документов с вредоносными вирусами», — говорится в серии твитов компании. «Он сохраняется через запланированную задачу, которая загружает и запускает его в памяти компьютера. Он также связывается с сервером C2 для получения задач, которые могут включать запуск произвольных загрузок, встроенных в таблицы стилей XSLT».

Успешный доступ также сопровождается в некоторых случаях распространением известной малвари Turla, получившей название Kazuar. Она оборудована для кражи файлов конфигурации приложений, журналов событий и широкого спектра данных из веб-браузеров.
Конечной целью атак является эксфильтрация (метод взлома, который заключается в извлечении информации из системы или сети, не используя открытый доступ или пароль) сообщений из приложения обмена сообщениями Signal для Windows, что позволяет злоумышленнику получить доступ к конфиденциальным разговорам, документам и изображениям в целевых системах.

В чем особенность DeliveryCheck ​

Примечательным аспектом DeliveryCheck является его способность взламывать серверы Microsoft Exchange для установки компонента на стороне сервера с помощью PowerShell Desired State Configuration (DSC) — платформы управления PowerShell, которая помогает администраторам автоматизировать настройку систем Windows.
«DSC создает файл Managed Object Format (MOF), содержащий сценарий PowerShell, который загружает встроенную загрузку .NET в память, фактически превращая сервер жертвы в центр управления вредоносными программами», — пояснили в Microsoft.

Как обнаружился бэкдор
​

Раскрытие информации произошло после того, как Киберполиция Украины ликвидировала огромную ферму ботов, на которой более 100 человек якобы распространяли враждебную пропаганду, оправдывающую российскую сво, сливали личную информацию, принадлежащую гражданам Украины, и участвовали в различных мошеннических схемах.
В рамках операции были проведены обыски в 21 офисе, в результате которых изъято компьютерное оборудование, мобильные телефоны, более 250 GSM-шлюзов и около 150 000 SIM-карт, принадлежащих различным операторам мобильной связи.

Вывод
​

Иными словами, взлом не был замечен напрямую. О бэкдоре стало известно случайно, неполадок в сети до обыска фермы оборонный сектор Украины не обнаружил. Официальная информация о масштабах бэкдора не разглашается.

 

[9ep3kueCocku]

Руские хацкеры рулят)))

 

[BlackMAST]

Русские хакеры вымогают деньги у правительства США

Русские хакеры вымогают деньги у правительства США

​

Вступить в наш чат
​

По данным одного из ведущих агентств США по кибербезопасности, несколько федеральных правительственных учреждений США пострадали в результате глобальной кибератаки со стороны российских хакеров, использующих уязвимость в широко используемом программном обеспечении.
Сегодня подробно разберем, как произошла кибератака, и кто за ней стоит.
Что произошло

Агентство США по кибербезопасности и безопасности инфраструктуры «оказывает поддержку нескольким федеральным агентствам, которые столкнулись со вторжениями, затрагивающими их приложения MOVEit», — заявил Эрик Гольдштейн, исполнительный помощник директора агентства по кибербезопасности, в заявлении для CNN, имея в виду ПО, через которое произошел взлом. «Мы работаем в срочном порядке, чтобы понять последствия и обеспечить своевременное устранение».
Clop, банда вымогателей, предположительно ответственная за это, как известно, обычно требует многомиллионных выкупов. Но никаких требований о выкупе от федеральных агентств не поступало, сообщил высокопоставленный чиновник журналистам на брифинге.
Ответ CISA пришел после того, как Progress Software, американская фирма, производящая программное обеспечение, используемое хакерами, заявила, что обнаружила вторую уязвимость в коде, над исправлением которой компания работала. Министерство энергетики входит в число нескольких федеральных агентств, взломанных в ходе продолжающейся глобальной хакерской кампании, подтвердил CNN представитель министерства.

Последствия взлома

Взломы не оказали «значительного воздействия» на федеральные гражданские агентства, заявила журналистам директор CISA Джен Истерли, добавив, что хакеры «в значительной степени просто авантюристы» в использовании уязвимости в программном обеспечении для взлома сетей.
Эта новость дополняет растущее число жертв широкомасштабной хакерской кампании, которая началась два месяца назад и затронула крупные университеты США и правительства штатов. Хакерское веселье усиливает давление на федеральных чиновников, которые пообещали положить конец угрозе атак программ-вымогателей, которые нанесли ущерб школам, больницам и местным органам власти по всей территории США.
Университет Джона Хопкинса в Балтиморе и известная система здравоохранения университета заявили, что в результате взлома могла быть украдена «конфиденциальная личная и финансовая информация», включая записи о медицинских счетах.
Подробности кибератаки

Хакеры использовали брешь в широко используемом программном обеспечении, известном как MOVEit, которое компании и агентства используют для передачи данных. Progress Software, американская фирма, производящая программное обеспечение, сообщила CNN, что в программном обеспечении была обнаружена новая уязвимость, «которая может быть использована злоумышленником».

«Мы связались с клиентами и сообщили о шагах, которые им необходимо предпринять для дальнейшей защиты своих сред, и мы также отключили MOVEit Cloud, поскольку мы срочно работаем над устранением проблемы», — говорится в заявлении компании.

​

Особенность взлома

Российские хакеры первыми воспользовались уязвимостью MOVEit, но эксперты говорят, что другие группировки теперь тоже могут иметь доступ к программному коду, необходимому для проведения атак.
Группа вымогателей дала жертвам время, чтобы связаться с ними по поводу выплаты выкупа. Хакеры также уточнили: «Если вы представитель государственной, городской или полицейской службы, не волнуйтесь, мы стерли все ваши данные. Вам не нужно связываться с нами. Мы не заинтересованы в раскрытии такой информации».
Кто взял на себя ответственность

Группа вымогателей CLOP — одна из многочисленных банд в Восточной Европе и России, которые почти исключительно сосредоточены на том, чтобы выманить у своих жертв как можно больше денег.
«Активность, которую мы наблюдаем в настоящее время, — добавление названий компаний на их сайт утечки — это тактика, чтобы напугать жертв, как зарегистрированных, так и не внесенных в список, чтобы они заплатили», — сказал CNN Рэйф Пиллинг, директор по исследованию угроз в Secureworks, принадлежащей Dell.

​

 

[BlackMAST]

Российские хакеры пытаются вывести из строя Starlink

Вступить в наш чат
Украинская служба контрразведки заявила, что российские хакеры изо всех сил пытаются придумать способ вывести из строя спутники Илона Маска.
Что произошло

Украинские военные используют технологию Starlink для связи на поле боя, и она стала целью российской разведывательной службы, которая пытается загрузить на спутники вредоносное ПО.
Над Украиной пролетают несколько тысяч спутников, и член высшего отдела безопасности, занимающийся этим вопросом, сказал, что их не слишком беспокоят попытки России отключить некоторые из них.

Ответ властей

Илья Витюк, начальник управления кибербезопасности СБУ, ответил: «Мы видели, что были попытки проникновения в эти системы. Наш враг чрезвычайно сосредоточен на получении информации о Starlink. Они планировали эти операции давно, и некоторые хакерские группы переместились ближе к линии фронта. Это было очень интересное вредоносное ПО... оно дало им возможность получить конфигурации Starlink, так что, в конце концов, они смогли понять местоположение».
Маск не прокомментировал новости о том, что Россия пытается взломать ее технологии.

Последствия атаки

Пока нет достоверной информации о масштабах взлома, и добились ли хакеры своей цели. На сегодняшний день ни одна из российских группировок не взяла на себя ответственность за взломы. Сообщается, что несмотря на то, что хакерам удалось вычислить местоположение нескольких спутник, это всё равно не нанесло серьезного ущерба.

​

 

[BlackMAST]

Российские хакеры используют приложение Zulip Chat в дипломатических фишинговых атаках

Российские хакеры используют приложение Zulip Chat в дипломатических фишинговых атаках
​

Вступить в наш чат

​

Продолжающаяся кампания, нацеленная на министерства иностранных дел стран, входящих в НАТО, указывает на причастность к этому российских хакеров.
Особенности атаки

В фишинговых атаках используются PDF-документы с дипломатическими приманками, некоторые из которых замаскированы под сообщения из Германии, для доставки варианта вредоносного ПО под названием Duke, которое было приписано APT29 (он же BlueBravo, Cloaked Ursa, Cozy Bear, Iron Hemlock, Midnight Blizzard и The Dukes).

«Злоумышленник использовал Zulip — чат-приложение с открытым исходным кодом — для управления и контроля, чтобы уклоняться от своих действий и скрывать их за законным веб-трафиком», — заявила голландская компания по кибербезопасности EclecticIQ в анализе, проведенном на прошлой неделе.
Последовательность заражения следующая: вложение в формате PDF под названием «Прощание с послом Германии» содержит код JavaScript, который инициирует многоэтапный процесс, чтобы оставить постоянный бэкдор в скомпрометированных сетях.
Были ли подобные атаки ранее

Об использовании APT29 тем приглашений ранее сообщал Lab52, который задокументировал атаку, которая выдавала себя за норвежское посольство для доставки полезной нагрузки DLL, способной связаться с удаленным сервером для получения дополнительных полезных данных.
Использование домена «bahamas.gov[.]bs» в обоих наборах вторжений еще больше укрепляет эту связь. Выводы также подтверждают предыдущее исследование Anheng Threat Intelligence Center, опубликованное в прошлом месяце.
Если потенциальная цель поддается фишинговой ловушке, открыв файл PDF, запускается вредоносная дроппер HTML под названием Invitation_Farewell_DE_EMB для выполнения JavaScript, который сбрасывает файл ZIP-архива, который, в свою очередь, упаковывается в файл HTML-приложения (HTA), предназначенный для развертывания. вредоносное ПО Duke.
Командование и управление (C2) облегчается за счет использования Zulip API для отправки сведений о жертве в чат-комнату, контролируемую действующим лицом (toyy.zulipchat[.]com), а также для удаленного захвата скомпрометированных хостов.

Масштаб атаки

EclecticIQ заявила, что обнаружила второй PDF-файл, который, вероятно, использовался APT29 для разведки или тестирования.

«Он не содержал полезной нагрузки, но уведомлял хакера, если жертва открывала вложение электронной почты, получая уведомление через скомпрометированный домен edenparkweddings[.]com», — заявили исследователи.

Стоит отметить, что злоупотребление Zulip является нормой для спонсируемой государством группы, которая имеет опыт использования широкого спектра законных интернет-сервисов, таких как Google Drive, Microsoft OneDrive, Dropbox, Notion, Firebase и Trello. для С2.

Основными целями APT29 являются правительства и государственные деятели, политические организации, исследовательские фирмы и критически важные отрасли в США и Европе. Но, что интересно, неизвестный противник использует свою тактику для взлома китайскоязычных пользователей с помощью Cobalt Strike.

Это произошло после того, как Группа реагирования на компьютерные чрезвычайные ситуации Украины (CERT-UA) предупредила о новой серии фишинговых атак против государственных организаций Украины с использованием набора инструментов постэксплуатации с открытым исходным кодом на основе Go под названием Merlin. Активность отслеживается под псевдонимом UAC-0154.

 

[BlackMAST]

Трояны в рекламе: новый ход российских хакеров

Трояны в рекламе: новый ход российских хакеров

​

Вступить в наш чат
​

Майкл Сикорски, технический директор и вице-президент по разработке Unit 42 компании Palo Alto Networks, рассказал об изобретательности русских хакеров. В этой статье подробнее узнаем о необычном способе взлома. Кстати, эту кибератаку мы уже освещали в этой статье.

В чем суть атаки
​

По словам Сикорского, этот метод предполагает использование, казалось бы, безобидной рекламы в качестве средства распространения вредоносного ПО. Российские хакеры перехватили рекламу польского дипломата, который пытался продать свой автомобиль BMW на фоне конфликта с Украиной. Хакеры перепрофилировали рекламу, встроив в нее вредоносное ПО. Эта тактика, по словам Сикорского, подчеркивает российскую стратегию по созданию тайных крючков в иностранных системах.

Компрометируя посольства и дипломатические миссии, злоумышленники могут заложить основу для более изощренных атак, потенциально влияющих на политические решения. Что отличает этот инцидент, так это новаторское использование подлинного документа в качестве носителя вредоносного ПО.

Насколько опасна новая тактика
​

«Те же хакеры, которые отвечали за SolarWinds — мы отслеживали их как Cloaked Ursa — получила этот документ и разослала его по посольствам по всей Украине», — сказал он. «А когда Россия заполучила его (объявление о продаже BMW), они даже снизили цену, внедрили в него вредоносное ПО и начали его отправлять снова и снова. Это показывает, что у русских хакеров есть доступ к украинским сетям».

Специалист отметил, что кибератаки русских хакеров становятся все более изощренные и неочевидные. Это первый зафиксированный случай, когда исходный документ был использован как носитель вредоносного ПО. Сикорски добавил, что такой способ взлома может стать реальной проблемой, ведь от него невозможно защититься.

 

[BlackMAST]

Русские хакеры взломали польские банки и фондовую биржу

Вступить в наш чат
Варшавская фондовая биржа, несколько банков и веб-сайт польского правительства по государственным услугам были взломаны неделю назад. Хакеры NoName057(16) взяли на себя ответственность за атаку.
Что произошло

Связанная с Россией банда хакеров NoName объявила об атаках на Польшу в своем канале Telegram.
Первой целью хакеров стала Варшавская фондовая биржа, ссылаясь на разглагольствования популярного политически консервативного польского обозревателя, который недавно написал о блоке Центральной и Восточной Европы и их бессмертной ненависти к России.
«Чтобы выразить нашу поддержку всем адекватным гражданам Польши, которые выступают против утопающих в русофобии властей своей страны, наши DDoS-ракетные установки сегодня нацелены на польские цели», — написали NoName057.

Были ли другие атаки

Однако на этом группа не остановилась и предъявила претензии нескольким крупным польским коммерческим банкам, включая Bank Pekao, Raiffeisen Bank, Plus Bank, Credit Agricole Bank и BNP Paribas.
Веб-сайты Варшавской фондовой биржи, банка Pekao и Raiffeisen Bank были отключены несколько дней.

Наконец, группа также сообщила своим более чем 50 тысячам подписчиков в Telegram о том, что она атаковала службу верификации польского правительства, используя свою DDoS-атаку.
«🔥Сайт «Trusted Profile» — сервис, позволяющий удаленно подтвердить свою личность и получить цифровую подпись для работы на государственных сайтах Польши и получения широкого спектра услуг — подвергся атаке🚀», — написали NoName.

​

 

[BlackMAST]

Хакеры NoName наносят удар

Хакеры NoName наносят удар

Вступить в наш чат​

Неделю назад мы уже обсуждали хакерскую группировку NoName, прочитать можно тут. В этом подкасте узнаем подробнее о NoName.
С чего всё началось

Было отмечено, что в первой половине 2023 года группировка NoName057(16) была одной из самых активных на политической арене.
В последние месяцы методы группы усовершенствовались, согласно эксклюзивному интервью Cybernews о NoName, в котором в этом месяце участвовали два исследователя угроз Radware в Black Hat.
Чем сейчас занимаются хакеры

Согласно последнему сообщению Radware, группа вербует сторонников своего бот-проекта DDoSia из даркнета. Затем новобранцы получают выплаты в криптовалюте в зависимости от того, в скольких целевых кампаниях они участвуют и насколько успешными являются атаки.
Исследователи также обнаружили, что NoName изменила тактику и начала целенаправленно атаковать критически важную инфраструктуру, такую ​​как финансовый, государственный и авиационный секторы, чтобы оптимизировать воздействие своих DDoS-атак.

Недавняя кибератака

В июле NoName057(16) взяли на себя ответственность за атаки на банковские системы Украины и Италии, французский парламент и почти дюжину атак на финансовый и авиационный сектор Швейцарии.

Их DDoS-атака переполнила сервера тысячами запросов трафика от случайных компьютеров-ботов, что привело к повсеместному сбою веб-сайтов.

Между тем, атака на польские железные дороги привела к аварийной остановке около двадцати поездов после того, как двое польских граждан подделали сигнальную систему поездов, используя радиочастоту. СМИ связывают эту атаку с пророссийскими хакерскими группировками.

 

[BlackMAST]

Русские и турецкие кибермошенники объединились

Русские и турецкие кибермошенники объединились

Вступить в наш чат
​

Киберпреступники в Турции объединились с недавно прибывшими российскими хакерами-эмигрантами, чтобы наводнить некогда умирающий онлайн-рынок десятками миллионов недавно украденных личных учетных данных. Специалисты уже назвали это развитием транснационального характера мошенничества. В этой статье узнаем об этом подробнее.
Что произошло

Тысячи мужчин, многие из которых получили образование инженеров-программистов, бежали из России в Турцию в сентябре прошлого года.
Некоторые из них, по словам турецкой полиции и исследователей безопасности, обратились к относительно низкоуровневому онлайн-мошенничеству, объединяясь с авторитетными турецкими коллегами, чтобы избежать обнаружения, отмывать свои доходы и продавать учетные данные, полученные с компьютеров по всему миру.

Расследование мошенничества

Недавний всплеск активности побудил турецкую полицию провести расследование.
Специалисты заявили, что преступники, базирующиеся в русскоязычных странах, как правило, действуют относительно открыто, поскольку меры со стороны их правительств были слабыми.
Полицейские сообщили, что хакеры в основном создают фишинговые ссылки и воруют личную информацию жертв, объединяясь вместе с турецкими онлайн-преступниками.
Куда утекает информация

Излюбленная торговая площадка киберпреступников в последние месяцы была наводнена десятками миллионов украденных кредитных карт, паролей и учетных данных.
Эта находка, обнаруженная специалистом по информационной безопасности Ошером Ассором из Auren Cyber Israel, использует сложный код, который отправляет только что украденные учетные данные большому количеству клиентов, которые подписываются на потоки данных в группах Telegram.
Данные собираются с помощью обычного вредоносного ПО, которое, похоже, обходит большинство известных антивирусных программ. Ассор считает, что вредоносное ПО под названием Redline случайно загружается людьми, использующими нелегальные веб-сайты для игры в видеоигры или пиратские версии популярного программного обеспечения.

Что именно крадут мошенники

Но особую ценность данных, собираемых Redline, делает тот факт, что они также крадут файлы cookie или небольшие фрагменты личного кода, которые находятся в браузерах людей, позволяя хакерам выдавать себя за жертву в Интернете и даже копировать кредитные карты, которые люди сохраняют в своих аккаунтах.
«Такие данные более ценны, потому что они свежие», — сказал Ассор. «Кража паролей не является чем-то новым, но уникальным здесь является то, что информация поступает «свежей» — каждое обновление содержит пакет с сотнями и тысячами журналов, украденных за последние несколько часов, что сохраняет файлы cookie «горячими».
На скриншотах разговоров с турецким хакером, которыми Ассор поделился с Financial Times, видно, что сотни групп Telegram предлагают доступ к свежесобранным данным, часто всего за 50 долларов. Каждый пакет содержит тысячи записей — на одном снимке экрана показано 76 миллионов различных точек данных, сопоставленных для удобства использования.
Мнение специалистов

Турецкий специалист по информационной безопасности, попросивший не называть его имени, поскольку контакты с хакерами в Турции подпадают под серую зону закона, заявил, что он проник в одну из этих групп Telegram, маскируясь под покупателя.
В течение нескольких месяцев он наблюдал, как вновь прибывшие российские хакеры обучали своих турецких коллег сложному коду для сопоставления огромных объемов собираемых данных, в то время как турецкие преступники использовали свои контакты в Западной Европе, особенно в Германии, для обеспечения более выгодных цен и более эффективной работы.
В других чатах он был свидетелем того, как группа праздновала массовые кражи, обсуждала способы конвертации украденной криптовалюты в турецкую лиру и даже разрабатывала способы покупки недвижимости для получения турецкого паспорта.

​

«Ни один из них не является крупным хакером, но они очень эффективны и научились очень хорошо автоматизировать процессы — их производительность быстро растет», — сказал он.
Взаимодействие Ассора с группой показывает то же самое — профессиональный маркетинг и даже индивидуальное руководство. В одном случае турецкий хакер даже дал ему совет о ресторане в Стамбуле.
Но когда хакера спросили о его связях с русскими, он возразил.
«Нет, братан», — ответил он. «Я не хочу знать — главное не знать [их] лица, а быть рядом с талантливыми людьми».

 

[BlackMAST]

HTTrack: Руководство по парсингу сайта

HTTrack: Руководство по парсингу сайта
​

Вступить в наш чат​

В интернете часто необходимо собрать большой объем информации с сайта, после чего её проанализировать и применить для каких-либо целей. Однако, делать это вручную — очень трудоемкий и энергоресурсный процесс. Откройте для себя HTTrack, автоматизированный инструмент для парсинга сайтов с открытым исходным кодом, который может собирать данные за считанные минуты. В этой статье мы рассмотрим инструмент HTTrack в мельчайших деталях, а также предоставим пошаговую инструкцию к использованию.

​

Что такое парсинг сайта
Парсинг – это автоматизированный сбор информации с любого сайта, ее анализ, преобразование и выдача в структурированном виде, чаще всего в виде таблицы с набором данных.

Парсер сайта — это любая программа или сервис, которая осуществляет автоматический сбор информации с заданного ресурса.

Законно ли парсить чужие сайты
Парсинг данных с сайтов не противоречит закону, если:

получаемая информация находится в открытом доступе и не несет коммерческую тайну;
не затрагиваются авторские права полученной информации;
парсинг проводится законным методом;
парсинг не влияет на нормальную работу сайта (не приводит к сбоям).

Что такое HTTrack и его возможности
HTTrack — бесплатный инструмент с открытым исходным кодом, разработанный Xavier Roche. Он может копировать целые сайты, включая файлы HTML, изображения, CSS, JavaScript и многое другое. Основная функция HTTrack — создание локального зеркала сайта, позволяющего просматривать его в автономном режиме.

HTTrack может фильтровать контент, позволяя загружать только определенные файлы, такие как изображения, видео или документы.
Важно отметить, что HTTrack сохраняет исходную структуру папок зеркального сайта. С их помощью вы сможете легко ориентироваться.
HTTrack может приостанавливать и возобновлять загрузку без потери прогресса.
Кроме того, вы можете легко обновлять свою локальную копию с помощью функции «Обновление». Инструмент добавит недостающий контент на ваш зеркальный сайт.
HTTrack отличается скоростью и эффективностью, так как использует многопоточную систему для быстрой загрузки.
HTTrack ведет подробные журналы процесса, что упрощает мониторинг и устранение любых возникающих проблем.

Как использовать HTTrack: пошаговое руководство
Давайте углубимся в практические аспекты использования HTTrack.

1. Загрузите и установите HTTrack с официального сайта HTTrack по ссылке. Скачайте версию HTTrack, соответствующую вашей операционной системе (Windows, Linux, macOS). Установите программу, следуя инструкциям на экране.

2. Запустите HTTrack. После установки запустите HTTrack.

3. Настройте свой проект. Нажмите «Далее», чтобы начать создание нового проекта. Введите имя своего проекта и выберите папку назначения, в которой будет храниться зеркальный сайт. Нажмите "Далее."

​

4. Установите параметры. Настройте параметры парсинга, указав начальный URL-адрес (сайт, который вы хотите парсить). Установите фильтры для всех типов файлов (например, скачать только изображения). Нажмите «Далее», чтобы продолжить.

​

5. Запустите парсинг. Нажмите «Готово», чтобы начать Парсинг сайта. Вы можете отслеживать ход выполнения и проверять журналы на наличие ошибок.

​

После завершения парсинга перейдите в папку назначения, указанную вами ранее. Откройте файл «index.html», чтобы начать изучение зеркального сайта.

Заключение
HTTrack — это универсальный инструмент для парсинга сайтов, который делает процесс простым и эффективным. Удобный интерфейс, настраиваемые функции и открытый исходный код делают его незаменимым помощником в вашем арсенале инструментов. Начните свое изучение парсинга сайтов уже сегодня с помощью HTTrack. Удачного пользования!

 

[BlackMAST]

Русские хакеры атаковали украинских операторов связи

Русские хакеры атаковали украинских операторов связи
​

​

​

​

Вступить в наш чат​

Согласно недавнему отчету органов кибербезопасности, с мая российская хакерская группа, известная как Sandworm, атаковала по меньшей мере одиннадцать украинских интернет- и телекоммуникационных провайдеров. Сегодня узнаем больше об этих атаках.

Особенности атаки
Атаки привели к перебоям в обслуживании и потенциальной утечке данных, сообщила украинская группа реагирования на компьютерные чрезвычайные ситуации CERT-UA.

Sandworm использовал различные вредоносные программы, в том числе Poemgate и Poseidon, для кражи учетных данных и управления зараженными устройствами, а также Whitecat для стирания любых следов.

Кроме того, хакеры использовали скомпрометированные учетные записи VPN, не защищенные многофакторной аутентификацией, для проникновения в сети жертв.

Последствия взлома
Злоумышленники похитили документы, схемы, контракты и пароли из официальных аккаунтов жертв в социальных сетях, чтобы сделать эту информацию общедоступной или использовать ее для продвижения своих атак.

По данным CERT-UA, на заключительном этапе атаки они вывели из строя активное сетевое и серверное оборудование, а также системы хранения данных.

 

[BlackMAST]

Известная группировка русских хакеров UAC-0056

Вступить в наш чат

На протяжении многих месяцев мы рассказываем о самых интересных взломах и атаках, которые выполняют русские хакеры. В наших статьях то и дело мелькают названия известных хакерские группировок — самое время рассказать о них подробнее. Начнём с хакеров UAC-0056.

Когда появилась группировка
UAC-0056 известны также под именами TA471, SaintBear и Lorec53. Группировка активна как минимум с марта 2021 года.

Тогда было замечено, что группа атаковала правительственные организации и организации критической инфраструктуры в Грузии и Украине.

Особенности взломов
Злоумышленники получают первоначальный доступ посредством рассылки целевых фишинговых сообщений электронной почты, содержащих либо документы Word (с вредоносными макросами или кодами JavaScript), либо файлы PDF (со ссылками, ведущими на загрузку ZIP-архивов, встроенных в вредоносные файлы LNK). Они используются для установки и запуска загрузчиков вредоносных программ первого этапа, которые извлекают другие вредоносные полезные нагрузки, такие как похититель документов OutSteel и загрузчик SaintBot. Последний используется для загрузки еще большего количества полезных данных путем внедрения их в порожденные процессы или загрузки в память.

UAC-0056 размещает свои данные в сети доставки контента (CDN) Discord. Они часто запутаны и имеют механизмы антианализа.

Известные атаки
В феврале 2022 года, на фоне геополитической напряженности между Россией и Украиной, Группа реагирования на компьютерные чрезвычайные ситуации Украины (CERT-UA) приписала UAC-0056 атаке на украинскую энергетическую организацию.

Злоумышленники использовали целевые фишинговые электронные письма якобы от имени Национальной полиции Украины, в которых предполагалось, что некое лицо (Белоус Алексей Сергеевич) совершило преступление. После чего группировка совершила еще ряд взломов.

 

[BlackMAST]

Мурат Уртембаев — история первого советского хакера

Мурат Уртембаев — история первого советского хакера​

Вступить в наш чат​

В этой статье продолжаем знакомиться с самыми известными русскими хакерами. Первым советским хакером был выпускник МГУ Мурат Уртембаев. В 1983 г. он хакнул систему ПО АвтоВАЗ, в результате чего работа конвейера остановилась на три дня. И это одна из первых «кибер-атак» в СССР, которую обнаружили.

Как стал хакером
Когда в 1983 году молодой выпускник МГУ и работник автозавода ВАЗ оказался в тяжелом финансовом положении, он обратился за помощью к своим работодателям. Руководство завода отговорило Мурата Уртембаева искать другую работу и пообещало ему повышение по службе и повышение зарплаты.

Однако со временем Уртембаев понял, что руководство его обмануло. Затем он разработал план мести. Он тайно изменял программу, используемую для работы сборочной линии, и заражал ее вредоносной ошибкой. Затем он вмешался и устранил проблему, получив должное признание со стороны руководства завода, которое, как он считал, уже давно назрело.

Схема атаки
По плану Мурата, «вирус» должен был запуститься в определенный час. И чтобы обезопасить себя, программист позаботился об алиби — он назначил старт патча на день своего выхода из отпуска. По расчету Уртембаева должен был выйти на работу, обнаружить сбой и устранить его, героически спасая конвейер. Но план провалился, так как программа самостоятельно запустилась раньше на несколько дней…

Последствия взлома
В результате вмешательства Уртембаева завод был парализован на три дня. Поскольку это не входило в намерения Уртембаева – он лишь планировал вызвать проблему, чтобы немедленно ее устранить – он обратился к руководству с повинной.

Советский уголовный кодекс не предусматривал, что делать с киберпреступлениями, поэтому Уртембаев был признан виновным в хулиганстве и получил условный срок, а также крупный штраф. Он также стал первым пойманным советским хакером.

Произошедшая история стала известной на весь Союз и вызвала множество споров на счет поступка Уртенбаева. В газетах писали, что системный программист Волжского автозавода модифицировал ПО АСУ ТП главного конвейера, в результате чего работа была остановлена на трое суток. Двести автомобилей не сошло с конвейера ВАЗа, пока программисты искали источник сбоев. Ущерб исчислялся миллионами рублей.

 

[BlackMAST]

Российские хакеры используют функцию Ngrok и эксплойт WinRAR для атак на посольства

Российские хакеры используют функцию Ngrok и эксплойт WinRAR для атак на посольства​

Вступить в наш чат
​

После Sandworm и APT28 (известного как Fancy Bear), другая российская хакерская группа, APT29, использует уязвимость CVE-2023-38831 в WinRAR для кибератак. Сегодня узнаем подробнее об этой атаке.

Кто ответственен за взлом
APT29 отслеживается под разными именами (UNC3524,/NobleBaron/Dark Halo/NOBELIUM/Cozy Bear/CozyDuke, SolarStorm) и нацелен на посольства с помощью приманки для продажи автомобилей BMW.

Уязвимость безопасности CVE-2023-38831 затрагивает версии WinRAR до 6.23 и позволяет создавать архивы .RAR и .ZIP, которые могут выполняться в фоновом коде, подготовленном злоумышленником для вредоносных целей.

Уязвимость использовалась как нулевой день с апреля злоумышленниками, нацеленными на форумы по торговле криптовалютами и акциями.

Статический домен Ngrok
В отчете, опубликованном на этой неделе, Совет национальной безопасности и обороны Украины (NDSC) сообщает, что APT29 использует вредоносный ZIP-архив, который в фоновом режиме запускает сценарий для показа PDF-приманки и загрузки кода PowerShell, который загружает и выполняет полезную нагрузку.

Вредоносный архив называется «DIPLOMATIC-CAR-FOR-SALE-BMW.pdf» и нацелен на несколько стран европейского континента, включая Азербайджан, Грецию, Румынию и Италию.

APT29 уже использовал фишинговую приманку с рекламой автомобилей BMW для нападения на дипломатов в Украине во время майской кампании по доставке полезных данных ISO с помощью техники контрабанды HTML.

Украинский NDSC утверждает, что в этих атаках APT29 объединил старую тактику фишинга с новой техникой, обеспечивающей связь с вредоносным сервером.

NDSC сообщает, что российские хакеры использовали бесплатный статический домен Ngrok (новая функция, о которой Ngrok объявила 16 августа) для доступа к серверу управления и контроля (C2), размещенному на их экземпляре Ngrok.

Используя этот метод, злоумышленникам удалось скрыть свою активность и связаться со скомпрометированными системами, не подвергаясь риску быть обнаруженными.

Поскольку исследователи из компании Group-IB, занимающейся кибербезопасностью, сообщили, что уязвимость CVE-2023-38831 в WinRAR использовалась как нулевой день, продвинутые злоумышленники начали включать ее в свои атаки.

Исследователи безопасности из ESET обнаружили в августе атаки, приписываемые российской хакерской группе APT28, которая использовала уязвимость в целевой фишинговой кампании, нацеленной на политические субъекты в ЕС и Украине, используя повестку дня Европейского парламента в качестве приманки.

В октябрьском отчете Google отмечается, что проблема безопасности была использована российскими и китайскими государственными хакерами для кражи учетных данных и других конфиденциальных данных, а также для обеспечения устойчивости целевых систем.

Украинский NDSC заявляет, что наблюдаемая кампания APT29 выделяется тем, что она сочетает в себе старые и новые методы, такие как использование уязвимости WinRAR для доставки полезных данных и сервисов Ngrok для сокрытия связи с C2.

В отчете украинского агентства представлен набор индикаторов компрометации (IoC), состоящий из имен файлов и соответствующих хешей для сценариев PowerShell и файла электронной почты, а также доменов и адресов электронной почты.

 

[BlackMAST]

Как российские хакеры атаковали американские ядерные лаборатории

Как российские хакеры атаковали американские ядерные лаборатории
​

Вступить в наш чат​

Прошлым летом российская хакерская группа, известная как Cold River, атаковала три ядерные исследовательские лаборатории в Соединенных Штатах. Вспомним, как это было.

Что произошло
В период с августа по сентябрь хакерская команда «Cold River» нацелилась на Брукхейвенскую (BNL), Аргоннскую (ANL) и Ливерморскую национальные лаборатории имени Лоуренса (LLNL), согласно данным Интернета, которые показали, что хакеры создают поддельные страницы входа для каждого учреждения и отправляют электронные письма ученым-ядерщикам, пытаясь заставить их раскрыть свои пароли.

Кто стоит за взломом
Хакеры Cold River, впервые появившаяся в поле зрения профессионалов разведки после нападения на министерство иностранных дел Великобритании в 2016 году, в последние годы, согласно интервью с девятью фирмами, занимающимися кибербезопасностью, была замешана в десятках других громких хакерских инцидентов.

«Это одна из самых важных хакерских групп, о которых вы никогда не слышали», — сказал Адам Мейерс, старший вице-президент по разведке американской компании по кибербезопасности CrowdStrike.

Были ли еще атаки
В мае Cold River взломала и опубликовала электронные письма, принадлежащие бывшему главе британской шпионской службы МИ-6. Это была лишь одна из нескольких операций по «взлому и утечке» в прошлом году, проведенных связанными с Россией хакерами, в ходе которых конфиденциальные сообщения были обнародованы в Великобритании, Польше и Латвии.

По данным французской компании по кибербезопасности Sekoia.io, в ходе другой недавней шпионской операции, Cold River зарегистрировала доменные имена, призванные имитировать как минимум три европейские неправительственные организации, расследующие военные преступления.

 

[BlackMAST]

Русские хакеры представляют «высокий» уровень угрозы для ЕС

Русские хакеры представляют «высокий» уровень угрозы для ЕС
​

Вступить в наш чат

Группа реагирования на чрезвычайные ситуации в киберпространстве Европейского Союза предупредила общественность, что российская хакерская группировка Fancy Bear нацелена на европейские правительства. В этой статье узнаем об инциденте подробнее.

Что произошло
По меньшей мере семь европейских правительств подверглись целенаправленным фишинговым кампаниям, которые включают использование специально разработанных приманок для нацеливания на конкретные важные цели с целью загрузки вредоносного программного обеспечения или предоставления доступа к цифровым системам.

«Мы оцениваем, что уровень угрозы высок», — говорится в записке группы реагирования на кибер-чрезвычайные ситуации ЕС (CERT-EU), засекреченной для ограниченного распространения (TLP Amber+Strict), которую отправили в начале ноября.

Кто стоит за атаками
Fancy Bear, также известная как APT28, — это связанная с российской разведкой хакерская группа, которая, по утверждениям США, стояла за взломами Национального комитета Демократической партии в 2016 году, которые способствовали победе Дональда Трампа на выборах. В 2020 году группа также подверглась санкциям со стороны властей ЕС за взлом немецкого Бундестага в 2015 году.

Группа «использует различные фальшивые документы для заманивания жертв, в том числе протоколы заседаний подкомитета Европейского парламента и отчет Специального комитета ООН», говорится в записке.

Предупреждение прозвучало на фоне растущих опасений, что европейские выборы в следующем году станут мишенью хакерских группировок из стран с программой кибернаступления против Европы, таких как Россия и Китай. Избиратели ЕС отправятся на избирательные участки уже в июне.

Были ли еще атаки
Хакерские группы в течение многих лет преследовали европейские страны кибератаками, кибершпионажем и кампаниями по дезинформации, что страны ЕС считают попытками подорвать их внутреннюю политику и дипломатическую позицию.

В частности, Fancy Bear действует уже не менее 15 лет. По словам западных специалистов, она специализируется на проникновении в правительственные и критически важные отраслевые организации по всему Западу и использовании взломанной информации для подрыва политики.

Ответ на взломы
Представитель Европейской комиссии Йоханнес Барке отказался комментировать новое предупреждение, но заявил, что ведомство «осведомлено о растущем количестве вредоносных кибердействий в глобальном масштабе».

«Регулярный обмен информацией имеет первостепенное значение, чтобы позволить всем ключевым игрокам в ЕС быть в курсе возможных угроз и получать, где это возможно, новые идеи для оценки и смягчения киберрисков», — сказал он.

Европейский парламент отказался от комментариев. Совет ЕС не ответил на запрос о комментариях.

 

[Molekulabz]

Интересная информация! Спасибо

 

[BlackMAST]

APT28 атакует дипломатов вредоносным ПО

Вступить в наш чат

APT28 оказались причастны к новой фишинговой кампании, в которой в качестве фишинговой приманки использовался выставленный на продажу автомобиль для доставки модульного бэкдора Windows под названием HeadLace.

Что произошло
«Кампания, вероятно, была нацелена на дипломатов и началась еще в марте 2024 года», — говорится в опубликованном сегодня отчете Palo Alto Networks Unit 42, в котором говорится, что ее со средней или высокой степенью уверенности приписывают APT28, которая также известна как BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard, FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy и TA422.

Стоит отметить, что фишинговые темы «автомобили на продажу» ранее использовались другой российской государственной группировкой под названием APT29 еще в мае 2023 года, что свидетельствует о том, что APT28 перепрофилирует успешные тактики для своих собственных кампаний.

Особенности атаки
Ранее в мае этого года злоумышленник был замешан в серии кампаний, нацеленных на сети по всей Европе с помощью вредоносного ПО HeadLace и веб-страниц для сбора учетных данных.

Атаки характеризуются использованием легитимной службы, известной как webhook[.]site — отличительной черты киберопераций APT28 наряду с Mocky — для размещения вредоносной HTML-страницы, которая сначала проверяет, работает ли целевая машина на Windows, и если да, предлагает ZIP-архив для загрузки («IMG-387470302099.zip»).

Если система не основана на Windows, она перенаправляет на обманное изображение, размещенное на ImgBB, в частности, на внедорожник Audi Q7 Quattro.

В архиве находятся три файла: легитимный исполняемый файл калькулятора Windows, маскирующийся под файл изображения («IMG-387470302099.jpg.exe»), DLL («WindowsCodecs.dll») и пакетный скрипт («zqtxmo.bat»).

Двоичный файл калькулятора используется для загрузки вредоносной DLL, компонента бэкдора HeadLace, предназначенного для запуска пакетного скрипта, который, в свою очередь, выполняет команду в кодировке Base64 для извлечения файла с другого URL-адреса webhook[.]site.

Затем этот файл сохраняется как "IMG387470302099.jpg" в папке загрузок пользователя и переименовывается в "IMG387470302099.cmd" перед выполнением, после чего он удаляется, чтобы стереть следы любой вредоносной активности.

"Хотя инфраструктура, используемая Fighting Ursa, различается для разных кампаний атак, группа часто полагается на эти свободно доступные сервисы", - заявили в Unit 42. "Более того, тактика этой кампании соответствует ранее задокументированным кампаниям Fighting Ursa, а бэкдор HeadLace является эксклюзивным для этого субъекта угрозы".​

[/CENTER]

 

[BlackMAST]

Двое граждан России признали себя виновными в атаках вируса-вымогателя LockBit

Вступить в наш чат

Двое граждан России признали себя виновными в суде США за участие в качестве аффилированных лиц в схеме распространения вируса-вымогателя LockBit и содействие осуществлению атак с использованием вирусов-вымогателей по всему миру.

Что произошло
Среди обвиняемых — 21-летний Руслан Магомедович Астамиров из Чеченской Республики и 34-летний Михаил Васильев, гражданин Канады и России из Брэдфорда, Онтарио.

Астамиров был арестован в Аризоне правоохранительными органами США в мае 2023 года. Васильев, которого уже разыскивают по аналогичным обвинениям в Канаде, был приговорен к почти четырем годам тюремного заключения. Впоследствии он был экстрадирован в США в прошлом месяце.

Это событие произошло более чем через два месяца после того, как Национальное агентство по борьбе с преступностью Великобритании (NCA) разоблачило 31-летнего гражданина России по имени Дмитрий Юрьевич Хорошев как администратора и разработчика операции по вымогательству LockBit.

Подробности взлома
LockBit, который, по оценкам, атаковал более 2500 организаций с момента своего появления к концу 2019 года, заработав не менее 500 миллионов долларов в виде выкупов от своих жертв.

Ранее в этом году синдикат электронной преступности понес серьезный удар после того, как его онлайн-инфраструктура была уничтожена в рамках скоординированной операции правоохранительных органов под названием Cronos. Однако группа продолжает оставаться активной.

Васильев и Астамиров «сначала выявляли и незаконно получали доступ к уязвимым компьютерным системам», — заявило Министерство юстиции США. «Затем они развертывали программу-вымогатель LockBit на компьютерных системах жертв, а также крали и шифровали хранящиеся данные».

«После успешной атаки LockBit аффилированные лица LockBit требовали выкуп от своих жертв в обмен на расшифровку данных жертв и удаление украденных данных».

Сообщается, что Астамиров (он же BETTERPAY, offtitan и Eastfarmer) применил LockBit по меньшей мере против 12 жертв в период с 2020 по 2023 год, получив 1,9 миллиона долларов в качестве выкупа от жертв, проживающих в американском штате Вирджиния, Японии, Франции, Шотландии и Кении.

Он признал себя виновным в сговоре с целью совершения компьютерного мошенничества и злоупотребления и сговоре с целью совершения электронного мошенничества. Обвинения по двум пунктам предусматривают максимальное наказание в виде 25 лет лишения свободы.

Аналогичным образом Васильев, действуя под псевдонимами Ghostrider, Free, Digitalocean90, Digitalocean99, Digitalwaters99, Newwave110, применил вирус-вымогатель против 12 компаний в американских штатах Нью-Джерси и Мичиган, а также в Великобритании и Швейцарии.

Приговор
Васильеву грозит до 45 лет тюрьмы по обвинениям, связанным с сговором с целью совершения компьютерного мошенничества и злоупотребления, преднамеренным повреждением защищенного компьютера, передачей угрозы в связи с повреждением защищенного компьютера и сговором с целью совершения электронного мошенничества.

Оба обвиняемых должны быть приговорены 8 января 2025 года. Хорошеву было предъявлено обвинение по 26 пунктам ранее в мае этого года за руководство операцией LockBit, хотя он остается на свободе.

«Распространенное заблуждение, что киберхакеры не будут пойманы правоохранительными органами, потому что они умнее и опытнее нас», — сказал Джеймс Э. Деннехи, специальный агент ФБР, отвечающий за отделение в Ньюарке.

«Двое членов филиала LockBit, признавшие себя виновными в своих преступлениях в федеральном суде США, показывают, что мы можем остановить их и привлечь к ответственности. Эти злоумышленники считают, что могут действовать безнаказанно, и не боятся быть пойманными, потому что они находятся в стране, где чувствуют себя в безопасности и защищенными».​