1 pontos por GN⁺ 2023-10-02 | 1 comentários | Compartilhar no WhatsApp
  • Funcionários de uma empresa aeroespacial espanhola foram contatados no LinkedIn pelo Lazarus, disfarçado de recrutador da Meta, e a invasão inicial ocorreu quando eles executaram em dispositivos corporativos arquivos que pareciam ser testes de seleção
  • A tarefa maliciosa foi entregue como Quiz1.exe e Quiz2.exe; após imprimir “Hello, World!” e a sequência de Fibonacci, ela acionava a instalação de payloads adicionais dentro de uma imagem ISO
  • Após a invasão, NickelLoader, miniBlindingCan e um novo RAT chamado LightlessCan foram distribuídos via DLL sideloading, e a ESET atribuiu a atividade ao Lazarus, relacionada à Operation DreamJob, com alto grau de confiança
  • O LightlessCan parece ser um sucessor do BlindingCan e imita internamente no RAT funcionalidades de comandos do Windows como ipconfig, net, ping, systeminfo e sc, reduzindo vestígios de execução no console
  • O objetivo do ataque era ciberespionagem; a incorporação de comandos e as proteções de execução para que a descriptografia ocorresse apenas nos equipamentos das vítimas tornaram a detecção em tempo real e a análise forense posterior mais difíceis

Invasão inicial iniciada com isca de recrutamento no LinkedIn

  • O Lazarus contatou vários funcionários de uma empresa aeroespacial espanhola por meio do LinkedIn Messaging
    • O atacante se passou por recrutador da Meta, empresa controladora do Facebook, Instagram e WhatsApp
    • Usou como pretexto uma exigência para comprovar habilidades de programação em C++ como parte do processo seletivo
  • A vítima baixou Quiz1.iso e Quiz2.iso, hospedados em um armazenamento em nuvem de terceiros, e executou os arquivos contidos neles em um dispositivo corporativo
    • Quiz1.exe: disfarçado como uma tarefa simples que imprime “Hello, World!”
    • Quiz2.exe: disfarçado como uma tarefa que imprime a sequência de Fibonacci até o maior elemento menor que o valor de entrada
    • Os dois executáveis tratavam entrada e saída como aplicações de console legítimas e depois iniciavam a instalação de payloads maliciosos adicionais
  • O primeiro payload é um downloader HTTP(S) que a ESET chamou de NickelLoader
    • O NickelLoader permite distribuir, na memória do computador da vítima, programas escolhidos pelo atacante

Evidências de atribuição ao Lazarus e Operation DreamJob

  • A ESET atribuiu esse ataque na Espanha ao Lazarus, em especial a atividades relacionadas à Operation DreamJob, com alto grau de confiança
  • O malware, a infraestrutura e os alvos se sobrepõem a campanhas anteriores do Lazarus
    • A técnica de abordar pelo LinkedIn e induzir a execução de arquivos maliciosos disfarçados de teste de seleção é uma tática usada pelo Lazarus desde a Operation DreamJob
    • Foi observada uma nova variante de um loader intermediário e de um backdoor da família BlindingCan identificados no caso da Holanda em 2022
    • As ferramentas usavam criptografia AES-128 e RC6 com chave de 256 bits, método também usado em uma campanha com tema da Amazon
  • Em vez de construir diretamente servidores C&C de primeiro estágio, o atacante comprometeu e usou sites existentes com segurança fraca ou manutenção negligenciada
  • O roubo de know-how de empresas aeroespaciais se alinha aos objetivos de longo prazo do Lazarus
    • Relatórios da ONU tratam de ataques de grupos APT ligados à Coreia do Norte contra empresas aeroespaciais para acessar tecnologias sensíveis e conhecimento aeroespacial

Conjunto de ferramentas pós-invasão

  • Após a execução do NickelLoader, o atacante distribuiu dois tipos de RAT nos sistemas das vítimas
    • miniBlindingCan: variante com funcionalidades reduzidas do backdoor BlindingCan, conhecido como ferramenta do Lazarus
    • LightlessCan: novo RAT que ainda não havia sido documentado publicamente
  • A cadeia de execução é composta por várias etapas com diferentes níveis de complexidade, com droppers e loaders posicionados antes da execução final do RAT
    • O dropper contém payloads embutidos e pode carregá-los e executá-los diretamente da memória, mesmo sem gravá-los no sistema de arquivos
    • O loader carrega payloads a partir do sistema de arquivos sem arrays criptografados embutidos
  • A maior parte dos arquivos principais usa uma estrutura de DLL sideloading, na qual executáveis legítimos carregam DLLs maliciosas
    • PresentationHost.exe + mscoree.dll: baseado no NppyPluginDll trojanizado, entrega o NickelLoader
    • colorcpl.exe + colorui.dll: baseado no LibreSSL 2.6.5, entrega o miniBlindingCan
    • fixmapi.exe + mapistub.dll: baseado no Lua plugin 1.4.0.0 para Notepad++, entrega o LightlessCan
    • tabcal.exe + HID.dll: baseado no MZC8051 3.2 para Notepad++, entrega o LightlessCan

Principais características do LightlessCan

  • O LightlessCan parece ser um sucessor do BlindingCan, RAT HTTP(S) do Lazarus, e a versão atual tem número interno 1.0
  • Ele é configurado para suportar até 68 comandos; na versão atual, 43 deles têm funcionalidade implementada
    • Os demais comandos existem como placeholders, mas não têm funcionalidade real
    • A ordem dos comandos compartilhados foi amplamente preservada, sugerindo que ele se baseia no código-fonte do BlindingCan
  • A maior mudança é a forma como ele imita, dentro do próprio RAT, as funcionalidades de vários comandos nativos do Windows
    • Exemplos de comandos implementados incluem ipconfig, net, netsh advfirewall, netstat, ping, reg, sc, tasklist, wmic process call create, nslookup, schtasks, systeminfo, arp, mkdir, entre outros
    • Em ataques anteriores do Lazarus, houve casos em que esses comandos eram executados várias vezes no console depois que o atacante obtinha uma posição no sistema
    • A abordagem atual processa tudo dentro do RAT, sem executar visivelmente os utilitários de console originais, dificultando a detecção por monitoramento em tempo real, como EDR, e por ferramentas de perícia digital posterior
  • A ESET considera provável que os desenvolvedores do LightlessCan tenham feito engenharia reversa de binários de código fechado para imitar utilitários essenciais do Windows
    • O projeto Wine também contém implementações de vários programas, mas algumas funcionalidades imitadas pelo LightlessCan diferem das implementações do Wine ou não existiam nele

Cadeia de invasão do NickelLoader

  • O NickelLoader é um downloader HTTP(S) executado no sistema infectado e usado para entregar payloads posteriores do Lazarus
  • Quando a vítima executa manualmente o arquivo de quiz, PresentationHost.exe é iniciado automaticamente, e a mscoree.dll maliciosa no mesmo caminho C:\ProgramShared\ é carregada via sideloading
    • mscoree.dll é uma versão trojanizada de NppyPluginDll.dll, do projeto General Python Plugins DLL for Notepad++, desativado em 2011
    • Ela contém os exports da mscoree.dll legítima e os exports da NppyPluginDll.dll original; o código malicioso está no export CorExitProcess
  • A descriptografia do array criptografado embutido exige três palavras-chave de 16 caracteres
    • Nome do processo pai PresentationHost
    • Parâmetro interno hardcoded no binário 9zCnQP6o78753qg8
    • Parâmetro externo passado pela linha de comando ‑embeddingObject
    • As três palavras-chave são combinadas com XOR byte a byte para criar a chave de descriptografia AES-128
  • O NickelLoader reconhece quatro comandos de 5 caracteres
    • abcde: solicita imediatamente o próximo comando, sem o atraso longo de sleep usual
    • avdrq: carrega a DLL recebida no buffer e executa o export hardcoded info
    • gabnc: carrega a DLL recebida no buffer
    • dcrqv: encerra a si mesmo
  • A ESET batizou esse payload de NickelLoader porque a estrutura de comandos de 5 caracteres remeteu ao nickel, apelido da moeda americana de 5 centavos

Cadeia de execução do miniBlindingCan

  • Um dos payloads baixados e executados pelo NickelLoader é o miniBlindingCan
    • Trata-se de uma versão simplificada do RAT BlindingCan, relatada pela primeira vez pela Mandiant em setembro de 2022 sob o nome AIRDRY.V2
  • O carregamento usa o colorcpl.exe legítimo e a colorui.dll maliciosa, executados a partir de C:\ProgramData\Adobe\
    • colorui.dll é uma DLL maliciosa de 64 bits ofuscada com VMProtect
    • Ela contém milhares de exports, e LaunchColorCpl trata da execução da próxima etapa
  • O dropper usa recursos de evasão de análise no início da execução
    • Realiza anti-debugging verificando o valor BeingDebugged na estrutura PEB
    • Usa técnicas anti-sandbox para evitar detecção em ambientes de sandbox
    • Verifica explicitamente se o processo pai é colorcpl.exe; caso contrário, encerra imediatamente
  • Para descriptografar o payload final, usa-se como chave XOR uma string longa formada pela concatenação do nome do processo pai, do nome do arquivo do dropper e de um parâmetro externo de linha de comando
    • Um exemplo de string resultante é COLORCPL.EXECOLORUI.DLL669498484488D3F22712CC5BACA6B7A7
  • O miniBlindingCan tem lógica de processamento de comandos semelhante à do BlindingCan, mas com funcionalidade bastante reduzida
    • Ele suporta envio de informações do sistema, atualização do intervalo de comunicação, envio e atualização de configuração, download e descriptografia de arquivos e execução de shellcode entregue
    • A configuração descriptografada tem 9.392 bytes e inclui cinco URLs com tamanho máximo de 260 wide characters

Cadeia simples de execução do LightlessCan

  • A cadeia simples do LightlessCan usa o fixmapi.exe legítimo e a mapistub.dll maliciosa, executados a partir de C:\ProgramData\Oracle\Java\
  • mapistub.dll é uma DLL trojanizada do Lua plugin 1.4 para Notepad++
    • Os exports da mapi32.dll legítima do Windows foram copiados
    • O export FixMAPI é responsável pela descriptografia e pelo carregamento da etapa seguinte
    • Outros exports foram preenchidos com código legítimo do projeto de exemplo público MineSweeper
  • Esse dropper tem persistência configurada por meio de tarefa agendada
    • A ESET afirmou que há poucos detalhes sobre essa tarefa, mas que o processo pai parece ser %WINDOWS%\system32\svchost.exe -k netsvcs -p -s Schedule
  • Três palavras-chave são usadas para descriptografar os dados embutidos
    • Nome do processo pai fixmapi.exe
    • Parâmetro interno IP7pdINfE9uMz63n
    • Parâmetro externo de linha de comando AudioEndpointBuilder
    • As palavras-chave são combinadas por XOR byte a byte, e o resultado se torna uma chave AES de 128 bits

Cadeia complexa do LightlessCan e proteções de execução

  • A cadeia mais complexa do LightlessCan passa por uma aplicação legítima, um dropper inicial, um dropper completo, um dropper intermediário, um arquivo de configuração, um arquivo de informações do sistema, um loader intermediário e, por fim, o RAT LightlessCan
  • O dropper inicial é a HID.dll maliciosa carregada por sideloading pelo tabcal.exe legítimo, executado a partir de C:\ProgramData\Adobe\ARM\
    • HID.dll é uma versão trojanizada de MZC8051.dll, do projeto 8051 C compiler plugin para Notepad++
    • O export HidD_GetHidGuid é responsável por dropar a próxima etapa
  • A primeira etapa de descriptografia exige três palavras-chave
    • Nome do processo pai tabcal.exe
    • Parâmetro interno 9zCnQP6o78753qg8
    • Conteúdo do arquivo %WINDOWS%\system32\thumbs.db, LocalServiceNetworkRestricted
    • Os três valores são combinados por XOR para criar uma chave AES de 128 bits
  • O dropper completo gerado possui um recurso InternalName chamado AppResolver.dll e inclui dois arrays de dados criptografados
    • Inclui um array pequeno de 126 bytes e um array grande de 1.807.464 bytes
    • O array pequeno é descriptografado com RC6 usando uma chave de 256 bits e produz os caminhos C:\windows\system32\oci.dll e C:\windows\system32\grpedit.dat
    • O resultado da descriptografia do array grande inclui o LightlessCan, o dropper intermediário e um arquivo de configuração criptografado de 14.948 bytes dropado em %WINDOWS%\System32\wlansvc.cpl
  • O dropper completo armazena várias características que identificam o sistema infectado em %WINDOWS%\System32\4F59FB87DF2F
    • Os valores vêm principalmente do caminho de registro Computer\HKLM\HARDWARE\DESCRIPTION\System\BIOS
    • Incluem SystemBIOSDate, SystemBIOSVersion, SystemManufacturer, SystemProductName e valores Identifier sob o controlador de disco
    • A string concatenada desses valores é necessária para descriptografar o grpedit.dat criptografado no sistema de arquivos
  • Essa estrutura funciona como proteções de execução
    • Ela faz com que os payloads sejam descriptografados apenas no computador da vítima pretendida, dificultando a descriptografia em outros equipamentos usados por pesquisadores de segurança

Evasão de detecção e impacto na análise

  • O LightlessCan pode reduzir significativamente os vestígios de execução de programas de linha de comando do Windows usados com frequência nas etapas pós-ataque
    • Substitui funcionalidades de comandos por implementações internas, evitando a execução dos utilitários de console originais
    • Reduz vestígios observáveis em logs de histórico de comandos e na detecção em tempo real
  • Diversas técnicas de evasão de defesa são combinadas ao longo da cadeia de ataque
    • DLL sideloading
    • Ofuscação com VMProtect
    • Resolução dinâmica de APIs do Windows
    • Payloads embutidos
    • Injeção reflexiva de DLL
    • Injeção de processo
    • Evasão de depuradores e sandboxes
    • Ferramentas e configurações criptografadas no sistema de arquivos
  • A comunicação C&C também foi projetada para dificultar análise e detecção
    • LightlessCan e miniBlindingCan se comunicam com o C&C usando HTTP/HTTPS
    • O tráfego C&C é criptografado com AES-128
    • A codificação do tráfego usa base64
    • O LightlessCan também possui funcionalidade de exfiltração de dados e pode enviar dados ao servidor C&C

Resumo de IoCs e MITRE ATT&CK

  • Principais IoCs de arquivos iniciais
    • C273B244EA7DFF20B1D6B1C7FD97F343201984B3: %TEMP%\7zOC35416EE\Quiz1.exe, dropper inicial disfarçado de desafio “Hello World”
    • 38736CA46D7FC9B9E5C74D192EEC26F951E45752: %TEMP%\7zOCB3CC96D\Quiz2.exe, dropper inicial disfarçado de desafio da sequência de Fibonacci
    • C136DD71F45EAEF3206BF5C03412195227D15F38: C:\ProgramShared\mscoree.dll, dropper do NickelLoader
    • E61672B23DBD03FE3B97EE469FA0895ED1F9185D: downloader HTTPS NickelLoader
  • Principais IoCs de arquivos relacionados ao LightlessCan
    • 0F33ECE7C32074520FBEA46314D7D5AB9265EC52: %ALLUSERSPROFILE%\Oracle\Java\mapistub.dll, dropper do LightlessCan
    • C7C6027ABDCED3093288AB75FAB907C598E0237D: LightlessCan dropado por mapistub.dll
    • E18B9743EC203AB49D3B57FED6DF5A99061F80E0: %ALLUSERSPROFILE%\Adobe\ARM\HID.dll, dropper inicial da cadeia complexa
    • 3007DDA05CA8C7DE85CD169F3773D43B1A009318: %WINDIR%\system32\grpedit.dat, LightlessCan dropado na cadeia complexa
    • 247C5F59CFFBAF099203F5BA3680F82A95C51E6E: %WINDIR%\system32\oci.dll, dropper intermediário
  • O C&C usa sites legítimos comprometidos
    • bug.restoroad[.]com
    • hurricanepub[.]com
    • turnscor[.]com
    • mantis.quick.net[.]pl
    • www.radiographers[.]org
    • kapata-arkeologi.kemdikbud.go[.]id
    • barsaji.com[.]mx
    • www.keewoom.co[.]kr
    • kerstpakketten.horesca-meppel[.]nl
    • kittimasszazs[.]hu
    • nrfm[.]lk
  • Pelo critério MITRE ATT&CK, há mapeamento para reconhecimento em mídias sociais, links e serviços de spearphishing, execução de arquivo malicioso pelo usuário, tarefas agendadas, DLL sideloading, proteções de execução, enfraquecimento do registro do histórico de comandos, C&C por protocolos web, canal com criptografia simétrica e exfiltração por canal C2

1 comentários

 
GN⁺ 2023-10-02
Opiniões no Hacker News
  • Invadir por meio de um desafio LeetCode para fazer em casa foi esperto
    Eu desenvolvo software para a Apple, e projetos Xcode podem ir bem fundo. A Apple até exibe um aviso ao abrir um projeto baixado, mas, se você acha que é uma tarefa para fazer em casa, acaba praticamente ignorando
    Tarefas online também podem exigir permissões complicadas, e há uma boa chance de esses alvos terem acesso bastante elevado aos ativos essenciais da empresa. Claro que ninguém usaria recursos da empresa para procurar emprego, mas, se disserem que isso acontece com certa frequência, todo mundo aqui fica sensível a isso

    • Nossa empresa também passa tarefas para candidatos fazerem em casa e, durante a entrevista, analisamos o código juntos e pedimos pequenas alterações para avaliar comunicação e capacidade técnica
      Um candidato nem conseguiu iniciar o REPL do próprio projeto e, depois de sofrer um pouco, resmungou: “devia ter usado o computador da empresa”. O fato de nem a execução mais básica funcionar no computador pessoal dele significava que ele tinha feito a tarefa no computador da empresa
    • No meu primeiro emprego em TI, vi uma mensagem de retorno de um e-mail enviado para o endereço de recrutamento de uma grande farmacêutica local
      É preciso levar em conta que, em 1996, endereços de e-mail pessoais não eram tão comuns quanto hoje, mas ainda assim foi um erro básico. Há muito tempo sigo o princípio de não fazer coisas pessoais no computador da empresa, mas essa não era uma atitude comum
    • Mesmo deixando de lado a parte moralmente ambígua, como parte de um acordo de demissão, já recebi dias inteiros de trabalho para procurar um novo emprego, algo amplamente apoiado pela gestão
    • A Apple adicionou recentemente scripts de shell em sandbox, o que parece fazer parte de um esforço para tornar as builds mais isoladas
      Não deve ser uma solução perfeita, mas seria bom poder abrir um projeto em um modo no qual todas as etapas de build sejam executadas em uma sandbox. Se falhar, é só ver o que ele estava tentando fazer
    • Ao avaliar tarefas feitas em casa, a primeira coisa que faço é abrir o arquivo de projeto do Xcode no vim para procurar algo suspeito
      Sinceramente, não acho que a maioria dos meus colegas faça uma diligência do mesmo nível
  • Fico surpreso sempre que vejo pessoas usando equipamentos da empresa atual para tarefas para fazer em casa, e-mails de headhunters e ligações de entrevista com outras empresas
    Muita gente diz que faz isso, mas não entendo. Há tantas consequências possíveis. Um gerente muito motivado chegou a usar contatos pessoais para convencer um futuro empregador a não me contratar, só porque descobriu.
    Mesmo que seja antiético ou ilegal, esse tipo de coisa acontece de verdade, inclusive em grandes empresas de tecnologia. Parece estranho imaginar alguém compartilhando voluntariamente com o empregador os detalhes da própria busca por emprego. Trabalho e vida pessoal deveriam ser separados como Igreja e Estado, na minha opinião

    • Acho bem desconfortável ver que muitos colegas não têm computador pessoal nenhum e usam apenas o notebook da empresa para tudo
      São desenvolvedores de software e têm plenas condições de comprar um notebook. O máximo que eu misturo é usar o notebook da empresa, pequeno, leve e com Bluetooth, para assistir a vídeos inofensivos no YouTube enquanto lavo a louça. Antigamente, às vezes eu também usava para imprimir algo no escritório
    • Continuar usando o dispositivo do dia a dia para uma nova tarefa quase não tem atrito, então não é nada surpreendente
      Concordo totalmente que o risco é grande e que não se deve fazer isso, mas, se as pessoas não pensam a fundo ou não ficam sempre atentas, é algo que pode acontecer facilmente
    • No mínimo, por autodefesa, se necessário dá para fazer a entrevista pelo telefone ou tablet
      Fico me perguntando por que acrescentar um risco desnecessário. Talvez gostem da adrenalina
  • A vítima recebeu um arquivo .exe com o pretexto de que precisava replicar a funcionalidade em C++? No momento em que alguém lhe envia um arquivo .exe, isso deveria ser um forte sinal de que é um ataque ou, no mínimo, de que quem enviou é tecnicamente incompetente a um nível difícil de acreditar
    Mas talvez eu pense assim por ter vivido a era do Windows 95. Parece que algumas lições precisam ser reaprendidas a cada geração

    • Com uma oferta de emprego atraente, basta ter sucesso uma única vez em uma empresa cheia de pessoas
      Não dá para saber quantas pessoas receberam um teste estranho e disseram “então não vou fazer”. Hoje em dia é bem fácil rodar aplicações em sandbox, e não fazer isso é burrice. O Sandboxie é gratuito e nem sempre garante que tudo funcione, mas poderia ter dado certo e, no mínimo, provavelmente teria tornado comportamentos estranhos mais visíveis. O Windows Pro também teve, por algum tempo, uma opção no menu de contexto para executar arquivos executáveis em sandbox
      Pelo título, no começo achei que fosse uma infecção via IDE. Há um motivo para existirem perguntas como “você confia no autor deste projeto”, e, no caso do VS Code, truques de configuração do Git podem até executar código antes do prompt
      Eu teria cuidado ao executar um programa, mas, se um recrutador enviasse uma tarefa de programação na forma de um projeto incompleto em um repositório Git, eu provavelmente clicaria no botão “permitir execução de código”. Especialmente se, em uma entrevista remota, dissessem que veriam o código em tempo real para “avaliar sua abordagem do problema”. O ataque atual é muito básico, mas não é difícil tornar a infecção inicial difícil de detectar a tempo
    • No começo, achei que esse era um ataque mais inteligente do que realmente era
      Fazer alguém baixar ou executar um arquivo executável anexado é simples, mas ainda parece eficaz. Uma forma mais maliciosa e eficaz seria apontar para um repositório no GitHub com um projeto de “tarefa” e fazer a vítima referenciar um pacote comprometido que faz o que o atacante quiser quando ela testa a própria solução
    • Quando entendi o que estavam tentando fazer, quase desejei que tentassem me enganar
      Sei que não são script kiddies comuns, mas fico curioso sobre como reagiriam se alguém tentasse contra-atacar. Se me dessem um .exe e mandassem executar, eu não executaria; abriria em um editor hexadecimal para inspecionar. Se um arquivo que afirma ser “hello world” ou um gerador de Fibonacci for muito maior do que o esperado, ou contiver dados que pareçam criptografados ou tentativas de ofuscação, eu não executo
    • Antigamente, sugeri distribuir um binário como parte de um desafio black-box
      Se você puder bloquear o código-fonte e mudar detalhes para cada candidato, soluções publicadas online não ajudam
    • Provavelmente não era um .exe, mas sim um instalador .msi ou um arquivo zip
  • Ao prestar consultoria para programas do governo, eu conscientemente não deixava meu currículo na internet
    Eu não tinha nenhum tipo de acesso que um espião pudesse usar, mas, olhando só algumas palavras-chave, poderia parecer que sim. Tipo recrutadores que mandam spam para todo mundo que aparece em buscas por palavras-chave no LinkedIn
    Eu sabia que qualquer incidente de segurança precisava ser reportado, e imaginei que contratos e renda poderiam ser interrompidos enquanto uma organização burocrática cautelosa lidasse com o incidente. Então removi meu currículo online e também tomei medidas para impedir que um ladrão aleatório roubasse por engano meu notebook de trabalho
    Agora que saí desse trabalho, estou curtindo no LinkedIn, como todo mundo, o spam de vagas do tipo Junior Python Leetcode Hazing Engineer

    • Não entendo por que estou recebendo downvote
      Em certos cargos ou setores, não divulgar publicamente o vínculo empregatício pode ser uma medida de segurança comum para evitar ataques direcionados. No mundo real, seria como agentes da CIA não saírem distribuindo cartões de visita com o carimbo da CIA no exterior
    • Isso parece uma reação exagerada
      Eu também preferiria que certas pessoas não soubessem onde trabalho, mas acho que não há problema em deixar online um currículo antigo que não mencione o emprego atual. Também pedi ao responsável de RH para garantir que meu nome nunca apareça em uma página pública de “nossa equipe”
      Como efeito colateral, acabo rindo em todo treinamento corporativo obrigatório de segurança que mostra como responder a ataques direcionados e exemplos de e-mails de phishing. Até agora, tirando testes de empresas de pentest, nunca recebi nenhum phishing direcionado
  • Que idiota faz coisas pessoais em equipamento da empresa?
    Não estou falando de pessoas pobres, mas de gente que tem dinheiro suficiente para comprar seu próprio equipamento pessoal

    • Eu faço coisas pessoais no notebook da empresa o tempo todo
      Meu computador pessoal é basicamente um aquecedor que também roda videogames, então não uso por padrão. Eu até poderia comprar um terceiro aparelho, mas posso fazer coisas melhores com esse dinheiro
      Claro, tento seguir as regras de segurança da empresa. Confio na empresa. Eu não gostaria de trabalhar para uma empresa à qual não pudesse confiar meus cookies do navegador. Na jurisdição onde moro, a lei também está do meu lado. A empresa não pode me demitir só porque fiz algo de que ela não gosta no notebook corporativo; precisa ter um motivo muito válido
    • Meu colega de apartamento não queria gastar dinheiro com um notebook pessoal, então usou o notebook de trabalho como notebook pessoal por dois anos
      Quando eu era estagiário universitário e muito mais pobre, também fiz a mesma coisa
    • Eu faço coisas pessoais no hardware da empresa, mas não coisas realmente pessoais
      Não faço login, mas curto assistir a filmes no notebook de trabalho
    • Deve ser exatamente o idiota que executa um Quiz1.exe enviado por um desconhecido na internet
    • Pode ser por necessidade
      Neste caso, a vítima trabalhava em uma empresa aeroespacial. Conheço algumas pessoas desse setor, e todas trabalham horas absurdamente longas. Além disso, como era uma empresa espanhola, talvez trabalhar mais de 10 horas por dia fosse considerado normal
  • É um pouco outro assunto, mas, se as pessoas na Coreia do Norte quase não têm acesso à internet até virarem funcionários do governo, fico me perguntando como o Lazarus/HIDDEN COBRA consegue ser um ator patrocinado por Estado tão sofisticado
    Sem acesso a pesquisa moderna de segurança, projetos open source, materiais de programação e malware real em circulação, parece difícil surgir uma geração de hackers excelentes. Talvez prendam pessoas que burlam o firewall e ofereçam a elas empregos na unidade

    • Como você sabe que eles não conseguem obter essas coisas?
      Também fico curioso sobre como você acha que hackers são treinados. Não é ensinando a criar um app de tarefas com um build noturno do React que isso acontece. Eles provavelmente sabem Ethernet e a pilha TCP/IP melhor do que as pessoas que as criaram, e conseguem recitar tudo de trás para frente; só isso já é suficiente para hackear muita coisa
    • Acho que ouvi em uma apresentação de uma agência de cibersegurança dos Países Baixos que eles treinam hackers dentro do país e depois os enviam para a China, onde atuam em lan houses, claro que sob forte vigilância
    • Talvez exista um programa para superdotados que dá todo o acesso a crianças tecnicamente talentosas de 7 anos e as transforma em hackers
    • Dizem que eles selecionam os melhores talentos desde cedo na escola e os treinam de forma intensa
      Em um país com tantas carências, como comida, eletricidade etc., é uma profissão muito cobiçada. Se quiser saber mais, ouça o podcast Lazarus Heist
    • Talvez seja mais correto presumir que eles operem a partir da China
  • Das 300 agências de trabalho temporário da minha região, só 23 têm autorização para operar legalmente como serviço, então isso não me surpreende
    Tentar autenticar quais são falsas e quais são reais é um fio que a maioria das empresas e candidatos não quer puxar
    Também existem golpes de recrutamento falsos. Eles atraem funcionários com pacotes de remuneração atraentes para tirá-los da empresa, então a concorrência extrai dados deles e os dispensa antes do fim do período de avaliação, geralmente em 6 a 10 meses. Vários agentes maliciosos também estão distribuindo PDFs infectados com promessas exageradas
    É preciso tomar cuidado, e o 86Box suporta imagens de base somente leitura e sessões, como Bochs/kvm: https://github.com/86Box/86Box/releases
    Também funciona em notebooks Apple M1, mas é lento

  • Coisas ruins assim acontecem de verdade
    Em 2019, meu notebook foi hackeado pela Wi-Fi gratuita fornecida pela matriz, e tive que trocar todas as chaves SSH

    • Fico curioso sobre o que exatamente significa “foi hackeado pela Wi-Fi gratuita da matriz”
  • “Dois executáveis maliciosos… o primeiro é um projeto Hello World… o segundo imprime a sequência de Fibonacci até o maior elemento menor que a entrada” — isso já deveria ter sido o primeiro sinal de que havia algo errado
    Se fosse a Meta, teria começado com LeetCode medium ou hard

  • A segurança deste site é fantástica
    Eles bloquearam o uso das teclas de seta para rolar o conteúdo da página. Com certeza é por causa de algum vetor de ataque desconhecido usando o teclado. Excelente