ESET сообщили о кампании, проводимой хакерской группой BladeHawk в отношении пользователей из числа курдов.

Для шпионажа за целевой категорией использованы поддельные приложения для устройств Android, которые BladeHawk распространяются через Facebook с марта 2020 года.

Фейки на Facebook позиционировали себя как сторонники курдов, размещая ссылки на вредоносное ПО. BladeHawk маскировали полезную нагрузку в виде троянов удаленного доступа под Android (RAT) 888 RAT и SpyNote в этнические новостные сервисы. По данным исследователей, вредоносные приложения успешно инсталлировалось на 1481 устройство. 

Разворачиваемый в рамках кампании коммерческий malware позволял выполнять на заражённом устройстве 42 команды, в том числе: создание скриншотов и фотографий; отправку файлов на C2; удаление контента, запись аудио и мониторинг телефонных звонков; перехват или отправка SMS-сообщений; сканирование списка контактов; определение местоположения GPS; а также фильтрацию учетных данных из Facebook.

Реализованный в атаках на курдов RAT ранее попадал в поле зрения инфосек и был замечен в шпионских кампаниях: Zscaler и Kasablanca.

Классика, одним словом.

​​Очередной zeroday для пользователей Windows.

Ошибка удаленного выполнения кода с высокой степенью опасности CVE-2021-40444 (CVSS: 8,8) обнаружена в движке браузера Windows MSHTML. Компания заявила, что уязвимость используется в целевых атаках посредством специально созданных документов Microsoft Office, которые позволяют  злоумышленнику захватить уязвимую систему.

Проблема кроется в возможности создания вредоносного элемента управления ActiveX, который будет использоваться документом Microsoft Office (Word, Excel и PowerPoint), где реализован механизм визуализации браузера. Да, да, того самого браузера для установки других браузеров - Internet Explorer. Конечно злоумышленнику нужно убедить пользователя открыть документ, но это уже как говорится дело техники.

Хотя патч еще не доступен, Microsoft заявила, что по умолчанию Office открывает документы из Интернета в режиме защищенного просмотра или Application Guard для Office, что по заявлению представителей компании должно предотвратить атаку. Однако уже просочились сведения, что обнаруженные атаки, направлены против клиентов, использующих Microsoft 365 и Office 2019 в Windows 10.

В свою очередь Агентство по кибербезопасности CISA уже призвало пользователей и администраторов реализовать необходимые меры защиты, предложенные Microsoft в целях снижения риска.

Очередной "эпик фейл" от крупнейшего поставщика систем безопасности Fortinet, учетные записи которого опубликованы хакерами на новом русскоязычном форуме RAMP.

Речь идет о скомпрометированных учетках SSL-VPN с паролями почти от 87000 устройств FortiGate, а общий список составляет около 500 000 записей. Утечка является серьезным инцидентом, поскольку  данные VPN могут быть использованы злоумышленниками для доступа к корпоративным сетям со всеми вытекающими последствиями.

Компания заявила, что скомпрометированными оказались те системы, которые не были пропатчены от CVE-2018-13379. Суть баги заключалась в уязвимости веб-портала FortiOS SSL VPN, которая позволяет злоумышленникам, не прошедшим проверку аутентификации, читать произвольные системные файлы, включая файл сеанса, содержащий имена пользователей и их пароли, который на удивление хранился в открытом виде.

По мнению спецслужб Австралии, Великобритании и США, данная уязвимость стала одной из самых часто используемых в хакерском арсенале в 2020 году.

Пугает масштаб угрозы, так как IP-адреса скомпрометированных систем расположены по всему миру, 2959 устройств из которых в США. Печальный факт, в том что ссылка на базу, размещена в Tor на сервере хранения, который банда-вымогателей Groove использует для размещения украденных файлов.

​​Google выпустила исправления для Android с исправления аж 40 уязвимостей, 7 из которых были признаны критическими.

Основная проблема крылась в безопасности компонента Framework, включая 6 критических уязвимостей. К ним относятся пять ошибок, связанных с повышением привилегий и одна уязвимость с раскрытием информации.

Самая серьёзная из проблем - CVE-2021-0687, представляющая угрозу для Android 8.1, 9, 10, 11, позволяющая злоумышленнику с помощью специально созданного файла вызвать постоянный отказ в обслуживании.

Google заявила, что набор сентябрьских патчей уже поступил на устройства и включает исправления в компонентах ядра, MediaTek, Unisoc, и Qualcomm. Патчи для Android также включают обновление системы Google Play, которым прикрыта уязвимость CVE-2021-0690.

Так что не дожидаемся факапов, обновляем девайсы и спим спокойно.

​​AT&T Alien Labs представили отчет о последней широкомасштабной кампании APT TeamTNT под названием Chimaera.

Chimaera, как и предыдущие кампании TeamTNT ориентирована на кражу учетных данных облачных систем, использование зараженных систем для добычи криптовалюты и злоупотребления машинами жертв для поиска и распространения на другие уязвимые системы. В фокусе группы различные операционные системы: Windows, Linux, включая Alpine, AWS, Docker и Kubernetes.

Кампания активна с 25 июля 2021 года и до настоящего времени многие образцы задействованного вредоносного ПО имеют низкие показатели обнаружения антивирусными средствами. Все благодаря тому, что TeamTNT использует новые инструменты с открытым исходным кодом. Например, в январе он использовал инструмент обнаружения-уклонения libprocesshider, чтобы скрыть свое вредоносное ПО под Linux с помощью предзагрузчика.

По данным аналитики Trend Micro, TeamTNT является одной из самых многочисленных и устойчивых APT за последнее время, активна с 2011 года, а с прошлого года активизировалась, внедрив новые TTP, включая вредоносное ПО для криптоджекинга Black-T, сложные сетевые сканеры, нацеливание на инструменты майнинга XMR конкурентов в сети и использование скребков паролей. Незадолго до конца 2020 года группа запустила еще одну кампанию, развернув TNTbotinger: бот IRC (Internet Relay Chat) с возможностями распределенного отказа в обслуживании (DDoS).

В текущей кампании TeamTNT использует новый усовершенствованный арсенал:
- Masscan и сканер портов для поиска новых уязвимостей;
- libprocesshider для запуска своего бота прямо из памяти;
- 7z для распаковки загруженных файлов;
- b374k shell, который является веб-администратором PHP и может использоваться для управления зараженными системами;
- LaZagne •, приложение с открытым исходным кодом, используемое для получения паролей от нескольких приложений и нескольких веб-операционных систем, которые хранятся на локальном компьютере, в том числе от Chrome, Firefox, Wi-Fi, OpenSSH и различных программ баз данных.

Кроме того, согласно Palo Alto Networks, группа также добавила Kubernetes с открытым исходным кодом и набор инструментов для проникновения в облако Peirates в ходе разведки. В связи с чем TeamTNT получают еще больше возможностей для сбора информации в целевых средах AWS и Google Cloud, а также горизонтального перемещения и потенциальных атак с повышением привилегий, которые позволяют хакерам получить административный доступ ко всей облачной среде организации.

Поэтому за короткий срок хакерами реализовано более 5000 заражений, о чем теперь TeamTNT публично сообщает со страниц своего сайта, прикрутив к нему статистику заражений.

Чтобы не попасть в тину Chimaera, рекомендуем внимательно ознакомиться с техническими деталями новой кампании легендарной APT и взять на вооружение рекомендованные методы обнаружения возможных атак.

Возобновляю рубрику розыска книг. В прошлом проекте @S_E_Oblako, благодаря читателям, была собрана отличная подборка крутых книг, которые с трудом можно было найти на просторах Telegram.

Начнем с книги которая вышла 2 дня назад — Little Black Book of Lockpicking

Для обратной связи, используйте бота в описании канала.

​​Microsoft выпустили патч для исправления уязвимости Azurescape.

Контейнер Azure (ACI) от Microsoft - это облачная служба, которая позволяет компаниям развертывать пакетные приложения (контейнеры) в облаке. Когда контейнеры развернуты, ACI изолирует их от других запущенных контейнеров, чтобы они не могли совместно работать в памяти и взаимодействовать друг с другом.

Эксплуатация уязвимости позволяет хакерам получать контроль над контейнерами Azure, в том числе выполнять команды в контейнерах других пользователей и получать доступ ко всем данным, развернутым на платформе.

Несмотря на то, что в результате собственного расследования Microsoft не выявила ни атак Azurescape, ни признаков несанкционированного доступа в кластерах, тем не менее оповестила потенциальных жертв из числа своих пользователей. И не зря.

Ведь обнаружившие ошибку Palo Alto Networks представили технические подробности Azurescape. 

Исследователи установили, что в ACI используется код RunC v1.0.0-rc2, датированный аж 2016 годом, который и позволял скомпрометировать многопользовательские кластеры Kubernetes, в которых размещены ACI. 

Дело в том, что этот код содержал ошибки, обнаруженные ещё в 2019 году, одна из которых CVE-2019-5736 как раз обеспечивала выход из контейнера и выполнение кода с повышенными привилегиями на базовом хосте, узле Kubernetes.

Вектор атаки Azurescape реализуется путём перехвата в трафике на скомпрометированном узле запроса с токеном JWT в заголовке авторизации. 

Как это выглядит на практике - смотрите на видео👇

Агентство по кибербезопасности США CISA предупреждает об активном использовании уязвимостей в Zoho ManageEngine ADSelfService.

ManageEngine ADSelfService - интегрированное решение для самостоятельного управления паролями и единого входа для Active Directory в Microsoft Windows, позволяющее администраторам применять 2FA для входа в приложения, а пользователям - сбрасывать свои пароли. ADSelfService Plus также предоставляет пользователям безопасный мгновенный доступ ко всем корпоративным приложениям с поддержкой SAML, включая Office 365, Salesforce и G Suite.

Речь идет об уязвимости нулевого дня CVE-2021-40539. Ошибка связана с возможностью обхода аутентификации REST API, что может привести к произвольному выполнению кода (RCE) и позволить злоумышленнику получить контроль над уязвимой системой. Под угрозой находятся сборки ADSelfService Plus до 6113 версии.

Напоминаем, что это уже пятая уязвимость безопасности, обнаруженная в ManageEngine ADSelfService Plus с начала года, три из которых - CVE-2021-37421, CVE-2021-37417 и CVE-2021-33055 были исправлены в последних обновлениях. Четвертая уязвимость, CVE-2021-28958 была исправлена в марте 2021 года. Все выявленные уязвимости имеют высокую степень риска и имеют оценку CVSS: 9,8.

Присоединяемся к CISA и настоятельно рекомендуем накатить обновления на ManageEngine, реальные атаки с эксплуатацией данной уязвимости уже фиксируются. Скептикам же следует вспомнить прошлогодние мартовские инциденты, когда APT41 реализовали RCE в ManageEngine Desktop Central (CVE-2020-10189) для загрузки и выполнения вредоносных полезных нагрузок в корпоративных сетях в рамках глобальной кампании нашумевших вторжений.

​​Вернулись и взялись за дело.

На прошлой неделе мы уже сообщали об эффектном возвращении легендарной REvil, также известной как Sodinokibi, а уже на этой неделе возобновились и атаки: на сайте опубликованы скриншоты украденных данных новой жертвы.

9 сентября 2021 года на VirusTotal подгрузили новый образец ПО Revil, датированный 4 сентября.

Но главное, что стали известны подробности таинственного исчезновения группы на пике «своей карьеры», когда резонансные атаки стали поводом для переговоров между Президентами США и РФ.

Ожидалось, что вымогатели проведут ребрендинг и примутся за дело «с чистого листа». Но к всеобщему удивлению они просто возобновили работу, в даркнете появился новый представитель группировки.

При этом публиковавший новости об операциях вымогателя представитель группировки UNKN (он же 8800), по сведениям его сменщика, пропал из сети, а хостер сообщил, что серверы Clearnet были скомпрометированы, что и явилось поводом для кодеров группы отключить сервера и залечь на дно. По мнению банды, UNKWN мог быть похищен спецслужбами или арестован. А декриптор Kaseya, который якобы изъяли правоохранительные органы, на самом деле был упущен одним из наших операторов во время генерации дешифратора.

Мы, конечно, никогда не узнаем реальную историю исчезновения REvil и то, как Касея получила ключ дешифрования, но драматичная история REvil продолжается. Верившие во всесильные американские спецслужбы, расстроились, ведь угрожавший исключительными мерами Байден на деле не смог остановить хакеров, которые вновь нацелены на крупный корпоративный сектор и солидные заработки. Ждем реакции.

Не прошло и недели, как на теневых форумах появился мануал для мамкиных хацкеров по эксплуатации зеродея в Windows MSHTML, о котором мы писали ранее. Представители подпольного андеграунда активно делятся мануалом по эксплуатации CVE-2021-40444, что позволяет другим хакерам использовать новую уязвимость в своих собственных атаках.

Напоминаем, что в прошлый вторник Microsoft раскрыла новую уязвимость нулевого дня в Windows MSHTML, которая позволяет злоумышленникам создавать вредоносные документы, включая документы Office и RTF, для удаленного выполнения команд на компьютере жертвы. Microsoft на скорую руку предоставили меры по предотвращению ее эксплуатации. Эти меры защиты должны работать путем блокировки элементов управления ActiveX и предварительного просмотра документов Word / RTF в проводнике Windows.

Однако, хакеры уже модифицировали эксплойт так, чтобы он не использовал ActiveX, эффективно обходя предложенные меры защиты от Microsoft. Ребята на самом деле выдающиеся, раз так быстро смогли воспроизвести эксплойт самостоятельно на основе информации и образцов вредоносных документов, размещенных в Интернете собственно поэтому и начали делиться подробными руководствами и информацией на хакерских форумах.

Всплеск хакерской активности очевиден, так как для уязвимости CVE-2021-40444 до сих пор нет доступных обновлений безопасности, а предложенные корпорацией Microsoft меры уже не особо то эффективны.

Амбициозные планы выкатили разработчики вредоносного ПО SOVA под устройства Android.

Многофункциональный банковский троянец обещает покорить даркнет, в арсенал малваря будут встроены в дополнение к банковским функциям (кейлогер, мониторинг уведомлений и SMS-сообщений, оверлейные атаки и пр.): распределенный отказ в обслуживании (DDoS), возможности атак MiTM и нагрузка ransomware.

SOVA имеет одну очень необычную функцию: кража сессионных файлов cookie, которая позволяет вредоносному ПО получать банковские учетные данные для доступа к счетам жертвы. При этом SOVA способна создавать список приложений, для которых автоматически отслеживаются файлы cookie. Чтобы лучше собирать учетные данные жертвы и другую личную информацию (PII), SOVA осуществляет банковские операции на Android Accessibility Services.

По данным ThreatFabric, пока же SOVA находится в стадии активной разработки, с августа тестируется версия 2. Но она уже содержит возможность таргетинга пользователей помимо европейских и некоторых российских банков.

Кроме того, SOVA отличается и тем, что полностью развита в Kotlin, перспективном языке кодирования для Android. В основе разработки проект с открытым исходным кодом RetroFit, который реализует связь с command-and-control (C2). Retrofit - это REST-клиент для Android, Java и Kotlin, разработанный Square. Библиотека предоставляет мощную структуру для аутентификации и взаимодействия с API и отправки сетевых запросов с помощью OkHttp.

Авторы SOVA помимо прочего намерены добавить «автоматические трехступенчатые накладываемые инъекции».

Исследователи полагают, что кодеры вредоносного ПО явно имеют много амбиций относительно будущего SOVA, и малварь потенциально может стать серьёзной угрозой для экосистемы Android, а в общем задеть новый эталон для банковских троянов.

В этом плане SOVA может переплюнуть TrickBot, мультиплатформенное вредоносное ПО, которое начало свою жизнь как банковский троян, прежде чем перейти к другим видам кибератак и стать одним из самых популярных и распространенных троянов, используемых акторами по всему миру.

Уверены, ещё не раз мы столкнёмся с SOVA, если только планы не являются маркетинговым ходом хакеров.

«Российские власти может и не контролируют напрямую банды вымогателей. Однако они имеют непрямые симбиотические отношения с криминальной экосистемой вымогателей» https://t.co/XFhoIHpAG7 https://t.co/KUp0gvFeJz
— Alexey Lukatsky (@alukatsky) Sep 13, 2021

Google выпустил обновление Chrome 93.0.4577.82 для Windows, Mac и Linux, исправив в общей сложности 11 уязвимостей безопасности, две из которых CVE-2021-30632 и CVE-2021-30633 эксплуатируются в режиме «нулевого дня» в дикой природе. Однако дополнительной информации об атаках не предоставлено.

Самые серьезные ошибки были раскрыты Google 8 сентября 2021 без указания автора и обе являются ошибками памяти: CVE-2021-30632 - это запись за пределами допустимого диапазона в движке JavaScript V8, а CVE-2021-30633 - это ошибка использования после освобождения в Indexed DB API. Баги при оплетённых условиях позволяют злоумышленникам использовать их для удаленного выполнения кода, выхода из песочницы и других вредоносных действий.

Таким образом, Google патчит уже 10 zeroday в Chrome за этот год.

Теперь, когда они исправлены, эксплуатация будет только расти. А это подчеркивает то внимание, которое хакеры уделяют уязвимостям браузера. Chrome становится явным фаворитом, позволяя упростить доступ к миллионам устройств независимо от ОС.

Так что, настоятельно рекомендуется немедленно обновить Google Chrome до последней версии, дабы не узнать подробности анонсированных атак на себе.

Не часто услышишь от Apple признание потенциальных угроз в безопасности своей OS. И не нужно, все и так понятно.

Apple выпустила патчи обновлений для iOS и macOS с предупреждением о том, что угрозы относятся к категории «активно эксплуатируемых» zeroday. Примечательно, что обновления попали в свет совсем незадолго до презентации новой линейки девайсов.

Стало понятно почему Apple не предоставила никаких сведений о реальных атаках, ибо связано все со шпионскими политическими игрищами, с которыми компания себя ассоциировать никак не хочет.

Спасибо ребятам из Citizen Lab, которые предоставили доказательства, связывающие новые эксплойты KISMET и FORCEDENTRY с шпионским инструментом Pegasus от скандально известного израильского поставщика шпионского ПО NSO Group, а реальные атаки, как стало известно, были нацелены на политических активистов в Бахрейне.

Уязвимости CVE-2021-30858 и CVE-2021-30860 обнаруженные в компонентах WebKit и CoreGraphics, позволяют при обработке вредоносного PDF-файла или веб-контента привести к выполнению произвольного кода.

Угроза касается всех iPhone с версиями iOS до 14.8, все компьютеры Mac с версиями операционной системы до OSX Big Sur 11.6, обновление безопасности 2021-005 Catalina и Apple Watch до watchOS 7.6.2.

Согласно данным SecurityWeek, с начала 2021 года зафиксировано 64 атаки нулевого дня, 15 из которых нацелены на безопасность в операционных системах iOS и macOS, что потихоньку разрушает миф о незыблемой безопасности флагманского производителя Apple.

Обновляемся, не раздумывая.

​​Не так давно мы писали о крупнейшей компрометации поставщика систем безопасности Fortinet, когда в паблик утекли учетные данные от 87 000 VPN-устройств, которые были взломаны с использованием уязвимости двухлетней давности CVE-2018-13379.

Тем временем Fortinet продолжает бить тревогу для владельцев устройств FortiGate SSL-VPN и просит выполнить обновление FortiOS 5.4.13, 5.6.14, 6.0.11, 6.2.8 и более поздних версий, а также сбросить пароли для своих устройств после обновления.

В компании заявили, что если в вашей организации использовалась какая-либо из перечисленных версий, даже если вы обновили свои устройства необходимо сбросить пароль пользователя после обновления в соответствии с бюллетенем поддержки клиентов и другой консультативной информацией по данному инциденту.

В противном случае высока вероятность остаться уязвимым после обновления, если учетные данные пользователей ранее были скомпрометированы.

Но мы прекрасно с вами помним, что утечка все ещё размещена на сервере хранения банды-вымогателей Groove.

​​Армия Трясогузки снова в бою.

Некие хактивисты взломали хостинг MskHost, который они называют антиабьюзным и удалили большую часть серверов. В качестве причины называется массовое размещение фишинговых сайтов и отсутствие реакции на абьюзы. Данные на чернушников обещают слить в полицию, или хотя бы в паблик.

В соответствии с требованиями времени товарищи завели ТГ-канал, на котором все это описывают.

На самом ли деле это хактивисты или происки антиабьюзных конкурентов – мы не знаем. Но это в любом случае прецедент.

​​Понеслось. Похоже, что помимо софта BlackMatter успешно переняли у DarkSide и технологию подбора жертв.

В тиски ransomware попала ведущая компания в области медицинских технологий Olympus. Компания насчитывает более 31 000 сотрудников по всему миру и имеет более чем 100-летний опыт разработки в области медицины, биологических наук и промышленного оборудования.

При обнаружении о
8 сентября 2021 подозрительной активности Olympus немедленно мобилизовали спецгруппу реагирования, которой удалось установить, что потенциальный киберинцидент охватил ИТ-системы гиганта в регионе EMEA (Европа, Ближний Восток, Африка).

В рамках расследования Olympus оперативно приостановили передачу данных из зараженных систем и проинформировали соответствующих внешних партнеров. Компания заверила публику, что инцидент не повлиял на безопасность и обслуживание клиентов, масштабы вторжения и сведения об ущербе не сообщаются.

Впрочем, как всегда, пока не завершиться переговорный процесс - и не узнаем. И возможно, никто не узнает, все зависит от желания и возможности выплатить гонорар акторам.

​​После недавнего возвращения
вымогателей из REvil на американские спецслужбы напала печалька и вчера
заместитель директора ФБР Пол Аббейт заявил, что не видит никаких свидетельств того, что Россия борется с ransomware.

Он также сказал, что американцы ожидали взаимодействия с российскими
правоохранительными органами в отношении тех киберпреступников, которых они установили, но не получили никакого отзыва. Ситуация и в самом деле складывается неоднозначная и в ней есть несколько аспектов.

Во-первых, национальные американские пендосы как всегда крутят лукавой
мордой – взаимодействие в их понимании означает «дайте нам вашего
хакера, а мы его тут сами выжмем и на 30 лет посадим, а может против вас
работать заставим». Вместо разумного «вот вам материалы в отношении
противоправной деятельности негодяя, разберитесь с ним по всей строгости
закона».

С другой стороны, российские кибертанковые войска тоже не лыком шиты и, если им дать двух сферических хакеров в вакууме, то они одного сломают, а второго потеряют.

Поэтому с нашей точки зрения вся история с временным исчезновением REvil могла выглядеть следующим образом.

После атаки на Kaseya и последовавшего геополитического кипиша американцы направили российским коллегам данные в отношении Unknown, являвшегося официальным представителем REvil. Товарища хлопнули и получили от него универсальный декриптор, который потом передали представителям Kaseya.

Оставшийся партактив группы вымогателей ушел на дно, а Unknown их либо не сдал, либо просто не знал кто они. В связи с пунктами 1 и 2 (смотри выше) активность российских правоохранителей по дальнейшей борьбе с ransomware быстро сошли на нет. И поэтому спустя несколько месяцев REvil собрались снова и продолжили свою вымогательскую деятельность.

Всем спасибо, все свободны.

P.S. Кстати, а где обличительные пассажи ФБР и CISA в отношении Украины?
Ведь, как показали события этого года, как минимум две крупных
русскоязычных банды ransomware были родом именно оттуда. Хотя, с другой
стороны, их хотя бы хлопнули.