39806
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Исследователи из Лаборатории Касперского продолжают подводить итоги уходящего года и делать прогнозные оценки по угрозам на следующий, на этот раз связанным с даркнетом.
1. Как и предполагали в прошлом году исследователи, в 2024 году число сервисов, предлагающих крипторы в функционале своих коммерческих решений для обхода защитного ПО, увеличилось.
Цены на подобные инструменты остались прежними: от 100 долл. в месяц за обычные крипторы до 20 000 долл. за частные премиум-подписки. Последние постепенно вытесняют публичные предложения.
2. Продолжили развиваться сервисы распространения загрузчиков.
В даркнете фигурировали загрузчики с разной функциональностью: от массовых и дешевых до узкоспециализированных, разработанных по индивидуальным требованиям и продаваемых за тысячи долларов.
Кроме того, злоумышленники все чаще стали использовать несколько языков программирования.
Например, клиентская часть вредоносного ПО может быть разработана на C++, а серверная административная панель - на Go.
Помимо разнообразия предложений загрузчиков, также отмечен спрос на специфические инструменты, которые запускают определенные цепочки заражения.
4. В 2024 году на теневых рынках фиксировался рост активности дрейнеров, инструментов для кражи криптоактивов, таких как токены или NFT.
При этом количество уникальных тем с обсуждениями дрейнеров на подпольных рынках выросло с 55 в 2022 году до 129 в 2024 году.
Разработчики дрейнеров все больше внимания уделяют работе с постоянными клиентами, при этом основная часть деятельности ведется через каналы, доступные только по приглашению.
С функциональной точки зрения дрейнеры претерпели мало изменений, преимущественно добавлялась поддержка новых видов криптоактивов — монет, токенов и NFT.
Кроме того, в 2024 году появился первый мобильный дрейнер.
5. Схемы генерации черного трафика на подпольных рынках сохраняли свою популярность в 2024 году.
Подобные услуги активно продавались на подпольных рынках, а стабильный спрос подчеркивал эффективность распространения вредоносного ПО через популярные рекламные платформы.
6. Рынок же биткойн-миксеров и сервисов анонимизации криптовалюты существенных изменений не показал.
Как прогнозируют в ЛК, в 2025 году будут актуальны следующие тренды:
- утечки данных через подрядчиков;
- миграция преступной деятельности из Telegram на форумы даркнета;
- реализация масштабных и громких операций правоохранителей против APT-группировок;
- сервисы по распространению стилеров и дрейнеров станут еще популярнее в даркнете;
- фрагментация групп вымогателей;
- эскалация киберугроз на Ближнем Востоке: расцвет хактивизма и вымогательства.
Исследователи из Positive Technologies сообщают об обнаружении фишинговой кампании, нацеленной на сотрудников государственных организаций России и Белоруссии, за которой стоит группировка Cloud Atlas.
Группировка атакует государственные организации в России и Белоруссии уже на протяжении 10 лет.
Несмотря на то что арсенал Cloud Atlas не претерпел значительных изменений, тем не менее они продолжают экспериментировать и совершенствовать свои TTPs.
Если ранее в качестве документа-приманки Cloud Atlas, как правило, использовала тексты, связанные с текущей геополитической обстановкой, то в рамках этой кампании документы представляли собой запросы о предоставлении определенного рода информации.
Рассылка от имени Министерства связи и информатизации Республики Беларусь осуществлялась с адресов на сервисе mail ru.
Обнаруженные вредоносные документы использовали технику удаленной загрузки шаблона (Template injection).
Ссылка на вредоносный шаблон вшита в поток 1Table вредоносного документа формата DOC.
На момент проведения фишинговой кампании вредоносные документы не детектировались средствами антивирусной защиты.
При запуске вредоносного документа загружается шаблон с сервера злоумышленника officeconfirm.technoguides[.]org (на момент расследования этот сервер был уже недоступен).
Но исследователям удалось отследить результаты проверки аналогичного DOC-файла на VirusTotal: на момент загрузки образца управляющий сервер был доступен и результаты поведенческого анализа документа оказались релевантными.
В графе поведенческого анализа в песочнице C2AE был обнаружен GET-запрос к управляющему серверу, в ответ на который сервер вернул файл типа application/hta.
На зараженных узлах были обнаружены факты выполнения вредоносных VB-скриптов, записанных в альтернативные потоки данных файлов с именем AppCache***.log по пути %APPDATA%\Microsoft\Windows.
При этом VB-скрипты взаимодействовали с C2-сервером, в качестве которого использовался документ Google Sheets.
Рассматриваемый VB-скрипт отправляет данные о зараженном пользователе в документ Google Sheets по API, после чего на узле выполняется код Visual Basic, записанный в другой ячейке того же листа в зашифрованном виде.
В результате выполнения таких команд на зараженные узлы доставлялись экземпляры других инструментов группировки Cloud Atlas.
В частности, бэкдор PowerShower, выполняющий команды, полученные с C2-сервера mehafon[.]com.
Таким же образом было доставлено ВПО, использующее технику DLL Side-Loading и маскирующееся под компоненты Cisco Webex.
Легитимный уязвимый файл CiscoCollabHost.exe вызывает функцию SparkEntryPoint библиотеки CiscoSparkLauncher.dll, расположенной в той же папке. В ней же расположен файл с полезной нагрузкой.
Технические подробности, TTPs и индикаторы - в исследовании.
Исследователи Forescout и PRODAFT выкатили совместный отчет в отношении кампании, нацеленной на более чем 20 000 устройств DrayTek Vigor по всему миру.
Одной из жертв изучаемой масштабной хакерской атаки на DrayTek стало Полицейское управление Большого Манчестера, которое подверглось атаке вируса-вымогателя в сентябре прошлого года.
Как отмечают исследователи, с августа прошлого года злоумышленники тайно использовали 0-day в маршрутизаторах DrayTek для взлома устройств, кражи паролей, а затем развертывания программ-вымогателей в подключенных сетях.
Атаки были совершены группой злоумышленников, известной как Monstrous Mantis, которая, как полагают, связана с бандой вымогателей Ragnar Locker.
Злоумышленник задействовал уязвимость нулевого дня для извлечения паролей маршрутизаторов DrayTek Vigor, а затем передавал учетные данные операторам, двое из которых были идентифицированы как давние участники различных Ransomware-as-a-Service.
Избирательно делясь расшифрованными учетными данными с доверенными партнерами, Monstrous Mantis поддерживал жесткий контроль над распределением жертв и обеспечивал операционную секретность.
Они использовали эти пароли для взлома корпоративных сетей, а затем запускали такие программы-вымогатели, как RagnarLocker, Qilin, Nokoyawa или RansomHouse.
Первая партнерская группа была установлена как Ruthless Mantis (PTI-288), бывший филиал банды REvil.
Сосредоточившись преимущественно на организациях в Великобритании и Нидерландах, они успешно скомпрометировали не менее 337 организаций, доставляя Nokoyawa и Qilin.
Профиль их жертв варьировался от крупных предприятий до МСП, что подчеркивает их неизбирательную эксплуатацию уязвимых сетей для максимизации воздействия.
Второй партнер был идентифицирован как LARVA-15, известный как Wazawaka. Его операции распространялись на Великобританию, Нидерланды, Австралию, Тайвань, Италию, Польшу, Францию, Германию и Турцию.
Forescout и PRODAFT утверждают, что LARVA-15 не внедрял ransomware самостоятельно, а выступал в качестве брокера начального доступа (IAB), монетизируя свои вторжения.
При этом Forescout так и не удалось идентифицировать или связать потенциальную 0-day с известной CVE, и даже неясно, была ли она вообще когда-либо исправлена.
Исследователи предполагают, что уязвимость, по всей видимости, была нацелена на компонент прошивки маршрутизатора (mainfunction.cgi), который, как известно, содержит большой багаж накопленных уязвимостей: 22 назначенных новых записей CVE с момента выпуска Forescout отчета Dray:Break.
Причем большинство из этих недавно выявленных уязвимостей имеют общие первопричины, схожие с CVE-2020-8515, и соответствуют проблемам, которые Forescout обнаружили в исследовании DrayTek (CVE-2024-41592).
Исследователи сетуют, что сохранение подобных уязвимостей подчеркивает тревожную тенденцию: пока эти уязвимости остаются нерешенными, эксплуатация, скорее всего, продолжится не только на устройствах DrayTek, но и на других платформах.
Исследователи из Лаборатории Касперского сообщают об обнаружении новой активности Careto, одной из старейших известных APT-групп.
Результаты своего исследования ЛК представила в рамках доклада на 34-й международной конференции Virus Bulletin (запись презентации можно - здесь).
Также известная как The Mask, группа впервые была замечена в 2007 году и, как предполагается, действует с позиции одной из испаноязычной стран.
В числе основных целей APT - известные правительственные организации, дипучреждения и научно-исследовательские институты. The Mask задействует достаточно сложные импланты, часто доставляемые через 0-day эксплойты.
Вновь выявленные кампании были нацелены на организацию в Латинской Америке, отметившись необычными методами заражения и сложным многокомпонентным вредоносным ПО.
Каким образом эта организация была скомпрометирована, установить не удалось, известно, что в ходе заражения злоумышленники получили доступ к ее почтовому серверу MDaemon, который использовался для поддержания устойчивости с помощью уникального метода.
Метод сохранения, используемый злоумышленником, был основан на WorldClient, позволяющем загружать расширения, которые обрабатывают пользовательские HTTP-запросы от клиентов к серверу электронной почты.
Для задействования WorldClient в целях персистентности, злоумышленник скомпилировал собственное расширение и настроил его, добавив вредоносные записи для параметров CgiBase6 и CgiFile6.
Таким образом, злоумышленник смог взаимодействовать с вредоносным расширением, отправляя HTTP-запросы на URL https://<имя домена веб-почтового сервера>/WorldClient/mailbox.
Вредоносное расширение, установленное злоумышленниками, реализовывало набор команд, связанных с разведкой, выполнением взаимодействия с файловой системой и выполнением дополнительных полезных нагрузок.
Чтобы распространиться на другие машины, злоумышленники загрузили четыре файла, а затем создали запланированные задачи с помощью одного из них - Tpm-HASCertRetr.xml.
При запуске эти запланированные задачи выполняли команды, указанные в другом файле ~dfae01202c5f0dba42.cmd, который в свою очередь устанавливал драйвер hmpalert.sys и настраивал его на загрузку при запуске.
Одной из функций драйвера hmpalert.sys является загрузка DLL HitmanPro. Поскольку этот драйвер не проверяет легитимность загружаемых им DLL, злоумышленники смогли разместить свои полезные DLL по этому пути.
Полезная нагрузка, содержащаяся во вредоносной библиотеке hmpalert.dll, оказалась ранее неизвестным имплантом, который получил название FakeHMP.
Его возможности включали извлечение файлов из системы, регистрацию нажатий клавиш, создание снимков экрана и развертывание дополнительных полезных нагрузок на зараженных машинах.
При этом дальнейший анализ показал, что организация-жертва также была скомпрометирована в ходе APT-атаки еще и в 2019 году. Более ранняя атака включала использование двух вредоносных фреймворков Careto2 и Goreto.
Технические подробности наблюдавшихся кампаний 2019 и 2022-2024 гг., особенности атрибуции и ссылки на доклады с конфы - в отчете.
Ранее в ноябре мы сообщали об обнаружении BlackBerry кампании кибершпионажа, нацеленной на ВМС Пакистана, в ходе которой использовались вредоносные PDF для сбора учетных данных и развертывания вредоносного ПО (один из штаммов Sync-Scheduler).
На тот момент BlackBerry не смогла атрибутировать атаки к конкретному субъекту, однако последующий анализ исследователей DomainTools выявил значительные совпадения в TTPs и устремлениях с индийской APT, известной как SloppyLemming (aka OUTRIDER TIGER).
Группа, в первую очередь, нацелена на Пакистан, уделяя особое внимание таким целям, как правительственный сектор и оборона.
SloppyLemming часто использует свой собственный инструмент регистрации учетных данных CloudPhish на доменах Cloudflare Worker для компрометации учетных данных электронной почты целевых лиц.
Одним из почтовых клиентов, на которые нацеливался CloudPhish, как раз и быле мы сообщалитот самый почтовый клиент, упомянутый во вредоносной активности, описанной в отчете BlackBerry.
SloppyLemming также использовала PDF-документы для сбора учетных данных и доставки вредоносного ПО.
Правда, как отмечают в DomainTools, заключения о причастности SloppyLemming к атакам на ВМС Пакистана имеют низкую степень уверенности. Также не исключается версия, что за кампанией может стоять подгруппа указанной APT.
Исследователи из Elastic Security обнаружили новый вредоносный руткит для Linux под названием Pumakit, который обеспечивает скрытность и поддерживает продвинутые методы повышения привилегий для сокрытия своего присутствия в системах.
Вредоносное ПО представляет собой многокомпонентный набор, включающий в себя дроппер, исполняемые в памяти файлы, руткит модуля ядра и пользовательского пространства общего объекта (SO).
Задетектить находку исследователям удалось 4 сентября 2024 года в подозрительной двоичной загрузке («cron») на VirusTotal, кто ее использует и на что она нацелена пока не известно.
Pumakit реализует многоступенчатый процесс заражения, начинающийся с дроппера под названием cron, который выполняет встроенные полезные нагрузки (/memfd:tgt и /memfd:wpn) полностью из памяти.
Полезная нагрузка /memfd:wpn, которая выполняется в дочернем процессе, выполняет проверки среды и манипуляции с образом ядра и в конечном итоге развертывает модуль руткита LKM (puma.ko) в ядре системы.
В руткит LKM встроен Kitsune SO (lib64/libs.so), действующий как пользовательский руткит, который внедряется в процессы, используя LD_PRELOAD для перехвата системных вызовов на уровне пользователя.
Руткит выполняет условную активацию, проверяя определенные символы ядра, статус безопасной загрузки и другие предварительные условия перед загрузкой.
Elastic полагает, что Puma использует функцию kallsyms_lookup_name() для манипулирования поведением системы.
В отличие от современных руткитов, нацеленных на версии ядра 5.7 и выше, руткит не использует kprobes, что указывает на то, что он предназначен для старых ядер.
Puma перехватывает 18 системных вызовов и несколько функций ядра с помощью ftrace, чтобы получить повышение привилегий, выполнение команд и возможность скрывать процессы.
Функции ядра prepare_creds и commit_creds используются для изменения учетных данных процесса, предоставляя привилегии root определенным процессам.
Руткит может скрывать свое присутствие от журналов ядра, системных инструментов и антивирусов, а также может скрывать определенные файлы в каталоге и объекты из списков процессов.
Если перехваты прерываются, руткит повторно инициализирует их, гарантируя, что его вредоносные изменения не будут отменены, а модуль не сможет быть выгружен.
Пользовательский руткит Kitsune SO работает в синергии с Puma, распространяя свои механизмы скрытности и контроля на взаимодействия с пользователем.
Он перехватывает системные вызовы на уровне пользователя и изменяет поведение таких функций, как ls, ps, netstat, top, htop и cat, чтобы скрыть файлы, процессы и сетевые соединения, связанные с руткитом.
Он также способен динамически скрывать любые другие файлы и каталоги на основе критериев, определенных злоумышленником, и обеспечивать сокрытие вредоносных двоичных файлов от пользователей и системных администраторов.
Kitsune SO также обрабатывает все коммуникации с C2, передавая команды руткиту LKM и передавая конфигурацию и системную информацию операторам.
Помимо хэшей файлов, Elastic Security опубликовала правила YARA, которые помогут обнаруживать атаки Pumakit.
Исследователи Zscaler сообщают о возвращении вредоносного ПО ZLoader с новой версией и возможностями.
ZLoader, также известный как Terdot, DELoader или Silent Night, - это загрузчик вредоносного ПО, оснащенный возможностью развертывания полезных нагрузок следующего этапа.
Реализуемые кампании, распространяющие вредоносное ПО, были замечены впервые за почти два года в сентябре 2023 года после того, как его инфраструктура была отключена.
Исследователи обнаружили, что обновленный ZLoader использует DNS-туннелирование для сокрытия C2-коммуникаци, что свидетельствует о том, что злоумышленники продолжают совершенствовать инструмент после его повторного появления год назад.
Помимо этого Zloader 2.9.4.0 добавляет и другие заметные улучшения, включая интерактивную оболочку, которая поддерживает более дюжины команд, что может быть полезно для атак с использованием ransomware.
Выявленные модификации обеспечивают дополнительные уровни устойчивости к обнаружению и смягчению последствий.
Вредоносная программа не только использует различные методы противодействия попыткам анализа, но и задействует алгоритм генерации доменов DGA, предпринимая меры по уклонению от запуска на хостах, отличных от хостов исходного заражения по аналогии с трояном Zeus.
В последние месяцы распространение ZLoader все чаще связывают с атаками Black Basta, при этом злоумышленники внедряют вредоносное ПО с помощью подключений к удаленному рабочему столу, устанавливаемых под видом устранения неполадок в рамках технической поддержки.
Исследователи задетектили также и дополнительный компонент в цепочке атак, который сначала включает развертывание полезной нагрузки под названием GhostSocks, которая затем используется для сброса ZLoader.
Методы антианализа Zloader, такие как проверки среды и алгоритмы разрешения импорта API, продолжают обновляться, чтобы обходить вредоносные песочницы и статические сигнатуры.
Новая функция, представленная в последней версии вредоносного ПО, представляет собой интерактивную оболочку, которая позволяет оператору выполнять произвольные двоичные файлы, библиотеки DLL и шелл-код, извлекать данные и завершать процессы.
Хотя Zloader продолжает использовать HTTPS с запросами POST в качестве основного канала связи C2, он также оснащен функцией туннелирования DNS для упрощения зашифрованного сетевого трафика TLS с использованием пакетов DNS.
Замеченные методы распространения Zloader и новый канал связи DNS-туннелирования указывают на то, что его операторы все больше внимания уделяет уклонению от обнаружения, продолжая добавлять новый функционал, выступая эффективным «поставщиком» первоначального доступа для программ-вымогателей.
Уязвимости в плагинах Hunk Companion и WP Query Console используются хакерами для взлома сайтов WordPress.
По данным WPScan, злоумышленники задействовали две уязвимости в плагинах, чтобы реализовать постоянный бэкдор-доступ к уязвимым веб-сайтам.
Hunk Companion, плагин для разработки сайтов, обеспечивающий функциональность WordPress ThemeHunk, уязвим к CVE‑2024‑9707, которая имеет оценку CVSS 9,8 и позволяет неаутентифицированным злоумышленникам устанавливать и активировать произвольные плагины, которые могут быть использованы для RCE, если установлен и активирован другой уязвимый плагин.
Исправления для уязвимости были изначально включены в версию Hunk Companion 1.8.5, выпущенную в октябре, однако, как сообщает WPScan, оно оказалось неэффективным, в связи с чем версия 1.8.7 также оказалась уязвимой.
Новый патч был выпущен 10 декабря в рамках Hunk Companion 1.9.0. Согласно данным WordPress, примерно 90% из 10 000 установок плагина, по всей видимости, продолжают работать на непатченной версии.
Так что только за последние сутки Defiance, заблокировала более 56 000 атак, нацеленных на уязвимость Hunk Companion.
WPScan обнаружила, что злоумышленники используют уязвимые экземпляры Hunk Companion для установки и активации WP Query Console - плагина для тестирования запросов WordPress, который не обновлялся последние семь лет и подвержен RCE-уязвимости.
Она отслеживается как CVE-2024-50498 (оценка CVSS 9,8) и описывается как дефект внедрения кода, который влияет на все версии WP Query Console. Плагин был закрыт 21 октября, за неделю до того, как уязвимость была публично раскрыта.
Ошибка позволяет злоумышленнику выполнять команды на целевом веб-сайте, что может использоваться для получения бэкдор-доступа и последующего полного контроля над веб-сайтом.
Статистика WordPress показывает, что, хотя плагин был закрыт в октябре, с конца ноября его загружали сотни раз, что указывает на его активное задействование в кампании по массовой эксплуатации.
Пользователям Hunk Companion рекомендуется обновить свои установки до версии 1.9.0 как можно скорее. Кроме того, следует проверять сайты на наличие признаков вторжений, включая установку WP Query Console или других плагинов.
Повесть о том, как Лю Фэй поссорился с Бао Лянем.
Китайская QiAnXin вдруг обнаружила новый сложный бэкдор под названием Glutton, который, по-видимому, разрабатывался и задействовался в интересах APT. При этом в течение года он оставался незамеченным.
Опуская все технические детали Glutton, с которыми при желании можно подробно ознакомиться в отчете на китайском, наиболее важным аспектом исследования QiAnXin является его атрибуция к арсеналу Winnti.
Пусть даже и со средней степенью достоверности, но хочется спросить: вы серьезно?
Подкатил декабрьский PatchTuesday от Microsoft с исправлениями для 71 уязвимости, включая 1 эксплуатируемую 0-day.
Всего текущий патч закрывает 16 критических ошибок, все из которых связаны с удаленным выполнением кода.
Общее распределение по категориям выглядит следующим образом: 27 - EoP, 30 - RCE, 7 - раскрытие информации, 5 - DoS и 1 - спуфинг.
Раскрыта одна активно эксплуатируемая 0-day, которая отслеживается как CVE-2024-49138 и была обнаружена исследователями CrowdStrike.
Уязвимость затрагивает драйвер файловой системы Windows Common Log и позволяет злоумышленникам получить привилегии SYSTEM на устройствах Windows.
Информация о том, как уязвимость использовалась при атаках, не разглашается, но как известно, ранее уязвимости в CLFS активно пользовались бандами вымогателей.
Полное описание каждой уязвимости и систем, которые она затрагивает - здесь.
Помимо Microsoft в патчи за декабрь также выкатили: Adobe, SAP, Atlassian, Intel, AMD, Schneider Electric, Siemens, Kubernetes, Splunk и Cobalt Strike.
При этом у Ivanti опять не обошлось без исправлений CVE максимальной степени серьезности.
Также ранее свои обновления безопасности выпустили: Android Project, Fortinet, SonicWall, Cisco, Zyxel, ASUS, Rockwell, JetBrains, SolarWinds, SailPoint, QNAP и Veeam.
По всей видимости, на горизонте новый сопоставимый с MOVEit масштабный инцидент, связанный с атаками банды вымогателей Termite, которые нацелены на 0-day в решениях для передачи файлов Cleo.
По данным Huntress Labs, кампания началась 3 декабря и затронула к настоящему времени уже не менее десяти организаций.
Termite эксплуатирует ошибку, изначально исправленную в конце октября, которой подвержены продукты Cleo: Harmony, LexiCom и VLTrader.
Ошибка отслеживается как CVE-2024-50623 и представляет собой уязвимость неограниченной загрузки и скачивания файлов, которая может привести к RCE-атакам.
По мнению Huntress, исправление не было реализовано должным образом, а злоумышленники используют уязвимость для загрузки веб-шеллов на уязвимые продукты с целью кражи данных и скрытого перемещения внутри взломанных сетей.
В настоящее время неясно, использует ли банда Termite свою ransomware в отношении взломанных организаций или же просто крадет данные для будущего вымогательства.
Поставщик подтвердил новые атаки и заявил, что работает над новым патчем.
В виду того, что новый эксплойт задействует функцию автозапуска для выполнения части вредоносного кода, Cleo посоветовала пользователям отключить ее, пока не будет доступен патч.
По данным Shodan, в настоящее время более 500 продуктов Cleo находятся в сети и уязвимы для волны атак Termite.
Что же касается самой группы - это новичок в области ramsonware.
Банда начала свою деятельность в течение последнего месяца и уже зарекомендовала себя благодаря недавней атаки на атаке на разработчика ПО BlueYonder, обслуживающего интересы крупных компаний, включая Sainsbury's, Morrisons, Starbucks и др.
При этом, отмечают в Huntress Labs, до атаки Blue Yonder имела открытый в Интернете продукт Cleo, который, вероятно, и мог привести хакеров в сеть.
Но будем посмотреть.
Исследователи из Лаборатории Касперского продолжают «подводить итоги» уходящего 2024 года, уделяя внимание в новом отчете под названием История года мерам по повышению устойчивости цепочек поставок и защиты от потенциальных глобальных сбоев.
Суровым напоминанием о критических рисках, создаваемых глобальными сбоями в ИТ-системах и слабостями цепочек поставок, стал инцидент с CrowdStrike, который стал одним из крупнейших в истории и затронул около 8,5 миллионов систем по всему миру.
Как верно отмечают вм отчете масштабные кризисы в сфере безопасности представляют одну из самых актуальных угроз во всем мире, а значит крайне важно анализировать прошлые события и возникающий угрозы, разрабатывать стратегии предотвращения будущих инцидентов.
В этой связи, ресерчеры Лаборатории Касперского вернулись к наиболее знаковым инцидентам 2024 года, включая сбой CrowdStrike Linux, бэкдор в XZ, целевую атаку на пейджеры на Ближнем Востоке, масштабную атаку с Polyfill.io, утечку Cisco Duo, regreSSHion в OpenSSH и эксплуатацию критических CVE в решениях Fortinet.
Помимо оценки того, что случилось, в ЛК также попытались ответить, почему это важно, а также понять, какие сценарии могут привести к более разрушительным последствиям. Но главное - как можно снизить риски, связанные с цепочками поставок.
Потенциальные сценарии, риски и рекомендации - отчете. Настоятельно рекомендуем.
Продолжаем знакомить с последними трендовыми уязвимостями и связанными с ними угрозами:
1. Тайваньский производитель QNAP выпустил обновления безопасности для исправления 10 уязвимостей QTS и QuTS Hero.
Многие из них были обнаружены в рамках недавнего хакерского поединка Pwn2Own Ireland 2024.
Благодаря дырам в продуктах QNAP участники тогда смогли заработали десятки тысяч долларов, а одна из заявок и вовсе принесла хакерам 100 000 долларов и включала в себя цепочку уязвимостей не только устройств QNAP, но и устройств TrueNAS.
QNAP не упоминает об эксплуатации какой-либо из этих уязвимостей в реальных условиях, но пользователям следует обновить свои экземпляры как можно скорее, поскольку уязвимые устройства QNAP в прошлом достаточно часто подвергались атакам.
2. Тайваньская ASUS также выпустила обновление безопасности для некоторых своих маршрутизаторов RT-AX.
3. JetBrains анонсировала 13 патчей для платформы TeamCity, особо не раскрывая суть проблем.
4. Исследователи Nozomi обнаружили 10 уязвимостей в сетевой библиотеке с открытым исходным кодом Mongoose.
Все они могут быть реализованы путем отправки вредоносных пакетов TLS на устройства с запущенной библиотекой. Большинство уязвимостей можно использовать для вызова сбоя или постоянных перезагрузок.
Несмотря на выпуск исправлений, уязвимости, вероятно, сохранятся на долгие годы, поскольку библиотека обычно используется с IoT и промышленным оборудованием, которое не всегда своевременно получает обновления.
5. Исследователи Positive Technologies также порадовали отчетом, на этот раз разработав новую атаку, которая задействует стандарт SD Express для получения доступа к памяти устройства через его устройство чтения SD-карт.
Атака, получившая название DaMAgeCard, обусловлена тем, что новый стандарт SD Express может работать как в режиме SDIO, так и как устройство PCIe/NVMe, обеспечивая прямой доступ к памяти.
Исследователи полагают, что этот доступ может быть использован с помощью вредоносных карт SD Express, изготовленных на заказ, подключенных к целевому устройству.
Обнаруженная критическая уязвимость в OpenWrt подвергла пользователей риску установки вредоносных образов прошивки, фактически делая сервер обновления уязвимым для злонамеренной эксплуатации.
CVE-2024-54143 имеет CVSS v4: 9,3 и затрагивает функцию OpenWrt Attended Sysupgrade (ASU), которая используется для создания пользовательских образов прошивки по запросу.
Проект OpenWrt - это популярная альтернативная операционка с открытым исходным кодом на базе Linux, разработанная для встраиваемых устройств, в частности сетевых устройств, включая маршрутизаторы, точки доступа и другое оборудование IoT.
Уязвимость внедрения команд и усечения хэша была обнаружена исследователем Flatt Security (RyotaK) во время планового обновления маршрутизатора в домашней лаборатории.
Проблема была исправлена в течение нескольких часов после раскрытия.
OpenWrt включает в себя службу ASU, которая позволяет пользователям создавать собственные сборки прошивки по запросу, включающие ранее установленные пакеты и настройки, обновляя устройство до новой прошивки и сохраняя пакеты и настройки.
RyotaK обнаружил, что служба sysupgrade.openwrt.org обрабатывает входные данные с помощью команд, выполняемых в контейнеризированной среде.
Уязвимость в механизме обработки ввода, возникающая из-за небезопасного использования команды make в коде сервера, позволяет вводить произвольные команды через имена пакетов.
Другая проблема, обнаруженная RyotaK, заключалась в том, что сервис использует 12-символьный усеченный хэш SHA-256 для кэширования артефактов сборки, ограничивая хэш всего 48 битами.
Исследователь объясняет, что это делает возможным перебор коллизий, позволяя злоумышленнику создать запрос, который повторно использует ключ кэша, найденный в легитимных сборках прошивки.
Объединив две проблемы и применив инструмент Hashcat на видеокарте RTX 4090, RyotaK продемонстрировал возможность модификации артефактов прошивки для доставки вредоносных сборок ничего не подозревающим пользователям.
В свою очередь, команда OpenWrt в срочном порядке отреагировала на частный отчет, отключив на три часа службу sysupgrade.openwrt.org 4 декабря 2024 года для применения исправлений.
В OpenWrt полагают, что вряд ли кто-либо смог воспользовался уязвимостью CVE-2024-54143, при этом никаких доказательств того, что эта уязвимость затронула образы с downloads.openwrt.org, также не получено.
Несмотря на это, проблема существует уже некоторое время, поэтому всем пользователям следует предпринять рекомендуемые OpenWrt меры из соображений предосторожности.
Mandiant представила новый метод обхода изоляции браузера с помощью QR-кодов, позволяющий передавать команды с серверов C2 на скомпрометированные устройства.
Коммуникации C2 часто реализуются посредством HTTP, импланты запрашивают команды с сервера C2, выполняют их и отправляют результаты обратно.
Однако системы изоляции браузера усложняют этот процесс, поскольку транслируют только визуальное содержимое веб-страниц на локальные устройства, не давая имплантам декодировать оригинальные ответы HTTP.
Исследователи Mandiant разработали технологию обхода изоляции браузера путем внедрения данных C2 в QR-код, отображаемый на легитимной веб-странице.
Вредоносный имплант использует headless-браузер для рендеринга страницы, делает снимок экрана и декодирует QR-код для извлечения данных, обеспечивая связь с контролируемым злоумышленником сервером.
Воспользовавшись преимуществами машиночитаемых QR-кодов, злоумышленник может отправлять данные с контролируемого злоумышленником сервера на вредоносный имплант, даже если веб-страница отображается в удаленном браузере.
Кроме того, исследователи Mandiant разработали экспериментальный имплант, использующий Puppeteer и Google Chrome в автономном режиме, чтобы продемонстрировать свою новую технологию C2.
Свой имплант они интегрировали в PoC с функцией External C2 Cobalt Strike, что позволяет использовать эту технологию в сочетании с популярным инструментом постэксплуатации.
В результате тестов работоспособность метода была доказана, но вскрылись и некоторые недостатки, которые в совокупности значительно снижают практическую эффективность метода.
Безусловно, схема с C2 на основе QR-кода от Mandiant имеет низкую пропускную способность, но все же представляет реальную опасность, если такую реализую не купировать должным образом, в связи с чем администраторам в критических средах рекомендуется отслеживать аномальный трафик и браузеры headless, работающие в автоматическом режиме.
Листая новостную ленту случайно наткнулся на исследование 🇮🇷Иранской компании Sepehr Amn Parsin, появившееся в декабре 2024. Спецы провели технический анализ по истории со взрывами пейджеров в Ливане.
Компания سپهر امن (Сепехр Амн) из Тегерана основана в 2020 году и специализируется на вопросах в области кибербезопасности.
Автор исследования — доктор Реза Кешаварз (Reza Keshavarz), специалист с докторской степенью в области кибербезопасности.
👨🔬Иранские специалисты пришли к следующим выводам:
🔻С большой долей вероятности внедрение взрывчатки произошло на этапе производства. Вторым чуть менее вероятным является сценарий supply chain attack.
🔻Взрывчатка была заложена в батареи или электронные компоненты пейджера — транзисторы, микросхемы. Нет однозначного ответа на этот вопрос. Компоненты могли быть связаны с миниатюрными детонаторами, активируемыми через управляющий сигнал. Упоминается возможность использования транзисторов как триггеров для подачи электрического импульса.
🔻 В тексте нет явно чётких доказательств того, что именно этот радиосигнал или конкретный протокол (POCSAG или любой другой) был использован для инициирования взрыва, но в теории, пейджер с встроенным взрывным механизмом дожидался определённого стандартного (но заранее известного) сигнала POCSAG (нет шифрования) — внешне не вызывающего подозрений сообщения. Сообщение формировало в схеме предсказуемый электрический "паттерн", который и служил непосредственным триггером для срабатывания детонатора.
🔻Отсутствие IP-адресов исключает возможность удалённого вмешательства через стандартные методы кибератак.
🔻Версия о том, что атака через радиоэлектронное оборудование, например, самолёт EC-130H Compass Call маловероятна. Для активации взрывчатки через радиосигнал необходимо точное совпадение частоты и структуры протокола. Для успешной активации всех пейджеров нужно знать точные частоты всех устройств. Для успешной активации всех пейджеров одновременно самолёт должен был знать точные частоты всех устройств. Одновременно передавать сигналы на разные частоты крайне сложно технически. В протоколе PoCSAG сообщения отправляются на устройства с уникальным идентификатором (например, RIC — Radio Identification Code). Compass Call не может просто "заполнить эфир" сигналами, так как для активации устройства нужен точный RIC-код каждого пейджера.
🔻Версия о том, что в устройствах могли быть заранее встроены таймеры, синхронизированные для детонации в определённый момент маловероятна, так как синхронизация большой партии устройств чрезвычайно сложна в своем техническом исполнении.
👆Исследование рассматривает наиболее вероятные сценарии, но не претендует на истину.
✋ @Russian_OSINT
Исследователи F.A.С.С.T. в новом отчете подводят итоги 2024 и прогнозируют основные тренды на 2025 год.
В целом основные показатели по условным категориям представлены следующим образом:
1. Сливы этого года: в публичном доступе появилось 259 ранее не опубликованных баз данных российских компаний (в 2023 году их было 246).
В этом году в Telegram появилось множество как закрытых, так и публичных каналов, которые публикуют ранее приватные утечки либо повторно распространяют уже опубликованную информацию.
Самой объемной «мегаутечкой» стал архив из 404 баз данных.
2. Градус жадности: число ransomware-атак выросло на 44% по сравнению с предыдущим годом.
При этом в 10% подобных инцидентов целью киберпреступников был не выкуп, а диверсия для нанесения максимального ущерба жертве.
Чаще всего задействовались шифровальщики LockBit 3 Black и Mimic (на них пришлось до 50% инцидентов), а также Babuk, LokiLocker/BlackBit и Phobos.
К уже известным Shadow, Mimic, LokiLocker/BlackBit, Proxima, HsHarada добавились новые угрозы: MorLock, Head Mare, Masque, Enmity, Proton, Sauron.
Замечены также и те, которые используют для шифрования легитимное ПО: например, группы DCHelp с программой DiskCryptor, Salted2020, использующей OpenSSL и BitLocker, и др.
Суммы первоначального выкупа за расшифровку данных в 2024 году для малого бизнеса составляли от 100 тыс. до 5 млн рублей ($1000-$50 000), а для крупных и средних компаний (каждая пятая атака вымогателей), запросы преступников начинались от 5 млн рублей ($50 000).
Отличилась Shadow, орудующая под именем Darkstar, затребовав от одной из жертв выкуп в 300 млн рублей ($3 млн). А рекорд по скорости развития атаки поставила HsHarada: от «пробива» инфраструктуры до «разлива» шифровальщика - менее трех часов.
3. Высокое давление: число APT, атакующих Россию и СНГ выросло до 27 (в 2023 году было известно о 14 группировках), а групп хактивистов - до 17 (в 2023 - 13).
Наиболее активными были проукраинские APT Sticky Werewolf, Cloud Atlas, PhantomCore, а также пока неатрибутированные к конкретной стране Core Werewolf и XDSpy.
4. Почтовый шпион: рассылка вредоносных писем остаeтся одним из самых популярных векторов атаки на российские компании, а в «начинке» фишинговых писем чаще всего встречаются шпионское ПО и стилеры, их доля составила 69%.
В первой половине 2024-го самым популярным у киберпреступников, как и в предыдущие годы, было шпионское ПО AgentTesla.
После ликвидации его инфраструктуры летом этого года в лидеры вышли FormbookFormgrabber, инструмент для кражи учетных записей и персональных данных, и загрузчик CloudEyE.
5. Ссылки в зоне ru: в 2024 году среднее число поддельных ресурсов на один бренд выросло на 28% — с 7878 до 10 112, фишинговых ссылок - с 2441 до 3714, мошеннических (скам) ресурсов — с 5437 до 6398 на бренд.
Главный вывод - масштабы киберугроз растут по всем фронтам, что отразилось и в прогнозах на 2025:
- рост количества атакующих, атак на мобильные устройства, атак с использованием ИИ и целевых атак на цепочки поставок (Trusted Relationship).
- расширение фишинговых атак на многофакторную аутентификацию (MFA).
- появление новых мошеннических схем и модификации уже известных («Мамонт»).
- архивы останутся самым популярным доставщиком вредоносной нагрузки в фишинговых письмах, но их упаковка будет меняться.
- рост доступности вредоносного ПО расширит возможности кибератак.
Разработчики Suricata сообщают выпуске версии 7.0.8 своей IDS/IPS-системы с исправлениями пяти уязвимостей, две из которых, CVE-2024-55627 и CVE-2024-55605, относятся к категории критических.
Две другие, CVE-2024-55628 и CVE-2024-55629 отнесены к высокоуровневым проблемам, и оставшаяся CVE-2024-55626 - к низкому.
Обнаружение проблем приписывается следующим исследователям: Алексей Симаков, Ной Лю, Роман Ежов (Positive Technologies), Саша Стейнбисс, Симен Либекк, Team Superflat, Земетри Камимидзу, Oss-Fuzz, Coverity.
Подробностей пока мало, будем следить.
Эпопея с 0-day в решениях Cleo VLTrader, Harmony и LexiCom, находящейся под прессом банды вымогателей Termite, получает активное развитие.
Первые атаки на полностью исправленное ПО были обнаружены Huntress еще 3 декабря.
Затем последовал бурный рост активности к 8 декабря, после того как злоумышленники быстро обнаружили обход CVE-2024-50623 (без CVE-ID), который позволял импортировать и выполнять произвольные команды bash или PowerShell, используя настройки папки автозапуска по умолчанию.
Исследователи BinaryDefense, Huntress и Rapid7 опубликовали технический анализ полезной нагрузки (Java webshell/RAT/backdoor), сброшенной на взломанные серверы передачи файлов Cleo.
Huntress отслеживает этот штамм вредоносных программ как Malichus, сообщая о ее развертываниях исключительно на устройствах Windows, но при наличии также поддержки Linux.
В свою очередь, исследователи watchTowr Labs решили подлить масла в огонь и выпустили экспериментальный PoC для нуля (CVE-2024-50623) в серверах передачи файлов Cleo.
Поставщик же к этому времени успел разобраться в сути проблем и выпустить в среду исправление (5.8.0.24).
Однако число подтвержденных жертв к этому времени уже SophosXOps/113631363563332166">возросло до 50SophosXOps/113631363563332166">, а число доступных серверов Cleo все еще достигает почти 400 экземпляров, большая часть из которых находятся в США.
Так что продолжаем следить за развитием кампании банды Termite. Конечно, не масштабы Clop - но подход определенно засчитан.
Ресерчеры Akamai выкатили отчет в отношении новой вредоносной технологии, которая задействует службу специальных возможностей Windows под названием UI Automation (UIA) для выполнения широкого спектра вредоносных действий и обхода инструментов EDR.
Для реализации метода пользователя необходимо убедить запустить программу, которая использует UI Automation. Это может привести к скрытому выполнению команд, которые могут собирать конфиденциальные данные, перенаправлять браузеры на фишинговые веб-сайты и многое другое.
Хуже того, локальные злоумышленники могут воспользоваться пробелом в безопасности для выполнения команд и чтения/записи сообщений из/в приложения обмена сообщениями, такие как Slack и WhatsApp.
Кроме того, его также можно потенциально использовать в качестве оружия для манипулирования элементами пользовательского интерфейса по сети.
Впервые появившая в Windows XP как компонент Microsoft .NET Framework, UI Automation предназначена для программного доступа к различным элементам пользовательского интерфейса (UI) и помощи пользователям в управлении ими с помощью вспомогательных технологических продуктов.
Приложения вспомогательных технологий обычно нуждаются в доступе к защищенным элементам пользовательского интерфейса системы или к другим процессам, которые могут выполняться на более высоком уровне привилегий
Поэтому приложения вспомогательных технологий должны быть доверенными для системы и должны работать с особыми привилегиями. Чтобы получить доступ к процессам более высокого IL, приложение должно установить флаг UIAccess в манифесте приложения и запускаться пользователем с правами администратора.
Взаимодействие пользовательского интерфейса с элементами других приложений достигается за счет использования модели компонентных объектов (COM) в качестве механизма межпроцессного взаимодействия (IPC).
Это позволяет создавать объекты UIA, которые можно использовать для взаимодействия с приложением путем настройки обработчика событий, который запускается при обнаружении определенных изменений пользовательского интерфейса.
Исследование Akamai показало, что такой подход также может открыть путь для злоупотреблений, позволяя злоумышленникам читать/писать сообщения, красть данные, введенные на сайтах (например, платежную информацию), и выполнять команды, которые перенаправляют жертв на вредоносные сайты.
Тем не менее, следует отметить, что каждый из вредоносных сценариев является запланированной функцией UI Automation, точно так же, как API служб специальных возможностей Android, который стал основным способом извлечения вредоносным ПО информации из взломанных устройств.
Полный обзор возможностей использования фреймворка UI Automation и PoC для каждого вектора злоупотреблений - в отчете.
Исследователи Symantec в новом отчете раскрывают подробности шпионской APT-кампаний, нацеленной на известные организации в Юго-Восточной Азии.
Кибератаки инициировались как минимум с октября 2023 года и были направлены на организации из различных секторов, включая правительственный сектор в двух разных странах, организацию по управлению воздушным движением, телекоммуникационную компанию и СМИ.
Первоначальный вектор заражения исследователям Symantec установить не удалось ни в одной из атак.
Известно, что злоумышленниками задействовались инструменты, которые ранее были замечены в арсенале китайских APT и включали как опенсоср-технологий, так и LotL.
При этом в Symantec отмечают прокси под названием Rakshasa и использование файла легального приложения (Bitdefender Crash Handler) от 2011 года для загрузки DLL. Оба инструмента ранее применялись Earth Baku (также известной как APT41, Brass Typhoon).
Полный перечень инструментария включал: Dismap, FastReverseProxy, Impacket, Infostealer, Inveigh, keylogger, NBTScan, ReverseSSH, SharpGPOAbuse, SharpNBTScan, Stowaway Proxy Tool, TightVNC, а также living off the land: PowerShell, Reg.exe и WMI.
В ходе атак был развернут PlugX (он же Korplug), троян удаленного доступа, используемый сразу несколькими китайскими хакерскими группами.
Акторы также устанавливали настроенные DLL-файлы, которые действуют как фильтры механизма аутентификации, что позволяло им перехватывать учетные данные для входа.
В ходе одной из атак, продолжавшейся в течение трех месяцев с июня по август 2024 года, злоумышленник проводил разведывательные мероприятия и кражу паролей, а также устанавливал кейлоггер и запускал полезные нагрузки DLL, способные перехватывать данные для входа пользователя в систему.
Symantec отметила, что злоумышленникам удалось сохранить скрытый доступ к скомпрометированным сетям в течение длительного времени, что позволило им собирать пароли и составлять карты сетей, представляющих интерес.
Собранная информация сжималась в защищенные паролем архивы с помощью WinRAR, а затем загружалась в облачные хранилища, такие как File.io.
Столь длительный период ожидания и расчетливый подход подчеркивают изощренность и настойчивость субъекта угроз.
Хотя злоумышленники в этой кампании использовали широкий выбор TTP, географическое расположение целевых организаций, а также использование ранее детектированных инструментов (связанных с APT31, APT41 и APT27) позволяет предположить, что выявленная активность - это дело рук китайских акторов.
Учитывая, что многие из этих китайских APT часто делятся инструментами и используют схожие TTP, конкретная атрибуция в этом случае невозможна.
Индикаторы компрометации - в отчете.
Cisco Talos раскрыла подробности уязвимостей в промышленных маршрутизаторах MC Technologies и инструменте GoCast BGP, которые остаются неисправленными спустя 8 месяцев после раскрытия информации.
Исследователи опубликовали рекомендации по уязвимостям в прошлом месяце, а недавно выкатили финальные сообщения с указанием о отсутствии исправлений после ответственного раскрытия поставщикам еще в марте 2024 года.
В случае с MC Technologies речь идет про четыре уязвимости высокой степени серьезности, которые могут привести к внедрению произвольных команд в промышленный маршрутизатор MC LR.
MC Technologies - немецкая компания, которая поставляет решения для IoT и Industry 4.0, включая промышленные и 5G-маршрутизаторы, сотовые модемы, терминалы данных, антенны, беспроводные модули, аксессуары для интеллектуальных счетчиков и датчики.
В частности, ресерчеры обнаружили, что маршрутизатор MC LR с веб-интерфейсом версии 2.10.5 подвержен четырем уязвимостям внедрения команд ОС.
Специально созданный HTTP-запрос может привести к выполнению произвольной команды. Злоумышленник может создать аутентифицированный HTTP-запрос, чтобы активировать эти уязвимости.
В GoCast, инструменте с открытым исходным кодом, разработанном для объявлений маршрутов BGP контроллера с хоста, Talos обнаружила три критических уязвимости внедрения команд ОС.
Злоумышленник может реализовать неаутентифицированный HTTP-запрос, которые приведет к выполнению произвольной команды.
Компания Talos представила полные технические подробности по каждой из уязвимостей.
В свою очередь, разработчики MC Technologies и GoCast сохраняют режим тишины и никак пока не комментируют ситуацию.
Apple выпустила крупные патчи с исправлениями для уязвимостей в экосистемах iOS и macOS, предупреждая о рисках утечки данных, выхода из песочницы и атак с удаленным выполнением кода.
Вышедшие iOS 18.2 и macOS Sequoia 15.2 устраняют уязвимости в ядре, компонентах WebKit, AppleMobileFileIntegrity, Passwords и ImageIO.
Обновления также исправляют серьезный дефект в libexpat, программной утилите с открытым исходным кодом, интегрированной в ПО Apple.
Ошибка, отслеживаемая как CVE-2024-45490, позволяет удаленному злоумышленнику вызвать выполнение произвольного кода и вызвать завершение работы приложения.
Согласно представленной документации, обновление iOS 18.2 устраняет пару ошибок в AppleMobileFileIntegrity, которые позволяют вредоносным приложениям обходить защиту и получать доступ к конфиденциальным данным пользователя.
Apple также реализовала исправления для множества ошибок ядра, которые позволяют создавать доступные для записи сопоставления памяти и допускать утечку через приложения конфиденциальной информации о состоянии ядра.
Традиционно без исправлений не остался движок браузера WebKit, где закрыты проблемы, которые могут привести к сбоям процессов или повреждению памяти при обработке вредоносного веб-контента.
Apple также выпустила исправление для компонента Passwords с исправлением ошибки, которая позволяла злоумышленникам, находящимся в привилегированном положении в сети, изменять сетевой трафик.
В новой версии macOS Sequoia 15.2 разработчики Apple исправили десятки уязвимостей, в том числе ошибку в IOMobileFrameBuffer, которая допускает атаки с произвольным выполнением кода в прошивке DCP.
Кроме того, компания также выкатила обновления безопасности для watchOS, tvOS и visionOS.
Группа ученых из учеными из Лёвенского католического, Любекского и Бирмингемского университетов разработала новую физическую атаку на чипы AMD, которая позволяет извлекать данные, защищенные Secure Encrypted Virtualization (SEV-SNP) процессора.
Атака получила название BadRAM и, в первую очередь, затрагивает процессоры AMD, используемые в облачных средах, где SEV-SNP обычно включен.
Для реализации атаки задействуется подключаемый аппаратный компонент, благодаря которому при запуске компьютера намеренно модифицируется информация в отношении конфигурации модулей памяти, разрешая доступ к зашифрованной памяти.
Современные компьютеры все чаще используют шифрование для защиты конфиденциальных данных в DRAM, особенно в общих облачных средах с распространенными утечками данных и внутренними угрозами.
Secure Encrypted Virtualization (SEV) от AMD - это передовая технология, которая обеспечивает конфиденциальность, шифруя память виртуальной машины (VM) и изолируя ее от злоумышленников.
Исследователи обнаружили, что вмешательство во встроенный чип SPD на модулях DRAM позволяет злоумышленникам обходить защиту SEV, включая последнюю версию SEV-SNP от AMD.
При этом стоимость необходимого для проведения атаки BadRAM аппаратного обеспечения составляет менее 10 долларов.
Как реализовать BadRAM для захвата содержимого ячейки памяти виртуальной машины SEV-SNP и его последующего воспроизведения исследователи поделились, записав процесс на видео.
В свою очередь, AMD для устранения уязвимости BadRAM выпустила обновления прошивки, обеспечив безопасную проверки конфигураций памяти во время процесса загрузки процессора.
Wordfence предупреждает об уязвимости в плагине WPForms, которая позволяет Stripe осуществлять произвольные возвраты средств или отменять подписки на миллионах сайтов WordPress.
CVE-2024-11205 была классифицирована как проблема высокой серьезности из-за предварительного условия аутентификации. Однако, учитывая, что системы членства доступны на большинстве сайтов, эксплуатация может быть довольно простой в большинстве случаев.
Проблема затрагивает WPForms с версии 1.8.4 по 1.9.2.1, исправление выпущено в версии 1.9.2.2 в прошлом месяце.
Плагин доступен как в премиум-версии (WPForms Pro), так и в бесплатной (WPForms Lite) версии. Последняя активна на более чем 6 миллионах сайтов WordPress.
Уязвимость обусловлена неправильным механизмом работы функции «wpforms_is_admin_ajax()» для определения того, является ли запрос вызовом AJAX администратора.
Хотя эта функция проверяет, исходит ли запрос из административного пути, она не применяет проверки возможностей для ограничения доступа на основе роли или разрешений пользователя.
Это позволяет любому аутентифицированному пользователю, даже подписчикам, вызывать конфиденциальные функции AJAX, такие как «ajax_single_payment_refund()», которая выполняет возврат средств Stripe, и «ajax_single_payment_cancel()», которая отменяет подписки.
Последствия эксплуатации уязвимости CVE-2024-11205 могут быть достаточно серьезными для владельцев сайтов и привести к финансовому ущербу, сбоям в работе бизнес-процессов и проблемам доверия со стороны клиентов.
Уязвимость была обнаружена исследователем vullu164, который сообщил о ней 8 ноября 2024 года по программе BugBouty, получив выплату в размере 2376 долларов США.
Впоследствии Wordfence проверила отчет и подтвердила предоставленный эксплойт, отправив полную информацию поставщику Awesome Motive 14 ноября.
18 ноября Awesome Motive выпустила исправленную версию 1.9.2.2, добавив надлежащие проверки возможностей и механизмы авторизации в затронутые функции AJAX.
Согласно статистике wordpress, примерно половина всех сайтов (а точнее - до 3 млн.), использующих WPForms, работают на уязвимых устаревших версиях.
Несмотря на заявления Wordfence об отсутствии активной эксплуатации CVE-2024-11205, полагаем, что в ближайшей перспективе все измениться, ведь киберподполье не упустит такой возможности.
✈ Фишинг и угон Telegram (v9): всё новое - это хорошо забытое старое.
• Основы социальной инженерии не претерпели существенных изменений за века — менялись только формы и детали приемов.
• Сегодня расскажу о том, какой банальный метод используют скамеры для взлома Telegram аккаунтов и последующего спама по контактам жертвы. Схема действительно банальна в своей реализации, но из-за психологического фактора и того, что многие любят халяву, метод очень хорошо работает.
• Вся соль заключается в том, что жертва получает сообщение от злоумышленника, которое содержит информацию о подарке подписки Telegram Premium. Такое сообщение содержит ссылку, по которой якобы нужно перейти для получения подарка. Если жертва переходит по такой ссылке, то она попадает на фишинговый домен где пытается авторизоваться через Telegram. На этом всё. Аккаунт успешно угнан. Далее идет рассылка по контактам взломанного аккаунта и так до бесконечности...
• А знаете, что является самым забавным? Эту схему использовали с момента появления Premium подписки в телеге. Ну т.е. этой реализации уже 3 года, а она до сих пор работает. Собственно, а почему бы и нет? Всегда найдется тот, кто тыкнет на красивый значок и перейдет по ссылке! Наша задача - предупредить близких и родных, чтобы не переходили по непонятным ссылкам, даже от своих контактов, и ознакомить с информацией о том, как обезопасить свой аккаунт: https://tginfo.me/how-to-retrieve-telegram-account/#how-to-protect-account
• P.S. Напоследок поделюсь с Вами информацией о будущем функционале нашего бота (S.E. Virus Detect). В ближайшем будущем мы добавим функционал дешифратора коротких ссылок, т.е. если скормить такую ссылку боту, то вы будете знать, куда она приведёт в конечном счете. Этот функционал поможет очень многим людям, как в публичных чатах, так и при пересылке ссылок из личных сообщений для последующего анализа.
S.E. ▪️ infosec.work ▪️ VT
По следам разоблачений Black Lotus Labs в причастности вредоносного Ngioweb к работе NSOCKS исследователи Bitsight препарировали другой премиальный прокси-сервис PROXY.AM.
PROXY.AM (proxy[.]am и proxyam[.]one) позиционируется на рынке как селлер «элитных» приватных прокси по цене от 126 долларов США за месяц (пакет Unlimited) до 700 долларов США в месяц (пакет VIP).
Как оказалось, в реальности работа нелегального прокси-сервиса обеспечивается за счет возможностей ботнета Socks5Systemz с более чем 85 000 взломанных устройств.
Socks5Systemz, появившийся в киберподполье еще в марте 2013 года, ранее был задокументирован BitSight в кибератаках, реализующих на распространение PrivateLoader, SmokeLoader и Amadey.
Основная цель вредоносного ПО - превратить скомпрометированные системы в узлы выхода прокси, которые затем продаются другим киберпреступникам, заинтересованных в анонимизации своей активности.
Подпольный PROXY.AM существует с 2016 года и имеет наибольшее число инфицированных хостов в Индии, Индонезии, Украине, Алжире, Вьетнаме, России, Турции, Бразилии, Мексике, Пакистане, Таиланде, Филиппинах, Колумбии, Египете, США, Аргентине, Бангладеш, Марокко и Нигерии.
В декабре 2023 года злоумышленник утратил контроль над Socks5Systemz V1 и был вынужден заново поднимать ботнет с совершенно другой инфраструктурой С2, которая отслеживается как Socks5Systemz V2.
В этой связи были реализованы новые атаки для замены старых заражений новыми полезными нагрузками.
К январю 2024 года ботнет, как показывает телеметрия, резко вырос до среднего ежедневного охвата до 250 000 машин, но на текущий момент - их число составляет от 85 000 до 100 000.
При этом, как заявляют в PROXY.AM, в их распоряжении также 80 888 прокси-узлов из 31 страны.
IOC для Socks5Systemz V2 и анализ инфраструктуры - в отчете.
Исследователи из Лаборатории Касперского выкатили аналитику по эксплойтам и уязвимостям в третьем квартале 2024 года.
Как отмечают исследователи, третий квартал 2024 года принес целый набор уязвимостей, обнаруженных в нестандартных для кибератак подсистемах Windows и Linux.
Связано это с тем, что разработчики операционных систем выпускают новые механизмы противодействия целым группам уязвимостей в популярных подсистемах.
Например, в CLFS (Common Log Filing System), подсистеме ведения журналов в Windows, появится проверка целостности логов, поэтому количество эксплойтов для нее будет идти на спад.
Что касается Linux, то для нее существует механизм контроля целостности ядра Linux Kernel Runtime Guard (LKRG), выполненный в виде отдельного модуля ядра.
Несмотря на то, что первая версия LKRG вышла еще в 2018 году, он постоянно совершенствуется. Кроме того, в последнее время его стали активнее использовать в различных сборках.
Возвращаясь к квартальной статистике, в третьем квартале 2024 года сохраняется тренд к обнаружению и регистрации все большего количества уязвимостей: рост как по общему количеству, так и по критическим.
Общее количество PoC, которые были опубликованы впервые по свежим CVE, также увеличилось на 2%, что показывает тенденцию к ускорению создания эксплойтов.
Также рост показателя может быть связан с тем, что исследователи все чаще стали публиковать не только описание уязвимости, но и подробные данные, включающие эксплойты.
Причем львиная доля PoC появляется в течение недели после публикации патчей разработчиками ПО, в котором была обнаружена уязвимость.
Исследователи ЛК отмечают изменения в перечне распространенных в APT-атаках уязвимостей.
Теперь в нем присутствуют уязвимости, позволяющие получать доступ к системам с веб-приложениями и почтовыми серверами.
При этом некоторые уязвимости достаточно свежие: одна из них была зарегистрирована в прошлом году и еще три — в этом.
Однако большую часть списка составляют уязвимости, которым три года и более.
Подробная статистика по CVE, особенности эксплуатации и наиболее трендовые уязвимости квартала - в отчете.
💴 Ultralytics 🤖 YOLO11: массовое заражение пользователей криптомайнером
Популярная модель в области компьютерного зрения YOLO11 от компании Ultralytics стала объектом атаки на цепочку поставок, в результате которой пользователи были заражены криптомайнером. Изначально проблема коснулась версий 8.3.41 и 8.3.42, размещённых в репозитории Python Package Index (PyPI). Вредоносный код был внедрен в артефакты релиза PyPI и не присутствовал в публичном репозитории GitHub.
Пострадали пользователи, которые установили эти версии библиотеки из PyPI. Это могли быть разработчики, использующие Ultralytics в своих проектах, а также пользователи облачных платформ вроде Google Colab, где были зафиксированы блокировки аккаунтов из-за "злоупотреблений".
Модель YOLO используется для точного и быстрого распознавания объектов на видеопотоках и имеет обширное применение в различных отраслях. Согласно данным PyPI Stats, за последний месяц Ultralytics была загружена 6 417 216 раза. В сутки загружают проект около — 180 000 раз.
Команда Ultralytics подтвердила, что последние версии включали код для установки 😷XMRig Miner, который подключался к майнинговому пулу.
Мы подтверждаем, что Ultralytics версий 8.3.41 и 8.3.42 был взломан в результате инъекции вредоносного кода, нацеленного на майнинг криптовалюты. Обе версии были немедленно удалены из PyPI.