Специалисты нашего экспертного центра безопасности (PT Expert Security Center, PT ESC) отследили новую активность хакерской группировки Cloud Atlas: в III квартале 2022 года она организовала фишинговую атаку на сотрудников государственных ведомств России. Группа использует сложные тактики и техники, что серьезно затрудняет анализ, однако расследование одного из инцидентов позволило нам получить полную картину действий киберпреступников.

Полный отчет с разбором вредоносного ПО и основных техник APT-группировки читайте в нашем блоге, а под катом мы поделимся главными моментами нашего расследования.

https://habr.com/ru/post/714378/?utm_source=habrahabr&utm_medium=rss&utm_campaign=714378

Весь циклический процесс взломов происходит из-за утечек данных пользователей. Взломы криптовалютных бирж наносят особый ущерб, потерь денежных средств хранящихся в криптовалютных кошельках пользователей бирж. Хотя криптовалюты сами по себе защищены, но биржи могут быть подвержены множеству уязвимостей, что делает их главной целью для хакеров.

Можно надеяться, что со временем криптовалютные биржи станут более безопасными. К сожалению, реальность такова, что с каждым годом взламывается все больше бирж. Поскольку криптовалюты и биржи остаются в значительной степени нерегулируемыми, неясно, кто обладает юрисдикцией над криптовалютными рынками.

https://habr.com/ru/post/698924/?utm_source=habrahabr&utm_medium=rss&utm_campaign=698924

В апреле 2022 года мы выявили атаку на ряд российских организаций сферы медиа и ТЭК. В атаках злоумышленники использовали вредоносный документ с именем «список.docx», извлекающий из себя вредоносную нагрузку, упакованную VMProtect.

Мы проанализировали пакет сетевой коммуникации и выяснили, что он идентичен тому, который мы рассматривали в отчете по исследованию инструментов группировки APT31, что позволило предположить, что и эти инструменты могут принадлежать этой же группировке.

Кроме того, мы выявили две новых разновидности вредоносного ПО, которые назвали YaRAT (потому что оно обладает функциональностью RAT и в качестве контрольного сервера использует Яндекс.Диск) и Stealer0x3401 (по константе, используемой при обфускации ключа шифрования).

Подробности нашего исследования читайте под катом.

https://habr.com/ru/post/680430/?utm_source=habrahabr&utm_medium=rss&utm_campaign=680430

Знай своего врага - одна из максим, которой руководствуются специалисты по информационной безопасности. Она касается и зловредов. Существуют сотни инструментов, которые помогают исследовать вредоносное ПО. К счастью, многие из них бесплатны и имеют открытый исходный код.

Под катом мы собрали онлайн-сканеры подозрительных файлов, некоторые инструменты для статического и динамического анализа, системы для описания и классификации угроз и, конечно, репозитории с малварью, которую можно исследовать.

https://habr.com/ru/post/676310/?utm_source=habrahabr&utm_medium=rss&utm_campaign=676310

Практикум по криминалистике. Москва. 1976

Разбирая личные архивы и сортируя письма и документы, часто бывает нужно сличать почерки и манеру письма — чтобы понять, одним ли автором написаны разные письма. Случаев такого рода много: например, женщина вышла замуж и сменила фамилию — и теперь надо сообразить: Смирнова и Аронович — это разные дамы или одна и та же?

Существуют профессиональные методики сравнительного исследования рукописей, в том числе для работников правоохранительных органов: следователей, экспертов-криминалистов и т.д.

Я иногда пользуюсь базовыми советами из советского учебника для юрфака МГУ «Практикум по криминалистике» 1976 г. издания.

Вот несложное упражнение оттуда: получена анонимная записка с угрозами.

Грише!

Ну скотина берегись

из дома лучше не выходи

иначе каюк тебе

Грозный мститель.

Для поимки такого опасного преступника следователем сначала определяется круг подозреваемых лиц, затем собираются образцы их почерков (заявления, автобиографии в архивах домоуправлений или отделов кадров, студенческие или школьные сочинения и т.п.) Если подходящих образцов не находится, то под благовидным предлогом подозреваемого просят заполнить какую-нибудь анкету, написать какую-нибудь записку или документ на службе, на почте или в жилконторе).

И вот у эксперта имеется рукописный текст для сравнения:

Требуется определить, написано ли заявление начальнику и зловещая записка одним и тем же лицом или разными?

Сначала разглядываются строчки и определяется характер почерка в целом: их наклон, разбег, связность и т.д., проставляются галочки в сравнительной таблице.

Затем сравниваются начертания отдельных букв:

Затем можно ещё исследовать наличие и характер грамматических ошибок, предпочтения в расположении текста на странице, и т.д. и т.п.

Айн-цвай-драй — и Грозный Мститель найден! Грозно сидит в соседней квартире или пыхтит в соседнем кабинете, мило улыбаясь жертве при встрече.

А вот какой случай был в моей собирательской практике:

разбирал переписку женщины-бухгалтера из Ленинграда с прапорщиком с Камчатки: курортное знакомство двух одиноких людей, имеющее потенциал перерасти в нечто большее. Но проблема в том, что прапорщика сначала не хотят увольнять из армии, потом тянут с положенной ему квартирой, затем он высиживает какое-то выходное пособие, ждёт контейнер с вещами, бывшая жена никак не даёт ему свидетельство о разводе и т.д. и т.п. Всё это тянется уже пару лет, женщина в Ленинграде потихоньку теряет терпение, а прапорщик начинает от тоски на гражданке, как говорится, понемногу набрасывать на колосники...

Их письма, изначально в беспорядке перемешанные с корреспонденцией родственников, сослуживцев и подруг, требовалось расположить в календарном порядке. И вдруг я замечаю, что с определённого момента Валентине в Ленинград начинает писать не Георгий Карелин, а Галина Карелина.

Эта самая Галина пишет о природе, о погоде, какие-то бытовые новости и прочую ерунду, которую обычно пропускаешь. Я подумал было, что Галина — это сестра Георгия, но в стиле и текстах сквозило что-то неестественное и странное, что наводило на мысль о лёгкой шизофрении родственницы нашего прапорщика.

»Прошу, ответь, пожалуйста, на один волнующий меня вопрос, могу ли я писать так, как бы мне хотелось. Погода у нас была хорошая«

А сам Георгий тем временем куда-то пропал, »сестра« пишет, что он, дескать, в командировке на дальнем таёжном объекте. Причём в своих первых письмах Георгий ни о какой сестре не упоминал.

Интрига, однако!

Я сначала решил, что в переписку вклинилась брошенная жена Георгия с целью осторожно выудить у Валентины доказательства аморального поведения мужа и повлиять на супруга через партком/местком с целью лишить Гошу какого-нибудь последнего барахлишка. Но тут мне на ум пришла идея сначала сличить почерка Г.П. и Г.П. Карелиных согласно методических указаний.

Результат показал 90% совпадение почерков! Не совпадали лишь заглавные »П« и »Ц«, у Галины был сильнее нажим, и ещё пара мелочей не сходились. Пожалуй, это можно было бы объяснить тем, что сестра Галина и брат Георгий — являются близнецами, всю жизнь копирующими один другого. Бывает, близнецы подсознательно стремятся к полному тождеству и даже нарочно выдают себя друг за друга, чтобы подшутить над новыми знакомыми, не научившимися ещё их отличать.

Но тем временем сама »Галина« прокололась - заканчивая очередное письмо, не выдержала род в глаголах:

По работе у меня дела наладились, стала меньше уставать. Пиши о своих делах, меня интересует буквально всё.

Вот Валюша пока и всё. Извини если где допустил ошибку.

До свидания. С приветом

Я, Галина — очень жду. Писала 8 октября.

Так значит Гоша-Галина — одно лицо! Вас ист дас? Что за мотив для подобной мистификации должен быть у людей предпенсионного возраста?

Сейчас можно было бы подозревать в этом случае модный ныне сдвиг гендерной самоидентификации, но в 1976 году камчатские прапорщики не были ещё столь продвинутыми. Гермафродит тоже исключается — он как-то должен был бы просочиться сквозь военные медкомиссии, а в те годы даже в США эдакой половой демократии не было ещё и в проекте.

Итак, ни одно предположение по поводу Гошиных метаморфоз не казалось пока убедительным.

Разгадка сего феномена обнаружилась в следующих письмах, уже после долгожданного Гошиного визита в Ленинград, когда Галина П. Карелина удалилась из переписки окончательно, и психология здесь не при чём.

Оказалось, что Валентина проживала в коммуналке с матерью, а после её смерти входящая личная корреспонденция женщины оказалась под угрозой перлюстрации со стороны бабки-соседки, вынимавшей почту из ящика, когда бухгалтерша была на работе. Письма от мужчин жёстко отфильтровывались, ибо у хитрой старушки были свои задумки: свести Валентину с племяшем из Псковской области, а также экспроприировать освободившуюся в квартире комнату при протекции товарки из районной жилкомиссии. Грядущее появление жениха-военного могло бы спровоцировать бабкин блиц-криг в отношении подвисшей жилплощади, и поэтому скромная, но искушённая в коммунальной дипломатии женщина, стремилась не давать повода для открытия огня на поражение. Поддаваясь для виду на уговоры врага и усыпляя его бдительность, она попросила Георгия временно побыть Галиной, что далось ему очень нелегко.

Спешу обрадовать читателя, что не без потерь, но у истории случился-таки хеппи-энд. Гоша и Валя соединились и выиграли коммунальное сражение. Проявив солдатскую смекалку, Георгий внезапно контратаковал зловредную бабку и её союзников, нанеся удар прямо по её жилконторовскому штабу краткой и мощной бумагой-ходатайством из Министерства обороны.

А после победы и воцарения мира — лишь благоприобретённая в армии привычка жениха-победителя культурно раздавить в уютном семейном кругу бутылочку-другую на выходных — продолжала ещё некоторое время смущать счастливую невесту из культурной столицы.

https://foto-history.livejournal.com/16134336.html