awesome-linux-rootkits: https://github.com/milabs/awesome-linux-rootkits

#linux #rootkits

В Kubernetes были обнаружены три критических недостатка, которые могут быть использованы для RCE с повышенными привилегиями на оконечных устройствах Windows в рамках одного кластера.

Все уязвимости взаимосвязаны и отслеживаются как CVE-2023-3676, CVE-2023-3893 и CVE-2023-3955 с оценкой CVSS 8.8.

Баги влияют на все среды Kubernetes с хостами Windows, а для эксплуатации злоумышленнику нужно применить вредоносный файл YAML в кластере.

CVE-2023-3676 позволяет злоумышленнику с привилегиями 'apply' взаимодействовать с API Kubernetes и внедрять произвольный код, который будет выполнен на удаленных машинах Windows с привилегиями SYSTEM.

Уязвимость, так же, как и CVE-2023-3955, возникает из-за недостаточной очистки входных данных, что позволяет специально созданной строке пути быть проанализированной в качестве параметра команды PowerShell, что в конечном итоге приводит к выполнению команды.

С другой стороны, CVE-2023-3893, связана со случаем эскалации привилегий в прокси-сервере Container Storage Interface (CSI), что позволяет злоумышленнику получить административный доступ к узлу.

Баги раскрыты 13 июля 2023 года исследователями Akamai, а 23 августа были выпущены соответствующие исправления.

В Amazon Web Services, Google Cloud и Microsoft Azure выпустили советы по устранению этих ошибок, которые влияют на следующие версии Kubelet: < v1.28.1, v1.27.5, v1.26.8, v1.25.13 и v1.24.17.

Исследователи Dr.Web сообщают об обнаружении новых версий троянца Android.Spy.Lydia, который реализует различные шпионские действия на зараженных устройствах и обеспечивает удаленное управление для кражи личной информации или денежных средств.

Более того, вредоносная ПО имеет защитный механизм, проверяющий, запускаются ли они в эмуляторе или на тестовом устройстве.

Трояны распространяются через вредоносные сайты, выдающие себя за финансовые организации, например онлайн-биржи, основной аудиторией которых, по мнению мошенников, являются жители Ирана.

После регистрации на сайте для доступа к торговой сессии пользователю предлагается скачать и установить специальное программное обеспечение, а реальности Android.Spy.Lydia.

При запуске троян запрашивает ссылку на фишинговую страницу с hxxp[:]//teuoi[.]com , которая затем отображается на экране через WebView без открытия браузера. Изученный образец вредоносной ПО открывал следующий URL: hxxps[:]//my-edalatsaham[.]sbs/fa/app.php.

На этой странице якобы находится форма для ввода идентификационного номера, на который в дальнейшем будет произведена «выплата дивидендов».

На самом деле на этом этапе троян отправляет своему командному серверу свой уникальный идентификатор и информацию об успешном заражении устройства.

После заражения устройства троян подключается к удаленному хосту по адресу ws[:]//httpiamaloneqs[.]xyz:80 через WebSocket и ожидает отправки команд зараженным устройствам.

Функционал трояна реализует следующий спектр действий: сбор информации о приложениях, перехват sms, управлением звуком и телефонной книгой и др., позволяющих совершать мошеннические действия для кражи денег как с банковских учреждений, так и у частных лиц, действуя от имени жертвы.

NetCat для пентестера.

#Netcat #CheatSheet

Подкатили подробности столь срочного выпуска Apple обновлений для исправления 0-day в ОС iPhone, iPad, Mac и Apple Watch.

Как несложно было предположить в связи участием в раскрытии исследователей Citizen Lab и Google TAG, эксплуатация CVE-2023-41991, CVE-2023-41992 и CVE-2023-41993 была связана со spyware Predator от Cytrox.

В частности, на этот раз жертвой стал египетский политик Ахмед Альтантави, который подвергся атаке почти сразу после того, как объявил о выдвижении своей кандидатуры для участия в предстоящих выборах президента в 2024 году.

При этом за атакой, по данным исследователей, стояли действующие власти Египта.

При этом ранее телефон Альтантави уже успешно взломывался с помощью Cytrox spyware еще в 2021 году в рамках отдельного инцидента, как и телефоны ряда других оппозиционных деятелей.

В ходе совместного расследования с Facebook (признана в РФ экстремистской) тогда было установлено что Cytrox имеет широкую клиентуру в Армении, Греции, Индонезии, Мадагаскаре, Омане, Саудовской Аравии и Сербии.

Citizen Lab пояснила, что в период с мая по сентябрь 2023 года злоумышленники реализовали атаку с использованием фейковых SMS и сообщений WhatsApp, а также компрометируя подключение девайса к сети Vodaphone Egypt с позиции оператора для перенаправления на вредоносный сайт через определенные ресурсы без HTTPS.

На устройствах iOS использовался эксплойт для первоначального удаленного выполнения кода (RCE) в Safari через вредоносные страницы, ошибка CVE-2023-41991 для обхода проверки подписи и CVE-2023- 41992 для повышения привилегий ядра.

Кроме того, Google TAG отмечает, что злоумышленники использовали отдельную цепочку эксплойтов для установки шпионского ПО Predator на устройства Android в Египте, эксплуатируя CVE-2023-4762 в Chrome, исправленную 5 сентября — в качестве 0-day для удаленного выполнения кода.

Тем не менее, детали того, как удалось обнаружить цепочку шпионских эксплойтов, исследователи пояснять не стали.

И без того понятно что, после внесения США в июле поставщика Predator, Cytrox, в свой черный список, стали вдруг нужны разоблачительные кейсы, которых в ближайшее время станет еще больше.

Ведь прошлогодний скандал с Predator в Греции обеспечил ускоренную отставку двух высокопоставленных правительственных чиновников, включая директора национальной разведки. Теперь - Египет.