ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 22.11.2023
Просмотров: 19
Скачиваний: 1
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
killnet
Группировка хакеров создана относительно недавно. Первый пост в их официальном Telegram-канале датируется 23 января 2022 года. Тогда программисты сообщали о последних приготовлениях сайта: «Killnet находится на последней стадии разработки, релиз состоится 31 января».
История создания:
Чем занимаются хакеры из Killnet?
Как заявляют сами авторы, в их задачу входит защита компьютерных данных клиента от хакерских атак. Программисты называют свой сервис «первым в мире децентрализованным ботнетом» (соединение ботов с несколькими машинами из зомби-сети для их заражения вредоносным ПО, — прим. ред.).
«Ваши данные больше не хранятся в базах данных и не передаются третьим лицам в виде хостингов и серверов. Наш ботнет использует новейшую технологию WEB3. Ваши данные хранятся распределенно по всему Blockchain и недоступны для правоохранительных органов», — заверяют клиентов хакеры.
Для хранения информации об операциях пользователей, как отмечают авторы, используются так называемые «Умные контракты» (Smart Contract, компьютерный протокол, позволяющий проводить сделки, — прим. ред.) в сети Ethereum. Хакеры уверяют, что их клиенты могут спокойно пользоваться сервисом Killnet и «не беспокоиться за свою безопасность».
Чем известна хакерская группировка Killnet?
Российские хакеры запомнились взломом сайта известной группировки Anonymous и громким видеообращением к россиянам по поводу атаки на сайты отечественных СМИ. Кибератаки на государственные учреждения в странах НАТО во время вторжения России на Украину. Killnet стояла за атаками на правительственные сайты Румынии с 29 апреля 2022 г. по 1 мая 2022 г. Хакерская группировка взяла на себя ответственность за кибератаку на американскую военную компанию Lockheed Martin — производителя высокомобильной артиллерийской ракетной системы M142 ( HIMARS ), которая состоялась в начале августа. Компания не ответила чётко на запрос, был ли взломан ее сайт или нет[12]. REvil
История создания:
Организованная группа киберпреступников, предоставляющая услуги программ-вымогателей. В случае отказа от выплаты выкупа REvil публиковала конфиденциальную информацию жертвы на своей странице под названием Happy Blog. Группа базировалась на территории России и была ликвидирована в ходе спецоперации ФСБ в январе 2022 года. Дата основания: апрель 2019 г.
Известные атаки
REvil считается одной из самых активных кибербанд в мире. Некоторые атаки группировки получили широкую известность.
Получила известность атака REvil на Apple, в ходе которой были похищены схемы будущих продуктов компании.
Правительство ТехасаREvil связывают с нападением, совершенным в 2019 году на десятки органов местного самоуправления в Техасе.
По мнению ФБР, именно REvil стоит за атакой на JBS — крупнейшего поставщика мяса в мире.
2 июля 2021 года REvil атаковала американскую IT-компанию Kaseya — поставщика корпоративного ПО, после чего атака распространилась по сетям на клиентов Kaseya. Жертвами атаки стали около 200 клиентов Kaseya. Компания по IT-безопасности Huntress Labs назвала эту атаку колоссальной. Хакеры утверждают, что в результате атаки на Kaseya им удалось получить доступ к миллиону компьютерных систем во всем мире и требуют от жертв 70 млн долларов в биткойнах в обмен на «универсальный дешифратор», который сможет, по их словам, вновь открыть все файлы.Федеральное агенство по кибербезопасности начало расследование инцидента.
BBC News отмечает, что нападение на Kaseya произошло вскоре после встречи на высшем уровне между президентами России и США, на которой обсуждались, в том числе, и вопросы кибербезопасности.
Примеры кодировок
Брякаемся на функции и выходим из нее в наш код. В итоге видим такую картину:
008F9552 | FF55 B4 | call dword ptr ss:[ebp-4C] | VirtualAlloc 008F9555 | 8945 F0 | mov dword ptr ss:[ebp-10],eax | <---- мы находимся здесь 008F9558 | 8365 DC 00 | and dword ptr ss:[ebp-24],0 | 008F955C | 8B85 58FFFFFF | mov eax,dword ptr ss:[ebp-A8] | 008F9562 | 0FB640 01 | movzx eax,byte ptr ds:[eax+1] Осматриваемся дальше, видим интересный кусок кода в конце функции, в которой мы оказались:
00569C10 | 8985 5CFFFFFF | mov dword ptr ss:[ebp-A4],eax | 00569C16 | 8B85 5CFFFFFF | mov eax,dword ptr ss:[ebp-A4] | 00569C1C | 0385 68FFFFFF | add eax,dword ptr ss:[ebp-98] | 00569C22 | C9 | leave | 00569C23 | FFE0 | jmp eax | Интересный переход!
Крах
13 июля 2021 года сайты REvil в даркнете перестали отвечать на поисковые запросы. Некоторые эксперты в США предположили, что неожиданное исчезновение REvil из даркнета может быть связано с телефонным разговором между президентами США и России накануне[21].
Ведущие зарубежные издания — New York Times, CNN, BBC, независимый источник новостей и аналитических материалов о кибербезопасности Threatpost и другие — связали это действие с возможной
блокировкой группы американскими спецслужбами, сворачиванием деятельности по приказу российских спецслужб или хакеры просто «ушли в тень», для чего покинули сетевое пространство, чтобы обезопасить себя от возможного ареста, как считают специалисты, в том числе директор по технологиям компании BreachQuest Джейк Уильямс (англ. Jake Williams)[22].
14 января 2022 года в ходе спецоперации ФСБ и МВД России, проведённой по запросу властей США, деятельность группировки была пресечена. Задержание проходило на территории Москвы, Санкт-Петербурга, Московской, Ленинградской и Липецкой областях[20]. У хакеров изъяли 426 миллионов рублей, 500 тысяч евро, 600 тысяч долларов, 20 автомобилей премиум-класса[3][23][5].
Последствия
Эксперты Trustwave отметили что волнения среди хакеров, начавшиеся ещё в 2021 году усилились после ареста REvil. Участники форумов начали обмениваться многочисленными советами о том, как обезопасить себя, если российские правоохранительные органы продолжат активную борьбу с киберпреступностью. Многие раскритиковали действия REvil за показное хвастовство своими достижениями и нападения на многомиллиардные корпорации, расположенные в странах, которые могли вынудить российское правительство принять меры].
По данным ИБ-компании ReversingLabs после арестов предполагаемых участников группировки число новых заражений в сутки увеличилось с 24 (169 в неделю) до 26 (180 в неделю). Этот показатель намного выше по сравнению с сентябрем (43 заражений в сутки — 307 в неделю) и октябрем (22 заражений в сутки — 150 в неделю), 2021 года когда REvil внезапно ушла в offline, но существенно ниже по сравнению с июлем (87 заражений в сутки — 608 в неделю).
Возращение
19 апреля ИБ-специалисты pancak3 и Soufiane Tahiri первыми заметили активность сайтов REvil. Дело в том, что новый «сайт для утечек» REvil начал рекламироваться через русскоязычный форум-маркетплейс RuTOR (не путать с одноименым торрент-трекером). Новый сайт размещен на другом домене, но связан с исходным сайтом REvil, который использовался, когда группа еще была в строю. Также на 26 страницах сайта перечислены компании
, пострадавшие от рук вымогателей, большинство из которых — старые жертвы REvil. Лишь две последние атаки, похоже, связаны с новой кампанией, а один из пострадавших — нефтегазовая компания Oil India.
APT31
Цели:
Кибершпионаж, получение информации, которая может предоставить политические, экономические и военные преимущества
Общее описание
APT31 — группировка, известная с 2016 года. Ее характерной особенностью является специфический вектор атак, а именно: эксплуатация уязвимостей в таких приложениях, как Java и Adobe Flash, использование неизвестных ранее уязвимостей нулевого дня от Equation Group. В различное время жертвами группировки становились правительства Финляндии, предположительно Норвегии и Германии. Ряд экспертов считают, что данная группа проводила атаки на Microsoft Exchange в Великобритании и США, на организации и лица, близкие к кандидатам в президенты США во время предвыборной кампании 2020 года, атаки во Франции в 2021 году. Также некоторые эксперты предполагают, что у этой группировки китайские корни.
Инструменты
LUCKYBIRD
SLOWGYRO
DUCKFAT
9002 RAT
China Chopper
Gh0st RAT
HiKit
Mimikatz
PlugX
Sakula RAT
Trochilus RAT
HanaLoader
DropboxAES RAT
Metasploit
Reverse ICMP shell
Атакуемые отрасли
Правительственный сектор
Международные финансовые организации
Аэрокосмические и оборонные организации
Высокие технологии
Строительство и инжиниринг
Телекоммуникации
СМИ и страхование
Атакуемые страны
Белоруссия
Великобритания
Канада
Монголия
Норвегия
Россия
США
Финляндия
Франция
Альтернативные названия группы
Judgment Panda (CrowdStrike)
Zirconium (Microsoft)
APT 31 (Mandiant)
TEMP.Avengers (Symantec)
Bronze Vinewood (Secureworks)
Отчеты Positive Technologies и других исследователей
https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/apt31-cloud-attacks/
https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/apt31-new-attacks/
https://blogs.microsoft.com/on-the-issues/2020/09/10/cyberattacks-us-elections-trump-biden/
https://www.bleepingcomputer.com/news/security/finnish-parliament-attackers-hack-lawmakers-email-accounts/
https://therecord.media/finland-pins-parliament-hack-on-chinese-hacking-group-apt31/
https://www.bleepingcomputer.com/news/security/hackers-breached-norwegian-parliament-emails-to-steal-data/
https://blog.confiant.com/uncovering-2017s-largest-malvertising-operation-b84cd38d6b85
https://blog.confiant.com/zirconium-was-one-step-ahead-of-chromes-redirect-blocker-with-0-day-2d61802efd0d
https://threatpost.com/microsoft-offers-analysis-of-zero-day-being-exploited-by-zirconium-group/124600/
https://research.checkpoint.com/2021/the-story-of-jian/
https://blog.google/threat-analysis-group/how-were-tackling-evolving-online-threats/
https://fuentitech.com/uk-accuses-china-of-hacking-microsoft-exchange-server/140331/
https://www.gov.uk/government/news/uk-and-allies-hold-chinese-state-responsible-for-a-pervasive-pattern-of-hacking
https://therecord.media/norway-says-chinese-group-apt31-is-behind-catastrophic-2018-government-hack/
https://www.cert.ssi.gouv.fr/ioc/CERTFR-2021-IOC-003/
https://www.secureworks.com/research/bronz-vinewood-uses-hanaloader-to-target-government-supply-chain
https://www.secureworks.com/research/dropboxaes-remote-access-trojan
https://www.secureworks.com/research/bronze-vinewood-targets-supply-chains
https://www.fireeye.com/current-threats/apt-groups.html
Тактики из MITRE ATT&CK, использованные группой
Спасибо за внимание!
Группировка хакеров создана относительно недавно. Первый пост в их официальном Telegram-канале датируется 23 января 2022 года. Тогда программисты сообщали о последних приготовлениях сайта: «Killnet находится на последней стадии разработки, релиз состоится 31 января».
История создания:
Чем занимаются хакеры из Killnet?
Как заявляют сами авторы, в их задачу входит защита компьютерных данных клиента от хакерских атак. Программисты называют свой сервис «первым в мире децентрализованным ботнетом» (соединение ботов с несколькими машинами из зомби-сети для их заражения вредоносным ПО, — прим. ред.).
«Ваши данные больше не хранятся в базах данных и не передаются третьим лицам в виде хостингов и серверов. Наш ботнет использует новейшую технологию WEB3. Ваши данные хранятся распределенно по всему Blockchain и недоступны для правоохранительных органов», — заверяют клиентов хакеры.
Для хранения информации об операциях пользователей, как отмечают авторы, используются так называемые «Умные контракты» (Smart Contract, компьютерный протокол, позволяющий проводить сделки, — прим. ред.) в сети Ethereum. Хакеры уверяют, что их клиенты могут спокойно пользоваться сервисом Killnet и «не беспокоиться за свою безопасность».
Чем известна хакерская группировка Killnet?
Российские хакеры запомнились взломом сайта известной группировки Anonymous и громким видеообращением к россиянам по поводу атаки на сайты отечественных СМИ. Кибератаки на государственные учреждения в странах НАТО во время вторжения России на Украину. Killnet стояла за атаками на правительственные сайты Румынии с 29 апреля 2022 г. по 1 мая 2022 г. Хакерская группировка взяла на себя ответственность за кибератаку на американскую военную компанию Lockheed Martin — производителя высокомобильной артиллерийской ракетной системы M142 ( HIMARS ), которая состоялась в начале августа. Компания не ответила чётко на запрос, был ли взломан ее сайт или нет[12]. REvil
История создания:
Организованная группа киберпреступников, предоставляющая услуги программ-вымогателей. В случае отказа от выплаты выкупа REvil публиковала конфиденциальную информацию жертвы на своей странице под названием Happy Blog. Группа базировалась на территории России и была ликвидирована в ходе спецоперации ФСБ в январе 2022 года. Дата основания: апрель 2019 г.
Известные атаки
REvil считается одной из самых активных кибербанд в мире. Некоторые атаки группировки получили широкую известность.
Получила известность атака REvil на Apple, в ходе которой были похищены схемы будущих продуктов компании.
Правительство ТехасаREvil связывают с нападением, совершенным в 2019 году на десятки органов местного самоуправления в Техасе.
По мнению ФБР, именно REvil стоит за атакой на JBS — крупнейшего поставщика мяса в мире.
2 июля 2021 года REvil атаковала американскую IT-компанию Kaseya — поставщика корпоративного ПО, после чего атака распространилась по сетям на клиентов Kaseya. Жертвами атаки стали около 200 клиентов Kaseya. Компания по IT-безопасности Huntress Labs назвала эту атаку колоссальной. Хакеры утверждают, что в результате атаки на Kaseya им удалось получить доступ к миллиону компьютерных систем во всем мире и требуют от жертв 70 млн долларов в биткойнах в обмен на «универсальный дешифратор», который сможет, по их словам, вновь открыть все файлы.Федеральное агенство по кибербезопасности начало расследование инцидента.
BBC News отмечает, что нападение на Kaseya произошло вскоре после встречи на высшем уровне между президентами России и США, на которой обсуждались, в том числе, и вопросы кибербезопасности.
Примеры кодировок
Брякаемся на функции и выходим из нее в наш код. В итоге видим такую картину:
008F9552 | FF55 B4 | call dword ptr ss:[ebp-4C] | VirtualAlloc 008F9555 | 8945 F0 | mov dword ptr ss:[ebp-10],eax | <---- мы находимся здесь 008F9558 | 8365 DC 00 | and dword ptr ss:[ebp-24],0 | 008F955C | 8B85 58FFFFFF | mov eax,dword ptr ss:[ebp-A8] | 008F9562 | 0FB640 01 | movzx eax,byte ptr ds:[eax+1] Осматриваемся дальше, видим интересный кусок кода в конце функции, в которой мы оказались:
00569C10 | 8985 5CFFFFFF | mov dword ptr ss:[ebp-A4],eax | 00569C16 | 8B85 5CFFFFFF | mov eax,dword ptr ss:[ebp-A4] | 00569C1C | 0385 68FFFFFF | add eax,dword ptr ss:[ebp-98] | 00569C22 | C9 | leave | 00569C23 | FFE0 | jmp eax | Интересный переход!
Крах
13 июля 2021 года сайты REvil в даркнете перестали отвечать на поисковые запросы. Некоторые эксперты в США предположили, что неожиданное исчезновение REvil из даркнета может быть связано с телефонным разговором между президентами США и России накануне[21].
Ведущие зарубежные издания — New York Times, CNN, BBC, независимый источник новостей и аналитических материалов о кибербезопасности Threatpost и другие — связали это действие с возможной
блокировкой группы американскими спецслужбами, сворачиванием деятельности по приказу российских спецслужб или хакеры просто «ушли в тень», для чего покинули сетевое пространство, чтобы обезопасить себя от возможного ареста, как считают специалисты, в том числе директор по технологиям компании BreachQuest Джейк Уильямс (англ. Jake Williams)[22].
14 января 2022 года в ходе спецоперации ФСБ и МВД России, проведённой по запросу властей США, деятельность группировки была пресечена. Задержание проходило на территории Москвы, Санкт-Петербурга, Московской, Ленинградской и Липецкой областях[20]. У хакеров изъяли 426 миллионов рублей, 500 тысяч евро, 600 тысяч долларов, 20 автомобилей премиум-класса[3][23][5].
Последствия
Эксперты Trustwave отметили что волнения среди хакеров, начавшиеся ещё в 2021 году усилились после ареста REvil. Участники форумов начали обмениваться многочисленными советами о том, как обезопасить себя, если российские правоохранительные органы продолжат активную борьбу с киберпреступностью. Многие раскритиковали действия REvil за показное хвастовство своими достижениями и нападения на многомиллиардные корпорации, расположенные в странах, которые могли вынудить российское правительство принять меры].
По данным ИБ-компании ReversingLabs после арестов предполагаемых участников группировки число новых заражений в сутки увеличилось с 24 (169 в неделю) до 26 (180 в неделю). Этот показатель намного выше по сравнению с сентябрем (43 заражений в сутки — 307 в неделю) и октябрем (22 заражений в сутки — 150 в неделю), 2021 года когда REvil внезапно ушла в offline, но существенно ниже по сравнению с июлем (87 заражений в сутки — 608 в неделю).
Возращение
19 апреля ИБ-специалисты pancak3 и Soufiane Tahiri первыми заметили активность сайтов REvil. Дело в том, что новый «сайт для утечек» REvil начал рекламироваться через русскоязычный форум-маркетплейс RuTOR (не путать с одноименым торрент-трекером). Новый сайт размещен на другом домене, но связан с исходным сайтом REvil, который использовался, когда группа еще была в строю. Также на 26 страницах сайта перечислены компании
, пострадавшие от рук вымогателей, большинство из которых — старые жертвы REvil. Лишь две последние атаки, похоже, связаны с новой кампанией, а один из пострадавших — нефтегазовая компания Oil India.
APT31
Цели:
Кибершпионаж, получение информации, которая может предоставить политические, экономические и военные преимущества
Общее описание
APT31 — группировка, известная с 2016 года. Ее характерной особенностью является специфический вектор атак, а именно: эксплуатация уязвимостей в таких приложениях, как Java и Adobe Flash, использование неизвестных ранее уязвимостей нулевого дня от Equation Group. В различное время жертвами группировки становились правительства Финляндии, предположительно Норвегии и Германии. Ряд экспертов считают, что данная группа проводила атаки на Microsoft Exchange в Великобритании и США, на организации и лица, близкие к кандидатам в президенты США во время предвыборной кампании 2020 года, атаки во Франции в 2021 году. Также некоторые эксперты предполагают, что у этой группировки китайские корни.
Инструменты
LUCKYBIRD
SLOWGYRO
DUCKFAT
9002 RAT
China Chopper
Gh0st RAT
HiKit
Mimikatz
PlugX
Sakula RAT
Trochilus RAT
HanaLoader
DropboxAES RAT
Metasploit
Reverse ICMP shell
Атакуемые отрасли
Правительственный сектор
Международные финансовые организации
Аэрокосмические и оборонные организации
Высокие технологии
Строительство и инжиниринг
Телекоммуникации
СМИ и страхование
Атакуемые страны
Белоруссия
Великобритания
Канада
Монголия
Норвегия
Россия
США
Финляндия
Франция
Альтернативные названия группы
Judgment Panda (CrowdStrike)
Zirconium (Microsoft)
APT 31 (Mandiant)
TEMP.Avengers (Symantec)
Bronze Vinewood (Secureworks)
Отчеты Positive Technologies и других исследователей
https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/apt31-cloud-attacks/
https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/apt31-new-attacks/
https://blogs.microsoft.com/on-the-issues/2020/09/10/cyberattacks-us-elections-trump-biden/
https://www.bleepingcomputer.com/news/security/finnish-parliament-attackers-hack-lawmakers-email-accounts/
https://therecord.media/finland-pins-parliament-hack-on-chinese-hacking-group-apt31/
https://www.bleepingcomputer.com/news/security/hackers-breached-norwegian-parliament-emails-to-steal-data/
https://blog.confiant.com/uncovering-2017s-largest-malvertising-operation-b84cd38d6b85
https://blog.confiant.com/zirconium-was-one-step-ahead-of-chromes-redirect-blocker-with-0-day-2d61802efd0d
https://threatpost.com/microsoft-offers-analysis-of-zero-day-being-exploited-by-zirconium-group/124600/
https://research.checkpoint.com/2021/the-story-of-jian/
https://blog.google/threat-analysis-group/how-were-tackling-evolving-online-threats/
https://fuentitech.com/uk-accuses-china-of-hacking-microsoft-exchange-server/140331/
https://www.gov.uk/government/news/uk-and-allies-hold-chinese-state-responsible-for-a-pervasive-pattern-of-hacking
https://therecord.media/norway-says-chinese-group-apt31-is-behind-catastrophic-2018-government-hack/
https://www.cert.ssi.gouv.fr/ioc/CERTFR-2021-IOC-003/
https://www.secureworks.com/research/bronz-vinewood-uses-hanaloader-to-target-government-supply-chain
https://www.secureworks.com/research/dropboxaes-remote-access-trojan
https://www.secureworks.com/research/bronze-vinewood-targets-supply-chains
https://www.fireeye.com/current-threats/apt-groups.html
Тактики из MITRE ATT&CK, использованные группой
Спасибо за внимание!