Cisco предупреждает о 0-day в Cisco Adaptive Security Appliance (ASA) и Cisco Firepower Threat Defense (FTD), которую с августа активно эксплуатирует Akira ransomware для получения первоначального доступа к корпоративным сетям.
CVE-2023-20269 (оценка CVSS 5,0, средняя степень серьезности) затрагивает функцию VPN, позволяя неавторизованным удаленным злоумышленникам проводить атаки методом перебора на существующие учетные записи.
Она связана с неправильным разделением аутентификации, авторизации, учета (AAA) и других функций ПО, что приводит к сценариям, в которых злоумышленник может отправлять запросы аутентификации в интерфейс веб-служб.
Уязвимость можно использовать для брута, если на уязвимом устройстве:
- по крайней мере один пользователь настроен с паролем в базе данных LOCAL или аутентификация управления HTTPS указывает на действительный сервер AAA.
- SSL VPN включен хотя бы на одном интерфейсе или IKEv2 VPN включен хотя бы на одном интерфейсе.
Если на целевом устройстве используется ПО Cisco ASA версии 9.16 или более ранней, злоумышленник может установить бесклиентский сеанс SSL VPN без дополнительной авторизации после успешной аутентификации, но при соблюдении ряда условий: необходимы действительные учетные данные, SSL VPN должен быть включен хотя бы на одном интерфейсе и разрешен бесклиентский протокол SSL VPN.
Устройства под управлением Cisco FTD не подвержены этой атаке, поскольку FTD не поддерживает бесклиентские сеансы SSL VPN.
Cisco (PSIRT) впервые обнаружила проблему в прошлом месяце в рамках расследования атак Akira, в ходе которых некоторые клиенты компании были скомпрометированы через VPN Cisco, в которых отсутствовала многофакторная аутентификация.
Тогда еще SentinelOne предположила, что это могло произойти через неизвестную уязвимость. Неделю спустя Rapid7 сообщила, что Lockbit, помимо Akira, также использовала недокументированную проблему безопасности в устройствах Cisco VPN. Однако точная природа проблемы оставалась неясной.
Компания настоятельно рекомендует клиентам перейти на фиксированную версию ПО, чтобы устранить эту уязвимость, как только она станет доступна, а тем временем применить одно из обходных решений.
Cisco также предоставила список индикаторов компрометации (IoC), чтобы помочь организациям выявить потенциальную вредоносную активность, а также подробную информацию о том, как организации могут защититься от использования ошибки бесклиентским сеансом SSL VPN.
CVE-2023-20269 (оценка CVSS 5,0, средняя степень серьезности) затрагивает функцию VPN, позволяя неавторизованным удаленным злоумышленникам проводить атаки методом перебора на существующие учетные записи.
Она связана с неправильным разделением аутентификации, авторизации, учета (AAA) и других функций ПО, что приводит к сценариям, в которых злоумышленник может отправлять запросы аутентификации в интерфейс веб-служб.
Уязвимость можно использовать для брута, если на уязвимом устройстве:
- по крайней мере один пользователь настроен с паролем в базе данных LOCAL или аутентификация управления HTTPS указывает на действительный сервер AAA.
- SSL VPN включен хотя бы на одном интерфейсе или IKEv2 VPN включен хотя бы на одном интерфейсе.
Если на целевом устройстве используется ПО Cisco ASA версии 9.16 или более ранней, злоумышленник может установить бесклиентский сеанс SSL VPN без дополнительной авторизации после успешной аутентификации, но при соблюдении ряда условий: необходимы действительные учетные данные, SSL VPN должен быть включен хотя бы на одном интерфейсе и разрешен бесклиентский протокол SSL VPN.
Устройства под управлением Cisco FTD не подвержены этой атаке, поскольку FTD не поддерживает бесклиентские сеансы SSL VPN.
Cisco (PSIRT) впервые обнаружила проблему в прошлом месяце в рамках расследования атак Akira, в ходе которых некоторые клиенты компании были скомпрометированы через VPN Cisco, в которых отсутствовала многофакторная аутентификация.
Тогда еще SentinelOne предположила, что это могло произойти через неизвестную уязвимость. Неделю спустя Rapid7 сообщила, что Lockbit, помимо Akira, также использовала недокументированную проблему безопасности в устройствах Cisco VPN. Однако точная природа проблемы оставалась неясной.
Компания настоятельно рекомендует клиентам перейти на фиксированную версию ПО, чтобы устранить эту уязвимость, как только она станет доступна, а тем временем применить одно из обходных решений.
Cisco также предоставила список индикаторов компрометации (IoC), чтобы помочь организациям выявить потенциальную вредоносную активность, а также подробную информацию о том, как организации могут защититься от использования ошибки бесклиентским сеансом SSL VPN.
Cisco
Cisco Security Advisory: Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software Remote Access VPN Unauthorized…
A vulnerability in the remote access VPN feature of Cisco Adaptive Security Appliance (ASA) Software and Cisco Firepower Threat Defense (FTD) Software could allow an unauthenticated, remote attacker to conduct a brute force attack in an attempt to identify…
РТ-Солар нечасто нас радует интересными материалами, в основном публикуя квартальные отчеты об угрозах. А между тем, размещение в паблике и дальнейшее обсуждение в сообществе хороших расследований - первое дело в части создания положительного образа инфосек кампании. Товарищ Ляпунов, берите пример с Бизонов, Позитивов (нестабильны, но в последнее время исправляются), представителей сингапурского расового инфосека во главе с Волковым и отпочковавшегося от них криптовендора F.A.C.C.T. Про Касперских вообще молчим, эти запузыривают по паре отчетов каждую неделю. С Дсеков пример не берите, у них информационная повестка протухла, они с весны транслируют 6 историй успешного успеха и обновляют телефоны.
(И ради бога, уберите чат-бот с сайта, ну это ж просто кринж)
Но! Сегодня у нас праздник! Солары в конце прошлой недели разместили результаты анализа ransomware HardBit, в котором не только связали разработчиков с более ранними штаммами Poteston и Styxeber (мы про таких, честно говоря,не слышали), но и, что важнее, любезно предоставили ссылку на созданный ими декриптор. Точнее, полудекриптор - работает он только на версиях HardBit 2.0 и 3.0, более раннюю версию 1.0, к сожалению, не берет и требует точного сохранения конфигурации, которая была на момент атаки.
Сам HardBit не сильно распространенный штамм, появился в октябре прошлого года и переодически попадал в зону внимания инфосек компаний. Мы даже один раз про него писали.
РТ-Солар же пожелаем почаще выпускать интересные отчеты, а не на CNews пастись. И сайт поправьте, а то у вас развитие в сентябре 2021 года остановилось.
(И ради бога, уберите чат-бот с сайта, ну это ж просто кринж)
Но! Сегодня у нас праздник! Солары в конце прошлой недели разместили результаты анализа ransomware HardBit, в котором не только связали разработчиков с более ранними штаммами Poteston и Styxeber (мы про таких, честно говоря,не слышали), но и, что важнее, любезно предоставили ссылку на созданный ими декриптор. Точнее, полудекриптор - работает он только на версиях HardBit 2.0 и 3.0, более раннюю версию 1.0, к сожалению, не берет и требует точного сохранения конфигурации, которая была на момент атаки.
Сам HardBit не сильно распространенный штамм, появился в октябре прошлого года и переодически попадал в зону внимания инфосек компаний. Мы даже один раз про него писали.
РТ-Солар же пожелаем почаще выпускать интересные отчеты, а не на CNews пастись. И сайт поправьте, а то у вас развитие в сентябре 2021 года остановилось.
rt-solar.ru
Анализ версий шифровальщика семейства HardBit и декриптор – скачать отчет
Эксперты Solar JSOC CERT проанализировал шифровальщики семейства HardBit и поделился дешифратором для его последних версий. Скачать отчет анализ шифровальщика семейства HardBit
Атака с использованием ransomware привела к тотальному шифрованию серверов электронной почты правительства Шри-Ланки и значительной потере данных.
Агентство информационных и коммуникационных технологий (ICTA) официально подтвердило серьезный инцидент, затронувший все правительственные учреждения, использующие почтовый домен gov[.]lk, включая канцелярию Кабинета министров.
Более 5000 госслужащих Шри-Ланки утратили всю электронную корреспонденцию за период с 17 мая по 26 августа этого года.
Теперь над восстановлением утерянных данных усиленно трудятся ICTA совместно национальной группой реагирования SLCERT.
Последняя также предупредила общественность о потенциальной фишинговой кампании, нацеленной на граждан Шри-Ланки.
В процессе расследования инцидента выяснилось, что негативных последствий в виде безвозвратной утраты документов можно было бы избежать, если своевременно производить резервное копирование.
Поэтому первым делом, в ответ на этот инцидент ICTA решила ввести процедуру ежедневного автономного резервного копирования.
Ведь, как говорится у коренных шриланкийцев: пока хохлатый ли за попу не укусит, мужик мантру не зачтет.
Агентство информационных и коммуникационных технологий (ICTA) официально подтвердило серьезный инцидент, затронувший все правительственные учреждения, использующие почтовый домен gov[.]lk, включая канцелярию Кабинета министров.
Более 5000 госслужащих Шри-Ланки утратили всю электронную корреспонденцию за период с 17 мая по 26 августа этого года.
Теперь над восстановлением утерянных данных усиленно трудятся ICTA совместно национальной группой реагирования SLCERT.
Последняя также предупредила общественность о потенциальной фишинговой кампании, нацеленной на граждан Шри-Ланки.
В процессе расследования инцидента выяснилось, что негативных последствий в виде безвозвратной утраты документов можно было бы избежать, если своевременно производить резервное копирование.
Поэтому первым делом, в ответ на этот инцидент ICTA решила ввести процедуру ежедневного автономного резервного копирования.
Ведь, как говорится у коренных шриланкийцев: пока хохлатый ли за попу не укусит, мужик мантру не зачтет.
adaderana.lk
ICTA confirms data loss of “gov.lk” email domains
The Information and Communication Technology Agency (ICTA) has officially confirmed a severe data loss incident affecting all government offices using the “gov
Исследователи из Positive Technologies рассказали, что такое Time-based атаки и как им противодействовать.
Хакеры постоянно совершенствуют методы атак, используя информацию о принципах работы систем защиты, что обусловила появление целого направления техник обхода песочниц, среди наиболее продвинутых - временные атаки, учитывающие особенности работы гипервизора для детектирования виртуального окружения.
Главное в такой атаке ― замерить время выполнения определенных действий в виртуальной среде и сравнить его с результатами, полученными при выполнении тех же действий на реальном устройстве.
Например, реализация инструкции CPUID на реальном компьютере в среднем занимает 100–200 процессорных тиков, а на виртуальной машине (VM) — более 2000 тиков в зависимости от используемого гипервизора. В качестве другого метода замера времени может использоваться RDTSC.
Примеры временных проверок можно найти в открытых инструментах Pafish и Al-Khaser. В обоих присутствует проверка с замером времени выполнения CPUID с той лишь разницей, что Pafish вызывает Sleep после каждого этапа. В Pafish можно также найти другой вариант проверки, в котором не используется CPUID. Она рассчитана на гипервизоры, эмулирующие счетчик TSC.
Если CPUID всегда вызывает VM exit, то для RDTSC такое поведение опционально. Согласно спецификации Intel, RDTSC тоже может вызывать выход в гипервизор при условии, что включен флаг RDTSC_EXITING.
Временные проверки в ВПО реализованы в FatalRat, который единоразово проверяет разницу между двумя последовательными считываниями счетчика TSC на превышение 255 тиков.
IcedID использует слегка другой подход. В цикле измеряется и аккумулируется время на выполнение последовательностей RDTSC → CPUID → RDTSC и RDTSC → RDTSC, после чего вычисляется их отношение. При этом для повышения надежности проверки применяется вызов SwitchToThread() (аналогичный Sleep в Pafish).
GuLoader использует две временных проверки. Первая заключается в замере времени выполнения все того же CPUID, однако в качестве источника используется не счетчик TSC, а поле SystemTime из структуры KUSER_SHARED_DATA.
Вторая проверка похожа на первую, но вызов RDTSC находится в отдельной функции. Замеры выполняются 100 000 раз, на каждом этапе результат добавляется к общему. Кроме того, отдельно проверяются случаи, когда дельта составила менее 49 тиков.
Интересным также является тот факт, что проверки выполняются, пока не будут успешно пройдены, то есть до получения результата, характерного для реального устройства. За счет этого в некоторых песочницах GuLoader бесконечно работает вхолостую, не доходя до развертывания полезной нагрузки.
В целом, в большинстве ВПО и инструментов для совершения атак используется совокупность вызовов RDTSC и CPUID.
Почти всегда эти вызовы расположены в рамках одной функции, идут подряд или на небольшом расстоянии друг от друга, чтобы минимизировать шанс переключения контекста во время проверки. Инструкция RDTSC может вызывать VM exit при включенном флаге RDTSC_EXITING.
Существуют разные методы обхода временных атак. Исследователи Positive Technologies в своей статье подробно рассмотрели один из вариантов сокрытия VM на базе связки Xen и DRAKVUF.
Описанный подход, конечно, неидеален и не покрывает все потенциально возможные сценарии, но представляет скорее proof of concept сокрытия гостевой VM от простых вариантов временных атак.
Хакеры постоянно совершенствуют методы атак, используя информацию о принципах работы систем защиты, что обусловила появление целого направления техник обхода песочниц, среди наиболее продвинутых - временные атаки, учитывающие особенности работы гипервизора для детектирования виртуального окружения.
Главное в такой атаке ― замерить время выполнения определенных действий в виртуальной среде и сравнить его с результатами, полученными при выполнении тех же действий на реальном устройстве.
Например, реализация инструкции CPUID на реальном компьютере в среднем занимает 100–200 процессорных тиков, а на виртуальной машине (VM) — более 2000 тиков в зависимости от используемого гипервизора. В качестве другого метода замера времени может использоваться RDTSC.
Примеры временных проверок можно найти в открытых инструментах Pafish и Al-Khaser. В обоих присутствует проверка с замером времени выполнения CPUID с той лишь разницей, что Pafish вызывает Sleep после каждого этапа. В Pafish можно также найти другой вариант проверки, в котором не используется CPUID. Она рассчитана на гипервизоры, эмулирующие счетчик TSC.
Если CPUID всегда вызывает VM exit, то для RDTSC такое поведение опционально. Согласно спецификации Intel, RDTSC тоже может вызывать выход в гипервизор при условии, что включен флаг RDTSC_EXITING.
Временные проверки в ВПО реализованы в FatalRat, который единоразово проверяет разницу между двумя последовательными считываниями счетчика TSC на превышение 255 тиков.
IcedID использует слегка другой подход. В цикле измеряется и аккумулируется время на выполнение последовательностей RDTSC → CPUID → RDTSC и RDTSC → RDTSC, после чего вычисляется их отношение. При этом для повышения надежности проверки применяется вызов SwitchToThread() (аналогичный Sleep в Pafish).
GuLoader использует две временных проверки. Первая заключается в замере времени выполнения все того же CPUID, однако в качестве источника используется не счетчик TSC, а поле SystemTime из структуры KUSER_SHARED_DATA.
Вторая проверка похожа на первую, но вызов RDTSC находится в отдельной функции. Замеры выполняются 100 000 раз, на каждом этапе результат добавляется к общему. Кроме того, отдельно проверяются случаи, когда дельта составила менее 49 тиков.
Интересным также является тот факт, что проверки выполняются, пока не будут успешно пройдены, то есть до получения результата, характерного для реального устройства. За счет этого в некоторых песочницах GuLoader бесконечно работает вхолостую, не доходя до развертывания полезной нагрузки.
В целом, в большинстве ВПО и инструментов для совершения атак используется совокупность вызовов RDTSC и CPUID.
Почти всегда эти вызовы расположены в рамках одной функции, идут подряд или на небольшом расстоянии друг от друга, чтобы минимизировать шанс переключения контекста во время проверки. Инструкция RDTSC может вызывать VM exit при включенном флаге RDTSC_EXITING.
Существуют разные методы обхода временных атак. Исследователи Positive Technologies в своей статье подробно рассмотрели один из вариантов сокрытия VM на базе связки Xen и DRAKVUF.
Описанный подход, конечно, неидеален и не покрывает все потенциально возможные сценарии, но представляет скорее proof of concept сокрытия гостевой VM от простых вариантов временных атак.
Хабр
Time-based атаки во вредоносном ПО и противодействие им
Киберпреступники постоянно совершенствуют методы атак, используя среди прочего знания о принципах работы систем защиты. Например, появилось целое направление техник обхода песочниц : такие...
Более 60 000 пользователей Android стали жертвой шпионского ПО, установив на свой девайс клон Telegram из Google Play.
Как сообщают ресерчеры из Лаборатории Касперского, «более быстрая» альтернатива обычному приложению, по утверждениям поставщика, использует распределенную сеть ЦОДов по всему миру, а в реальности крадет сообщения пользователей, списки контактов и другие конфиденциальные данные.
Вредоносные приложения, судя по всему, нацелены для китайскоязычную аудиторию из числа уйгурского этнического меньшинства..
Evil Telegram содержали имена пакетов org.telegram.messenger.wab и org.telegram.messenger.wob, в то время как легитимный мессенджер использует - org.telegram.messenger.web.
При этом ресерчеры отмечают, что клоны внешне идентичны с оригинальным Telegram: большинство пакетов выглядят так же, как и стандартные. Но содержат дополнительные функции в коде для кражи данных.
В частности, нетипичный для Telegram пакет под названием com.wsys реализует доступ к контактам пользователя, а также собирает его имя, ID и номер телефона, после чего приложение подключается к командному серверу.
Еще один неприятный сюрприз ждет пользователя при получении сообщения: шпионское ПО отправляет копию прямо на C2 оператора по адресу «sg[.]telegrnm[.]org» Извлеченные данные шифруются перед передачей и включают сообщения, название и ID чата/канала, а также имя и ID отправителя.
Аналогичным образом в случае получения или отправки файла пользователем, приложение создает его зашифрованную копию, которая затем пересылается на учетную запись злоумышленников, находящуюся в одном из популярных облачных хранилищ.
Вредоносная функциональность приложения не ограничивается кражей сообщений, собирается и отправляется информация о контактах пользователя: идентификаторах, никнеймах, именах и номерах телефонов.
Шпионское приложение также отслеживает изменения в имени пользователя и ID, а также изменения в списке контактов и, если что-то меняется, вредонос отправляет актуальную информацию.
После уведомления Лабораторией почти все выявленные вредоносные приложения уже удалены из Google Play, а разработчики были заблокированы.
Тем не менее, новая находка вполне может быть продолжением нацеленной китайскоязычных пользователей на кампании, связанной с вредоносным ПО BadBazaar, о которой совсем недавно сообщали ESET.
Правда, пока об этом можно говорить лишь с определенной степенью уверенности.
Но будем посмотреть.
Как сообщают ресерчеры из Лаборатории Касперского, «более быстрая» альтернатива обычному приложению, по утверждениям поставщика, использует распределенную сеть ЦОДов по всему миру, а в реальности крадет сообщения пользователей, списки контактов и другие конфиденциальные данные.
Вредоносные приложения, судя по всему, нацелены для китайскоязычную аудиторию из числа уйгурского этнического меньшинства..
Evil Telegram содержали имена пакетов org.telegram.messenger.wab и org.telegram.messenger.wob, в то время как легитимный мессенджер использует - org.telegram.messenger.web.
При этом ресерчеры отмечают, что клоны внешне идентичны с оригинальным Telegram: большинство пакетов выглядят так же, как и стандартные. Но содержат дополнительные функции в коде для кражи данных.
В частности, нетипичный для Telegram пакет под названием com.wsys реализует доступ к контактам пользователя, а также собирает его имя, ID и номер телефона, после чего приложение подключается к командному серверу.
Еще один неприятный сюрприз ждет пользователя при получении сообщения: шпионское ПО отправляет копию прямо на C2 оператора по адресу «sg[.]telegrnm[.]org» Извлеченные данные шифруются перед передачей и включают сообщения, название и ID чата/канала, а также имя и ID отправителя.
Аналогичным образом в случае получения или отправки файла пользователем, приложение создает его зашифрованную копию, которая затем пересылается на учетную запись злоумышленников, находящуюся в одном из популярных облачных хранилищ.
Вредоносная функциональность приложения не ограничивается кражей сообщений, собирается и отправляется информация о контактах пользователя: идентификаторах, никнеймах, именах и номерах телефонов.
Шпионское приложение также отслеживает изменения в имени пользователя и ID, а также изменения в списке контактов и, если что-то меняется, вредонос отправляет актуальную информацию.
После уведомления Лабораторией почти все выявленные вредоносные приложения уже удалены из Google Play, а разработчики были заблокированы.
Тем не менее, новая находка вполне может быть продолжением нацеленной китайскоязычных пользователей на кампании, связанной с вредоносным ПО BadBazaar, о которой совсем недавно сообщали ESET.
Правда, пока об этом можно говорить лишь с определенной степенью уверенности.
Но будем посмотреть.
Securelist
Spyware Telegram mod distributed via Google Play
Spyware Telegram mod in Uighur and Chinese spreads through Google Play stealing messages and other user data.
Forwarded from SecurityLab.ru
Главред SecurityLab.ru в новом докфильме о тайнах Telegram!
➕20 сентября выйдет документальный фильм «Анонимная телега», раскрывающий тайны анонимных Telegram-каналов.
➕Участие экспертов, журналистов и самих создателей каналов, чьи имена остаются интригой.
➕Рассмотрены влияние каналов на общественное мнение, их юридические аспекты и воздействие на карьеры и жизни людей.
#АнонимнаяТелега #TelegramСекреты #ПремьераФильма @SecLabNews
➕20 сентября выйдет документальный фильм «Анонимная телега», раскрывающий тайны анонимных Telegram-каналов.
➕Участие экспертов, журналистов и самих создателей каналов, чьи имена остаются интригой.
➕Рассмотрены влияние каналов на общественное мнение, их юридические аспекты и воздействие на карьеры и жизни людей.
#АнонимнаяТелега #TelegramСекреты #ПремьераФильма @SecLabNews
Google выпустила обновление безопасности для исправления 0-day в Chrome 116.
CVE-2023-4863, имеющая уровень критической серьезности, описывается как проблема переполнения буфера кучи в компоненте WebP, которую можно использовать для сбоя приложения и потенциального выполнения произвольного кода.
WebP - это формат изображений, который обеспечивает улучшенное сжатие и качество по сравнению с известными форматами JPEG и PNG и поддерживается всеми современными браузерами, включая Chrome, Firefox, Safari, Edge и Opera.
Согласно заявлениям Google, эксплойт для CVE-2023-4863 существует и используется в дикой природе.
Об уязвимости стало известно 6 сентября после сообщения Apple Security Engineering and Architecture (SEAR) и Citizen Lab, которая, как известно, специализируется последнее время на раскрытии деятельности поставщиков spyware.
Как обычно, Google воздержалась от предоставления технических подробностей, а также обстоятельств наблюдаемой эксплуатации. Но учитывая, что за раскрытием стояли SEAR и Citizen Lab, с большой долей вероятности, уязвимость была использована одним из поставщиков шпионского ПО.
Причем патч Google Chrome появился всего через несколько дней после того, как Apple объявила об исправлении 0-day в iOS и macOS, которую обнаружили Citizen Lab в ходе анализа ее эксплуатации, связанной со шпионским ПО Pegasus от NSO Group.
CVE-2023-4863 - это уже четвертая 0-day, исправленная Google в Chrome в этом году после устранения CVE-2023-3079 (путаница типов в движке V8) в июне, а также CVE-2023-2033 (путаница типов в движке V8) и CVE-2023-2136 (целочисленное переполнение в Skia) в апреле.
Последняя версия Chrome теперь доступна пользователям как 116.0.5845.187 для macOS и Linux и как версии 116.0.5845.187/.188 для Windows.
CVE-2023-4863, имеющая уровень критической серьезности, описывается как проблема переполнения буфера кучи в компоненте WebP, которую можно использовать для сбоя приложения и потенциального выполнения произвольного кода.
WebP - это формат изображений, который обеспечивает улучшенное сжатие и качество по сравнению с известными форматами JPEG и PNG и поддерживается всеми современными браузерами, включая Chrome, Firefox, Safari, Edge и Opera.
Согласно заявлениям Google, эксплойт для CVE-2023-4863 существует и используется в дикой природе.
Об уязвимости стало известно 6 сентября после сообщения Apple Security Engineering and Architecture (SEAR) и Citizen Lab, которая, как известно, специализируется последнее время на раскрытии деятельности поставщиков spyware.
Как обычно, Google воздержалась от предоставления технических подробностей, а также обстоятельств наблюдаемой эксплуатации. Но учитывая, что за раскрытием стояли SEAR и Citizen Lab, с большой долей вероятности, уязвимость была использована одним из поставщиков шпионского ПО.
Причем патч Google Chrome появился всего через несколько дней после того, как Apple объявила об исправлении 0-day в iOS и macOS, которую обнаружили Citizen Lab в ходе анализа ее эксплуатации, связанной со шпионским ПО Pegasus от NSO Group.
CVE-2023-4863 - это уже четвертая 0-day, исправленная Google в Chrome в этом году после устранения CVE-2023-3079 (путаница типов в движке V8) в июне, а также CVE-2023-2033 (путаница типов в движке V8) и CVE-2023-2136 (целочисленное переполнение в Skia) в апреле.
Последняя версия Chrome теперь доступна пользователям как 116.0.5845.187 для macOS и Linux и как версии 116.0.5845.187/.188 для Windows.
Chrome Releases
Stable Channel Update for Desktop
The Stable and Extended stable channels has been updated to 116.0.5845.187 for Mac and Linux and 116.0.5845.187/.188 for Windows, which will...
Зампред правления Сбербанка Станислав Кузнецов заявил в кулуарах ВЭФ, что мошенники научились отправлять в мессенджерах "псевдосообщения", используя простые способы. Если выполнить инструкции, то на гаджет загружается зловредный вирус, а вся информация с него перекачивается мошенникам. "Этот вид мошенничества, к сожалению, развивается в настоящее время", - заключил Кузнецов.
На третий день Орлиный глаз заметил, что в сарае нет стены На 28-й год существования фишинга его переоткрыл зампред Сбербанка Кузнецов. А еще разработал "продукт, который в ближайшие недели будет запущен, чтобы защищать наших клиентов".
Все, тушим свет и закрываем инфосек. Сбербанк опять всех спас (нет)
Кстати, Позитивы как раз сегодня выдали отчет о киберугрозах в Азии, в котором прямо написано, что доля фишинга посредством мессенджеров достигает невероятных 2%. Допускаем, что в России пропорции могут отличаться. Но точно не на порядок.
Умение с уверенным видом нести херню - это ведь тоже своего рода искусство ☝️
Все, тушим свет и закрываем инфосек. Сбербанк опять всех спас (нет)
Кстати, Позитивы как раз сегодня выдали отчет о киберугрозах в Азии, в котором прямо написано, что доля фишинга посредством мессенджеров достигает невероятных 2%. Допускаем, что в России пропорции могут отличаться. Но точно не на порядок.
Умение с уверенным видом нести херню - это ведь тоже своего рода искусство ☝️
Ptsecurity
Analytics
Discover our in-depth analysis and expert insights into the latest cybersecurity trends, threats, and solutions. Stay ahead of the curve and keep your organization safe using the comprehensive and actionable information on this page provided by our experienced…
Ресерчеры из Лаборатории Касперского представили анализ Cuba ransomware, рассмотрев историю группировки и характерные TTPs.
Группировка попала в поле зрения в 2020 году, когда еще именовалась Tropical Scorpius. Среди других имен: ColdDraw, Fidel и V Is Vendetta.
Cuba нацелена на организации в США, Канаде и Европе, реализовав серию резонансных атак на нефтяные компании, финансовые службы, госорганы и поставщиков медицинских услуг. Но были жертвы и в Канаде, Европе, Азии и Австралии.
Как и большинство кибервымогателей, кубинская банда шифрует файлы жертв, требуя выкуп в обмен на ключ дешифрования, действуя в формате RaaS с привлечением партнеров в обмен на долю выкупа.
Примечательна своими сложными тактиками и методами проникновения в сети жертв, среди которых эксплуатация уязвимостей ПО и социнженерия. Для первоначального доступа используются скомпрометированные RDP.
Точное происхождение банды и личности ее участников неизвестны, но среди исследователей бытует мнение, что она может быть преемницей Babuk.
Вымогатель Cuba представляет собой файл без дополнительных библиотек. Образцы часто имеют поддельную временную метку компиляции: те, что были найдены в 2020 году, имели отметку 4 июня 2020 года, а более поздние — 19 июня 1992 года.
Группа использует классическую модель двойного вымогательства, крадя и затем шифруя данные с помощью симметричного алгоритма Xsalsa20, а ключ шифрования — с помощью асимметричного алгоритма RSA-2048.
Образцы программ-вымогателей Cuba не шифруют файлы со следующими расширениями имен: exe, dll, sys, ini, lnk, vbm и cuba, а также ряд системных папок.
Для экономии времени программа-вымогатель шифрует документы, изображения, архивы и другие документы Microsoft Office в каталоге %AppData%\Microsoft\Windows\Recent\. Она также завершает работу всех служб SQL для шифрования всех доступных баз данных. Ищет данные как локально, так и внутри общих сетевых ресурсов.
Помимо шифрования, группа крадет конфиденциальные данные, которые обнаруживает внутри организации жертвы. Тип данных, которые ищут хакеры, зависит от отрасли, к которой принадлежит целевая компания.
Группа использует как известные «классические» инструменты доступа к учетным данным, так и самописные приложения: из ПО: Bughatch, Burntcigar, Cobeacon, Hancitor (Chanitor), Termite, SystemBC, Veeamp, Wedgecut, RomCOM RAT, из инструментов: Mimikatz, PowerShell, PsExec, Remote Desktop Protocol.
Эксплуатируются уязвимости в ПО, преимущественно уже известные проблемы, такие как комбинация ProxyShell и ProxyLogon для атаки на серверы Exchange, а также дыры в безопасности в службе резервного копирования и восстановления данных Veeam.
Входящие и исходящие платежи в биткойн-кошельках, идентификаторы которых хакеры указывают в своих записках о выкупе, в общей сложности превышают 3600 BTC, или более 103 000 000 долларов США.
В отчете ресерчеры приводят результаты расследования одного из инцидентов с акцентом на анализ ПО, включая и ранее недокументрованного, и TTPs группы, а также делятся индикаторами компрометации и правилами Sigma и YARA.
Группировка попала в поле зрения в 2020 году, когда еще именовалась Tropical Scorpius. Среди других имен: ColdDraw, Fidel и V Is Vendetta.
Cuba нацелена на организации в США, Канаде и Европе, реализовав серию резонансных атак на нефтяные компании, финансовые службы, госорганы и поставщиков медицинских услуг. Но были жертвы и в Канаде, Европе, Азии и Австралии.
Как и большинство кибервымогателей, кубинская банда шифрует файлы жертв, требуя выкуп в обмен на ключ дешифрования, действуя в формате RaaS с привлечением партнеров в обмен на долю выкупа.
Примечательна своими сложными тактиками и методами проникновения в сети жертв, среди которых эксплуатация уязвимостей ПО и социнженерия. Для первоначального доступа используются скомпрометированные RDP.
Точное происхождение банды и личности ее участников неизвестны, но среди исследователей бытует мнение, что она может быть преемницей Babuk.
Вымогатель Cuba представляет собой файл без дополнительных библиотек. Образцы часто имеют поддельную временную метку компиляции: те, что были найдены в 2020 году, имели отметку 4 июня 2020 года, а более поздние — 19 июня 1992 года.
Группа использует классическую модель двойного вымогательства, крадя и затем шифруя данные с помощью симметричного алгоритма Xsalsa20, а ключ шифрования — с помощью асимметричного алгоритма RSA-2048.
Образцы программ-вымогателей Cuba не шифруют файлы со следующими расширениями имен: exe, dll, sys, ini, lnk, vbm и cuba, а также ряд системных папок.
Для экономии времени программа-вымогатель шифрует документы, изображения, архивы и другие документы Microsoft Office в каталоге %AppData%\Microsoft\Windows\Recent\. Она также завершает работу всех служб SQL для шифрования всех доступных баз данных. Ищет данные как локально, так и внутри общих сетевых ресурсов.
Помимо шифрования, группа крадет конфиденциальные данные, которые обнаруживает внутри организации жертвы. Тип данных, которые ищут хакеры, зависит от отрасли, к которой принадлежит целевая компания.
Группа использует как известные «классические» инструменты доступа к учетным данным, так и самописные приложения: из ПО: Bughatch, Burntcigar, Cobeacon, Hancitor (Chanitor), Termite, SystemBC, Veeamp, Wedgecut, RomCOM RAT, из инструментов: Mimikatz, PowerShell, PsExec, Remote Desktop Protocol.
Эксплуатируются уязвимости в ПО, преимущественно уже известные проблемы, такие как комбинация ProxyShell и ProxyLogon для атаки на серверы Exchange, а также дыры в безопасности в службе резервного копирования и восстановления данных Veeam.
Входящие и исходящие платежи в биткойн-кошельках, идентификаторы которых хакеры указывают в своих записках о выкупе, в общей сложности превышают 3600 BTC, или более 103 000 000 долларов США.
В отчете ресерчеры приводят результаты расследования одного из инцидентов с акцентом на анализ ПО, включая и ранее недокументрованного, и TTPs группы, а также делятся индикаторами компрометации и правилами Sigma и YARA.
Securelist
Analysis of Cuba ransomware gang activity and tooling
The article analyzes the malicious tactics, techniques and procedures (TTP) used by the operator of the Cuba ransomware, and details a Cuba attack incident.
Словацкие киберсеки из ESET обнаружили новую волну атак на различные организации в Бразилии, Израиле и ОАЭ с использованием ранее неизвестного бэкдора Sponsor.
Основным подозреваемым обозначен иранский злоумышленник, известный как Charming Kitten, деятельность которого отслеживается в рамках кластера угроз под общим названием Ballistic Bobcat.
Модели виктимологии позволяют предположить, что группа, в первую очередь, ориентирована на образовательные, правительственные и медицинские организации, а также на правозащитников и журналистов.
Согласно отчету, последняя кампания, получившая кодовое обозначение Sponsoring Access, включает в себя получение первоначального доступа путем использования известных уязвимостей в серверах Microsoft Exchange для проведения дальнейших действий после компрометации.
Так, в одном из инцидентов, описанных ESET, некая израильская компания, работающая на страховом рынке, была скомпрометирована злоумышленником в августе 2021 года, а доставка следующих этапов нагрузки, таких как PowerLess, Plink, ряд инструментов для пост-эксплуатации с открытым исходным кодом на языке Go осуществлялся в течение нескольких месяцев.
Сам бэкдор Sponsor написан на C++ и предназначен для сбора информации о хосте и обработки команд, полученных от удаленного сервера, результаты которых отправляются обратно на сервер.
Как заключили специалисты, Ballistic Bobcat продолжает работать по модели сканирования и эксплуатации, отыскивая возможности с неисправленными уязвимостями на серверах Microsoft Exchange, доступных из сети, используя новый и разнообразный арсенал инструментов.
Основным подозреваемым обозначен иранский злоумышленник, известный как Charming Kitten, деятельность которого отслеживается в рамках кластера угроз под общим названием Ballistic Bobcat.
Модели виктимологии позволяют предположить, что группа, в первую очередь, ориентирована на образовательные, правительственные и медицинские организации, а также на правозащитников и журналистов.
Согласно отчету, последняя кампания, получившая кодовое обозначение Sponsoring Access, включает в себя получение первоначального доступа путем использования известных уязвимостей в серверах Microsoft Exchange для проведения дальнейших действий после компрометации.
Так, в одном из инцидентов, описанных ESET, некая израильская компания, работающая на страховом рынке, была скомпрометирована злоумышленником в августе 2021 года, а доставка следующих этапов нагрузки, таких как PowerLess, Plink, ряд инструментов для пост-эксплуатации с открытым исходным кодом на языке Go осуществлялся в течение нескольких месяцев.
Сам бэкдор Sponsor написан на C++ и предназначен для сбора информации о хосте и обработки команд, полученных от удаленного сервера, результаты которых отправляются обратно на сервер.
Как заключили специалисты, Ballistic Bobcat продолжает работать по модели сканирования и эксплуатации, отыскивая возможности с неисправленными уязвимостями на серверах Microsoft Exchange, доступных из сети, используя новый и разнообразный арсенал инструментов.
Welivesecurity
Sponsor with batch-filed whiskers: Ballistic Bobcat’s scan and strike backdoor
ESET Research uncovers the Sponsoring Access campaign, which utilizes an undocumented Ballistic Bobcat backdoor we have named Sponsor.
Подкатили сентябрьские PatchTuesday, а все с ними исправления для 0-day в популярном ПО от известных поставщиков.
Microsoft пофиксила 2 активно эксплуатируемые 0-day в составе 59 уязвимостей, из которых: 3 уязвимости - обхода функций безопасности, 24 - RCE (5 из них критические), 9 - раскрытия информации, 3 - DoS, 5 - спуфинга, а также в Edge - 5 уязвимостей Chromium.
Из двух уязвимостей нулевого дня публично раскрыта лишь одна.
Первая CVE-2023-36802 представляет собой уязвимость прокси-сервера службы потоковой передачи Microsoft, связанная с локальным повышением привилегий.
Ее обнаружили исследователи из DBAPPSecurity WeBin Lab, IBM X-Force, Microsoft Threat Intelligence и Microsoft Security Response Center.
Другая CVE-2023-36761 затрагивает Microsoft Word и связана с раскрытием информации.
С ее помощью можно красть NTLM-хеши при открытии документа, в том числе в области предварительного просмотра. Затем хэши NTLM можно использовать в атаках NTLM Relay для получения доступа к учетной записи. Недостаток наши в Microsoft Threat Intelligence.
Полное описание каждой уязвимости и систем, на которые она влияет, можно просмотреть здесь.
Вслед за Google экстренные обновления безопасности выпустила Mozilla, исправив критическую 0-day в браузере Firefox и почтовом клиенте Thunderbird.
Уязвимость CVE-2023-4863 вызвана переполнением буфера кучи в библиотеке кода WebP (libwebp) и способна приводить к различным негативным последствиям, в том числе RCE.
Подробности использования уязвимости WebP в атаках пока не доводятся до широкой общественности, но могут быть связаны со spyware.
Тем временем, пользователям настоятельно рекомендуется установить обновленные версии Firefox и Thunderbird.
Adobe выпустила обновления для исправления 0-day в Acrobat и Reader, которая активно эксплуатируется в реальных атаках.
Несмотря на то, что дополнительная информация об атаках еще не раскрыта, известно, что 0-day затронул как системы Windows, так и macOS, а атаки носили ограниченный таргетированный характер.
CVE-2023-26369 позволяет злоумышленникам добиться RCE в атаках низкой сложности, не требующих привилегий.
Но может быть использована лишь локальными злоумышленниками, а также требует взаимодействия с пользователем.
И все же Adobe настоятельно рекомендует установить обновление как можно скорее, в идеале в течение 72 часов.
Помимо нее Adobe устранила и другие недостатки в Connect (CVE-2023-29305 и CVE-2023-29306) и Experience Manager (CVE-2023-38214 и CVE-2023-38215), которые могут быть использованы для запуска XSS-атак.
Microsoft пофиксила 2 активно эксплуатируемые 0-day в составе 59 уязвимостей, из которых: 3 уязвимости - обхода функций безопасности, 24 - RCE (5 из них критические), 9 - раскрытия информации, 3 - DoS, 5 - спуфинга, а также в Edge - 5 уязвимостей Chromium.
Из двух уязвимостей нулевого дня публично раскрыта лишь одна.
Первая CVE-2023-36802 представляет собой уязвимость прокси-сервера службы потоковой передачи Microsoft, связанная с локальным повышением привилегий.
Ее обнаружили исследователи из DBAPPSecurity WeBin Lab, IBM X-Force, Microsoft Threat Intelligence и Microsoft Security Response Center.
Другая CVE-2023-36761 затрагивает Microsoft Word и связана с раскрытием информации.
С ее помощью можно красть NTLM-хеши при открытии документа, в том числе в области предварительного просмотра. Затем хэши NTLM можно использовать в атаках NTLM Relay для получения доступа к учетной записи. Недостаток наши в Microsoft Threat Intelligence.
Полное описание каждой уязвимости и систем, на которые она влияет, можно просмотреть здесь.
Вслед за Google экстренные обновления безопасности выпустила Mozilla, исправив критическую 0-day в браузере Firefox и почтовом клиенте Thunderbird.
Уязвимость CVE-2023-4863 вызвана переполнением буфера кучи в библиотеке кода WebP (libwebp) и способна приводить к различным негативным последствиям, в том числе RCE.
Подробности использования уязвимости WebP в атаках пока не доводятся до широкой общественности, но могут быть связаны со spyware.
Тем временем, пользователям настоятельно рекомендуется установить обновленные версии Firefox и Thunderbird.
Adobe выпустила обновления для исправления 0-day в Acrobat и Reader, которая активно эксплуатируется в реальных атаках.
Несмотря на то, что дополнительная информация об атаках еще не раскрыта, известно, что 0-day затронул как системы Windows, так и macOS, а атаки носили ограниченный таргетированный характер.
CVE-2023-26369 позволяет злоумышленникам добиться RCE в атаках низкой сложности, не требующих привилегий.
Но может быть использована лишь локальными злоумышленниками, а также требует взаимодействия с пользователем.
И все же Adobe настоятельно рекомендует установить обновление как можно скорее, в идеале в течение 72 часов.
Помимо нее Adobe устранила и другие недостатки в Connect (CVE-2023-29305 и CVE-2023-29306) и Experience Manager (CVE-2023-38214 и CVE-2023-38215), которые могут быть использованы для запуска XSS-атак.
Mozilla
Security Vulnerability fixed in Firefox 117.0.1, Firefox ESR 115.2.1, Firefox ESR 102.15.1, Thunderbird 102.15.1, and Thunderbird…
Ресерчеры из Лаборатории Касперского раскрыли атаку на цепочку поставок в рамках кампании, которая продолжается более 3 лет.
В течение этого периода сайт Free Download Manager перенаправлял пользователей Linux в репозиторий пакетов Debian с вредоносным ПО для кражи информации. Перенаправления прекратились в 2022 году.
Как отмечают ресерчеры ЛК, официальная страница загрузки freedownloadmanager[.]org, в некоторых случаях перенаправляла тех, кто пытался загрузить версию ПО под Linux, на домен deb.fdmpkg[.]org с вредоносным пакетом Debian. При этом критерии дифференциации заражений непонятны до сих пор.
Помимо прочего исследователями были выявлены многочисленные публикации в соцсетях, Reddit, StackOverflow, YouTube [1, 2] и Unix Stack Exchange с продвижением вредоносного домена в качестве надежного источника для загрузки Free Download Manager, а также сообщения, иллюстрирующие заражения пользователей.
Сам вредоносный пакет Debian, который используется для установки дистрибутивов Linux, содержит скрипт Bash для кражи информации и бэкдор crond, который устанавливает обратную оболочку с сервера C2. Компонент crond создает в системе новое задание, которое запускает сценарий кражи при запуске системы.
При этом, как выяснили исследователи, скрипт содержит комментарии на русском и украинском языках, в том числе информацию об улучшениях, внесенных в вредоносное ПО, а также высказывания активистов.
Исследователи полагают, что бэкдор crond - это штамм вредоносного ПО Bew, циркулирующего с 2013 года, а похититель Bash был обнаружен в дикой природе и впервые проанализирован еще в 2019 году. Так что, набор инструментов не является новым.
Bash Steer, изученный Лабораторией, производит сбор информации о системе, истории просмотров, паролей в браузерах, ключей аутентификации RMM, истории оболочки, данных криптокошельков, а также для облачных сервисов (AWS, Google Cloud, Oracle Cloud Infrastructure, Azure).
Собранные данные затем загружаются на сервер злоумышленников для их дальнейшего задействования в атаках или продажи в киберподполье.
По данным телеметрии ЛК, жертвы этой кампании раскиданы по всему миру, включая Бразилию, Китай, Саудовскую Аравию и Россию.
Хотя кампания в настоящее время неактивна, исследователи рекомендуют пользователям, установившим Free Download Manager для Linux в период с 2020 по 2022 год, убедиться в отсутствии вредоносной ПО.
Для следует отыскать следующие файлы и в случае обнаружения удалить их: /etc/cron.d/collect, /вар/tmp/crond, /вар/tmp/bs, а с индикаторами компрометации можно ознакомиться в отчете.
В течение этого периода сайт Free Download Manager перенаправлял пользователей Linux в репозиторий пакетов Debian с вредоносным ПО для кражи информации. Перенаправления прекратились в 2022 году.
Как отмечают ресерчеры ЛК, официальная страница загрузки freedownloadmanager[.]org, в некоторых случаях перенаправляла тех, кто пытался загрузить версию ПО под Linux, на домен deb.fdmpkg[.]org с вредоносным пакетом Debian. При этом критерии дифференциации заражений непонятны до сих пор.
Помимо прочего исследователями были выявлены многочисленные публикации в соцсетях, Reddit, StackOverflow, YouTube [1, 2] и Unix Stack Exchange с продвижением вредоносного домена в качестве надежного источника для загрузки Free Download Manager, а также сообщения, иллюстрирующие заражения пользователей.
Сам вредоносный пакет Debian, который используется для установки дистрибутивов Linux, содержит скрипт Bash для кражи информации и бэкдор crond, который устанавливает обратную оболочку с сервера C2. Компонент crond создает в системе новое задание, которое запускает сценарий кражи при запуске системы.
При этом, как выяснили исследователи, скрипт содержит комментарии на русском и украинском языках, в том числе информацию об улучшениях, внесенных в вредоносное ПО, а также высказывания активистов.
Исследователи полагают, что бэкдор crond - это штамм вредоносного ПО Bew, циркулирующего с 2013 года, а похититель Bash был обнаружен в дикой природе и впервые проанализирован еще в 2019 году. Так что, набор инструментов не является новым.
Bash Steer, изученный Лабораторией, производит сбор информации о системе, истории просмотров, паролей в браузерах, ключей аутентификации RMM, истории оболочки, данных криптокошельков, а также для облачных сервисов (AWS, Google Cloud, Oracle Cloud Infrastructure, Azure).
Собранные данные затем загружаются на сервер злоумышленников для их дальнейшего задействования в атаках или продажи в киберподполье.
По данным телеметрии ЛК, жертвы этой кампании раскиданы по всему миру, включая Бразилию, Китай, Саудовскую Аравию и Россию.
Хотя кампания в настоящее время неактивна, исследователи рекомендуют пользователям, установившим Free Download Manager для Linux в период с 2020 по 2022 год, убедиться в отсутствии вредоносной ПО.
Для следует отыскать следующие файлы и в случае обнаружения удалить их: /etc/cron.d/collect, /вар/tmp/crond, /вар/tmp/bs, а с индикаторами компрометации можно ознакомиться в отчете.
Securelist
Trojanized Free Download Manager found to contain a Linux backdoor
Kaspersky researchers analyzed a Linux backdoor disguised as Free Download Manager software that remained under the radar for at least three years.
Zscaler ThreatLabz анализирует обновленный арсенал APT36, отмечая новые векторы атак, утилиты кибершпионажа для Linux и бэкдоры для Windows, нацеленные на госсектор Индии с июля 2023 года.
Базирующейся в Пакистане APT36 имеет опыт проведения целенаправленных шпионских кампаний в Южной Азии. Группа действует с 2013 года и, в первую очередь, нацелена на индийское правительство, оборонный и образовательный секторы.
Как правило, APT36 использует специально разработанные инструменты удаленного администрирования для Windows, инструменты кибершпионажа для Windows и Linux, скомпилированные на Python, фреймворки C2 с открытым исходным кодом Mythic, троянизированные установщики приложений, включая и под Android, а также фишинг.
Подробно останавливаться на технических тонкостях не будем, отметим из основного, что злоумышленник обзавелся обновленным полнофункциональным Windows (RAT), новыми инструментами для кибершпионажа в системах Linux (GLOBSHELL, PYSHELLFOX), инновационными методами распространения и дополнительными векторами атак.
Новый Windows RAT, получивший название ElizaRAT, поставляется в виде двоичного файла .NET и устанавливает канал связи C2 через API Telegram, что позволяет злоумышленникам осуществлять полный контроль над целевой конечной точкой.
Распространяется через защищенные паролем архивы, размещенные по ссылкам на Google Drive.
Все двоичные файлы .NET размером от 4 до 16 МБ, скомпилированные как апплеты панели управления (CPL) и использующие расширение файлов «.cpl». И это первый случай, когда APT36 использует формат файлов CPL для нападения.
Чтобы обеспечить сохранение на зараженном компьютере, бот создает файл ярлыка Windows (LNK) в каталоге автозагрузки.
Новым вектором атаки стало использование файлов записей рабочего стола Linux, нацеленных на конечные точки в правительственном секторе Индии. На данный момент исследовательская группа обнаружила три образца, каждый из которых имеет 0 обнаружений на VirusTotal.
При этом злоумышленник предпринимает различные ухищрения, чтобы скрыть любую связь с Пакистаном, тщательно подбирая инфраструктуру и артефакты для эмуляции того, будто действия проводились с Индии.
Однако в некоторых случаях APT36 допускала задействование одной и той же инфраструктуры C2 как для фишинговых атак, так и для распространения вредоносных двоичных файлов.
Столь внезапное обновление связано с тем, по мнению исследователей, что операционные системы на базе Linux широко используются в государственном секторе Индии, а согласно последнему заявлению ОС Maya и вовсе должна будет заменить Microsoft Windows в государственном и оборонном секторах.
Базирующейся в Пакистане APT36 имеет опыт проведения целенаправленных шпионских кампаний в Южной Азии. Группа действует с 2013 года и, в первую очередь, нацелена на индийское правительство, оборонный и образовательный секторы.
Как правило, APT36 использует специально разработанные инструменты удаленного администрирования для Windows, инструменты кибершпионажа для Windows и Linux, скомпилированные на Python, фреймворки C2 с открытым исходным кодом Mythic, троянизированные установщики приложений, включая и под Android, а также фишинг.
Подробно останавливаться на технических тонкостях не будем, отметим из основного, что злоумышленник обзавелся обновленным полнофункциональным Windows (RAT), новыми инструментами для кибершпионажа в системах Linux (GLOBSHELL, PYSHELLFOX), инновационными методами распространения и дополнительными векторами атак.
Новый Windows RAT, получивший название ElizaRAT, поставляется в виде двоичного файла .NET и устанавливает канал связи C2 через API Telegram, что позволяет злоумышленникам осуществлять полный контроль над целевой конечной точкой.
Распространяется через защищенные паролем архивы, размещенные по ссылкам на Google Drive.
Все двоичные файлы .NET размером от 4 до 16 МБ, скомпилированные как апплеты панели управления (CPL) и использующие расширение файлов «.cpl». И это первый случай, когда APT36 использует формат файлов CPL для нападения.
Чтобы обеспечить сохранение на зараженном компьютере, бот создает файл ярлыка Windows (LNK) в каталоге автозагрузки.
Новым вектором атаки стало использование файлов записей рабочего стола Linux, нацеленных на конечные точки в правительственном секторе Индии. На данный момент исследовательская группа обнаружила три образца, каждый из которых имеет 0 обнаружений на VirusTotal.
При этом злоумышленник предпринимает различные ухищрения, чтобы скрыть любую связь с Пакистаном, тщательно подбирая инфраструктуру и артефакты для эмуляции того, будто действия проводились с Индии.
Однако в некоторых случаях APT36 допускала задействование одной и той же инфраструктуры C2 как для фишинговых атак, так и для распространения вредоносных двоичных файлов.
Столь внезапное обновление связано с тем, по мнению исследователей, что операционные системы на базе Linux широко используются в государственном секторе Индии, а согласно последнему заявлению ОС Maya и вовсе должна будет заменить Microsoft Windows в государственном и оборонном секторах.
Zscaler
APT36's Updated Arsenal | ThreatLabz
Discover APT36’s revamped arsenal | Unveiling fresh attack vectors and stealthy new backdoors.
Исследователи китайской Antiy Mobile Threat Intelligence опубликовали отчет о вредоносном ПО для Android и последних мобильных атаках Kongfuzi, нацеленных на Пакистан.
Kongfuzi, также известная как APT59, активна с 2013 года и осуществляет атаки на правительственные учреждения, военнослужащих и ядерные учреждения в Пакистане и других странах Южной Азии.
По данным Lookout, с 2021 года АРТ взяла на вооружение вредоносное ПО для Android под названием SunBird и Hornbill на основе коммерческих шпионских ПО BuzzOut и MobileSpy соответственно, которые используются для кражи данных устройств, включая мессенджеры.
Совсем недавно исследователям Antiy удалось раздобыть несколько вредоносных образцов, которые судя по структуре кода и функциям, относятся к полезным нагрузкам SunBird.
Новая кампания, начавшаяся предположительно с мая, имитирует систему обновлений Google, а вредоносная активность нацелена на кражу фотографий пользователей, текстовых сообщений, адресных книг, записей различного ПО для обмена сообщениями и чатов.
Antiy к настоящему времени насчитала более 50 жертв из числа правительственных чиновников и военных преимущесвуенно из Кашмира и Джамму, а также других частей Индии.
Kongfuzi, также известная как APT59, активна с 2013 года и осуществляет атаки на правительственные учреждения, военнослужащих и ядерные учреждения в Пакистане и других странах Южной Азии.
По данным Lookout, с 2021 года АРТ взяла на вооружение вредоносное ПО для Android под названием SunBird и Hornbill на основе коммерческих шпионских ПО BuzzOut и MobileSpy соответственно, которые используются для кражи данных устройств, включая мессенджеры.
Совсем недавно исследователям Antiy удалось раздобыть несколько вредоносных образцов, которые судя по структуре кода и функциям, относятся к полезным нагрузкам SunBird.
Новая кампания, начавшаяся предположительно с мая, имитирует систему обновлений Google, а вредоносная активность нацелена на кражу фотографий пользователей, текстовых сообщений, адресных книг, записей различного ПО для обмена сообщениями и чатов.
Antiy к настоящему времени насчитала более 50 жертв из числа правительственных чиновников и военных преимущесвуенно из Кашмира и Джамму, а также других частей Индии.
Weixin Official Accounts Platform
孔夫子组织移动端最新攻击活动分析
基于SunBird的仿冒谷歌更新框架样本分析
Некая азиатская страна уже полгода находится под гнетом хакерской группировки Redfly, которая сосредоточена на атаках против критической инфраструктуры.
Нового субъекта угрозы обнаружили специалисты из Symantec, которые выявили использование трояна ShadowPad для поддержания присутствия в национальной энергосети Азии.
В отчете специалистов говорится, что злоумышленникам удалось украсть учетные данные и скомпрометировать несколько компьютеров в сети организации и эта атака является последней в серии шпионских вторжений против критической национальной инфраструктуры страны.
ShadowPad, также известный как PoisonPlug, является продолжением трояна удаленного доступа PlugX и представляет собой модульный имплант, способный динамически загружать дополнительные плагины с удаленного сервера, необходимые для сбора конфиденциальных данных из взломанных сетей.
Малварь активно перекликается с целым кластром APT, связанных с Китаем (Winnti, Wicked Panda, Blackfly и Grayfly), по крайней мере с 2019 года в атаках, направленных на организации в различных отраслях промышленности.
В рамках последней кампании, как отмечает Symantec, Redfly использовала вариант ShadowPad, который стучался на домен websencl[.]com в качестве сервера управления и контроля (C2).
На зараженных машинах троян маскируется под файлы и каталоги VMware и устанавливает постоянство путем регистрации службы, которая запускается при старте Windows.
Помимо ShadowPad, Redfly была замечена за развертыванием PackerLoader, инструмента для загрузки и выполнения шелл-кода, и кейлоггера, который был установлен под разными именами на разных машинах.
Группировка действовала достаточно методично и последовательно изменяя разрешения для драйвера, который позже использовался для создания дампов файловой системы и выгружая учетные данные из реестра Windows.
Несколько дней спустя хакеры использовали инструмент для выгрузки учетных данных из LSASS, а запланированная задача использовалась для выполнения Oleview, для боковой загрузки и горизонтального перемещения.
Чтобы установить кейлоггер на скомпрометированную машину они попытались выгрузить учетные данные с помощью ProcDump.
По мнению Symantec, наиболее очевидным мотивом группы является шпионаж, поскольку группа не занимается деструктивной деятельностью, однако и такой сценарий развития событий не исключается полностью.
Нового субъекта угрозы обнаружили специалисты из Symantec, которые выявили использование трояна ShadowPad для поддержания присутствия в национальной энергосети Азии.
В отчете специалистов говорится, что злоумышленникам удалось украсть учетные данные и скомпрометировать несколько компьютеров в сети организации и эта атака является последней в серии шпионских вторжений против критической национальной инфраструктуры страны.
ShadowPad, также известный как PoisonPlug, является продолжением трояна удаленного доступа PlugX и представляет собой модульный имплант, способный динамически загружать дополнительные плагины с удаленного сервера, необходимые для сбора конфиденциальных данных из взломанных сетей.
Малварь активно перекликается с целым кластром APT, связанных с Китаем (Winnti, Wicked Panda, Blackfly и Grayfly), по крайней мере с 2019 года в атаках, направленных на организации в различных отраслях промышленности.
В рамках последней кампании, как отмечает Symantec, Redfly использовала вариант ShadowPad, который стучался на домен websencl[.]com в качестве сервера управления и контроля (C2).
На зараженных машинах троян маскируется под файлы и каталоги VMware и устанавливает постоянство путем регистрации службы, которая запускается при старте Windows.
Помимо ShadowPad, Redfly была замечена за развертыванием PackerLoader, инструмента для загрузки и выполнения шелл-кода, и кейлоггера, который был установлен под разными именами на разных машинах.
Группировка действовала достаточно методично и последовательно изменяя разрешения для драйвера, который позже использовался для создания дампов файловой системы и выгружая учетные данные из реестра Windows.
Несколько дней спустя хакеры использовали инструмент для выгрузки учетных данных из LSASS, а запланированная задача использовалась для выполнения Oleview, для боковой загрузки и горизонтального перемещения.
Чтобы установить кейлоггер на скомпрометированную машину они попытались выгрузить учетные данные с помощью ProcDump.
По мнению Symantec, наиболее очевидным мотивом группы является шпионаж, поскольку группа не занимается деструктивной деятельностью, однако и такой сценарий развития событий не исключается полностью.
Security
Redfly: Espionage Actors Continue to Target Critical Infrastructure
National grid in Asia compromised by attackers using ShadowPad Trojan.
͏Французская Airbus начала расследование утечки после того, как авторитетный хакер заявил, что взломал системы компании и опубликовал некоторые корпоративные документы.
Исследователи Hudson Rock сообщили, что на одной из даркнет-площадок хакер, известный как USDoD, заявил о взломе Airbus, а сообщением ранее о членстве в банде вымогателей, известной как Ransomed.
Ранее на этот же USDoD брал на себя ответственность за инцидент со взломом базы данных InfraGard, подконтрольной ФБР США и компрометации информации в отношении о 80 000 человек, включая руководителей крупного бизнеса, ИТ-специалистов, а также военных, силовиков и чиновников.
Касаемо инцидента с Airbus, злоумышленник, по всей видимости, выкрал личную информацию на 3200 человек, связанных с поставщиками производителя, включая Rockwell Collins и Thales.
Скомпрометированные данные могут включать имена, должности, почтовые адреса, электронную почту и номера телефонов.
Как отметил сам злоумышленник, он смог получил доступ к системам Airbus, используя скомпрометированную учетную запись сотрудника турецкой авиакомпании.
При этом Airbus подтвердил Hudson Rock этот вектор атаки, а достать учетные сведения удалось с использованием RedLine после загрузки пиратской версии .NET.
Злоумышленник тем временем также заявил, что намерен атаковать американских оборонных подрядчиков, таких как Lockheed Martin и Raytheon.
И при этом USDoD обновил исходный пост об утечке Airbus, извинившись перед гражданами США за анонс утечки именно 11 сентября.
Airbus продолжает расследование и предпринимает срочные меры апостола локализации последствий.
Исследователи Hudson Rock сообщили, что на одной из даркнет-площадок хакер, известный как USDoD, заявил о взломе Airbus, а сообщением ранее о членстве в банде вымогателей, известной как Ransomed.
Ранее на этот же USDoD брал на себя ответственность за инцидент со взломом базы данных InfraGard, подконтрольной ФБР США и компрометации информации в отношении о 80 000 человек, включая руководителей крупного бизнеса, ИТ-специалистов, а также военных, силовиков и чиновников.
Касаемо инцидента с Airbus, злоумышленник, по всей видимости, выкрал личную информацию на 3200 человек, связанных с поставщиками производителя, включая Rockwell Collins и Thales.
Скомпрометированные данные могут включать имена, должности, почтовые адреса, электронную почту и номера телефонов.
Как отметил сам злоумышленник, он смог получил доступ к системам Airbus, используя скомпрометированную учетную запись сотрудника турецкой авиакомпании.
При этом Airbus подтвердил Hudson Rock этот вектор атаки, а достать учетные сведения удалось с использованием RedLine после загрузки пиратской версии .NET.
Злоумышленник тем временем также заявил, что намерен атаковать американских оборонных подрядчиков, таких как Lockheed Martin и Raytheon.
И при этом USDoD обновил исходный пост об утечке Airbus, извинившись перед гражданами США за анонс утечки именно 11 сентября.
Airbus продолжает расследование и предпринимает срочные меры апостола локализации последствий.
В Kubernetes были обнаружены три критических недостатка, которые могут быть использованы для RCE с повышенными привилегиями на оконечных устройствах Windows в рамках одного кластера.
Все уязвимости взаимосвязаны и отслеживаются как CVE-2023-3676, CVE-2023-3893 и CVE-2023-3955 с оценкой CVSS 8.8.
Баги влияют на все среды Kubernetes с хостами Windows, а для эксплуатации злоумышленнику нужно применить вредоносный файл YAML в кластере.
CVE-2023-3676 позволяет злоумышленнику с привилегиями 'apply' взаимодействовать с API Kubernetes и внедрять произвольный код, который будет выполнен на удаленных машинах Windows с привилегиями SYSTEM.
Уязвимость, так же, как и CVE-2023-3955, возникает из-за недостаточной очистки входных данных, что позволяет специально созданной строке пути быть проанализированной в качестве параметра команды PowerShell, что в конечном итоге приводит к выполнению команды.
С другой стороны, CVE-2023-3893, связана со случаем эскалации привилегий в прокси-сервере Container Storage Interface (CSI), что позволяет злоумышленнику получить административный доступ к узлу.
Баги раскрыты 13 июля 2023 года исследователями Akamai, а 23 августа были выпущены соответствующие исправления.
В Amazon Web Services, Google Cloud и Microsoft Azure выпустили советы по устранению этих ошибок, которые влияют на следующие версии Kubelet: < v1.28.1, v1.27.5, v1.26.8, v1.25.13 и v1.24.17.
Все уязвимости взаимосвязаны и отслеживаются как CVE-2023-3676, CVE-2023-3893 и CVE-2023-3955 с оценкой CVSS 8.8.
Баги влияют на все среды Kubernetes с хостами Windows, а для эксплуатации злоумышленнику нужно применить вредоносный файл YAML в кластере.
CVE-2023-3676 позволяет злоумышленнику с привилегиями 'apply' взаимодействовать с API Kubernetes и внедрять произвольный код, который будет выполнен на удаленных машинах Windows с привилегиями SYSTEM.
Уязвимость, так же, как и CVE-2023-3955, возникает из-за недостаточной очистки входных данных, что позволяет специально созданной строке пути быть проанализированной в качестве параметра команды PowerShell, что в конечном итоге приводит к выполнению команды.
С другой стороны, CVE-2023-3893, связана со случаем эскалации привилегий в прокси-сервере Container Storage Interface (CSI), что позволяет злоумышленнику получить административный доступ к узлу.
Баги раскрыты 13 июля 2023 года исследователями Akamai, а 23 августа были выпущены соответствующие исправления.
В Amazon Web Services, Google Cloud и Microsoft Azure выпустили советы по устранению этих ошибок, которые влияют на следующие версии Kubelet: < v1.28.1, v1.27.5, v1.26.8, v1.25.13 и v1.24.17.
Akamai
Can't Be Contained: Finding a Command Injection Vulnerability in Kubernetes | Akamai
Akamai researchers discover a critical vulnerability in Kubernetes that can lead to remote code execution.
Исследователи Symantec Threat Hunter расчехляют новый штамм ransomware под названием 3AM, который применялся ограниченным образом в атаках после того, как оператору не удалось развернуть LockBit в целевой сети.
При этом Symantec удалось наблюдать атаку с использованием 3AM только в одном инциденте.
Несмотря на это ransomware использовалась и в другой ситуации от февраля месяца, однако тогда получить образец для анализа не представилось возможным.
3AM реализует общую преступную концепцию кражи данных перед их шифрованием с требованиями о выкупе и угрозами продать украденную информацию, если злоумышленнику не заплатят.
Записка о выкупе с именем RECOVER-FILES.txt сбрасывается в каждую папку, которую сканирует вредоносное ПО.
Ransomware имеет достаточно простой сайт для переговоров в сети Tor, доступ к которому для переговоров предоставляется на основе ключа из записки о выкупе.
Как сообщают Symantec, 3AM написан на Rust и, судя по всему, не связан ни с одним известным семейством программ-вымогателей, что делает его совершенно уникальным вредоносным ПО.
Прежде чем приступить к шифрованию файлов, 3AM пытается остановить работу ряда служб в зараженной системе, включая Veeam, Acronis, Ivanti, McAfee или Symantec.
После завершения процесса шифрования файлы получают расширение THREEAMTIME, а теневые копии тома удаляются.
При этом в ходе атаки вируса-вымогателя 3AM предшествует использование команды gpresult, которая сбрасывает настройки политики системы для конкретного пользователя.
Злоумышленник также запускал различные компоненты Cobalt Strike и пытался повысить привилегии на компьютере с помощью PsExec.
Исследователи также наблюдали использование команд, обычно используемых для разведки (whoami, netstat, quser и netshare), анализа серверов (quser, net view), задействования FTP-клиента wput для копирования файлов на сервер злоумышленника.
Несмотря на ограниченный характер использования 3AM, ее позиционирование в качестве альтернативы LockBit - безусловно, привлечет интерес других злоумышленников.
С другой стороны, в ходе атаки 3AM удалось пошифровать лишь три компьютера в целевой организации из пяти, а на двух его активность была заблокирована.
В отчете Symantec представила набор хэшей для образцов LockBit и 3AM, использованные в атаке компоненты Cobalt Strike, а также сетевые индикаторы.
При этом Symantec удалось наблюдать атаку с использованием 3AM только в одном инциденте.
Несмотря на это ransomware использовалась и в другой ситуации от февраля месяца, однако тогда получить образец для анализа не представилось возможным.
3AM реализует общую преступную концепцию кражи данных перед их шифрованием с требованиями о выкупе и угрозами продать украденную информацию, если злоумышленнику не заплатят.
Записка о выкупе с именем RECOVER-FILES.txt сбрасывается в каждую папку, которую сканирует вредоносное ПО.
Ransomware имеет достаточно простой сайт для переговоров в сети Tor, доступ к которому для переговоров предоставляется на основе ключа из записки о выкупе.
Как сообщают Symantec, 3AM написан на Rust и, судя по всему, не связан ни с одним известным семейством программ-вымогателей, что делает его совершенно уникальным вредоносным ПО.
Прежде чем приступить к шифрованию файлов, 3AM пытается остановить работу ряда служб в зараженной системе, включая Veeam, Acronis, Ivanti, McAfee или Symantec.
После завершения процесса шифрования файлы получают расширение THREEAMTIME, а теневые копии тома удаляются.
При этом в ходе атаки вируса-вымогателя 3AM предшествует использование команды gpresult, которая сбрасывает настройки политики системы для конкретного пользователя.
Злоумышленник также запускал различные компоненты Cobalt Strike и пытался повысить привилегии на компьютере с помощью PsExec.
Исследователи также наблюдали использование команд, обычно используемых для разведки (whoami, netstat, quser и netshare), анализа серверов (quser, net view), задействования FTP-клиента wput для копирования файлов на сервер злоумышленника.
Несмотря на ограниченный характер использования 3AM, ее позиционирование в качестве альтернативы LockBit - безусловно, привлечет интерес других злоумышленников.
С другой стороны, в ходе атаки 3AM удалось пошифровать лишь три компьютера в целевой организации из пяти, а на двух его активность была заблокирована.
В отчете Symantec представила набор хэшей для образцов LockBit и 3AM, использованные в атаке компоненты Cobalt Strike, а также сетевые индикаторы.
Security
3AM: New Ransomware Family Used As Fallback in Failed LockBit Attack
Attackers resorted to new ransomware after deployment of LockBit was blocked on targeted network.
Китайцы из Qihoo 360 вносят яркий диссонанс в стройное хоровое пение западных инфосек компаний, у которых злые тоталитарные хакеры бывают только в России, КНР, Иране и Северной Корее. А у всех западных стран и их саттелитов демократия и лапки.
Вот честно, если бы Stuxnet случился сегодня, а не 13 лет назад, престарелые педерасты из всяких там Recorded Future и прочих ESETов на голубом глазу уверяли бы всех, что это Иран сам себя ломает. А Израиль с Equation и Regin совершенно не при чем. Да и не существует их, западных прогосударственных хакерских групп.
Благостную картину, конечно, немного подпортили в 2017 году Shadow Brokers со своим сливом Lost In Translation инструментария АНБ в Твиттере. Но, во-первых, с тех пор прошло много лет, а, во-вторых, в последнее время намного чаще вспоминют то, что эпидемию вымогателя WannaCry организовали злые северокорейцы (что, в принципе еще никто не доказал), а не то, что эксплойт EternalBlue, на основе которого WannaCry и работал, принадлежал АНБ и был также слит в составе Lost In Translation.
Вернемся однако к китайскому вопросу. Летом прошлого года хакерами был атакован Северо-Западный политехнический университет, находящийся в китайской провинции Шэньси. Спустя два месяца, в сентябре 2022 года китайская Global Times, официальный рупор Коммунистической партии Китая, заявила, что ответственность за атаку несет АНБ.
Сегодня же Qihoo 360 разместили материал, в котором сообщили, что в ходе расследования указанного киберинцидента смогли успешно извлечь несколько экземпляров SecondDate - слитой в 2017 году ShadowBrokers тулзы (насколько мы понимаем, таки модифицированной), которая с позиций сетевого оборудования реализует атаку типа MITM.
Китайцы дали некоторые технические спецификации SecondDate, а в завершении заметили, что в результате долгого расследования вместе с партнерами обнаружили, что контрольным модулем SecondDate заражены тысячи сетевых устройств по всему миру, а большинство С2 расположены в Германии, Японии, Южной Корее, Индии и Тайване.
Более того, китайцы утверждают, что установили личность сотрудника АНБ, который координировал атаку на Университет.
Звучит все это как своеобразный анонс масштабного пендослива, будем с нетерпением ждать.
Вот честно, если бы Stuxnet случился сегодня, а не 13 лет назад, престарелые педерасты из всяких там Recorded Future и прочих ESETов на голубом глазу уверяли бы всех, что это Иран сам себя ломает. А Израиль с Equation и Regin совершенно не при чем. Да и не существует их, западных прогосударственных хакерских групп.
Благостную картину, конечно, немного подпортили в 2017 году Shadow Brokers со своим сливом Lost In Translation инструментария АНБ в Твиттере. Но, во-первых, с тех пор прошло много лет, а, во-вторых, в последнее время намного чаще вспоминют то, что эпидемию вымогателя WannaCry организовали злые северокорейцы (что, в принципе еще никто не доказал), а не то, что эксплойт EternalBlue, на основе которого WannaCry и работал, принадлежал АНБ и был также слит в составе Lost In Translation.
Вернемся однако к китайскому вопросу. Летом прошлого года хакерами был атакован Северо-Западный политехнический университет, находящийся в китайской провинции Шэньси. Спустя два месяца, в сентябре 2022 года китайская Global Times, официальный рупор Коммунистической партии Китая, заявила, что ответственность за атаку несет АНБ.
Сегодня же Qihoo 360 разместили материал, в котором сообщили, что в ходе расследования указанного киберинцидента смогли успешно извлечь несколько экземпляров SecondDate - слитой в 2017 году ShadowBrokers тулзы (насколько мы понимаем, таки модифицированной), которая с позиций сетевого оборудования реализует атаку типа MITM.
Китайцы дали некоторые технические спецификации SecondDate, а в завершении заметили, что в результате долгого расследования вместе с партнерами обнаружили, что контрольным модулем SecondDate заражены тысячи сетевых устройств по всему миру, а большинство С2 расположены в Германии, Японии, Южной Корее, Индии и Тайване.
Более того, китайцы утверждают, что установили личность сотрудника АНБ, который координировал атаку на Университет.
Звучит все это как своеобразный анонс масштабного пендослива, будем с нетерпением ждать.