Kurt Baumgartner
Przyjrzyjmy się kilku interesującym technikom dostarczania szkodliwego oprogramowania stosowanym przez ugrupowanie APT działające od kilku ostatnich lat, a mianowicie Spring Dragon APT. Dokument opublikowany przez naszych kolegów z Palo Alto Networks zawiera garść danych dotyczących tej grupy, określanej jako „the Lotus Blossom Operation“, prawdopodobnie od ciągu debugowania obecnego w znacznej części bazy kodu „Elise” od co najmniej 2012 r. - “d:\lstudio\projects\lotus\…”.
Arsenał tej grupy wykracza poza szeroko omawiane exploity CVE-2012-0158 na przestrzeni ostatnich kilku lat. Ugrupowanie to znane jest ze stosowania spearphishingowych exploitów „half day”, strategicznych włamań do sieci oraz ataków „przy wodopoju” wykorzystujących przekierowania do fałszywej aktualizacji Flash Playera. Zestaw narzędzi spearphishingowych omawianego ugrupowania zawiera exploity PDF, exploity Adobe Flash Playera...
Analizy
Blog
Microsoft zaprezentował przedsmak najnowszej wersji swojego systemu - Windows 10 - za pośrednictwem transmisji strumieniowej na żywo (life stream). System ten zostanie wydany w tym roku. Zgodnie z założeniami, ma to być nie tylko system operacyjny dla komputerów stacjonarnych, ale prawdziwie szeroka platforma obliczeniowa. Jego twórcy utrzymują, że zbudowali system Windows 10 z myślą o zapewnieniu „bardziej osobistego doświadczenia”. Jest to ambitny krok w kierunku płynnego połączenia środowiska komputera stacjonarnego, holografii (rewelacyjnie!!!), środowiska urządzenia mobilnego, gier oraz internetu rzeczy - krok w kierunku uruchamiania aplikacji Store, aplikacji zwiększających wydajność, usług big data oraz współdzielenia, nowych sprzętowych technologii partnerskich oraz cloud computingu w celu zapewnienia mobilności. O „zaufaniu” przedstawiciele Microsoftu wspomnieli tylko w kontekście kwestii prywatności danych....
Analizy
Blog
Na początku grudnia 2014 r. FBI wydało ostrzeżenie o destrukcyjnej aktywności typu wiper wykorzystanej w ataku na Sony Pictures Entertainment. Próbki szkodliwego oprogramowania o nazwie Destover zawierały pliki konfiguracyjne stworzone w systemach wykorzystujących koreańskie pakiety językowe.
Od czasu tego ataku na jaw wychodzą dalsze informacje dotyczące wspomnianego szkodliwego oprogramowania, wciąż jednak trzeba zbadać pewne szczegóły, np. te odnoszące się do wcześniejszej aktywności głównych podejrzanych.
Pierwszą rzeczą, jaką należy zauważyć, jest fakt, że destrukcyjna aktywność, której celem są sieci dużych organizacji, wyraźnie staje się coraz bardziej rozpowszechniona. Wcześniejsze najbardziej znane szkodliwe oprogramowanie o funkcjonalności wipera zostało omówione w tym miejscu. Większość związanych z nim wydarzeń miała miejsce na Bliskim Wschodzie i Półwyspie Koreańskim. Zauważyliśmy...
Patch jest gotowy! Microsoft opublikował poprawkę dla przeglądarki Internet Explorer, odchodząc od typowego dla siebie harmonogramu. Aktualizacja MS14-021 rozwiązuje ostatnio odkryty problem z Internet Explorerem, który stał się podatny na ataki z udziałem exploita. Brawo dla Microsoftu za szybką reakcję w związku z zagrożeniem!
Analizy
Blog
Zgodnie z obietnicą zawartą we wcześniejszych powiadomieniach z lipca, Microsoft opublikował w tym miesiącu siedem biuletynów bezpieczeństwa (MS13-052 - MS13-058). Załatane zostały co najmniej 34 luki. Sześć biuletynów bezpieczeństwa zostało ocenionych jako „krytyczne” ze względu na możliwość zdalnego wykonania kodu. Załatane w tym miesiącu luki pozwalają na zdalne wykonanie kodu we wszystkich wersjach systemów operacyjnych z rodziny Windows, jednak większość z tych poważnych luk zostało zgłoszonych prywatnie i nic nie wskazuje na to, że są już publicznie znane lub wykorzystywane. Niektóre jednak są publicznie znane i przyciągają uwagę wielu twórców exploitów.
Luka zapewniająca prawa dostępu do jądra systemu, CVE-2013-3172, jest publicznie znana, wraz z inną podobną luką, publicznie ujawnioną w maju przez Tavisa Ormandy’ego. Niestety, exploit wykorzystujący tę lukę został rozwinięty przez...
Analizy
Blog
Analizy
Blog
Kilka dni temu zhakowane zostało konto e-mail tybetańskiego aktywisty wysokiego szczebla, a następnie wykorzystane do rozpropagowania ataków ukierunkowanych na innych aktywistów i obrońców praw człowieka. Najbardziej interesującą rzeczą w tej sytuacji jest fakt, że wiadomości e-mail rozsyłane w ataku posiadały załącznik APK – złośliwy program dla systemu Android.
Atak
Dnia 24 marca 2013 r. konto pocztowe tybetańskiego aktywisty wysokiego szczebla zostało zhakowane i wykorzystane do rozsyłania spear-phishingowych wiadomości...
Analizy
Blog