Исследователи Sophos X-Ops раскрыли атаку на цепочку поставок, в рамках которой злоумышленник взломал официальный сервер CloudChat и модифицировал Windows-установщик для распространения вредоносного ПО.

При этом CloudChat для Android, Mac, iOS и Linux затронуты не были. В самом коде приложения ничего не изменилось, но к нему добавилась дополнительная библиотека импорта — d3lib1.dll (code1.dll и code3.dll).

Загружаемая в процессе установки приложения вредоносная d3lib1.dll содержит зашифрованную полезную нагрузку, которая подключается обратно к серверу C2 для загрузки и запуска вредоносного ПО следующего этапа.

Во-первых, DLL сканирует процессы для поиска определенных строк: 360 (возможно, связан с Quihoo); xagt (агент FireEye); и falcon (CrowdStrike). В случае совпадения - пытается завершить соответствующий процесс.

Далее DLL подключается к промежуточному серверу и загружает файл BMP, который содержит данные, зашифрованные с помощью RC4, которые DLL расшифровывает с помощью жестко запрограммированного ключа fdjYUGYb&%53321.

Расшифрованный контент представляет собой структуру данных и шеллкод, образующие полезную нагрузку промежуточного уровня. Структура данных включает ключ XOR для деобфускации полезных данных промежуточного устройства и других необходимых параметров.

Далее DLL создает небольшой объект, содержащий различные API, которые потребуются ему позже, используя хеширование API ROR12 для разрешения API непосредственно из PEB.

Затем DLL распаковывает полезную нагрузку промежуточного уровня с помощью LZNT1. Шелл-код stager создает мьютекс lks2x, затем связывается с C2, определенным в конфигурации, который также зашифрован RC4 с тем же ключом. В этом случае IP-адрес C2 — 103.169.91.16, порт 443.

Неясно, как долго распространялся троянизированный установщик, но Sophos заметила инцидент в августе и немедленно уведомила поставщика, который до настоящего времени не дал никакой обратной связи.

Тем не менее, теперь на официальном ресурсе - оригинальный установщик без вредоносного функционала, а кампанию можно считать завершенной.

В свою очередь, Sophos опубликовала IOC, связанные с этой кампанией, у себя на GitHub (здесь).

Разработчики малвари BlackCat/ALPHV усовершенствовали свой арсенал и начали использовать новый инструмент под названием Munchkin.

Теперь для скрытого развертывания шифровальщика используется виртуальная машина на сетевых устройствах, что позволяет BlackCat работать на удаленных системах или шифровать сетевые ресурсы SMB и CIFS.

Munchkin представляет собой специально настроенный дистрибутив Linux Alpine OS, поставляемый в виде файла ISO.

После компрометации устройства злоумышленники устанавливают VirtualBox и создают новую виртуальную машину с использованием ISO Munchkin, который включает в себя набор скриптов и утилит для загрузки паролей, распространения по сети, создания полезных нагрузок шифровальщика BlackCat 'Sphynx' и выполнения команд на сетевых хостах.

Munchkin облегчает работу вымогателей, позволяя им выполнять различные задачи, включая обход защитных решений оконечных устройств жертвы.

Поскольку виртуальные машины обеспечивают дополнительный слой изоляции от операционной системы, это затрудняет обнаружение и анализ для антивирусных средств защиты.

Выбор злоумышленников упал на операционную систему Alpine не просто так.

Данная ОС оставляет наименьший цифровой след и позволяет автоматизировать значительный пул операций, что в свою очередь снижает необходимость ручного вмешательства, создавая дополнительный "шум" от командных потоков.

Кроме того, модульность Munchkin с множеством скриптов на Python и уникальные конфигурации создают условия для смены полезной нагрузки по мере необходимости, позволяя легко адаптировать инструмент к конкретным целям или кампаниям.

Лаборатория Касперского вновь вернулась к порочной практике апартеида в отношении русскоязычных пользователей - частенько интересные материалы сразу выходят на английском языке, а на великомогучем в лучшем случае спустя несколько дней. Иногда и вовсе не выходят.

Нет, мы-то, конечно, умеем в "Зе Тейбл", а как быть тем у кого Pre-Intermediate? Да и просто приятнее читать на родном и горячо любимом.

Требуем срочно прекратить бесчинства! А иначе придется выписать ЛК Нельсона Манделу черную метку.

Требование касается, прежде всего, ежеквартальной аналитики по АРТ, которую команда GReAT публикует на протяжении уже шести ле, чего мало, кто вообще делает.

В третьем квартале ключевыми событиями стали: кампания TetrisPhantom, нацеленная на правительственные учреждения в Азиатско-Тихоокеанском регионе путем компрометации определенного типа защищенного USB-накопителя, обеспечивающего аппаратное шифрование, а также шпионская деятельность BlindEagle в Латинской Америке.

Кроме того, исследователи отмечают атаки неизвестной APT BadRory на организации в России, новую вредоносную кампанию с развертыванием Owowa, бэкдора IIS, которая получила наименование GOFFEE.

Зафиксирован всплеск атак с использованием обновленных вариантов TargetPlug с более широкими географическими контурами.

Выявлены новые кампании кибернаемников Dark Caracal, направленные на предприятия государственного и частного сектора во многих испаноязычных странах.

Тюркоязычная StrongPity обзавелась новыми загрузчиками и нацелена на новые страны: Алжир, Ливан, Армению и Иран. Претерпело изменения вредоносное ПО BellaCiao, связанное с Charming Kitten.

Другие известные акторы также не остались в стороне: новая многоэтапная цепочка заражения у ScarCruft, последовательные RAT BlindEagle и эмуляция VPN-приложений MuddyWater.

Северокорейская Lazarus использовала троянизированные версии приложений Virtual Network Computing (VNC) в качестве приманки для атак на оборонную промышленность и инженеров-ядерщиков в рамках длительной кампании Operation Dream Job.

В общем, геополитика продолжает оставаться ключевым фактором развития APT, а кибершпионаж - главной целью всех наблюдаемых кампаний APT, которые по-прежнему географически дифференцированы: Европа, Южная Америка, Ближний Восток и различные регионы Азии.

Продолжаем мониторить ситуацию с атаками Cisco IOS XE 0-day, которая за выходные кардинально преобразилась.

Если в вкратце, то как минимум с 28 сентября реализуеьтся масштабная кампания по эксплуатации CVE-2023-20198 в панели веб-администрирования IOS XE, которую 16 октября подтвердила Cisco.

0-day позволял злоумышленникам создать учетную запись администратора с самым высоким уровнем привилегий на устройствах с открытой в сети панелью WebUI.

Однако расследование атак привело к обнаружению второй 0-day, с помощью которой злоумышленники использовали созданную учетную запись администратора для внедрения в IOS XE команд, которые выполнялись с правами root.

В Cisco заявили, что цепочка эксплойтов использовалась для внедрения бэкдора на основе Lua на устройства по всему миру.

И изначально считали второй эксплуатируемой в кампании багой исправленную в 2021 году CVE-2021-1435. На самом деле ей оказалась другая 0-day, отлеживаемая теперь как CVE-2023-20273.

Тем не менее, CVE-2021-1435 также использовалась в реальных условиях, но в другой кампании и другим злоумышленником.

Кроме того, самое интересное, что с конца сентября начал исчезать бэкдор Lua, который доставлялся на взломанные Cisco IOS XE.

По оценкам Censys и Shadowserver, количество взломанных устройств IOS XE достигало до 42 000 и даже более, но в эти выходные оно внезапно не упало примерно до 500-1000.

Как полагают специалисты, по всей видимости, это было вызвано действиями самого злоумышленника, публичная видимость бэкдора привлекла слишком много внимания к кампании, а сам он обладал низкой персистентностью.

Но не исключается, что все это могло сопровождаться другим механизмом более глубокой компрометации затронутых устройств, как в случае с Barracuda.

В свою очередь, несмотря на последние события, Cisco наконец-то выпустила исправления для обоих 0-day.

Правда, обновлений в этом случае все равно не будет достаточно, клиентам придется все же провести проверку безопасности своих устройств и систем.

Относительно атрибуции и результатов предварительного расследования Cisco комментариев не дает, сохраняя молчание.

Печально еще то, что цепочку эксплойтов раскрыли примерно в то же время, когда обнаружился еще один 0-day эксплойт CVE-2023-20109, что указывает на системную отработку злоумышленниками устройств Cisco IOS XE, которая приносит им неплохие результаты.

Но будем посмотреть.

SolarWinds устранила критические уязвуимости в Access Rights Manager (ARM), которые злоумышленники могли использовать для удаленного запуска кода с системными привилегиями.

SolarWinds ARM — это инструмент для управления правами доступа пользователей ИТ-среде, реализующий также интеграцию с Microsoft Active Directory, управление доступом на основе ролей, визуальную обратную связь и многое другое.

Исследователи обнаружили восемь недостатков в решении SolarWinds 22 июня в рамках инициативы Zero Day Initiative (ZDI), три из которых были критическими.

Среди них:

- CVE-2023-35182  (9,8): удаленные злоумышленники, не прошедшие проверку подлинности, могут выполнить произвольный код в контексте системы из-за десериализации ненадежных данных в методе createGlobalServerChannelInternal.

- CVE-2023-35185  (9,8): удаленные злоумышленники, не прошедшие проверку подлинности, могут выполнить произвольный код в контексте SYSTEM из-за отсутствия проверки введенных пользователем путей в методе OpenFile.

- CVE-2023-35187  (9,8): удаленные злоумышленники, не прошедшие проверку подлинности, могут выполнить произвольный код в контексте системы без проверки подлинности из-за отсутствия проверки введенных пользователем путей в методе OpenClientUpdateFile.

Другие исправленные SolarWinds проблемы категорий высокой серьезности, поскольку их можно использовать для получения разрешений или RCE на хосте после аутентификации.

Для решения проблем поставщик представил патч, доступный в версии 2023.2.1 своего Access Rights Manager, а также опубликовал рекомендации с описанием всех восьми уязвимостей и их уровня серьезности по оценке компании.

При этом, кстати, сама компания не оценила ни одну из проблем безопасности как критическую, а присвоила высший рейтинг - 8,8 для ошибок высокой важности.

Вероятно, в Okta остается вакантной должность CISO, и по всей видимости, уже два года подряд, а может и вовсе отсутствует.

Ведь именно за это время компания столкнулась с многочисленными инцидентами безопасности.

Ее кошмарили вымогатели Lapsus$, которые получили доступ к ее административным консолям.

Затем отправленные клиентам Okta пароли (OTP) украла Scatter Swine (ака 0ktapus), которая взломала компанию облачных коммуникаций Twilio.

Подлетела Auth0, являющая поставщиком услуг аутентификации и принадлежащая Okta, когда у нее выхлопали репозитории исходного кода.

Исходники и самой Okta также выкрали после взлома частных репозиториев GitHub компании.

На этот раз злоумышленники взломали систему поддержки Okta с использованием украденных учетных данных.

Как сообщает в компании, злоумышленники получили доступ к файлам, содержащим файлы cookie и токены сеансов, загруженные клиентами в ее систему управления поддержкой.

При этом производственная среда Okta не пострадала, поскольку изолирована от службы поддержки, однако чего не скажешь о клиентах.

Несмотря на то, что Okta еще не разглашает список пострадавших клиентов, некоторые из них успели уже отметиться.

Одним из них оказалась BeyondTrust, которая обнаружила и заблокировала попытку войти в учетную запись администратора Okta 2 октября с использованием файла cookie, украденного из системы поддержки.

Злоумышленник успел выполнить лишь несколько ограниченных действий.

Примечательно, что после немедленного уведомления Okta какой-то внятной оперативной реакции не последовало. Лишь к 19 октября служба безопасности Okta подтвердила нарушение.

Другой жертвой атаки стала Cloudflare, которая задетектила вредоносную активность, связанную со взломом Okta, на своих серверах в среду, 18 октября 2023 года.

Группе реагирования удалось сдержать актора и свести к минимуму воздействие на системы и данные компании.

К настоящему времени компания отозвала токены сеанса, встроенные в общие файлы HAR и поделилась перечнем IOC, включая IP-адреса и информацию User-Agent веб-браузера, связанную с злоумышленниками.

Будем следить за развитием событий, новые жертвы, очевидно - на подходе.

Вьетнамские хакеры снова атакуют Великобританию, США и Индию, только теперь с помощью вредоносного ПО DarkGate.

Из отчета экспертов WithSecure следует, что атаки с DarkGate, были связаны с другими вьетнамскими злоумышленниками, которые использовали небезызвестный стилер Ducktail.

По мнению специалистов, пересечение инструментов и кампаний, связано с особенностями киберпреступного рынка, а рост атак с DarkGate в последние месяцы обусловлен решением автора вредоносного ПО предлагать зловред в аренду (MaaS).

Цепочки атак, распространяющие DarkGate, характеризуются использованием скриптов AutoIt, извлекаемых с помощью Visual Basic и отправляемых через фишинговые письма, сообщения в Skype или Microsoft Teams.

Собственно, выполнение скрипта AutoIt приводит к развертыванию DarkGate.

Однако в последнем случае первоначальным вектором атаки было сообщение LinkedIn, которое перенаправляло жертву на файл, размещенный на Google Диске (метод, который обычно используют злоумышленники Ducktail).

Стоит отметить, что Ducktail - обычный граббер, в то время как DarkGate полноценный RAT с более широкими возможностями.

Не смотря на схожесть тем и приманок для доставки Ducktail и DarkGate, функции финального этапа сильно отличаются.

Более того, вредоносный софт может использоваться не одной группой, а выходить далеко за кластер во Вьетнаме, что, в свою очередь, значительно затрудняет определение истинного объема злонамеренной активности, основываясь только на анализе вредоносного ПО.

Пока в Великобритании обсуждают законопроект по тотальному контролю электронных коммуникаций, в Германии молча читают переписку, по крайней мере - в Jabber.

Случайным образом админам платформы удалось заметить MiTM-атаку, нацеленную на перехват зашифрованного трафика TLS, проходящего через серверы Hetzner и Linode.

Как стало известно в ходе предварительного расследования инцидента, активный перехват длился три месяца с 18 июля по 18 октября и был обнаружен после того, когда истек срок действия одного из сертификатов злоумышленников.

Злоумышленнику удалось выдать несколько SSL/TLS-сертификатов через Let's Encrypt для доменов jabber и xmpp с 18 апреля 2023 года.

Однако перевыпустить TLS-сертификат не удалось, и прокси-сервер MiTM начал обслуживать просроченный сертификат на порту 5222 для домена jabber (Hetzner).

Атака на XMPP-трафик клиента jabber/xmpp подтверждена как минимум с 21 июля 2023 г. по 19 октября 2023 г., возможно (достоверно не подтверждено) с 18 апреля 2023 г., затронуто 100% подключений XMPP STARTTLS к порту 5222 (не 5223).

Учитывая характер перехвата, злоумышленник смог бы выполнить любые действия на стороне пользователя в качестве авторизованной учетной записи, а это означает, что злоумышленник мог загрузить список учетных записей, незашифрованную историю сообщений на стороне сервера, отправлять новые сообщения или изменять их в режиме реального времени.

Коммуникации со сквозным шифрованием OMEMO, OTR или PGP, были защищены от перехвата только в том случае, если обе стороны подтвердили ключи шифрования.

Примечательно, что атака прекратилась вскоре после того, как было начато расследование и стали проводиться сетевые тесты вместе с тикетами в службу поддержки Hetzner и Linode. Также как выяснили исследователи, ни один из серверов платформы не взломан.

Поскольку сеть Hetzner и Linode, судя по всему, была переконфигурирована специально для такого рода атак на IP-адреса службы XMPP, команда Jabber полагает, что перехват был организован спланированной операцией немецких спецслужб.

Как смогли выяснить Fox-IT NCC Group, бэкдор Lua, внедренный в устройства Cisco с использованием пары 0-day в IOS XE (CVE-2023-20198 и CVE-2023-20273), был модифицирован злоумышленником для сокрытия от обнаружения.

Выявить описанную нами вчера аномалию позволило исследование сетевого трафика со скомпрометированных устройств.

Таким образом, на многих устройствах имплант все еще активен, но теперь отвечает только в том случае, если установлен правильный HTTP-заголовок авторизации.

Все это объясняет почему за последние несколько дней количество скомпрометированных устройств резко упало с 40 000 до нескольких сотен, что и привело к предположениям о возможном внесенении актором каких-то скрытых изменений, чтобы скрыть его присутствие.

Тем не менее, Fox-IT полагают, что число скомпрометированных устройств все еще достигает 37 000.

Cisco, со своей стороны, подтвердила изменение поведения зловреда в своих обновленных рекомендациях, поделившись механизмом проверки рабочей станции на наличие имплантата.

В даркнете опять неспокойно.

Банда вымогателей Lockbit атаковала сеть компании Brookfield Global Relocation Services, которая ведет сопровежение канадских военных и дипломатов в ходе их поездок внутри страны и зарубежом.

Инцидент затронул личную информацию канадских госслужащих, масштабы и объемы нарушения не разглашаются.

Данные избирателей самого главного в штатах округа Колумбия теперь продаются на хакерских площадках. Избирком подтвердил утечку полного списка избирателей округа.

Некто Prophet на известном форуме за 700 евро готов поделиться доступом к порталу Meta для взаимодействия с правоохранительными органами по запросам.

19-ти летний хакер DiabloX Phantom взял на себя ответственность за взлом ряда правительственных ресурсов Филиппин и кражу гигабайтов данных из национальных госсистем.

Среди известных жертв его хакерских атак — веб-сайты Палаты представителей Филиппин, базы данных национальной полиции, Управления статистики Филиппин и национальной корпорация медстрахования.

В качестве пруфов он представил необходимые образцы данных.

Главным мотивом столь дерзкого поступка - стало желание продемонстрировать отсутствие внимания местных властей к вопросам ИБ.

Ведь в некоторых случаях доступ был получен благодаря слабым паролям - Admin123, открытым источникам, простейшей социнженерии и неграмотности IT-персонала.

Набирает обороты 7777-Botnet, который включает более чем 16 000 зараженных устройств Интернета вещей и реализует медленные брутфорс-атаки (2-3 попытки в неделю с одного IP) на инфраструктуру Microsoft Azure, нацеленные на руководителей высшего звена.

В число выявленных на данный момент жертв входят две компании из энергетического сектора США, господрядчик Великобритании, британский университет и несколько компаний во Франции.

Как подсказывают нам подписчики, почти нигде и никем не был анонсирован вышедший еще 17 октября бюллетень по безопасности Atlassian.

Уязвимости, о которых сообщается в нем, включают 2 критические и 26 уязвимостей высокой степени опасности, которые были исправлены в новых версиях решений поставщика. 

Среди критических - уже знакомая читателям CVE-2023-22515 с оценкой 10,0, затрагивающая все версии Confluence Data Center и Server и CVE-2019-13990 с 9,8 в Jira Service Management Data Center и Server.

Почти все оставшиеся высокой степени опасности имеют оценку 7,5, кроме двух: CVE-2023-22514 - 7,8, а CVE-2021-22569 - 5,5.

Подробно описывать каждую смысла нет - лучше обратиться к оригиналу.

Отметим лишь, что PoC для недавнего Atlassian Confluence 0-day (CVE-2023-22515) был добавлен в Metasploit после того, как несколько рабочих версий эксплойтов появились в Интернете за несколько недель до этого.

Сама ошибка активно использовалась в дикой природе злоумышленником, отлеживаемым DarkShadow (или Oro0lxy) с 14 сентября 2023 года, еще до ее раскрытия 4 октября.

Лаборатория Касперского продолжает разбор кибершпионского ПО, которое использовалось в масштабной кампании по заражению принадлежащих российским пользователям девайсов iPhone.

В новом отчете по операции «Триангуляция» сделан акцент на структуре spyware и его компонентах, часть из которых, судя по инфографике, будут еще представлены в какой-то перспективе.

Имплантат TriangleDB включает как минимум четыре различных модуля для записи микрофона, извлечения связки ключей iCloud, кражи данных из баз данных SQLite, используемых различными приложениями, и контроля местоположения жертвы.

Как отмечают исследователи, актор смог реализовать беспрецедентную скрытность, максимально тайно собирая конфиденциальную информацию со скомпрометированных устройств.

Ядро структуры атаки представляет собой бэкдор под названием TriangleDB, который развертывается после того, как злоумышленники получают root-права на целевом устройстве iOS, используя CVE-2023-32434, RCE-уязвимость ядра.

Развертыванию имплантата предшествуют два этапа валидации, а именно JavaScript Validator и Binary Validator, которые выполняются для определения того, не связано ли целевое устройство с исследовательской средой.

Отправной точкой цепочки атак является невидимое вложение iMessage, которое получает жертва, запуская цепочку 0-click эксплойтов, предназначенную для скрытного открытия уникального URL, содержащего запутанный JavaScript, а также зашифрованную полезную нагрузку - валидатор JavaScript.

Помимо выполнения различных арифметических операций и проверки наличия Media Source API и WebAssembly, он реализует Canvas Fingerprinting, замыкая желтый треугольник на розовом фоне с помощью WebGL и вычисляя контрольную сумму.

Информация, собранная на этом этапе, передается на удаленный сервер для получения вредоносного ПО следующей стадии - бинарного валидатора, файла Mach-O, непосредственно перед загрузкой TriangleDB.

После запуска он расшифровывает конфигурацию при помощи алгоритма AES. Файл содержит список действий (например, DeleteLogs, DeleteArtifacts), которые должен выполнить валидатор. Причем как для систем iOS, так и для macOS.

После выполнения всех действий валидатор шифрует собранные данные (список процессов, информацию о пользователе и т.д.) и отправляет их на командный сервер, откуда возвращается TriangleDB.

После установления бэкдором связи с C2 и отправки контрольного сигнала, поступают команды на удаление журнала сбоев и файлов базы данных, чтобы скрыть следы цепочки заражения и затруднить возможный анализ.

После удаления логов злоумышленники инициируют ряд команд по периодическому извлечению файлов из каталога private/var/tmp, содержащих информацию о местоположении, связке ключей iCloud, из баз данных SQLite, а также записей с микрофона.

Примечательной особенностью модуля записи с микрофона является его способность приостанавливать запись при включении экрана устройства. А модуль мониторинга местоположения настроен на использование данных GSM для триангуляции местоположения жертвы, когда данные GPS недоступны.

Как отмечают исследователи, злоумышленники показали отличное понимание внутреннего устройства iOS, поскольку в ходе атаки использовались приватные API, что прямо свидетельствует об их кооперации с разработчиками Apple.

При этом обнаруженные артефакты указывают на то, что операция «Триангуляция» (или ее предшественники) была активна как минимум с 2015 года и нацелена не только на iOS, но и на macOS.

Если измерять этапы исследования ЛК пятью стадиями принятия неизбежного - то сейчас пользователи iOS переживают гнев.

͏Нетленка от Vx-underground

Вчера в Канаде стартовал новый этап хакерского поединка Pwn2Own 2023 в Торонто с призовым фондом в 1 000 000 долларов США и акцентом на мобильные устройства и IOT.

В первый же день конкурса ZDI выплатила 438 750 долларов за 23 успешно продемонстрированные уязвимости.

Исследователи дважды взломали Samsung Galaxy S23 и продемонстрировали эксплойты, нацеленные на 0-day в Xiaomi 13 Pro.

На очереди - также заявленные Apple iPhone 14 и Google Pixel 7, за которые в случае успеха причитаются 300 000 и 250 000 долларов в качестве вознаграждения.

Кроме того, похакали принтеры, интеллектуальные колонки, устройствах NAS и камеры от таких поставщиков, как Western Digital, QNAP, Synology, Canon, Lexmark и Sonos, а также устройства Google Pixel Watch и Chromecast.

Причем согласно правилам конкурса Pwn2Own Toronto 2023, на всех целевых устройствах работают последние версии ОС со всеми установленными обновлениями безопасности.

Pentest Limited первые проэксплутировали 0-day во флагманском устройстве Samsung Galaxy S23, воспользовавшись проблемой неправильной проверки ввода, заработав 50 000 долларов.

Также им удалось выполнить свою цепочку из двух ошибок против My Cloud Pro Series PR4100, используя DoS и SSRF, получив за нее 40 000.

Xiaomi 13 Pro пал под натиском Viettel, заработавшей 40 000 долларов, и под атакой NCC Group, которая забрала аналогичную сумму.

Команда STAR Labs SG смогла воспользоваться списком разрешенных входов для взлома Samsung Galaxy S23, заработав 25 000 долларов.

Binary Factory удалось провести атаку с переполнением буфера стека в Synology BC500 и они заработали 30 000 долларов. Позже устройство также хакнула команда Synacktiv за 15 000 долларов.

20 000 долларов ушло исследователю Нгуен Куок Вьет за переполнение буфера на Canon imageCLASS MF753Cdw.

Команде Orca из Sea Security удалось выполнить цепочку из двух ошибок, используя OOB Read и UAF в Sonos Era 100. Итог - 60 000.

QNAP TS-464 поломали за 40 000 долларов исследовали из ECQ, которым удалось выполнить цепочку из трех ошибок, используя SSRF и две уязвимости внедрения, а за 20 000 - Viettel и STAR Labs SG.

PHPHooligans смогла реализовать ошибку повреждения памяти, которая привела к RCE на Lexmark CX331adwe и принесла участникам 20 000.

Подробно с расписанием мероприятия можно ознакомиться здесь. Основные события первого дня Pwn2Own Toronto 2023 с результатами каждого испытания - здесь.

VMware предупреждает об уязвимости уязвимости обхода аутентификации в vRealize Log Insight (VMware Aria Operations for Logs), для которой уже доступен PoC.

Отслеживаемая как CVE-2023-34051, проблема позволяет неаутентифицированным злоумышленникам удаленно выполнять код с правами root при соблюдении определенных условий.

По словам исследователей Horizon3, обнаруживших ошибку, успешная эксплуатация зависит от разрешений на добавление дополнительного интерфейса или статического IP-адреса.

Horizon3 представила технический анализ причин уязвимости с дополнительной информацией о том, как можно использовать CVE-2023-34051 для RCE с правами root на непропатченных устройствах VMware.

Исследователи также опубликовали PoC-эксплойт и список IOC для обнаружения попыток взлома.

Анонсированный эксплойт злоупотребляет подменой IP-адреса и различными конечными точками Thrift RPC для произвольной записи файлов.

Конфигурация этой уязвимости по умолчанию записывает задание cron для создания обратной оболочки, в связи с чем следует изменить файл полезных данных в соответствии со средой.

Чтобы эта атака сработала, злоумышленник должен иметь тот же IP-адрес, что и главный/рабочий узел.

Эта уязвимость по сути также является обходом цепочки критических ошибок, исправленных VMware в январе, и позволяет получить RCE.

Первая (CVE-2022-31706) - это ошибка обхода каталога, вторая (CVE-2022-31704) - нарушение контроля доступа, а третья — ошибка раскрытия информации (CVE-2022-31711).

Злоумышленники могут объединить эти уязвимости (в совокупности отслеживаемые VMware как VMSA-2023-0001) для внедрения вредоносно созданных файлов в ОС устройств, на которых установлено непропатченное ПО Aria Operations for Logs.

Тогда через неделю после исправления VMSA-2023-0001 Horizon3 выпустила PoC-эксплойт, злоупотребляющий различными конечными точками Thrift RPC для достижения произвольной записи файлов.

Эту уязвимость легко использовать, однако она требует от злоумышленника определенной настройки инфраструктуры для обслуживания вредоносной полезной нагрузки.

Кроме того, поскольку этот продукт вряд ли доступен в Интернете, злоумышленник должен будет сначала закрепиться где-то в сети.

Но зачастую злоумышленники используют уязвимости в ранее скомпрометированных сетях для горизонтального перемещения, что делает уязвимые устройства VMware ценными внутренними целями.

Влияние 0-day Cisco IOS XE оказывается еще шире, чем предполагалось.

Rockwell Automation обратилась к клиентам с новостью о том, что активно эксплуатируемая 0-day также затрагивает промышленные коммутаторы Stratix.

Как известно, неизвестные хакеры использовали две 0-day в Cisco IOS XE (CVE-2023-20198 и CVE-2023-20273), для создания учетных записей с высоким уровнем привилегий и развертывания имплантата Lua, который открывает полный контроль над системой.

Инфосек-сообщество обнаружило десятки тысяч скомпрометированных систем вскоре после того, как Cisco сообщила о первой атаке 0-day Cisco IOS XE.

В свою очередь, Rockwell также оперативно предупредила, что ее управляемые промышленные Ethernet-коммутаторы Stratix 5800 и 5200, использующие ОС Cisco IOS XE, подвержены уязвимости CVE-2023-20198.

Но устройства подтверждены влиянию лишь в том случае, если включена функция веб-интерфейса IOS XE.

Поскольку в рекомендации Rockwell вышли до обнаружения второго 0-day, в них ничего не упоминается про CVE-2023-20273, который злоумышленники также использовали для доставки имплантата.

Однако недостаток также затрагивает и ПО IOS XE на коммутаторах Rockwell.

Хотя Rockwell сообщает, что доступных исправлений нет, Cisco все же смогла выпустить исправления, правда уже после их рекомендаций.

Поставщик коммутаторов пообещал поделиться обновлениями по мере поступления дополнительной информации, но отметил, что ему не известно об атаках, нацеленных на его продукты.

На данный момент пока остается неясной конечная цель развернутой кампании.

При том, что злоумышленники продолжают контролировать десятки тысяч маршрутизаторов и коммутаторов Cisco, обновляя свой имплант для персистентности.

Но будем посмотреть.

Исследователи из Лаборатории Касперского сообщают шпионской кампании, нацеленной на ряд российских государственных и промышленных организаций с использованием специального вредоносного ПО для кражи информации, написанного на языке Go.

Впервые вредоносную активность удалось зафиксировать еще в июне 2023 года, а в середине августа специалистами была обнаружена новая версия вредоносного ПО.

Обновленная малварь обеспечивала улучшенное уклонение от средств защиты, что указывает на продолжающуюся системную работу по оптимизации атак.

В ЛК в плане атрибуции не стали тыкать пальцем в небо и пока ограничились лишь индикаторами компрометации, которые должны помочь в защите и предотвращении потенциальных атак.

Вектор атаки незамысловатый и начинается с электронного письма с вредоносным архивом на борту с менее замысловатым названием "finansovyy_kontrol_2023_180529.rar".

Архив содержит PDF-документ, используемый для отвлечения внимания жертвы, а также скрипт NSIS, который извлекает и запускает основную полезную нагрузку с внешнего URL-адреса (fas-gov-ru[.]com).

Малварь прячется в C:\ProgramData\Microsoft\DeviceSync\ как UsrRunVGA.exe.

Причем, со слов специалистов, эта же волна фишинга распространяет еще два бэкдора Netrunner и Dmcserv.

Фактически это одно и то же вредоносное ПО, только с разными конфигурациями C2.

Непосредственно сам скрипт запускает вредоносные исполняемые файлы в скрытом окне и добавляет ссылку в меню "Пуск".

Функциональность бэкдора ограничена шпионскими фишками и в основном сосредоточена на поиске файлов определенных расширений и чтении содержимого буфера обмена.

Все данные отправляемые на C2 шифруются AES, а для того чтобы избежать анализа малварь проверяет среду в которой находится.

Результаты этих проверок отправляются в C2 на начальном этапе заражения и используются для составления профиля жертвы.

Августовский экземпляр вредоносного ПО мало чем отличался от предшественника и имел незначительные изменения, связанные с удалением некоторых "шумных" предварительных проверок и добавление новых фич для кражи файлов.

Например, обновленная версия использует модуль для кражи паролей пользователей из 27 версий различных веб-браузеров и почтового клиента Thunderbird, а также добавлено асимметричное шифрование RSA для защиты обмена командами с C2.

VMware выпустила исправления для критической RCE-уязвимости сервера vCenter Server.

Проблема отслеживается как CVE-2023-34048 и имеет оценку CVSS: 9,8, была обнаружена и раскрыта Григорием Дородновым из Trend Micro Zero Day Initiative.

Она описывается как уязвимость записи за пределами допустимого диапазона в реализации протокола DCE/RPC, что может быть использовано злоумышленником, имеющим сетевой доступ к vCenter Server, и потенциально может привести к RCE.

В VMware отмечают, что обходных путей для устранения этого недостатка не существует, кроме как соответствующих обновлений, которые доступны в следующих версиях ПО: VMware vCenter Server 8.0 (8.0U1d или 8.0U2), Сервер VMware vCenter 7.0 (7.0U3o) и VMware Cloud Foundation 5.x и 4.x.

Учитывая критичность уязвимости и отсутствие временных мер по ее смягчению, поставщик также представил патч для vCenter Server 6.7U3, 6.5U3 и VCF 3.x.

Последнее обновление дополнительно устраняет CVE-2023-34056 (оценка CVSS: 4,3), уязвимость частичного раскрытия информации, влияющую на vCenter, которая может позволить злоумышленнику с неадминистративными привилегиями получить доступ к неавторизированным данным.

Как заявляет VMware, ей не известно об использовании ошибок в реальных условиях, но настоятельно рекомендует клиентам действовать оперативно и как можно скорее применить исправления для нейтрализации любых потенциальных угроз.

Вышел PoC для уязвимости Citrix Bleed (CVE-2023-4966), позволяющей захватывать учетные записи на уязвимых устройствах Citrix NetScaler ADC и NetScaler Gateway.

Еще раз напомним, что CVE-2023-4966 - это критичная уязвимость удаленного раскрытия информации, которую Citrix исправила 10 октября без какой-либо уточняющей информации, а 17 октября Mandiant зафиксировала уже первые атаки с ее использованием.

Как мы уже сообщали в начале недели, Citrix вновь обращалась к пользователям NetScaler ADC и Gateway, предупреждая о расширении масштабов эксплуатации уязвимости.

В свою очередь, исследователи Assetnote поделились более подробной информацией об эксплуатации CVE-2023-4966 и опубликовали PoC-эксплойт на GitHub для демонстрации своих выводов и помощи в проверке наличия уязвимости.

Теперь же, когда эксплойт CVE-2023-4966 стал общедоступным, ожидается, что злоумышленники значительно активизируют атаки на устройства Citrix Netscaler для получения первоначального доступа к корпоративным сетям.

Все эти прогнозы уже подтверждают в Shadowserver, сообщая о всплеске попыток эксплуатации после публикации PoC Assetnote.

Поскольку уязвимости этого типа достаточно часто используются для атак с использованием ransomware и кражи данных, системным администраторам настоятельно рекомендуется немедленно установить исправления для устранения уязвимости.