logo
Overkill Security  Because Nothing Says 'Security' Like a Dozen Firewalls and a Biometric Scanner
О проекте Просмотр Уровни подписки Фильтры Обновления проекта Контакты Поделиться Метки
Все проекты
О проекте
A blog about all things techy! Not too much hype, just a lot of cool analysis and insight from different sources.

📌Not sure what level is suitable for you? Check this explanation https://sponsr.ru/overkill_security/55291/Paid_Content/

All places to read, listen and watch content:
➡️Text and other media: TG, Boosty, Teletype.in, VK, X.com
➡️Audio: Mave, you find here other podcast services, e.g. Youtube Podcasts, Spotify, Apple or Amazon
➡️Video: Youtube

The main categories of materials — use tags:
📌news
📌digest

QA — directly or via email overkill_qa@outlook.com
Публикации, доступные бесплатно
Уровни подписки
Единоразовый платёж

Your donation fuels our mission to provide cutting-edge cybersecurity research, in-depth tutorials, and expert insights. Support our work today to empower the community with even more valuable content.

*no refund, no paid content

Помочь проекту
Promo 750₽ месяц
Доступны сообщения

For a limited time, we're offering our Level "Regular" subscription at an unbeatable price—50% off!

Dive into the latest trends and updates in the cybersecurity world with our in-depth articles and expert insights

Offer valid until the end of this month.

Оформить подписку
Regular Reader 1 500₽ месяц 16 200₽ год
(-10%)
При подписке на год для вас действует 10% скидка. 10% основная скидка и 0% доп. скидка за ваш уровень на проекте Overkill Security
Доступны сообщения

Ideal for regular readers who are interested in staying informed about the latest trends and updates in the cybersecurity world without.

Оформить подписку
Pro Reader 3 000₽ месяц 30 600₽ год
(-15%)
При подписке на год для вас действует 15% скидка. 15% основная скидка и 0% доп. скидка за ваш уровень на проекте Overkill Security
Доступны сообщения

Designed for IT professionals, cybersecurity experts, and enthusiasts who seek deeper insights and more comprehensive resources. + Q&A

Оформить подписку
Фильтры
Обновления проекта
Поделиться
Метки
overkillsecurity 142 overkillsecuritypdf 52 news 47 keypoints 38 nsa 26 fbi 25 adapt tactics 11 Living Off the Land 11 LOTL 11 unpacking 10 vulnerability 9 cyber security 8 Digest 8 edge routers 8 Essential Eight Maturity Model 8 malware 8 Maturity Model 8 Monthly Digest 8 research 8 ubiquiti 8 IoT 7 lolbin 7 lolbins 7 Cyber Attacks 6 phishing 6 Forensics 5 Ransomware 5 soho 5 authToken 4 BYOD 4 MDM 4 OAuth 4 Energy Consumption 3 IoMT 3 medical 3 ai 2 AnonSudan 2 authentication 2 av 2 battery 2 Buffer Overflow 2 console architecture 2 cve 2 cybersecurity 2 energy 2 Google 2 incident response 2 MITM 2 mqtt 2 Passkeys 2 Retro 2 Velociraptor 2 video 2 Vintage 2 vmware 2 windows 2 1981 1 5g network research 1 8-bit 1 Ad Removal 1 Ad-Free Experience 1 ADCS 1 advisory 1 airwatch 1 AlphV 1 AMSI 1 android 1 Android15 1 announcement 1 antiPhishing 1 AntiPhishStack 1 antivirus 1 Apple 1 Atlassian 1 Attack 1 AttackGen 1 BatBadBut 1 Behavioral Analytics 1 BianLian 1 bias 1 Biocybersecurity 1 Biometric 1 bite 1 bitlocker 1 bitlocker bypass 1 Black Lotus Labs 1 blackberry 1 blizzard 1 botnet 1 Browser Data Theft 1 BucketLoot 1 CellularSecurity 1 checkpoint 1 china 1 chisel 1 cisa 1 CloudSecurity 1 CloudStorage 1 content 1 content category 1 cpu 1 Credential Dumping 1 CVE-2023-22518 1 CVE-2023-35080 1 CVE-2023-38043 1 CVE-2023-38543 1 CVE-2024-0204 1 CVE-2024-21111 1 CVE-2024-21345 1 cve-2024-21447 1 CVE-2024-24919 1 CVE-2024-26218 1 cve-2024-27129 1 cve-2024-27130 1 cve-2024-27131 1 cve-2024-3400 1 cvss 1 cyber operations 1 Cyber Toufan Al-Aqsa 1 cyberops 1 D-Link 1 dark pink apt 1 data leakage 1 dcrat 1 Demoscene 1 DevSecOps 1 Dex 1 disassembler 1 DOS 1 e8mm 1 EDR 1 Embedded systems 1 Employee Training 1 EntraID 1 ESC8 1 Event ID 4663 1 Event ID 4688 1 Event ID 5145 1 Evilginx 1 EvilLsassTwin 1 Facebook 1 FBI IC3 1 FIDO2 1 filewave 1 Firebase 1 Firmware 1 Fortra's GoAnywhere MFT 1 france 1 FraudDetection 1 fuxnet 1 fuzzer 1 game console 1 gamification 1 GeminiNanoAI 1 genzai 1 go 1 GoogleIO2024 1 GooglePlayProtect 1 GoPhish 1 gpu 1 ICS 1 ICSpector 1 IDA 1 IncidentResponse 1 Industrial Control Systems 1 jazzer 1 jetbrains 1 jvm 1 KASLR 1 KillNet 1 LeftOverLocals 1 Leviathan 1 lg smart tv 1 lockbit 1 LSASS 1 m-trends 1 Machine Learning Integration 1 Mallox 1 MalPurifier 1 mandiant 1 MediHunt 1 Meta Pixel 1 ML 1 mobile network analysis 1 mobileiron 1 nes 1 nexus 1 NGO 1 Nim 1 Nimfilt 1 NtQueryInformationThread 1 OFGB 1 oracle 1 paid content 1 panos 1 Passwordless 1 Phishing Resilience 1 PingFederate 1 Platform Lock-in Tool 1 PlayIntegrityAPI 1 PlayStation 1 playstation 2 1 playstation 3 1 plc 1 podcast 1 Privilege Escalation 1 ps2 1 ps3 1 PulseVPN 1 qcsuper 1 qemu 1 qualcomm diag protocol 1 radio frame capture 1 Raytracing 1 Real-time Attack Detection 1 Red Team 1 Registry Modification 1 Risk Mitigation 1 RiskManagement 1 rodrigo copetti 1 rooted android devices 1 Router 1 rust 1 Sagemcom 1 sandworm 1 ScamCallDetection 1 security 1 Security Awareness 1 session hijacking 1 SharpADWS 1 SharpTerminator 1 shellcode 1 SIEM 1 Siemens 1 skimming 1 Smart Devices 1 snes 1 SSO 1 stack overflow 1 TA427 1 TA547 1 TDDP 1 telecom security 1 Telegram 1 telerik 1 TeleTracker 1 TEMP.Periscope 1 Terminator 1 Think Tanks 1 Threat 1 threat intelligence 1 threat intelligence analysis 1 Threat Simulation 1 tool 1 toolkit 1 tp-link 1 UK 1 UserManagerEoP 1 uta0218 1 virtualbox 1 VPN 1 vu 1 wargame 1 Web Authentication 1 WebAuthn 1 webos 1 What2Log 1 Windows 11 1 Windows Kernel 1 Windstream 1 women 1 WSUS 1 wt-2024-0004 1 wt-2024-0005 1 wt-2024-0006 1 xbox 1 xbox 360 1 xbox original 1 xss 1 Yubico 1 Z80A 1 ZX Spectrum 1 Больше тегов
Читать: 12+ мин
logo Overkill Security

MalPurifier. Detoxifying Your Android, One Malicious Byte at a Time

Another ‎document‏ ‎to ‎analyze. ‎This ‎time, ‎it’s‏ ‎the ‎riveting‏ ‎«MalPurifier:‏ ‎Enhancing ‎Android ‎Malware‏ ‎Detection ‎with‏ ‎Adversarial ‎Purification ‎against ‎Evasion‏ ‎Attacks.»‏ ‎Because, ‎you‏ ‎know, ‎the‏ ‎world ‎really ‎needed ‎another ‎paper‏ ‎on‏ ‎Android ‎malware‏ ‎detection.

First, ‎we’ll‏ ‎dive ‎into ‎the ‎Introduction ‎and‏ ‎Motivation‏ ‎to‏ ‎understand ‎why‏ ‎yet ‎another‏ ‎solution ‎to‏ ‎the‏ ‎ever-escalating ‎threats‏ ‎of ‎Android ‎malware ‎is ‎necessary.‏ ‎Spoiler ‎alert:‏ ‎it’s‏ ‎because ‎current ‎machine‏ ‎learning-based ‎approaches‏ ‎are ‎as ‎vulnerable ‎as‏ ‎a‏ ‎house ‎of‏ ‎cards ‎in‏ ‎a ‎windstorm.

We’ll ‎then ‎move ‎on‏ ‎to‏ ‎the ‎Experimental‏ ‎Setup ‎and‏ ‎Results. ‎This ‎section ‎will ‎reveal‏ ‎how‏ ‎MalPurifier‏ ‎outperforms ‎other‏ ‎defenses, ‎achieving‏ ‎over ‎90,91%‏ ‎accuracy.‏ ‎Impressive, ‎if‏ ‎you ‎ignore ‎the ‎fact ‎that‏ ‎it’s ‎tested‏ ‎on‏ ‎datasets ‎that ‎may‏ ‎or ‎may‏ ‎not ‎reflect ‎real-world ‎scenarios.

The‏ ‎Defense‏ ‎Mechanisms ‎section‏ ‎will ‎discuss‏ ‎the ‎various ‎strategies ‎employed ‎by‏ ‎MalPurifier,‏ ‎such ‎as‏ ‎adversarial ‎purification‏ ‎and ‎adversarial ‎training. ‎Because ‎nothing‏ ‎says‏ ‎«robust‏ ‎defense» ‎like‏ ‎throwing ‎more‏ ‎adversarial ‎examples‏ ‎at‏ ‎the ‎problem.

Of‏ ‎course, ‎no ‎paper ‎is ‎complete‏ ‎without ‎acknowledging‏ ‎its‏ ‎Limitations ‎and ‎Future‏ ‎Work. ‎Here,‏ ‎the ‎authors ‎will ‎humbly‏ ‎admit‏ ‎that ‎their‏ ‎solution ‎isn’t‏ ‎perfect ‎and ‎suggest ‎areas ‎for‏ ‎future‏ ‎research. ‎Because,‏ ‎naturally, ‎the‏ ‎quest ‎for ‎the ‎perfect ‎malware‏ ‎detection‏ ‎system‏ ‎is ‎never-ending.

This‏ ‎analysis ‎will‏ ‎provide ‎a‏ ‎high-quality‏ ‎summary ‎of‏ ‎the ‎document, ‎highlighting ‎its ‎contributions‏ ‎and ‎implications‏ ‎for‏ ‎security ‎professionals ‎and‏ ‎other ‎specialists‏ ‎in ‎various ‎fields. ‎It‏ ‎will‏ ‎be ‎particularly‏ ‎useful ‎for‏ ‎those ‎who ‎enjoy ‎reading ‎about‏ ‎the‏ ‎latest ‎and‏ ‎greatest ‎in‏ ‎malware ‎detection, ‎even ‎if ‎the‏ ‎practical‏ ‎applications‏ ‎are ‎still‏ ‎up ‎for‏ ‎debate.

----

This ‎document‏ ‎provides‏ ‎a ‎comprehensive‏ ‎analysis ‎of ‎the ‎paper ‎titled‏ ‎«MalPurifier: ‎Enhancing‏ ‎Android‏ ‎Malware ‎Detection ‎with‏ ‎Adversarial ‎Purification‏ ‎against ‎Evasion ‎Attacks.» ‎The‏ ‎analysis‏ ‎delves ‎into‏ ‎various ‎aspects‏ ‎of ‎the ‎paper, ‎including ‎the‏ ‎motivation‏ ‎behind ‎the‏ ‎research, ‎the‏ ‎methodology ‎employed, ‎the ‎experimental ‎setup,‏ ‎and‏ ‎the‏ ‎results ‎obtained.

This‏ ‎analysis ‎provides‏ ‎a ‎high-quality‏ ‎summary‏ ‎of ‎the‏ ‎document, ‎offering ‎valuable ‎insights ‎for‏ ‎security ‎professionals,‏ ‎researchers,‏ ‎and ‎practitioners ‎in‏ ‎various ‎fields.‏ ‎By ‎understanding ‎the ‎strengths‏ ‎and‏ ‎limitations ‎of‏ ‎the ‎MalPurifier‏ ‎framework, ‎stakeholders ‎can ‎better ‎appreciate‏ ‎its‏ ‎potential ‎applications‏ ‎and ‎contributions‏ ‎to ‎enhancing ‎Android ‎malware ‎detection‏ ‎systems.‏ ‎The‏ ‎analysis ‎is‏ ‎useful ‎for‏ ‎those ‎involved‏ ‎in‏ ‎cybersecurity, ‎machine‏ ‎learning, ‎and ‎mobile ‎application ‎security,‏ ‎as ‎it‏ ‎highlights‏ ‎innovative ‎approaches ‎to‏ ‎mitigating ‎the‏ ‎risks ‎posed ‎by ‎adversarial‏ ‎evasion‏ ‎attacks.

The ‎paper‏ ‎titled ‎«MalPurifier:‏ ‎Enhancing ‎Android ‎Malware ‎Detection ‎with‏ ‎Adversarial‏ ‎Purification ‎against‏ ‎Evasion ‎Attacks»‏ ‎presents ‎a ‎novel ‎approach ‎to‏ ‎improving‏ ‎the‏ ‎detection ‎of‏ ‎Android ‎malware,‏ ‎particularly ‎in‏ ‎the‏ ‎face ‎of‏ ‎adversarial ‎evasion ‎attacks. ‎The ‎paper‏ ‎highlights ‎that‏ ‎this‏ ‎is ‎the ‎first‏ ‎attempt ‎to‏ ‎use ‎adversarial ‎purification ‎to‏ ‎mitigate‏ ‎evasion ‎attacks‏ ‎in ‎the‏ ‎Android ‎ecosystem, ‎providing ‎a ‎promising‏ ‎solution‏ ‎to ‎enhance‏ ‎the ‎security‏ ‎of ‎Android ‎malware ‎detection ‎systems.

Motivation:

📌 Prevalence‏ ‎of‏ ‎Android‏ ‎Malware: The ‎paper‏ ‎highlights ‎the‏ ‎widespread ‎issue‏ ‎of‏ ‎Android ‎malware,‏ ‎which ‎poses ‎significant ‎security ‎threats‏ ‎to ‎users‏ ‎and‏ ‎devices.

📌 Evasion ‎Techniques: Attackers ‎often‏ ‎use ‎evasion‏ ‎techniques ‎to ‎modify ‎malware,‏ ‎making‏ ‎it ‎difficult‏ ‎for ‎traditional‏ ‎detection ‎systems ‎to ‎identify ‎them.

Challenges:

📌 Adversarial‏ ‎Attacks:‏ ‎it ‎discusses‏ ‎the ‎challenge‏ ‎posed ‎by ‎adversarial ‎attacks, ‎where‏ ‎small‏ ‎perturbations‏ ‎are ‎added‏ ‎to ‎malware‏ ‎samples ‎to‏ ‎evade‏ ‎detection.

📌 Detection ‎System‏ ‎Vulnerabilities: Existing ‎malware ‎detection ‎systems ‎are‏ ‎vulnerable ‎to‏ ‎these‏ ‎adversarial ‎attacks, ‎leading‏ ‎to ‎a‏ ‎need ‎for ‎more ‎robust‏ ‎solutions.

Objective‏ ‎and ‎proposed‏ ‎Solution:

📌 Enhancing ‎Detection‏ ‎Robustness: The ‎primary ‎objective ‎of ‎the‏ ‎research‏ ‎is ‎to‏ ‎enhance ‎the‏ ‎robustness ‎of ‎Android ‎malware ‎detection‏ ‎systems‏ ‎against‏ ‎adversarial ‎evasion‏ ‎attacks.

📌 Adversarial ‎Purification: The‏ ‎proposed ‎solution,‏ ‎MalPurifier,‏ ‎aims ‎to‏ ‎purify ‎adversarial ‎examples, ‎removing ‎the‏ ‎perturbations ‎and‏ ‎restoring‏ ‎the ‎malware ‎to‏ ‎a ‎detectable‏ ‎form.

📌 Techniques ‎Used: The ‎system ‎employs‏ ‎techniques‏ ‎such ‎as‏ ‎autoencoders ‎and‏ ‎generative ‎adversarial ‎networks ‎(GANs) ‎for‏ ‎the‏ ‎purification ‎process.

Techniques‏ ‎Used ‎in‏ ‎Evasion ‎Attacks:

📌 Adversarial ‎Examples: Attackers ‎create ‎adversarial‏ ‎examples‏ ‎by‏ ‎adding ‎small‏ ‎perturbations ‎to‏ ‎malware ‎samples.‏ ‎These‏ ‎perturbations ‎are‏ ‎designed ‎to ‎exploit ‎vulnerabilities ‎in‏ ‎the ‎detection‏ ‎model’s‏ ‎decision ‎boundaries.

📌 Obfuscation: Techniques ‎such‏ ‎as ‎code‏ ‎encryption, ‎packing, ‎and ‎polymorphism‏ ‎are‏ ‎used ‎to‏ ‎alter ‎the‏ ‎appearance ‎of ‎the ‎malware ‎without‏ ‎changing‏ ‎its ‎functionality.

📌 Feature‏ ‎Manipulation: ‎Modifying‏ ‎features ‎used ‎by ‎the ‎detection‏ ‎model,‏ ‎such‏ ‎as ‎adding‏ ‎benign ‎features‏ ‎or ‎obfuscating‏ ‎malicious‏ ‎ones, ‎to‏ ‎evade ‎detection.

Significance:

📌 Improved ‎Security: ‎By ‎enhancing‏ ‎the ‎detection‏ ‎capabilities‏ ‎of ‎malware ‎detection‏ ‎systems, ‎MalPurifier‏ ‎aims ‎to ‎provide ‎better‏ ‎security‏ ‎for ‎Android‏ ‎devices.

📌 Research ‎Contribution:‏ ‎The ‎paper ‎contributes ‎to ‎the‏ ‎field‏ ‎by ‎addressing‏ ‎the ‎gap‏ ‎in ‎robust ‎malware ‎detection ‎solutions‏ ‎that‏ ‎can‏ ‎withstand ‎adversarial‏ ‎attacks.

Benefits

📌 High ‎Accuracy: MalPurifier‏ ‎demonstrates ‎high‏ ‎effectiveness,‏ ‎achieving ‎accuracies‏ ‎over ‎90,91% ‎against ‎37 ‎different‏ ‎evasion ‎attacks.‏ ‎This‏ ‎indicates ‎a ‎robust‏ ‎performance ‎in‏ ‎detecting ‎adversarially ‎perturbed ‎malware‏ ‎samples.

📌 Scalability:‏ ‎The ‎method‏ ‎is ‎easily‏ ‎scalable ‎to ‎different ‎detection ‎models,‏ ‎offering‏ ‎flexibility ‎and‏ ‎robustness ‎in‏ ‎its ‎implementation ‎without ‎requiring ‎significant‏ ‎modifications.

📌 Lightweight‏ ‎and‏ ‎Flexible: ‎The‏ ‎use ‎of‏ ‎a ‎plug-and-play‏ ‎Denoising‏ ‎AutoEncoder ‎(DAE)‏ ‎model ‎allows ‎for ‎a ‎lightweight‏ ‎and ‎flexible‏ ‎approach‏ ‎to ‎purifying ‎adversarial‏ ‎malware. ‎This‏ ‎ensures ‎that ‎the ‎method‏ ‎can‏ ‎be ‎integrated‏ ‎into ‎existing‏ ‎systems ‎with ‎minimal ‎overhead.

📌 Comprehensive ‎Defense:‏ ‎By‏ ‎focusing ‎on‏ ‎adversarial ‎purification,‏ ‎MalPurifier ‎addresses ‎a ‎critical ‎vulnerability‏ ‎in‏ ‎ML-based‏ ‎malware ‎detection‏ ‎systems, ‎enhancing‏ ‎their ‎overall‏ ‎security‏ ‎and ‎robustness‏ ‎against ‎sophisticated ‎evasion ‎techniques.

Limitations

📌 Generalization ‎to‏ ‎Other ‎Platforms: The‏ ‎current‏ ‎implementation ‎and ‎evaluation‏ ‎are ‎focused‏ ‎solely ‎on ‎the ‎Android‏ ‎ecosystem.‏ ‎The ‎effectiveness‏ ‎of ‎MalPurifier‏ ‎on ‎other ‎platforms, ‎such ‎as‏ ‎iOS‏ ‎or ‎Windows,‏ ‎remains ‎untested‏ ‎and ‎uncertain.

📌 Scalability ‎Concerns: While ‎the ‎paper‏ ‎claims‏ ‎scalability,‏ ‎the ‎actual‏ ‎performance ‎and‏ ‎efficiency ‎of‏ ‎MalPurifier‏ ‎in ‎large-scale,‏ ‎real-time ‎detection ‎scenarios ‎have ‎not‏ ‎been ‎thoroughly‏ ‎evaluated.‏ ‎This ‎raises ‎questions‏ ‎about ‎its‏ ‎practical ‎applicability ‎in ‎high-volume‏ ‎environments.

📌 Computational‏ ‎Overhead: ‎The‏ ‎purification ‎process‏ ‎introduces ‎additional ‎computational ‎overhead. ‎Although‏ ‎described‏ ‎as ‎lightweight,‏ ‎the ‎impact‏ ‎on ‎system ‎performance, ‎especially ‎in‏ ‎resource-constrained‏ ‎environments,‏ ‎needs ‎further‏ ‎investigation.

📌 Adversarial ‎Adaptation: Attackers‏ ‎may ‎develop‏ ‎new‏ ‎strategies ‎to‏ ‎adapt ‎to ‎the ‎purification ‎process,‏ ‎potentially ‎circumventing‏ ‎the‏ ‎defenses ‎provided ‎by‏ ‎MalPurifier. ‎Continuous‏ ‎adaptation ‎and ‎improvement ‎of‏ ‎the‏ ‎purification ‎techniques‏ ‎are ‎necessary‏ ‎to ‎stay ‎ahead ‎of ‎evolving‏ ‎threats.

📌 Evaluation‏ ‎Metrics: ‎The‏ ‎evaluation ‎primarily‏ ‎focuses ‎on ‎detection ‎accuracy ‎and‏ ‎robustness‏ ‎against‏ ‎evasion ‎attacks.‏ ‎Other ‎important‏ ‎metrics, ‎such‏ ‎as‏ ‎energy ‎consumption,‏ ‎user ‎experience, ‎and ‎long-term ‎efficacy,‏ ‎are ‎not‏ ‎addressed,‏ ‎limiting ‎the ‎comprehensiveness‏ ‎of ‎the‏ ‎assessment.

📌 Integration ‎with ‎Existing ‎Systems: The‏ ‎paper‏ ‎does ‎not‏ ‎extensively ‎discuss‏ ‎the ‎integration ‎of ‎MalPurifier ‎with‏ ‎existing‏ ‎malware ‎detection‏ ‎systems ‎and‏ ‎the ‎potential ‎impact ‎on ‎their‏ ‎performance.‏ ‎Seamless‏ ‎integration ‎strategies‏ ‎and ‎combined‏ ‎performance ‎evaluations‏ ‎are‏ ‎needed

Impact ‎on‏ ‎Technology

📌 Advancement ‎in ‎Malware ‎Detection: MalPurifier ‎represents‏ ‎a ‎significant‏ ‎technological‏ ‎advancement ‎in ‎the‏ ‎field ‎of‏ ‎malware ‎detection. ‎By ‎leveraging‏ ‎adversarial‏ ‎purification ‎techniques,‏ ‎it ‎enhances‏ ‎the ‎robustness ‎of ‎Android ‎malware‏ ‎detection‏ ‎systems ‎against‏ ‎evasion ‎attacks.‏ ‎This ‎innovation ‎can ‎lead ‎to‏ ‎the‏ ‎development‏ ‎of ‎more‏ ‎secure ‎and‏ ‎reliable ‎malware‏ ‎detection‏ ‎tools.

📌 Adversarial ‎Defense‏ ‎Mechanisms: ‎The ‎paper ‎contributes ‎to‏ ‎the ‎broader‏ ‎field‏ ‎of ‎adversarial ‎machine‏ ‎learning ‎by‏ ‎demonstrating ‎the ‎effectiveness ‎of‏ ‎adversarial‏ ‎purification. ‎This‏ ‎technique ‎can‏ ‎be ‎adapted ‎and ‎applied ‎to‏ ‎other‏ ‎areas ‎of‏ ‎cybersecurity, ‎such‏ ‎as ‎network ‎intrusion ‎detection ‎and‏ ‎endpoint‏ ‎security,‏ ‎thereby ‎improving‏ ‎the ‎overall‏ ‎resilience ‎of‏ ‎these‏ ‎systems ‎against‏ ‎sophisticated ‎attacks.

📌 Machine ‎Learning ‎Applications: The ‎use‏ ‎of ‎Denoising‏ ‎AutoEncoders‏ ‎(DAEs) ‎and ‎Generative‏ ‎Adversarial ‎Networks‏ ‎(GANs) ‎in ‎MalPurifier ‎showcases‏ ‎the‏ ‎potential ‎of‏ ‎advanced ‎machine‏ ‎learning ‎models ‎in ‎cybersecurity ‎applications.‏ ‎This‏ ‎can ‎inspire‏ ‎further ‎research‏ ‎and ‎development ‎in ‎applying ‎these‏ ‎models‏ ‎to‏ ‎other ‎security‏ ‎challenges, ‎such‏ ‎as ‎phishing‏ ‎detection‏ ‎and ‎fraud‏ ‎prevention.

Impact ‎on ‎Industry

📌 Enhanced ‎Security ‎for‏ ‎Mobile ‎Devices: Industries‏ ‎that‏ ‎rely ‎heavily ‎on‏ ‎mobile ‎devices,‏ ‎such ‎as ‎healthcare, ‎finance,‏ ‎and‏ ‎retail, ‎can‏ ‎benefit ‎from‏ ‎the ‎enhanced ‎security ‎provided ‎by‏ ‎MalPurifier.‏ ‎By ‎improving‏ ‎the ‎detection‏ ‎of ‎Android ‎malware, ‎these ‎industries‏ ‎can‏ ‎better‏ ‎protect ‎sensitive‏ ‎data ‎and‏ ‎maintain ‎the‏ ‎integrity‏ ‎of ‎their‏ ‎mobile ‎applications.

📌 Reduction ‎in ‎Cybersecurity ‎Incidents: The‏ ‎implementation ‎of‏ ‎robust‏ ‎malware ‎detection ‎systems‏ ‎like ‎MalPurifier‏ ‎can ‎lead ‎to ‎a‏ ‎reduction‏ ‎in ‎cybersecurity‏ ‎incidents, ‎such‏ ‎as ‎data ‎breaches ‎and ‎ransomware‏ ‎attacks.‏ ‎This ‎can‏ ‎result ‎in‏ ‎significant ‎cost ‎savings ‎for ‎businesses‏ ‎and‏ ‎reduce‏ ‎the ‎potential‏ ‎for ‎reputational‏ ‎damage.

📌 Compliance ‎and‏ ‎Regulatory‏ ‎Benefits: Enhanced ‎malware‏ ‎detection ‎capabilities ‎can ‎help ‎organizations‏ ‎comply ‎with‏ ‎regulatory‏ ‎requirements ‎related ‎to‏ ‎data ‎protection‏ ‎and ‎cybersecurity. ‎For ‎example,‏ ‎industries‏ ‎subject ‎to‏ ‎regulations ‎like‏ ‎GDPR ‎or ‎HIPAA ‎can ‎leverage‏ ‎MalPurifier‏ ‎to ‎ensure‏ ‎they ‎meet‏ ‎stringent ‎security ‎standards.

📌 Innovation ‎in ‎Cybersecurity‏ ‎Products: Cybersecurity‏ ‎companies‏ ‎can ‎incorporate‏ ‎the ‎techniques‏ ‎presented ‎in‏ ‎the‏ ‎paper ‎into‏ ‎their ‎products, ‎leading ‎to ‎the‏ ‎development ‎of‏ ‎next-generation‏ ‎security ‎solutions. ‎This‏ ‎can ‎provide‏ ‎a ‎competitive ‎edge ‎in‏ ‎the‏ ‎market ‎and‏ ‎drive ‎innovation‏ ‎in ‎the ‎cybersecurity ‎industry.

📌 Cross-Industry ‎Applications:‏ ‎While‏ ‎the ‎paper‏ ‎focuses ‎on‏ ‎Android ‎malware ‎detection, ‎the ‎underlying‏ ‎principles‏ ‎of‏ ‎adversarial ‎purification‏ ‎can ‎be‏ ‎applied ‎across‏ ‎various‏ ‎industries. ‎Sectors‏ ‎such ‎as ‎manufacturing, ‎public ‎administration,‏ ‎and ‎transportation,‏ ‎which‏ ‎are ‎also ‎affected‏ ‎by ‎malware,‏ ‎can ‎adapt ‎these ‎techniques‏ ‎to‏ ‎enhance ‎their‏ ‎cybersecurity ‎measures.



Читать: 2+ мин
logo Overkill Security

AMSI Bypass: The Malware’s Express Lane

The GitHub ‎repository‏ ‎«V-i-x-x/AMSI-BYPASS» provides ‎information ‎about ‎a ‎vulnerability‏ ‎known ‎as‏ ‎«AMSI‏ ‎WRITE ‎RAID» ‎that‏ ‎can ‎be‏ ‎exploited ‎to ‎bypass ‎the‏ ‎Antimalware‏ ‎Scan ‎Interface‏ ‎(AMSI).

📌Vulnerability ‎Description: The‏ ‎«AMSI ‎WRITE ‎RAID» ‎vulnerability ‎allows‏ ‎attackers‏ ‎to ‎overwrite‏ ‎specific ‎writable‏ ‎entries ‎in ‎the ‎AMSI ‎call‏ ‎stack,‏ ‎effectively‏ ‎bypassing ‎AMSI’s‏ ‎protections.

📌Writable ‎Entries: The‏ ‎repository ‎highlights‏ ‎that‏ ‎multiple ‎entries‏ ‎in ‎the ‎AMSI ‎call ‎stack‏ ‎are ‎writable‏ ‎and‏ ‎can ‎be ‎targeted‏ ‎to ‎achieve‏ ‎the ‎bypass. ‎These ‎entries‏ ‎are‏ ‎detailed ‎in‏ ‎images ‎such‏ ‎as ‎«vulnerable_entries.png» ‎and ‎«writable_entries_part_1.png» ‎provided‏ ‎in‏ ‎the ‎repository.

📌Proof‏ ‎of ‎Concept: The‏ ‎repository ‎includes ‎a ‎PDF ‎document‏ ‎(Amsi.pdf)‏ ‎that‏ ‎elaborates ‎on‏ ‎the ‎vulnerability,‏ ‎providing ‎a‏ ‎comprehensive‏ ‎explanation ‎and‏ ‎proof ‎of ‎concept ‎for ‎how‏ ‎the ‎AMSI‏ ‎bypass‏ ‎can ‎be ‎executed.

📌Impact: Successfully‏ ‎exploiting ‎this‏ ‎vulnerability ‎allows ‎malicious ‎code‏ ‎to‏ ‎evade ‎detection‏ ‎by ‎AMSI,‏ ‎which ‎is ‎a ‎significant ‎security‏ ‎concern‏ ‎as ‎AMSI‏ ‎is ‎designed‏ ‎to ‎provide ‎an ‎additional ‎layer‏ ‎of‏ ‎defense‏ ‎against ‎malware.

Impact‏ ‎on ‎Industries

📌Increased‏ ‎Risk ‎of‏ ‎Malware‏ ‎Infections: AMSI ‎bypass‏ ‎techniques ‎allow ‎attackers ‎to ‎execute‏ ‎malicious ‎code‏ ‎undetected,‏ ‎increasing ‎the ‎risk‏ ‎of ‎malware‏ ‎infections, ‎including ‎ransomware ‎and‏ ‎fileless‏ ‎attacks. ‎This‏ ‎is ‎particularly‏ ‎concerning ‎for ‎industries ‎with ‎sensitive‏ ‎data,‏ ‎such ‎as‏ ‎finance, ‎healthcare,‏ ‎and ‎government ‎sectors.

📌Compromised ‎Security ‎Posture: Bypassing‏ ‎AMSI‏ ‎can‏ ‎lead ‎to‏ ‎a ‎compromised‏ ‎security ‎posture,‏ ‎as‏ ‎traditional ‎antivirus‏ ‎and ‎endpoint ‎detection ‎and ‎response‏ ‎(EDR) ‎solutions‏ ‎may‏ ‎fail ‎to ‎detect‏ ‎and ‎prevent‏ ‎malicious ‎activities. ‎This ‎can‏ ‎result‏ ‎in ‎data‏ ‎breaches, ‎financial‏ ‎losses, ‎and ‎damage ‎to ‎reputation.

📌Operational‏ ‎Disruptions: Successful‏ ‎AMSI ‎bypass‏ ‎attacks ‎can‏ ‎cause ‎significant ‎operational ‎disruptions, ‎especially‏ ‎in‏ ‎critical‏ ‎infrastructure ‎sectors‏ ‎like ‎energy,‏ ‎transportation, ‎and‏ ‎utilities.‏ ‎These ‎disruptions‏ ‎can ‎have ‎cascading ‎effects ‎on‏ ‎service ‎delivery‏ ‎and‏ ‎public ‎safety.


Читать: 3+ мин
logo Overkill Security

Nimfilt: Because Authors Needed Another Language to Complicate Our Lives

Key ‎Features

📌Function‏ ‎and ‎Package ‎Names: ‎Nimfilt ‎demangles‏ ‎Nim-specific ‎function‏ ‎and‏ ‎package ‎names, ‎making‏ ‎them ‎more‏ ‎readable ‎and ‎easier ‎to‏ ‎analyze.

📌Package‏ ‎Init ‎Function‏ ‎Names: ‎It‏ ‎also ‎demangles ‎the ‎initialization ‎function‏ ‎names‏ ‎of ‎Nim‏ ‎packages.

📌Nim ‎Strings:‏ ‎Nimfilt ‎applies ‎C-style ‎structs ‎to‏ ‎Nim‏ ‎strings,‏ ‎which ‎helps‏ ‎in ‎interpreting‏ ‎the ‎data‏ ‎structures‏ ‎within ‎the‏ ‎binary. ‎This ‎includes ‎identifying ‎the‏ ‎length ‎and‏ ‎payload‏ ‎of ‎the ‎strings.

📌IDA‏ ‎Plugin: ‎Nimfilt‏ ‎can ‎be ‎used ‎as‏ ‎an‏ ‎IDA ‎plugin,‏ ‎where ‎it‏ ‎organizes ‎functions ‎into ‎directories ‎based‏ ‎on‏ ‎their ‎package‏ ‎name ‎or‏ ‎path. ‎This ‎helps ‎in ‎structuring‏ ‎the‏ ‎analysis‏ ‎process.

📌Automatic ‎Execution:‏ ‎The ‎plugin‏ ‎can ‎be‏ ‎set‏ ‎to ‎automatically‏ ‎execute ‎when ‎a ‎Nim ‎binary‏ ‎is ‎loaded‏ ‎by‏ ‎setting ‎the ‎AUTO_RUN‏ ‎global ‎variable‏ ‎to ‎True.

📌Identifying ‎Nim ‎Binaries:‏ ‎Nimfilt‏ ‎uses ‎heuristics‏ ‎to ‎identify‏ ‎if ‎a ‎loaded ‎file ‎is‏ ‎a‏ ‎Nim ‎binary‏ ‎by ‎checking‏ ‎for ‎specific ‎strings ‎and ‎function‏ ‎names‏ ‎associated‏ ‎with ‎Nim.

📌YARA‏ ‎Rules: ‎It‏ ‎includes ‎YARA‏ ‎rules‏ ‎to ‎identify‏ ‎Nim-compiled ‎ELF ‎and ‎PE ‎binaries.

📌Command‏ ‎Line ‎Interface‏ ‎(CLI):‏ ‎Python ‎Script: ‎Nimfilt‏ ‎can ‎be‏ ‎run ‎as ‎a ‎Python‏ ‎script‏ ‎on ‎the‏ ‎command ‎line,‏ ‎providing ‎a ‎subset ‎of ‎its‏ ‎functionality‏ ‎outside ‎of‏ ‎IDA.

📌Organizing ‎Functions: Directory‏ ‎Structure: ‎In ‎IDA, ‎Nimfilt ‎creates‏ ‎directories‏ ‎in‏ ‎the ‎Functions‏ ‎window ‎to‏ ‎organize ‎functions‏ ‎according‏ ‎to ‎their‏ ‎package ‎name ‎or ‎path, ‎enhancing‏ ‎the ‎readability‏ ‎and‏ ‎manageability ‎of ‎the‏ ‎analysis.

Scenarios

Nimfilt ‎has‏ ‎been ‎employed ‎in ‎various‏ ‎real-world‏ ‎scenarios, ‎particularly‏ ‎in ‎the‏ ‎analysis ‎of ‎malware ‎written ‎in‏ ‎the‏ ‎Nim ‎programming‏ ‎language.

Sednit ‎Group:

📌Background: The‏ ‎Sednit ‎group, ‎also ‎known ‎as‏ ‎APT28‏ ‎or‏ ‎Fancy ‎Bear,‏ ‎is ‎a‏ ‎well-known ‎cyber-espionage‏ ‎group.‏ ‎They ‎have‏ ‎been ‎active ‎since ‎at ‎least‏ ‎2004 ‎and‏ ‎are‏ ‎responsible ‎for ‎several‏ ‎high-profile ‎attacks,‏ ‎including ‎the ‎Democratic ‎National‏ ‎Committee‏ ‎(DNC) ‎hack‏ ‎in ‎2016.

📌Use‏ ‎of ‎Nim: In ‎2019, ‎Sednit ‎was‏ ‎observed‏ ‎using ‎a‏ ‎malicious ‎downloader‏ ‎written ‎in ‎Nim. ‎This ‎marked‏ ‎one‏ ‎of‏ ‎the ‎early‏ ‎instances ‎of‏ ‎Nim ‎being‏ ‎used‏ ‎in ‎malware‏ ‎development.

📌Nimfilt’s ‎Role: Nimfilt ‎was ‎used ‎to‏ ‎reverse-engineer ‎this‏ ‎Nim-compiled‏ ‎malware, ‎helping ‎analysts‏ ‎understand ‎the‏ ‎structure ‎and ‎functionality ‎of‏ ‎the‏ ‎downloader ‎by‏ ‎demangling ‎function‏ ‎and ‎package ‎names ‎and ‎applying‏ ‎appropriate‏ ‎data ‎structures‏ ‎to ‎strings.

Mustang‏ ‎Panda ‎APT ‎Group:

📌Background: ‎Mustang ‎Panda‏ ‎is‏ ‎a‏ ‎China-aligned ‎Advanced‏ ‎Persistent ‎Threat‏ ‎(APT) ‎group‏ ‎known‏ ‎for ‎its‏ ‎cyber-espionage ‎activities. ‎They ‎have ‎been‏ ‎using ‎Nim‏ ‎to‏ ‎create ‎custom ‎loaders‏ ‎for ‎their‏ ‎Korplug ‎backdoor.

📌Specific ‎Incident: In ‎August‏ ‎2023,‏ ‎Mustang ‎Panda‏ ‎used ‎a‏ ‎malicious ‎DLL ‎written ‎in ‎Nim‏ ‎as‏ ‎part ‎of‏ ‎their ‎campaign‏ ‎against ‎a ‎governmental ‎organization ‎in‏ ‎Slovakia.‏ ‎This‏ ‎DLL ‎was‏ ‎part ‎of‏ ‎their ‎classic‏ ‎trident‏ ‎Korplug ‎loader.

📌Nimfilt’s‏ ‎Role: ‎Nimfilt ‎was ‎instrumental ‎in‏ ‎analyzing ‎this‏ ‎DLL.‏ ‎By ‎demangling ‎the‏ ‎names ‎and‏ ‎organizing ‎functions ‎into ‎directories,‏ ‎Nimfilt‏ ‎made ‎it‏ ‎easier ‎for‏ ‎researchers ‎to ‎dissect ‎the ‎malware‏ ‎and‏ ‎understand ‎its‏ ‎behavior.

General ‎Malware‏ ‎Analysis:

📌Nim’s ‎Popularity: The ‎Nim ‎programming ‎language‏ ‎has‏ ‎become‏ ‎increasingly ‎attractive‏ ‎to ‎malware‏ ‎developers ‎due‏ ‎to‏ ‎its ‎robust‏ ‎compiler ‎and ‎ability ‎to ‎work‏ ‎seamlessly ‎with‏ ‎other‏ ‎languages ‎like ‎C,‏ ‎C++, ‎and‏ ‎JavaScript. ‎This ‎has ‎led‏ ‎to‏ ‎a ‎rise‏ ‎in ‎malware‏ ‎written ‎in ‎Nim.

📌Nimfilt’s ‎Contribution: For ‎researchers‏ ‎tasked‏ ‎with ‎reverse-engineering‏ ‎such ‎binaries,‏ ‎Nimfilt ‎provides ‎a ‎powerful ‎tool‏ ‎to‏ ‎speed‏ ‎up ‎the‏ ‎analysis ‎process.‏ ‎It ‎helps‏ ‎by‏ ‎demangling ‎names,‏ ‎applying ‎structs ‎to ‎strings, ‎and‏ ‎organizing ‎functions,‏ ‎thereby‏ ‎making ‎the ‎reverse-engineering‏ ‎process ‎more‏ ‎efficient ‎and ‎focused.

Читать: 5+ мин
logo Overkill Security

Firmware Overwrite: The New Trend in Router Fashion

The ‎Chalubo‏ ‎RAT ‎malware ‎campaign ‎targeted ‎specific‏ ‎models ‎of‏ ‎Actiontec‏ ‎and ‎Sagemcom ‎routers,‏ ‎primarily ‎affecting‏ ‎Windstream’s ‎network. ‎The ‎malware‏ ‎used‏ ‎brute-force ‎attacks‏ ‎to ‎gain‏ ‎access, ‎executed ‎payloads ‎in ‎memory‏ ‎to‏ ‎avoid ‎detection,‏ ‎and ‎communicated‏ ‎with ‎C2 ‎servers ‎using ‎encrypted‏ ‎channels.‏ ‎The‏ ‎attack ‎led‏ ‎to ‎a‏ ‎significant ‎outage,‏ ‎requiring‏ ‎the ‎replacement‏ ‎of ‎over ‎600,000 ‎routers, ‎highlighting‏ ‎the ‎need‏ ‎for‏ ‎robust ‎security ‎measures‏ ‎and ‎regular‏ ‎updates ‎to ‎prevent ‎such‏ ‎incidents.

Targets

ISP‏ ‎Impact:

📌Windstream: The ‎primary‏ ‎ISP ‎affected,‏ ‎with ‎over ‎600,000 ‎routers ‎rendered‏ ‎inoperable‏ ‎between ‎October‏ ‎25 ‎and‏ ‎October ‎27, ‎2023.

📌Affected ‎Models: Actiontec ‎T3200,‏ ‎T3260,‏ ‎and‏ ‎Sagemcom ‎F5380.

📌Impact: Approximately‏ ‎49% ‎of‏ ‎the ‎ISP’s‏ ‎modems‏ ‎were ‎taken‏ ‎offline, ‎requiring ‎hardware ‎replacements.

Global ‎Impact:

📌Botnet‏ ‎Activity: From ‎September‏ ‎to‏ ‎November ‎2023, ‎Chalubo‏ ‎botnet ‎panels‏ ‎interacted ‎with ‎up ‎to‏ ‎117,000‏ ‎unique ‎IP‏ ‎addresses ‎over‏ ‎a ‎30-day ‎period.

📌Geographic ‎Distribution: Most ‎infections‏ ‎were‏ ‎in ‎the‏ ‎US, ‎Brazil,‏ ‎and ‎China.

📌Operational ‎Silos: 95% of ‎bots ‎communicated‏ ‎with‏ ‎only‏ ‎one ‎control‏ ‎panel, ‎indicating‏ ‎distinct ‎operational‏ ‎silos.


Affected‏ ‎Routers

📌Targeted ‎Models: End-of-life‏ ‎business-grade ‎routers.

📌Actiontec ‎T3200 ‎and ‎T3260‏ ‎are ‎VDSL2‏ ‎wireless‏ ‎AC ‎gateway ‎routers‏ ‎approved ‎by‏ ‎Windstream.

📌Sagemcom ‎F5380 ‎is ‎a‏ ‎WiFi6‏ ‎(802.11ax) ‎router.

📌DrayTek‏ ‎Vigor ‎Models‏ ‎2960 ‎and ‎3900


Malware: ‎Chalubo ‎RAT

📌First‏ ‎Spotted: August‏ ‎2018 ‎by‏ ‎Sophos ‎Labs.

📌Primary‏ ‎Functions: DDoS ‎attacks, ‎execution ‎of ‎Lua‏ ‎scripts,‏ ‎and‏ ‎evasion ‎techniques‏ ‎using ‎ChaCha20‏ ‎encryption.

Technical ‎Details:

📌Initial‏ ‎Infection: Uses‏ ‎brute-force ‎attacks‏ ‎on ‎SSH ‎servers ‎with ‎weak‏ ‎credentials ‎(e.g.,‏ ‎root:‏ ‎admin).

📌Payload ‎Delivery:

📌First ‎Stage: A‏ ‎bash ‎script‏ ‎(«get_scrpc») ‎fetches ‎a ‎second‏ ‎script‏ ‎(«get_strtriiush») ‎which‏ ‎retrieves ‎and‏ ‎executes ‎the ‎primary ‎bot ‎payload‏ ‎(«Chalubo»‏ ‎or ‎«mips.elf»).

📌Execution: The‏ ‎malware ‎runs‏ ‎in ‎memory, ‎wipes ‎files ‎from‏ ‎the‏ ‎disk,‏ ‎and ‎changes‏ ‎the ‎process‏ ‎name ‎to‏ ‎avoid‏ ‎detection.

📌Communication:

📌C2 ‎Servers: Cycles‏ ‎through ‎hardcoded ‎C2s, ‎downloads ‎the‏ ‎next ‎stage,‏ ‎and‏ ‎decrypts ‎it ‎using‏ ‎ChaCha20.

📌Persistence: The ‎newer‏ ‎version ‎does ‎not ‎maintain‏ ‎persistence‏ ‎on ‎infected‏ ‎devices.


HiatusRAT ‎Malware

📌Port‏ ‎8816: HiatusRAT ‎checks ‎for ‎existing ‎processes‏ ‎on‏ ‎port ‎8816,‏ ‎kills ‎any‏ ‎existing ‎service, ‎and ‎opens ‎a‏ ‎listener‏ ‎on‏ ‎this ‎port.

📌Information‏ ‎Collection: Collects ‎host-based‏ ‎information ‎and‏ ‎sends‏ ‎it ‎to‏ ‎the ‎C2 ‎server ‎to ‎track‏ ‎the ‎infection‏ ‎status‏ ‎and ‎log ‎information‏ ‎about ‎the‏ ‎compromised ‎host.

📌Initial ‎Access: Through ‎exploiting‏ ‎vulnerabilities‏ ‎in ‎router‏ ‎firmware ‎or‏ ‎using ‎weak ‎credentials.

📌Persistence: Uses ‎a ‎bash‏ ‎script‏ ‎to ‎download‏ ‎and ‎execute‏ ‎HiatusRAT ‎and ‎the ‎packet-capture ‎binary

📌Prebuilt‏ ‎Functions:

📌config: Loads‏ ‎new‏ ‎configuration ‎values‏ ‎from ‎the‏ ‎C2 ‎node.

📌shell: Spawns‏ ‎a‏ ‎remote ‎shell‏ ‎on ‎the ‎infected ‎host.

📌file: Allows ‎reading,‏ ‎deleting, ‎or‏ ‎uploading‏ ‎files ‎to ‎the‏ ‎C2.

📌executor: Downloads ‎and‏ ‎executes ‎files ‎from ‎the‏ ‎C2.

📌script: Executes‏ ‎scripts ‎supplied‏ ‎by ‎the‏ ‎C2.

📌tcp_forward: Forwards ‎TCP ‎data ‎from ‎a‏ ‎specified‏ ‎port ‎to‏ ‎another ‎IP‏ ‎address ‎and ‎port.

📌socks5: Sets ‎up ‎a‏ ‎SOCKS5‏ ‎proxy‏ ‎on ‎the‏ ‎compromised ‎router.

📌quit: Ceases‏ ‎execution ‎of‏ ‎the‏ ‎malware.

📌Packet ‎Capture: A‏ ‎variant ‎of ‎tcpdump ‎is ‎deployed‏ ‎to ‎capture‏ ‎and‏ ‎monitor ‎router ‎traffic‏ ‎on ‎ports‏ ‎associated ‎with ‎email ‎and‏ ‎file-transfer‏ ‎communications



Black ‎Lotus‏ ‎Labs ‎Uncovers‏ ‎New ‎Router ‎Malware ‎Campaigns

📌Black ‎Lotus‏ ‎Labs,‏ ‎the ‎threat‏ ‎research ‎team‏ ‎at ‎Lumen ‎Technologies ‎(formerly ‎CenturyLink),‏ ‎has‏ ‎recently‏ ‎uncovered ‎two‏ ‎major ‎malware‏ ‎campaigns ‎targeting‏ ‎routers‏ ‎and ‎networking‏ ‎devices ‎from ‎different ‎manufacturers. ‎These‏ ‎discoveries ‎highlight‏ ‎the‏ ‎increasing ‎threats ‎faced‏ ‎by ‎internet‏ ‎infrastructure ‎and ‎the ‎need‏ ‎for‏ ‎better ‎security‏ ‎practices.

The ‎Hiatus‏ ‎Campaign

📌In ‎March ‎2023, ‎Black ‎Lotus‏ ‎Labs‏ ‎reported ‎on‏ ‎a ‎complex‏ ‎campaign ‎called ‎«Hiatus» ‎that ‎had‏ ‎been‏ ‎targeting‏ ‎business-grade ‎routers,‏ ‎primarily ‎DrayTek‏ ‎Vigor ‎models‏ ‎2960‏ ‎and ‎3900,‏ ‎since ‎June ‎2022.

📌The ‎threat ‎actors‏ ‎exploited ‎end-of-life‏ ‎DrayTek‏ ‎routers ‎to ‎establish‏ ‎long-term ‎persistence‏ ‎without ‎detection.

📌Around ‎4,100 ‎vulnerable‏ ‎DrayTek‏ ‎models ‎were‏ ‎exposed ‎on‏ ‎the ‎internet, ‎with ‎Hiatus ‎compromising‏ ‎approximately‏ ‎100 ‎of‏ ‎them ‎across‏ ‎Latin ‎America, ‎Europe, ‎and ‎North‏ ‎America.

📌Upon‏ ‎infection,‏ ‎the ‎malware‏ ‎intercepts ‎data‏ ‎transiting ‎the‏ ‎infected‏ ‎router ‎and‏ ‎deploys ‎a ‎Remote ‎Access ‎Trojan‏ ‎(RAT) ‎called‏ ‎«HiatusRAT»‏ ‎that ‎can ‎proxy‏ ‎malicious ‎traffic‏ ‎to ‎additional ‎networks.

📌Black ‎Lotus‏ ‎Labs‏ ‎has ‎null-routed‏ ‎the ‎Hiatus‏ ‎command-and-control ‎(C2) ‎servers ‎across ‎Lumen’s‏ ‎global‏ ‎backbone ‎and‏ ‎added ‎the‏ ‎indicators ‎of ‎compromise ‎(IoCs) ‎to‏ ‎their‏ ‎Rapid‏ ‎Threat ‎Defense‏ ‎system ‎to‏ ‎block ‎threats‏ ‎before‏ ‎reaching ‎customer‏ ‎networks.

The ‎Pumpkin ‎Eclipse ‎Campaign

📌In ‎late‏ ‎October ‎2023,‏ ‎Black‏ ‎Lotus ‎Labs ‎investigated‏ ‎a ‎massive‏ ‎outage ‎affecting ‎specific ‎ActionTec‏ ‎(T3200s‏ ‎and ‎T3260s)‏ ‎and ‎Sagemcom‏ ‎(F5380) ‎gateway ‎models ‎within ‎a‏ ‎single‏ ‎internet ‎service‏ ‎provider’s ‎network.

📌Over‏ ‎600,000 ‎devices ‎displayed ‎a ‎static‏ ‎red‏ ‎light,‏ ‎indicating ‎a‏ ‎likely ‎firmware‏ ‎corruption ‎issue.

📌The‏ ‎attack‏ ‎was ‎confined‏ ‎to ‎a ‎specific ‎Autonomous ‎System‏ ‎Number ‎(ASN),‏ ‎impacting‏ ‎around ‎49% ‎of‏ ‎exposed ‎devices‏ ‎in ‎that ‎network.

📌Black ‎Lotus‏ ‎Labs‏ ‎discovered ‎a‏ ‎multi-stage ‎infection‏ ‎mechanism ‎that ‎installed ‎the ‎Chalubo‏ ‎RAT,‏ ‎a ‎botnet‏ ‎targeting ‎SOHO‏ ‎gateways ‎and ‎IoT ‎devices.

📌Black ‎Lotus‏ ‎Labs‏ ‎has‏ ‎added ‎the‏ ‎IoCs ‎from‏ ‎this ‎campaign‏ ‎and‏ ‎the ‎Chalubo‏ ‎malware ‎to ‎their ‎threat ‎intelligence‏ ‎feed, ‎fueling‏ ‎Lumen’s‏ ‎Connected ‎Security ‎portfolio.


Читать: 4+ мин
logo Overkill Security

Fuxnet

This ‎time,‏ ‎we’re ‎diving ‎into ‎the ‎murky‏ ‎waters ‎of‏ ‎the‏ ‎Fuxnet ‎malware, ‎a‏ ‎brainchild ‎of‏ ‎the ‎illustrious ‎Blackjack ‎hacking‏ ‎group.

Let’s‏ ‎set ‎the‏ ‎scene: ‎Moscow,‏ ‎a ‎city ‎unsuspectingly ‎going ‎about‏ ‎its‏ ‎business, ‎unaware‏ ‎that ‎it’s‏ ‎about ‎to ‎be ‎the ‎star‏ ‎of‏ ‎Blackjack’s‏ ‎latest ‎production.‏ ‎The ‎method?‏ ‎Oh, ‎nothing‏ ‎too‏ ‎fancy, ‎just‏ ‎the ‎classic ‎«let’s ‎potentially ‎disable‏ ‎sensor-gateways» ‎move.

In‏ ‎a‏ ‎move ‎of ‎unparalleled‏ ‎transparency, ‎Blackjack‏ ‎decides ‎to ‎broadcast ‎their‏ ‎cyber‏ ‎conquests ‎on‏ ‎http://ruexfil.com. Because ‎nothing‏ ‎screams ‎«covert ‎operation» ‎like ‎a‏ ‎public‏ ‎display ‎of‏ ‎your ‎hacking‏ ‎prowess, ‎complete ‎with ‎screenshots ‎for‏ ‎the‏ ‎visually‏ ‎inclined.

Ah, ‎but‏ ‎here’s ‎where‏ ‎the ‎plot‏ ‎thickens:‏ ‎the ‎initial‏ ‎claim ‎of ‎2,659 ‎sensor-gateways ‎laid‏ ‎to ‎waste?‏ ‎A‏ ‎slight ‎exaggeration, ‎it‏ ‎seems. ‎The‏ ‎actual ‎tally? ‎A ‎little‏ ‎over‏ ‎500. ‎It’s‏ ‎akin ‎to‏ ‎declaring ‎world ‎domination ‎and ‎then‏ ‎barely‏ ‎managing ‎to‏ ‎annex ‎your‏ ‎backyard.

For ‎Blackjack, ‎ever ‎the ‎dramatists,‏ ‎hint‏ ‎at‏ ‎a ‎sequel,‏ ‎suggesting ‎the‏ ‎JSON ‎files‏ ‎were‏ ‎merely ‎a‏ ‎teaser ‎of ‎the ‎chaos ‎yet‏ ‎to ‎come.‏ ‎Because‏ ‎what’s ‎a ‎cyberattack‏ ‎without ‎a‏ ‎hint ‎of ‎sequel ‎bait,‏ ‎teasing‏ ‎audiences ‎with‏ ‎the ‎promise‏ ‎of ‎more ‎digital ‎destruction?

-------

This ‎document‏ ‎presents‏ ‎a ‎comprehensive‏ ‎analysis ‎of‏ ‎the ‎Fuxnet ‎malware, ‎attributed ‎to‏ ‎the‏ ‎Blackjack‏ ‎hacking ‎group,‏ ‎which ‎has‏ ‎reportedly ‎targeted‏ ‎infrastructure.‏ ‎The ‎analysis‏ ‎delves ‎into ‎various ‎aspects ‎of‏ ‎the ‎malware,‏ ‎including‏ ‎its ‎technical ‎specifications,‏ ‎impact ‎on‏ ‎systems, ‎defense ‎mechanisms, ‎propagation‏ ‎methods,‏ ‎targets, ‎and‏ ‎the ‎motivations‏ ‎behind ‎its ‎deployment. ‎By ‎examining‏ ‎these‏ ‎facets, ‎the‏ ‎document ‎aims‏ ‎to ‎provide ‎a ‎detailed ‎overview‏ ‎of‏ ‎Fuxnet’s‏ ‎capabilities ‎and‏ ‎its ‎implications‏ ‎for ‎cybersecurity.

The‏ ‎document‏ ‎offers ‎a‏ ‎qualitative ‎summary ‎of ‎the ‎Fuxnet‏ ‎malware, ‎based‏ ‎on‏ ‎the ‎information ‎publicly‏ ‎shared ‎by‏ ‎the ‎attackers ‎and ‎analyzed‏ ‎by‏ ‎cybersecurity ‎experts.‏ ‎This ‎analysis‏ ‎is ‎invaluable ‎for ‎security ‎professionals,‏ ‎IT‏ ‎specialists, ‎and‏ ‎stakeholders ‎in‏ ‎various ‎industries, ‎as ‎it ‎not‏ ‎only‏ ‎sheds‏ ‎light ‎on‏ ‎the ‎technical‏ ‎intricacies ‎of‏ ‎a‏ ‎sophisticated ‎cyber‏ ‎threat ‎but ‎also ‎emphasizes ‎the‏ ‎importance ‎of‏ ‎robust‏ ‎cybersecurity ‎measures ‎in‏ ‎safeguarding ‎critical‏ ‎infrastructure ‎against ‎emerging ‎threats.‏ ‎Through‏ ‎this ‎detailed‏ ‎examination, ‎the‏ ‎document ‎contributes ‎to ‎the ‎broader‏ ‎understanding‏ ‎of ‎cyber‏ ‎warfare ‎tactics‏ ‎and ‎enhances ‎the ‎preparedness ‎of‏ ‎organizations‏ ‎to‏ ‎defend ‎against‏ ‎similar ‎attacks‏ ‎in ‎the‏ ‎future.


Unpacking‏ ‎in ‎more‏ ‎detail



Читать: 2+ мин
logo Overkill Security

Mallox

The ‎infamous‏ ‎Mallox ‎is ‎the ‎digital ‎Robin‏ ‎Hoods ‎of‏ ‎our‏ ‎time, ‎except ‎they‏ ‎steal ‎from‏ ‎everyone ‎and ‎give ‎to‏ ‎themselves.‏ ‎Since ‎mid-2021,‏ ‎they’ve ‎been‏ ‎playing ‎hide ‎and ‎seek ‎with‏ ‎unsecured‏ ‎Microsoft ‎SQL‏ ‎servers, ‎encrypting‏ ‎data, ‎and ‎then ‎graciously ‎offering‏ ‎to‏ ‎give‏ ‎it ‎back‏ ‎for ‎a‏ ‎modest ‎Bitcoin‏ ‎donation.

Mallox‏ ‎decided ‎to‏ ‎go ‎shopping ‎for ‎new ‎malware‏ ‎toys, ‎adding‏ ‎the‏ ‎Remcos ‎RAT, ‎BatCloak,‏ ‎and ‎a‏ ‎sprinkle ‎of ‎Metasploit ‎to‏ ‎their‏ ‎collection. ‎They’re‏ ‎now ‎playing‏ ‎a ‎game ‎of ‎«Catch ‎me‏ ‎if‏ ‎you ‎can»‏ ‎with ‎antivirus‏ ‎software, ‎using ‎their ‎FUD ‎obfuscator‏ ‎packers‏ ‎to‏ ‎turn ‎their‏ ‎ransomware ‎into‏ ‎the ‎digital‏ ‎equivalent‏ ‎of ‎a‏ ‎ninja.

-------

This ‎document ‎provides ‎a ‎analysis‏ ‎of ‎the‏ ‎Target‏ ‎Company ‎ransomware ‎group,‏ ‎also ‎known‏ ‎as ‎Smallpox, ‎which ‎has‏ ‎been‏ ‎rapidly ‎evolving‏ ‎since ‎its‏ ‎first ‎identification ‎in ‎June ‎2021.

The‏ ‎analysis‏ ‎delves ‎into‏ ‎various ‎aspects‏ ‎of ‎the ‎group’s ‎operations, ‎including‏ ‎its‏ ‎distinctive‏ ‎practice ‎of‏ ‎appending ‎targeted‏ ‎organizations' ‎names‏ ‎to‏ ‎encrypted ‎files,‏ ‎the ‎evolution ‎of ‎its ‎encryption‏ ‎algorithms, ‎and‏ ‎its‏ ‎tactics ‎for ‎establishing‏ ‎persistence ‎and‏ ‎evading ‎defenses.

The ‎insights ‎gained‏ ‎from‏ ‎this ‎analysis‏ ‎are ‎crucial‏ ‎for ‎informing ‎defense ‎strategies ‎and‏ ‎enhancing‏ ‎preparedness ‎against‏ ‎such ‎evolving‏ ‎cyber ‎threats.


Unpacking ‎in ‎more ‎detail



Читать: 2+ мин
logo Overkill Security

Infamous Chisel by Sandworm

Ah, ‎the‏ ‎digital ‎age, ‎where ‎even ‎our‏ ‎malware ‎gets‏ ‎to‏ ‎have ‎more ‎travel‏ ‎and ‎adventure‏ ‎than ‎the ‎average ‎office‏ ‎worker.

Crafted‏ ‎by ‎the‏ ‎digital ‎artisans‏ ‎known ‎as ‎Sandworm, ‎The ‎Chisel‏ ‎is‏ ‎not ‎just‏ ‎malware; ‎it’s‏ ‎a ‎masterpiece ‎of ‎intrusion. ‎This‏ ‎collection‏ ‎of‏ ‎digital ‎tools‏ ‎doesn’t ‎just‏ ‎sneak ‎into‏ ‎Android‏ ‎devices; ‎it‏ ‎sets ‎up ‎shop, ‎kicks ‎back‏ ‎with ‎a‏ ‎martini,‏ ‎and ‎gets ‎to‏ ‎work ‎exfiltrating‏ ‎all ‎sorts ‎of ‎juicy‏ ‎information.‏ ‎System ‎device‏ ‎info, ‎commercial‏ ‎application ‎data, ‎and ‎oh, ‎let’s‏ ‎not‏ ‎forget ‎the‏ ‎pièce ‎de‏ ‎résistance, ‎military-specific ‎applications. ‎Because ‎why‏ ‎go‏ ‎after‏ ‎boring, ‎everyday‏ ‎data ‎when‏ ‎you ‎can‏ ‎dive‏ ‎into ‎the‏ ‎secrets ‎of ‎the ‎military?

The ‎Chisel‏ ‎doesn’t ‎just‏ ‎exfiltrate‏ ‎data; ‎it ‎curates‏ ‎it. ‎Like‏ ‎a ‎connoisseur ‎of ‎fine‏ ‎wines,‏ ‎it ‎selects‏ ‎only ‎the‏ ‎most ‎exquisite ‎information ‎to ‎send‏ ‎back‏ ‎to ‎its‏ ‎creators. ‎System‏ ‎device ‎information? ‎Check. ‎Commercial ‎application‏ ‎data?‏ ‎Check.‏ ‎Military ‎secrets‏ ‎that ‎could‏ ‎potentially ‎alter‏ ‎the‏ ‎course ‎of‏ ‎international ‎relations? ‎Double-check. ‎It’s ‎not‏ ‎just ‎stealing;‏ ‎it’s‏ ‎an ‎art ‎form.

The‏ ‎Chisel ‎reminds‏ ‎us ‎that ‎some ‎malware‏ ‎doesn’t‏ ‎just ‎aim‏ ‎to ‎disrupt;‏ ‎it ‎aims ‎to ‎dominate, ‎all‏ ‎while‏ ‎maintaining ‎the‏ ‎utmost ‎sophistication‏ ‎and ‎discretion. ‎Cheers, ‎The ‎Chisel.‏ ‎You’ve‏ ‎truly‏ ‎raised ‎the‏ ‎bar ‎for‏ ‎cyber ‎actors‏ ‎everywhere.


Unpacking‏ ‎in ‎more‏ ‎detail


Читать: 3+ мин
logo Overkill Security

DCRat

DCRat, ‎the‏ ‎Swiss ‎Army ‎knife ‎of ‎the‏ ‎cyber ‎underworld,‏ ‎a‏ ‎true ‎testament ‎to‏ ‎the ‎entrepreneurial‏ ‎spirit ‎thriving ‎in ‎the‏ ‎dark‏ ‎corners ‎of‏ ‎the ‎internet.‏ ‎Since ‎its ‎grand ‎debut ‎in‏ ‎2018,‏ ‎DCRat ‎has‏ ‎been ‎the‏ ‎go-to ‎gadget ‎for ‎every ‎aspiring‏ ‎villain‏ ‎with‏ ‎a ‎penchant‏ ‎for ‎digital‏ ‎mischief.

For ‎the‏ ‎low,‏ ‎low ‎price‏ ‎of ‎$7, ‎you ‎too ‎can‏ ‎own ‎a‏ ‎two-month‏ ‎subscription ‎to ‎this‏ ‎marvel ‎of‏ ‎modern ‎malware. ‎That’s ‎right,‏ ‎for‏ ‎less ‎than‏ ‎the ‎cost‏ ‎of ‎a ‎fancy ‎coffee, ‎you‏ ‎can‏ ‎dip ‎your‏ ‎toes ‎into‏ ‎the ‎exhilarating ‎world ‎of ‎cybercrime.‏ ‎And‏ ‎for‏ ‎those ‎who‏ ‎are ‎truly‏ ‎committed ‎to‏ ‎the‏ ‎cause, ‎a‏ ‎lifetime ‎license ‎is ‎available ‎for‏ ‎the ‎princely‏ ‎sum‏ ‎of ‎$40. ‎Who‏ ‎knew ‎that‏ ‎eternal ‎digital ‎damnation ‎could‏ ‎come‏ ‎so ‎cheap?

In‏ ‎a ‎move‏ ‎that ‎shocked ‎the ‎underground ‎forums,‏ ‎the‏ ‎developer ‎behind‏ ‎DCRat ‎announced‏ ‎in ‎2022 ‎that ‎they ‎were‏ ‎hanging‏ ‎up‏ ‎their ‎hat,‏ ‎discontinuing ‎the‏ ‎RAT, ‎and‏ ‎moving‏ ‎on ‎to‏ ‎presumably ‎darker ‎endeavors. ‎They ‎even‏ ‎teased ‎a‏ ‎successor,‏ ‎because ‎why ‎let‏ ‎a ‎good‏ ‎thing ‎die ‎when ‎you‏ ‎can‏ ‎just ‎rebrand‏ ‎and ‎relaunch?

DCRat‏ ‎isn’t ‎just ‎any ‎old ‎RAT;‏ ‎it’s‏ ‎a ‎modular,‏ ‎customizable, ‎and‏ ‎utterly ‎nefarious ‎tool ‎that ‎can‏ ‎do‏ ‎everything‏ ‎from ‎stealing‏ ‎your ‎grandma’s‏ ‎cookie ‎recipes‏ ‎to‏ ‎launching ‎DDoS‏ ‎attacks ‎because ‎why ‎limit ‎yourself?‏ ‎It’s ‎like‏ ‎the‏ ‎malware ‎version ‎of‏ ‎a ‎build-your-own-bear‏ ‎workshop, ‎but ‎instead ‎of‏ ‎cuddly‏ ‎companions, ‎you’re‏ ‎crafting ‎cyber‏ ‎catastrophes.

And ‎let’s ‎not ‎forget ‎the‏ ‎pièce‏ ‎de ‎résistance:‏ ‎the ‎deployment‏ ‎methods. ‎DCRat ‎lures ‎its ‎victims‏ ‎with‏ ‎the‏ ‎digital ‎equivalent‏ ‎of ‎«free‏ ‎candy» ‎signs.‏ ‎Adult‏ ‎content-themed ‎baits?‏ ‎Check. ‎Fake ‎OnlyFans ‎promises? ‎Double-check.‏ ‎It’s ‎like‏ ‎the‏ ‎malware ‎is ‎saying,‏ ‎«Hey, ‎I‏ ‎know ‎you ‎were ‎just‏ ‎here‏ ‎for ‎some‏ ‎risqué ‎entertainment,‏ ‎but ‎how ‎about ‎a ‎side‏ ‎of‏ ‎identity ‎theft?»

In‏ ‎the ‎end,‏ ‎DCRat ‎serves ‎as ‎a ‎stark‏ ‎reminder‏ ‎that‏ ‎in ‎the‏ ‎digital ‎age,‏ ‎your ‎security‏ ‎is‏ ‎only ‎as‏ ‎strong ‎as ‎your ‎ability ‎to‏ ‎resist ‎clicking‏ ‎on‏ ‎suspicious ‎links. ‎So,‏ ‎the ‎next‏ ‎time ‎you’re ‎tempted ‎by‏ ‎an‏ ‎offer ‎that‏ ‎seems ‎too‏ ‎good ‎to ‎be ‎true, ‎just‏ ‎remember:‏ ‎it ‎might‏ ‎just ‎be‏ ‎DCRat, ‎waiting ‎to ‎welcome ‎you‏ ‎with‏ ‎open‏ ‎arms ‎into‏ ‎its ‎not-so-loving‏ ‎embrace.


Unpacking ‎in‏ ‎more‏ ‎detail


Читать: 1+ мин
logo Snarky Security

How to Turn Your Security Database into a Malware Distribution Hub

The ‎article «How‏ ‎the ‎National ‎Vulnerability ‎Database ‎Could‏ ‎Be ‎Abused‏ ‎to‏ ‎Spread ‎Malware» ‎from‏ ‎Nozomi ‎Networks‏ ‎discusses ‎the ‎potential ‎risks‏ ‎and‏ ‎vulnerabilities ‎associated‏ ‎with ‎the‏ ‎NVD.

📌NVD ‎as ‎a ‎Double-Edged ‎Sword:‏ ‎The‏ ‎NVD ‎is‏ ‎supposed ‎to‏ ‎be ‎a ‎treasure ‎trove ‎for‏ ‎cybersecurity‏ ‎professionals,‏ ‎but ‎guess‏ ‎what? ‎It’s‏ ‎also ‎a‏ ‎goldmine‏ ‎for ‎cybercriminals.‏ ‎They ‎can ‎easily ‎access ‎detailed‏ ‎information ‎about‏ ‎vulnerabilities,‏ ‎making ‎their ‎job‏ ‎of ‎crafting‏ ‎exploits ‎a ‎walk ‎in‏ ‎the‏ ‎park.

📌Malware ‎Distribution‏ ‎via ‎NVD:‏ ‎Imagine ‎the ‎irony—using ‎a ‎database‏ ‎meant‏ ‎to ‎protect‏ ‎us ‎to‏ ‎spread ‎malware. ‎Cybercriminals ‎can ‎embed‏ ‎malicious‏ ‎links‏ ‎in ‎the‏ ‎NVD ‎entries,‏ ‎and ‎unsuspecting‏ ‎users‏ ‎might ‎just‏ ‎click ‎on ‎them, ‎thinking ‎they’re‏ ‎accessing ‎legitimate‏ ‎resources.

📌Automated‏ ‎Tools ‎and ‎Scripts:‏ ‎Automated ‎tools‏ ‎that ‎scan ‎the ‎NVD‏ ‎for‏ ‎vulnerabilities ‎can‏ ‎be ‎hijacked.‏ ‎These ‎tools, ‎designed ‎to ‎help‏ ‎organizations‏ ‎stay ‎secure,‏ ‎can ‎be‏ ‎manipulated ‎to ‎download ‎and ‎execute‏ ‎malware.

📌Trust‏ ‎Issues:‏ ‎The ‎NVD‏ ‎is ‎trusted‏ ‎by ‎many,‏ ‎but‏ ‎this ‎trust‏ ‎can ‎be ‎exploited. ‎If ‎cybercriminals‏ ‎manage ‎to‏ ‎inject‏ ‎malicious ‎data ‎into‏ ‎the ‎NVD,‏ ‎they ‎can ‎leverage ‎this‏ ‎trust‏ ‎to ‎spread‏ ‎their ‎malware‏ ‎far ‎and ‎wide.

📌Mitigation ‎Strategies: ‎Of‏ ‎course,‏ ‎there ‎are‏ ‎ways ‎to‏ ‎mitigate ‎these ‎risks, ‎but ‎they‏ ‎require‏ ‎effort.‏ ‎Organizations ‎need‏ ‎to ‎validate‏ ‎the ‎data‏ ‎they‏ ‎pull ‎from‏ ‎the ‎NVD ‎and ‎ensure ‎their‏ ‎automated ‎tools‏ ‎are‏ ‎secure.

Читать: 3+ мин
logo Хроники кибер-безопасника

Fuxnet

На ‎этот‏ ‎раз ‎мы ‎погружаемся ‎в ‎мутные‏ ‎воды ‎вредоносной‏ ‎программы‏ ‎Fuxnet, ‎детища ‎хакерской‏ ‎группы ‎Blackjack.

Место‏ ‎действия: ‎Москва, ‎город, ‎который,‏ ‎ни‏ ‎о ‎чем‏ ‎не ‎подозревая,‏ ‎занимается ‎своими ‎делами, ‎что ‎он‏ ‎вот-вот‏ ‎станет ‎звездой‏ ‎социальный ‎драмы‏ ‎Blackjack.Суть ‎атаки ‎— ‎ничего ‎особенного,‏ ‎просто‏ ‎классический‏ ‎ход ‎«давайте‏ ‎отключим ‎сенсорные‏ ‎шлюзы».

Стремясь ‎к‏ ‎беспрецедентной‏ ‎прозрачности, ‎Blackjack‏ ‎решает ‎транслировать ‎свои ‎киберпреступления ‎на‏ ‎сайте ‎http://ruexfil.com. Потому‏ ‎что‏ ‎ничто ‎так ‎не‏ ‎кричит ‎о‏ ‎«секретной ‎операции», ‎как ‎публичная‏ ‎демонстрация‏ ‎хакерского ‎мастерства,‏ ‎сопровождаемая ‎скриншотами‏ ‎для ‎особо ‎внимательных ‎пользователей.

Но ‎тут-то‏ ‎интрига‏ ‎и ‎обостряется:‏ ‎первоначальное ‎утверждение‏ ‎о ‎2659 ‎вышедших ‎из ‎строя‏ ‎сенсорных‏ ‎шлюзах?‏ ‎Кажется, ‎это‏ ‎небольшое ‎преувеличение.‏ ‎Реальное ‎число?‏ ‎Чуть‏ ‎больше ‎500.‏ ‎Это ‎сродни ‎провозглашению ‎мирового ‎господства‏ ‎для ‎тех‏ ‎сфоткался‏ ‎после ‎пересечения ‎границы‏ ‎в ‎аэропорту.

Создатели,‏ ‎как ‎всегда, ‎намекают ‎на‏ ‎продолжение,‏ ‎утверждая, ‎что‏ ‎их ‎результаты‏ ‎были ‎всего ‎лишь ‎намёком ‎на‏ ‎грядущий‏ ‎хаос. ‎Ведь‏ ‎что ‎такое‏ ‎кибератака ‎без ‎намёка ‎на ‎продолжение,‏ ‎дразнящее‏ ‎аудиторию‏ ‎обещанием ‎новых‏ ‎цифровых ‎разрушений?

-------

в‏ ‎документе ‎представлен‏ ‎анализ‏ ‎Fuxnet, ‎приписываемого‏ ‎хакерской ‎группе ‎Blackjack, ‎которое, ‎как‏ ‎сообщается, ‎нацелено‏ ‎на‏ ‎инфраструктуру ‎отдельных ‎стран.‏ ‎Анализ ‎включает‏ ‎в ‎себя ‎различные ‎аспекты‏ ‎вредоносного‏ ‎ПО, ‎включая‏ ‎его ‎технические‏ ‎характеристики, ‎влияние ‎на ‎системы, ‎механизмы‏ ‎защиты,‏ ‎методы ‎распространения,‏ ‎цели ‎и‏ ‎мотивы, ‎стоящие ‎за ‎его ‎внедрением.‏ ‎Изучив‏ ‎эти‏ ‎аспекты, ‎цель‏ ‎документа-обеспечить ‎подробный‏ ‎обзор ‎Fuxnet‏ ‎по‏ ‎возможности ‎и‏ ‎её ‎значение ‎для ‎кибербезопасности.

Документ ‎предлагает‏ ‎качественное ‎описание‏ ‎Fuxnet,‏ ‎основанное ‎на ‎информации,‏ ‎которой ‎публично‏ ‎доступной ‎от ‎экспертов ‎по‏ ‎кибербезопасности.‏ ‎Этот ‎анализ‏ ‎полезен ‎для‏ ‎специалистов ‎в ‎области ‎ИБ, ‎ИТ-специалистов‏ ‎и‏ ‎заинтересованных ‎сторон‏ ‎в ‎различных‏ ‎отраслях, ‎поскольку ‎он ‎не ‎только‏ ‎проливает‏ ‎свет‏ ‎на ‎технические‏ ‎тонкости ‎сложной‏ ‎киберугрозы, ‎но‏ ‎и‏ ‎подчёркивает ‎важность‏ ‎надёжных ‎мер ‎кибербезопасности ‎для ‎защиты‏ ‎критически ‎важной‏ ‎инфраструктуры‏ ‎от ‎возникающих ‎угроз.‏ ‎Документ ‎способствует‏ ‎более ‎широкому ‎пониманию ‎тактики‏ ‎ведения‏ ‎кибервойны ‎и‏ ‎повышает ‎готовность‏ ‎организаций ‎к ‎защите ‎от ‎подобных‏ ‎атак‏ ‎в ‎будущем.


Подробный‏ ‎разбор



Читать: 2+ мин
logo Snarky Security

Alleged China-based hackers using ‘Cuttlefish’ malware platform to target Turkey

📌Malware ‎Identification‏ ‎and ‎Activity: ‎The ‎malware, ‎identified‏ ‎as ‎Cuttlefish,‏ ‎has‏ ‎been ‎active ‎since‏ ‎at ‎least‏ ‎July ‎27, ‎2023, ‎with‏ ‎the‏ ‎latest ‎campaign‏ ‎running ‎from‏ ‎October ‎2023 ‎to ‎April ‎2024.‏ ‎It‏ ‎is ‎designed‏ ‎to ‎infiltrate‏ ‎routers ‎and ‎other ‎networking ‎hardware‏ ‎to‏ ‎steal‏ ‎information ‎quietly.

📌Geographical‏ ‎Focus ‎and‏ ‎Victims: ‎The‏ ‎campaign‏ ‎has ‎predominantly‏ ‎affected ‎Turkey, ‎with ‎99% ‎of‏ ‎the ‎infections‏ ‎occurring‏ ‎within ‎the ‎country.‏ ‎The ‎remaining‏ ‎victims ‎include ‎global ‎satellite‏ ‎phone‏ ‎providers ‎and‏ ‎potentially ‎a‏ ‎U.S.-based ‎data ‎center.

📌Connection ‎to ‎Chinese‏ ‎Operations:‏ ‎Researchers ‎at‏ ‎Black ‎Lotus‏ ‎Labs ‎suggest ‎a ‎link ‎between‏ ‎Cuttlefish‏ ‎and‏ ‎the ‎Chinese‏ ‎government ‎due‏ ‎to ‎significant‏ ‎overlaps‏ ‎with ‎another‏ ‎malware ‎called ‎HiatusRat, ‎which ‎has‏ ‎been ‎used‏ ‎in‏ ‎operations ‎that ‎align‏ ‎with ‎Chinese‏ ‎interests.

📌Method ‎of ‎Operation: ‎Cuttlefish‏ ‎operates‏ ‎by ‎capturing‏ ‎data ‎from‏ ‎users ‎and ‎devices ‎behind ‎the‏ ‎targeted‏ ‎network’s ‎edge,‏ ‎allowing ‎hackers‏ ‎to ‎monitor ‎all ‎traffic ‎through‏ ‎the‏ ‎compromised‏ ‎devices. ‎It‏ ‎targets ‎enterprise-grade‏ ‎small ‎office/home‏ ‎office‏ ‎(SOHO) ‎routers.

📌Data‏ ‎Theft: ‎The ‎malware ‎has ‎been‏ ‎configured ‎to‏ ‎steal‏ ‎keys ‎for ‎cloud-based‏ ‎services ‎such‏ ‎as ‎Alicloud, ‎AWS, ‎Digital‏ ‎Ocean,‏ ‎CloudFlare, ‎and‏ ‎BitBucket. ‎This‏ ‎enables ‎the ‎attackers ‎to ‎access‏ ‎data‏ ‎from ‎cloud‏ ‎resources, ‎which‏ ‎are ‎typically ‎less ‎protected ‎than‏ ‎traditional‏ ‎network‏ ‎perimeters.

📌Detection ‎Challenges:‏ ‎The ‎nature‏ ‎of ‎the‏ ‎attack,‏ ‎occurring ‎over‏ ‎a ‎trusted ‎internal ‎network, ‎makes‏ ‎it ‎particularly‏ ‎difficult‏ ‎to ‎detect. ‎Many‏ ‎security ‎tools‏ ‎focus ‎on ‎external ‎threats,‏ ‎thereby‏ ‎potentially ‎overlooking‏ ‎such ‎internally‏ ‎originated ‎activities.

📌Broader ‎Implications: ‎It ‎highlights‏ ‎the‏ ‎evolving ‎threat‏ ‎landscape ‎where‏ ‎passive ‎eavesdropping ‎and ‎data ‎hijacking‏ ‎techniques‏ ‎are‏ ‎becoming ‎more‏ ‎sophisticated. ‎The‏ ‎specific ‎targeting‏ ‎of‏ ‎cloud-based ‎authentication‏ ‎material ‎is ‎a ‎growing ‎concern‏ ‎that ‎requires‏ ‎enhanced‏ ‎security ‎measures.

Читать: 2+ мин
logo Хроники кибер-безопасника

Mallox

Печально ‎известный‏ ‎Mallox ‎— ‎это ‎цифровой ‎Робин‏ ‎Гуд ‎нашего‏ ‎времени,‏ ‎за ‎исключением ‎того,‏ ‎что ‎они‏ ‎крадут ‎у ‎всех ‎и‏ ‎отдают‏ ‎себе. ‎С‏ ‎середины ‎2021‏ ‎года ‎они ‎играли ‎с ‎незащищёнными‏ ‎серверами‏ ‎Microsoft ‎SQL,‏ ‎шифровали ‎данные,‏ ‎а ‎затем ‎любезно ‎предлагали ‎вернуть‏ ‎их‏ ‎за‏ ‎скромное ‎пожертвование‏ ‎в ‎биткоинах.‏ ‎А ‎ещё‏ ‎приобрели‏ ‎новые ‎вредоносные‏ ‎игрушки, ‎добавив ‎в ‎свою ‎коллекцию‏ ‎Remcos ‎RAT,‏ ‎BatCloak‏ ‎и ‎немного ‎Metasploit.‏ ‎Сейчас ‎они‏ ‎играют ‎в ‎игру ‎«Поймай‏ ‎обфускацию,‏ ‎если ‎сможешь»‏ ‎с ‎антивирусным‏ ‎программным ‎обеспечением.

-------

В ‎этом ‎документе ‎представлен‏ ‎анализ‏ ‎группы ‎вымогателей‏ ‎Mallox, ‎которая‏ ‎быстро ‎развивалась ‎с ‎момента ‎своего‏ ‎первого‏ ‎выявления‏ ‎в ‎июне‏ ‎2021 ‎года.

Анализ‏ ‎посвящён ‎различным‏ ‎аспектам‏ ‎деятельности ‎группы,‏ ‎включая ‎её ‎отличительную ‎практику ‎добавления‏ ‎названий ‎целевых‏ ‎организаций‏ ‎к ‎зашифрованным ‎файлам,‏ ‎эволюцию ‎её‏ ‎алгоритмов ‎шифрования ‎и ‎тактику‏ ‎обеспечения‏ ‎постоянства ‎и‏ ‎обхода ‎средств‏ ‎защиты.

Выводы, ‎полученные ‎в ‎результате ‎этого‏ ‎анализа,‏ ‎имеют ‎решающее‏ ‎значение ‎для‏ ‎разработки ‎стратегий ‎защиты ‎и ‎повышения‏ ‎готовности‏ ‎к‏ ‎таким ‎развивающимся‏ ‎киберугрозам.


Подробный ‎разбор



Читать: 3+ мин
logo Хроники кибер-безопасника

Chisel by Sandworm

Ах, ‎этот‏ ‎цифровой ‎век, ‎когда ‎даже ‎у‏ ‎наших ‎вредоносных‏ ‎программ‏ ‎появляется ‎больше ‎возможностей‏ ‎для ‎путешествий‏ ‎и ‎приключений, ‎чем ‎у‏ ‎среднестатистического‏ ‎офисного ‎работника.

Созданная‏ ‎цифровыми ‎мастерами,‏ ‎известными ‎как ‎Sandworm, ‎программа ‎The‏ ‎Chisel‏ ‎— ‎это‏ ‎не ‎просто‏ ‎вредоносная ‎программа; ‎это ‎шедевр ‎в‏ ‎области‏ ‎проникновения.‏ ‎Эта ‎коллекция‏ ‎цифровых ‎инструментов‏ ‎не ‎просто‏ ‎проникает‏ ‎на ‎устройства‏ ‎Android; ‎она ‎настраивает ‎работу, ‎позволяет‏ ‎расслабиться ‎за‏ ‎бокалом‏ ‎мартини ‎и ‎приступить‏ ‎к ‎работе‏ ‎по ‎извлечению ‎всевозможной ‎полезной‏ ‎информации.‏ ‎Информация ‎о‏ ‎системных ‎устройствах,‏ ‎данные ‎о ‎коммерческих ‎приложениях ‎и,‏ ‎о,‏ ‎давайте ‎не‏ ‎будем ‎забывать‏ ‎о ‎важных ‎военных ‎приложениях. ‎Потому‏ ‎что‏ ‎зачем‏ ‎гоняться ‎за‏ ‎скучными ‎повседневными‏ ‎данными, ‎когда‏ ‎можно‏ ‎погрузиться ‎в‏ ‎военные ‎секреты?

Программа ‎Chisel ‎не ‎просто‏ ‎собирает ‎данные,‏ ‎она‏ ‎их ‎систематизирует. ‎Подобно‏ ‎ценителю ‎изысканных‏ ‎вин, ‎она ‎отбирает ‎только‏ ‎самую‏ ‎изысканную ‎информацию‏ ‎для ‎отправки‏ ‎ее ‎создателям. ‎Информация ‎об ‎устройстве‏ ‎системы?‏ ‎Да. ‎Данные‏ ‎о ‎коммерческом‏ ‎применении? ‎Конечно. ‎Военные ‎секреты, ‎которые‏ ‎потенциально‏ ‎могут‏ ‎изменить ‎ход‏ ‎международных ‎отношений?‏ ‎Дайте-два. ‎Это‏ ‎не‏ ‎просто ‎кража,‏ ‎это ‎форма ‎искусства.

В ‎мире, ‎где‏ ‎цифровые ‎угрозы‏ ‎актуальны‏ ‎как ‎никогда ‎Chisel‏ ‎напоминает ‎нам‏ ‎о ‎том, ‎что ‎некоторые‏ ‎вредоносные‏ ‎программы ‎нацелены‏ ‎на ‎доминирование,‏ ‎в ‎особых ‎изощрённых ‎формах. ‎Ура,‏ ‎авторы‏ ‎Chisel, ‎вы‏ ‎действительно ‎подняли‏ ‎планку ‎для ‎всех ‎в ‎мире.


Подробный‏ ‎разбор


Обновления проекта

Метки

overkillsecurity 142 overkillsecuritypdf 52 news 47 keypoints 38 nsa 26 fbi 25 adapt tactics 11 Living Off the Land 11 LOTL 11 unpacking 10 vulnerability 9 cyber security 8 Digest 8 edge routers 8 Essential Eight Maturity Model 8 malware 8 Maturity Model 8 Monthly Digest 8 research 8 ubiquiti 8 IoT 7 lolbin 7 lolbins 7 Cyber Attacks 6 phishing 6 Forensics 5 Ransomware 5 soho 5 authToken 4 BYOD 4 MDM 4 OAuth 4 Energy Consumption 3 IoMT 3 medical 3 ai 2 AnonSudan 2 authentication 2 av 2 battery 2 Buffer Overflow 2 console architecture 2 cve 2 cybersecurity 2 energy 2 Google 2 incident response 2 MITM 2 mqtt 2 Passkeys 2 Retro 2 Velociraptor 2 video 2 Vintage 2 vmware 2 windows 2 1981 1 5g network research 1 8-bit 1 Ad Removal 1 Ad-Free Experience 1 ADCS 1 advisory 1 airwatch 1 AlphV 1 AMSI 1 android 1 Android15 1 announcement 1 antiPhishing 1 AntiPhishStack 1 antivirus 1 Apple 1 Atlassian 1 Attack 1 AttackGen 1 BatBadBut 1 Behavioral Analytics 1 BianLian 1 bias 1 Biocybersecurity 1 Biometric 1 bite 1 bitlocker 1 bitlocker bypass 1 Black Lotus Labs 1 blackberry 1 blizzard 1 botnet 1 Browser Data Theft 1 BucketLoot 1 CellularSecurity 1 checkpoint 1 china 1 chisel 1 cisa 1 CloudSecurity 1 CloudStorage 1 content 1 content category 1 cpu 1 Credential Dumping 1 CVE-2023-22518 1 CVE-2023-35080 1 CVE-2023-38043 1 CVE-2023-38543 1 CVE-2024-0204 1 CVE-2024-21111 1 CVE-2024-21345 1 cve-2024-21447 1 CVE-2024-24919 1 CVE-2024-26218 1 cve-2024-27129 1 cve-2024-27130 1 cve-2024-27131 1 cve-2024-3400 1 cvss 1 cyber operations 1 Cyber Toufan Al-Aqsa 1 cyberops 1 D-Link 1 dark pink apt 1 data leakage 1 dcrat 1 Demoscene 1 DevSecOps 1 Dex 1 disassembler 1 DOS 1 e8mm 1 EDR 1 Embedded systems 1 Employee Training 1 EntraID 1 ESC8 1 Event ID 4663 1 Event ID 4688 1 Event ID 5145 1 Evilginx 1 EvilLsassTwin 1 Facebook 1 FBI IC3 1 FIDO2 1 filewave 1 Firebase 1 Firmware 1 Fortra's GoAnywhere MFT 1 france 1 FraudDetection 1 fuxnet 1 fuzzer 1 game console 1 gamification 1 GeminiNanoAI 1 genzai 1 go 1 GoogleIO2024 1 GooglePlayProtect 1 GoPhish 1 gpu 1 ICS 1 ICSpector 1 IDA 1 IncidentResponse 1 Industrial Control Systems 1 jazzer 1 jetbrains 1 jvm 1 KASLR 1 KillNet 1 LeftOverLocals 1 Leviathan 1 lg smart tv 1 lockbit 1 LSASS 1 m-trends 1 Machine Learning Integration 1 Mallox 1 MalPurifier 1 mandiant 1 MediHunt 1 Meta Pixel 1 ML 1 mobile network analysis 1 mobileiron 1 nes 1 nexus 1 NGO 1 Nim 1 Nimfilt 1 NtQueryInformationThread 1 OFGB 1 oracle 1 paid content 1 panos 1 Passwordless 1 Phishing Resilience 1 PingFederate 1 Platform Lock-in Tool 1 PlayIntegrityAPI 1 PlayStation 1 playstation 2 1 playstation 3 1 plc 1 podcast 1 Privilege Escalation 1 ps2 1 ps3 1 PulseVPN 1 qcsuper 1 qemu 1 qualcomm diag protocol 1 radio frame capture 1 Raytracing 1 Real-time Attack Detection 1 Red Team 1 Registry Modification 1 Risk Mitigation 1 RiskManagement 1 rodrigo copetti 1 rooted android devices 1 Router 1 rust 1 Sagemcom 1 sandworm 1 ScamCallDetection 1 security 1 Security Awareness 1 session hijacking 1 SharpADWS 1 SharpTerminator 1 shellcode 1 SIEM 1 Siemens 1 skimming 1 Smart Devices 1 snes 1 SSO 1 stack overflow 1 TA427 1 TA547 1 TDDP 1 telecom security 1 Telegram 1 telerik 1 TeleTracker 1 TEMP.Periscope 1 Terminator 1 Think Tanks 1 Threat 1 threat intelligence 1 threat intelligence analysis 1 Threat Simulation 1 tool 1 toolkit 1 tp-link 1 UK 1 UserManagerEoP 1 uta0218 1 virtualbox 1 VPN 1 vu 1 wargame 1 Web Authentication 1 WebAuthn 1 webos 1 What2Log 1 Windows 11 1 Windows Kernel 1 Windstream 1 women 1 WSUS 1 wt-2024-0004 1 wt-2024-0005 1 wt-2024-0006 1 xbox 1 xbox 360 1 xbox original 1 xss 1 Yubico 1 Z80A 1 ZX Spectrum 1 Больше тегов

Фильтры

Подарить подписку

Будет создан код, который позволит адресату получить бесплатный для него доступ на определённый уровень подписки.

Оплата за этого пользователя будет списываться с вашей карты вплоть до отмены подписки. Код может быть показан на экране или отправлен по почте вместе с инструкцией.

Будет создан код, который позволит адресату получить сумму на баланс.

Разово будет списана указанная сумма и зачислена на баланс пользователя, воспользовавшегося данным промокодом.

Добавить карту
0/2048