Известно несколько кибергрупп, специализирующихся на краже средств у российских компаний. Мы наблюдали атаки с применением лазеек в системах безопасности, открывающих доступ в сети целевых объектов. Получив доступ, атакующие изучают структуру сети организации и развертывают собственные инструменты для кражи средств. Классический пример этого тренда – хакерские группировки Buhtrap, Cobalt и Corkow.

Группа RTM, которой посвящен этот отчет, является частью данного тренда. Она использует специально разработанные вредоносные программы, написанные на Delphi, которые мы рассмотрим подробнее в следующих разделах. Первые следы этих инструментов в системе телеметрии ESET обнаружены в конце 2015 года. По мере необходимости группа загружает в зараженные системы различные новые модули. Атаки нацелены на пользователей систем ДБО в России и некоторых соседних странах.

В некоторых моделях роутеров NetGear была обнаружена серьезная узвимость, которая позволяет злоумышленникам удаленно исполнять команды Linux на устройствах. Для эксплуатации уязвимости злоумышленники могут использовать специальным образом сформированный запрос к роутеру и отправить его через заранее подготовленную веб-страницу.

NETGEAR has recently become aware of the security issue #582384 that allows unauthenticated web pages to pass form input directly to the command-line interface. A remote attacker can potentially inject arbitrary commands which are then executed by the system.

Специалисты ESET обнаружили, что миллионы посетителей популярных новостных веб-сайтов были мишенью нескольких вредоносных объявлений, которые специализировались на перенаправлении пользователей на набор эксплойтов. Этот набор эксплойтов использовался для компрометации пользователей вредоносным ПО с привлечением эксплойтов для Flash Player.



Начиная, по крайней мере, с октября месяца этого года, пользователи могли сталкиваться с объявлениями, рекламирующими такие приложения как «Browser Defence» и «Broxu». Ниже приведены баннеры этих объявлений, которые использовались для показа на веб-сайтах.

Google выпустила обновление для Android под названием Android Security Bulletin—December 2016, которое исправляет в этой ОС множественные уязвимости, а также уязвимости в ее сторонних компонентах производства NVIDIA, MediaTek, HTC и Qualcomm. Например, в компоненте драйвера звукового кодека HTC было исправлено три уязвимости типа Local Privilege Escalation (LPE), которые могут быть использованы атакующими для запуска вредоносного кода в режиме ядра Android. Исправлению подлежат устройства Google Nexus 9.



Нужно отметить, что в этот раз не было исправлено ни одной критической уязвимости в Android, которая могла быть использована для удаленного исполнения кода с повышенными привилегиями, например, с использованием печального компонента Mediaserver, отвечающего за обработку мультимедийных файлов.

Фишинговые сообщения, которые злоумышленники распространяют с помощью сервиса коротких текстовых сообщений SMS, не являются чем-либо новым. Они узнают номера телефонов своих потенциальных жертв и используют актуальную на текущий момент тему для рассылки сообщений от имени выбранной компании.


Недавно мы наблюдали рассылку сообщений от имени компании Apple, целью которой для злоумышленников было получить конфиденциальные данные пользователей, а, именно, логины и пароли от учетных записей Apple ID. Распространенность устройств и сервисов от Apple, делает использование этой темы для злоумышленников весьма актуальным.

Новая уязвимость в веб-браузере Tor/Firefox используется для установки вредоносного ПО на компьютеры пользователей. Одной из первых эта информация появилась в списке рассылки (mailing list) Tor Project. Для эксплуатации уязвимости эксплойт использует специальным образом сформированные файлы HTML и CSS. По информации известного security-ресерчера Dan Guido, уязвимость относится к типу use-after-free и затрагивает Scalable Vector Graphics (SVG) парсер Firefox.



Основатель Tor Project Roger Dingledine уведомил пользователей, что разработчики Firefox в курсе данной проблемы и работают над исправлением для уязвимости. Пользователям веб-браузера Tor рекомендуют отключить использование JavaScript до выхода соответствующего исправления.

До праздников в конце года остается не так много времени и пользователи заранее планируют бронирование билетов на самолет для посещения близких, друзей или же просто для отдыха. Как и следовало ожидать, киберпреступники активизируют свою деятельность в такое время, рассчитывая обмануть как можно больше пользователей. Они используют методы социальной инженерии и обещают пользователям бесплатные авиабилеты.



В нашем прошлом посте мы предупреждали пользователей о фишинговой рассылке в WhatsApp, которая использует тему скидочных купонов. На сей раз злоумышленники также выбрали WhatsApp и рассылку сообщений от имени авиакомпании Emirates. Они предлагают пользователям получить несколько бесплатных билетов.

С момента своего появления, вымогатели-шифровальщики представляют из себя прибыльный инструмент для организации бизнеса киберпреступников. Количество представителей таких семейств вредоносных программ выросло достаточно быстро, причем их жертвами становились как корпоративные пользователи (компании), так и простые пользователи.



Один из шифровальщиков под названием Crysis заразил достаточно большое количество пользователей по всему миру, антивирусные продукты ESET обнаруживают его как Win32/Filecoder.Crysis. В случае этого шифровальщика, жертвам повезло больше, поскольку наши специалисты разработали бесплатный инструмент для расшифровки зашифрованных файлов.

Lenovo исправила две важные уязвимости в системном ПО своих компьютеров. Уязвимости исправляются обновлением LEN-9903 (Intel ME protection not set on some Lenovo Notebook and ThinkServer systems) и LEN-8327 (Microsoft Device Guard protection bypass). Первая уязвимость с идентификатором CVE-2016-8222 заключается в неправильной конфигурации Lenovo системного механизма чипсетов Intel — Intel Management Engine на некоторых моделях ноутбуков и компьютеров ThinkServer.


Вторая уязвимость с идентификатором CVE-2016-8222 чем-то похожа на известную прежде уязвимость ThinkPwn, о которой мы уже писали здесь. Уязвимость может позволить атакующему перезаписать важные системные переменные BIOS и вызывать сервисы SMM режима работы микропроцессора, т. е. на уровне привилегий минус второго кольца (-2).

Соревнование (контест) между security-ресерчерами под названием PwnFest чем-то напоминает другой известный контест — Pwn2Own. PwnFest проходил в Южной Корее, где исследователям по безопасности предлагалось скомпрометировать различные устройства и приложения для удаленного исполнения кода, а также повышения своих привилегий в системе. Спектр предлагаемых для взлома продуктов достаточно обширен, это веб-браузер Edge на Windows 10, ОС Android 7 на новейшем устройстве Google Pixel, известная среда виртуализации Microsoft Hyper-V, веб-браузеры Google Chrome и Apple Safari, а также VMware Workstation, Adobe Flash Player и Apple iOS 10.


Команда китайских исследователей по безопасности из известной компании Qihoo 360 Technology не только сумела успешно скомпрометировать Microsoft Edge, VMware Workstation, Adobe Flash, Google Pixel, а также выиграть титул «Lord of Pwn». В общей сложности команда заработала $530k.

Вредоносная программа под названием Retefe специализируется на компрометации пользователей различных банков, среди которых и Tesco Bank. Клиенты этого банка недавно подверглись массовой компрометации аккаунтов. Retefe используется злоумышленниками для кражи данных онлайн-банкинга, которые затем могут быть использованы с целью осуществления мошеннических операций.


Согласно новостному порталу BBC, за выходные было зафиксировано около 40 тыс. подозрительных банковских транзакций, причем половина из них приходилась на незаконное списание денежных средств. Позже представители Tesco Bank подтвердили, что в результате компрометации пострадало около 9 тыс. клиентов банка.

Microsoft выпустила ноябрьский набор обновлений, который исправляет множественные уязвимости в продуктах Windows и Office. Две исправленных уязвимости находятся в активной эксплуатации злоумышленниками. Первая с идентификатором CVE-2016-7255 типа Local Privilege Escalation (LPE) присутствует в драйвере Win32k.sys на всех поддерживаемых версиях Windows. Об этой уязвимости мы писали ранее, она использовалась в кибератаках для обхода механизма sandbox веб-браузера совместно с RCE эксплойтом для Flash Player.


Другая уязвимость типа RCE с идентификатором CVE-2016-7256 присутствует в графической подсистеме на Windows Vista+. С использованием уязвимости атакующие могут удаленно исполнить вредоносный код в веб-браузере с помощью вредоносного мультимедийного файла, размещенного на веб-странице. MS также исправила уязвимость в подсистеме Virtual Secure Mode (VSM) на Windows 10, которая используется для реализации таких функций безопасности как Device Guard и Credential Guard.

Google выпустила обновление для Android Android Security Bulletin—November 2016, закрыв множественные уязвимости в этой мобильной ОС. Как и в случае предыдущих обновлений, это обновление было выпущено в три этапа. Особенность его в том, что в его рамках было закрыто большое количество критических уязвимостей, более двадцати. Одна из таких уязвимостей типа RCE+LPE с идентификатором CVE-2016-6725 присутствует в криптографическом драйвере Qualcomm, который используется на устройствах Google Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL. Уязвимость позволяет удаленно исполнить код на устройстве владельца с привилегиями ядра Android.

Samsung также закрыла уязвимости в Android прошивке своих устройств обновлением SMR-NOV-2016. Компания исправила LPE-уязвимость Dirty COW в ядре Linux с идентификатором SVE-2016-7504 (CVE-2016-5195), о которой мы писали ранее. Уязвимость Dirty COW также была закрыта и Google.

В предыдущих постах нашего корпоративного блога мы несколько раз касались темы поддержки подсистемы Linux на Windows 10 (WSL), а также описывали особенности ее технической реализации. Бета-версия этой подсистемы была доставлена пользователям в выключенном виде в рамках обновления Windows 10 Redstone 1 (Anniversary Update) в августе этого года.



Недавно Microsoft начала анонсировать изменения в ядре Windows, которые помогут AV-драйверам правильным образом работать с процессами подсистемы Linux, в контексте которых запускаются исполняемые ELF-файлы.

В прошлом году наши специалисты опубликовали подробный анализ вредоносной программы Linux/Moose, а также деятельности злоумышленников, которые использовали ее для компрометации embedded-устройств. Moose использовался для компрометации сетевых роутеров, подавляющее большинство которых работает под управлением Linux.



Скомпрометированные устройства использовались операторами для кражи незашифрованного сетевого трафика, а также предоставления услуг proxy другим злоумышленникам. На практике, операторы использовали перехват трафика для кражи HTTP cookie от популярных сетевых сервисов, которые затем использовались для выполнения на этих сервисах нелегитимных действий, включая такие как накрутка количества просмотров публикации, установка отметок нравится и добавление новых фолловеров аккаунтов.

Microsoft анонсировала отказ от поддержки известного бесплатного инструмента безопасности EMET. В качестве двух основных причин такого шага MS называет выход Windows 10, которая уже поддерживает ряд еще более продвинутых механизмов защиты от эксплойтов с помощью виртуализации (Device Guard, Credential Guard, Windows Defender Application Guard). Вторая причина заключается в том, что сам по себе EMET никогда не являлся настоящим security-продуктом для долговременного использования, а применялся как площадка для обката новых методов защиты от эксплуатации уязвимостей.

Finally, we have listened to customers’ feedback regarding the January 27, 2017 end of life date for EMET and we are pleased to announce that the end of life date is being extended 18 months. The new end of life date is July 31, 2018. There are no plans to offer support or security patching for EMET after July 31, 2018. For improved security, our recommendation is for customers to migrate to Windows 10.

Компания Microsoft обнародовала информацию о нашумевших уязвимостях, на которые ранее указывала Google в своем посте. Злоумышленники использовали связку из двух RCE+LPE уязвимостей для удаленного исполнения кода через Flash Player и обхода sandbox в браузере с использованием win32k.sys. Уязвимость в Flash Player с идентификатором CVE-2016-7855 была закрыта Adobe обновлением APSB16-36. Обновление для win32k.sys пока не вышло, хотя уязвимость актуальна для всех поддерживаемых версий Windows.

Ранее мы уже несколько раз писали о механизмах блокирования действий эксплойтов в веб-браузерах Google Chrome и Microsoft Edge (Windows 10). Оба этих веб-браузера кроме использования sandbox на основе изоляции AppContainer, используют ограничения на использование системных сервисов драйвера win32k.sys. Chrome и Edge также успешно блокируют попытку эксплуатации LPE-уязвимости в этом драйвере, правда, при их использовании только на Windows 10.

Первые две части [1,2] нашего детального анализа деятельности группировки Sednit были посвящены механизмам первоначальной компрометации пользователей, а также описанию бэкдоров группировки под названием SEDRECO, XAGENT и XTUNNEL. Эти бэкдоры использовались для кибершпионажа за скомпрометированными пользователями, а также для эксфильтрации данных из зараженных систем.



Заключительная часть нашего исследования посвящена интересному механизму скрытного поддержания своего присутствия в системе, который также используется группировкой для маскировки своего присутствия. Sednit использует для этих целей буткит-технологии, позволяющие компрометировать Windows на самом раннем этапе ее загрузки.

Хакеры Shadow Brokers получили всемирную известность после публикации секретных данных элитной кибергруппировки Equation Group, которая использовала в кибератаках сложное и хорошо разработанное кибероружие. Опубликованный хакерами ранее архив eqgrp-free-file содержал несколько 0day эксплойтов для сетевых устройств Cisco и Fortinet. На сей раз хакеры выложили в открытый доступ архив с информацией о метаданных кибератак, используемых группировкой. В частности, там указаны IP-адреса и домены источников кибератак, а также их даты.

This is being equation group pitchimpair (redirector) keys, many missions into your networks is/was coming from these ip addresses. Is being unfortunate no peoples is already owning eqgrp_auction_file. Auction file is having tools for to making connect to these pitchimpairs.

Недавно мы писали о масштабной DDoS-атаке, которая была организована ботнетом Mirai, состоящим из устройств т. н. Internet of Things (IoT). Кибератака была настолько мощной, что привела к сбоям в работе крупнейших интернет-сервисов. Между тем, Mirai имеет в своем арсенале всего лишь один способ компрометации роутеров — подбор стандартных паролей.

Подобные кибератаки на роутеры наблюдались еще с 2012 г., однако, в связи со значительным увеличением количества работающих роутеров в последнее время, риск их компрометации резко возрастает. Учитывая, что многие из них до сих пор поставляются со стандартными паролями, можно лишь предполагать какой огромной можно создать бот-сеть из таких устройств.