jún 25, 2024 | Blog
A FIN9-hez köthető vietnámi hackerek vád alá kerültek az Egyesült Államokban
Négy vietnámi állampolgárt, akik kapcsolatban állnak a hírhedt FIN9 kibercsoporttal, vádoltak meg az Egyesült Államokban, miután részt vettek egy olyan sorozatos számítógépes behatolásban, amely több mint 71 millió dolláros veszteséget okozott különböző vállalatoknak. A vádlottak — Ta Van Tai (más néven Quynh Hoa és Bich Thuy), Nguyen Viet Quoc (más néven Tien Nguyen), Nguyen Trang Xuyen és Nguyen Van Truong (más néven Chung Nguyen) — adathalász kampányokat és ellátási láncok elleni támadásokat hajtottak végre, hogy milliókat lopjanak el.
A kiberbűnözők módszerei
Az amerikai Igazságügyi Minisztérium által nemrég nyilvánosságra hozott vádirat szerint a vádlottak 2018 májusától 2021 októberéig aktívan törtek be amerikai cégek számítógépes hálózataiba, ahol nem publikus információkat, alkalmazotti juttatásokat és pénzeszközöket próbáltak meg ellopni vagy megkíséreltek ellopni. A támadók kezdeti sikeres behatolás után többek között ajándékkártya-adatokat, személyazonosító információkat és a dolgozókhoz, valamint ügyfelekhez kapcsolódó hitelkártya-adatokat szereztek meg.
Ezt követően az ellopott információkat használták fel bűnözői tevékenységeik további elrejtésére, beleértve online számlák nyitását kriptovaluta tőzsdéken és hosting szerverek beállítását.
A lopott ajándékkártyák sorsa
„Tai, Xuyen és Truong eladta a lopott ajándékkártyákat harmadik feleknek, beleértve egy hamis néven regisztrált fiókon keresztül egy peer-to-peer kriptovaluta piactéren, hogy elrejtsék és álcázzák a lopott pénz eredetét,” mondta az Igazságügyi Minisztérium.
A négy vádlottat összesen egy-egy számítógépes csalásra, zsarolásra és kapcsolódó tevékenységek elkövetésére való összeesküvés, valamint számítógépes adatok szándékos rongálásának két vádpontjával vádolták meg. Ha minden vádpontban bűnösnek találják őket, akár 45 év börtönbüntetés is kiszabható rájuk.
Ezen túlmenően, Tai, Xuyen és Truong pénzmosásra való összeesküvés vádjával is szembenéznek, ami akár 20 évig terjedő börtönbüntetést vonhat maga után. Tai és Quoc továbbá súlyos személyazonosság-lopás és személyazonosság-hamisításra való összeesküvés vádjával is szembesülnek, amelyek maximálisan 17 évig terjedő büntetést jelenthetnek.
Forrás: www.thehackernews.com
máj 13, 2024 | Blog
Az Egyesült Államok Szövetségi Nyomozóirodája, az FBI egyre intenzívebben lép fel a Scattered Spider hacker csoport ellen, amely az elmúlt évek során számos amerikai intézmény ellen hajtott végre sikeres támadásokat, mondta egy magas rangú tisztviselő.
Az elmúlt év során a Scattered Spider csoport neve világszerte ismertté vált, miután sikeresen behatoltak az MGM Resorts International (MGM.N) és a Caesars Entertainment (CZR.O) kaszinóüzemeltetők rendszereibe, ahol a rendszereket lezárták és nagy összegű váltságdíjat követeltek. Az egészségügyi, telekommunikációs és pénzügyi szektorokat érintő támadásaik számos kihívást jelentettek a törvényvégrehajtó hatóságok számára.
„Ott, ahol lehetséges, bűncselekmény miatt vádoljuk meg az érintetteket, különösen a Számítógépes Csalás és Visszaélés Törvénye alapján,” mondta Brett Leatherman, az FBI kiberbiztonsági helyettes igazgatója egy interjúban a Reutersnek.
A banda a nyugati hackerek és a kelet-európai kiberbűnözők ritkán látott együttműködését jelenti, tette hozzá Leatherman az RSA Konferencián San Franciscóban.
„Nem gyakori, hogy különböző földrajzi területekről érkező hackerek együtt dolgoznak a hacktivizmuson túl,” említette.
A biztonsági elemzők már 2022 óta figyelemmel kísérik a Scattered Spider tevékenységét, és megállapították, hogy ez a csoport jelentősen agresszívebb, mint a többi hasonló csoport. Különösen ügyesek az IT segítségnyújtó személyek azonosságának ellopásában, amellyel bejutnak a vállalati hálózatokba. A Caesars körülbelül 15 millió dollárt fizetett a rendszereik felszabadításáért.
Beszélgetéseikben a csoport néha fizikai erőszak alkalmazásával fenyegetőzött, ami növelte a kutatók aggodalmát.
Az év elején a banda tevékenysége csökkent, azonban jelenleg „erősen aktívak,” mondta Charles Carmakal, a Google Mandiant biztonsági részlegének technológiai igazgatója, aki több áldozattal is együttműködött.
A banda az elmúlt két év során több mint 100 szervezetet támadott meg, mindegyikbe sikerült valamilyen szintű behatolást végrehajtaniuk, és rendszeresen sikeresen végeztek phishing támadásokat.
A támadások gyakorisága és súlyossága miatt számos szakértő bírálta a letartóztatások hiányát, különösen, mivel a csoport tagjai főként nyugati országokban tevékenykednek.
Leatherman elmondta, hogy magánbiztonsági cégek támogatják az FBI-t a bizonyítékok összegyűjtésében.
„Ez a csoport kulcsfontosságú számunkra, hogy folyamatosan kutassuk azokat a módszereket, amelyekkel megzavarhatjuk tevékenységüket,” mondta.
„Egy bizonyos bizonyítási szintet kell elérnünk a jogi intézkedések végrehajtásához, és e felé haladunk,” fűzte hozzá.
Egy már ismert letartóztatás történt. Januárban az FBI vádat emelt a 19 éves floridai Noah Urban ellen, akit a Scattered Spider egyik tagjaként azonosítottak.
További letartóztatások várhatóak. Mivel a csoport tagjai közül néhány még kiskorú, az FBI állami és helyi törvények segítségével hajthatja végre a felelősségre vonást, mondta Leatherman.
„Ez a megközelítés történelmileg nagyon hatékony volt,” zárta le a beszélgetést Leatherman.
Forrás: www.reuters.com
máj 8, 2024 | Blog
A LockBit csoport vezetőjére akár 185 év börtön is várhat.
Egy jelentős fejlemény történt a LockBit ransomware csoport elleni nemzetközi nyomozásban, amikor az amerikai igazságügyi minisztérium (DOJ) vádat emelt egy 31 éves orosz állampolgár ellen, Dmitrij Jurjevics Horosev ellen, akit az iparágban „LockBitSupp” néven ismernek. Horosev az állítások szerint kulcsszerepet játszott a „világ egyik legkárosabb zsarolóvírus csoportjának” létrehozásában és működtetésében.
Az igazságügyi minisztérium szerint a LockBit támadások globálisan több mint 2500 áldozatot érintettek, és az elkövetők összesen legalább 500 millió dollár váltságdíjat szedtek be. Horosev ellen összesen 26 vádpontot emeltek, melyek között szerepel csalási összeesküvés és több rendbeli zsarolás védett számítógépek megrongálásával, amiért akár 185 évig terjedő börtönbüntetés is kiszabható.
A DOJ továbbá 10 millió dollár jutalmat hirdetett azoknak, akik értékes információkkal tudják segíteni Horosev letartóztatását. A LockBit, mint sok más ransomware csoport, egy ransomware-as-a-service üzleti modelt követ, ahol a fejlesztők a kártékony szoftvert bérbe adják partnereiknek, akik aztán különböző szervezetek ellen használják.
2023 februárjában egy nemzetközi művelet során sikerült átvenni a csoport weboldalának irányítását és feltárni az infrastruktúráját. A hatóságok 34 szervert foglaltak le és hozzáfértek dekódoló kulcsokhoz, ami jelentős csapást mért a csoport működésére. Ennek ellenére a LockBit hamarosan újra aktivizálódott, jelezve, hogy a küzdelem még korántsem ért véget.
Horosev állítólag a kicsalt váltságdíjak 20 százalékát kapta meg, és ő üzemeltette a csoport weboldalát is. A büntetőeljárás során öt másik LockBit tag ellen is emeltek vádat, közülük ketten jelenleg is őrizetben várják a tárgyalásukat.
Forrás: www.wired.com
jan 16, 2024 | Blog
Az Inferno Drainer nevű, immár megszűnt csalói csoport egy év alatt, 2022 és 2023 között több mint 16 000 egyedi kártékony domain nevet hozott létre. A szingapúri székhelyű Group-IB szerint a szervezet „magas minőségű adathalász oldalak segítségével csábította gyanútlan felhasználókat arra, hogy kriptopénz tárcájukat az elkövetők által létrehozott infrastruktúrához kapcsolják, ami Web3 protokollokat utánzott annak érdekében, hogy az áldozatokat megtévessze és tranzakciók jóváhagyására bírja” – áll a The Hacker News-szal megosztott jelentésükben.
Az Inferno Drainer 2022 novemberétől 2023 novemberéig volt aktív, és több mint 87 millió dolláros törvénytelen nyereséget könyvelt el, több mint 137 000 áldozat becsapásával. A malware része volt egy szélesebb körű, hasonló szolgáltatásoknak, amelyeket a csalók az „átverés-mint-szolgáltatás” (vagy „drainer-mint-szolgáltatás”) modell keretében értékesítettek, a nyereségük 20%-ának cserébe.
Ráadásul az Inferno Drainer ügyfelei választhatnak, hogy feltöltsék a malware-t a saját adathalász oldalaikra, vagy használják a fejlesztő szolgáltatását az adathalász weboldalak létrehozására és tárolására, néhány esetben ingyen, vagy a lopott eszközök 30%-ának díjazásával.
A Group-IB szerint a tevékenység több mint 100 kriptopénz márkát utánzott, különlegesen kialakított oldalakon, amelyeket több mint 16 000 egyedi domainen tároltak. Az ilyen domainek közül 500 elemzése során kiderült, hogy a JavaScript-alapú drainer kezdetben egy GitHub tárházban volt tárolva (kuzdaz.github[.]io/seaport/seaport.js), mielőtt közvetlenül az oldalakra illesztették volna. A „kuzdaz” felhasználó jelenleg nem létezik.
Hasonló módon, további 350 oldal tartalmazott egy „coinbase-wallet-sdk.js” nevű JavaScript fájlt, egy másik GitHub tárházban, a „kasrlorcian.github[.]io”-n. Ezeket az oldalakat olyan helyeken terjesztették, mint a Discord és az X (korábban Twitter), ahol potenciális áldozatokat csábítottak rá, hogy kattintsanak rájuk, azzal a csellel, hogy ingyenes tokeneket (úgynevezett airdropokat) kínáltak, és arra bírták őket, hogy csatlakoztassák a tárcáikat, amikor a tranzakciók jóváhagyása után az eszközeiket elcsatornázták.
A seaport.js, coinbase.js és wallet-connect.js nevű fájlok használatával a cél az volt, hogy népszerű Web3 protokollok, mint a Seaport, a WalletConnect és a Coinbase álruhájába bújjanak, hogy végrehajtsák az engedély nélküli tranzakciókat. Az első ilyen scriptet tartalmazó weboldal 2023. május 15-én jelent meg.
„Az Inferno Drainerhez tartozó adathalász oldalak egy másik jellemzője az volt, hogy a felhasználók nem nyithatták meg a weboldal forráskódját a gyorsbillentyűk vagy az egér jobb gombjának használatával” – mondta Viacheslav Shevchenko, a Group-IB elemzője. „Ez azt jelenti, hogy a bűnözők megpróbálták elrejteni a scriptjeiket és illegális tevékenységüket az áldozataik elől.”
Megjegyzendő, hogy a Google tulajdonában lévő Mandiant X fiókja ebben a hónapban kompromittálódott, és linkeket osztott meg egy adathalász oldalhoz, amely egy CLINKSINK nevű kriptopénz-drainert tárol.
„Bár az Inferno Drainer tevékenysége megszűnt, jelentősége 2023 folyamán kiemeli a kriptopénz tulajdonosok számára jelentkező súlyos kockázatokat, mivel a drainerek tovább fejlődnek” – mondta Andrey Kolmakov, a Group-IB High-Tech Crime Investigation Department vezetője.
Forrás: https://thehackernews.com
nov 22, 2023 | Blog
A Mustang Panda Támadásai: Kibertérben Kibontakozó Fülöp-szigeteki Konfliktusok
A Mustang Panda, egy Kínával összefüggésbe hozható hackercsoport, Fülöp-szigeteki kormányzati célpontokat támadott meg, kihasználva a Dél-kínai-tengeri területi viták által keltett feszültségeket. A Palo Alto Networks Unit 42 elemzése szerint 2023 augusztusában három külön kampány során a csoport célba vette a Dél-Csendes-óceáni térség szervezeteit.
A támadások során a hackerek hiteles szoftvereket, mint például a Solid PDF Creator-t és az indonéz SmadavProtect antivírust használták fel, hogy rosszindulatú fájlokat juttassanak be a rendszerekbe. A csoport ügyesen manipulálta ezeket a szoftvereket, hogy Microsoft hálózati forgalmat utánozzanak, ezzel biztosítva a parancs- és vezérlési (C2) kapcsolatokat.
A Mustang Panda csoportot sok néven ismerik, mint például Bronz Előlnök, Camaro Sárkány, Föld Preta, RedDelta és Állami Taurus, és mint egy kínai fejlett állandó fenyegetést (APT) jelölő csoportot tartják számon, mely 2012 óta aktívan folytat kiberspionázs kampányokat világszerte.
2023 szeptemberében a Unit 42 szakértői a csoportot egy délkelet-ázsiai kormányzati szervezet elleni támadással hozták összefüggésbe, melyben a TONESHELL nevű hátsó ajtót használták.
A legfrissebb támadások dárda-phishing email-ekkel kezdődtek, melyek rosszindulatú ZIP fájlokat tartalmaztak, egy rosszindulatú dinamikus könyvtárral (DLL). Az offenzíva célja egy távoli szerverhez való csatlakozás volt, amelynek során kompromittálták a Fülöp-szigeteki kormányzati entitásokat egy ötnapos időszak alatt, 2023 augusztus 10. és 15. között.
A Mustang Panda ismert a SmadavProtect program használatáról, amelyet a biztonsági rendszerek kijátszására terveztek. „Állami Taurus továbbra is bizonyítja a hatékony és tartós kiberspionázs műveletek végrehajtásában való jártasságát, mint az egyik legaktívabb kínai APT,” jegyezték meg a kutatók.
Az esetek globális célpontjai összhangban állnak a kínai kormány geopolitikai érdeklődési körével. A felfedezés egyidejűleg történt egy dél-koreai APT csoport, a Higaisa aktivitásának feltárásával, amely kínai felhasználókat célozott meg, OpenVPN-hez hasonló adathalász weboldalakon keresztül.
„Ezek a támadások Rust alapú kártékony szoftvereket telepítettek és futtattak a rendszereken, aktiválva egy shellcode-ot,” tájékoztatott a Cyble. „A shellcode anti-debugging és dekódoló műveleteket hajt végre, majd titkosított parancs-és-vezérlés (C&C) kommunikációt hoz létre a távoli fenyegető szereplővel.”