Исследователи Symantec сообщают о новом специальном RAT под названием Atharvan, задействованном в целевых атаках на объекты в сфере исследования материалов.

Symantec отслеживает злоумышленника как АРТ Clasiopa, связанная, по мнению исследователей, с Индией. Однако атрибуция остается неясной в силу отсутствия четкой доказательственной базы.

Ресерчеры полагают, что в качестве первоначального вектора заражения, реализуемого Clasiopa, используется брут для получения доступа к общедоступным серверам.

После компрометации злоумышленники выполняют различные действия, в том числе: проверяют IP-адреса, отключают решения защиты, развертывают вредоносные ПО для сканирования файловой системы и эксфильтрации, чистят журналы Sysmon и журналы событий, а также создают запланированной задачи для вывода списка имен файлов.

В ходе атак хакеры использовали два бэкдора: пользовательский Atharvan и Lilith RAT с открытым исходным кодом. Последний можно использовать для выполнения команд, запуска сценариев PowerShell и управления процессами в взломанной системе.

Наряду с бэкдором Clasiopa также использовала легальное ПО: Agile DGS и Agile FD, подписанное устаревшими сертификатами.

Кроме того, на вооружении Clasiopa состоит собственный прокси-инструмент и Thumbsender (утилита, которая составляет список файлов на хосте и сохраняет их локально в базе данных, которую можно эксфильтровать позже на указанный IP-адрес).

При этом Atharvan — пожалуй, самый интересный из инструментов в арсенале группы, потому как бэкдор не встречался ни в одной другой атаке в дикой природе.

После выполнения он создает мьютекс, чтобы предотвратить запуск нескольких процессов, а затем связывается с жестко запрограммированным адресом C2 в на Amazon Web Services в Сеуле (Южная Корея). Связь с C2 форматируется под HTTP POST-запросы к серверу обновлений Microsoft.

Еще одна необычная функция заключается в том, что его можно настроить для связи с C2 по расписанию и даже для попыток соединения в определенные дни недели или месяца.

Что касается его возможностей, Atharvan загружает файлы на скомпрометированный компьютер, запускает исполняемые файлы, выполняет команды и отправляет их обратно.

Связь Atharvan с C2 защищена с помощью простого алгоритма XOR каждого байта открытого текста со значением «2» для получения зашифрованного текста, что оказывается достаточным для обхода некоторых инструментов мониторинга сетевого трафика.

На географическую привязку АРТ указывает мьютекс на хинди, обнаруженный исследователями в пользовательском бэкдоре SAPTARISHI-ATHARVAN-101, где Атхарван - это отсылка к легендарному жрецу из ведической мифологии, сыну Брахмы, Творца.

Другая подсказка — пароль, который злоумышленник использовал для ZIP-архива: iloveindea1998^_^. По нашему мнению, представленные артефакты больше указывают на атаку под чужим флагом для запугивания атрибуции.

В настоящее время злоумышленник нацелился на жертв в Азии. Несмотря на то, что цели Clasiopa на данный момент четко не определены, но совокупность факторов позволяют выделить кибершпионаж.

В отчете Symantec представлен набор хэшей вредоносных ПО, обнаруженных в ходе кампаний, приписываемых Clasiopa, индикаторы компрометации и разбор всех используемых инструментов.

News Corp вынуждена была признать, что на протяжении двух лет в ее сети орудовали хакеры, о чем указала в уведомлениях об утечке.

Медиагигант раскрыл взлом в 2022 году, а позже в результате расследования пришел к выводу, что хакеры впервые получили доступ к системам двумя годами ранее, в феврале 2020 года.

Инцидент затронул несколько новостных подразделений издательского конгломерата, включая The Wall Street Journal, New York Post и его новостные подразделения в Великобритании, чью электронную почту и систему хранения документов актор взял под контроль.

Вообще к активам News Corp отностястя New York Post, The Wall Street Journal, Dow Jones, MarketWatch, Fox News, Barron's, The Sun и издатель британских газет News UK, среди прочих.

Расследование показало, что вредоносная деятельность не имела цели кради личной информации. Сообщения о компрометации личных данных или мошенничестве не поступали.

Тем не менее, по данным News Corp, злоумышленники получили доступ к личным данным, включая установочные данные, номера паспортов, соцстрахования и водительских прав, счетах и медобслуживании.

Впервые раскрыв киберинцидент еще в прошлом году, медиахолдинг со ссылкой на Mandiant поспешил обвинить в атаке и шпионаже китайские АРТ, что в целом не вызывает удивления.

Единственный вопрос - какие ваши доказательства?

Cisco выпустила исправления для двух критических уязвимостей, затрагивающих компоненты Application Centric Infrastructure (ACI).

Первый баг CVE-2023-20011 влияет на интерфейс управления Application Policy Infrastructure Controller (APIC), который по факту является единой точкой автоматизации и управления для ACI.

Уязвимость может быть использована удаленным злоумышленником, не прошедшим проверку подлинности для проведения атак с подделкой межсайтовых запросов (CSRF), заставляя пользователя перейти по вредоносной ссылке.

В случае успеха злоумышленник будет способен выполнять действия в целевой системе с привилегиями скомпрометированного юзера.

Вторая проблема CVE-2023-20089, влияет на коммутаторы Cisco Nexus серии 9000 Fabric в режиме ACI и может быть использована злоумышленником, не прошедшим проверку подлинности для DoS-атак.

Однако производитель отмечает, что для эксплуатации этой баги необходимо выполнение определенных условий.

Оба недостатка были обнаружены собственными усилиями и соответственно нет никаких доказательств их злонамеренного использования.

С выходом последних исправлений Cisco пофиксила несколько недостатков средней степени серьезности в линейке своих продуктов UCS Manager, FXOS, NX-OS, а также устройствах Firepower и Nexus.

Помимо прочего, ИТ-гигант выпустил рекомендации по проблеме повышения привилегий, связанной с продуктами, работающими под управлением ПО NX-OS и настроенными для аутентификации SSH с сертификатом X.509v3.

Кроме того, обновлены рекомендации по недавно устраненной критической уязвимости CVE-2023-20032, затрагивающей библиотеку ClamAV, предоставив необходимую техническую информацию и PoC.

͏В 2022 году практически каждый второй день происходила утечка данных.

К такому неутешительному выводу пришли эксперты Лаборатории Касперского в отчёте о значимых утечках в 2022 году.

Согласно данным отчёта, в прошлому году в результате 168 значимых утечек было опубликовано около 300 миллионов пользовательских данных, 16% из которых содержали парольную информацию.

Какой будет прогноз на 2023 год?

Эксперты предполагают, что в этом году количество утечек пользовательских данных увеличится на 20%, а основной удар злоумышленников будет направлен на сферу ритейла.

Более подробно об утечках 2022 года в цифрах, реакции бизнеса и мерах, которые необходимо предпринять компании при утечке – в отчёте от Лаборатории Касперского по ссылке.

͏Американский телегигант и оператор спутникового вещания Dish Network упал в глубокий офлайн и до сих пор не доступен.

Причиной сбоя, по всей видимости, стала атака с использованием ransomware. На данный момент отключен официальный сайт Dish.com и фактически все принадлежащие корпорации веб-ресурсы и сети, а также не работает приложение Dish Anywhere.

Клиенты сообщают, что телефонные номера колл-центра компании также недоступны. На главной странице висит сообщение о том, что в компании работают круглосуточно и без выходных, чтобы разрешить инцидент.

Кроме того, клиенты столкнулись с проблемой аутентификации при входе в приложения телеканалов MTV и Starz, с помощью своих учетных данных Dish, а сотрудники Dish Network на удаленке лишились доступа к своим рабочим системам.

Самое эпичное заключается в том, что клиенты услуг Dish TV не могут установить контакт со службой поддержки, поскольку похоже, что вредоносное ПО разрушило сеть до основания.

Представители компании еще не признали инцидент, но заверили, что сведения об атаке будут предоставлены на этой неделе.

Между тем, сторонний специалист, который провел свое исследование, утверждает, что обнаружил вредоносное ПО PureCrypter, нацеленное на ряд государственных учреждений, в том числе и Dish TV.

В настоящее время информации о причастности конкретной группы вымогателей к атаке на поставщика услуг американского телевидения нет. Но все предположения сводятся к LockBit.

LastPass, принадлежащая GoTo (ранее LogMeIn) и имеющая более 30 миллионов пользователей, раскрыла новые подробности киберинцидентов, которые сотрясали компанию, начиная с августа 2022 года, когда стало известно о краже фрагментов исходного кода.

В январе 2023 года компания призналась, что нарушение имело более масштабный характер и включало утечку сведений в отношении учетных записей, паролей, настроек MFA, а также информации о лицензии.

Как выяснили привлеченные к расследованию специалисты Mandiant, хакеры в рамках длительной таргерованной атаки взломали домашний компьютер DevOp-инженера LastPass, развернув на нем вредоносное ПО, с помощью которого им удалось получить доступ к корпоративным данным на ресурсах облачного хранилища.

Неназванный злоумышленник воспользовался украденными в ходе августовского инцидента данными для планирования и реализации в период с августа по октябрь 2022 года мероприятий по разведке и эксфильтрации данных облачного хранилища.

При этом злоумышленники воспользовались RCE-уязвимостью в стороннем пакете мультимедийного ПО, внедрив кейлоггер на персональный компьютер сотрудника LastPass.

ПослеПосле чего они смогли перехватить мастер-пароль и получить доступ к корпоративному хранилищу инженера DevOps.

Затем злоумышленник экспортировал все доступные записи и содержимое общих папок, которые содержали зашифрованные защищенные заметки с ключами доступа и дешифрования, необходимыми для проникновения в производственную среду, резервные копии AWS S3 LastPass, другие ресурсы облачного хранилища, а также в некоторые критически важные базы данных.

LastPass выпустила отдельный бюллетень под названием «Обновление инцидента безопасности и рекомендуемые действия», который содержит дополнительную информацию о взломе и украденных данных.

Компания также разработала вспомогательные документы с указанием мер, которые следует предпринять клиентам и бизнес-администраторам для повышения безопасности учетных записей.

Эпопея с Activision продолжается и несмотря на заявления разработчиков, что в сеть не попало ничего критичного злоумышленники решили запруфиться и опубликовали на хакерском форуме утечку американского издателя игр.

Утечка содержит данные из 19 444 уникальных записей с полными именами, номерами телефонов, должностями, местонахождением и адресами электронной почты предполагаемых сотрудников Activision.

Дамп предоставляется бесплатно всем участникам форума в текстовом файле, причем хакеры отдельно подчеркнули ценность этих данных для будущих фишинговых кампаний.

Сообщение на форуме было впервые замечено специалистами по анализу угроз FalconFeedsio, которые сообщили о потенциальной утечке данных в своем Twitter.

Как сообщалось ранее, утечка произошла после того, как хакеры обманом заставили сотрудника отдела кадров выдать свои учетные данные с помощью SMS-фишинга, но команда по информационной безопасности быстро отреагировала на инцидент и устранила угрозу.

Тогда производитель видеоигр заверил, что инцидент не скомпрометировал исходный код игры или данные о пользователях, а также сообщил, что любые сведения о предстоящем игровом контенте уже были частью общедоступных маркетинговых материалов.

Более того, в Activision заявили, что после тщательного внутреннего расследования специалисты установили, что злоумышленникам не удалось украсть никаких конфиденциальных данных сотрудников.

Пока не понятны мотивы компании, чьи заявления расходятся с публикацией на форуме и более того утверждениями СМИ, таких как Insider Gaming, которые не поленились и внимательно рассмотрели украденные материалы, после чего сообщили, что они содержат конфиденциальные данные сотрудников просочившиеся в сеть.

Специалисты предупреждают, что общедоступность базы данных увеличивает вероятность того, что в скором времени сотрудники Activision станут жертвами фишинговых атак и атак социальной инженерии.

ESET обнаружила новый бэкдор для эксфильтрации конфиденциальных данных в арсенале северокорейской Lazarus Group.

Полезная нагрузка, связанная с загрузчиком вредоносного ПО Wslink и как WinorDLL64, представляет собой полнофункциональный имплантат, который может извлекать, перезаписывать и удалять файлы, выполнять команды PowerShell, а также получать исчерпывающую информацию о базовой машине.

В числе других функций имеются: перечисление активных сеансов, создание и завершение процессов, сканирование дисков и сжатие каталогов.

Wslink был впервые задокументирован словаками еще в октябре 2021 года и описывался как простой, но надежный загрузчик вредоносных ПО, способный выполнять полученные модули в памяти.

Полезная нагрузка Wslink может быть использована позже для бокового перемещения из-за ее особого функционала в отношении сетевых сеансов.

Загрузчик Wslink прослушивает порт, указанный в конфигурации, и может обслуживать дополнительных подключающихся клиентов и даже загружать различные полезные данные.

Малварь была замечена в единичных целевых атаках, фиксировавшихся в Центральной Европе, Северной Америке и на Ближнем Востоке.

Тогда в марте 2022 года ESET подробно описывала использование вредоносной программой обфускатора расширенной многоуровневой виртуальной машины, позволяющего избежать обнаружения и противостоять обратному инжинирингу.

Атрибуция к Lazarus Group основана на совпадении поведения и кода с предыдущими кампаниями Operation GhostSecret и Bankshot, за которыми стояла АРТ.

В частности, отмечено сходство с образцами GhostSecret, подробно описанными McAfee в 2018 году, которые поставлялись с компонентом сбора данных и установки имплантата, работавшим как служба, отражая то же поведение Wslink.

Кроме того, ресерчеры ESET отметили, что полезная нагрузка попала в базу VirusTotal из Южной Кореи, где базировались некоторые из жертв.

В целом, полученные результаты еще раз показывают насколько обширный арсенал хакерских инструментов применяется Lazarus Group в ходе своих кампаний.

Служба судебных маршалов США расследует инцидент с ransomware.

По предварительным данным, атака банды вымогателей парализовала работу систем с конфиденциальной информацию правоохранительных органов.

Злоумышленники добрались до результатов судебных процессов, административных сведений и личных данных субъектов расследований USMS, а также третьих лиц и некоторых сотрудников.

Служба судебных маршалов обнаружила взлом и утечку данных из своей сети 17 февраля и немедленно отключила скомпрометированную информационную систему.

В настоящее время Министерство юстиции инициировало официальное расследование.

Нарушение оказалось настолько серьезным, что Минюст квалифицировало его как достаточно значительный взлом, требующий в числе прочего уведомления Конгресса федеральным агентством.

Один из высокопоставленных чиновников, знакомый с материалами дела, сообщил, что во время инцидента не было получено данных, связанных с программой защиты свидетелей.

Так это или не так, технические подробности инцидента равно, как и подозреваемые в его совершении пока остаются под завесой тайны.

Но будем посмотреть.

Исследователи Лаборатории Касперского представили аналитику по мобильным зловредам для Android за 2022 год.

Количество мобильных атак после снижения во второй половине 2021 года стабилизировалось и в течение всего 2022 года держалось примерно на одном уровне.

В 2022 году решения Лаборатории Касперского зафиксировали: 1 661 743 вредоносных установочных пакета, 196 476 новых мобильных банковских троянцев и 10 543 новых мобильных троянца-вымогателя.

Злоумышленники продолжали использовать легитимные каналы для распространения зловредов, в том числе через Google Play.

В официальном магазине приложений специалисты ЛК неоднократно находили мобильные троянцы, скрытно подписывающие зараженных пользователей на платные сервисы.

При этом помимо уже известных Jocker и MobOk, ресерчеры в прошедшем году обнаружили новое семейство Harly, активное с 2020 года.

За 2022 год зловреды этого типа набрали суммарно более 2,6 млн. установок на официальной платформе.

Также через Google Play активно распространялись различные мошеннические приложения, в частности, обещающие пользователю социальные выплаты или выгодные инвестиции в энергетическую отрасль.

Как и в 2021 году, не обошлось без модифицированной сборки WhatsApp с вредоносным кодом под капотом.

Одна из отличительных особенностей зловреда заключалась в том, что он распространялся через рекламу в популярном приложении Snaptube, а также через внутренний магазин приложения Vidmate.

Мобильные банковские троянцы не отставали.

Несмотря на то что Европол ликвидировал инфраструктуру FluBot (он же Polph или Cabassous), Google Play заполонили загрузчики других семейств банковских троянцев, таких как Sharkbot, Anatsa/Teaban, Octo/Coper и Xenomorph, распространяемых под видом полезных приложений.

Популярным вектором распространения мобильных зловредов оставалась эксплуатация названий популярных игр: зловреды и нежелательные приложения имитируют пиратскую версию игры или читы.

Чаще всего использовались в качестве приманки Minecraft, Roblox, Grand Theft Auto, PUBG и FIFA, в сами приложения распространялись преимущественно в соцсетях и с помощью сомнительных веб-сайтов.

Количество атак мобильных троянцев-вымогателей также продолжило идти на спад, который не прекращается с конца 2021 года.

В целом, в Лаборатории Касперского отметили, что снижение динамики мобильных атак компенсировалось совершенствованием функциональности вредоносного ПО и векторов его распространения, большая часть которых реализуется через легитимные каналы.

В 2022 году наибольшую долю среди новых обнаруженных угроз составили RiskWare-приложения, потеснив предыдущего лидера рейтинга — рекламное ПО.

При этом, как и прежде, большинство атак совершалось с использованием вредоносного ПО.

Исследователи Proofpoint поделились своими недавними наблюдениями за TA569, который является активным злоумышленником, прославившимся внедрением веб-инъекций, ведущих к полезной нагрузке JavaScript, известной как SocGholish, о которой ресерчеры впервые сообщали в своем прошлогоднем отчете.

За последние несколько месяцев исследователи Proofpoint увидели изменения ТТPs, используемых TA569, которые прежде всего были связаны с увеличением количества вариантов инъекций, а также полезных нагрузок, отличающихся от стандартных пакетов JavaScript SocGholish «Fake Update».

Цепочка заражения начинается при посещении пользователем веб-сайта, скомпрометированного инъекцией TA569. Это может быть нажатие на ссылку, полученную по электронной почте, или непосредственное посещение веб-сайта. 

Браузер жертвы интерпретирует внедренный JavaScript, и если среда соответствует определенным критериям, будет представлена приманка.

Наиболее распространенная приманка, используемая для доставки вредоносного ПО SocGholish, — это поддельное обновление браузера, которое отображается в полноэкранном формате, как если бы оно было с самого внедренного сайта.

Proofpoint обнаружила также и другие приманки, используемые TA569 для доставки других вредоносных ПО, в том числе распределенную защиту от DDoS, поддельные обновления ПО безопасности, головоломки с капчей и другие темы, связанные с «обновлениями».

При нажатии на приманку загружается файл, содержащий полезную нагрузку вредоносного ПО. Тип файла зависит от полезной нагрузки и включает файлы .js, .zip или .iso среди прочих.

Пользователь должен запустить файл, чтобы вредоносное ПО запустилось на хосте. Эти различные RAT и похитители информации, такие как SocGholish, могут подготовить почву для последующих заражений.

Proofpoint считает TA569 брокером начального доступа (IAB) или независимым киберпреступником, который обеспечивает проникновение в основные цели, а затем продает доступ другим группам для доставки дополнительных полезных нагрузок, таких как программы-вымогатели.

TA569 может удалять инъекции со взломанных веб-сайтов только для того, чтобы позже повторно добавить их на те же веб-сайты.

Предполагается, что TA569 не только является IAB, но и использует свою обширную сеть инъекций и инфраструктуру, предлагая услугу с оплатой за установку (PPI) другим субъектам угроз и облегчая таким образом обслуживание загрузок и заражение жертв.

В новом отчете Proofpoint подробно описывает инъекции, используемые TA569 для распространения различных полезных нагрузок, а также то, что конечный пользователь увидит при посещении взломанного веб-сайта.

Для защиты от TA569 исследователи предлагает следующие меры: информирование пользователей об этой активности, использование набора правил для блокировки полезных доменов и блокировка выполнения файлов .js в чем угодно, кроме текстового редактора.

Румынская Bitdefender выпустила универсальный дешифратор для набирающей популярность MortalKombat Ransomware Strain.

MortalKombat — это новый штамм ransomware, появившийся в январе 2023 года. Он базируется на семействе массовых программ-вымогателей Xorist, и был замечен в атаках на организации в США, Филиппинах, Великобритании и Турции.

Xorist, обнаруживаемый начиная с 2010 года, распространяется как сборщик программ-вымогателей, позволяющий злоумышленникам создавать и настраивать собственные версии вредоносных ПО.

Платформа включает в себя заметку о выкупе, наименование файла заметки, список целевых расширений, обои и расширение, которое будет использоваться для зашифрованных файлов. Расшифровщик для Xorist был предоставлен Emsisoft еще в мае 2016 года.

В свою очередь, MortalKombat использовался в недавних атаках, предпринятых неназванным финансово мотивированным злоумышленником в рамках фишинговой кампании, направленной на широкий круг организаций.

Как сообщали Cisco Talos ранее в этом месяце, MortalKombat шифрует различные файлы в файловой системе компьютера-жертвы, включая файлы системы, приложения, базы данных, резервных копий и файлов VM, а также файлы в удаленных местах, отображаемые как логические диски на компьютере-жертве.

Хотя программа-вымогатель не выполняет функции очистки и не удаляет теневые копии томов, она повреждает проводник Windows, отключает командное окно «Выполнить» и удаляет все приложения и папки из автозагрузки Windows.

Также известно, что ransomware повреждает удаленные файлы в папке «Корзина», изменяет имена и типы файлов и вносит изменения в реестр Windows для обеспечения устойчивости. Угрозы, стоящие за этой кампанией, и их операционная модель пока неизвестны.

Как и предшественник, MortalKombat распространяется через фишинговые электронные письма и нацелен на открытые экземпляры RDP. Вредоносное ПО внедряется через загрузчик BAT, который также доставляет вредоносное ПО Laplas Clipper.

MortalKombat — не единственный вариант Xorist, появившийся в мире угроз за последние несколько месяцев. В ноябре 2022 года Fortinet FortiGuard Labs представила еще одну версию, которая оставляет записку о выкупе на испанском языке.

Разработка также началась чуть более чем через месяц после того, как Avast опубликовал бесплатный дешифратор для программы-вымогателя BianLian, чтобы помочь жертвам вредоносного ПО восстанавливать заблокированные файлы без необходимости платить злоумышленникам.

1 млн рублей за уязвимость на Standoff 365 🔥

Standoff 365 — платформа для этичных хакеров, которая включает в себя программы багбаунти и полигон для киберучений.

Если вы хотели сделать больно Standoff, сейчас самое время. Платформа запустила собственную открытую программу багбаунти и готова выплачивать исследователям до 1 млн рублей за самые опасные уязвимости.

В скоуп входят все поддомены сайта платформы — standoff365.com.

👀 Искать уязвимости на платформе Standoff 365 ↓
bugbounty.standoff365.com/programs/standoff-365

͏Ряд авторитетных инфосек-компаний представили результаты ежегодной аналитики ландшафта угроз.

Останавливаться подробно на каждом смысла особого нет, обозначим лишь наиболее важные выводы.

CrowdStrike в ежегодном отчете Global Threat Report отметили следующие тренды по итогам наблюдений за 2022 год:

- количество рекламных объявлений IAB медленно увеличивалось каждый месяц в течение прошедшего года;
- время "прорыва" с момента компрометации хоста и последующего доступа к нему сократилось с 98 минут в 2021 году до 84 минут;
- количество вторжений, не связанных с вредоносными программами, выросло до 71% инцидентов по сравнению с 62% в 2021 году;
- число интерактивных вторжений увеличилось на 50%.

Tenable в своем ежегодном Tenable Threat Landscape Report (PDF) отметили:

- в 2022 году было зарегистрировано 25 112 уязвимостей, что на 14,4% больше, чем в 2021 году, и на 287% больше, чем в 2016 году;
- старые уязвимости по-прежнему поражают программную экосистему, причем набор ошибок 2017 года был одним из наиболее часто используемых;
- в 2022 году в результате утечек данных было раскрыто 2,29 миллиарда записей;
- 35% всех нарушений безопасности были связаны с атаками ransomware.

Rapid7 опубликовали результаты аналитики в рамках Annual Vulnerability Intelligence Report (report) сделали акцент на эксплуатации уязвимостей. Основные выводы:

- в 2022 году было использовано 28 новых уязвимостей, что на 15% меньше, чем в 2021 году;
- эксплуатация 0-day сократилась на 9% по сравнению с 2021 годом;
- 56% вновь эксплуатируемых уязвимостей были использованы в дикой природе в течение семи дней с момента их раскрытия;
- при этом лишь 14 уязвимостей использовались для проведения атак программ-вымогателей.

Proofpoint также опубликовала свой ежегодный State of the Phish Report, основные положения которого исследователи уложили в компактную инфографику, с которой можно ознакомиться 👇

Обнаружена масштабная хакерская кампания под названием SCARLETEEL, нацеленная на облачные сервисы для кражи конфиденциальных данных.

Эскалацию угроз обнаружили специалисты Sysdig в ходе реагирования на инцидент в облачной среде одного из своих клиентов.

Злоумышленники развернули криптомайнеры в скомпрометированных облачных средах и продемонстрировали глубокие познания в сфере облачной механики AWS, которые использовались для проникновения в облачную инфраструктуру компании.

Sysdig считает, что атака криптоджекинга всего лишь фикция на фоне реальных целей злоумышленников, направленных на кражу проприетарного ПО.

Специалисты считают, что активность SCARLETEEL началась после того, как хакеры стали использовать уязвимую общедоступную службу в самоуправляемом кластере Kubernetes, размещенном на AWS.

Как только злоумышленники получали доступ к контейнеру, они загружали майнер XMRig, который, как предполагается, служил приманкой, а параллельно запускался скрипт для извлечения учетных данных из модуля Kubernetes.

Далее, украденные учетные данные использовались для выполнения вызовов API AWS и кражи дополнительных учетных записей или создания бэкдор-пользователей и групп в облачной среде компании. Затем эти учетные записи использовались для дальнейшего распространения в облачной среде.

В зависимости от конфигурации кластера AWS злоумышленники могли получать доступ к анонимной информации Lambda – функции, конфигурации и ключей доступа.

Используя функции Lambda злоумышленник мог осуществлять перечисление и извлечение всего проприетарного кода и программного обеспечения вместе с его ключами выполнения и переменными среды Lambda-функций.

Как оказалось этот сценарий позволяет находить учетные данные IAM-пользователя (человек или приложение, которые могут взаимодействовать с ресурсами облачной платформы) и использовать их для последующих этапов перечисления и повышения привилегий.

На этом же этапе также происходит перечисление корзин Amazon S3 (Simple Storage Service, S3) в которых могут храниться файлы, содержащие ценные данные для киберпреступников, например, учетные сведения.

Как показала кампания SCARLETEEL, одной уязвимой точки в облачной среде организации может быть достаточно, чтобы хакеры могли использовать ее для проникновения в сеть и кражи конфиденциальных данных.

Как сообщают в своем отчете ресерчеры ESET, скрытый буткит Unified Extensible Firmware Interface (UEFI) под названием BlackLotus стал первым широко известным вредоносным ПО, способным обходить защиту Secure Boot в Windows 11.

Впервые BlackLotus был обнаружен и изучен исследователями Лаборатории Касперского в октябре 2022 года, которые охарактеризовали его как сложное криминальное ПО.

Буткиты UEFI развертываются в прошивке системы и обеспечивают полный контроль над процессом загрузки ОС, что позволяет отключать средства безопасности на уровне ОС и развертывать произвольные полезные нагрузки во время запуска с высокими привилегиями.

BlackLotus реализуется в даркнете по цене 5000 долларов США (и 200 долларов США за последующую версию), представляет собой мощный и стойкий инструментарий, который запрограммирован на ассемблере и C и имеет размер 80 килобайт. При этом функционал включает определение геозоны, избегая заражений в Армении, Беларуси, Казахстане, Молдове, Румынии, России и Украине.

BlackLotus использует уязвимость CVE-2022-21894 (она же Baton Drop), чтобы обойти защиту UEFI Secure Boot и обеспечить постоянство. Ошибка была исправлена Microsoft в рамках PatchTuesday в январе 2022 года.

Успешная эксплуатация уязвимости обеспечивает выполнение кода на ранних этапах загрузки, позволяя злоумышленнику совершать вредоносные действия в системе с включенной UEFI Secure Boot без физического доступа к ней, прокладывая тем самым путь для атак Bring Your Own Vulnerable Driver (BYOVD).

Теперь можно считать это первым публично известным фактическим злоупотреблением этой уязвимостью. Эксплуатация остается все еще возможной, поскольку затронутые, действительно подписанные, двоичные файлы все еще не добавлены в список отзыва UEFI.

Помимо отключения BitLocker и Защитника Windows, BlackLotus также спроектирован так, чтобы сбрасывать драйвер ядра и загрузчик HTTP, который взаимодействует с C2 для получения дополнительных вредоносных ПО пользовательского режима или режима ядра.

Точный способ развертывания буткита пока неизвестен, но он начинается с компонента установщика, который отвечает за запись файлов в системный раздел EFI, отключение HVCI и BitLocker, а затем перезагрузку хоста.

За перезапуском следует использование CVE-2022-21894 для обеспечения устойчивости и установки буткита, после чего он автоматически выполняется при каждом запуске системы для развертывания драйвера ядра.

Драйвером реализует задачу запуска HTTP-загрузчика пользовательского режима и полезной нагрузки режима ядра следующего этапа, последний способен выполнять команды, полученные от сервера C2 по HTTPS, включая загрузку и выполнение драйвера ядра, библиотеки DLL или обычного исполняемого файла, а также получение обновлений буткита и даже его удаление буткита из зараженной системы.

За последние несколько лет было обнаружено множество критических уязвимостей, влияющих на безопасность систем UEFI. Однако из-за сложности экосистемы UEFI и связанных с ней проблем с цепочками поставок многие из них оставляют системы уязвимыми в течение длительного периода после исправления баг.

Так что, это просто вопрос времени, когда кто-то воспользуется этими обстоятельствами для создания буткита UEFI, способного работать в системах с включенной UEFI Secure Boot.

На этой неделе Cisco объявила об обновлениях программного обеспечения, устраняющих критическую уязвимость в веб-интерфейсе управления IP-телефонов серий 6800, 7800 и 8800.

Ошибка, отслеживаемая как CVE-2023-20078 (оценка CVSS 9,8) может быть использована удаленным злоумышленником, не прошедшим проверку подлинности, для выполнения кода с привилегиями root.

Дефект безопасности, как поясняет Cisco в своем бюллетене, возникает из-за того, что вводимые пользователем данные недостаточно проверяются.

Потенциальный злоумышленник может воспользоваться этой багой, отправив сформированный запрос в веб-интерфейс управления, что в итоге позволит злоумышленнику выполнять произвольные команды в базовой операционной системе уязвимого устройства.

Уязвимые продукты включают IP-телефоны серий 6800, 7800 и 8800 с кроссплатформенной прошивкой. Недостаток устранен в выпуске прошивки версии 11.3.7SR1.

Обновление ПО также устраняет CVE-2023-20079 (оценка CVSS 7,5), еще одну проблему с недостаточной проверкой данных, введенных пользователем. Ошибка может быть использована для создания условия отказа в обслуживании (DoS).

В дополнение к вышеупомянутым устройствам уязвимость также затрагивает IP-телефон для конференц-связи Cisco 8831, в том числе с кроссплатформенной прошивкой, а также IP-телефоны серии 7900, которые достигли статуса окончания срока службы (EoL) и не будут получать патчи.

Со слов Cisco, ей неизвестно об использовании какой-либо из этих уязвимостей в злонамеренных атаках.

Aruba Networks исправила шесть критических уязвимостей для своего протокола PAPI в рамках выпуска обновлений, закрывающего более 30 недостатков.

PAPI — это протокол управления точками доступа компании. Недостатки затрагивают Aruba Mobility Conductor, контроллеры Aruba Mobility Controller, а также шлюзы WLAN и SD-WAN, управляемые Aruba Central.

Четырем ошибкам, присвоены идентификаторы CVE, но еще не полностью раскрыты, так как касаются неавторизованных вводов команд в протокол.

В рекомендациях Aruba говорится, что CVE-2023-22747 - CVE-2023-22750 могут привести к удаленному выполнению кода без проверки подлинности.

Успешная эксплуатация даст злоумышленнику возможность выполнить код операционной системы от имени привилегированного пользователя.

В протоколе также есть две уязвимости переполнения буфера на основе стека, CVE-2023-22751 и CVE-2023-22752, которые также подвергают систему удаленному выполнению кода.

Все ошибки, о которых сообщил аналитик Эрик де Йонг через Bugcrowd, эксплуатируются путем отправки созданных пакетов цели через UDP-порт 8211.

PAPI также можно использовать в качестве вектора для эксплуатации пяти уязвимостей с высоким рейтингом в процессах ArubaOS: CVE-2023-22753 - CVE-2023-22757.

Ошибки переполнения буфера без проверки подлинности также позволяют злоумышленнику запускать команды операционной системы от имени привилегированного пользователя и могут быть реализованы через протокол PAPI.

Существует также уязвимость с высоким рейтингом, переполнение буфера чтения при обработке строк ASN.1 в операционной системе (CVE-2021-3712), но ее может атаковать только аутентифицированный пользователь.

Также есть несколько ошибок в веб-интерфейсе управления ArubaOS (CVE-2023-22758 - CVE-2023-22760 и CVE-2023-2276) и интерфейсе командной строки (CVE-2023-22762 - CVE-2023-22770), все из которых можно использовать только аутентифицированным пользователем.

Затронутые ветки программного обеспечения: ArubaOS 8.6.0.19 и ниже, 8.10.0.4 и ниже, 10.3.1.0 и ниже; вместе с SD-WAN 8.7.0.0-2.3.0.8 и ниже.

Недостатки устранили и Aruba заявляет, что ей ничего не известно о каких-либо публичных эксплойтах или активном использовании этих уязвимостей.

Однако пользователям рекомендуется обновиться как можно скорее, причем в ветке ArubaOS 8.6.x ошибки нельзя было исправить, поэтому этим пользователям придется реализовать обходные пути или выполнить обновление до ветки 8.10.x.

Новой версией вредоносной ПО SysUpdate для удаленного доступа под Linux вооружилась APT27, также известная как Bronze Union, Emissary Panda и Iron Tiger.

Фишку обнаружила Trend Micro, которая полагает что теперь китайская АРТ сможет атаковать в рамках операции кибершпионажа еще больший диапазон служб, используемых на целевых предприятиях.

Согласно последнему отчету, хакеры впервые протестировали версию Linux в июле 2022 года. Однако только в октябре 2022 года несколько полезных нагрузок начали циркулировать в дикой природе.

Новый вариант вредоносного ПО написан на C++ с использованием библиотеки Asio, и его функциональность очень похожа на Windows-версию SysUpdate.

Заинтересованность злоумышленника в расширении масштабов атак на системы за пределами Windows стала очевидной еще полгода назад, когда SEKOIA и Trend Micro отследили атаки APT27 на системы Linux и macOS с использованием нового бэкдора под названием «rshell».

В недавней кампании были развернуты боевые Windows и Linux-образцы в конкретных скомпрометированных системах. Одной из жертв была игорная компания на Филиппинах.

Вектор заражения неизвестен, но аналитики Trend Micro предполагают, что злоумышленники использовали установщики, маскирующиеся под приложения для обмена сообщениями, такие как Youdu, в качестве приманки для активации последовательности атаки.

При этом ресерчеры наблюдали новый процесс загрузки SysUpdate, который теперь использует исполняемый файл «Microsoft Resource Compiler» (rc.exe) с цифровой подписью для выполнения боковой загрузки DLL с помощью rc.dll для загрузки шеллкода.

Шелл-код загружает в память первую стадию SysUpdate, поэтому антивирусам сложно его обнаружить. Затем он перемещает необходимые файлы в жестко заданную папку и устанавливает постоянство с изменениями реестра или путем создания службы, в зависимости от разрешений процесса.

Второй этап запускался после следующей перезагрузки системы для распаковки и загрузки основной полезной нагрузки SysUpdate.

Что касается версии SysUpdate для Windows, в ней есть функции для управления процессами, создания снимков экрана, выполнения операций с файлами и выполнения произвольных команд. Он также может взаимодействовать с серверами C2 через DNS-запросы TXT (метод, известный как туннелирование DNS).

Trend Micro отмечает, что АРТ использовала исполняемый файл, подписанный Wazuh, на более поздних этапах загрузки неопубликованных приложений, чтобы внедриться в среду жертвы, поскольку целевая организация использовала реальную платформу Wazuh.

Образцы Linux ELF, написанные на C++, примечательны использованием библиотеки Asio для переноса функций обработки файлов, что указывает на то, что злоумышленник хочет добавить кроссплатформенную поддержку для вредоносного ПО.

Бинарный файл поддерживает пять параметров, которые определяют, что вредоносная программа должна делать дальше: настройка сохраняемости, демонизация процесса, установка GUID (глобальный уникальный идентификатор) для зараженной системы и т. д.

Учитывая, что rshell уже может работать на Linux и macOS, Trend Micro полагает, что нельзя сбрасывать со счетов возможность того, что версия вредоносного ПО для macOS может появиться в дикой природе в скором будущем.