awesome-linux-rootkits: https://github.com/milabs/awesome-linux-rootkits

#linux #rootkits

В Kubernetes были обнаружены три критических недостатка, которые могут быть использованы для RCE с повышенными привилегиями на оконечных устройствах Windows в рамках одного кластера.

Все уязвимости взаимосвязаны и отслеживаются как CVE-2023-3676, CVE-2023-3893 и CVE-2023-3955 с оценкой CVSS 8.8.

Баги влияют на все среды Kubernetes с хостами Windows, а для эксплуатации злоумышленнику нужно применить вредоносный файл YAML в кластере.

CVE-2023-3676 позволяет злоумышленнику с привилегиями 'apply' взаимодействовать с API Kubernetes и внедрять произвольный код, который будет выполнен на удаленных машинах Windows с привилегиями SYSTEM.

Уязвимость, так же, как и CVE-2023-3955, возникает из-за недостаточной очистки входных данных, что позволяет специально созданной строке пути быть проанализированной в качестве параметра команды PowerShell, что в конечном итоге приводит к выполнению команды.

С другой стороны, CVE-2023-3893, связана со случаем эскалации привилегий в прокси-сервере Container Storage Interface (CSI), что позволяет злоумышленнику получить административный доступ к узлу.

Баги раскрыты 13 июля 2023 года исследователями Akamai, а 23 августа были выпущены соответствующие исправления.

В Amazon Web Services, Google Cloud и Microsoft Azure выпустили советы по устранению этих ошибок, которые влияют на следующие версии Kubelet: < v1.28.1, v1.27.5, v1.26.8, v1.25.13 и v1.24.17.

Исследователи Dr.Web сообщают об обнаружении новых версий троянца Android.Spy.Lydia, который реализует различные шпионские действия на зараженных устройствах и обеспечивает удаленное управление для кражи личной информации или денежных средств.

Более того, вредоносная ПО имеет защитный механизм, проверяющий, запускаются ли они в эмуляторе или на тестовом устройстве.

Трояны распространяются через вредоносные сайты, выдающие себя за финансовые организации, например онлайн-биржи, основной аудиторией которых, по мнению мошенников, являются жители Ирана.

После регистрации на сайте для доступа к торговой сессии пользователю предлагается скачать и установить специальное программное обеспечение, а реальности Android.Spy.Lydia.

При запуске троян запрашивает ссылку на фишинговую страницу с hxxp[:]//teuoi[.]com , которая затем отображается на экране через WebView без открытия браузера. Изученный образец вредоносной ПО открывал следующий URL: hxxps[:]//my-edalatsaham[.]sbs/fa/app.php.

На этой странице якобы находится форма для ввода идентификационного номера, на который в дальнейшем будет произведена «выплата дивидендов».

На самом деле на этом этапе троян отправляет своему командному серверу свой уникальный идентификатор и информацию об успешном заражении устройства.

После заражения устройства троян подключается к удаленному хосту по адресу ws[:]//httpiamaloneqs[.]xyz:80 через WebSocket и ожидает отправки команд зараженным устройствам.

Функционал трояна реализует следующий спектр действий: сбор информации о приложениях, перехват sms, управлением звуком и телефонной книгой и др., позволяющих совершать мошеннические действия для кражи денег как с банковских учреждений, так и у частных лиц, действуя от имени жертвы.

NetCat для пентестера.

#Netcat #CheatSheet

Подкатили подробности столь срочного выпуска Apple обновлений для исправления 0-day в ОС iPhone, iPad, Mac и Apple Watch.

Как несложно было предположить в связи участием в раскрытии исследователей Citizen Lab и Google TAG, эксплуатация CVE-2023-41991, CVE-2023-41992 и CVE-2023-41993 была связана со spyware Predator от Cytrox.

В частности, на этот раз жертвой стал египетский политик Ахмед Альтантави, который подвергся атаке почти сразу после того, как объявил о выдвижении своей кандидатуры для участия в предстоящих выборах президента в 2024 году.

При этом за атакой, по данным исследователей, стояли действующие власти Египта.

При этом ранее телефон Альтантави уже успешно взломывался с помощью Cytrox spyware еще в 2021 году в рамках отдельного инцидента, как и телефоны ряда других оппозиционных деятелей.

В ходе совместного расследования с Facebook (признана в РФ экстремистской) тогда было установлено что Cytrox имеет широкую клиентуру в Армении, Греции, Индонезии, Мадагаскаре, Омане, Саудовской Аравии и Сербии.

Citizen Lab пояснила, что в период с мая по сентябрь 2023 года злоумышленники реализовали атаку с использованием фейковых SMS и сообщений WhatsApp, а также компрометируя подключение девайса к сети Vodaphone Egypt с позиции оператора для перенаправления на вредоносный сайт через определенные ресурсы без HTTPS.

На устройствах iOS использовался эксплойт для первоначального удаленного выполнения кода (RCE) в Safari через вредоносные страницы, ошибка CVE-2023-41991 для обхода проверки подписи и CVE-2023- 41992 для повышения привилегий ядра.

Кроме того, Google TAG отмечает, что злоумышленники использовали отдельную цепочку эксплойтов для установки шпионского ПО Predator на устройства Android в Египте, эксплуатируя CVE-2023-4762 в Chrome, исправленную 5 сентября — в качестве 0-day для удаленного выполнения кода.

Тем не менее, детали того, как удалось обнаружить цепочку шпионских эксплойтов, исследователи пояснять не стали.

И без того понятно что, после внесения США в июле поставщика Predator, Cytrox, в свой черный список, стали вдруг нужны разоблачительные кейсы, которых в ближайшее время станет еще больше.

Ведь прошлогодний скандал с Predator в Греции обеспечил ускоренную отставку двух высокопоставленных правительственных чиновников, включая директора национальной разведки. Теперь - Египет.

#DevOps #Roadmap

Исследователи Dr.Web сообщают, что киберпреступники активно используют серьезную уязвимость Openfire в актах для шифрования серверов и установки криптомайнеров.

Openfire — это широко используемый сервер XMPP на основе Java с более чем 9 миллионами загрузок и широко используемый для организации безопасных межплатформенных чатов.

CVE-2023-32315 представляет собой обход аутентификации в консоли администрирования Openfire, позволяющий неаутентифицированным злоумышленникам создавать учетные записи администратора на уязвимых серверах.

Используя новые учетные записи, злоумышленники могут устанавливать вредоносные плагины Java (файлы JAR), посредством которых выполнять команды, полученные через HTTP-запросы GET и POST.

Ошибка затрагивает все версии Openfire от 3.10.0, начиная с 2015 года, до 4.6.7 и от 4.7.0 до 4.7.4.

Несмотря на то, что разработчики устранили проблему в версиях 4.6.8, 4.7.5 и 4.8.0 еще в мае 2023 года, исследователи VulnCheck к середине августа 2023 года наблюдали более 3000 серверов Openfire, работающих под управлением уязвимых версий.

Первый случай активной эксплуатации исследователи Dr. Web заметили в июне 2023 года в ходе расследования атаки ransomnware, реализованную с использованием CVE-2023-32315 для взлома сервера.

Злоумышленники создали нового пользователя-администратора в Openfire, вошли в систему для установки вредоносного плагина JAR, который позволял выполнять команды оболочки на сервере, запускал и передавал в POST-запросе написанный на Java код.

Некоторые из вредоносных JAVA-плагинов, обнаруженных Dr. Web, включали: helloworld-openfire-plugin-assembly.jar, Product.jar и bookmarks-openfire-plugin-assembly.jar.

Далее с использование приманки Dr. Web обнаружила другие дополнительные трояны, которые применяются в реальных атаках.

Первая из дополнительных полезных нагрузок - троян для майнинга криптовалют на базе Go, известный как Kinsing.

Его операторы используют уязвимость для создания учетной записи администратора с именем OpenfireSupport, а затем устанавливают вредоносный плагин под названием plugin.jar, который извлекает полезную нагрузку майнера и устанавливает ее на сервер.

В другом случае злоумышленники вместо него установили бэкдор на базе C, упакованный в UPX, следуя аналогичной цепочке заражения.

Третий сценарий атаки, наблюдаемый аналитиками, заключается в использовании вредоносного плагина Openfire для получения информации о скомпрометированном сервере (сетевых подключениях, IP-адресах, пользовательских данных и версии ядра системы).

В общей сложности Dr. Web наблюдала наблюдала четыре различных сценария атак с использованием CVE-2023-32315. В связи с чем, настоятельно рекомендуют клиентам как можно скорее применить доступные обновления безопасности.