Шпионская платформа StripedFly
Практически детективное расследование, в ходе которого эксперты выяснили, что зловред, ранее детектировавшийся как обычный майнер криптовалюты Monero, на самом деле является прикрытием для сложной модульной угрозы, способной поражать машины как под Windows, так и под Linux. Различные модули StripedFly умеют красть информацию с компьютера, снимать скриншоты, записывать звук с микрофона, перехватывать пароли Wi-Fi. Впрочем, с тем же успехом модули могут функционировать и в качестве шифровальщика-вымогателя, и для майнинга криптовалюты.
Интересно, что угроза способна распространяться с помощью эксплойта EthernalBlue, хотя, казалось бы, этот вектор был запатчен еще в 2017 году. Кроме того, StripedFly может заражать системы под Linux и Windows с запущенным SSH-сервером, используя для этого украденные ключи и пароли.
Подробности атаки Operation Triangulation
Еще один доклад Security Analyst Summit был посвящен окончанию исследований атаки Operation Triangulation, целью которой были и сами сотрудники "Лаборатории Касперского". Подробный анализ угрозы позволил экспертам обнаружить пять уязвимостей в системе iOS, причем четыре из них (CVE-2023-32434, CVE-2023-32435, CVE-2023-38606 и CVE-2023-41990) были уязвимостями нулевого дня. Они затрагивали не только iPhone, но также iPod, iPad, macOS, Apple TV и Apple Watch. Также выяснилось, что помимо инфицирования устройств через iMessage, злоумышленники могли атаковать и браузер Safari.
Новая кампания группировки Lazarus
Следующий доклад экспертов GReAT рассказывал о новых атаках APT Lazarus. Теперь эта группировка интересуется разработчиками программного обеспечения (некоторых из них атаковали несколько раз), а также активно использует атаки через цепочку поставок.
Через уязвимости в легитимном ПО для шифрования коммуникаций Lazarus инфицирует систему и разворачивает новый имплант SIGNBT, основная часть которого работает исключительно в памяти. Он служит для изучения жертвы (настроек сети, имен процессов и пользователей), а также для запуска дополнительной вредоносной нагрузки. В частности, загружает улучшенную версию уже известного бэкдора LPEClient, который тоже работает в памяти и в свою очередь запускает инструменты для кражи учетных данных или другой информации.
Атака TetrisPhantom
Помимо этого эксперты представили подробности атаки TetrisPhantom, направленной на правительственные учреждения Азиатско-Тихоокеанского региона. Она проводится при помощи компрометации защищенного USB-накопителя, обеспечивающего аппаратное шифрование и используемого государственными организациями. Исследуя эту угрозу, эксперты выявили целую шпионскую кампанию, применяющую ряд вредоносных модулей для выполнения команд, сбора файлов и информации со скомпрометированных компьютеров и передачи их на другие машины — также при помощи защищенных USB-накопителей в качестве носителя.
