SolarWinds устранила критические уязвуимости в Access Rights Manager (ARM), которые злоумышленники могли использовать для удаленного запуска кода с системными привилегиями.

SolarWinds ARM — это инструмент для управления правами доступа пользователей ИТ-среде, реализующий также интеграцию с Microsoft Active Directory, управление доступом на основе ролей, визуальную обратную связь и многое другое.

Исследователи обнаружили восемь недостатков в решении SolarWinds 22 июня в рамках инициативы Zero Day Initiative (ZDI), три из которых были критическими.

Среди них:

- CVE-2023-35182  (9,8): удаленные злоумышленники, не прошедшие проверку подлинности, могут выполнить произвольный код в контексте системы из-за десериализации ненадежных данных в методе createGlobalServerChannelInternal.

- CVE-2023-35185  (9,8): удаленные злоумышленники, не прошедшие проверку подлинности, могут выполнить произвольный код в контексте SYSTEM из-за отсутствия проверки введенных пользователем путей в методе OpenFile.

- CVE-2023-35187  (9,8): удаленные злоумышленники, не прошедшие проверку подлинности, могут выполнить произвольный код в контексте системы без проверки подлинности из-за отсутствия проверки введенных пользователем путей в методе OpenClientUpdateFile.

Другие исправленные SolarWinds проблемы категорий высокой серьезности, поскольку их можно использовать для получения разрешений или RCE на хосте после аутентификации.

Для решения проблем поставщик представил патч, доступный в версии 2023.2.1 своего Access Rights Manager, а также опубликовал рекомендации с описанием всех восьми уязвимостей и их уровня серьезности по оценке компании.

При этом, кстати, сама компания не оценила ни одну из проблем безопасности как критическую, а присвоила высший рейтинг - 8,8 для ошибок высокой важности.

Вероятно, в Okta остается вакантной должность CISO, и по всей видимости, уже два года подряд, а может и вовсе отсутствует.

Ведь именно за это время компания столкнулась с многочисленными инцидентами безопасности.

Ее кошмарили вымогатели Lapsus$, которые получили доступ к ее административным консолям.

Затем отправленные клиентам Okta пароли (OTP) украла Scatter Swine (ака 0ktapus), которая взломала компанию облачных коммуникаций Twilio.

Подлетела Auth0, являющая поставщиком услуг аутентификации и принадлежащая Okta, когда у нее выхлопали репозитории исходного кода.

Исходники и самой Okta также выкрали после взлома частных репозиториев GitHub компании.

На этот раз злоумышленники взломали систему поддержки Okta с использованием украденных учетных данных.

Как сообщает в компании, злоумышленники получили доступ к файлам, содержащим файлы cookie и токены сеансов, загруженные клиентами в ее систему управления поддержкой.

При этом производственная среда Okta не пострадала, поскольку изолирована от службы поддержки, однако чего не скажешь о клиентах.

Несмотря на то, что Okta еще не разглашает список пострадавших клиентов, некоторые из них успели уже отметиться.

Одним из них оказалась BeyondTrust, которая обнаружила и заблокировала попытку войти в учетную запись администратора Okta 2 октября с использованием файла cookie, украденного из системы поддержки.

Злоумышленник успел выполнить лишь несколько ограниченных действий.

Примечательно, что после немедленного уведомления Okta какой-то внятной оперативной реакции не последовало. Лишь к 19 октября служба безопасности Okta подтвердила нарушение.

Другой жертвой атаки стала Cloudflare, которая задетектила вредоносную активность, связанную со взломом Okta, на своих серверах в среду, 18 октября 2023 года.

Группе реагирования удалось сдержать актора и свести к минимуму воздействие на системы и данные компании.

К настоящему времени компания отозвала токены сеанса, встроенные в общие файлы HAR и поделилась перечнем IOC, включая IP-адреса и информацию User-Agent веб-браузера, связанную с злоумышленниками.

Будем следить за развитием событий, новые жертвы, очевидно - на подходе.

Вьетнамские хакеры снова атакуют Великобританию, США и Индию, только теперь с помощью вредоносного ПО DarkGate.

Из отчета экспертов WithSecure следует, что атаки с DarkGate, были связаны с другими вьетнамскими злоумышленниками, которые использовали небезызвестный стилер Ducktail.

По мнению специалистов, пересечение инструментов и кампаний, связано с особенностями киберпреступного рынка, а рост атак с DarkGate в последние месяцы обусловлен решением автора вредоносного ПО предлагать зловред в аренду (MaaS).

Цепочки атак, распространяющие DarkGate, характеризуются использованием скриптов AutoIt, извлекаемых с помощью Visual Basic и отправляемых через фишинговые письма, сообщения в Skype или Microsoft Teams.

Собственно, выполнение скрипта AutoIt приводит к развертыванию DarkGate.

Однако в последнем случае первоначальным вектором атаки было сообщение LinkedIn, которое перенаправляло жертву на файл, размещенный на Google Диске (метод, который обычно используют злоумышленники Ducktail).

Стоит отметить, что Ducktail - обычный граббер, в то время как DarkGate полноценный RAT с более широкими возможностями.

Не смотря на схожесть тем и приманок для доставки Ducktail и DarkGate, функции финального этапа сильно отличаются.

Более того, вредоносный софт может использоваться не одной группой, а выходить далеко за кластер во Вьетнаме, что, в свою очередь, значительно затрудняет определение истинного объема злонамеренной активности, основываясь только на анализе вредоносного ПО.

Пока в Великобритании обсуждают законопроект по тотальному контролю электронных коммуникаций, в Германии молча читают переписку, по крайней мере - в Jabber.

Случайным образом админам платформы удалось заметить MiTM-атаку, нацеленную на перехват зашифрованного трафика TLS, проходящего через серверы Hetzner и Linode.

Как стало известно в ходе предварительного расследования инцидента, активный перехват длился три месяца с 18 июля по 18 октября и был обнаружен после того, когда истек срок действия одного из сертификатов злоумышленников.

Злоумышленнику удалось выдать несколько SSL/TLS-сертификатов через Let's Encrypt для доменов jabber и xmpp с 18 апреля 2023 года.

Однако перевыпустить TLS-сертификат не удалось, и прокси-сервер MiTM начал обслуживать просроченный сертификат на порту 5222 для домена jabber (Hetzner).

Атака на XMPP-трафик клиента jabber/xmpp подтверждена как минимум с 21 июля 2023 г. по 19 октября 2023 г., возможно (достоверно не подтверждено) с 18 апреля 2023 г., затронуто 100% подключений XMPP STARTTLS к порту 5222 (не 5223).

Учитывая характер перехвата, злоумышленник смог бы выполнить любые действия на стороне пользователя в качестве авторизованной учетной записи, а это означает, что злоумышленник мог загрузить список учетных записей, незашифрованную историю сообщений на стороне сервера, отправлять новые сообщения или изменять их в режиме реального времени.

Коммуникации со сквозным шифрованием OMEMO, OTR или PGP, были защищены от перехвата только в том случае, если обе стороны подтвердили ключи шифрования.

Примечательно, что атака прекратилась вскоре после того, как было начато расследование и стали проводиться сетевые тесты вместе с тикетами в службу поддержки Hetzner и Linode. Также как выяснили исследователи, ни один из серверов платформы не взломан.

Поскольку сеть Hetzner и Linode, судя по всему, была переконфигурирована специально для такого рода атак на IP-адреса службы XMPP, команда Jabber полагает, что перехват был организован спланированной операцией немецких спецслужб.

Как смогли выяснить Fox-IT NCC Group, бэкдор Lua, внедренный в устройства Cisco с использованием пары 0-day в IOS XE (CVE-2023-20198 и CVE-2023-20273), был модифицирован злоумышленником для сокрытия от обнаружения.

Выявить описанную нами вчера аномалию позволило исследование сетевого трафика со скомпрометированных устройств.

Таким образом, на многих устройствах имплант все еще активен, но теперь отвечает только в том случае, если установлен правильный HTTP-заголовок авторизации.

Все это объясняет почему за последние несколько дней количество скомпрометированных устройств резко упало с 40 000 до нескольких сотен, что и привело к предположениям о возможном внесенении актором каких-то скрытых изменений, чтобы скрыть его присутствие.

Тем не менее, Fox-IT полагают, что число скомпрометированных устройств все еще достигает 37 000.

Cisco, со своей стороны, подтвердила изменение поведения зловреда в своих обновленных рекомендациях, поделившись механизмом проверки рабочей станции на наличие имплантата.

В даркнете опять неспокойно.

Банда вымогателей Lockbit атаковала сеть компании Brookfield Global Relocation Services, которая ведет сопровежение канадских военных и дипломатов в ходе их поездок внутри страны и зарубежом.

Инцидент затронул личную информацию канадских госслужащих, масштабы и объемы нарушения не разглашаются.

Данные избирателей самого главного в штатах округа Колумбия теперь продаются на хакерских площадках. Избирком подтвердил утечку полного списка избирателей округа.

Некто Prophet на известном форуме за 700 евро готов поделиться доступом к порталу Meta для взаимодействия с правоохранительными органами по запросам.

19-ти летний хакер DiabloX Phantom взял на себя ответственность за взлом ряда правительственных ресурсов Филиппин и кражу гигабайтов данных из национальных госсистем.

Среди известных жертв его хакерских атак — веб-сайты Палаты представителей Филиппин, базы данных национальной полиции, Управления статистики Филиппин и национальной корпорация медстрахования.

В качестве пруфов он представил необходимые образцы данных.

Главным мотивом столь дерзкого поступка - стало желание продемонстрировать отсутствие внимания местных властей к вопросам ИБ.

Ведь в некоторых случаях доступ был получен благодаря слабым паролям - Admin123, открытым источникам, простейшей социнженерии и неграмотности IT-персонала.

Набирает обороты 7777-Botnet, который включает более чем 16 000 зараженных устройств Интернета вещей и реализует медленные брутфорс-атаки (2-3 попытки в неделю с одного IP) на инфраструктуру Microsoft Azure, нацеленные на руководителей высшего звена.

В число выявленных на данный момент жертв входят две компании из энергетического сектора США, господрядчик Великобритании, британский университет и несколько компаний во Франции.

Как подсказывают нам подписчики, почти нигде и никем не был анонсирован вышедший еще 17 октября бюллетень по безопасности Atlassian.

Уязвимости, о которых сообщается в нем, включают 2 критические и 26 уязвимостей высокой степени опасности, которые были исправлены в новых версиях решений поставщика. 

Среди критических - уже знакомая читателям CVE-2023-22515 с оценкой 10,0, затрагивающая все версии Confluence Data Center и Server и CVE-2019-13990 с 9,8 в Jira Service Management Data Center и Server.

Почти все оставшиеся высокой степени опасности имеют оценку 7,5, кроме двух: CVE-2023-22514 - 7,8, а CVE-2021-22569 - 5,5.

Подробно описывать каждую смысла нет - лучше обратиться к оригиналу.

Отметим лишь, что PoC для недавнего Atlassian Confluence 0-day (CVE-2023-22515) был добавлен в Metasploit после того, как несколько рабочих версий эксплойтов появились в Интернете за несколько недель до этого.

Сама ошибка активно использовалась в дикой природе злоумышленником, отлеживаемым DarkShadow (или Oro0lxy) с 14 сентября 2023 года, еще до ее раскрытия 4 октября.

Лаборатория Касперского продолжает разбор кибершпионского ПО, которое использовалось в масштабной кампании по заражению принадлежащих российским пользователям девайсов iPhone.

В новом отчете по операции «Триангуляция» сделан акцент на структуре spyware и его компонентах, часть из которых, судя по инфографике, будут еще представлены в какой-то перспективе.

Имплантат TriangleDB включает как минимум четыре различных модуля для записи микрофона, извлечения связки ключей iCloud, кражи данных из баз данных SQLite, используемых различными приложениями, и контроля местоположения жертвы.

Как отмечают исследователи, актор смог реализовать беспрецедентную скрытность, максимально тайно собирая конфиденциальную информацию со скомпрометированных устройств.

Ядро структуры атаки представляет собой бэкдор под названием TriangleDB, который развертывается после того, как злоумышленники получают root-права на целевом устройстве iOS, используя CVE-2023-32434, RCE-уязвимость ядра.

Развертыванию имплантата предшествуют два этапа валидации, а именно JavaScript Validator и Binary Validator, которые выполняются для определения того, не связано ли целевое устройство с исследовательской средой.

Отправной точкой цепочки атак является невидимое вложение iMessage, которое получает жертва, запуская цепочку 0-click эксплойтов, предназначенную для скрытного открытия уникального URL, содержащего запутанный JavaScript, а также зашифрованную полезную нагрузку - валидатор JavaScript.

Помимо выполнения различных арифметических операций и проверки наличия Media Source API и WebAssembly, он реализует Canvas Fingerprinting, замыкая желтый треугольник на розовом фоне с помощью WebGL и вычисляя контрольную сумму.

Информация, собранная на этом этапе, передается на удаленный сервер для получения вредоносного ПО следующей стадии - бинарного валидатора, файла Mach-O, непосредственно перед загрузкой TriangleDB.

После запуска он расшифровывает конфигурацию при помощи алгоритма AES. Файл содержит список действий (например, DeleteLogs, DeleteArtifacts), которые должен выполнить валидатор. Причем как для систем iOS, так и для macOS.

После выполнения всех действий валидатор шифрует собранные данные (список процессов, информацию о пользователе и т.д.) и отправляет их на командный сервер, откуда возвращается TriangleDB.

После установления бэкдором связи с C2 и отправки контрольного сигнала, поступают команды на удаление журнала сбоев и файлов базы данных, чтобы скрыть следы цепочки заражения и затруднить возможный анализ.

После удаления логов злоумышленники инициируют ряд команд по периодическому извлечению файлов из каталога private/var/tmp, содержащих информацию о местоположении, связке ключей iCloud, из баз данных SQLite, а также записей с микрофона.

Примечательной особенностью модуля записи с микрофона является его способность приостанавливать запись при включении экрана устройства. А модуль мониторинга местоположения настроен на использование данных GSM для триангуляции местоположения жертвы, когда данные GPS недоступны.

Как отмечают исследователи, злоумышленники показали отличное понимание внутреннего устройства iOS, поскольку в ходе атаки использовались приватные API, что прямо свидетельствует об их кооперации с разработчиками Apple.

При этом обнаруженные артефакты указывают на то, что операция «Триангуляция» (или ее предшественники) была активна как минимум с 2015 года и нацелена не только на iOS, но и на macOS.

Если измерять этапы исследования ЛК пятью стадиями принятия неизбежного - то сейчас пользователи iOS переживают гнев.

͏Нетленка от Vx-underground

Вчера в Канаде стартовал новый этап хакерского поединка Pwn2Own 2023 в Торонто с призовым фондом в 1 000 000 долларов США и акцентом на мобильные устройства и IOT.

В первый же день конкурса ZDI выплатила 438 750 долларов за 23 успешно продемонстрированные уязвимости.

Исследователи дважды взломали Samsung Galaxy S23 и продемонстрировали эксплойты, нацеленные на 0-day в Xiaomi 13 Pro.

На очереди - также заявленные Apple iPhone 14 и Google Pixel 7, за которые в случае успеха причитаются 300 000 и 250 000 долларов в качестве вознаграждения.

Кроме того, похакали принтеры, интеллектуальные колонки, устройствах NAS и камеры от таких поставщиков, как Western Digital, QNAP, Synology, Canon, Lexmark и Sonos, а также устройства Google Pixel Watch и Chromecast.

Причем согласно правилам конкурса Pwn2Own Toronto 2023, на всех целевых устройствах работают последние версии ОС со всеми установленными обновлениями безопасности.

Pentest Limited первые проэксплутировали 0-day во флагманском устройстве Samsung Galaxy S23, воспользовавшись проблемой неправильной проверки ввода, заработав 50 000 долларов.

Также им удалось выполнить свою цепочку из двух ошибок против My Cloud Pro Series PR4100, используя DoS и SSRF, получив за нее 40 000.

Xiaomi 13 Pro пал под натиском Viettel, заработавшей 40 000 долларов, и под атакой NCC Group, которая забрала аналогичную сумму.

Команда STAR Labs SG смогла воспользоваться списком разрешенных входов для взлома Samsung Galaxy S23, заработав 25 000 долларов.

Binary Factory удалось провести атаку с переполнением буфера стека в Synology BC500 и они заработали 30 000 долларов. Позже устройство также хакнула команда Synacktiv за 15 000 долларов.

20 000 долларов ушло исследователю Нгуен Куок Вьет за переполнение буфера на Canon imageCLASS MF753Cdw.

Команде Orca из Sea Security удалось выполнить цепочку из двух ошибок, используя OOB Read и UAF в Sonos Era 100. Итог - 60 000.

QNAP TS-464 поломали за 40 000 долларов исследовали из ECQ, которым удалось выполнить цепочку из трех ошибок, используя SSRF и две уязвимости внедрения, а за 20 000 - Viettel и STAR Labs SG.

PHPHooligans смогла реализовать ошибку повреждения памяти, которая привела к RCE на Lexmark CX331adwe и принесла участникам 20 000.

Подробно с расписанием мероприятия можно ознакомиться здесь. Основные события первого дня Pwn2Own Toronto 2023 с результатами каждого испытания - здесь.

VMware предупреждает об уязвимости уязвимости обхода аутентификации в vRealize Log Insight (VMware Aria Operations for Logs), для которой уже доступен PoC.

Отслеживаемая как CVE-2023-34051, проблема позволяет неаутентифицированным злоумышленникам удаленно выполнять код с правами root при соблюдении определенных условий.

По словам исследователей Horizon3, обнаруживших ошибку, успешная эксплуатация зависит от разрешений на добавление дополнительного интерфейса или статического IP-адреса.

Horizon3 представила технический анализ причин уязвимости с дополнительной информацией о том, как можно использовать CVE-2023-34051 для RCE с правами root на непропатченных устройствах VMware.

Исследователи также опубликовали PoC-эксплойт и список IOC для обнаружения попыток взлома.

Анонсированный эксплойт злоупотребляет подменой IP-адреса и различными конечными точками Thrift RPC для произвольной записи файлов.

Конфигурация этой уязвимости по умолчанию записывает задание cron для создания обратной оболочки, в связи с чем следует изменить файл полезных данных в соответствии со средой.

Чтобы эта атака сработала, злоумышленник должен иметь тот же IP-адрес, что и главный/рабочий узел.

Эта уязвимость по сути также является обходом цепочки критических ошибок, исправленных VMware в январе, и позволяет получить RCE.

Первая (CVE-2022-31706) - это ошибка обхода каталога, вторая (CVE-2022-31704) - нарушение контроля доступа, а третья — ошибка раскрытия информации (CVE-2022-31711).

Злоумышленники могут объединить эти уязвимости (в совокупности отслеживаемые VMware как VMSA-2023-0001) для внедрения вредоносно созданных файлов в ОС устройств, на которых установлено непропатченное ПО Aria Operations for Logs.

Тогда через неделю после исправления VMSA-2023-0001 Horizon3 выпустила PoC-эксплойт, злоупотребляющий различными конечными точками Thrift RPC для достижения произвольной записи файлов.

Эту уязвимость легко использовать, однако она требует от злоумышленника определенной настройки инфраструктуры для обслуживания вредоносной полезной нагрузки.

Кроме того, поскольку этот продукт вряд ли доступен в Интернете, злоумышленник должен будет сначала закрепиться где-то в сети.

Но зачастую злоумышленники используют уязвимости в ранее скомпрометированных сетях для горизонтального перемещения, что делает уязвимые устройства VMware ценными внутренними целями.

Влияние 0-day Cisco IOS XE оказывается еще шире, чем предполагалось.

Rockwell Automation обратилась к клиентам с новостью о том, что активно эксплуатируемая 0-day также затрагивает промышленные коммутаторы Stratix.

Как известно, неизвестные хакеры использовали две 0-day в Cisco IOS XE (CVE-2023-20198 и CVE-2023-20273), для создания учетных записей с высоким уровнем привилегий и развертывания имплантата Lua, который открывает полный контроль над системой.

Инфосек-сообщество обнаружило десятки тысяч скомпрометированных систем вскоре после того, как Cisco сообщила о первой атаке 0-day Cisco IOS XE.

В свою очередь, Rockwell также оперативно предупредила, что ее управляемые промышленные Ethernet-коммутаторы Stratix 5800 и 5200, использующие ОС Cisco IOS XE, подвержены уязвимости CVE-2023-20198.

Но устройства подтверждены влиянию лишь в том случае, если включена функция веб-интерфейса IOS XE.

Поскольку в рекомендации Rockwell вышли до обнаружения второго 0-day, в них ничего не упоминается про CVE-2023-20273, который злоумышленники также использовали для доставки имплантата.

Однако недостаток также затрагивает и ПО IOS XE на коммутаторах Rockwell.

Хотя Rockwell сообщает, что доступных исправлений нет, Cisco все же смогла выпустить исправления, правда уже после их рекомендаций.

Поставщик коммутаторов пообещал поделиться обновлениями по мере поступления дополнительной информации, но отметил, что ему не известно об атаках, нацеленных на его продукты.

На данный момент пока остается неясной конечная цель развернутой кампании.

При том, что злоумышленники продолжают контролировать десятки тысяч маршрутизаторов и коммутаторов Cisco, обновляя свой имплант для персистентности.

Но будем посмотреть.

Исследователи из Лаборатории Касперского сообщают шпионской кампании, нацеленной на ряд российских государственных и промышленных организаций с использованием специального вредоносного ПО для кражи информации, написанного на языке Go.

Впервые вредоносную активность удалось зафиксировать еще в июне 2023 года, а в середине августа специалистами была обнаружена новая версия вредоносного ПО.

Обновленная малварь обеспечивала улучшенное уклонение от средств защиты, что указывает на продолжающуюся системную работу по оптимизации атак.

В ЛК в плане атрибуции не стали тыкать пальцем в небо и пока ограничились лишь индикаторами компрометации, которые должны помочь в защите и предотвращении потенциальных атак.

Вектор атаки незамысловатый и начинается с электронного письма с вредоносным архивом на борту с менее замысловатым названием "finansovyy_kontrol_2023_180529.rar".

Архив содержит PDF-документ, используемый для отвлечения внимания жертвы, а также скрипт NSIS, который извлекает и запускает основную полезную нагрузку с внешнего URL-адреса (fas-gov-ru[.]com).

Малварь прячется в C:\ProgramData\Microsoft\DeviceSync\ как UsrRunVGA.exe.

Причем, со слов специалистов, эта же волна фишинга распространяет еще два бэкдора Netrunner и Dmcserv.

Фактически это одно и то же вредоносное ПО, только с разными конфигурациями C2.

Непосредственно сам скрипт запускает вредоносные исполняемые файлы в скрытом окне и добавляет ссылку в меню "Пуск".

Функциональность бэкдора ограничена шпионскими фишками и в основном сосредоточена на поиске файлов определенных расширений и чтении содержимого буфера обмена.

Все данные отправляемые на C2 шифруются AES, а для того чтобы избежать анализа малварь проверяет среду в которой находится.

Результаты этих проверок отправляются в C2 на начальном этапе заражения и используются для составления профиля жертвы.

Августовский экземпляр вредоносного ПО мало чем отличался от предшественника и имел незначительные изменения, связанные с удалением некоторых "шумных" предварительных проверок и добавление новых фич для кражи файлов.

Например, обновленная версия использует модуль для кражи паролей пользователей из 27 версий различных веб-браузеров и почтового клиента Thunderbird, а также добавлено асимметричное шифрование RSA для защиты обмена командами с C2.

VMware выпустила исправления для критической RCE-уязвимости сервера vCenter Server.

Проблема отслеживается как CVE-2023-34048 и имеет оценку CVSS: 9,8, была обнаружена и раскрыта Григорием Дородновым из Trend Micro Zero Day Initiative.

Она описывается как уязвимость записи за пределами допустимого диапазона в реализации протокола DCE/RPC, что может быть использовано злоумышленником, имеющим сетевой доступ к vCenter Server, и потенциально может привести к RCE.

В VMware отмечают, что обходных путей для устранения этого недостатка не существует, кроме как соответствующих обновлений, которые доступны в следующих версиях ПО: VMware vCenter Server 8.0 (8.0U1d или 8.0U2), Сервер VMware vCenter 7.0 (7.0U3o) и VMware Cloud Foundation 5.x и 4.x.

Учитывая критичность уязвимости и отсутствие временных мер по ее смягчению, поставщик также представил патч для vCenter Server 6.7U3, 6.5U3 и VCF 3.x.

Последнее обновление дополнительно устраняет CVE-2023-34056 (оценка CVSS: 4,3), уязвимость частичного раскрытия информации, влияющую на vCenter, которая может позволить злоумышленнику с неадминистративными привилегиями получить доступ к неавторизированным данным.

Как заявляет VMware, ей не известно об использовании ошибок в реальных условиях, но настоятельно рекомендует клиентам действовать оперативно и как можно скорее применить исправления для нейтрализации любых потенциальных угроз.

Вышел PoC для уязвимости Citrix Bleed (CVE-2023-4966), позволяющей захватывать учетные записи на уязвимых устройствах Citrix NetScaler ADC и NetScaler Gateway.

Еще раз напомним, что CVE-2023-4966 - это критичная уязвимость удаленного раскрытия информации, которую Citrix исправила 10 октября без какой-либо уточняющей информации, а 17 октября Mandiant зафиксировала уже первые атаки с ее использованием.

Как мы уже сообщали в начале недели, Citrix вновь обращалась к пользователям NetScaler ADC и Gateway, предупреждая о расширении масштабов эксплуатации уязвимости.

В свою очередь, исследователи Assetnote поделились более подробной информацией об эксплуатации CVE-2023-4966 и опубликовали PoC-эксплойт на GitHub для демонстрации своих выводов и помощи в проверке наличия уязвимости.

Теперь же, когда эксплойт CVE-2023-4966 стал общедоступным, ожидается, что злоумышленники значительно активизируют атаки на устройства Citrix Netscaler для получения первоначального доступа к корпоративным сетям.

Все эти прогнозы уже подтверждают в Shadowserver, сообщая о всплеске попыток эксплуатации после публикации PoC Assetnote.

Поскольку уязвимости этого типа достаточно часто используются для атак с использованием ransomware и кражи данных, системным администраторам настоятельно рекомендуется немедленно установить исправления для устранения уязвимости.

Второй день хакерского поединка в Pwn2Own в Торонто ознаменовался еще двумя успешными взломами Samsung Galaxy S23.

Первыми, кто провернул свой эксплойт на смартфоне стали исследователи Interrupt Labs, реализовав атаку с проверкой ввода, а уже затем ToChim смогла воспользоваться списком разрешенных входов для компрометации флагмана Samsung.

Обе команды заработали по 25 000 долларов. Причем в третий день соревнований Samsung Galaxy S23 снова станет мишенью для команды Orca из Sea Security.

Помимо этого участники продемонстрировали 13 0-day в принтерах, маршрутизаторах, интеллектуальных колонках, системах наблюдения и устройствах NAS от Canon, Synology, Sonos, TP-Link, QNAP, Wyze, Lexmark и HP, заработав в общей сложности более 362 500 долларов США.

Команде Viettel удалось выполнить запись OOB на Sonos Era 100 и заработать 30 000 долларов, а также еще 20 000 за МФУ HP Color LaserJet Pro 4301fdw.

Крису Анастасио удалось поэксплуатировать ошибки в TP-Link Omada и Lexmark CX331adwe, за что ему отвалили 100 000. Этот же роутер в придачу с QNAP TS-464 взломал стажер из DEVCORE, который был награжден 50 штуками.

Команда Orca из Sea Security смогла провести атаку в отношении Synology RT6600ax и реализовать цепочку из трех ошибок на QNAP TS-464 для SOHO Smashup, заработав таким образом 50 000 долларов.

Sonar смогли выполнить ввод команды в Wyze Cam v3 за 30 000 долларов. ANHTUD удалось провести атаку на переполнение буфера стека в Canon imageCLASS MF753Cdw, оцененную в 10 000.

Таким образом, за первые два дня общая сумма выплат составила $801 250.

Но будем посмотреть, смогут ли участники побить рекорд предыдущего Pwn2Own Vancouver 2023, который достиг 1 035 000 долларов.

Касперские, видимо, намереваются задидосить медийное пространство (в неочевидных целях). Потому ничем иным объяснить тот факт, что они молчали несколько недель, а теперь бомбят каждый день (а иногда и по два раза в сутки) новыми отчетам, мы не можем.

На этот раз исследователи ЛК раскрывают истинную природу сложной мультиплатформенной вредоносной среды с множеством плагинов StripedFly, которая в течение пяти лет ошибочно классифицировалась как рядовой майнер и успела заразить более миллиона систем Windows и Linux.

Выйти на нее удалось в 2022 году после обнаружения в процессе WININIT.EXE последовательностей кода, которые ранее наблюдались во вредоносном ПО Equation.

И, как оказалось, майнер криптовалюты был всего лишь компонентом гораздо более крупного объекта. За весь период он принес лишь 150 долларов. Изучив внедренный код, исследователи определили, что он загружает и выполняет дополнительные файлы, включая сценарии PowerShell, из Bitbucket, GitHub и GitLab.

По оценкам исследователей StripedFly - это нечто впечатляющее: обладает сложными механизмами сокрытия трафика на основе TOR, автообновлением с доверенных платформ, функционалом распространения подобно червям, реализуя специально разработанный эксплойт EternalBlue SMBv1.

Причем судя по временной метке компилятора вредоносного ПО, самая ранняя известная версия StripedFly с эксплойтом EternalBlue датируется апрелем 2016, тогда как публичная утечка информации группой Shadow Brokers произошла в августе 2016.

Последняя полезная нагрузка StripedFly (system.img) включает специальный облегченный сетевой клиент TOR для защиты сетевых коммуникаций от перехвата, возможность отключения протокола SMBv1 и распространения на другие устройства Windows и Linux в сети с помощью SSH и EternalBlue.

Сервер C2 вредоносного ПО находится в сети TOR, и связь с ним включает в себя частые маяковые сообщения, содержащие уникальный идентификатор жертвы.

Для обеспечения устойчивости в системах Windows StripedFly корректирует свое поведение в зависимости от уровня привилегий, с которыми он работает, и наличия PowerShell.

Без PowerShell он создает скрытый файл в каталоге %APPDATA%. В тех случаях, когда PowerShell доступен, он выполняет сценарии для создания запланированных задач или изменения ключей реестра Windows.

В Linux вредоносная ПО принимает имя sd-pam. Он обеспечивает постоянство с помощью служб systemd, файла автозапуска .desktop или путем изменения различных файлов профиля и запуска, таких как /etc/rc*, Profile, bashrc или файлы inittab.

Вредоносная программа работает как монолитный двоичный исполняемый файл с допмодулями, что придает ей эксплуатационную универсальность, часто связанную с операциями APT.

Среди основных из них: хранилище конфигурации, обновление/удаление, обратный прокси, обработчик различных команд, сборщик учетных данных, повторяемые задачи, модуль разведки, SSH-инфектор, инфектор SMBv1 и Monero Mining Module.

Полезная нагрузка вредоносного ПО включает в себя несколько модулей, что позволяет злоумышленнику действовать как APT, как криптомайнер и даже как группа вымогателей. А модуль майнинга является основным фактором, позволявшим вредоносному ПО долгое время избегать обнаружения.

Исследователи также обнаружили отсылки на версию программы-вымогателя ThunderCrypt, которая использует тот же C2 по адресу ghtyqipha6mcwxiz[.]onion:1111. При этом модуль повторяющихся задач как бы также предполагает, что злоумышленники могут быть заинтересованы в получении дохода с некоторых жертв.

Но проведя достаточно кропотливую работу по StripedFly, специалисты ЛК с учетом сложности ПО склоняются к его задействованию в интересах, прежде всего, АРТ.

Крупнейший телекомгигант в Чили Grupo GTD подвергся кибератаке, которая привела к сбоям платформы Infrastructure as a Service (IaaS), нарушив работу онлайн-сервисов, включая центры обработки данных, доступ в интернет, VPN, телевидение и IP-телефонию.

В чилиском CSIRT подтвердили киберинцидент с GTD с использованием ransomware.

Несмотря на то, что официальных заявлений по ходу расследования не поступало, некоторые источники сообщают, что был задействован вариант вредоносного ПО Rorschach, ранее замеченный в атаках на американские компании.

Rorschach (ака BabLock) - относительно новый шифровальщик, обнаруженный Check Point Research в апреле 2023 года.

Исследователи предупреждают, что он является достаточно сложным и очень быстрым, способным зашифровать устройство за 4 минуты 30 секунд.

В атаке на GTD злоумышленники использовали уязвимости DLL sideloading в легитимных исполняемых файлах Trend Micro, BitDefender и Cortex XDR для загрузки вредоносного DLL.

Этот DLL является инжектором Rorschach, который внедряет пейлоад вымогателя "config[.]ini" в процесс Notepad. После загрузки малварь начинает шифрование файлов на устройстве.

В следствии атаки, некоторые государственные службы Чили, подключенные к IaaS, объявили о недоступности своих веб-ресурсов. Пострадали и в Испании, Колумбии и Перу, где компания также оказывала услуги.

Ранее в этом году в Чили от вымогателей также отгребали и военные, Rhysida учили военное ведомство сегментировать сеть на наглядных примерах, теперь видимо пришла очередь Grupo GTD, которая судя по обстоятельствам инцидента - даже не знает о таком.

В третий день Pwn2Own Toronto 2023 команде STEALIEN удалось выполнить атаку на переполнение буфера стека в Wyze Cam v3, что привело к повреждению корневой оболочки. Они зарабатали 15 000 долларов.

Эту же камеру успешно скомпрометировал Рафаль Горил, реализовав цепочку из двух ошибок и заработав тем самым 15 000 долларов.

Команде Orca из Sea Security все же удалось провести атаку на Samsung Galaxy S23. Однако использованная ими ошибка была ранее известна.

А вот Xiaomi 13 Pro так и не смогли похакать ни Orca из Sea Security, ни ToChim, ни Interrupt Labs, ни ANHTUD.

Viettel смогла провести атаку на переполнение буфера стека, что привело к RCE в Lexmark CX331adwe. За это их вознаградили 10 штуками.

Synacktiv смогли выполнить переполнение буфера в куче ядра, вызванное через Wi-Fi и приведшее к RCE, на Wyze Cam v3, за что получили 15 000 долларов.

Сине Хейркхе удалось использовать переполнение буфера стека и отсутствие аутентификации для критически важных функций против гигабитного маршрутизатора TP-Link Omada и Lexmark CX331adwe. Однако одна из использованных им ошибок была известна ранее. 

Таким образом общая сумма призовых выплат составила $938 250, пока не преодолев планку предыдущего рекорда Ванкувера. Но будем еще посмотреть.