Хакеры взломали блог BlackBerry

В течение последних дней столица и несколько крупных городов Великобритании охвачены массовыми беспорядками. Группы агрессивно настроенной молодежи собираются на демонстрации и вступают в столкновения с полицией; свои действия они координируют при помощи инфокоммуникационных технологий, и в частности - службы обмена сообщениями BlackBerry Messenger.



BBM привлекателен для них по нескольким причинам: смартфоны RIM широко распространены ввиду относительной дешевизны (по данным статистики, почти 40% молодых людей в Соединенном Королевстве пользуются этими устройствами), и мгновенный обмен сообщениями между ними можно производить в закрытом режиме бесплатно. Предполагается, что зачинщики беспорядков, помимо социальных сетей, активно применяли и BlackBerry Messenger, что позволяло им быть все время на связи и в то же время держать свои планы в тайне от правоохранительных органов.


В связи с этим производитель BlackBerry - Research in Motion - объявила во всеуслышание о том, что предоставит в распоряжение полиции необходимый объем данных о пользователях ее смартфонов, так или иначе участвовавших в "акциях гражданского неповиновения" - протоколы обмена сообщениями через BBM, географические координаты устройств, получаемые через службу глобального позиционирования GPS, и прочие сведения, позволяющие тем или иным образом установить личность владельца. Результат не заставил себя ждать: хакерская группировка Teampoison взломала блог BlackBerry и разместила там угрожающее сообщение.


Участники группировки в ультимативной форме потребовали, чтобы RIM отказалась от своих планов по сотрудничеству с полицией и не передавала ей никаких данных. По мнению хакеров, в итоге подобных действий могут пострадать невинные люди, которые случайно "оказались не в том месте и не в то время": полиция, по их словам, сейчас пытается сохранить лицо и в силу этого озабочена главным образом тем, чтобы найти и посадить за решетку как можно больше людей - так что она не станет разбираться, участвовал ли человек в погромах или просто проходил мимо.


Взломщики утверждают, что у них на руках имеется база данных сотрудников Research in Motion, включающая имена, физические адреса, номера телефонов и другие данные. Если RIM не откажется от своих намерений, они угрожают опубликовать эти сведения в открытом доступе и целенаправленно поделиться ими с участниками и организаторами беспорядков. "Вы действительно хотите, чтобы озлобленная молодежь навестила ваших работников у них дома?" - риторически интересуются авторы сообщения. - "Не надейтесь на полицию; они и себя-то не могут защитить, не говоря уж о других людях".


Naked Security @ Sophos


Письмо автору

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Фейковый PoC устанавливает на машину ИБ-экспертов Cobalt Strike Beacon

На GitHub обнаружены два вредоносных файла, выдаваемых за PoC-эксплойты. Авторы находки из Cyble полагают, что это задел под очередную киберкампанию, мишенью которой являются участники ИБ-сообщества.

На хакерских форумах тоже обсуждают эти PoC к уязвимостям CVE-2022-26809 и CVE-2022-24500, которые Microsoft пропатчила в прошлом месяце. Как оказалось, оба репозитория GitHub принадлежат одному и тому же разработчику.

Проведенный в Cyble анализ показал, что расшаренные PoC на самом деле представляют собой вредоносный Net-банарник, упакованный с помощью ConfuserEX — обфускатора с открытым исходным кодом для приложений .Net. Зловред не содержит заявленного кода, но поддерживает эту легенду, выводя с помощью функции Sleep() поддельные сообщения, говорящие о попытке выполнения эксплойта.

Усыпив бдительность жертвы, вредонос запускает скрытую PowerShell-команду для доставки с удаленного сервера основной полезной нагрузки — маячка Cobalt Strike.

 

Этот бэкдор можно впоследствии использовать для загрузки дополнительных файлов в рамках атаки и для ее развития путем горизонтального перемещения по сети.

Похожая вредоносная кампания была зафиксирована полтора года назад. Злоумышленники вступали в контакт с баг-хантерами, пытаясь с помощью замаскированного IE-эксплойта 0-day и бэкдора добраться до информации об актуальных уязвимостях.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru