Стартап, продающий правительству шпионов, раскрыл все свои данные

Стартап, продающий правительству шпионов, раскрыл все свои данные

Немецкий стартап Wolf Intelligence, занимающийся разработкой шпионских программ, раскрыл собственные конфиденциальные данные, среди которых была информация о целях слежки, сканы паспортов основателя и его семьи и записи встреч.

Wolf Intelligence занимается продажей инструментов для слежки и взлома правительствам по всему миру. Теперь же исследователи CSIS Security обнаружили, что компания оставила незащищенной в Сети практически всю конфиденциальную информацию.

В итоге были скомпрометированы 20 гигабайт данных, включая записи встреч с клиентами, скан паспорта основателя компании, скан кредитной карты основателя, а также информация о целях шпионажа.

Все эти данные были обнаружены на сервере C&C и в публичной папке Google Drive. Исследователи показали скриншоты утекших данных на прошедшей в Монреале конференции Virus Bulletin.

«Эта история выглядит глупо, так как изначально предполагается, что продающая правительству инструменты взлома и шпионажа компания должна иметь предоставление о мерах безопасности», — говорит сооснователь CSIS Питер Крузе. — «Они допустили утечку своих же данных — практически вся важная информация была доступна любому желающему».

С выступлением специалистов CSIS можно ознакомиться на видео ниже:

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

macOS-зловред UpdateAgent получил новый дроппер, написанный на Swift

Исследователи macOS-угроз из американской компании Jamf проанализировали свежий образец UpdateAgent и обнаружили ряд изменений. Как оказалось, заточенный под macOS зловред теперь закачивает дополнительную полезную нагрузку, используя дроппер, написанный на Swift.

Троян UpdateAgent, он же WizardUpdate и Vigram, известен ИБ-сообществу с конца 2020 года. Вначале он был пригоден лишь для кражи системной информации, но проект постоянно совершенствуется, и в итоге вредонос, умеющий обходить Gatekeeper, стал использоваться для доставки из облака других файлов в рамках атаки — в основном программ для принудительного показа рекламы (adware).

Новый дроппер UpdateAgent, по свидетельству Jamf, маскируется под легитимный бинарник Mach-O с именем PDFCreator либо ActiveDirectory. При исполнении он подключается к удаленному серверу (URL в этих вариантах разные) для получения команд, отдаваемых в виде bash-скрипта.

Исполнение заархивированного сценария (activedirec.sh или bash_qolveevgclr.sh) бесфайловым методом является главной задачей Swift-дроппера. Вставленная в скрипт ссылка привязана к хранилищу Amazon S3 с DMG-файлом — приложением, копию которого дроппер помещает в папку временных файлов.

Примечательно, что вредонос также модифицирует файл /etc/sudoers таким образом, чтобы повысить уровень исполнения вторичной полезной нагрузки до root, притом без пароля на запуск. Этот трюк возможен лишь в том случае, когда UpdateAgent работает с привилегиями суперпользователя.

Помимо этого зловред создает LaunchAgent уровня пользователя для автозапуска вредоносного сценария. Последний после активации выжидает немного (для скрытности), а затем приступает к удалению свидетельств непрошеного вторжения — демонтирует DMG-файл и откатывает изменение файла настройки команды sudo (/etc/sudoers).

Исследователям из Jamf попалась еще одна полезная нагрузка второй ступени — исполняемый код, именуемый ActiveDirectory. Он идентичен экзешнику PDFCreator, но использует другой URL для загрузки bash-скрипта, который пока только регистрируется в облаке и ждет дальнейших инструкций.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru