По традиции первая декада месяца начинается с ежемесячных патчей крупными разработчиками. Понимаем, что надоело, но не напомнить о них моветон.

На этой неделе Google анонсировала обновления безопасности за апрель 2023 года для устройств Android, исправив более чем 65 уязвимостей, включая две критические RCE.

В бюллетене безопасности описаны 26 уязвимостей, большинство из которых являются серьезными ошибками, приводящими к повышению привилегий или раскрытию информации.

Критические ошибки отслеживаются, как CVE-2023-21085 и CVE-2023-21096, но технических подробностей пока нет.

Известно, что наиболее серьезной из этих проблем является ошибка в компоненте System, которая может привести к RCE, причем эксплуатация не требует взаимодействие с пользователем или дополнительных привилегий в ОС.

Вторая порция обновлений включает исправления 40 уязвимостей в компонентах ядра, Arm, Imagination Technologies, MediaTek, Unisoc и Qualcomm.

Большинство этих ошибок оцениваются как серьезные, а четыре недостатка влияющих на компоненты Qualcomm, вовсе считаются критическими.

Второй месяц подряд Google запаздывает с публикацией бюллетеня по безопасности для Pixel, также не было объявлено об исправлениях безопасности для Android Automotive OS.

Cisco выпустила исправления для большого числа уязвимостей в своей линейке продуктов, включая серьезные проблемы в Secure Network Analytics и Identity Services Engine (ISE).

Одни из них, CVE-2023-2010 представляет собой недостаточную очистку предоставленных пользователем данных, прошедших анализ в памяти. Удаленный авторизованный злоумышленник может добиться RCE, отправляяя специально созданные HTTP-запросы на устройство.

Поставщик пофиксил ошибку неправильной проверки параметров (CVE-2023-20122), отправляемых в ограниченную оболочку в Cisco ISE, что могло привести к повышению привилегий.

Локальный авторизованный злоумышленник может воспользоваться ей, отправив специально созданные команды CLI, что позволит получить привилегии root в ОС.

В бюллетене Cisco также подробно описывается второй недостаток неправильной проверки параметров, который влияет на ограниченную оболочку Evolved Programmable Network Manager (EPNM), ISE и Prime Infrastructure.

CVE-2023-20121 имеет средний рейтинг серьезности, поскольку для эксплуатации требуются права администратора.

Cisco объявила об устранении критической уязвимости в корпоративных решениях для совместной работы Expressway и TelePresence Video Communication Server (VCS).

CVE-2022-20812 с оценкой CVSS 9,0 влияет на API кластерной базы данных и позволяет удаленному злоумышленнику, прошедшему проверку подлинности, перезаписывать файлы на устройстве с привилегиями root в виду недостаточной проверки аргументов команд пользователя.

Пока доступно предварительное исправление, полный патч будет включен в выпуск 14.3 к концу апреля.

Cisco также предупреждает о двух уязвимостях высокой степени опасности (CVE-2023-20117 и CVE-2023-20128), влияющих на маршрутизаторы Small Business RV320 и RV325, которые могут позволить удаленному злоумышленнику, прошедшему проверку подлинности, выполнять произвольные команды на уязвимых устройствах.

Правда, поскольку затронутые маршрутизаторы достигли EoL, Cisco не будет выпускать для них исправления.

Также без исправлений останутся более чем 15 уязвимостей средней степени серьезности в маршрутизаторах EoL Small Business RV016, RV042, RV042G, RV082, RV320 и RV325.

Уязвимости средней степени серьезности были закрыты в Cisco Webex Meetings, Unified Contact Center Express (Unified CCX), Secure Network Analytics, Prime Infrastructure и Evolved Programmable Network Manager (EPNM), ISE, Duo и PGW.

Cisco не сообщает об использовании каких-либо из баг в реальных атаках, но несмотря на это - вы и так знаете, что нужно делать.

Если говорить об исправлениях, то следует всегда помнить о печальном опыте тайваньского поставщика оборудования для хранения данных QNAP, для которого 2022 год стал настоящей кибервойной с ransomware.

Различные банды вымогателей, прежде всего Deadbolt, Checkmate и ech0raix, атаковали владельцев NAS, нацеливаясь на различные обнаруживаемые 0-day, которые QNAP успевал латать c ходу.

Тем не менее, по данным Chainalysis, в 2022 году только Deadbolt удалось заработать более 2,3 млн. долларов, успешно атаковав порядке 5000 жертв, при этом средний размер выкупа составил 476 долларов.

На этот раз QNAP не ждет страйков и ведут активную работу на опережение. Компания объявила о срочном исправлении двух уязвимостей CVE-2022-27597 и CVE-2022-27598, которые были обнаружены исследователями Sternum и затрагивают четыре разных продукта, для двух из которых ошибки уже исправлены.

Ошибки вызывают проблемы со стабильностью и непредсказуемое поведение кода. Злоумышленник может использовать эти проблемы для получения полного доступа к устройству QNAP.

Тайваньская компания призывает клиентов активней обновлять прошивку.

Тем временем, для вымогателей нарисовывается хорошая работенка, если верить оценкам исследователей и статистике Shodan, более 80 000 устройств по всему миру все еще имеют уязвимости, а обратившись к возможностям Netlas открывается куда более мрачная картина - 134 000.

Как мы и прогнозировали, Cobalt Strike, можно считать, что всё.

Microsoft в партнерстве с Fortra приступили к борьбе с неправомерным использованием крякнутых версий Cobalt Strike.

Компании, сродни правоохранителям, получили официальные полномочиями блокировать, удалять и изымать домены с вредоносной инфраструктурой.

В соответствии постановлением окружного суда США по восточному округу Нью-Йорка, Microsoft и Fortra разрешено конфисковывать доменные имена и удалять IP-адреса серверов, на которых размещены взломанные версии Cobalt Strike.

Уничтожение подпольной инфраструктуры началось во вторник.

Ликвидация будет осуществляться силами групп реагирования на компьютерные инциденты CERT и интернет-провайдеров.

Причем постановление суда также позволяет коалиции разрушать новую инфраструктуру, которую злоумышленники будут использовать в будущих атаках.

Крестовый поход, как заверяют эксперты, нацелен на ограничение монетизации нелегальных копий ПО, а также противодействию его использования в кибератаках.

Помимо прочего, в ходе операции планируются иски за нарушение авторских прав Microsoft и Fortra. Если говорить о Fortra, обычных обывателей это вряд ли коснется, то в ситуации с Microsoft все может выглядеть намного масштабнее. OVGorskiy и его коллеги держитесь.

Как мы помним, Fortra выпустила свой флагманский продукт в 2012 году. Коммерческий инструмент тестирования на проникновение в формате RedTeam открывал ИБ-специалистам возможность сканировать инфраструктуру на наличие уязвимостей.

Несмотря на то, что разработчик тщательно проверяет клиентов и выдает лицензии только для легального использования, со временем копии подтянули и хакеры.

Постепенно Cobalt Strike превратился в одним из самых популярных инструментов киберподполья, связанного с кражей данных и ransomware.

Задача амбициозная и работы предстоит не мало, ведь Microsoft обнаружила вредоносную инфраструктуру с Cobalt Strike почти по всему миру, в том числе в Китае, США и России. При этом личности тех, кто стоит за преступными операциями, остаются неизвестными.

Интересно понаблюдать за реализацией замысла. Вероятно, еще не дожидаясь санкций, хакерские группировки достаточно быстро адаптируют тактику и пересмотрят свой инструментарий.

Исследователи Ян Табор из EDAG Group и Кен Тинделл из Canis Automotive Labs обнаружили, что автоугонщики используют новую технику, чтобы взламывать автомобили, обходить систему доступа без ключа, затем открывать двери и запускать двигатели.

Техника получила название CAN Injection и, по-видимому, использовалась в дикой природе не менее года.

Познать всю изобретательность преступников пришлось после того, как один из исследователей сам стал жертвой автоугона, лишившись новенького Toyota RAV4.

Правда, угнать японца воры смогли с третьего раза, оставляя после предыдущих неудачных попыток разобранные фары и отсоединенные кабеля, что и выглядело изначально как хулиганство, но все же позволило понять начальный «вектор атаки».

Метод основан на том, что угонщики снимают фары, чтобы добраться до внутренних кабелей и подключить специальное устройство, которое взламывает электронный блок управления автомобиля (ЭБУ) для запуска интеллектуальной системы без ключа. 

Современные автомобили имеют несколько ЭБУ, каждый из которых отвечает за разные системы, они соединены между собой шинами локальной сети контроллеров CAN.

Минуя прямое подключение к ЭБУ смарт-ключа, угонщики могут получить доступ к ЭБУ электронного ключа по проводам, подключенным, как в случае с РАФом, к фаре. 

Атака работает путем отправки специально созданных сообщений CAN, которые передают ECU, что ключ доступа злоумышленника действителен. Затем злоумышленник может отправить специально созданное сообщение на блок двери, чтобы разблокировать дверь, что позволяет сесть в машину и уехать.

Исследователи промониторили даркнет и нашли селлеров, которые продают хакерские девайсы за 5000 евро для взлома авто марок: Jeep, Maserati, Honda, Renault, Jaguar, Fiat, Peugeot, Nissan, Ford, BMW, Volkswagen, Chrysler, Cadillac, GMC и Toyota.

Комуфлируется изделие под портативную колонку JBL и представлено как устройства «аварийного запуска», которые автовладельцы могут использовать в случае утраты ключа или сотрудники СТО при проведении ремонтных работ.

Исследователи сообщили о своих выводах в Toyota и надеятся, что производители примут меры противодействия атакам путем инъекции CAN.

Забавно другое в этой ситуации, что жертвой автоугона стал весьма авторитетный исследователь, не раз обнаруживавший уязвимости безопасности автосистем.

На память о четырехколесном друге Яну Табору достался идентификатор CVE-2023-29389, который был присвоен взлому Toyota RAV4.

Apple выпустила экстренные обновления безопасности для устранения двух новых 0-day, которые активно используются в целевых атаках для взлома широкой линейки устройств iPhone, Mac и iPad, закрыв по итогу в 2023 году уже 3 таких ошибки.

Первая из них отслеживается как CVE-2023-28206 и связана с проблемой записи за пределами IOSurfaceAccelerator, которая может привести к повреждению данных, сбою или RCE.

Вторая 0-day (CVE-2023-28205) в WebKit (обращение к памяти после ее освобождения) уже использовалась через веб-контент для выполнения произвольного кода с привилегиями ядра.

Две уязвимости нулевого дня были устранены в iOS 16.4.1, iPadOS 16.4.1, macOS Ventura 13.3.1 и Safari 16.4.1 с улучшенной проверкой ввода и управлением памятью.

Apple не распространяется по вопросу, способны ли недавно обнаруженные эксплойты обойти функцию режима блокировки, равно как и не раскрывает подробности атак и используемых эксплойтв.

Однако выяснилось, что о двух недостатках сообщили Клеман Лесин из Google TAG и Доннча О Сирбхейл из Amnesty International после того, как они обнаружили, что уязвимости использовались в дикой природе как часть цепочки эксплойтов.

Как известно, обе организации регулярно раскрывают кампании с использованием spyware, а на прошлой неделе выпустили даже целый отчет с описанием цепочек эксплойтов Android, iOS и Chrome, о которым мы также писали.

Так что, в большой долей вероятности, можно полагать, что новые 0-day использовались только в узконаправленных атаках с использованием ПО уже известных брендов в области коммерческого шпионажа.

Пользователям настоятельно рекомендуется обновить свои гаджеты, поставщикам - приготовиться к очередным санкциям и судебным искам, а инфосек-сообществу - к новым скандальным расследованиям и интригам.

Выпущен PoC для недавно обнаруженной критической уязвимости в популярной библиотеке JavaScript VM2, которая имеет имеет более 16 миллионов загрузок в месяц и используется в 721 пакете.

Не так давно исправленная уязвимость CVE-2023-29017 получила максимальную оценку серьезности 10,0 и была обнаружена исследовательской группой Корейского передового института науки и технологий (KAIST).

Проблема связана с тем, что он неправильно обрабатывает ошибки, возникающие в асинхронных функциях.

Эксплуатация недостатка позволяет злоумышленнику обойти песочницу и получить права на RCE.

Бага затрагивает все версии VM2, начиная с 3.9.14 и старше. Проблема устранена с выпуском новой версии библиотеки 3.9.15. Обходной путь недоступен.

После выпуска обновленной версии VM2, аспирант KAIST Сонхил Ви опубликовал на GitHub два варианта кода эксплойта для CVE-2023-29017, с помощью которого вышел за границы и создал на хосте пустой файл с именем «flag».

Пользователям настоятельно необходимо убедиться, что их системы обновлены до последней версии VM2.

Кроме того, пользователи также должны отслеживать свои системы на предмет подозрительной активности.

Как и обещали, рассказываем по ситуации с MSI.

После сообщений об атаке с использованием ransomware тайваньская MSI официально подтвердила, что сеть была взломана в результате кибератаки.

В пятничном уведомлении в адрес Тайваньской фондовой биржи (TWSE) компания сообщила, что некоторые из ее систем информационных служб пострадали в результате киберинцидента, о котором было доложено соответствующим государственным органам.

MSI быстро отреагировали, организовав сканирование и исправление уязвимостей в инфраструктуре, развертывание дополнительных брандмауэров и антивирусного ПО.

Тем не менее компания не раскрывает ни даты атаки, ни наличие шифрования, а также умалчивает последствия инцидента, в том числе утечку корпоративной информации и данных клиентов.

Представители MSI заверили, что ведутся восстановительные работы, а сама кибератака не оказала значительного влияния на бизнес с точки зрения финансов и операционной деятельности.

Позже в новом заявлении MSI порекомендовала пользователям избегать загрузки обновлений прошивки и BIOS из сторонних источников, использовать ПО только с официального сайта.

Как считают эксперты, ответственная за взлом банда Money Message использовала комбинацию изощренных методов взлома и тактик социальной инженерии, чтобы получить доступ к системам MSI и пошифровать часть файлов.

В настоящее время неясно, какой объем информации о клиентах был получен или украден злоумышленниками, но она может включать личную информацию.

Злоумышленники продолжают угрожать опубликовать украденные файлы на следующей неделе, если MSI не выполнит требования о выкупе.

Времени остается немного, будем посмотреть.

Исследователи Cyble Research and Intelligence Labs (CRIL) расчехлили новую ransomware Cylance, название которой совпадает с ИБ-компанией, которую не так давно приобрела BlackBerry.

Ransomware ориентирована как Linux, так и Windows системы.

Группа еще не представила свой DLS и пока скрывает своих жертв. Но судя по тому, что образец засветился в телеметрии Unit 42 Palo Alto Networks, жертвы уже есть.

Особенностью нового штамма является возможность принимать различные параметры командной строки и гибко подстраиваться под индивидуальную тактику шифрования.

При запуске программа-вымогатель сначала изменяет привилегии в ОС, получая доступ к ограниченным действиям, включая отладку других процессов, изменение параметров безопасности системы и восстановление файлов и каталогов.

После этого программа-вымогатель создает запись запланированной задачи для сохранения, что позволяет ей автоматически запускаться каждый раз, когда жертва входит в свой компьютер.

После сбора сведений о дисковых томах и связанных с ними файловых системах, программа определяет конкретные диски и каталоги, которые необходимо зашифровать, оставляя попутно примечание о выкупе с именем CYLANCE_README.txt в нескольких папках.

Ransomware использует алгоритм быстрого потокового шифрования Salsa20 для шифрования файлов, избегая определенных имен папок, имен файлов и расширений файлов. Режим определяется параметром командной строки. По окончании к зашифрованным файлам добавляется расширение .Cylance.

Кроме того, вымогатель выполняет запрос WMI со следующей командной строкой, чтобы идентифицировать и удалить теневую копию через Win32_ShadowCopy.ID.

В версии для Linux актор вручную запускает Cylance на скомпрометированной системе, предоставляя целевую папку в качестве аргумента.

Используется потоковый шифр ChaCha, который является вариантом алгоритма шифрования Salsa20.

Затем исполняемый файл Linux приступает к шифрованию файлов в целевой папке и ее подпапках, добавляя примечание о выкупе в каждый затронутый каталог.

Судя по примитивной записки о выкупе и отсутствию DLS, можно полагать, что банда, по-видимому, находится еще в стадии разработки. Но одно угадывается точно: они полностью соответствуют превалирующей тенденции современных ransomware, ориентированных как на Windows системы, так и на Linux.

Индикаторы компрометации (IoC) и методы MITRE ATT&CK представлены в отчете.

Редактор канала SecAtor пилит новый пост про АРТ

Cеверокорейская АРТ ARCHIPELAGO была замечена в атаках против лиц государственных, научных и военных ведомств, а также высокопоставленных политиков и исследователей в Южной Корее и США.

Такие выводы озвучили в Google TAG, полагаясь, что кластер ARCHIPELAGO является одной из подгрупп APT43.

Наблюдение за группой велось с 2012 года и показало, что злоумышленники часто нацеливались на жертвы, связанные с Северной Кореей. Причем приоритеты как APT43 и, соответственно, ARCHIPELAGO, совпадали и соответствовали общей стратегии разведки КНДР.

Цепочки атак ARCHIPELAGO в свойственной для корейцев манере начинаются с фишинга на канале электронной почты с вредоносными ссылками и редиректом на фейковые страницы авторизации.

Приманки тоже незамысловаты и включают сообщения от СМИ и аналитических центров с предложением интервью или запросов на комментарии по северокорейской тематике.

Но тактически злоумышленники ведут себя более сдержанно и прилагают много усилий на установление доверительного контакта, переписываясь в течение нескольких дней или недель, прежде чем заслать вредоносную ссылку.

А теперь из интересного. Злоумышленник использует метод "браузер в браузере" (BitB) для отображения мошеннических страниц входа в реальное окно для кражи учетных данных.

Причем, фишинговые сообщения выдавались за предупреждение о безопасности учетной записи Google, при этом на Google Диске в виде пустых файлов или образов ISO размещалась малварь BabyShark.

Так, например в последней атаке АРТ разослала электронные письма от имени Федерального кредитного союза Госудепартамента, предупреждая об опасности входа в учетную запись Google.

Специалисты добавили, что хакеры уклоняется от обнаружения антивирусными решениями, прежде всего, путем парольной защиты вредоносных файлов и распространяя пароль жертвам в последующих фишинговых сообщениях.

Другая фишка АРТ - уловка с мошенническими расширениями Google Chrome для сбора конфиденциальных данных, о чем свидетельствуют предыдущие кампании, получившие название Stolen Pencil и SharpTongue.

В последней атаке хакеры предприняли попытку поиграться с SHARPEXT, новым вредоносным расширением Chrome. Оно может анализировать электронные письма с активных почтовых вкладок Gmail или AOL, отправляя их злоумышленнику, если оно будет установлено на пользовательском ПК.

Деятельность АРТ, в очередной раз, подчеркивает, что северокорейский кластер продолжает оставаться серьезной угрозой, а активность будет только возрастать.

Всего через несколько дней после исправления двух 0-day в линейке своих решений Apple выпустила отдельные обновления для устаревших моделей.

Исправленные CVE-2023-28206 и CVE-2023-28205 реализуют цепочку эксплойтов, открывающую ядро iOS для атак.

При правильном использовании ошибки позволяют мотивированному преступнику запускать вредоносное ПО на целевом устройстве.

Согласно мнению исследователей и бюллетеню Apple, уязвимости использовались для глубокого доступа к привилегиям и запуска шпионских ПО в ходе целевых атак.

Обновленные версии iOS 15.7.5 и iPadOS 15.7.5 закрывают недостатки на старых моделях устройств, включая iPhone 6s, iPhone 7, iPhone SE, iPad Air 2, iPad mini (4-го поколения) и iPod touch (7-го поколения).

Учитывая, что первая из ошибок также затрагивает macOS Big Sur и macOS Monterey, разработчик представил обновленные версии ПО macOS Big Sur 11.7.6 и macOS Monterey 12.6.5.

Как многие заметили, Apple ускорила выпуск исправлений для старых продуктов с нескольких недель до нескольких дней, что может указывать на особую критичность проблем, и поэтому пользователям следует не менее оперативно применять обновления.

Исследователи выпустили новый полезный ресурс для инфосек-сообщества под названием LOLDrivers (Living Off The Land Drivers), который был ранее анонсирован на ИБ-мероприятий SANS DFIR.

Проект с открытым исходным кодом LOLDrivers реализует единый перечень драйверов Windows, используемых злоумышленниками для обхода средств контроля безопасности в ходе атак, значительно упрощая выявление и изучение угроз.

Мониторинг драйверов позволяет заблаговременно обнаруживать потенциальные угрозы, принимать оперативные меры по устранению уязвимостей, минимизируя риск потенциальной эксплуатации.

Функционал loldrivers.io позволяет выполнить поиск и фильтровать драйверы в таблице, присутствует возможность получить CSV, JSON, Sysmon и Sigma. Кроме того, добавлены категории: уязвимый драйвер, вредоносный драйвер, экспериментальный драйвер и скомпрометированный сертификат.

При работе с черным списком Microsoft некоторые хэши отсутствуют в VirusTotal или Google. Поэтому ресерчеры создали проверенный ключ в YAML. Если хэш доступен на VirusTotal, достаточно пометить поле как TRUE, в противном случае - FALSE.

Несмотря на то, что исследователи смогли собрать подавляющее большинство известных уязвимых драйверов, они намерены продолжать работу, привлекая к сотрудничеству всех желающих.

Для этого разработан простой и понятный шаблон YAML, а также простое приложение Streamlit, которое позволяет быстро и без усилий создавать файлы YAML, способствуя беспрепятственному участию в проекте.

В целом, LOLDrivers достаточно позитивный, способствует духу сотрудничества и обмена знаниями в сообществе инфосека. Авторам респект.

В своем отчете Sucuri сообщает о более чем миллионе сайтов WordPress, которые были заражены вредоносным ПО Balada Injector.

Впервые замеченное еще в 2017 году вредоносное ПО является разработкой неустановленной хакерской группы, которая стала наиболее активна с марта этого года.

Balada Injector предназначен для внедрения вредоносного кода на сайты WordPress, что позволяет злоумышленникам получить доступ к базе данных сайта и потенциально красть конфиденциальную информацию.

Малварь также может использоваться для модификации веб-сайтов или перенаправления посетителей на вредоносные линки.

Исследователи Sucuri выявили угрозу, проанализировав данные службы брандмауэра веб-приложений (WAF), которая отслеживает трафик на предмет подозрительной активности.

Согласно их выводам, большинство пострадавших сайтов работали на устаревших версиях WordPress, собственно, на которые были установлены уязвимые темы или плагины.

Это позволило злоумышленникам легко получать доступ к серверной части сайта и внедрять вредоносный код без какого-либо взаимодействия с пользователем.

Balada Injector смог быстро распространиться отчасти благодаря тому, что способна самостоятельно обходить базовые меры безопасности, такие как CAPTCHA и простую 2FA.

Вредонос также способен определить, был ли сайт заражен другими типами вредоносных программ, прежде чем атаковать его, что, в свою очередь, усложняет задачу по его обнаружению и удалению.

В конечном итоге вредоносное ПО позволяет добавлять аккаунты фейковых администраторов WordPress, собирать данные, хранящиеся на базовых хостах, и оставлять бэкдоры для постоянного доступа.

Рецептов для защиты не много: поклонникам WordPress рекомендуется своевременно обновляться, а также регулярно сканировать свои ресурсы на наличие признаков заражения, используя хотя бы простые решения безопасности, например, тот же Sucuri WAF или Wordfence.

Ресерчеры BI.ZONE выпустили отчет в отношении новой кампании финансово мотивированной группы Watch Wolf, которая нацелена на российских финансовый сектор и реализует атаки через SEO poisoning.

Находящаяся с 2021 года в поле зрения исследователей Watch Wolf нацелена на компрометацию рабочих станций бухгалтеров российских компаний с целью последующего вывода денежных средств через онлайн‑банкинг.

Но в последней кампании, которая началась не ранее ноября 2022 года, - делает это нестандартно: вместо классической рассылки вредоносов по email, занимаются SEO‑продвижением мошеннических сайтов, чтобы бухгалтеры сами установили бэкдор на компьютеры.

Они насыщают свои ресурсы ключевыми словами и закупают контекстную рекламу — все это помогает выводить такие сайты на первую страницу результатов поиска.

Фейковые страницы имитируют ресурсы для бухгалтеров, где можно загрузить, например, шаблоны документов. Жертва скачивает документ якобы в одном из популярных форматов (DOC или XLS), причем не с самого сайта, а с файлообменника мессенджера Discord.

На самом деле в папке загрузки оказывается SFX‑архив, после открытия которого на компьютер загружается ПО DarkWatchman, которое представляет собой JS‑скрипт и запускается посредством wscript.exe.

Для достижения персистентности в скомпрометированной системе ВПО создает задачу в планировщике Windows, после чего при наличии необходимых прав удаляет теневые копии.

Бэкдор использует ключ реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\DWM для хранения конфигурационной информации. В этот ключ в том числе записывается тело кейлогера.

Бэкдор позволяет атакующим в том числе запускать исполняемые файлы, загружать библиотеки, выполнять сценарии через различные интерпретаторы, а также загружать файлы и обновлять как свой код, так и код кейлогера.

Используя реестр и инструментарий управления Windows, бэкдор незаметно собирает информацию о системе (язык, часовой пояс, используемые антивирусы), а затем устанавливает известную с 2014 года троянскую программу Buhtrap.

С ее помощью Watch Wolf выводит средства со счетов компании. Кроме того, доставлялись и дополнительные модули, например VNC, который позволял злоумышленникам получить удаленный доступ.

Мы солидарны с исследователями во мнении, что бизнес должен быть в курсе трендов в технике и тактике атак для защиты активов.

Особенно, если учесть, что в некоторых случаях атакующим удавалось выводить несколько десятков миллионов рублей, а ущерб за все время работы группы может достигать 7 миллиардов рублей.

Вслед за Apple, разработчики Microsoft выкатили свой апрельский PatchTuesday для исправления почти сотни уязвимостей, в том числе одной 0-day.

При этом семь уязвимостей классифицируются как критические и допускают RCE.

В общем устранено 45 RCE-ошибок, наряду с 20 уязвимостями повышения привилегий, 8 - обхода функций безопасности, 10 - раскрытия информации, 9 - DoS и 6 - спуфинга.

Активно используемая в злонамерных атаках CVE-2023-28252 представляет собой уязвимость уязвимость повышения привилегий в драйвере Windows CLFS, которая позволяет злоумышленнику повысить привилегии до SYSTEM.

Согласно Microsoft, ошибка была обнаружена Гэнвэй Цзяном из Mandiant и Куан Джином из DBAPPSecurity WeBin Lab.

Кроме того, исправлены RCE-уязвимости (CVE-2023-28285, CVE-2023-28295, CVE-2023-28287 и CVE-2023-28311) Microsoft Office, Word и Publisher, которые можно использовать, просто заставляя жертв открывать вредоносные документы.

Учитывая высокий фишинговый потенциал уязвимостей, злоумышленники, скорее всего, попытаются оперативно разобраться, как их можно эффективно задействовать в своих кампаниях.

В этой связи, пользователям Microsoft Office настоятельно рекомендуется как можно скорее установить последние обновления безопасности.

Правда, не стоит полагаться на Microsoft, которым на практике приходилось неоднократно дорабатывать патчи и чинить попутно лагающий после обновлений софт.

Полное описание для каждой уязвимости и систем - здесь.

Решили отдельно остановиться на исправленной апрельским патчем Microsoft 0-day повышения привилегий в Windows (CLFS), которая затрагивает все поддерживаемые серверные и клиентские версии Windows и может быть использована локальными злоумышленниками в атаках низкой сложности.

На самом деле львиную долю работы в процессе раскрытия CVE-2023-28252 проделали эксперты из команды GReAT Лаборатории Касперского помимо упоминаемых Mandiant и DBAPPSecurity WeBin.

0-day впервые была обнаружена Лабораторией Касперского в феврале 2023 года в расследования атак, в рамках которых операторы на серверах Microsoft Windows пытались развернуть новую версию Nokoyawa ransomware на предприятиях малого и среднего бизнеса в ближневосточном и североамериканском регионах.

По данным Лаборатории Касперского, стоящая за ransomware группа с июня 2022 года использовала как минимум еще пять эксплойтов, нацеленных на драйвер CLFS, в ходе атак на отраслевые организации в сфере торговли, энергетики, производства, здравоохранения и разработки ПО.

С 2018 года Redmond исправила не менее 32 локальных уязвимости повышения привилегий в драйвере Windows CLFS, причем три из них (CVE-2022-24521, CVE-2022-37969 и CVE-2023-23376) также использовались в реальных условиях в качестве 0-day, при этом - преимущественно АРТ.

Не будем подробно останавливаться на представленной в отчете технической составляющей проблемы, тем более что всеми подробностями Лаборатория обещает поделиться только через девять дней после выпуска патча.

Отметим, что по мнению исследователей, основной целью использования эксплойтов повышения привилегий было создание дампа содержимого куста реестра HKEY_LOCAL_MACHINE\SAM.

А что касается вредоносного ПО, то в качестве основного инструмента злоумышленники используют Cobalt Strike BEACON. Он запускается с множеством пользовательских загрузчиков, предназначенных для предотвращения обнаружения AV.

В некоторых других атаках до использования уязвимости CLFS машины жертвы были заражены специальным модульным бэкдором Pipemagic, который запускался через скрипт MSBuild.

В качестве последней полезной нагрузки в атаках с использованием CVE-2023-28252 субъект пытался развернуть Nokoyawa (ребрендинг шифровальщика JSWorm), но в обновленной версии.

Как показывает исследование Лаборатории, киберпреступные группы становятся все более изощренными, используя эксплойты нулевого дня в своих атаках, при том, что это было доступно, в первую очередь, только APT.

Теперь же киберпреступники располагают всеми необходимыми ресурсами, чтобы активно задействовать 0-day в своих атаках.

Выводы инфосек комьюнити, подкрепленные авторитетным мнением Лаборатории Касперского, о причастности северокорейской АРТ к недавно раскрытой атаке на цепочку поставок на VoIP 3CX официально подтвердила и сама компания.

3CX в этом вопросе полагается на результаты привлеченной к расследованию гугловской Mandiant, которая, в свою очередь, атрибутировала активность к кластеру UNC4736.

На деле, как верно подметили и ЛК и CrowdStrike - это Lazarus Group, на счету которых за последние годы есть не менее «изящные» кибератаки, в том числе взлом Sony Pictures или вспышка WannaCry.

Тем более, что цепочка атак 3CX включала использование методов боковой загрузки DLL для загрузки похитителя информации, известного как ICONIC Stealer, за которым последовал второй этап под названием Gopuram в ряде атак, направленных компании, связанные с криптой.

Как сообщили представители компании, злоумышленники заразили системы 3CX вредоносным ПО, известным как Taxhaul (или TxRLoader), которое развернуло загрузчик вредоносного ПО второго уровня под названием Coldcat (по Mandiant).

Вредоносная программа сохранялась на скомпрометированных системах за счет боковой загрузки DLL через законные двоичные файлы Microsoft Windows, что усложняло ее обнаружение.

Системы macOS, на которые направлена атака, также были заражены вредоносным ПО под названием Simplesea, которое Mandiant все еще анализирует, чтобы определить, пересекается ли оно с ранее известными штаммами вредоносных программ.

Компания все еще расследует масштабы нарушения и еще не определила, как именно была проведена атака на цепочку поставок, была ли взломана среда разработки или какой-либо другой метод.

Будем следить за результатами расследования.

Достаточно серьезное число критических уязвимостей устранено в рамках апрельских обновлений вендорами и поставщиками ICS, проблемные решения которых не раз подвергали их клиентов серьезным инцидентам. Вкратце отметим наиболее важные из них.

Критическая уязвимость в FortiPresence (версии 1.0, 1.1 и 1.2) от Fortinet приводит к удаленному неавторизованному доступу к экземплярам Redis и MongoDB. CVE-2022-41331 с оценкой CVSS 9,3 может быть использована с помощью специально созданных запросов проверки подлинности.

Согласно бюллетеню, Fortinet также объявила об исправлениях для серьезных уязвимостей различных категорий, включая и RCE, в FortiOS, FortiProxy, FortiSandbox, FortiDeceptor, FortiWeb, FortiClient для Windows и macOS, FortiSOAR, FortiADC, FortiDDoS, FortiDDoS-F, FortiAnalyzer. и FortiManager.

Из наиболее серьезных серьезных проблем, которые исправила SAP: CVE-2023-27267, CVE-2023-28765 и CVE-2023-29186. Остальные 11 недостатков, раскрытые в последнем бюллетене относятся к уязвимостям с низким и средним уровнем серьезности.

CVE-2023-27267 имеет оценку CVSS 9,0, связана с недостаточной проверкой ввода и отсутствием аутентификации и затрагивает на OSCommand Bridge агента диагностики SAP версии 720. Она позволяет злоумышленнику полностью скомпрометировать систему.

Другая CVE-2023-28765 (CVSS: 9,8)- это уязвимость раскрытия информации в SAP BusinessObjects Business Intelligence (версии 420 и 430), которая позволяет злоумышленнику с базовыми привилегиями получить доступ к учетным записям.

Последняя с CVSS 8,7 - уязвимость обхода каталога (CVE-2023-29186) влияет на SAP NetWeaver (версий 707, 737, 747 и 757) и позволяет злоумышленнику загружать и перезаписывать файлы на уязвимом сервере SAP.

Siemens и Schneider Electric на пару представили бюллетени для 38 уязвимостей.

26 из них приходится на Siemens, которая выпустила исправления для некоторых из проблем, для других - только обходные пути и меры по их устранению, а по ряду - вовсе не планирует никаких действий.

Наиболее серьезной является CVE-2023-28489, затрагивающая удаленные терминалы (RTU) Sicam серии A8000 для телеуправления и автоматизации в секторе энергоснабжения. Уязвимость позволяет злоумышленнику, не прошедшему проверку подлинности, выполнять произвольные команды на целевом устройстве

 Siemens  проинформировала клиентов об уязвимостях DoS высокой степени серьезности в веб-сервере Simatic и устройствах Siprotec 5, а также критических недостатках в ОС Wind River VxWorks, ядре Linux, OPC Foundation Local Discovery Server (LDS), Luxion KeyShot и различных библиотеках.

Несколько критических ошибок, раскрытых  Siemens,  связаны с анализом специально созданных файлов, что часто может привести к RCE. Затронутые продукты включают JT Open Toolkit, JT Utilities, Teamcenter Visualization, JT2Go и TIA Portal.

 Schneider Electric  представила исправления для большинства недостатков и поделилась мерами по устранению проблем, которые ей еще предстоит исправить с помощью обновлений.

Наиболее важные рекомендации охватывают две критические и одну высокой степени серьезности уязвимости, влияющие на ПО для онлайн-мониторинга APC и Easy UPS. Эксплуатация может привести к RCE или DoS.

Клиенты также были проинформированы о серьезной RCE-проблеме в InsightHome и InsightFacility. В ПО EcoStruxure Control Expert для ПЛК и ПАК Modicon были обнаружены недостатки RCE и DoS. Кроме того, ошибки DoS были обнаружены в некоторых ПЛК и PAC Modicon.

Сразу после очередных разоблачений spyware от Google TAG и Amnesty International новую порцию «шокирующих» откровений выкатила Microsoft Threat Intelligence на пару с Citizen Lab, как обычно, под предлогом борьбы за демократию.

На этот раз под раздачу попал очередной израильский spyware-разработчик QuaDream.

Согласно выводам Citizen Lab, шпионская кампания в 2021 году была направлена против журналистов, политической оппозиции и неправительственных организации в Северной Америке, Центральной Азии, Юго-Восточной Азии, Европе и на Ближнем Востоке. Имена жертв не разглашаются.

Спецсофт нацелен на владельцев iPhone и согласно данным, эта угроза распространяется через приглашения в календаре с использованием 0-click эксплойта ENDOFDAYS.

0-day, используемая операторами шпионской ПО, затрагивает версии iOS до 14.4.2. Как объясняют в Citizen Lab, злоумышленники применяли «невидимые приглашения в календаре iCloud».

Собственно, что происходит при такой атаке? Владелец iPhone получает приглашение в свой календарь от незнакомого отправителя. В случае перехода внутри приглашения на сгенерированную ссылку, происходит загрузка вредоносного содержимого.

Добавляются файлы .ics, содержащие приглашения на два перекрывающихся события, датированные задним числом, чтобы не предупреждать пользователей.

Microsoft Threat Intelligence отслеживает QuaDream как DEV-0196, описывая его как атакующую частную частную организацию (PSOA).

Правда, сама компания-разработчик напрямую не участвует в нацеливании, а лишь реализует свои эксплуатационные услуги и вредоносное ПО госзаказчикам.

Вредоносная программа под названием KingsPawn содержит модуль мониторинга и основной модуль, оба из которых представляют собой файлы Mach-O, написанные на Objective-C и Go соответственно.

В совокупности ПО реализует: чистку следов вредоносного ПО, сбор информации об устройстве, данных сотовой связи и Wi-Fi, файлов, обеспечивает доступ к камере, местоположению, журналам вызовов и iOS Keychain, а также позволяет создать одноразовый пароль iCloud, вести запись телефонных звонков и включать микрофон.

Другие образцы поддерживают запись звука с телефонных звонков и микрофона, выполнение запросов в базах данных SQL.

При этом Apple на данный момент не предоставила официальную информацию о том, каким образом можно защититься от этой атаки.

А это и не нужно, цель другая, которую уже обозначила Microsoft, заявив, что борьба с такими злоумышленниками требует коллективных усилий и сотрудничества всех заинтересованных сторон.