͏Самый «справедливый и гуманный» суд в мире подвергся кибератаке.

Пресловутый Международный Уголовный Суд (МУС) в Гааге заявил о киберинциденте в своей сети, где была обнаружена аномальная активность, влияющая на ее информационные системы.

Как сообщает МУС, были приняты немедленные меры по реагированию на нарушение и приняты меры по смягчению его влияния. К расследованию уже подключились ведущие инфосек-специалисты из Нидерландов.

Характер инцидента до сих пор пока остается неясным, и еще неизвестно, был ли получен доступ к каким-либо данным, хранящимся в системах МУС, или же они были выведены из строя.

Официальный представитель МУС Фади Эль-Адбаллах категорически отказался отвечать на вопросы журналистов и заявил, что организация не будет комментировать ситуацию вне рамок своего заявления. Кто стоял за кибератакой, конечно же, не сообщается.

͏Юзабилити збс!

После отчета ( пинка ) от Лаборатории Касперского разработчики Free Download Manager (FDM) вдруг зашевелились, представив нелепые объяснения почему на протяжении трех лет сайт использовался для распространения зараженного трояном установщика FDM для Linux.

FDM провела расследование и вдруг обнаружила, что отчеты ЛК и других исследователей о взломе их сайта были проигнорированы, как оказалось, из-за ошибки в их контактной системе, а Рафик сувсем невиновуен.

Причем в течение этого времени многие пользователи сообщали о необычном поведении после установки вредоносного установщика не только поставщику, но и оставляли различные посты на форуме поддержки и других площадках. Вероятно, те же ошибки также не давали разработчикам их увидеть.

Тем не менее, свой косяк признали и даже поспешили выпустить скрипт, позволяющий проверить, не было ли устройство Linux заражено в результате недавно зарегистрированной атаки на цепочку поставок.

Но стоит отдать должное, помимо извинений, поставщик постарался атрибутировать угрозу. В результате расследования они пришли к выводу, что сайт был скомпрометирован украинской хакерской группой, которая использовала его для распространения вредоносного ПО.

Потенциально пострадала лишь небольшая группа пользователей, особенно те, кто пытался загрузить FDM для Linux в период с 2020 по 2022 год. Вероятно, именно из-за ограниченного масштаба проблема до сих пор оставалась незамеченной, а уязвимость была случайно устранена во время планового обновления сайта в 2022 году.

Проанализировав резервные копии проекта, начиная с 2020 года, и разработчики измененную страницу, которая содержала алгоритм, который выбирал, давать ли пользователям правильную ссылку для скачивания или ссылку, ведущую на поддельный домен deb.fdmpkg[.]org с вредоносным файлом.

Как выяснилось, у него был «список исключений» для IP-адресов из различных подсетей, в том числе связанных с Bing и Google. Посетителям с них всегда предоставлялась правильная ссылка для загрузки.

Разработчики выразили сожаление по поводу случившегося и рекомендовали пользователей, скачавших FDM для Linux в течение 2020-2022 годов, проверить свои компьютеры на наличие вредоносного ПО, заверив, что пользователи Windows и Mac не пострадали.

Сценарии bash для проверки доступен здесь. Стоит учитывать, что скрипт только определяет наличие на вашем компьютере упомянутых потенциальных угроз, но не удаляет их. При обнаружении вредоносного ПО настоятельно рекомендуется переустановить систему.

В ПО для мониторинга сети Nagios XI было обнаружено множество проблем безопасности, которые могут привести к повышению привилегий и раскрытию информации.

Четыре уязвимости безопасности, CVE-2023-40931 - CVE-2023-40934, затрагивают Nagios XI 5.11.1 (и ниже), были раскрыты 4 августа, а 11 сентября получили исправления с выпуском версии 5.11.2.

Как сообщают исследователи Outpost24, три из них (CVE-2023-40931, CVE-2023-40933 и CVE-2023-40934) позволяют пользователям с различными уровнями привилегий получать доступ к полям базы данных посредством SQL-инъекций.

Эксплуатация этих уязвимостей позволяет в дальнейшем повышать привилегий в продукте и получать конфиденциальные пользовательские данные, включая хэши паролей и токены API.

CVE-2023-40932, с другой стороны, относится к XSS-уязвимости и затрагивает компонент «пользовательский логотип», который можно использовать для чтения конфиденциальных данных, включая пароли в открытом виде со страницы входа.

Успешная эксплуатация трех уязвимостей SQL-инъекций может позволить злоумышленнику, прошедшему проверку подлинности, выполнить произвольные команды SQL, а ошибка XSS может быть использована для внедрения произвольного кода JavaScript, а также чтения и изменения данных страницы.

Новые проблемы в Nagios XI, конечно не те, что были найдены в 2021 году исследователями Skylight Cyber и Claroty, которыми можно было воспользоваться для взлома инфраструктуры и удаленного выполнения кода, но тем не менее критичны и требуют скорейшего обновления продукта.

Две обнаруженные уязвимости в Atos Unify могут вызвать сбои в работе и привести к взлому системы.

Проблемы были найдены исследователями SEC Consult, являющейся частью бизнеса Eviden группы Atos, и затрагивают Atos Unify Session Border Controller (обеспечивает безопасность унифицированных коммуникаций), Unify OpenScape Branch для удаленных офисов и функцию пограничного контроля BCF, предназначенную для экстренных служб.

SEC Consult отмечает, что веб-интерфейс этих продуктов подвержен уязвимости CVE-2023-36618, которая может быть использована аутентифицированным злоумышленником с низкими привилегиями для выполнения произвольных функций PHP и последующих команд ОС с привилегиями root.

Другая, CVE-2023-36619, может быть использована злоумышленником, не прошедшим проверку подлинности, для доступа и выполнения определенных сценариев.

Злоумышленник может использовать эти сценарии, чтобы вызвать состояние DoS или изменить конфигурацию системы.

SEC Consult характеризует их как критические, даже несмотря на то, что присвоил им рейтинг высокой степени серьезности по CVSS.

По факту злоумышленники могут получить root-доступ над устройством, если известны какие-либо учетные данные пользователя с низким уровнем привилегий, и могут переконфигурировать или реализовать бэкдор в системе.

SEC Consult опубликовала рекомендации с техническими подробностями подробностями, но PoC раскрывать не стала.

В свою очередь, Atos выпустила обновления для исправления обеих уязвимостей Unify, а также предложила ряд обходных путей для снижения риска взлома.

Как и ожидалось, Китай приступил к реализации масштабного пендослива, обвиняя США в проведении за последнее десятилетие ряда крупных кампании кибершпионажа по всему миру.

На фоне растущей геополитической напряженности между двумя странами с резким заявлением на этот раз выступило МГБ КНР, указавшее на взлом серверов Huawei, кибератаку на Северо-Западный политехнический университет, кражу чувствительных данных и внедрение бэкдоров, начиная с 2009 года.

Не раскрывая деталей, в своем сообщении китайские спецслужбы прямо указали на Управление компьютерных сетевых операций АНБ США как инициатора систематических и платформенных атак на многие страны мира в рамках операций «Операция Телескрин (Bvp47)», «Квант», «FOXACID», «Улей» и др., которые осуществлялись с использованием серьезного киберарсенала, включая и тот самый Second Date.

В числе атакованных американцами с использованием шпионского ПО, по данным китайской спецслужбы, более 45 стран, включая Германия, Япония, Южная Корея, Индия и Тайвань, где основными целями стали телекоммуникации, научные исследования, экономика, энергетика и военный сектор.

Кроме того, MSS сообщает о принуждении властями США национальных технологических компаний к внедрению в свою продукцию бэкдоров для проведения кибершпионажа и кражи данных. В числе таких поставщиков китайцы назвали X-Mode Social и Anomaly Six, которые обеспечивали наблюдение за мобильными телефонами пользователей.

Как особо отмечают китайцы, при этом при всем, США разными способами фабрикуют различные версии «отчетов о безопасности», выставляя себя жертвой атак, призывая другие страны присоединиться к так называемой программе «чистой сети» в попытке устранить китайские компании с международного IT-рынка.

Впервые обнаруженный специалистами Unit 42 ботнет P2PInfect в июле 2023 года, значительно увеличил свою активность с конца августа и утюжит сеть по сей день.

Только за неделю с 12 по 19 сентября 2023 года активность ботнета возросла в 600 раз, о чем сообщают исследователи из Cado Security, причем большинство нарушений затрагивают системы в Китае, США, Германии, Сингапуре, Гонконге, Великобритании и Японии.

Вредоносное ПО, распространяемое через peer-to-peer, нарушает работу Redis, используя уязвимость удаленного выполнения кода на системах Windows и Linux, подключенных к интернету.

По мнению специалистов Cado, активность P2PInfect сопряжена с тем, что вредоносное ПО стало более адаптированным и стабильным, что позволяет увеличивать ландшафт распространения.

Последние образцы содержат ряд дополнений и улучшений, включающих новые функции механизма постоянства на основе cron, использование ключа SSH для перезаписи любых авторизованных ключей SSH на нарушенном конечном узле и смену пароля для любых других пользователей в системе, если у вредоносного ПО есть доступ к root.

Несмотря на то, что недавно обнаруженные варианты P2PInfect пытались инсталлировать майнер, фактически деятельность криптодобычи не наблюдалась, но в совокупности это может указывать на то, что операторы вредоносного ПО продолжают экспериментировать с последним этапом атаки.

Учитывая текущий размер ботнета, его активное распространение, функции самообновления и быстрое расширение за последний месяц, P2PInfect представляет собой значительную угрозу, которую следует учитывать.

Болтун - находка для шпиона, особенно, если он - еще и владелец устройств Apple.

Компания вноаь выпустила внеплановые исправления для очередных 3 активно эксплуатируемых 0-day в атаках на пользователей iPhone и Mac, предположительно, с использованием spyware.

Две ошибки были обнаружены в ядре браузера WebKit (CVE-2023-41993) и системе безопасности (CVE-2023-41991), которые позволяют злоумышленникам обходить проверку подписи с помощью вредоносных приложений или выполнять произвольный код через вредоносные сайты.

Третий был найден в Kernel Framework, который предоставляет API и поддержку расширений ядра и резидентных драйверов устройств.

Локальные злоумышленники могут использовать эту уязвимость (CVE-2023-41992) для повышения привилегий.

В число затронутых устройств вошли как. Новые, так и старые модели устройств, включая iPhone 8 и новее, iPad mini 5-го поколения и новее, компьютеры Mac под управлением macOS Monterey и новее, Apple Watch Series 4 и новее.

Apple представила macOS 12.7/13.6, iOS 16.7/17.0.1, iPadOS 16.7/17.0.1 и watchOS 9.6.3/10.0.1 с исправлениями уязвимости, устранив проблемы с проверкой сертификата и улучшив проверки.

В своих рекомендациях Apple признала, что проблема могла активно использоваться в версиях iOS до iOS 16.7, но еще не предоставила дополнительной информации.

Учитывая, что об атаках и новых 0-day сообщили исследователи Citizen Lab и Google TAG, речь вновь может идти о задействовании коммерческого шпионского ПО.

Ведь раскрытые ими же ранее в этом месяце уязвимости нулевого дня использовались как часть цепочки эксплойтов с нулевым щелчком мыши, получившей название BLASTPASS, для заражения полностью пропатченные iPhone с коммерческим шпионским ПО Pegasus от NSO Group.

Но будем посмотреть, может что-то новенькое.

Исследователи SentinelLabs и QGroup GmbH отследили новую таинственную APT Sandman, нацеленную поставщиков услуг связи в Европе и Азии в рамках кампании кибершпионажа.

На вооружении APT состоит модульное вредоносное ПО под названием LuaDream на платформе LuaJIT, что является относительно редким явлением на ландшафте угроз. Малварь способна похищать системную и пользовательскую информацию, открывая путь для дополнительных точных атак.

Вредоносная активность Sandman была замечена в августе 2023 года и характеризуются осторожным и продуманным подходом: минимальные и стратегические перемещения внутри зараженных сетей и максимальное снижение риска обнаружения с целью сохранения долгосрочного доступа к взломанным системам.

По данным SentinelOne, злоумышленник получает доступ к корпоративной сети, используя украденные административные учетные данные.

После взлома сети Sandman использовал атаки «pass-the-hash» для аутентификации на удаленных серверах и службах путем извлечения и повторного использования NTLM-хэшей, хранящихся в памяти.

В одной из расследованных ситуаций все подконтрольные хакерам рабочие станции принадлежали управленческому звену, что указывает на интерес злоумышленника к получению секретной или конфиденциальной информации.

Для этих целей SandMan применяет LuaDream для атак с использованием перехвата DLL на целевые системы. Вредоносное ПО получило свое название из-за использования JIT-компилятора LuaJIT для языка сценариев Lua.

Вредоносная программа используется для сбора данных и управления плагинами, расширяющими ее функциональность, которые получаются с C2 и выполняются локально в скомпрометированной системе.

Разработка вредоносного ПО, похоже, активна до настоящего времени: полученная строка версии указывает номер выпуска «12.0.2.5.23.29», а начальные записи в журналах тестирования датируются июнем 2022 года.

В основе LuaDream лежит семиэтапный процесс в памяти, реализующий уклонение от обнаружения, инициируемый либо службой Windows Fax, либо Spooler, которая запускает вредоносный файл DLL.

LuaDream состоит из 34 компонентов, 13 основных и 21 вспомогательного компонента, которые используют байт-код LuaJIT и API Windows через библиотеку ffi.

Основные компоненты выполняют базовые функции вредоносного ПО, такие как сбор системных и пользовательских данных, управление плагинами и связь с C2, а компоненты поддержки обеспечивают технический блок (предоставление библиотек Lua и определений Windows API).

После инициализации LuaDream подключается к серверу C2 (через TCP, HTTPS, WebSocket или QUIC) и отправляет собранную информацию, включая версии вредоносного ПО, IP/MAC-адреса, сведения об ОС и др.

Поскольку при каждой атаке злоумышленники развертывают определенные плагины через LuaDream, у SentinelLabs нет исчерпывающего перечня всех доступных плагинов.

Несмотря на то, что некоторые специальные вредоносные ПО Sandman и часть инфраструктуры C2 были раскрыты, происхождение злоумышленника остается неясным.

В решениях Atlassian и ISC BIND обнаружены серьезные недостатки, которые могут быть использованы для DoS и RCE.

Австралийский поставщик ПО выпустил в новых версиях исправления для четырех серьезных ошибок в Jira, Confluence, Bitbucket и Bamboo.

Самая серьезная из этих проблем CVE-2023-22513 (CVSS: 8,5) описывается как уязвимость RCE в Bitbucket. Аутентифицированный злоумышленник может воспользоваться уязвимостью без взаимодействия с пользователем. Проблема появилась в Bitbucket версии 8.0.0 и затрагивает большинство выпусков до версии 8.14.0.

Вторая CVE-2023-22512 (CVSS 7,5) - это DoS-проблема в продуктах Confluence Data Center и Server (начиная с версии 5.6 затрагивает выпуски продукта до 8.5.0 включительно). Злоумышленник, не прошедший проверку подлинности, может воспользоваться этой уязвимостью, чтобы запретить доступ к ресурсам, временно или на неопределенный срок нарушая работу служб уязвимого хоста, подключенного к сети.

CVE-2023-28709 (CVSS 7,5), описывается как DoS-ошибка на сервере Apache Tomcat, влияющая на Bamboo. Причем в Apache Tomcat уязвимость существует потому, что исправление другой уязвимости, CVE-2023-24998, было неполным.

Обновления, выпущенные для Jira, устраняют CVE-2022-25647 (CVSS 7,5), ошибку десериализации в пакете Google Gson, влияющую на управление исправлениями в Jira Service Management.

Две серьезные ошибки закрыты ISC в Berkeley Internet Name Domain 9 (BIND).

CVE-2023-3341 (CVSS: 7,5) представляет собой ошибку исчерпания стека в коде канала управления и может привести к неожиданному завершению работы метода Name (исправлено в версиях 9.16.44, 9.18.19, 9.19.17, 9.16.44-S1 и 9.18, 19-S1).

Другая CVE-2023-4236 (CVSS: 7,5) - это ошибка в сетевом коде, обрабатывающем запросы DNS-over-TLS, может привести к неожиданному завершению named. Это происходит, когда внутренние структуры данных неправильно повторно используются при значительной нагрузке запросов (исправлена в версиях 9.18.19 и 9.18.19-S1).

Данных об использований уязвимостей в злонамеренных атаках не сообщается.

В CMS 1С-Битрикс: Управление исправлена критическая узявимость модуля landing с оценкой CVSS: 10/10.

Уязвимости подтверждены все версии ПО до 23.850.0. Она вызвана проблемами синхронизации при использовании общего ресурса.

Эксплуатация может позволить нарушителю, действующему удалённо, выполнить команды ОС на уязвимом узле, получить контроль над ресурсами и проникнуть во внутреннюю сеть.

1С-Битрикс достаточно оперативно смога выпустить исправления, но напрочь позабыв, видимо, уведомить своих клиентов.

Пользователям рекомендуется как можно скорее обновиться до актуальных версий, а также ограничить доступ с определенных адресов для модулей управления.

͏L0X — это судьба, или как иначе объяснить, что T-Mobile в третий раз менее чем за 12 месяцев столкнулся с утечкой данных.

Киберпреступники заявляют, что им удалось раскрыть учетные данные сотрудников, информацию о клиентах и другие конфиденциальные данные.

Награбленное разместили на теневой площадке, где указали, что базу слили в апреле 2023 года, которая содержит учетные данные сотрудников, частичные номера соцстрахования (SSN), адреса электронной почты, данные клиентов, продажи, аналитику T-Mobile и другую информацию.

По мнению исследователей, образцы опубликованных данных выглядят вполне легитимно, но пока нет подтвержденной информации.

Известно, что общий объем данных ± 90 ГБ.

В свою очередь, vx-underground утверждают, что обладают инсайдерской информацией о взломе, а данные были украдены вскоре после второго взлома T-Mobile в этом году, который произошел в марте 2023 года.

Это только за последний год T-Mobile нагнули трижды, но еще не остыл в памяти инцидент в августе 2021 года, когда оператор сообщил об утечке только после того, как в даркнете разместили личные данных более 100 миллионов клиентов.

В совокупности проблем возникает очевидный вопрос о способности T-Mobile обеспечивать безопасность своих систем и защищать конфиденциальность клиентов, что без сомнений вызывает серьезные опасения.

Держитесь-крепитесь, но компании в очередной раз придется столкнуться с серьезными последствиями, включая потерю доверия со стороны клиентов, штрафы от регуляторов и утрату рыночной доли. В общем, пример - другим наука...

Епрст, даже матом ругаться не хочется. Слить 4 миллиарда записей - это мощно.

Казалось бы...

Но, по зрелом размышлении, слив базы данных Сирена, устроенный чубаками, есть не что иное как легализация давнего проникновения в сеть Сирены, мы в этом уверены. Известное всем расследование полупокеров из ФБК и Белингкет оперировало слишком точными сведениями, которые никак не могли быть получены через разовые пробивы. Там требовался анализ массивов данных. Поэтому, скорее всего, доступ к базе был получен давно и совсем не "проукраинскими хактивистами".

Почему решили легализовать сейчас? Да кто их знает, возможно доступ обрубили, терять уже все равно нечего.

Правда если наше предположение верно, то из него вытекает одна неприятная штука. В том старом расследовании, про которое мы написали выше, анализ массивов требовался не только для получения информации о перелетах, но и для получения данных биллинга. А это означает, что доступ у резвых ребят из одной хакерской группы на букву E (или, как вариант, на букву L) был/есть не только к Сирене, но и к технологическим сегментам сетей ОПСОСов.

Ну а если мы не правы и Сирену ломанули действительно киберскакуны, то тогда с российским инфосеком совсем все печально. Он практически сдох. Впрочем, это не новость.

На этом фоне борьба с пробивщиками под телекамеры, прикручивание гаек всюду и везде, - не более чем показуха. Пока за углом негодяи Терабайтами выносят данные не особо скрываясь.

Вспоминается в связи с этим одна реальная история, рассказанная старым ОМОНовцем из времен 1-й Чеченской. Когда высокая комиссия, прибыв в полевой лагерь, вынесла командиру отряда выговор за то, что деревянная дверь в оружейную комнату не была обита железом, как того требовал приказ. Тот факт, что эта самая оружейка за неимением капитальных строений в месте расположения была оборудована в брезентовой палатке, никого не смутил.

Так что весь наш инфосек - та самая оружейка в брезентовой палатке. Удачи, бл...

Подкатили подробности столь срочного выпуска Apple обновлений для исправления 0-day в ОС iPhone, iPad, Mac и Apple Watch.

Как несложно было предположить в связи участием в раскрытии исследователей Citizen Lab и Google TAG, эксплуатация CVE-2023-41991, CVE-2023-41992 и CVE-2023-41993 была связана со spyware Predator от Cytrox.

В частности, на этот раз жертвой стал египетский политик Ахмед Альтантави, который подвергся атаке почти сразу после того, как объявил о выдвижении своей кандидатуры для участия в предстоящих выборах президента в 2024 году.

При этом за атакой, по данным исследователей, стояли действующие власти Египта.

При этом ранее телефон Альтантави уже успешно взломывался с помощью Cytrox spyware еще в 2021 году в рамках отдельного инцидента, как и телефоны ряда других оппозиционных деятелей.

В ходе совместного расследования с Facebook (признана в РФ экстремистской) тогда было установлено что Cytrox имеет широкую клиентуру в Армении, Греции, Индонезии, Мадагаскаре, Омане, Саудовской Аравии и Сербии.

Citizen Lab пояснила, что в период с мая по сентябрь 2023 года злоумышленники реализовали атаку с использованием фейковых SMS и сообщений WhatsApp, а также компрометируя подключение девайса к сети Vodaphone Egypt с позиции оператора для перенаправления на вредоносный сайт через определенные ресурсы без HTTPS.

На устройствах iOS использовался эксплойт для первоначального удаленного выполнения кода (RCE) в Safari через вредоносные страницы, ошибка CVE-2023-41991 для обхода проверки подписи и CVE-2023- 41992 для повышения привилегий ядра.

Кроме того, Google TAG отмечает, что злоумышленники использовали отдельную цепочку эксплойтов для установки шпионского ПО Predator на устройства Android в Египте, эксплуатируя CVE-2023-4762 в Chrome, исправленную 5 сентября — в качестве 0-day для удаленного выполнения кода.

Тем не менее, детали того, как удалось обнаружить цепочку шпионских эксплойтов, исследователи пояснять не стали.

И без того понятно что, после внесения США в июле поставщика Predator, Cytrox, в свой черный список, стали вдруг нужны разоблачительные кейсы, которых в ближайшее время станет еще больше.

Ведь прошлогодний скандал с Predator в Греции обеспечил ускоренную отставку двух высокопоставленных правительственных чиновников, включая директора национальной разведки. Теперь - Египет.

Израильские организации стали целью двух различных кампаний, за которыми стоит иранский актор, отслеживаемый как OilRig.

Атаки были реализованы в 2021 и 2022 годах и получили названия Outer Space и Juicy Mix, которые включали использование двух первоначальных бэкдоров под названием Solar и Mango, задействованных для сбора конфиденциальной информации из основных браузеров и менеджеров учетных данных Windows.

Как заявили исследователи из ESET, оба бэкдора были развернуты с помощью VBS-дропперов, предположительно распространяемых посредством фишинговых электронных писем.

OilRig, также известен как APT34, Cobalt Gypsy, Hazel Sandstorm и Helix Kitten, связан с Министерством разведки и безопасности Ирана (MOIS) и активен как минимум с 2014 года.

Почти за десять лет злоумышленник использовал достаточно широкий спектр инструментов для кражи информации, проявляя тактичность и гибкость при написании новых вредоносных программ на основе изученных клиентских сред и уровней доступа.

В 2023 году OilRig также попадал в поле зрения исследователей из Trend Micro при доставке обновленной версии SideTwist в рамках фишинговой кампании, вероятно, нацеленной на американские организации.

Причем использование вредоносного ПО Mango специалистами ESET было приписано OilRig, в то время как Microsoft в мае 2023 года, злонамеренную активность приписал новому кластеру угрозы Storm-0133, но также связанного с MOIS и нацеленного исключительно на израильские местные правительственные учреждения и компании, обслуживающие сектора обороны, жилья и здравоохранения.

В кампании Outer Space, наблюдавшейся в 2021 году, OilRig скомпрометировала израильский сайт по работе с персоналом и впоследствии использовал его в качестве С2 для Solar (базового бэкдора на C#/.NET, способного собирать информацию, загружать и выполнять файлы).

А в кампании Juicy Mix 2022 года использовался уже Mango, по факту - это более улучшенная версия Solar с дополнительными возможностями и обфускацией.

В совокупности специалистами отмечается, как OilRig продолжает проявлять инновацию в TTP, параллельно создавая новые имплантаты с новыми возможностями.

Исследователи SecureWorks в своем отчете сообщают о финансово мотивированной группе Gold Melody, специализирующейся на реализации доступа к скомпрометированным организациям для проведения последующих атак.

Брокер первоначального доступа (IAB) также отслеживается как Prophet Spider (CrowdStrike) и UNC961 (Mandiant), активна с 2017 года и специализируется на эксплуатации уязвимостей в непропатченных серверах, подключенных к Интернету.

Группа не имеет четкой виктимологии и действует веерно. С середины 2020 года группа расширила свой охват, атакуя организации в сферах розничной торговли, здравоохранения, энергетики, финансов и высоких технологий, дислоцированных в Северной Америке, Северной Европе и Западной Азии.

Gold Melody была связана с атаками, нацеленными на известные уязвимости в JBoss Messaging, Citrix ADC, Oracle WebLogic, GitLab, Citrix ShareFile Storage Zones Controller, Atlassian Confluence, ForgeRock AM и Apache Log4j.

При этом в марте 2023 года Mandiant также отмечала, что во многих случаях вторжение IAB предшествовало развертыванию операторами программ-вымогателей Maze и Egregor. Сама группа старалась действовать экономически более эффективно, внимательно отслеживания последних уязвимостей с общедоступным PoC.

Киберпреступники используют разнообразный арсенал, включая веб-оболочки, встроенное ПО операционной системы и общедоступные утилиты, а также собственные троянские программы и инструменты для туннелирования.

Среди последних - такие как GOTROJ, BARNWORK, HOLEDOOR, DARKDOOR, AUDITUNNEL, HOLEPUNCH, LIGHTBUNNY и HOLERUN, используются для выполнения произвольных команд, сбора системной информации и создания туннеля с жестко запрограммированным IP-адресом.

Специалисты связывают Gold Melody как минимум с пятью вторжениями, произошедшими в период июля 2020 и июля 2022, с использованием различных уязвимостей, включая те, которые влияют на Oracle E-Business Suite, Apache Struts, Sitecore XP и Flexera FlexNet.

После успешного получения доступа к системе, злоумышленники разворачивают веб-шеллы и создают каталоги на скомпрометированном хосте для размещения инструментов, используемых в цепочке заражения.

Как говорится в отчете, Gold Melody проводит тщательное сканирование и разведку, чтобы понять окружение жертвы и проложить путь для сбора учетных данных в целях дальнейшего получения дополнительных кред, горизонтального перемещения и эксфильтрации данных.

Уже не в первый раз убеждаемся в том, что все предположения западного инфосека о всеобъемлющих связях тех или иных банд ransomware с Россией на практике оказываются не более, чем домыслом.

Если в одних случаях силовые операции приводили к задержанию украинцев, стоявших за Egregor, то на этот раз вдруг выяснилось, что к работе успевшей зарекомендовать себя на поприще вымогательства 8Base причастен 36-летний гражданин Молдовы Андрей Колев.

Выйти на него исследователям удалось благодаря внимательному изучению функции чата на DLS вымогателей 8Base, которая сбоила и выдавала подробное сообщение об ошибке, если вместо POST получала запросы GET.

Помимо раскрытия реального адреса 95.216.51[.]74 сервера в Финляндии фигурировала ссылка на частный сервер Gitlab под названием Jcube-group: gitlab[.]com/jcube-group/clients/apex/8base-v2.

В репозитории JCube Group исследователи обнаружили код с многократным упоминанием «KYC» (например, KYC_UNVERIFIED, KYC_VERIFIED и KYC_PENDING), который также встречался и на DLS 8Base.

Кроме того, исходный код страницы входа «администратора» у 8Base с изображением самолета на фоне аэропорта практически идентичен странице login.blade.php, созданной и размещенной в репозитории JCube Group три недели назад.

На странице в LinkedIn [archived] Колев указал, что является разработчиком в JCube Group. На Jcubegroup[.]com указаны адрес и номер телефона, которые, как подтверждают молдавские документы, принадлежат именно ему.

Чтобы прояснить ситуацию исследователи связались с Колевым и попросили прокомментировать, почему даркнет-сайт 8Base извлекает код из каталога «клиенты» его частного репозитория Gitlab JCube Group. Однако Колев ушел в отказ и категорически опроверг всякую связь с 8Base.

Можно, конечно было и предположить, что молдованина пытались таким образом подставить недоброжелатели или списать все вышеизложенное на совпадение, но опять же по странному стечению обстоятельств сращу после разговора с ним 8Base перестал выдавать сообщение об ошибке с указанием частного репозитория JCube.

В общем, передаем большой привет господину Колеву и ставим для него песню Mama El Baion голландской исполнительницы Maria Zamora.

Clop’ы, вероятнее, уже вовсю трудятся над новой темой, подыскивая очередные 0-day и допиливая под них эксплойты, а последствия их последней хакерской облавы клиенты MOVEit Transfer продолжают разгребать.

Согласно озвученный американской образовательной НКО National Student Clearinghouse (NSC) статистике, утечка данных Национального студенческого информационного центра затронула 900 колледжей и университетов, пользующихся ее услугами по всей территории США.

Как выяснилось, банда вымогателей получила доступ к информации, принадлежащей тысячам организаций и миллионам лиц, в конце мая этого года, воспользовавшись 0-day в ПО для управляемой передачи файлов MOVEit.

20 июня стало известно о том, что данные из базы данных студенческих записей были украдены.

Скомпрометированной оказалась информация, включающая установочные данные, контакты, номера соцстрахования и студбилета, а также различные образовательные записи.

По данным Emsisoft, такие образом число организации, на которых прямо или косвенно повлиял взлом MOVEit, по состоянию на конец сентября достиг 2053.

Общее число пострадавших лиц превышает 57 миллионов.

Несмотря на занимательное количество потенциальных жертв, по оценкам Coveware, лишь некоторые из них согласились выплатить отступные.

Тем не менее, по прогноенным оценкам последний кейс может принести им доход до 100 млн.долл. в качестве выкупа, чего вполне достаточно для подготовки к новой делюге.

Исследователи Sonar Source обнаружили критическую уязвимость в TeamCity, позволяющую злоумышленникам выполнять произвольный код и захватывать уязвимые серверы.

TeamCity - это широко используемая платформа для управления сборками и непрерывной интеграции (CI/CD) от JetBrains, доступная как для локальной установки, так и в виде облачного сервиса.

TeamCity развернута более чем 30 000 клиентами по всему миру, при этом, согласно Shodan, более 3000 серверов напрямую подключены к Интернету.

CVE-2023-42793 имеет оценку CVSS 9,8 и описывается как обход аутентификации, влияющий на все локальные экземпляры TeamCity до версии 2023.05.3 включительно. Облако TeamCity не подвержено этой уязвимости.

Недостаток может быть использован удаленно, без аутентификации, для выполнения произвольного кода и получения административного контроля над уязвимым сервером.

Это позволяет злоумышленникам не только выкрасть исходники, секреты и закрытые ключи, но и внедрить вредоносный код с сборки, создавая угрозу целостности выпусков и реализации полноформатной атаки на цепочку поставок ПО.

Ошибка устранена в TeamCity версии 2023.05.4. Кроме того, JetBrains выпустила плагин исправления безопасности для TeamCity версий 8.0 и выше, без возможности отката исправления.

Несмотря сокрытие технических подробностей, в JetBrains и Sonar уверены, что CVE-2023-42793 будет непременно эксплуатироваться в реальных атаках с серьезными последствиями.

Но будем посмотреть.