Северокорейская АРТ Lazarus усилила атаки на уязвимые экземпляры Microsoft Internet Information Services (IIS), используя их не только как точки доступа к целевым организациям, но и для распространения вредоносного ПО.

Microsoft IIS являются популярным вектором атак для злоумышленников, и северокорейская APT ранее уже нацеливалась на веб-серверы Microsoft.

О новых устремлениях сообщили исследователи из AhnLab Security Emergency Response Center (ASEC) которые обнаружили, что Lazarus нацелились на южнокорейские сайты, где серверы IIS использовались как точки распространения вредоносного ПО.

Как сказали исследователи: после того, как группа Lazarus атакует веб-сервер IIS и получает контроль над ним, она использует сервер для распространения вредоносного ПО, нацеленного на уязвимости в INITECH.

INITECH — это поставщик ПО для предприятий, и ранее ASEC наблюдал, как Lazarus эксплуатировал уязвимости в его системе управления INISAFE CrossWeb EX V3 для внедрения DLL-файлов в целевые системы.

Типичная атака начинается с получения вредоносного файла HTM, вероятно, в виде вредоносной ссылки в электронном письме или загрузки из Интернета.

Файл HTM копируется в файл DLL — малварь с именем scskapplink.dll и внедряется в легитимное ПО для управления системой INISAFE Web EX Client.

Хотя ASEC не анализировали конкретную полезную нагрузку, но говорят, что вероятно использовался загрузчик вредоносного ПО, замеченный ранее в других недавних кампаниях Lazarus.

Для повышения привилегий злоумышленники использовали JuicyPotato (usopriv.exe), чтобы получить доступ более высокого уровня к скомпрометированной системе.

ASEC советует организациям, использующим уязвимую версию INISAFE CrossWeb, удалить ее и обновить до последней версии, поскольку Lazarus использует известные уязвимости в продукте как минимум с апреля 2022 года.

Владельцы яблочных устройств все чаще становятся целями изощренных кибератак, как это было в случае с АРТ-кампаниями Operation Triangulation, шпионским ПО Pegasus и Predator.

Однако к ним теперь присовокупились и традиционные фишинговые атаки. Совсем недавно первый инцидент произошел с пользователем из КНР.

Как удалось выяснить, с помощью вредоносного фишингового приложения для iOS под названием Рецепт Дацюань в App Store злоумышленник смог злоупотребить легитимной авторизацией Apple, чтобы обойти 2FA и полностью взять под контроль Apple ID жертвы.

Хакеру удалось привязать к Apple ID свой номер, сбросить и стереть девайс, а затем сгенерировать более 20 платежных ордеров, которые, как выяснилось, оказалось не так просто отменить.

Все технические детали еще изучаются, но атака сработала, несмотря на все заявленные меры безопасности Apple, включая и 2FA. А значит, схема рабочая и ее будут обкатывать.

Исследователи Wiz обнаружили, что 62% сред AWS потенциально подвергаются эксплуатации недавно задокументированной уязвимости AMD Zenbleed, о которой мы сообщали ранее.

Согласно результатам исследования, Wiz удалось подсчитать, что более 60 процентов сред AWS работают с инстансами EC2 с процессорами Zen 2 и поэтому могут быть затронуты ошибкой использования памяти после освобождения.

Zenbleed, обнаруженный Тэвисом Орманди из Project Zero, влияет на все процессоры Zen 2, включая Ryzen 3000 (PRO и Threadripper), 4000 (PRO), 5000, 7020 и Epyc (Rome).

Злоумышленники могут использовать эту CVE-2023-20593 для кражи конфиденциальных данных, таких как пароли и ключи шифрования.

AMD начала выпускать обновления микрокода, рекомендуя также клиентам применять исправления прошивки AGESA. При этом для некоторых продуктов обновления станут доступны лишь в последнем квартале 2023 года. 

Тем не менее, исследователи Wiz предупреждают, что уязвимость может быть использована злоумышленником с непривилегированным доступом для повышения привилегий или получения доступа к данным.

Ресерчеры выяснили, что в подавляющем большинстве облачных сред работает уязвимый сервер Epyc (Rome), который представляет собой процессор, разработанный для ЦОД. 

Wiz информирует о доступности исправлений на Google Cloud Platform (GCP), а исправления от AWS, как ожидается, будут выпущены после завершения тестирования.

ALPHV, также известная как BlackCat, задает новые тренды вымогательства, разрабатывая API для своего DLS, который должен будет максимализировать ущерб и тем самым оказывать еще большее давление на жертв.

На неделе несколько исследователей заметили, что сайт утечки данных ALPHV/BlackCat обновился появлением новой страницы с инструкциями по использованию их API.

Исследователи из VX-Underground отметили, что новая функция была частично доступна в течение нескольких месяцев, хотя и не для широкой аудитории.

API позволит реализовать оперативный обмен различной информацией о новых жертвах, добавленных на DLS, или обновлениях статуса уже добавленных, начиная с определенной даты.

ALPHV также презентовали сканер, написанный на Python, который позволяет получить последнюю информацию о месте утечки данных.

Новые шаги, по всей видимости, объясняются уменьшением числа плательщиков выкупа.

Ресерчерами Coveware рекордно низкий уровень выплат зафиксирован во втором квартале этого года.

Тем не менее, некоторые злоумышленники продолжают зарабатывать большие деньги, сосредоточив внимание на цепочке поставок, как это делают Clop, которые, по оценкам специалистов, могли заработать не менее 75 миллионов долларов в рамках кейса с MOVEit.

Но в массе, для бизнеса ransomware тренды тревожные, и, как предполагают исследователи, новые шаги, вероятно, также обречены на провал.

Но будем посмотреть.

Уязвимость сетевого дверного контроллера шведской Axis Communications может быть использована для атак на объекты, подвергая их как физическим, так и киберугрозам.

Axis предлагает сетевые камеры и другие продукты физической безопасности, которые используются государственными и частными организациями по всему миру. 

CVE-2023-21406 имеет высокую степень серьезности и представляет собой переполнение буфера кучи, влияющее на контроллер Axis A1001. Компания выпустила исправления и дополнительные улучшения безопасности для устранения уязвимости.

Как объясняет поставщик, в процессе pacsiod было обнаружено переполнение буфера кучи, который обрабатывает связь Open Supervised Device Protocol (OSDP), что позволяет выполнять запись вне выделенного буфера.

Добавляя недопустимые данные к сообщению OSDP, можно записать данные за пределы буфера, выделенного в куче. Данные, записанные вне буфера, могут быть использованы для RCE.

Обнаружившие недостаток исследователи Otorio на самом деле вели более крупный исследовательский проект по оценке безопасности считывателей и контроллеров доступа, включая и OSDP, который считался безопасным.

Уязвимость контроллера Axis может быть проэксплуатирована злоумышленником с физическим доступом к RS-485, расположенному на задней панели считывателя, который обычно располагается на входе в охраняемый объект или периметр. 

Злоумышленник может использовать уязвимость, чтобы беспрепятственно открывать двери, а также модифицировать журналы, скрывая свои следы.

Кроме того, злоумышленник также может использовать уязвимость для RCE на внутреннем контроллере доступа из-за пределов целевого объекта, через последовательный канал для связи считывателя с контроллером.

Таким образом, уязвимость потенциально может служить шлюзом во внутреннюю IP-сеть, даже если она сильно сегментирована или изолирована от Интернета.

Американская SEC (Комиссия по ценным бумагам) ужесточает требования и вводит 4-дневный срок для раскрытия информации о кибератаках в случае их отнесения к категории существенных инцидентов.

SEC также приняла новые правила, обязывающие иностранных частных эмитентов предоставлять аналогичную информацию после нарушений кибербезопасности.

В документе, подаваемом в SEC, пострадавшие компании должны будут описать характер инцидента, время, масштаб и существенное влияние (или вероятное существенное воздействие). 

Компании также должны будут регулярно предоставлять информацию о своих процессах выявления, оценки и управления рисками, связанными с киберугрозами, а также о существенном воздействии угроз и предыдущих инцидентов.

В некоторых случаях 4-х дневный срок раскрытия информации может быть отложен, если генпрокурор США решит, что это может создать угрозу национальной или общественной безопасности.

С SEC, как известно, не поспоришь. Поэтому новые правила будут выполняться, к гадалке не ходи. И хотя придание гласности некоторой информации о стратегии и управлении ИБ вызывает вопросы, в целом инициатива здравая.

Нашим бы регулирующим органам взять на заметку. А то некоторые большие игроки российского рынка взяли моду отмораживаться по поводу взломов:
- Вас взломали?
- Не было такого!
- А база слитая откуда?
- Ничего не знаем, у нас все в порядке, хрен чего докажете!

И глазками так - хлоп-хлоп.

В одном из самых популярных дистрибутивов Linux, обнаружены две уязвимости, которые могут позволить непривилегированным локальным пользователям получить повышенные привилегии.

Как вы вероятно догадались, речь идет об Ubuntu, где угроза затрагивает примерно 40% пользователей, коих насчитывается около 40 миллионов.

CVE-2023-32629 и CVE-2023-2640 были обнаружены небезызвестными исследователями из Wiz, за плечами которых вагон и маленькая тележка раскрытых уязвимостей.

Первый баг высокой степени серьезности в ядре Ubuntu связан с недостаточной проверкой разрешений, что позволяет локальному злоумышленнику получить повышенные привилегии.

Второй - средней степени серьезности, связан с подсистемой управления памятью в ядре Linux, где состояние гонки при доступе к VMA может привести к использованию после освобождения, позволяя локальному злоумышленнику выполнить произвольное выполнение кода.

Уязвимости были обнаружены после выявления несоответствий в реализации модуля OverlayFS в ядре Linux.

OverlayFS — это реализация файловой системы с объединенным монтированием, на которую злоумышленники давно потирают руки из-за разрешения непривилегированного доступа через пространства имен пользователей и наличие легко эксплуатируемых ошибок.

Ubuntu выпустила информационный бюллетень безопасности по выявленным проблемам и еще шести дополнительных уязвимостей, устраненных в последней версии ядра, предоставив соответствующие обновления.

Тот не ловкий момент, когда после установки обновлений потребуется перезагрузка.

Давненько не было новостей из нашего лампового цифрового ГУЛАГа. Ну так нате!

Американское рейтинговое игровое агентство ESRB предложило ввести в онлайн-игры сканирование лиц игроков для оценки их возраста.

Цель сего мероприятия - недопущение неполовозрелых детей в игры с ограничительным рейтингом. Заявляется, что это будет "необязательным, дополнительным методом проверки", а также что "никакие данные нигде не сохраняются и никуда не передаются".

Что касается необязательности проверки, то все мы прекрасно знаем, как в один лучезарный момент такая проверка может стать вдруг обязательной. Или остаться "необязательной", но без ее прохождения игрок не сможет подтвердить свой аккаунт.

В отношении "данные не сохраняются и не передаются" - лол кек азаза. Примеров обратного масса, взять хотя бы трехгодичной давности историю про то, как устройства Apple записывали все подряд и передавали на обработку производителю.

Ждем анальный зонд для регулирования сложности контента в целях предотвращения возгорания геймерских афедронов.

Спустя две недели после первоначального раскрытия Zimbra выпустила обновления безопасности для устранения 0-day, используемой в XSS-атаках на почтовые серверы Collaboration Suite (ZCS).

В настоящее время отслеживается как CVE-2023-38750 и представляет собой XSS-ошибку, обнаруженную Клементом Лесинем из Google Threat Analysis Group.

Первоначально Zimbra не стала сообщать об эксплуатации баги в дикой природе, вместо нее это сделали представители Google TAG. Поставщик лишь призвал клиентов исправлять ее вручную.

Теперь же выпустила ZCS 10.0.2 с исправлением CVE-2023-38750, которая могла привести к раскрытию внутренних файлов JSP и XML.

Помимо CVE-2023-38750 обновление закрывает и другую CVE-2023-0464, связанную с проверкой цепочек сертификатов X.509, которые включают ограничения политики в OpenSSL.

Дополнительную информацию об обновлениях ПО можно найти на странице центра безопасности Zimbra.

Репортер BBC Джо Тайди провел интервью с представителем(ями) группировки хактивистов Anonymous Sudan, в ходе которого тщетно пытался развести собеседника на свидетельства о том, что хактивисты на самом деле являются российским проектом.

Само собой, у него ничего не получилось и осталось только обиженно хайлилайкать.

Мы же по-прежнему твердо стоим на позиции, что Anonymous Sudan - это верные сыны суданского народа, вставшие на путь праведной кибервойны с мировым колониализмом. No pasaran! ✊

نحن جند الله جند الوطن
إن دعا داعي الفداء لم نخــن
نتحدى الموت عند المحن
نشترى المجد بأغلى ثمن
هذه الأرض لنا فليعش سوداننا
علماً بين الأمم
يابني السودان هذا رمزكم
يحمل العبء ويحمى أرضكم

Исследователи GReAT из Лаборатории Касперского уже на протяжении шести лет продолжают выпускать ежеквартальные отчеты об активности APT, освещая наиболее важные события и выводы исследований.

Из основных трендов, замеченных ресерчерами за второй квартал 2023 года, выделим следующие:

- Одним из главных событий квартала стало обнаружение долгосрочной шпионской кампании Operation Triangulation с использованием ранее неизвестной вредоносной платформы iOS, распространяемой посредством эксплойтов iMessage без щелчка.

- Известные злоумышленники продолжали совершенствовать наборы инструментов.

В частности, разработка Lazarus своей среды MATA, новые методы доставки и языки программирования, используемые ScarCruft, и новые образцы вредоносных программ от GoldenJackal. Новый набор пользовательских загрузчиков ToddyCat и ее частный инструмент пост-эксплуатации Ninja, а также Cloudflare в качестве серверов C2.

- Выявлена нацеленная на Пакистан кампания со стороны недавно обнаруженного злоумышленника Mysterious Elephant.

- Злоумышленники по-прежнему используют различные языки программирования.

- Кампании APT традиционно географически рассредоточены. В этом квартале исследователи наблюдали, как акторы фокусировали свои атаки на Европе, Латинской Америке, Ближнем Востоке и различных частях Азии.

- Геополитика остается ключевой мотивирующим фактором развития APT, а кибершпионаж продолжает оставаться их основной целью кампаний.

Более фактурно, конечно же, последние тренды изложены в оригинале, в котором, к слову, собраны и структурированы ссылки на материалы всех предшествовавших исследований и отчетов.

Уязвимости, обнаруженные исследователем из TXOne Networks в решениях тайваньской Weintek, могут быть использованы для компрометации промышленных систем управления (ICS) и их повреждения.

Проблемы безопасности затрагивают Weincloud, облачный продукт, предназначенный для удаленного управления HMI и операционной деятельностью.

По данным CISA, уязвимый продукт используется организациями по всему миру, особенно в критически важных производственных секторах.

Недостатки были исправлены Weintek в рамках обновления API и не требуют от клиентов каких-либо действий.

Трем из четырех ошибок в Weintek Weincloud был присвоен рейтинг высокой степени серьезности.

Одна из них может быть использована для сброса пароля учетной записи с использованием соответствующего токена JWT.

Другая проблема могла быть использована для входа в систему с тестовыми учетными данными на официальном веб-сайте путем злоупотребления функцией регистрации. Третью уязвимость можно использовать для вызова состояния DoS.

Четвертая проблема отнесена к средней степени серьезности и может быть использована для брута.

Исследователи TXOne Networks полагают, что при определенных обстоятельства злоумышленник мог использовать уязвимости удаленно для получения полного контроля над Weincloud.

Все типы выявленных уязвимостей не являются специфическими для продуктов Weintek, TXOne выявили и другие облачные продукты ICS, уязвимые для аналогичных атак. 

В связи с чем, TXOne представит результаты своих исследований на DEF CON 31 в следующем месяце.

Как мы сообщали ранее, пока одни из ransomware колдуют и изобретают все более изощренные схемы вымогательства, другие - подсчитывают кеш, попутно размещая на DLS достаточно серьезные организации.

Сосредоточив внимание на цепочке поставок, Cl0p, по оценкам специалистов, уже смогли перешагнуть планку в 75 миллионов долларов в рамках кейса с MOVEit. Хотя в реальности цифра может может оказаться кратно крупнее.

И скорее всего это так, ведь на текущий момент более 540 организаций подтвердили инциденты с Cl0p MOVEit Transfer, а общее число пострадавших от утечек лиц составляет более 37 млн.

На днях вымогатели слили на DLS очередную партию данных, затрагивающую с 56 организаций, что стало своего рода рекордом в даркнете.

Под раздачу попали Discovery, Honeywell, Choice Hotels Radisson Americas, TomTom, Pioneer Electronics, Autozone и Johns Hopkins University and Health System и др.

Злоумышленники представили скриншоты различных украденных данных, начиная от ведомостей о зарплате и заканчивая корпоративными документами и конфиденциальными данными пользователей.

Безусловно, ошеломительный успех банды Cl0p в перспективе может привести к попыткам провернуть аналогичную делюгу со стороны их коллег по цеху.

Будем посмотреть.

Пожалуй лучший (без всяких шуток) инфосек журналист Каталин Чимпану все больше скатывается в повесточку. Ранее подобная судьба постигла хороший инфосек ресурс TheRecord. media компании Recorded Future, где, кстати, какое-то время работал и Чимпану.

Румын в текущий момент запиливает годные обзоры Substack. Но, к огромному сожалению, в последнее время там все меньше инфосека и все больше гомосека околополитических залипух, которым часто посвящяется чуть ли не половина объема всей статьи.

Вот и сегодня Чимпану выкатил пару страниц "обжыгающей правды" про санкции наложенные ЕС на российские компании, которые являются "операторами дезинформационной сети, распространяющей фейковые новости".

В качестве примеров "фейков" приводятся следующие нарративы:
- украинская армия связана с неонацистскими группировками;
- оружие, поставляемое на Украину, продается на черном рынке;
- санкции против России наносят ущерб экономике европейских стран;
- физиологических полов существует всего два;
- Земля вращается вокруг Солнца.

При этом никого не смущает когда про эти же самые вещи пишет The New York Times или CNBC.

При чем тут инфосек? - спросят наши дотошные подписчики. Так вот мы и сами удивляемся.

Компания Ivanti исправила еще одну уязвимость в ПО Endpoint Manager Mobile (ранее - MobileIron Core), которая использовалась в качестве нулевого дня для взлома в недавнем громком инциденте Норвегии.

Новый патч безопасности исправляет CVE-2023-35081 и в компании предупреждают о немедленном обновлении критического бага для защиты уязвимых устройств от атак.

Новая 0-day была обнаружена в рамках начавшегося расследования, к которому были подключены исследователи из Mnemonic.

Как предупреждают эксперты, CVE-2023-35081 позволяет аутентифицированному администратору произвольно записывать файлы на сервер EPMM.

Причем этот баг может использоваться вместе с CVE-2023-35078, который, как раз таки позволяет обойти аутентификацию администратора и ограничения ACLS.

Успешное использование уязвимости может в конечном итоге позволить злоумышленнику выполнять команды ОС на устройстве от имени tomcat.

На данный момент, согласно официальным данным, известно лишь о том же ограниченном числе клиентов, затронутых CVE-2023-35078, что и CVE-2023-35081.

До сих пор неясно, кто стоит за атаками, использующими эти нулевые дни, но, скорее всего, это АРТ.

Хотя в настоящее время уязвимости используются в ограниченных атаках, их дальнейшая эксплуатация будет только усиливаться, учитывая тысячи потенциально уязвимых систем, и доступность PoC для CVE-2023-35078.

Представители разведки США обрушились на Пекин с обвинениями в подготовке к разрушительным кибератакам, нацеленным на гражданскую и военную инфраструктуру.

Для этого, по утверждениям американских чиновников, китайcкие АРТ ведут разработку вредоносного ПО и реализуют кампании по его глубокому внедрению на объекты в сфере энергетики, водоснабжения и связи в окружении военных баз США по всему миру.

По данным американских военных и спецслужб, предпринятые КНР шаги позволят замедлить развертывание войск и проведение военных операций, прежде всего, в случае начала Китаем боевых действий в отношении Тайваня.

Заложенная таким образом Пекином по сути, «бомба замедленного действия» может иметь более широкие последствия, ведь та же самая инфраструктура часто обеспечивает и гражданские объекты.

Первые публичные намеки на кампанию вредоносного ПО начали появляться в конце мая, когда Microsoft обнаружила загадочный компьютерный код в телекоммуникационных системах на Гуаме, где располагалась американская авиабаза.

Но, как оказалось, киберкампания стартовала минимум за год до майского отчета, а спецслужбы были в курсе происходящего и все это время вели тайное расследование, пытаясь оценить масштабы и степень возможного влияния киберинцидента.

Опасаясь повторения SolarWinds или Colonial Pipeline, в последние месяцы руководство США в составе совета нацбезопасности проводило серию совещаний в оперативной комнате в Белом доме, где обсуждалась стратегия защиты и возможные варианты ответных действий.

По наводке Microsoft недавнюю атаку с использованием вредоносных ПО приписали китайской АРТ Volt Typhoon без какой-либо публичной аргументации.

В свою очередь, Китай после публикации статьи NYT выступил с заявлением, отрицая свою причастность к инциденту и называя штаты гораздо более крупным киберпреступником.

Если ранее почти все эти кампании были связаны со сбором разведданных, то обнаружение вредоносного кода в американской инфраструктуре может указывать на то, что цели поменялись и несут имеют разрушительный потенциал.

Резюмируя, следует констатировать, что бумеранг вернулся и теперь бьет по голове. В ходе совместной с Израилем кампании с использованием Stuxnet, приведшей к разрушению инфраструктуры Ирана, вопросы этики почему-то их не заботили.

По нашему мнению, сейчас мы наблюдаем, что КНР всерьез готовиться к кибероперациям, что стало прямым следствием обострения отношений с Тайванем. Китай говорится не только защищаться, но и нападать.

Но будем посмотреть.

Японский производитель Canon выступил с предупреждением, что более 200 моделей его струйных принтеров могут раскрывать данные о конфигурации Wi-Fi.

Проблема затрагивает как домашние, так и офисные принтеры и потенциально может привести к раскрытию конфиденциальной информации в случае передачи оборудования третьими лицам (продаже, в ремонт или на утилизацию).

Недостаток обусловлен тем, что затронутые модели не стирают информацию о настройках подключения Wi-Fi должным образом в процессе инициализации, что позволяет извлечь ее и потенциально использовать для несанкционированного доступа к внутренним сетям.

Конкретная информация, хранящаяся в памяти принтеров Canon, различается в зависимости от модели и конфигурации, но обычно включает сетевой SSID, пароль, тип сети (WPA3, WEP и т. д.), назначенный IP-адрес, MAC-адрес и сетевой профиль.

Canon предоставила список из более чем 200 моделей принтеров, подверженных уязвимости.

Причем почти 60 моделей широкоформатных струйных принтеров обычно используются в корпоративном секторе.

Компания рекомендует выполнять полный сброс всех настроек, затем после включения беспроводной локальной сети и еще раз производить сброс всех настроек.

Для моделей, не имеющих функции сброса всех настроек, пользователям следует сбросить настройки локальной сети, включить беспроводную локальную сеть, а затем снова сбросить эти настройки.

Пока неясно, будут ли выпущены исправления, в любом случае, пожалуй, лучшее решение с точки зрения безопасности - изолировать принтеры в сети от ценных активов.

Исследователи BI.ZONE обнаружили кампанию по распространению White Snake для кражи корпоративных данных, нацеленную на российские организации.

Стилер White Snake распространяется через фишинговые письма под видом требований Роскомнадзора.

Причем, чтобы реализовать атаку с этим вредоносным ПО, киберпреступникам даже не нужно обладать опытом: достаточно лишь арендовать стилер для получения легитимных аутентификационных данных и первоначального доступа.

Его стоимость невысока, обращаться с программой несложно, поэтому спрос в даркнете на нее высокий.

Арендовать стилер можно всего за 140$ в месяц или купить неограниченный доступ за 1950$ в крипте.

Впервые в теневом сегменте интернета White Snake засветился в феврале 2023 года. Он активно рекламируется как средство для реализации целевых атак, в том числе через канал в Telegram.

После оплаты клиент получает билдер для создания экземпляров ВПО с различными опциями настройки и доступ к панели управления скомпрометированными устройствами.

Функционал стиллера позволяет извлекать пароли, копировать файлы, фиксировать нажатия клавиш и получать удаленный доступ к скомпрометированному устройству.

Как выяснили ресерчеры, успешная реализация атаки с использованием стилера может позволить злоумышленникам получить доступ сразу к нескольким корпоративным ресурсам, например электронной почте и CRM.

В рамках наблюдаемой кампании жертвам направлялись фишинговые письма, к которому был прикреплен архив с тремя файлами.

Один из них представляет собой фишинговый документ, цель которого — отвлечь внимание жертвы и убедить в безопасности второго файла, который представляет собой стилер White Snake.

Поскольку стилер может закрепляться в скомпрометированной системе, атакующие могут получить перманентный доступ к ней, выполнять команды и загружать дополнительное ВПО.

Более подробные сведения в отношении White Snake с индикаторами компрометации, MITRE ATT&CK и YARA доступны в отчете.

Исследователи CYFIRMA отследили новую шпионскую кампанию с использованием новейшего вредоносного ПО для Android, нацеленного на пользователей в Южной Азии, атрибутировав ее к APT Bahamut, которую, в свою очередь, приписали к Индии.

Хакеры используют поддельное приложение для Android под названием SafeChat для заражения устройств шпионским вредоносным ПО.

Предполагается, что шпионское ПО для Android представляет собой вариант Coverlm, который крадет данные из коммуникационных приложений, таких как Telegram, Signal, WhatsApp, Viber и Facebook Messenger.

Исследователи CYFIRMA отследили, что последние атаки которой проводились в основном с помощью целевых фишинговых сообщений в WhatsApp, отправляя вредоносную полезную нагрузку непосредственно жертве.

Кроме того, аналитики CYFIRMA подчеркнули некоторое сходство TTP с другой индийской APT DoNot APT (APT-C-35), которая ранее также отметилась распространением через Google Play поддельных чат-приложений со встроенным шпионским функционалом.

Safe Chat имеет обманчивый интерфейс, который делает его схожим с реальным ПО, заставляя пользователя давать разрешения на использование служб специальных возможностей, которые впоследствии используются для автоматического предоставления шпионскому ПО дополнительных разрешений.

Что позволяет ему получать доступ к списку контактов жертвы, SMS, журналам вызовов, внешнему хранилищу устройств и точным данным о местоположении зараженного устройства.

Приложение также запрашивает у пользователя подтверждение исключения из подсистемы оптимизации батареи Android, которая завершает фоновые процессы.

Специальный модуль эксфильтрации данных передает информацию с устройства на C2-сервер злоумышленника через порт 2053.

Украденные данные шифруются с помощью другого модуля, который поддерживает RSA, ECB и OAEPPadding. Кроме того, злоумышленники используют сертификат «letsencrypt», чтобы избежать любых попыток перехвата сетевых данных.

По итогу исследования CYFIRMA с достаточной степенью уверенности утверждает о наличии достаточных доказательств о работе Bahamut в интересах Индии.

Помимо этого, ресерчеры указывают на тесное сотрудничество группы с АРТ DoNot, о чем свидетельствует схожие методологии кражи данных, виктимология и таргетинг, а также использование одного и того же центра сертификации.

Безусловно, отсылки и логика атрибуции понятны, однако с категоричностью выводов вряд ли можно согласиться, учитывая неоднозначный бэкграунд группы.