Специалисты Sucuri предупреждают о масштабной кампании, нацеленной на сайты WordPress, связанной с внедрением в них скриптов, которые реализуют через браузеры посетителей брут паролей для других ресурсов.

Вероятно, произошла переоценка целей, поскольку ранее злоумышленники использовали подобные скрипты для внедрения AngelDrainer и кражи криптовалюты, отправляя месседж пользователям, чтобы те подключали свои кошельки к зараженным сайтам.

Однако в конце февраля тактика хакеров изменилась с сторону использования скриптов для захвата браузеров посетителей с целью брутфорса. Исследователи полагают, что это может быть обусловлено желанием хакеров создать более обширный портфель сайтов, с которых можно будет запускать дальнейшие атаки в более крупном масштабе.

Вредоносный код встраивается в HTML-шаблоны и при посещении сайта скрипты загружаются в браузер. Эти скрипты заставляют браузер тихо связываться с сервером злоумышленников по адресу 'https://dynamic-linx[.]com/getTask.php', чтобы получить задачу по подбору паролей.

Эта задача представляет собой файл JSON, содержащий параметры атаки методом перебора: идентификатор, URL-адрес веб-сайта, имя учетной записи, число, обозначающее текущий пакет паролей, которые необходимо пройти, и сто паролей, которые нужно попробовать.

Сам же скрипт использует интерфейс XMLRPC сайта WordPress и, если пароль оказывается верным, злоумышленник получает уведомление и может далее может подключиться к сайту и получить загруженный файл, содержащий пару имени пользователя и пароля в кодировке Base64.

При этом вредоносный скрипт продолжит получать новые задачи, пока страница будет остаеаться открытой в браузере посетителя.

По данным Sucuri, уже более 1700 сайтов были взломаны и содержат эти скрипты или их загрузчики. К примеру, среди них был обнаружен веб-сайт Эквадорской ассоциации частных банков, который пылесосил пароли ничего не подозревающих его посетителей.

В отчете доступны индикаторы компрометации и рекомендации по выявлению угрозы.

Исследователи Shadowserver дают неутешительную статистику, согласно которой около 150 000 веб-шлюзов Fortinet FortiOS и FortiProxy остаются уязвимы для критической CVE-2024-21762, позволяющей выполнять код без аутентификации.

Причем более 24 000 - находятся в США, за ними следуют Индия, Бразилия и Канада.

И все это при том, что американская CISA подтвердила активную эксплуатацию и добавила эту уязвимость в свой каталог известных эксплуатируемых уязвимостей (KEV), а исправления доступны с прошлого месяца.

Удаленный злоумышленник может воспользоваться CVE-2024-21762 (CVSS 9,8, согласно NIST), отправив специально созданные HTTP-запросы на уязвимые машины.

Подробности о том, кто и как реализует проблему в своих кампаниях, в настоящее время ограничены и, вероятно, уязвимость используется в отдельных атаках более изощренными злоумышленниками.

Глубоко проанализировавшая коренные причины двух недавних уязвимостей, включая помимо названной и CVE-2024-23113, BishopFox поделились скриптом Python для проверки, уязвимы ли их системы SSL VPN.

Но, по всей видимости, начавшуюся атаку на цепочку мудаков уже вряд ли остановить. Будем следить.

Уязвимости в TeamCity JetBrains теперь в арсенале ransomware-банд.

Как выяснили специалисты, за атаками стояли операторы BianLian, уже известные своими кампаниями в отношении объектов КИИ.

В последнем случае злоумышленники воспользовались недостатками CVE-2024-27198 и CVE-2024-27199 для обхода аутентификации и получения полного контроля над сервером.

Все возможно бы обошлось, поскольку в JetBrains объявили об исправлении этих уязвимостей 4 марта, однако исследователи Rapid7 произвели выстрел в спину и раскрыли детали уязвимости слишком рано, что привело к их активной эксплуатации злоумышленниками.

Цепочка атак, включала в себя эксплуатацию уязвимого экземпляра TeamCity с использованием CVE-2024-27198 или CVE-2023-42793 для получения первоначального доступа к среде с последующим созданием новых пользователей на сервере сборки, выполнением вредоносных команд и бокового перемещения.

В настоящее время неясно, какой из двух недостатков злоумышленник использовал для проникновения, но массовое использование CVE-2024-27198 было зафиксировано 6 марта и включало, как раз таки, создание мошеннических пользовательских аккаунтов и развертывание PowerShell-реализации бэкдора Go от BianLian.

Известно, что злоумышленники BianLian внедряют собственный бэкдор, написанный на Go для каждой жертвы, а также удаляют инструменты удаленного рабочего стола, такие как AnyDesk, Atera, SplashTop и TeamViewer.

Бэкдор отслеживается Microsoft как BianDoor.

JetBrains утверждает, что многие клиенты успели установить исправления до начала атак, но увы не все смогли это сделать вовремя, что привело к компрометации некоторых серверов, последующим ransomware-атакам и попыткам организации DDoS.

Поставщик обвинил Rapid7 в преждевременном раскрытии информации, но дойдут ли разборки до чего-то большего, чем просто публичные распри или как всегда: проблемы спасения утопающих, будут на стороне самих утопающих, а клиент итак все стерпит.

Админы даркнет-площадки Incognito, специализирующейся на утечках, наркотрафике и продаже прочей запрещенки, решили обчистить своих участников и слиться.

Как сообщает KrebsOnSecurity, наркорынок № 1 сначала 6 марта заморозил все активы пользователей, ссылаясь на технические сбои и обновление платформы, а затем и вовсе лишил их доступа к аккаунтам и средствам.

Но на этом проблемы у завсегдатаев Incognito не закончились.

Теперь один из владельцев маркета Pharoah потребовал от каждого селлера отступные в размере до $20 тысяч в качестве выкупа за неразглашение данных об активности на площадке.

В противном случае все чаты, транзакции валюты и прочие логи будут переданы всеобщей огласке, включая и блюстителей закона, которые уже потирают ручки в ожидании заветной даты слива, запланированной на май месяц.

Анонсированный дамп содержит 557 тысяч заказов и 862 тысяч идентификаторов криптотранзакций.

Причем при открытии админы платформы анонсировали внедренную ими систему автоматического шифрования, которая, как они утверждали, должна была обеспечивать конфиденциальность и зачистку всех следов активности участников.

Но оказалось, что это блеф, а на сайте к настоящему висит таблица со статусом платежа и обозначением тех, кто выплатил отступные, и тех, кто остается в красной зоне.

Как говорят исследователи, удивляться нечему, такая схема закрытия маркетов практикуется еще со времен Shadowcrew, а заплативших барыш по итогу тоже кинут, хотя бы в том, что в назначенную дату никакого слива не будет.

Но будем посмотреть.

Исследователи Akamai предупреждают о новой уязвимости высокой степени серьезности в Kubernetes позволяет удаленно выполнять код с системными привилегиями на конечных точках Windows в кластере, для которой доступен PoC.

Проблема отслеживается как CVE-2023-5528 и влияет на установки Kubernetes по умолчанию.

Она схожа с CVE-2023-3676 (отсутствие очистки параметра subPath в файлах YAML) и связана с тем, как система оркестрации контейнеров обрабатывает файлы YAML.

В то время как CVE-2023-3676 был обнаружен при обработке службой kubelet файлов YAML, содержащих информацию о подключении общей папки, CVE-2023-5528 возникает при создании модуля, включающего локальный том, который позволяет монтировать разделы диска.

Одна из функций, которую выполняет сервис kubelet при создании такого модуля, формирует символическую ссылку между расположением тома на узле и местоположением внутри модуля.

Поскольку функция содержит вызов cmd, командная строка Windows поддерживает объединение команд. Злоумышленник может контролировать один параметр при выполнении cmd и вводить произвольные команды, которые будут выполняться с привилегиями kubelet.

Однако проблема возникает только при указании или создании persistVolume — типа ресурса хранения, который администраторы могут создать для предварительного выделения места для хранения и который будет действовать после окончания срока службы модуля.

Злоумышленник может изменить значение параметра «local.path» внутри YAML-файла persistVolume, чтобы добавить вредоносную команду, которая будет выполняться во время процесса монтирования.

Чтобы решить эту проблему, Kubernetes удалил вызов cmd и заменил его встроенной функцией Go, которая выполняет только операцию с символической ссылкой.

Все развертывания Kubernetes версии 1.28.3 и более ранних версий с узлами Windows в кластере уязвимы для CVE-2023-5528, исправленная версия - 1.28.4.

Поскольку проблема кроется в исходном коде, угроза останется активной, и вероятность ее использования, вероятно, увеличится - именно поэтому настоятельно рекомендуется исправлять кластер, даже если в нем нет узлов Windows.

Исследователи из Университета Огасты в США разработали новый метод акустической атаки на клавиатуры, который позволяет определять текст, вводимый пользователем, на основе анализа звуков, издаваемых при нажатии клавиш.

Вряд ли дело дойдет до боевого применения, поскольку метод демонстрирует среднюю успешность в 43%, что, хотя и ниже, чем показатели других известных методов, но обладает значительным преимуществом в виде возможности работы в неконтролируемых условиях и в различных шумных средах.

Основой атаки является использование специализированного софта для захвата уникальных звуковых сигналов, издаваемых клавишами при печати, и последующий анализ этих данных для идентификации конкретных слов и фраз.

Только для успешного проведения атаки необходимо сначала собрать некоторое количество образцов печати от цели и обучить дабы можно было сопоставить звуковые волны с конкретными клавишами и словами.

Запись может быть выполнена как с использованием скрытого микрофона, так и через уже скомпрометированные устройства, находящиеся поблизости от цели, включая смартфоны, ноутбуки и умные колонки.

Ученные отмечают, что для обучения статистической модели, которая будет предсказывать текст на основе акустических данных, не требуется большого объема данных, но критически важно записать несколько сессий печати в различных условиях.

Разработанная модель учитывает временные интервалы между нажатиями клавиш, а также допускает небольшое отклонение в данных, чтобы компенсировать возможные ошибки или шум в записи.

Это позволяет методу быть достаточно гибким и адаптивным к различным условиям печати.

Точность метода в среднем составляет 43%, что уже заставляет снять шляпу перед исследователями и считать метод потенциально опасным инструментом для проведения атак в реальных условиях.

Однако существуют определенные ограничения, которые могут снижать эффективность атаки.

Например, менее уязвимыми являются пользователи, не имеющие стабильного паттерна печати из-за редкого использования клавиатуры, а также профессиональные печатники, скорость печати которых может затруднить точное профилирование.

Все, как всегда, дуракам повезло, а умных и продвинутых беда обойдет стороной.