2022 júliusában, Shakeeb Ahmed – aki korábban egy neves nemzetközi technológiai vállalatnál látott el senior biztonsági mérnöki feladatokat, és kimagaslóan jártas volt a blokklánc-auditok terén, valamint az intelligens szerződések dekódolásában –, az Egyesült Államokban hároméves börtönbüntetésre ítélték. Az ítéletet 2023 decemberében hozták meg, miután Ahmed beismerő vallomást tett egy számítógépes csalással kapcsolatos vádpontban.

Az Amerikai Igazságügyi Minisztérium (DoJ) szerint Ahmed bűncselekményei során egy biztonsági rést használt ki egy meg nem nevezett kriptotőzsdén. Ezt a biztonsági rést felhasználva manipulált az intelligens szerződésekben szereplő árazási adatokkal, ezzel mesterségesen felfújva a tranzakciós díjakat, és így több millió dollár értékben szerezve jogtalan hasznot, amelyet később sikeresen felvett.

Emellett Ahmed tárgyalásokat kezdeményezett a cégvezetéssel, és beleegyezett, hogy visszafizeti a jogtalanul megszerzett összegek nagy részét, 1,5 millió dollárt kivéve, amennyiben a tőzsde hajlandó nem értesíteni a hatóságokat a történtekről. A CoinDesk hírügynökség beszámolója szerint egy névtelen támadó több mint 8 millió dollár értékű kriptovalutát adott vissza a Solana-alapú Crema Finance kriptotőzsdének, miközben 1,68 millió dollárt megtartott „fehér kalapos” jutalomként.

Továbbá, Ahmed egy másik támadást is végrehajtott a Nirvana Finance nevű decentralizált kriptotőzsde ellen, ahonnan 3,6 millió dollárt sikkasztott el, ami a tőzsde végleges bezárásához vezetett.

A megszerzett összegeket Ahmed kriptovalutákon keresztüli áthidaló hálózatok használatával tisztította meg, és a zsákmányt Moneróvá alakította át, olyan mixerek használatával, mint a Samourai Whirlpool.

A hároméves szabadságvesztés mellett Ahmedet további három év felügyelet melletti szabadlábra helyezésre ítélték, továbbá kötelezték, hogy fizesse meg a kártérítést, amely több mint 5 millió dollárt tesz ki, valamint köteles visszafizetni a körülbelül 12,3 millió dollár értékű jogtalanul megszerzett összeget.

Forrás: www.thehackernews.com

Az Inferno Drainer, egy leállított bűnözői hálózat, 2022 és 2023 között egy év alatt több mint 16 ezer kártékony domain nevet hozott létre. A Group-IB, szingapúri központú cég szerint a banda “kifinomult adathalász oldalakon keresztül csábította be a gyanútlan felhasználókat, hogy kriptovaluta tárcáikat egy, a támadók által létrehozott infrastruktúrához csatlakoztassák. Ez az infrastruktúra Web3 protokollokat másolt, ezzel megtévesztve az áldozatokat, hogy tranzakciókat hajtsanak végre” – áll a The Hacker News által közölt jelentésükben.

Az Inferno Drainer 2022 novemberétől 2023 novemberéig tevékenykedett, ezen időszak alatt több mint 87 millió dollárnyi törvénytelen hasznot realizált, 137 ezer áldozat átverésével. Ez a kártevő része volt egy szélesebb körben elérhető, hasonló jellegű szolgáltatásoknak, melyeket a csalók egy “csalás, mint szolgáltatás” (vagy “drainer, mint szolgáltatás”) modellben kínáltak, a profitjuk 20%-os részesedése ellenében.

Az Inferno Drainer ügyfelei választhattak, hogy a malware-t saját adathalász oldalaikra töltik fel, vagy kihasználják a fejlesztők szolgáltatásait az adathalász oldalak készítésére és tárolására, néhány esetben díjmentesen, máskor a lopott javak 30%-ának ellenértékében.

A Group-IB értesülései szerint a tevékenység több mint 100 kriptovaluta márkát utánzott speciálisan kialakított oldalakon, amelyek több mint 16 ezer egyedi domainen kerültek tárolásra. Ezek közül 500 domain elemzése felfedte, hogy a JavaScript alapú kártevő kezdetben egy GitHub tárházban (kuzdaz.github[.]io/seaport/seaport.js) helyezkedett el, mielőtt közvetlenül az oldalakba integrálták volna. A “kuzdaz” felhasználó jelenleg nem aktív.

Ugyanígy, további 350 oldal foglalt magába egy “coinbase-wallet-sdk.js” nevű JavaScript fá

jlt, amit egy másik GitHub tárházban, a “kasrlorcian.github[.]io”-n tároltak. Ezek az oldalak különböző platformokon, mint például a Discord és az X (korábban Twitter) kerültek terjesztésre, ahol vonzó ajánlatokkal, mint ingyen tokenek (airdropok) csalogatták a lehetséges áldozatokat, hogy rákattintsanak. Az volt a céljuk, hogy meggyőzzék őket tárcáik csatlakoztatására, amit követően, a tranzakciók jóváhagyása után, a felhasználók eszközeit sikeresen kiszipolyozták.

A seaport.js, coinbase.js és wallet-connect.js fájlok felhasználásával szándékuk az volt, hogy népszerű Web3 protokolloknak, mint a Seaport, a WalletConnect és a Coinbase álcájába bújjanak, így végrehajtva a jogosulatlan tranzakciókat. Az első ilyen szkripteket tartalmazó weboldal 2023. május 15-én került napvilágra.

“Az Inferno Drainerhez köthető adathalász oldalak egyik jellemzője az volt, hogy a látogatók nem tudták megtekinteni a weboldal forráskódját sem a gyorsbillentyűk, sem az egér jobb gombjának használatával” – emelte ki Viacheslav Shevchenko, a Group-IB elemzője. “Ez arra utal, hogy a csalók igyekeztek elrejteni scriptjeiket és törvénytelen tevékenységüket az áldozataik elől.”

Érdemes megjegyezni, hogy a Google tulajdonában lévő Mandiant X fiókja a hónapban kompromittálódott, és linkeket osztott meg egy olyan adathalász oldalra, amely a CLINKSINK nevű kriptovaluta-elvonót tárolta.

“Bár az Inferno Drainer tevékenysége már megszűnt, jelentősége 2023-ban hangsúlyozta a kriptovaluta-tulajdonosok számára fennálló jelentős kockázatokat, mivel a drainer típusú kártevők további fejlesztés alatt állnak” – hangoztatta Andrey Kolmakov, a Group-IB High-Tech Crime Investigation Department vezetője.

Forrás:https://thehackernews.com

A Mustang Panda Hackerek Célpontjai a Fülöp-szigeteki Kormány Között Feszülő Dél-kínai-tengeri Feszültségek Közepette

Az izraeli felsőoktatási és technológiai szektorokat célozták meg a pusztító jellegű kibertámadások, amelyek 2023 januárjában kezdődtek azzal a szándékkal, hogy ismeretlen törlő kártevőket telepítsenek.

A Palo Alto Networks Unit 42 a három kampányt 2023 augusztusában az ellenséges kollektívának tulajdonította, elsősorban a Dél-Csendes-óceáni szervezeteket megcélzó kampányokra összpontosítva.

“A kampányok legitim szoftvereket használtak fel, többek között a Solid PDF Creator-t és a SmadavProtect-et (egy indonéz alapú antivírus megoldást), hogy rosszindulatú fájlokat töltsenek fel,” mondta a cég.

“A fenyegetés szerzői kreatívan konfigurálták a kártékony szoftvert, hogy az legitim Microsoft forgalmat szimuláljon a parancs-és-vezérlés (C2) kapcsolatokhoz.” A Mustang Panda, amelyet Bronz Előlnök, Camaro Sárkány, Föld Preta, RedDelta és Állami Taurus néven is követnek, egy kínai fejlett állandó fenyegetést (APT) jelent, amely legalább 2012 óta aktív, kiberspionázs kampányokat szervez nem kormányzati szervezetek (NGO-k) és kormányzati testületek ellen Észak-Amerikában, Európában és Ázsiában.

2023 szeptemberének végén a Unit 42 szintén az említett fenyegető szereplőt tette felelőssé egy név nélküli délkelet-ázsiai kormány ellen irányuló támadásokért, amelyek a TONESHELL nevű hátsó ajtó egy változatát terjesztették.

A legújabb kampányok dárda-phishing e-maileket használnak rosszindulatú ZIP archívum fájl szállítására, amely egy rosszindulatú dinamikus kapcsolódó könyvtárat (DLL) tartalmaz, amelyet egy DLL oldalbetöltési technikával indítanak el. A DLL ezután kapcsolatot létesít egy távoli szerverrel.

Úgy értékelték, hogy a Fülöp-szigeteki kormányzati entitás valószínűleg egy ötnapos időszak alatt, 2023. augusztus 10. és 15. között került kompromittálásra.

A SmadavProtect használata ismert taktika, amelyet a Mustang Panda az elmúlt hónapokban alkalmazott, kifejezetten a biztonsági megoldás kijátszására tervezett kártékony szoftvereket telepítve. “Állami Taurus továbbra is bizonyítja képességét az állandó kiberspionázs műveletek végrehajtására, mint az egyik legaktívabb kínai APT,” mondták a kutatók.

“Ezek a műveletek globálisan különböző entitásokat céloznak meg, amelyek összhangban vannak a kínai kormány geopolitikai érdeklődési körével.”

A felfedezés azzal egyidőben történik, hogy egy dél-koreai APT szereplőt, a Higaisa nevűt fedeztek fel, amely kínai felhasználókat céloz meg, ismert szoftveralkalmazásokat utánzó adathalász weboldalakon keresztül, mint például az OpenVPN.

“Egyszer végrehajtva, a telepítő Rust alapú kártékony szoftvert telepít és futtat a rendszeren, ezután aktiválva egy shellcode-ot,” mondta a Cyble a múlt hónap végén. “A shellcode anti-debugging és dekódoló műveleteket hajt végre. Ezt követően titkosított parancs-és-vezérlés (C&C) kommunikációt létesít egy távoli Fenyegető Szereplő (TA) felé.”