39806
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Adobe выпустила внеочередные обновления безопасности для устранения критической язвимости CVE-2024-53961 с CVSS 7.4 в ColdFusion.
Она затрагивает Adobe ColdFusion версий 2023 и 2021 и обусловлена неправильным ограничением пути к закрытому каталогу, что может привести к произвольному чтению файловой системы.
Об ошибке сообщил исследователь с псевдонимом ma4ter. При этом Adobe подчеркивает, что ей известно о наличии PoC для CVE-2024-53961.
Несмотря на то, что Adobe пока не раскрывает, эксплуатировалась ли эта уязвимость в реальных условиях, компания рекомендует ознакомиться с обновленной документацией для получения дополнительной информации о блокировке атак десериализации Wddx.
Компания рекомендует администраторам как можно скорее установить экстренные исправления безопасности и применить параметры конфигурации безопасности, описанные в руководствах ColdFusion 2023 и ColdFusion 2021.
Учитывая устоявшуюся практику атак на известные проблемы в Adobe ColdFusion (CVE-2023-29298, CVE-2023-38205, CVE-2023-26360), к рекомендациям определенно стоит прислушаться.
Вслед за CVE-2024-43441 в HugeGraph-Server и CVE-2024-56337 в Tomcat разработчики Apache Software Foundation (ASF) выпустили обновления безопасности для устранения критической уязвимости SQL-инъекции в Traffic Control с рейтингом 9,9 CVSS.
При успешной эксплуатации CVE-2024-45387 может позволить привилегированному злоумышленнику с ролью admin, federation, operations, portal или steering выполнить произвольный SQL в базе данных путем отправки специально составленного PUT-запроса
Раскрытие проблемы приписывается исследователю Tencent YunDing Security Lab Юань Ло. Она затрагивает версии Apache Traffic Control от 8.0.0 до 8.0.1.
Ошибка исправлена в версии Apache Traffic Control 8.0.2. Для защиты от потенциальных угроз пользователям рекомендуется обновить свои экземпляры до последних версий ПО.
Исследователи Palo Alto Networks Unit 42 сообщают о возможностях задействования больших языковых моделей (LLM) для создания новых вариантов вредоносного кода JavaScript в масштабе таким образом, обеспечивая при этом улучшенное уклонение от обнаружения.
Несмотря на то, что LLM с трудом создают вредоносное ПО с нуля, хакеры могут легко использовать их для переписывания или сокрытия существующего вредоносного ПО, что затрудняет его обнаружение и выглядят гораздо более естественно.
При достаточном количестве преобразований с течением времени этот подход может иметь преимущество в снижении производительности систем классификации вредоносных ПО, заставляя полагать, что фрагмент вредоносного кода на самом деле безвреден.
В то время как поставщики LLM все чаще ужесточают меры безопасности, чтобы не допустить выхода из-под контроля и непреднамеренного вывода данных, злоумышленники уже продвигают такие инструменты, как WormGPT для автоматизации процесса создания убедительных фишинговых писем и даже создания нового вредоносного ПО.
Еще в октябре 2024 года OpenAI сообщала, что заблокировала более 20 операций, связанных с попытками использования ее платформы для разведки, исследования уязвимостей, поддержки скриптов и отладки.
Исследователи Unit 42 смоли задействовать возможности LLM для итеративного переписывания существующих образцов вредоносного ПО с целью обхода обнаружения с помощью моделей машинного обучения (ML), таких как Innocent Until Proven Guilty (IUPG) или PhishingJS, что фактически позволило создать 10 000 новых вариантов JavaScript без изменения функциональности.
Разработанный метод состязательного машинного обучения предназначен для преобразования вредоносного ПО с использованием различных методов, а именно: переименования переменных, разбиения строк, вставки ненужного кода, удаления ненужных пробелов и полной повторной реализации кода - каждый раз при его поступлении в систему в качестве входных данных.
Конечный результат - это новый вариант вредоносного JavaScript-кода, который сохраняет то же поведение, что и исходный скрипт, но при этом почти всегда имеет гораздо более низкую оценку вредоносности, достигая 88% успеха.
Что еще хуже, подобные переписанные артефакты JavaScript также не обнаруживаются другими анализаторами вредоносного ПО при загрузке на платформу VirusTotal.
Еще одним важным преимуществом обфускации на основе LLM является то, что множество ее переписываний выглядят гораздо более гармонично, нежели те, которые реализуются с помощью библиотек, включая obfuscator.io.
Масштабы новых преобразований вредоносного кода может увеличиться с помощью генеративного ИИ. Однако существует возможность использовать ту же тактику переписывания, чтобы генерировать обучающие данные, которые могут повысить надежность моделей ML.
Взявшая на себя ответственность за новую делюгу, связанную со взломом клиентов Cleo, банда вымогателей Clop приступила к сбору выкупов со своих жертв, число которых достигло 66.
Соответствующее объявление появилось на сайте DLS, где пострадавшим компаниям предложено урегулировать выплаты по инцидентам в течением 48 часов.
Хакеры связались с ними напрямую и направили для этого ссылки на защищенные чаты для проведения переговоров по выкупу.
Помимо этого предоставили даже адреса электронной почты, по которым жертвы могут выйти с бандой на связь.
Причем указанный на сайте список жертв включает лишь частные наименования связанных с инцидентом компаний. В случае, если в течение 48 часов переговоры не начнутся - Clop обещает раскрыть их полные данные.
Хакеры отмечают, что в списке указаны лишь те жертвы, с которыми связались, но обратной связи получено не было, что позволяет предполагать о более широком охвате кампании с компрометацией Cleo.
Вообще последняя атака стала еще одним крупным проектом Clop, которой в очередной раз удалось умело воспользовалаться 0-day в продуктах Cleo LexiCom, VLTransfer и Harmony для массовой кражи данных из сетей взломанных компаний.
Теперь в послужном списке хакеров реализованные нули в ПО: Accellion FTA, GoAnywhere MFT и MOVEit Transfer, а также SolarWinds Serv-U FTP.
Последний нуль отслеживается как CVE-2024-50623 и позволяет удаленному злоумышленнику выполнять неограниченную загрузку и скачивание файлов, что приводит к RCE.
Причем исправление было доступно для Cleo Harmony, VLTrader и LexiCom версии 5.8.0.21, а производитель предупредил в приватных сообщениях свою клиентуру о том, что хакеры активно используют этот 0-day в реальных атаках.
Кроме того, Huntress даже публично раскрыла, что уязвимость активно эксплуатировалась, и предупредила о возможности обхода исправления поставщика.
Исследователи также представили соответствующий PoC, подтвердив все свои выводы.
Но остановить атаки так и не удалось.
Несколько дней спустя банда вымогателей Clop уже официально подтвердила, что эксплуатация уязвимости CVE-2024-50623 теперь на ее счету.
Тогда же Clop почистила данные с DLS по своим прошлым кампаниям, оставив место для новой, куда недавно поместили клиентов Cleo.
Пока еще не всех, но если учесть, что ПО используют более 4000 организаций по всему миру - список будет пополнятся.
Будем посмотреть.
Ровно 5 лет назад наш канал начал свое вещание в этом прекрасном месте под названием Telegram.
Честно говоря, в первый год мы сами испытывали сомнения в каких-то особых перспективах своего развития, было даже мнение, что 5 тысяч человек - наш потолок аудитории в принципе. А вот гляди-ка ж - без двух минут 40к!
Не будем оценивать свою роль в диджитал российского (и, судя по статистике, не только российского) инфосека, это неприлично. И так понятно, что оно не последнее. Хотим сказать лишь одно.
За эти годы мы не отступили от своих принципов, которые были приняты в самом начале ведения канала:
- не становиться формальной лентой новостей, стараясь всегда придерживаться авторского взгляда на вещи;
- не бояться возможных обвинений в излишне фривольном стиле ведения канала (все, кому не нравится, могут пройти козе в трещину!);
- не заниматься чернухой и быть объективными настолько, насколько это позволяет наше субъективное восприятие.
Канал сегодня не работает! Сегодня весь день дискотека!!!
Sophos сообщает об исправлении трех уязвимостей в своем продукте Sophos Firewall, которые позволяют удаленным неаутентифицированным злоумышленникам выполнять SQL-инъекции, удаленное выполнение кода и получать привилегированный SSH-доступ к устройствам.
Уязвимости затрагивают Sophos Firewall версии 21.0 GA (21.0.0) и более ранних версий, при этом компания уже выпускает исправления, которые устанавливаются по умолчанию, а также постоянные исправления в новых обновлениях прошивки.
Проблемы отслеживаются как:
- CVE-2024-12727: уязвимость SQL-инъекции до аутентификации в функции защиты электронной почты. Если включена определенная конфигурация Secure PDF eXchange (SPX) в сочетании с режимом высокой доступности (HA), она разрешает доступ к базе данных отчетов, что потенциально приводит к RCE.
- CVE-2024-12728: предлагаемая неслучайная парольная фраза для входа в SSH для инициализации кластера высокой доступности остается активной после завершения процесса, что делает системы, в которых включен SSH, уязвимыми для несанкционированного доступа из-за предсказуемых учетных данных.
- CVE-2024-12729: аутентифицированный пользователь может использовать уязвимость внедрения кода в User Portal. Это позволяет злоумышленникам с действительными учетными данными выполнять произвольный код удаленно.
Исправления доступны в различных версиях и устанавливаются по умолчанию, инструкции по их применению и проверке можно найти здесь - KBA-000010084.
Кроме того, Sophos также предложила обходные пути для снижения рисков, связанных с CVE-2024-12728 и CVE-2024-12729, для тех, кто не может применить исправление или обновление.
Для устранения CVE-2024-12728 рекомендуется ограничить доступ по SSH только выделенным каналом HA, который физически отделен от остального сетевого трафика, и перенастроить настройку HA, используя достаточно длинную и случайную пользовательскую парольную фразу.
Для удаленного управления и доступа обычно рекомендуется отключить SSH через интерфейс WAN и использовать Sophos Central или VPN.
Для смягчения последствий CVE-2024-12729 администраторам рекомендуется убедиться, что интерфейсы пользовательского портала и веб-администрирования не доступны из глобальной сети.
Исследователи из Лаборатории Касперского раскрывают новую сложную цепочку заражения Lazarus APT, нацеленную как минимум на двух сотрудников неназванной организации в сфере ядерных технологий в течение января 2024 года.
Атаки завершались развертыванием нового модульного бэкдора CookiePlus и являлись частью долговременной кампании кибершпионажа, известной как Operation Dream Job, которая также отслеживается ЛК как NukeSped.
Она активна по крайней мере с 2020 года, когда ее раскрыла ClearSky.
Lazarus крайне заинтересована в проведении атак на цепочки поставок в рамках кампании DeathNote, ограничиваясь двумя методами.
Первый — отправка вредоносного документа или троянизированного инструмента просмотра PDF, которое отображает цели специально подобранные описания вакансий.
Второй способ - доставка троянизированных инструментов удаленного доступа, убеждая жертву подключиться к определенному серверу для оценки навыков.
Последняя серия атак, задокументированная ЛК, реализует второй: задействуется полностью переработанная цепочка заражения с троянизированной VNC под предлогом проведения оценки навыков для ИТ-должностей в крупных аэрокосмических и оборонных компаниях.
Lazarus доставила архивный файл как минимум двум людям в одной организации (назовем их Host A и Host B), а через месяц хакеры предприняли более интенсивные атаки на первую цель.
Предполагается, что приложения VNC, троянизированная версия TightVNC под названием AmazonVNC.exe, распространялись в виде образов ISO и файлов ZIP. В других случаях для загрузки вредоносной DLL, упакованной в архив ZIP, использовалась легитимная версия UltraVNC.
DLL (vnclang.dll) служит загрузчиком для бэкдора, получившего название MISTPEN, который был обнаружен Mandiant в сентябре 2024 года. Он также использовался доставки двух дополнительных полезных нагрузок под названием RollMid и нового варианта LPEClient.
Исследователи ЛК заявили, что также задетектили вредоносное ПО CookieTime, развернутое на хосте A, хотя точный метод, который использовался для его внедрения, остается неизвестным.
Впервые обнаруженный компанией в сентябре и ноябре 2020 года, CookieTime назван из-за использования закодированных значений cookie в HTTP-запросах для получения инструкций с сервера управления и контроля (C2).
Дальнейшее расследование цепочки атак показало, что злоумышленник переместился с хоста A на другую машину (хост C), где CookieTime использовался для доставки полезных нагрузок с февраля по июнь 2024 года, включая: LPEClient, ServiceChanger, Charamel Loader и CookiePlus.
CookiePlus получил свое название в виду маскировки под плагин Notepad++ с открытым исходным кодом под названием ComparePlus, когда он был обнаружен в дикой природе в первый раз. В атаках он был основан на другом проекте под названием DirectX-Wrappers.
Вредоносная программа служит загрузчиком для извлечения полезной нагрузки, закодированной Base64 и зашифрованной RSA, с сервера C2, которая затем декодируется и расшифровывается для выполнения трех различных шеллкодов или DLL с функциями сбора информации.
Предполагается, что CookiePlus является преемником MISTPEN из-за совпадений в поведении двух штаммов вредоносных ПО, включая тот факт, что оба они маскируются под плагины Notepad++.
Длительное время группа Lazarus использовала лишь небольшое количество модульных вредоносных фреймворков, таких как Mata и Gopuram Loader, однако внедрение новыых модульных вредоносных ПО, такие как CookiePlus, говорит о том, что группа продолжает работать над улучшением своего арсенала и цепочек заражения.
Глобальная технологическая сегментация, о которой мы предупреждали еще четыре года назад, приобретает заметные ускорения.
Как сообщают журналисты Wall Street Journal, в правительстве США рассматривают возможность введения запрета на реализацию и использование продукции китайской TP-Link на своей территории.
Ранее аналогичные меры были предприянты в отношении продукции Huawei Technologies, ZTE Corporation, Hytera Communications, Hangzhou Hikvision Digital Technology и Dahua Technology.
Работа ведется сразу по линии трех министерств: юстиции, торговли и обороны.
При этом Министерство торговли уже направило компании повестку в суд.
Все это мотивируют соображениями национальной безопасности, распространяя тезисы о том, что сетевое оборудование компании часто становится объектом атак, а разработчики не всегда качественно и оперативно выпускают патчи и вообще не заботятся о безопасности.
За последние годы доля рынка TP-Link выросла примерно до 65% на рынке маршрутизаторов SOHO в США и, как считают в правительстве, этот искусственный рост обусловлен продажей устройств по цене ниже их заводской цены, что также расследует Министерство юстиции.
Более 300 интернет-провайдеров США реализуют устройства TP-Link в качестве маршрутизатора для интернета по умолчанию для частных пользователей.
Кроме того, как отмечает WSJ, маршрутизаторы также присутствуют в сетях ряда правительственных агентств, включая Министерство обороны, NASA и DEA.
Причем расследование началось с подачи Microsoft после публикации отчета в отношении ботнета Quad7 (CovertNetwork-1658 или xlogin), большая часть которого, по их утверждениям, состоит из устройств TP-Link.
Впрочем, вместе с TP-Link надо таким же образом и самих микромягких запрещать, учитывая практику их работы по устранению уязвимостей и связанных с ними рисками атак.
🥷❗️Доступ к подземным шахтам Вьетнама продаётся на чёрном рынке?
На одном из ИБ-каналов в арабском регионе нашёл интересную информацию...
Злоумышленники, именующие себя 🤦♂️ Black Market, продают доступ на чёрном рынке к шахтам 🇻🇳Вьетнама. Новость примечательна тем, что хакеры получили доступ к SCADA, а она играет ключевую роль в управлении критически важными процессами на объектах — например, отключение вентиляции и изменение настроек газоанализаторов.
На опубликованных изображениях видны карты инфраструктуры, параметры систем и функционал управления. Среди доступных опций указаны отключение вентиляции, изменение настроек газоанализаторов, управление электрооборудованием, отключение системы оповещения и переключение источников питания. Цена за этот доступ составляет 350 тысяч долларов, без возможности торга.— комментируют ситуацию ИБ-специалисты на фарси.
На картах отмечены активные станции (примерно 4-5 объектов), доступ к которым предполагает контроль над источниками питания. Тем самым увеличивается вероятность крупных аварий: от массовых отравлений до взрывов.
Google выпустила обновление Chrome 131 с исправлениями нескольких серьезных уязвимостей безопасности памяти, включая три, затрагивающие движок JavaScript V8.
Первая из выявленных проблем, отслеживаемая как CVE-2024-12692, представляет собой ошибку путаницы типов в движке JavaScript V8 браузера, за которую Google выплатила 55 000 долларов сообщившему о ней исследователю.
Несмотря на то, что подробности об ошибках скрываются, вознаграждение в таком размере обычно выплачивается за дефекты, которые могут привести к удаленному выполнению кода (RCE).
Вторая уязвимость, о которой сообщалось в рамках BugBounty, - это другая проблема безопасности памяти в движке V8.
Отслеживаемая как CVE-2024-12693 и описанная как ошибка доступа к памяти за пределами ее границ, принесла исследователю, сообщившему об ошибке, вознаграждение в размере 20 000 долларов США.
Обновление браузера также устраняет CVE-2024-12694, проблему высокой степени серьезности использования после освобождения в Compositing, и CVE-2024-12695, уязвимость записи за пределами границ в движке V8. Вознаграждение пока не назначено.
Последняя версия Chrome теперь доступна пользователям в версии 131.0.6778.204/.205 для Windows и macOS, а также - 131.0.6778.204 для Linux.
Google не упоминает о том, что какие-либо из этих уязвимостей эксплуатируются в реальных условиях.
Также отмечается, что Google предприняла ряд шагов для затруднения использования дефектов памяти в Chrome, а также инвестировала в устранение таких уязвимостей в своей кодовой базе, в том числе путем перехода на Rust.
Переход на Rust привел к значительному снижению количества ошибок безопасности памяти в Android за последние пять лет, и аналогичные улучшения ожидаются и в Chrome, поскольку Google также переведет браузер на Rust.
Fortinet предупреждает о критической уязвимости безопасности в Wireless LAN Manager (FortiWLM), которая может привести к раскрытию конфиденциальной информации.
CVE-2023-34990 имеет оценку CVSS 9,6 и позволяет удаленному неаутентифицированному злоумышленнику прочитать конфиденциальные файлы.
Согласно описанию уязвимости в NIST (NVD), уязвимость обхода пути также может быть использована злоумышленником для выполнения несанкционированного кода или команд с помощью специально созданных запросов к конечной точке /ems/cgi-bin/ezrf_lighttpd.cgi.
Она затрагивает FortiWLM версий 8.6.0–8.6.5 (исправлено в 8.6.6 и выше) и 8.5.0–8.5.4 (исправлено в 8.5.5 и выше).
Раскрытие приписывается исследователю безопасности Horizon3.ai Заку Хэнли.
При этом, CVE-2023-34990 относится к уязвимости ограниченного чтения файлов без аутентификации, которую Horizon3.ai раскрыла еще в марте в составе широкого набора из шести недостатков в FortiWLM.
Проблема возникает из-за отсутствия проверки входных данных в параметрах запроса, что позволяет злоумышленнику просматривать каталоги и читать любые файлы журналов в системе.
Успешная эксплуатация CVE-2023-34990 может позволить злоумышленнику прочитать файлы журнала FortiWLM и получить идентификатор сеанса пользователя и логин, что позволит ему также эксплуатировать аутентифицированные конечные точки.
Кроме того, злоумышленники могут воспользоваться тем, что идентификаторы веб-сеансов не меняются между сеансами пользователей, чтобы перехватить их и получить административные разрешения на доступ к устройству.
И это еще не все.
Злоумышленник также может объединить CVE-2023-34990 с CVE-2023-48782 (оценка CVSS: 8,8), уязвимостью аутентифицированного внедрения команд, которая также была исправлена в FortiWLM 8.6.6 для получения RCE в контексте root.
Помимо нее Fortinet также исправила серьезную уязвимость внедрения команд CVE-2024-48889 (CVSS: 7.2) в FortiManager, которая позволяет аутентифицированному удаленному злоумышленнику выполнить несанкционированный код с помощью запросов, созданных FGFM.
Учитывая, что устройства Fortinet становятся объектом первоочередных устремлений киберподполья, крайне важно обновить свои экземпляры для защиты от потенциальных угроз.
Исследователи BI.ZONE сообщают об активизации кластера Paper Werewolf, который с 2022 года атакует организации в сферах госуправления, энергетики, финансов, СМИ и др.
Киберпреступники рассылают фишинговые письма от имени российских организаций с вложениями в виде документа Microsoft Word с закодированным содержимым и вредоносным макросом внутри: жертве предлагается разрешить выполнение макросов.
Для организации рассылок злоумышленниками нередко использовался фреймворк с открытым исходным кодом Gophish, предназначенный для тестирования организаций на подверженность фишингу.
Если жертва разрешает выполнение макросов, содержимое документа декодируется. Поиск вредоносной нагрузки в содержимом документа осуществляется после ключевой строки DigitalRSASignature.
Сама нагрузка закодирована Base64 и состоит из двух частей, разделенных строкой CHECKSUM.
Макрос декодирует нагрузку и записывает ее в два файла: %USERPROFILE%\UserCache.ini (PowerShell‑скрипт) и %USERPROFILE%\UserCache.ini.hta (HTA). Для закрепления в скомпрометированной системе путь к UserCache.ini.hta записывается в параметрах реестра.
HTA‑файл создает и запускает файл %USERPROFILE%\UserCacheHelper.lnk.js для выполнения PowerShell-скрипта %USERPROFILE%\UserCache.ini.
Декодированное содержимое UserCache.ini представляет собой реверс-шелл в виде PowerShell-скрипта, известного как PowerRAT.
Помимо этого замечено, что злоумышленники не только активно экспериментируют с фреймворками постэксплуатации, но и разрабатывают собственные импланты для них, что значительно затрудняет обнаружение.
В других атаках злоумышленники использовали самописный загрузчик, мимикрирующий под explorer.exe. Вредоносная программа загружала и открывала отвлекающий документ, который записывался в каталог %TEMP%.
После чего загрузчик отправлял запрос HTTP POST на сервер для получения следующей стадии, которая, как полагают ресерчеры, представляет собой агент фреймворка Mythic разработки злоумышленников, который известен под названиями PowerTaskel и QwakMyAgent.
При этом злоумышленники не ограничивались использованием данного импланта и также использовали другой агент фреймворка - Freyja.
Также в арсенале атакующих был замечен вредоносный IIS‑модуль Owowa, который позволял получать аутентификационные данные при авторизации пользователей в сервисе Outlook Web Access (OWA).
Для обеспечения резервного канала доступа в скомпрометированную IT‑инфраструктуру злоумышленники использовали Chisel, а для выполнения команд в удаленных системах - PsExec.
Новая кампания также примечательна расширением мотивации атакующих: в одном из случаев они не только проникли в IT‑инфраструктуру для шпионажа, но и нарушили ее работоспособность.
Индикаторы компрометации - в отчете.
Исследователи задетектили начало кампании, нацеленной на поиск уязвимых экземпляров и эксплуатацию новой критической уязвимости Apache Struts 2 с использованием общедоступных PoC-эксплойтов.
Apache публично раскрыла CVE-2024-53677 (CVSS 4.0: 9,5) шесть дней назад.
Она затрагивает Struts версий 2.0.0–2.3.37 (EoL), 2.5.0–2.5.33 и 6.0.0–6.3.0.2.
Как отмечают разработчики, ошибка в логике загрузки файлов программного обеспечения допускает обход путей и и при некоторых обстоятельствах - загрузку вредоносных файлов, которые могут быть использованы для RCE.
Проще говоря, уязвимость позволяет злоумышленникам загружать такие файлы, как веб-оболочки в ограниченные директории и использовать их для удаленного выполнения команд, загрузки дополнительных полезных нагрузок и кражи данных.
Уязвимость похожа на более раннюю CVE-2023-50164, и по всей видимости, является той же самой проблемой, которая вновь вернулась из-за неполноценного исправления.
Исследователь ISC SANS Йоханнес Ульрих первым сообщил об обнаруженных попытках эксплуатации уязвимостей, которые, по всей видимости, задействуют общедоступные эксплойты или, по крайней мере, в значительной степени полагаются на них.
При этом к настоящему времени инициатор кампании предпринимает активные действия по поиску уязвимых систем, используя эксплойт для загрузки файла exploit.jsp, содержащего одну строку кода для вывода строки Apache Struts.
Затем пытается получить доступ к скрипту, чтобы убедиться, что сервер был успешно проэксплуатирован. Все попытки исходят только с одного IP 169.150.226.162.
В свою очередь, Apache рекомендует пользователям обновиться до Struts 6.4.0 или более поздней версии и перейти на новый механизм загрузки файлов.
Простого применения исправления недостаточно, поскольку код, который обрабатывает загрузку файлов в приложениях Struts, необходимо переписать для реализации нового механизма Action File Upload.
Регуляторы из Канады, Австралии и Бельгии уже забили тревогу, оповещая затронутых разработчиков ПО принять срочные меры.
И не зря переживают, ведь ровно лгод назад хакеры также использовали доступные PoC для атак на уязвимые серверы Struts и удаленного выполнения кода.
Как мы предполагали еще три года назад, независимых разработчиков в области перспективных технологий коммерческого кибершпионажа в скором времени не остается от слова совсем.
Инициированный штатами глобальный передел с привлечением возможностей Минюста и богатого арсенала спецслужб постепенно обретает свои контуры.
После удачно накинутой удавки под предлогом нарушений прав человека на шеи израильской NSO Group, канадской Sandvine и греческой Intellexa, ведущий американский оборонный подрядчик приобретает израильскую компанию Paragon с ее передовым шпионским ПО Graphite.
Инвестиционная группа из Флориды AE Industrial Partners закрыла сделку 13 декабря на сумму 500 млн. долл (по данным Calcalist, сумма сделки может достичь $900 млн) и планирует объединить Paragon с Red Lattice, оборонным подрядчиком, специализирующимся на передовых решениях в сфере ИБ.
Как передают израильские СМИ, сделка была одобрена как израильскими, так и американскими чиновниками.
Такое решение стало возможным, поскольку в отличие своих конкурентов Paragon ограничивается сотрудничеством лишь с теми, кто «соответствуют стандартам просвещенной демократии».
Стоит отметить, что ранее впервые в истории штаты откатили собственные санкции в отношении Sandvine, которая также прониклась «высокими стандартами демократии» и пообещала пересмотреть свои контакты с неугодными режимами.
Вероятно, что-то еще может поменяться с приходом администрации Трампа, но если этого не случится в какой-то момент - удавки начнут окончательно затягиваться.
Но будем посмотреть.
Исследователи из Лаборатории Касперского сообщают об обнаружении нового варианта вредоносного ПО BellaCiao на C++, который задействуется в атаках иранской APT Charming Kitt (APT35, CALANQUE, CharmingCypress, ITG18, Mint Sandstorm, Newscaster, TA453 и Yellow Garuda).
Новая версия получила название BellaCPP и была задокументирована ЛК в качестве артефакта в рамках недавнего расследования инцидента со взломом компьютера в Азии, который также был заражен вредоносным ПО BellaCiao.
BellaCiao впервые был детектирован румынской Bitdefender в апреле 2023 года, которая описала его как пользовательский дроппер, способный доставлять дополнительные полезные нагрузки.
Вредоносное ПО применялось в кибератаках, нацеленных на США, Ближний Восток и Индию.
Несмотря на все возможности проведения изощренных кампаний с передовыми методами социнженерии для доставки вредоносного ПО, в атаках с использованием BellaCiao задействовались известные уязвимости в общедоступных приложениях, таких как Microsoft Exchange Server или Zoho ManageEngine.
BellaCiao — это семейство вредоносных ПО на базе .NET, которое добавляет уникальный штрих к вторжению, сочетая скрытность веб-оболочки с возможностью создания скрытого туннеля.
Вариант BellaCiao на C++ представляет собой файл DLL с именем adhapl.dll, который реализует те же функции, что и его предок, и содержит код для загрузки другой неизвестной DLL (D3D12_1core.dll), которая, вероятно, используется для создания туннеля SSH.
Однако уникальной особенностью BellaCPP является отсутствие веб-оболочки, которая используется в BellaCiao для загрузки и скачивания произвольных файлов, а также для запуска команд.
Как отмечают в ЛК, Charming Kitten совершенствует свой арсенал семейств вредоносных ПО. Одно из них, которые они постоянно обновляют, — BellaCiao.
Оно особенно интересно с точки зрения исследования, поскольку пути PDB иногда дают некоторое представление о предполагаемой цели и ее среде.
Обнаружение образца BellaCPP подчеркивает важность проведения тщательного исследования сети и машин в ней.
Злоумышленники могут развертывать неизвестные образцы, которые могут не быть обнаружены решениями безопасности, тем самым сохраняя опору в сети после удаления «известных» образцов.
Подробный технический разбор - в отчете.
Исследователи Akamai сообшают о появлении нового ботнета Hail Cock на базе наследия Mirai, который нацелен на RCE-уязвимость в сетевых видеорегистраторах DigiEver DS-2105 Pro, которая не получила идентификатор CVE и, по-видимому, остается неисправленной.
Кампания началась в октябре и нацелена на несколько сетевых видеорегистраторов и маршрутизаторов TP-Link с устаревшей прошивкой.
Одна из уязвимостей, использованных в кампании, была задокументирована исследователем TXOne Та-Лун Йеном и представлена в прошлом году на конференции DefCamp в Бухаресте, Румыния.
Akamai заметили, что ботнет начал активно использовать уязвимость в середине ноября, но обнаружили доказательства того, что кампания была активна как минимум с сентября.
Помимо уязвимости DigiEver новый вариант вредоносного ПО Mirai также нацелен на уязвимость CVE-2023-1389 в устройствах TP-Link и CVE-2018-17532 на маршрутизаторах Teltonika RUT9XX.
Ошибка, используемая для взлома сетевых видеорегистраторов DigiEver, представляет собой RCE-уязвимость удаленного выполнения кода, и связана с URI «/cgi-bin/cgi_main.cgi», который неправильно проверяет вводимые пользователем данные.
Это позволяет удаленным неаутентифицированным злоумышленникам вводить команды типа «curl» и «chmod» через определенные параметры, например поле ntp в HTTP-запросах POST.
Akamai полагает, что наблюдаемые со стороны ботнета атаки, похожи на те, что были описаны в презентации Та-Лун Йена.
С помощью инъекции команд злоумышленники получают двоичный файл вредоносного ПО с внешнего сервера и включают устройство в свою ботсеть. Устойчивость достигается путем добавления заданий cron.
После взлома устройство используется для проведения DDoS или для распространения на другие устройства с использованием наборов эксплойтов и списков учетных данных.
По данным Akamai, новый вариант Mirai примечателен использованием шифрования XOR и ChaCha20, а также ориентирован на широкий спектр системных архитектур, включая x86, ARM и MIPS.
Хотя использование сложных методов дешифрования не является чем-то новым, оно предполагает развитие TTPs среди операторов ботнетов на базе Mirai.
Это особенно примечательно, поскольку многие ботнеты на базе Mirai по-прежнему зависят от оригинальной логики обфускации строк из переработанного кода, который был включен в исходный код оригинальной вредоносной программы Mirai.
IoC, связанные с кампанией, а также правила Yara для обнаружения и блокировки угрозы - доступны в отчете Akamai.
Apache Software Foundation (ASF) выпустила обновление безопасности для устранения важной уязвимости в программном обеспечении сервера Tomcat, которая при определенных условиях может привести к RCE.
Уязвимость отслеживается как CVE-2024-56337 и связана с неудавшимся устранением другой CVE-2024-50379 (CVSS: 9,8), еще одной критической уязвимости безопасности в том же продукте, которая была устранена ранее 17 декабря 2024 года.
Пользователям, работающим с Tomcat в файловой системе, нечувствительной к регистру, с включенной записью сервлета по умолчанию (параметр инициализации «только для чтения» установлен на значение false, отличное от значения по умолчанию), может потребоваться дополнительная настройка для полного устранения уязвимости CVE-2024-50379 в зависимости от того, какая версия Java используется с Tomcat.
Обе уязвимости обусловлены состоянием гонки времени проверки и использования (TOCTOU), которые могут привести к выполнению кода в файловых системах, нечувствительных к регистру, когда сервлет по умолчанию включен для записи.
Одновременное чтение и загрузка при загрузке одного и того же файла может обойти проверки чувствительности Tomcat к регистру и привести к тому, что загруженный файл будет рассматриваться как JSP, что приведет к RCE.
CVE-2024-56337 влияет на следующие версии Apache Tomcat:
- 11.0.0-M1 до 11.0.1 (исправлено в 11.0.2 или более поздней версии);
- 10.1.0-M1 до 10.1.33 (исправлено в 10.1.34 или более поздней версии);
- 9.0.0.M1 – 9.0.97 (исправлено в 9.0.98 или более поздней версии).
Кроме того, пользователям необходимо выполнить следующие изменения конфигурации в зависимости от используемой версии Java:
- Java 8 или Java 11: следует задать системному свойству sun.io.useCanonCaches значение false (по умолчанию true);
- Java 17: установить системное свойство sun.io.useCanonCaches в значение false, если оно уже установлено (по умолчанию false);
- Java 21 и более поздние версии: никаких действий не требуется, так как системное свойство удалено.
ASF выразила благодарность исследователям Nacl, WHOAMI, Yemoli и Ruozhi за сообщение об обоих недостатках, а также команде KnownSec 404 за независимое раскрытие CVE-2024-56337 с предоставлением PoC.
Исследователи из Лаборатории Касперского предупреждают об атаках, нацеленных на исправленную критическую уязвимость Fortinet FortiClient EMS для развертывания инструментов удаленного доступа, включая AnyDesk и ScreenConnect.
Речь идет о CVE-2023-48788 (CVSS: 9,3), которая представляет собой ошибку SQL-инъекции и затрагивает Fortinet FortiClient EMS версий 7.0.1–7.0.10 и 7.2.0–7.2.2.
При успешной эксплуатации эта уязвимость позволяет злоумышленникам выполнять несанкционированный код или команды, отправляя специально созданные пакеты данных.
Как отмечают в ЛК, атака была реализована в октябре 2024 года и направлена на сервер Windows неназванной компании, который был доступен в сети и имел два открытых порта, связанных с FortiClient EMS.
Дальнейший анализ инцидента показал, что злоумышленники использовали уязвимость CVE-2023-48788 в качестве первоначального вектора доступа, а затем запустили исполняемый файл ScreenConnect для получения удаленного доступа к скомпрометированному хосту.
После первоначальной установки злоумышленники приступали к загрузке дополнительных полезных нагрузкок в скомпрометированную систему для реализации горизонтального перемещения, сканирования сетевых ресурсов, получения учетных данных, обхода защиты и достижения устойчивости с помощью инструмента удаленного управления AnyDesk.
Среди некоторых других примечательных инструментов, замеченных в ходе атаки: webbrowserpassview.exe (инструмент для извлечения паролей из Internet Explorer (версии 4.0–11.0), Mozilla Firefox (все версии), Google Chrome, Safari и Opera), Mimikatz, netpass64.exe и netscan.exe, а также HRSword.exe (для реализации техник обхода защиты).
В дополнение к вышеописанному поведению эксперты обнаружили попытки загрузки и выполнения различных полезных нагрузок из дополнительных неклассифицированных внешних ресурсов, которые использовались в других инцидентах эксплуатации.
Это убедительно свидетельствует о том, что другие злоумышленники злоупотребляли той же уязвимостью с другой полезной нагрузкой второго этапа, нацеленной на несколько целей.
Предполагается, что злоумышленники в рамках наблюдаемой кампании, нацелились на различные объекты в Бразилии, Хорватии, Франции, Индии, Индонезии, Монголии, Намибии, Перу, Испании, Швейцарии, Турции и ОАЭ, используя различные поддомены ScreenConnect (например, infinity.screenconnect[.]com).
Причем при дальнейшем отслеживании этой угрозы 23 октября 2024 года предпринимались новые попытки проэксплуатировать CVE-2023-48788 в реальных условиях.
Тогда акторы пытались выполнить скрипт PowerShell, размещенный на домене webhook[.]site, чтобы составить перечень уязвимых систем.
Индикаторы компрометации и технические подробности наблюдаемых атак - в отчете.
Как мы предполагали, удавки, накинутые на известных поставщиков spyware, в ближайшей перспективе будут сжиматься и достаточно ловко.
Первой, по всей видимости, в небытие отправят NSO Group, которая потерпела фиаско в пятилетнем судебном процессе, связанном с Pegasus, который был нацелен на уязвимости в мессенджере WhatsApp.
WhatsApp изначально подала жалобу на NSO Group еще в конце 2019 года, обвиняя ее в доступе к своим серверам без разрешения для установки инструмента Pegasus на 1400 устройств в мае того года.
Атаки были нацелены на 0-day в функции голосовых вызовов приложения (CVE-2019-3568, CVSS: 9,8) для инициирования развертывания шпионского ПО.
Затем добавились новые обвинения, в связи с тем, что NSO Group продолжала использовать WhatsApp для распространения шпионского ПО вплоть до мая 2020 года.
В свою защиту NSO Group неоднократно утверждала, что ее софт предназначался исключительно для использования государственными и правоохранительными органами для борьбы с тяжкими преступлениями, спасения похищенных детей и оказания содействия в ЧС.
Но на днях федеральный окружной судья Филлис Дж. Гамильтон в штате Калифорния ввынес решение в пользу Meta (признана в РФ экстремистской), отмечая, что представленные суду доказательства показывают, что код Pegasus ответчиков отправлялся через серверы истцов 43 раза в течение соответствующего периода времени в мае 2019 года.
Как отметил судья, NSO Group неоднократно не предоставляла соответствующих сведений и не выполняла постановления суда относительно таких сведений, имея в виду неспособность компании предоставить исходный код Pegasus.
По итогу суд признал NSO Group ответственной за нарушение договора, придя к выводу, что компания нарушила условия обслуживания WhatsApp, которые запрещают использование платформы обмена сообщениями в вредоносных или незаконных целях.
Теперь дальнейшее производство по делу будет вестись для решения вопроса возмещения ущерба, а учитывая практику штатского судопроизводства, суммы будут серьезные, возможно даже неподъемные для ответчика.
Но будем посмотреть.
Исследователи F.A.C.C.T. в новом отчете отмечают, что доступность исходных кодов и билдеров ransomware (Babuk, Conti и LockBit 3 (Black) в условиях текущей геополитической ситуации породила большое количество хакерских групп, нацеленных на российские компании и физлиц.
Наряду с политически мотивированными хактивистами данной ситуацией воспользовались и обычные киберпреступники, в том числе участники новой группы вымогателей Masque.
Masque – русскоговорящая финансово мотивированная группа, реализующая атаки на российский бизнес с использованием программ-вымогателей LockBit 3 (Black) и Babuk (ESXi).
Сумма первоначального выкупа составляет 5-10 млн. рублей (в BTC или XMR).
Свою деятельность группа Masque начала с января 2024 года, с мая по октябрь 2024 года было заметное снижение ее активности. Однако в ноябре-декабре 2024 года совершила несколько атак на более крупные российские компании.
В большинстве случаев начальным вектором атаки Masque является реализация уязвимости в публично доступных сервисах, таких как VMware Horizon, через эксплуатацию уязвимости CVE-2021-44228 (log4shell).
После успешной эксплуатации уязвимости атакующие используют скомпрометированный сервер в качестве плацдарма для дальнейшего развития атаки.
После получения доступа атакующие оперативно устанавливают инструменты удалённого доступа, такие как AnyDesk, который загружают с помощью легитимной утилиты certutil.
Для обеспечения устойчивого доступа атакующие создают локальные учётные записи, добавляя их в группу администраторов.
Кроме того, они создают доменные учётные записи и включают их в группу Enterprise Admins, чтобы использовать их при развертывании шифровальщика.
Атакующие, как правило, целенаправленно не тратят время на обход средств защиты информации и антивирусных решений.
Средства защиты отключаются только тогда, когда они препятствуют загрузке или запуску инструментов, либо после их обнаружения и блокировки.
Masque настраивает сетевые туннели для связи с С2 с помощью публично доступных инструментов, таких как chisel и LocaltoNet для создания альтернативных каналов доступа к инфраструктуре жертвы.
Основное перемещение внутри сети осуществляется с использованием протоколов RDP и SSH. В некоторых случаях злоумышленники используют WinRM, а также SMBExec из фреймворка Impacket.
Группа Masque не уделяет должного внимания глубокому изучению инфраструктуры жертвы и предварительной эксфильтрации. В результате этого резервные копии часто остаются нетронутыми, а данные на некоторых хостах не шифруются вовсе.
Для общения со своей жертвой злоумышленники используют мессенджер Tox, для каждой жертвы используется свой уникальный идентификатор.
В целом, группа не демонстрирует в атаках изощренных и инновационных методов.
Тем не менее, у имевшей до определенной поры достаточно скудный арсенал Masque, исследователи все же обнаружили любопытную программу, которую эксперты назвали MystiqueLoader.
Все технические подробности, описание TTPs атакующих и рекомендации по защите - в отчете F.A.C.C.T.
Возвращаясь к ботнетам, исследователи BitSight сообщают, что о резком увеличении BadBox, который смог заразить 192 000 устройств Android после того, как его обезвредили немецкие спецслужбы.
В BitSight предупреждают, что вредоносное ПО, по всей видимости, расширило охват своего воздействия за пределы китайских брендов Android-устройств, заражая теперь более известные и распространенные, такие как телевизоры Yandex и смартфоны Hisense.
BadBox - вредоносное ПО для Android, предположительно, на базе штамма Triada, которое нацелено на устройства посредством атак на прошивки в цепочке поставок, через инсайдеров, либо путем внедрения на этапе распространения продукции.
Впервые был обнаружен на Android TV-приставке T95, купленной на Amazon канадским ИБ-консультантом Дэниелом Милишичем в начале 2023 года. С тех пор вредоносная кампания охватила и другие малоизвестные продукты, продаваемые в Интернете.
Главной целью кампании BadBox является финансовая выгода, которая достигается путем задействования устройства в качестве резидентного прокси или для совершения мошенничества с рекламой.
Кроме того, вредоносное ПО BadBox может использоваться для установки дополнительных вредоносных программ на устройства Android, позволяя выполнять более серьезные вредоносные операции.
На прошлой неделе представители Федеральное ведомство по ИБ Германии (BSI) отрапортовали об успешной операции, в результате которой силовикам удалось нейтрализовать активность BadBox в стране, взломав один из С2-серверов и отключив связь с 30 000 устройств Android.
В числе них были цифровые фоторамки и устройства для потоковой передачи мультимедиа на базе Android, но BSI предупредила, что BadBox, скорее всего, может присутствовать также и в других категориях продуктов.
Аналогичным образом один из С2 удалось похакать исследователям BitSight, которые констатировали, что BADBOX несмотря на усилия немцев живее всех живых.
Только за 24 часа наблюдения Bitsight детектировали более 160 000 зараженных устройств, причем число продолжает расти.
Число обнаруженных устройств значительно превысило ранее наблюдавшееся пиковое значение и достигло 74 000.
В числе зараженных устройств - очень популярный в России телевизор Yandex 4K QLED Smart TV и смартфон Hisense T963.
Основная масса зараженных девайсов располагается в России (до 113 000), затем следуют Китай (до 60 000), Индия, Белоруссия, Бразилия и Украина (от 1800 до 30 000).
BitSight отмечает, что недавняя операция BSI никак фактически не повлияла на телеметрические данные, поскольку действие было географически ограничено, что позволило вредоносному ПО BadBox для Android беспрепятственно продолжить свою деятельность.
Будем следить.
Специализирующаяся на Privileged Access Management и решениях для удаленного доступа BeyondTrust подверглась кибератаке в начале декабря после того, как злоумышленники взломали некоторые из ее экземпляров SaaS-сервиса удаленной поддержки.
Ппродукция компании используются госучреждениями, технологическими фирмами, предприятиями розничной торговли и электронной коммерции, организациями здравоохранения, поставщиками энергетических и коммунальных услуг, а также банковским сектором.
2 декабря 2024 года специалисты BeyondTrust здетектили аномальное поведение в своей сети. В результате оперативного расследования удалось установить, что злоумышленники смогли скомпрометировать ограниченное число клиентов Remote Support SaaS.
Дальнейшее разбирательство привело к пониманию, что хакеры получили доступ к ключу API удаленной поддержки SaaS, который позволил им сбросить пароли для локальных учетных записей приложений.
BeyondTrust немедленно отозвала ключ API, уведомила известных затронутых клиентов и приостановила работу скомпрометированных экземпляров в тот же день, предоставив клиентам альтернативные экземпляры SaaS-поддержки.
Пока неясно, смогли ли злоумышленники использовать взломанные экземпляры SaaS-сервиса удаленной поддержки для реализации атак на клиент.
Но зато в ходе расследования атаки компания обнаружила две уязвимости: одну 16 декабря и другую 18 числа.
Первая CVE-2024-12356 представляет собой критическую уязвимость внедрения команд, влияющую на продукты Remote Support (RS) и Privileged Remote Access (PRA).
Успешная эксплуатация этой уязвимости может позволить неавторизованному удаленному злоумышленнику выполнять базовые команды операционной системы в контексте пользователя сайта.
Вторая проблема, CVE-2024-12686, представляет собой уязвимость средней степени серьезности в тех же продуктах, позволяющую злоумышленникам с правами администратора вводить команды и загружать вредоносные файлы на целевой объект.
Компания явно не указывает, что хакеры использовали эти две уязвимости в качестве 0-day для доступа к системам BeyondTrust или в составе своей цепочки атак для охвата клиентов.
Но это вполне допускается, даже несмотря на то, что в рекомендациях по ним отметки об эксплуатации отсутствуют.
BeyondTrust сообщает, что они автоматически применили исправления для двух уязвимостей на всех облачных экземплярах, но тем, кто использует локальные экземпляры, необходимо вручную применить обновление безопасности.
А расследование инцидента тем временем продолжается.
Исследователи из Лаборатории Касперского в своем новом отчете профилировали группу хактивистов C.A.S (Cyber Anarchy Squad), атакующую организации в России и Беларуси, начиная с 2022 года.
Основная цель, помимо кражи данных, - нанесение максимального ущерба, в том числе и репутационного.
При этом свои цели злоумышленники выбирают, исходя из их местоположения, вне зависимости от сферы деятельности организации.
C.A.S, как и большинство хактивистских группировок, использует Telegram в качестве платформы для распространения информации о своих жертвах.
Примечательно, что в числе админов их чатов помимо членов C.A.S есть и представители смежных групп, например Sean Townsend, который является администратором хактивистской группы RUH8 и пресс-секретарем группировки Ukrainian Cyber Alliance.
Собственно, в своем Telegram-канале C.A.S сами заявляют, что в некоторых атаках сотрудничает с другими группировками на российском и белорусском направлениях, включая U.C.A (Ukrainian Cyber Alliance), RUH8, RM-RF и др.
Так, в ходе расследования одного из инцидентов в инфраструктуре одной из жертв C.A.S обнаружились следы компрометации, ведущие к группировке DARKSTAR (также как Shadow и Comet).
Исследователи полагают, что в рамках совместной работы участники групп делятся доступами к сетям своих жертв, инфраструктурой C2 и инструментами.
Первоначальный доступ к атакуемым системам С.A.S получает с помощью эксплуатации публично доступных приложений, компрометируя сервисы Jira, Confluence и Microsoft SQL Server при помощи уязвимостей.
Причем хактивисты не используют фишинг в качестве первоначального вектора атаки, вероятно, атакуя уязвимые сетевые ресурсы либо получая доступ к системе за счет компрометации третьими лицами.
Для дальнейшего продвижения по инфраструктуре, удаленного управления и выполнения команд в зараженных системах атакующие использовали редкие RAT из открытых источников, такие как Revenge RAT и Spark RAT, — в атаках других хактивистов замечены не были.
Как и их коллеги по цеху, для сбора учетных данных в своих атаках С.A.S использовали связку одних и тех же утилит, в том числе: XenAllPasswordPro, BrowserThief и Mimikatz.
Для коммуникации с C2 группировка также задействует использует различные инструменты.
Злоумышленники применяют обратные оболочки, сгенерированные с помощью инструмента msfvenom для фреймворка Metasploit, а также публично доступные RAT-троянцы.
В одном из инцидентов ресерчеры обнаружили обратную оболочку Meterpreter, с ее помощью которой группировка получала полноценный доступ к скомпрометированной системе для выполнения минимально необходимого набора действий в зараженной системе.
Для нанесения ущерба своим жертвам группировка шифрует инфраструктуру.
Традиционно арсенал злоумышленников составляют слитые билдеры шифровальщика LockBit для Windows и Babuk для Linux.
Помимо шифрования злоумышленники могут уничтожать данные в различных сегментах сети жертвы или на определенных серверах.
Индикаторы компрометации и технический разбор TTPs С.A.S - в отчете.
IntelBroker сдержал обещание и вывалил 2,9 ГБ данных, недавно украденных из Cisco DevHub, утверждая при этом, что это лишь малая часть от общего объема утечки.
Первые заявления в отношении взлома Cisco известный хакер делал еще в октябре, анонсируя кражу исходного кода, сертификатов, учетных данных, конфиденциальной документации, ключей шифрования и др. чувствительной информации.
При этом хакер отмечал, что добрался до исходников сразу нескольких крупных компаний.
Тогда в это верилось с трудом, но учитывая его репутацию - заявления все же воспринимались всерьез.
Инициировавшая по горячим следам расследование Cisco отрицала взлом своих систем и указывала на то, что данные на самом деле были получены из общедоступной среды DevHub, которая служит ресурсным центром для поддержки клиентов.
Правда, почему-то, как заметил сам поставщик, помимо общедоступных данных в утечке оказались и некоторые приватные файлы, которые оказывается, были непреднамеренно опубликованы на сайте из-за ошибки конфигурации.
Если первоначально Cisco заявляла об отсутствии доказательств относительно компрометации конфиденциальной информаций, включая личные или финансовые данные, то с тех пор это заявление исчезло из отчетов об инцидентах.
На этой неделе IntelBroker помог продвинуть расследование Cisco и осознать реальные масштабы случившегося.
Как оказалось, 2,9 ГБ на BreachForums относятся к Cisco Catalyst, IOS, Identity Services Engine (ISE), Secure Access Service Edge (SASE), Umbrella и WebEx и включают в себя файлы исходного кода JavaScript, Python и др, а также сертификаты и файлы библиотек.
Cisco отреагировала на сообщения IntelBroker в прежней манере, продолжая гнуть свою линию, фактически полностью отрицая инцидент.
По ее данным, в утечке именно то, что ранее было идентифицировано в ходе расследования.
В компании уверены, что не было никакого взлома систем, и вообще, в представленном контенте нет никакой информации, которую злоумышленник мог бы использовать для доступа к любой из производственных или корпоративных сред.
Учитывая, что в целом, хакеру удалось выкрасть 4,5 ТБ данных с экземпляра DevHub, то следует ожидать продолжения банкета. Но, как обычно, будем посмотреть.
🔐 Best EDR Of The Market (BEOTM).
• Endpoint Detection and Response (EDR) — класс решений для обнаружения и изучения вредоносной активности на конечных точках: подключенных к сети рабочих станциях, серверах, iot и т.д.
• В отличие от антивирусов, задача которых — бороться с типовыми и массовыми угрозами, EDR-решения ориентированы на выявление целевых атак и сложных угроз. При этом EDR не может полностью заменить антивирусы, поскольку эти две технологии решают разные задачи.
• Если у Вас есть желание потренироваться обходить детекты EDR, то этот репозиторий станет отличным средством: https://github.com/Xacone/BestEdrOfTheMarket
- NT-Level API Hooking;
- Kernel32/Base API Hooking;
- Active Response w/ YARA rules or simple patterns;
- IAT Hooking;
- Threads Call Stack Monitoring (Stacked parameters + Unbacked addresses);
- Heap Regions Analysis;
- Direct Syscalls Detection;
- Indirect Syscalls Detection;
- AMSI/ETW Patching Mitigation.
• А еще в блоге автора есть очень много полезной информации и описание всех техник, которые перечислены выше:
- Часть 1;
- Часть 2.
S.E. ▪️ infosec.work ▪️ VT
Исследователи G DATA опубликовали отчет с обзором нового трояна удаленного доступа I2PRAT, который реализует C2-коммуникаций через анонимную одноранговую сеть, задействуя I2PD, клиента I2P на языке C++ с открытым исходным кодом.
Цепочка заражения начинается с фишинговой ссылки в письме, которая ведет на веб-страницу, представляющую собой поддельную страницу капчи.
Она содержит код JavaScript, который копирует вредоносный скриптли отчет с обзорв буфер обмена, который выполняется в случае нажатия пользователем комбинации клавиш под видом того, чтобы подтвердить, что он «человек».
Скрипт PowerShell доставляет загрузчик вредоносного ПО первого этапа и выполняет его. В конце концов скрипт открывает страницу с порно, дабы не вызвать у пользователя подозрений, завершая тем самым фишинговый маневр.
Загрузчик первой стадии использует собственные API, доступные из NTDLL, для определения текущих привилегий процесса. Если загрузчик не запущен с повышенными привилегиями, он использует технику обхода UAC, описаннуб в статье Google Project Zero.
После запуска с повышенными привилегиями вредоносная программа расшифровывает и загружает полезную нагрузку - фактический загрузчик вредоносного ПО. Загрузчик продолжает связываться с сервером C2 с помощью сокета TCP, куда отправляются некоторые системные данные.
В конечном итоге C2 отправляет серию зашифрованных полезных нагрузок с инструкцией по их выполнению на машине жертвы. Всего выполняется три полезных нагрузки. Вредоносная ПО использует две полезные нагрузки, чтобы избежать обнаружения Microsoft Defender.
Одна из них - это пакетный скрипт, расположенный в %TEMP%\<random_name>.bat, который вызывает ряд команд PowerShell для управления настройками Microsoft Defender, отзывая согласие на загрузку образцов в Microsoft.
Следующая полезная нагрузка, разворачиваемая вредоносным ПО в %TEMP%\<random_name>.exe, подключается к движку WFP через API для блокировки исходящего трафика от служб, связанных с обновлением Windows и Microsoft Defender.
Затем загрузчик развертывает установщик RAT %TEMP%\<random_name>.exe и запускает его. Размер составляет около 10 МБ, и в нем в зашифрованном виде встроено несколько компонентов вредоносного ПО.
При запуске вредоносное ПО создает каталог C:\users\Public\Computer.{20d04fe0-3aea-1069-a2d8-08002b30309d} для хранения компонентов RAT.
Когда создается каталог с таким именем, операционная система рассматривает его как ярлык для «Моего компьютера». Поэтому содержимое каталога нельзя просмотреть напрямую. Этот трюк помогает скрыть и сделать файлы вредоносного ПО недоступными.
Кроме того, утилита «icacls.exe» используется для дальнейшего ограничения разрешений каталога. Все компоненты RAT впоследствии устанавливаются в этот каталог.
Реализация RAT полностью модульная, а функциональность реализована в отдельных плагинах (DLL).
После инициализации все плагины устанавливают соединение с «шиной событий», чтобы иметь возможность получать и обрабатывать события, которые также включают команды.
Исследование вредоносного ПО показывает, что оно было активно по крайней мере с марта 2024 года и может распространяться через PrivateLoader.
Подробный технический разбор модулей и основного функционала RAT - в отчете.
Генпрокуратура РФ признала нежелательной на территории России деятельность (вестника вашингтонского обкома) американской неправительственной организации Recorded Future.
Компания основана в 2009 году и на текущий момент принадлежит MasterCard, штаб-квартира расположена в штате Массачусетс, филиалы - в Великобритании, Швеции, Японии и Сингапуре.
Финансирование получает от ведущих американских корпораций, включая Google и In-Q-Tel. Последняя активно инвестирует в подобные стартапы в интересах ЦРУ, РУМО и АНБ США.
Как отмечают в Генеральной прокуратуре, сотрудники Recorded Future реализуют услуги по поиску, обработке и аналитике данных, в том числе в закрытом сегменте Интернета.
Специализируются на киберугрозах, активно взаимодействуют с ЦРУ и разведслужбами других государств. Обеспечивают информационно-техническую поддержку развернутой Западом пропагандистской кампании против России.
Организация участвует в сборе и анализе данных о действиях ВС РФ. Обеспечивает украинским специалистам свободный доступ к программам, используемым для подготовки и проведения наступательных информационных операций против России.
А между тем, пока мы обсуждаем вопросы информационной безопасности, практически незаметно происходит какая-то НЕХ (не сокращение от Hexadecimal, а совсем даже наоборот). Впрочем, часть наших подписчиков про нее наверняка уже слышало.
Около месяца назад жители американского Нью-Джерси начали выкладывать в сеть видео и фото странных дронов размером под 2 метра, которые шныряют над прибрежным штатом как у себя дома, помаргивая при этом зелеными, белыми и красными огнями. Особенно смущает свидетелей два обстоятельства:
- маршруты дронов, которые часто пролегают по направлению в океан или из него;
- их просто неприлично большое количество (так, в одном из телевизионных репортажей журналист рассказывает, что съемочная группа стала непосредственным свидетелем пролета от 40 до 50 дронов за один час).
У кого-то из свидетелей глючит электроника, кто-то слышит странные звуки по радио. В X.com даже был создан тег <b>#NJDRONES</b>, под которым можно найти множество видеосъемок и комментариев очевидцев. В одном из случаев сообщалось о падении дрона на шоссе, после чего место крушения было оцеплено полицией. Все это выходит за рамки обычного (или даже необычного) пранка. Да и в других штатах дроны тоже стали замечать.
Шум понялся настолько большой, что официальные власти были вынуждены отреагировать и начать давать свои комментарии. Неделю назад Фил Мерфи, губернатор Нью-Джерси, провел специальную пресс-конференцию, сказав, что это очень сложный вопрос для властей. Через два дня местный конгрессмен Джеф Ван Дрю заявил на Fox News, что, по данным его конфиденциальных источников, дроны запускаются с иранского корабля-матки, дрейфующего где-то в Атлантике. В ответ на это представитель Пентагона на пресс-конференции заявила, что это все фигня и корабля нету.
Дальше – больше. На тему дронов высказались советник по национальной безопасности Президента США Джон Кирби и известный сенатор Чак Шумер, которые сообщили, что «никто не знает, что это такое». А Дональд Трамп в социальной сети Truth Social, по сути, призвал правительство либо признать что эти «таинственные дроны» принадлежат федеральным властям, либо сбивать их.
Плюс появилась куча других свидетельств в отношении НЛО, взлетающих у побережья Кувейта из океана светящихся шаров и пр.
Теорий звучит, понятное дело, множество – от конспирологии Project Blue Beam, согласно которой это последний этап установления глобальной диктатуры, имитирующий инопланетное вторжение, до вполне рационального предположения, что это федеральные дроны, которые используют для выявления источников гамма-излучения (то есть для поиска потерянной ядерной бомбы).
Как бы там ни было, сегодня в 10 часов вечера по МСК состоится совместная конференция ЦРУ, ФБР и Минобороны США, посвященная данному вопросу. Может там чего скажут.
А SecAtor скромно постоит в сторонке и лишь напомнит, что мы писали про эту ебанину всего лишь каких-то 3,5 года назад.
Proofpoint сообщает о новых ноябрьских атаках Bitter APT (отслеживает ее как TA397), нацеленных на турецкую компанию в сфере ВПК для внедрения вредоносных ПО на языке C++, известных как WmRAT и MiyaRAT.
В цепочке атак задействовались альтернативные потоки данных в архиве RAR для доставки файла LNK, который создавал запланированную задачу на целевой машине для извлечения дополнительных полезных данных.
Индийская APT также упоминается как APT-C-08, APT-Q-37, Hazy Tiger и Orange Yali, активна по крайней мере с 2013 года.
В числе последних целей - объекты в Китае, Пакистане, Индии, Саудовской Аравии и Бангладеш, которые были атакованы с использованием BitterRAT, ArtraDownloader и ZxxZ.
Кроме того, согласно отчетам BlackBerry и Meta (признана экстремистской в РФ) за 2019 и 2022, в арсенале Bitter были замечены такие вредоносные программы для Android, как PWNDROID2 и Dracarys.
Ранее в марте этого года исследователи NSFOCUS также детектировали фишинговые атаки со стороны Bitter в отношении китайского правительственного учреждения, в результате которых доставлялся RAT с функционалом кражи данных и удаленного управления.
Последняя цепочка атак, задокументированная Proofpoint, включала использование злоумышленником приманки в виде инфраструктурных проектов на Мадагаскаре для побуждения потенциальных жертв к запуску заминированного вложения в виде архива RAR.
В архиве содержался файл-обманка с описанием публичной инициативы Всемирного банка по развитию инфраструктуры на Мадагаскаре, файл ярлыка Windows, маскирующийся под PDF-файл, и скрытый файл альтернативного потока данных ADS, содержащий код PowerShell.
После запуска LNK один из потоков данных задействовал код для извлечения файла-приманки, размещенного на сайте Всемирного банка, в то время как второй поток данных ADS - скрипт PowerShell в кодировке Base64 для открытия документа-приманки и настройки запланированной задачи, отвечающей за извлечение полезных данных финального этапа с домена jacknwoods[.]com.
Как ранее отмечали в QiAnXin, WmRAT и MiyaRAT обладают стандартными возможностями RAT, позволяя собирать системную информацию, загружать или извлекать файлы, делать скрины, отслеживать геолокацию, сканировать файлы и каталоги, а также выполнять произвольные команды через cmd.exe или PowerShell.
При этом исследователи полагают, что MiyaRAT является более новым из двух инструментов в арсенале и применяется APT исключительно в отношении особо важных целей, ранее он фигурировал лишь в нескольких кампаниях.
Технические подробности WmRAT и MiyaRAT и цепочки атак - отчете.