Исследователи из BI.ZONE сообщают об обнаружении ранее неизвестного злоумышленника, который активен как минимум с 2022 года и теперь отслеживается как Fluffy Wolf.

Группировка Fluffy Wolf действует просто, но достаточно эффективно: как минимум 5% сотрудников организаций скачивают и открывают вредоносные вложения.

Первоначальный доступ реализуется с помощью фишинговой рассылки с вложенными архивами, защищенными паролем.

Архивы содержат исполняемые файлы, замаскированные под акты сверки расчетов. Основная цель — доставить в скомпрометированную систему набор инструментов, который мог включать легитимное средство Remote Utilities, стилер Meta Stealer, WarZone RAT или майнер XMRig.

С их помощью атакующие получают удаленный доступ, крадут учетные данные или используют ресурсы взломанной инфраструктуры для майнинга.

В одной из последних кампаний злоумышленники рассылали фишинговые электронные письма с темой «Акты на подпись» от имени одной из строительных компаний с архивом, пароль для которого был в названии файла.

Архив включал Akt_Sverka_1C_Doc_28112023_PDF.com, который загружал и инсталлировал средство удаленного доступа Remote Utilities, а также запускал коммерческое ВПО Meta Stealer.

Арендовать клон популярного стилера RedLine на месяц можно за 150 долларов, купить пожизненную лицензию - за 1000 долларов, а главное у него отсутствуют ограничения для атак по России и СНГ.

Исследователи также отследили предыдущие кампании Fluffy Wolf и выявили варианты атак с различными комбинациями загрузчиков и полезной нагрузки.

Таким образом злоумышленники продолжают экспериментировать с легитимным ПО для удаленного доступа, добавляя в свой арсенал всё новые варианты.

При этом коммерческое ВПО и его «взломанные» варианты способствуют расширению ландшафта угроз, позволяя реализовывать успешные атаки даже злоумышленникам с низким уровнем технической подготовки.

Специалисты Sucuri предупреждают о масштабной кампании, нацеленной на сайты WordPress, связанной с внедрением в них скриптов, которые реализуют через браузеры посетителей брут паролей для других ресурсов.

Вероятно, произошла переоценка целей, поскольку ранее злоумышленники использовали подобные скрипты для внедрения AngelDrainer и кражи криптовалюты, отправляя месседж пользователям, чтобы те подключали свои кошельки к зараженным сайтам.

Однако в конце февраля тактика хакеров изменилась с сторону использования скриптов для захвата браузеров посетителей с целью брутфорса. Исследователи полагают, что это может быть обусловлено желанием хакеров создать более обширный портфель сайтов, с которых можно будет запускать дальнейшие атаки в более крупном масштабе.

Вредоносный код встраивается в HTML-шаблоны и при посещении сайта скрипты загружаются в браузер. Эти скрипты заставляют браузер тихо связываться с сервером злоумышленников по адресу 'https://dynamic-linx[.]com/getTask.php', чтобы получить задачу по подбору паролей.

Эта задача представляет собой файл JSON, содержащий параметры атаки методом перебора: идентификатор, URL-адрес веб-сайта, имя учетной записи, число, обозначающее текущий пакет паролей, которые необходимо пройти, и сто паролей, которые нужно попробовать.

Сам же скрипт использует интерфейс XMLRPC сайта WordPress и, если пароль оказывается верным, злоумышленник получает уведомление и может далее может подключиться к сайту и получить загруженный файл, содержащий пару имени пользователя и пароля в кодировке Base64.

При этом вредоносный скрипт продолжит получать новые задачи, пока страница будет остаеаться открытой в браузере посетителя.

По данным Sucuri, уже более 1700 сайтов были взломаны и содержат эти скрипты или их загрузчики. К примеру, среди них был обнаружен веб-сайт Эквадорской ассоциации частных банков, который пылесосил пароли ничего не подозревающих его посетителей.

В отчете доступны индикаторы компрометации и рекомендации по выявлению угрозы.

Исследователи Shadowserver дают неутешительную статистику, согласно которой около 150 000 веб-шлюзов Fortinet FortiOS и FortiProxy остаются уязвимы для критической CVE-2024-21762, позволяющей выполнять код без аутентификации.

Причем более 24 000 - находятся в США, за ними следуют Индия, Бразилия и Канада.

И все это при том, что американская CISA подтвердила активную эксплуатацию и добавила эту уязвимость в свой каталог известных эксплуатируемых уязвимостей (KEV), а исправления доступны с прошлого месяца.

Удаленный злоумышленник может воспользоваться CVE-2024-21762 (CVSS 9,8, согласно NIST), отправив специально созданные HTTP-запросы на уязвимые машины.

Подробности о том, кто и как реализует проблему в своих кампаниях, в настоящее время ограничены и, вероятно, уязвимость используется в отдельных атаках более изощренными злоумышленниками.

Глубоко проанализировавшая коренные причины двух недавних уязвимостей, включая помимо названной и CVE-2024-23113, BishopFox поделились скриптом Python для проверки, уязвимы ли их системы SSL VPN.

Но, по всей видимости, начавшуюся атаку на цепочку мудаков уже вряд ли остановить. Будем следить.

Уязвимости в TeamCity JetBrains теперь в арсенале ransomware-банд.

Как выяснили специалисты, за атаками стояли операторы BianLian, уже известные своими кампаниями в отношении объектов КИИ.

В последнем случае злоумышленники воспользовались недостатками CVE-2024-27198 и CVE-2024-27199 для обхода аутентификации и получения полного контроля над сервером.

Все возможно бы обошлось, поскольку в JetBrains объявили об исправлении этих уязвимостей 4 марта, однако исследователи Rapid7 произвели выстрел в спину и раскрыли детали уязвимости слишком рано, что привело к их активной эксплуатации злоумышленниками.

Цепочка атак, включала в себя эксплуатацию уязвимого экземпляра TeamCity с использованием CVE-2024-27198 или CVE-2023-42793 для получения первоначального доступа к среде с последующим созданием новых пользователей на сервере сборки, выполнением вредоносных команд и бокового перемещения.

В настоящее время неясно, какой из двух недостатков злоумышленник использовал для проникновения, но массовое использование CVE-2024-27198 было зафиксировано 6 марта и включало, как раз таки, создание мошеннических пользовательских аккаунтов и развертывание PowerShell-реализации бэкдора Go от BianLian.

Известно, что злоумышленники BianLian внедряют собственный бэкдор, написанный на Go для каждой жертвы, а также удаляют инструменты удаленного рабочего стола, такие как AnyDesk, Atera, SplashTop и TeamViewer.

Бэкдор отслеживается Microsoft как BianDoor.

JetBrains утверждает, что многие клиенты успели установить исправления до начала атак, но увы не все смогли это сделать вовремя, что привело к компрометации некоторых серверов, последующим ransomware-атакам и попыткам организации DDoS.

Поставщик обвинил Rapid7 в преждевременном раскрытии информации, но дойдут ли разборки до чего-то большего, чем просто публичные распри или как всегда: проблемы спасения утопающих, будут на стороне самих утопающих, а клиент итак все стерпит.

Админы даркнет-площадки Incognito, специализирующейся на утечках, наркотрафике и продаже прочей запрещенки, решили обчистить своих участников и слиться.

Как сообщает KrebsOnSecurity, наркорынок № 1 сначала 6 марта заморозил все активы пользователей, ссылаясь на технические сбои и обновление платформы, а затем и вовсе лишил их доступа к аккаунтам и средствам.

Но на этом проблемы у завсегдатаев Incognito не закончились.

Теперь один из владельцев маркета Pharoah потребовал от каждого селлера отступные в размере до $20 тысяч в качестве выкупа за неразглашение данных об активности на площадке.

В противном случае все чаты, транзакции валюты и прочие логи будут переданы всеобщей огласке, включая и блюстителей закона, которые уже потирают ручки в ожидании заветной даты слива, запланированной на май месяц.

Анонсированный дамп содержит 557 тысяч заказов и 862 тысяч идентификаторов криптотранзакций.

Причем при открытии админы платформы анонсировали внедренную ими систему автоматического шифрования, которая, как они утверждали, должна была обеспечивать конфиденциальность и зачистку всех следов активности участников.

Но оказалось, что это блеф, а на сайте к настоящему висит таблица со статусом платежа и обозначением тех, кто выплатил отступные, и тех, кто остается в красной зоне.

Как говорят исследователи, удивляться нечему, такая схема закрытия маркетов практикуется еще со времен Shadowcrew, а заплативших барыш по итогу тоже кинут, хотя бы в том, что в назначенную дату никакого слива не будет.

Но будем посмотреть.

Исследователи Akamai предупреждают о новой уязвимости высокой степени серьезности в Kubernetes позволяет удаленно выполнять код с системными привилегиями на конечных точках Windows в кластере, для которой доступен PoC.

Проблема отслеживается как CVE-2023-5528 и влияет на установки Kubernetes по умолчанию.

Она схожа с CVE-2023-3676 (отсутствие очистки параметра subPath в файлах YAML) и связана с тем, как система оркестрации контейнеров обрабатывает файлы YAML.

В то время как CVE-2023-3676 был обнаружен при обработке службой kubelet файлов YAML, содержащих информацию о подключении общей папки, CVE-2023-5528 возникает при создании модуля, включающего локальный том, который позволяет монтировать разделы диска.

Одна из функций, которую выполняет сервис kubelet при создании такого модуля, формирует символическую ссылку между расположением тома на узле и местоположением внутри модуля.

Поскольку функция содержит вызов cmd, командная строка Windows поддерживает объединение команд. Злоумышленник может контролировать один параметр при выполнении cmd и вводить произвольные команды, которые будут выполняться с привилегиями kubelet.

Однако проблема возникает только при указании или создании persistVolume — типа ресурса хранения, который администраторы могут создать для предварительного выделения места для хранения и который будет действовать после окончания срока службы модуля.

Злоумышленник может изменить значение параметра «local.path» внутри YAML-файла persistVolume, чтобы добавить вредоносную команду, которая будет выполняться во время процесса монтирования.

Чтобы решить эту проблему, Kubernetes удалил вызов cmd и заменил его встроенной функцией Go, которая выполняет только операцию с символической ссылкой.

Все развертывания Kubernetes версии 1.28.3 и более ранних версий с узлами Windows в кластере уязвимы для CVE-2023-5528, исправленная версия - 1.28.4.

Поскольку проблема кроется в исходном коде, угроза останется активной, и вероятность ее использования, вероятно, увеличится - именно поэтому настоятельно рекомендуется исправлять кластер, даже если в нем нет узлов Windows.