ВПО — это… Что такое ВПО? — Значение слова

Впо — это… что такое впо? — значение слова

Атака на госсектор

Начало года выдалось жарким – мы завершили расследование серии кибератак на российские органы власти. Выяснилось, что злоумышленники использовали три основных вектора для проникновения в инфраструктуру жертвы:

1. Таргетированные фишинговые рассылки. Старый добрый фишинг в арсенале как хакеров-любителей, так и профессионалов. Главное, хорошо подготовиться и изучить жертву.

2. Эксплуатацияуязвимостей веб-приложений, опубликованных в интернете. Во многих инфраструктурах встречаются известные уязвимости веб-приложений, эксплойты для которых хакеры находят в открытом доступе или приобретают в даркнете.  Это сильно упрощает жизнь злоумышленникам: не нужно искать ошибки на периметре жертвы, тратить на это время и деньги, да и особые профессиональные навыки для этого не сильно нужны.

3. Взлом инфраструктуры подрядных организаций (Trusted Relationship). Чаще всего такие атаки реализуют хакеры с высокой квалификацией. Взлом подрядчика позволяет проникнуть в инфраструктуру основной жертвы и долго там «сидеть», собирая ценные данные. Особая «удача», если подрядчик имеет привилегированную учетную запись в корпоративной сети своего заказчика!  У киберхулиганов все попроще (запустить шифровальщика в надежде на выкуп, подменить реквизиты и т.п.).

Впо formbook stealer

Последнее время мы стали замечать в инфраструктуре заказчиков заражение стилером Formbook. Кстати, его разработчики отошли от идеи продажи готового ВПО. Между злоумышленниками данный вредонос распространяется по модели Software-as-a-Service с 2022 года.

Он способен на:

Чаще всего Formbook попадает на систему жертвы через фишинг в виде запакованного в архив исполняемого файла. В последнее время ВПО рассылается в очередной .net оболочке. Код оболочки обфусцирован, основная сборка называется ErrorMessa. Первым делом происходит расшифрование и запуск еще одной .net сборки ConfigNodeType. Зашифрованная сборка ConfigNodeType выглядит так:

Точка входа ConfigNodeType выглядит так:

ConfigNodeType находит среди ресурсов ErrorMessa пиксельное изображение RuntimeWrappedExcepti, извлекает и расшифровывает еще одну сборку SinkProvider:

SinkProvider расшифровывает очередную промежуточную сборку, которая содержит ресурс htCFq (зашифрованный Formbook), после чего расшифровывает конечную полезную нагрузку. После этого Formbook запускается с помощью process hollowing в легитимный процесс RegSvcs.exe. Точка входа Formbook:

И снова glupteba

В начале этого года мы расследовали инцидент заражения одной из организаций вредоносом семейства Glupteba. ВПО незаметно находилось в инфраструктуре жертвы более двух лет и все это время успешно выполняло свои функции. При этом наличие антивируса никак не препятствовало работе малвари.

Мы уже сталкивались с Glupteba, но в этот раз обратили внимание на множество новых модулей. А это значит, что вредонос постоянно дорабатывается разработчиками. По нашим оценкам, более 3% отечественных организаций скомпрометированы Glupteba.

Особенности ВПО:

Кому для чего подойдет впо 209

В сухом остатке карабин ВПО 209 — это отличное надежное оружие, подходящее и для охоты, и для спорта. Самое главное — что он доступно по “зеленой” лицензии, и его можно смело рекомендовать в качестве первого оружия новичкам. 

Это все тот же универсальный, точный, убойный и практичный “калаш”, которому найдется применение и на стрельбище, и на охоте!

Ну а если вы убежденный охотник с традиционными взглядами, и считаете что лучший карабин на зверя должен быть классической болтовкой — то рекомендуем вам обратить внимание на ВПО 215 “Горностай”, о котором у нас тоже есть статья.

Справочная статья основана на экспертном мнении автора

Конструкция впо 209

ВПО-209 сделан на основе модифицированной версии автомата Калашникова, и по  всем техническим характеристикам он полностью соответствует армейской версии АКМ. Различия заключаются лишь в замене нарезного ствола на ствол в Ланкастере или Парадоксе, и переработке УСМ для исключения ведения автоогня. Вот его характеристики:

Все узлы управления идентичны оригинальным, в прикладе даже имеется “фирменный” пенал с принадлежностями для ухода за оружием.

Автоматика оружия работает за счет нерегулируемуего бокового газового поршня — проверенная временем и надежная схема, которая хорошо перезаряжает даже патроны с гуляющей навеской пороха, что весьма кстати, учитывая качество имеющихся боеприпасов.

Затвор повортный, запирание канала ствола на 2 боевых упора — стандарт для всего АК-оружия. Переводчик огня имеет 3 положения, но в обоих боевых положениях включает одиночный огонь в соответствии с российским законодательством.

Прицельные приспособления стандартные, целик имеет разметку до 1000 метров, имеется возможность установки на ствольную коробку боковой планки для прицельных приспособлений. Также очень популярна замена верхней накладки цевья на полимерную с планкой для прицельных, в таком положении удобно устанавливать коллиматорные прицелы.

Кстати о тюнинге — на впо 209 подходит большинство элементов обвеса от любого оружия на платформе автомата Калашникова, так что вы сможете переделать эргономику оружия под себя, и поставить любые улучшения на свой вкус.

Криптомайнер lemon duck

Lemon Duck – это наиболее популярный модульный ботнет, с которым наши эксперты регулярно сталкивались c начала этого года. Основная его деятельность заключается в майнинге криптовалюты с помощью XMRig-майнеров как на процессорах, так и на графических картах.

У ботнета множество техник распространения:

— RDP BlueKeep (CVE-2022-0708);

— SMBGhost (CVE-2020-0796);

— LNK exploit (CVE-2022-8464);

-EternalBlue (CVE-2022-0144);

-Apache Hadoop YARN (без номера, 8088/tcp);

-Web Logic (CVE-2020-14882, порт 7001/tcp);

— ElasticSearch 1.4.0/1.4.2 RCE (CVE-2022-1427, порт 9200/tcp);

— Apache Solr (CVE-2022-0193, порт 8983/tcp);

-NoSQL базы данных Redis (порты 6379/tcp и 16379/tcp);

-эксплойт для Apache Hadoop YARN (порт 8088/tcp YARN ResourceManager WebUI);

-брутфорс SSH;

— ElasticSearch 1.4.0/1.4.2 RCE (CVE-2022-1427, порт 9200/tcp);

-Apache Solr (CVE-2022-0193, порт 8983/tcp);

Причем в последних версиях криптомайнер стал опаснее, так как у него появился функционал для удаленного управления системой. Это приводит к установке бэкдора (RAT), краже данных, а также загрузке ВПО Ramnit.

Индикаторы активности Lemon Duck

Из-за постоянной эволюции ВПО часть из представленных индикаторов может стать неактуальной, но мы постарались выбрать те, что встречаются чаще всего:

1. Форматы имен:

2. Порт-индикатор заражения: 65529/tcp

Сетевой модуль Lemon Duck перед заражением очередного хоста проверяет, прослушивается ли данный порт. Если прослушивается, то хост считается зараженным и пропускается.

3. Характерные имена задач планировщика заданий Windows:

Особенности

Как и любое другое оружие, ВПО 209 имеет ряд особенностей, которые трудно записать в однозначные недостатки, однако они вызывают поводы для придирок.

Поскольку оружие изготавливается из болванок, находившихся на хранении довольно большое количество времени, деревянные приклад и цевье имеют не самый презентабельный вид, и пахнут тем самым “армейским” запахом. Плюс это или минус — решать вам, в любом случае при желании они легко заменяются на недорогие полимерные версии, или на различный спортивный и тактический обвес.

Также у оружия есть некоторые проблемы с подачей патронов из штатного магазина. Так как в комплекте идут стандартные “калашовские” магазины, рассчитаные на бутылконосую гильзу, иногда патрон .366 ТКМ утыкается при подаче, особенно при снаряжении магазина под завязку. Это решается решается легкой доработкой магазина, но стоит иметь эту особенность в виду.

Отрывок, характеризующий впо

Капитан, про которого говорил капрал, почасту и подолгу беседовал с Пьером и оказывал ему всякого рода снисхождения.

– Vois tu, St. Thomas, qu’il me disait l’autre jour: Kiril c’est un homme qui a de l’instruction, qui parle francais; c’est un seigneur russe, qui a eu des malheurs, mais c’est un homme. Et il s’y entend le… S’il demande quelque chose, qu’il me dise, il n’y a pas de refus.

Quand on a fait ses etudes, voyez vous, on aime l’instruction et les gens comme il faut. C’est pour vous, que je dis cela, monsieur Kiril. Dans l’affaire de l’autre jour si ce n’etait grace a vous, ca aurait fini mal. [Вот, клянусь святым Фомою, он мне говорил однажды:

Кирил – это человек образованный, говорит по французски; это русский барин, с которым случилось несчастие, но он человек. Он знает толк… Если ему что нужно, отказа нет. Когда учился кой чему, то любишь просвещение и людей благовоспитанных. Это я про вас говорю, господин Кирил. Намедни, если бы не вы, то худо бы кончилось.]

И, поболтав еще несколько времени, капрал ушел. (Дело, случившееся намедни, о котором упоминал капрал, была драка между пленными и французами, в которой Пьеру удалось усмирить своих товарищей.) Несколько человек пленных слушали разговор Пьера с капралом и тотчас же стали спрашивать, что он сказал.

В то время как Пьер рассказывал своим товарищам то, что капрал сказал о выступлении, к двери балагана подошел худощавый, желтый и оборванный французский солдат. Быстрым и робким движением приподняв пальцы ко лбу в знак поклона, он обратился к Пьеру и спросил его, в этом ли балагане солдат Platoche, которому он отдал шить рубаху.

Парадокс или ланкастер?

ВПО 209 выпускается в двух модификациях: со сверловкой стволов Ланкастер и Парадокс. О том, какой вариант лучше, ведутся ожесточенные споры. Не будем подливать масла в огонь, скажем лишь о том, что оружие со стволом Ланкастер официально допущено к соревнованием по практической стрельбе в одном классе с нарезными карабинами, поэтому это популярный выбор для начинающих спортсменов без стажа на нарезное.

В остальном, особой разницы между ними нет, кроме, собственно разной конструкции: в варианте Парадокса нарезано 140мм ствола у дульного среза, а ствол в Ланкастере имеет овально-винтовальные нарезы по всей длине. Внешний диаметр ствола в обоих версиях совершенно одинаков.

Результаты отстрела на хронометре (фото Молот-Оружие) 

Группы попаданий при отстреле на 50м. (фото Молот-Оружие) 

Результаты отстрела на кучность на 50м. (фото Молот-Оружие) 

По стрелковым характеристикам версии дают небольшие отличия в кучности на разных типах боеприпасов, например на 50 метров боеприпасы с пулей FMJ, SP-13 и Кион показали лучшую кучность с Парадоксом, а Дэри и ЭКО — с Ланкастером. Но в целом кучность находится в равных границах, поэтому однозначного фаворита выделить трудно.

Плюсы и минусы впо 209

Теперь о плюсах и минусах оружия.

Плюсы:

Минусы:

• 
  Это оружие полностью идентично автомату Калашникова — если это не первый ваш калашоид, или вы вообще не любите оружие на АК-платформе — то восторга не испытаете;

• 
  Большой вес для ходовой охоты — если вы планируете исключительно охотиться, то будем честны — есть куда более подходящее для этого оружие, более легкое и прикладистое;

• 
  Сильное падение пули после дистанции 200 метров — на больших дистанциях все оружие в Ланкастере и Парадоксе стреляет как миномет, по очень крутой траектории. Охота или беглая стрельба на границе предельной дистанции требует быстрого выставления поправок с большим шагом, что не всегда удобно;

• 
  Сильная отдача и подброс — калибр 7,62х39 имел избыточную энергетику для оружия габаритов АК, а патрон .366ТКМ имеет еще большую. Приготовьтесь к тому что ВПО 209 порядочно лягается;

• 
  Дорогой боеприпас в сравнении с нарезным оружием — опять же, в сравнении с 7,62х39, патрон .366 ТКМ втрое дороже. Для охоты это не существенно, но по карману спортсмена такая цена ударит ощутимо — за тренировку приходится отстрелять 200-300 патронов. Некоторые стрелки пытаются решить эту проблему перезаряжая патроны — к счастью, в продаже для этого есть все, от гильз до пулелеек.

Пути распространения впо

Уязвимость microsoft и hafnium

В марте 2021 года Microsoft опубликовала информацию об атаке на американские организации китайской группировкой HAFNIUM с использованием 0-day-уязвимостей Microsoft Exchange. Сразу после этого мы начали отмечать возросшую активность злоумышленников на сети ханипотов «Ростелеком-Солар». Результаты технических расследований позволили понять, как работали злоумышленники.

Итак, эксплуатация 0-day-уязвимостей позволила им не только обойти процесс аутентификации, но и произвести удаленный запуск произвольного кода от имени системы. В качестве полезной нагрузки они загружали на сервер два веб-шелла: один – для загрузки на сервер произвольных файлов, второй – для запуска команд через cmd.exe:

Также в инструментарий злоумышленников входила кастомная сборка утилиты Mimikatz:

Кстати, мы до сих пор фиксируем массовые сканирования и попытки их эксплуатации на наших ханипотах. Подробнее о технических аспектах обнаружения злоумышленников и наличия уязвимостей мы писали в этой статье.

Вместо заключения

Как видите, часть обнаруженных с начала года вредоносов была известна и раньше, но в своих новых итерациях демонстрирует очевидную эволюцию. Это касается не только способов обхода средств защиты, но и способности перестраивать функционал, подключая дополнительные модули.

Логика работы ВПО становится сложнее, но в то же время растет популярность вредоносов, которые распространяются по схеме Software-as-a-Service. Очевидно, что модель SaaS приведет к снижению требований к технической подготовке злоумышленников, так как все сложности в реализации и настройке ВПО на себя будут брать разработчики.

Словом, покой нам только снится. Но надеемся, что, как бы ни усложняли киберпреступники свои инструменты, на каждого хитрого хакера найдется свой болт с резьбой ИБэшник.