VMware предупреждает об уязвимости уязвимости обхода аутентификации в vRealize Log Insight (VMware Aria Operations for Logs), для которой уже доступен PoC.
Отслеживаемая как CVE-2023-34051, проблема позволяет неаутентифицированным злоумышленникам удаленно выполнять код с правами root при соблюдении определенных условий.
По словам исследователей Horizon3, обнаруживших ошибку, успешная эксплуатация зависит от разрешений на добавление дополнительного интерфейса или статического IP-адреса.
Horizon3 представила технический анализ причин уязвимости с дополнительной информацией о том, как можно использовать CVE-2023-34051 для RCE с правами root на непропатченных устройствах VMware.
Исследователи также опубликовали PoC-эксплойт и список IOC для обнаружения попыток взлома.
Анонсированный эксплойт злоупотребляет подменой IP-адреса и различными конечными точками Thrift RPC для произвольной записи файлов.
Конфигурация этой уязвимости по умолчанию записывает задание cron для создания обратной оболочки, в связи с чем следует изменить файл полезных данных в соответствии со средой.
Чтобы эта атака сработала, злоумышленник должен иметь тот же IP-адрес, что и главный/рабочий узел.
Эта уязвимость по сути также является обходом цепочки критических ошибок, исправленных VMware в январе, и позволяет получить RCE.
Первая (CVE-2022-31706) - это ошибка обхода каталога, вторая (CVE-2022-31704) - нарушение контроля доступа, а третья — ошибка раскрытия информации (CVE-2022-31711).
Злоумышленники могут объединить эти уязвимости (в совокупности отслеживаемые VMware как VMSA-2023-0001) для внедрения вредоносно созданных файлов в ОС устройств, на которых установлено непропатченное ПО Aria Operations for Logs.
Тогда через неделю после исправления VMSA-2023-0001 Horizon3 выпустила PoC-эксплойт, злоупотребляющий различными конечными точками Thrift RPC для достижения произвольной записи файлов.
Эту уязвимость легко использовать, однако она требует от злоумышленника определенной настройки инфраструктуры для обслуживания вредоносной полезной нагрузки.
Кроме того, поскольку этот продукт вряд ли доступен в Интернете, злоумышленник должен будет сначала закрепиться где-то в сети.
Но зачастую злоумышленники используют уязвимости в ранее скомпрометированных сетях для горизонтального перемещения, что делает уязвимые устройства VMware ценными внутренними целями.
Отслеживаемая как CVE-2023-34051, проблема позволяет неаутентифицированным злоумышленникам удаленно выполнять код с правами root при соблюдении определенных условий.
По словам исследователей Horizon3, обнаруживших ошибку, успешная эксплуатация зависит от разрешений на добавление дополнительного интерфейса или статического IP-адреса.
Horizon3 представила технический анализ причин уязвимости с дополнительной информацией о том, как можно использовать CVE-2023-34051 для RCE с правами root на непропатченных устройствах VMware.
Исследователи также опубликовали PoC-эксплойт и список IOC для обнаружения попыток взлома.
Анонсированный эксплойт злоупотребляет подменой IP-адреса и различными конечными точками Thrift RPC для произвольной записи файлов.
Конфигурация этой уязвимости по умолчанию записывает задание cron для создания обратной оболочки, в связи с чем следует изменить файл полезных данных в соответствии со средой.
Чтобы эта атака сработала, злоумышленник должен иметь тот же IP-адрес, что и главный/рабочий узел.
Эта уязвимость по сути также является обходом цепочки критических ошибок, исправленных VMware в январе, и позволяет получить RCE.
Первая (CVE-2022-31706) - это ошибка обхода каталога, вторая (CVE-2022-31704) - нарушение контроля доступа, а третья — ошибка раскрытия информации (CVE-2022-31711).
Злоумышленники могут объединить эти уязвимости (в совокупности отслеживаемые VMware как VMSA-2023-0001) для внедрения вредоносно созданных файлов в ОС устройств, на которых установлено непропатченное ПО Aria Operations for Logs.
Тогда через неделю после исправления VMSA-2023-0001 Horizon3 выпустила PoC-эксплойт, злоупотребляющий различными конечными точками Thrift RPC для достижения произвольной записи файлов.
Эту уязвимость легко использовать, однако она требует от злоумышленника определенной настройки инфраструктуры для обслуживания вредоносной полезной нагрузки.
Кроме того, поскольку этот продукт вряд ли доступен в Интернете, злоумышленник должен будет сначала закрепиться где-то в сети.
Но зачастую злоумышленники используют уязвимости в ранее скомпрометированных сетях для горизонтального перемещения, что делает уязвимые устройства VMware ценными внутренними целями.
Влияние 0-day Cisco IOS XE оказывается еще шире, чем предполагалось.
Rockwell Automation обратилась к клиентам с новостью о том, что активно эксплуатируемая 0-day также затрагивает промышленные коммутаторы Stratix.
Как известно, неизвестные хакеры использовали две 0-day в Cisco IOS XE (CVE-2023-20198 и CVE-2023-20273), для создания учетных записей с высоким уровнем привилегий и развертывания имплантата Lua, который открывает полный контроль над системой.
Инфосек-сообщество обнаружило десятки тысяч скомпрометированных систем вскоре после того, как Cisco сообщила о первой атаке 0-day Cisco IOS XE.
В свою очередь, Rockwell также оперативно предупредила, что ее управляемые промышленные Ethernet-коммутаторы Stratix 5800 и 5200, использующие ОС Cisco IOS XE, подвержены уязвимости CVE-2023-20198.
Но устройства подтверждены влиянию лишь в том случае, если включена функция веб-интерфейса IOS XE.
Поскольку в рекомендации Rockwell вышли до обнаружения второго 0-day, в них ничего не упоминается про CVE-2023-20273, который злоумышленники также использовали для доставки имплантата.
Однако недостаток также затрагивает и ПО IOS XE на коммутаторах Rockwell.
Хотя Rockwell сообщает, что доступных исправлений нет, Cisco все же смогла выпустить исправления, правда уже после их рекомендаций.
Поставщик коммутаторов пообещал поделиться обновлениями по мере поступления дополнительной информации, но отметил, что ему не известно об атаках, нацеленных на его продукты.
На данный момент пока остается неясной конечная цель развернутой кампании.
При том, что злоумышленники продолжают контролировать десятки тысяч маршрутизаторов и коммутаторов Cisco, обновляя свой имплант для персистентности.
Но будем посмотреть.
Rockwell Automation обратилась к клиентам с новостью о том, что активно эксплуатируемая 0-day также затрагивает промышленные коммутаторы Stratix.
Как известно, неизвестные хакеры использовали две 0-day в Cisco IOS XE (CVE-2023-20198 и CVE-2023-20273), для создания учетных записей с высоким уровнем привилегий и развертывания имплантата Lua, который открывает полный контроль над системой.
Инфосек-сообщество обнаружило десятки тысяч скомпрометированных систем вскоре после того, как Cisco сообщила о первой атаке 0-day Cisco IOS XE.
В свою очередь, Rockwell также оперативно предупредила, что ее управляемые промышленные Ethernet-коммутаторы Stratix 5800 и 5200, использующие ОС Cisco IOS XE, подвержены уязвимости CVE-2023-20198.
Но устройства подтверждены влиянию лишь в том случае, если включена функция веб-интерфейса IOS XE.
Поскольку в рекомендации Rockwell вышли до обнаружения второго 0-day, в них ничего не упоминается про CVE-2023-20273, который злоумышленники также использовали для доставки имплантата.
Однако недостаток также затрагивает и ПО IOS XE на коммутаторах Rockwell.
Хотя Rockwell сообщает, что доступных исправлений нет, Cisco все же смогла выпустить исправления, правда уже после их рекомендаций.
Поставщик коммутаторов пообещал поделиться обновлениями по мере поступления дополнительной информации, но отметил, что ему не известно об атаках, нацеленных на его продукты.
На данный момент пока остается неясной конечная цель развернутой кампании.
При том, что злоумышленники продолжают контролировать десятки тысяч маршрутизаторов и коммутаторов Cisco, обновляя свой имплант для персистентности.
Но будем посмотреть.
Исследователи из Лаборатории Касперского сообщают шпионской кампании, нацеленной на ряд российских государственных и промышленных организаций с использованием специального вредоносного ПО для кражи информации, написанного на языке Go.
Впервые вредоносную активность удалось зафиксировать еще в июне 2023 года, а в середине августа специалистами была обнаружена новая версия вредоносного ПО.
Обновленная малварь обеспечивала улучшенное уклонение от средств защиты, что указывает на продолжающуюся системную работу по оптимизации атак.
В ЛК в плане атрибуции не стали тыкать пальцем в небо и пока ограничились лишь индикаторами компрометации, которые должны помочь в защите и предотвращении потенциальных атак.
Вектор атаки незамысловатый и начинается с электронного письма с вредоносным архивом на борту с менее замысловатым названием "finansovyy_kontrol_2023_180529.rar".
Архив содержит PDF-документ, используемый для отвлечения внимания жертвы, а также скрипт NSIS, который извлекает и запускает основную полезную нагрузку с внешнего URL-адреса (fas-gov-ru[.]com).
Малварь прячется в C:\ProgramData\Microsoft\DeviceSync\ как UsrRunVGA.exe.
Причем, со слов специалистов, эта же волна фишинга распространяет еще два бэкдора Netrunner и Dmcserv.
Фактически это одно и то же вредоносное ПО, только с разными конфигурациями C2.
Непосредственно сам скрипт запускает вредоносные исполняемые файлы в скрытом окне и добавляет ссылку в меню "Пуск".
Функциональность бэкдора ограничена шпионскими фишками и в основном сосредоточена на поиске файлов определенных расширений и чтении содержимого буфера обмена.
Все данные отправляемые на C2 шифруются AES, а для того чтобы избежать анализа малварь проверяет среду в которой находится.
Результаты этих проверок отправляются в C2 на начальном этапе заражения и используются для составления профиля жертвы.
Августовский экземпляр вредоносного ПО мало чем отличался от предшественника и имел незначительные изменения, связанные с удалением некоторых "шумных" предварительных проверок и добавление новых фич для кражи файлов.
Например, обновленная версия использует модуль для кражи паролей пользователей из 27 версий различных веб-браузеров и почтового клиента Thunderbird, а также добавлено асимметричное шифрование RSA для защиты обмена командами с C2.
Впервые вредоносную активность удалось зафиксировать еще в июне 2023 года, а в середине августа специалистами была обнаружена новая версия вредоносного ПО.
Обновленная малварь обеспечивала улучшенное уклонение от средств защиты, что указывает на продолжающуюся системную работу по оптимизации атак.
В ЛК в плане атрибуции не стали тыкать пальцем в небо и пока ограничились лишь индикаторами компрометации, которые должны помочь в защите и предотвращении потенциальных атак.
Вектор атаки незамысловатый и начинается с электронного письма с вредоносным архивом на борту с менее замысловатым названием "finansovyy_kontrol_2023_180529.rar".
Архив содержит PDF-документ, используемый для отвлечения внимания жертвы, а также скрипт NSIS, который извлекает и запускает основную полезную нагрузку с внешнего URL-адреса (fas-gov-ru[.]com).
Малварь прячется в C:\ProgramData\Microsoft\DeviceSync\ как UsrRunVGA.exe.
Причем, со слов специалистов, эта же волна фишинга распространяет еще два бэкдора Netrunner и Dmcserv.
Фактически это одно и то же вредоносное ПО, только с разными конфигурациями C2.
Непосредственно сам скрипт запускает вредоносные исполняемые файлы в скрытом окне и добавляет ссылку в меню "Пуск".
Функциональность бэкдора ограничена шпионскими фишками и в основном сосредоточена на поиске файлов определенных расширений и чтении содержимого буфера обмена.
Все данные отправляемые на C2 шифруются AES, а для того чтобы избежать анализа малварь проверяет среду в которой находится.
Результаты этих проверок отправляются в C2 на начальном этапе заражения и используются для составления профиля жертвы.
Августовский экземпляр вредоносного ПО мало чем отличался от предшественника и имел незначительные изменения, связанные с удалением некоторых "шумных" предварительных проверок и добавление новых фич для кражи файлов.
Например, обновленная версия использует модуль для кражи паролей пользователей из 27 версий различных веб-браузеров и почтового клиента Thunderbird, а также добавлено асимметричное шифрование RSA для защиты обмена командами с C2.
securelist.ru
Атаки на индустриальный и государственный секторы РФ
Летом 2023 года в ходе исследования инцидента в одной из российских организаций мы обнаружили вредоносное ПО для кражи данных. Аналогичные программы были найдены еще в нескольких государственных и индустриальных организациях России. Представляем анализ этой…
VMware выпустила исправления для критической RCE-уязвимости сервера vCenter Server.
Проблема отслеживается как CVE-2023-34048 и имеет оценку CVSS: 9,8, была обнаружена и раскрыта Григорием Дородновым из Trend Micro Zero Day Initiative.
Она описывается как уязвимость записи за пределами допустимого диапазона в реализации протокола DCE/RPC, что может быть использовано злоумышленником, имеющим сетевой доступ к vCenter Server, и потенциально может привести к RCE.
В VMware отмечают, что обходных путей для устранения этого недостатка не существует, кроме как соответствующих обновлений, которые доступны в следующих версиях ПО: VMware vCenter Server 8.0 (8.0U1d или 8.0U2), Сервер VMware vCenter 7.0 (7.0U3o) и VMware Cloud Foundation 5.x и 4.x.
Учитывая критичность уязвимости и отсутствие временных мер по ее смягчению, поставщик также представил патч для vCenter Server 6.7U3, 6.5U3 и VCF 3.x.
Последнее обновление дополнительно устраняет CVE-2023-34056 (оценка CVSS: 4,3), уязвимость частичного раскрытия информации, влияющую на vCenter, которая может позволить злоумышленнику с неадминистративными привилегиями получить доступ к неавторизированным данным.
Как заявляет VMware, ей не известно об использовании ошибок в реальных условиях, но настоятельно рекомендует клиентам действовать оперативно и как можно скорее применить исправления для нейтрализации любых потенциальных угроз.
Проблема отслеживается как CVE-2023-34048 и имеет оценку CVSS: 9,8, была обнаружена и раскрыта Григорием Дородновым из Trend Micro Zero Day Initiative.
Она описывается как уязвимость записи за пределами допустимого диапазона в реализации протокола DCE/RPC, что может быть использовано злоумышленником, имеющим сетевой доступ к vCenter Server, и потенциально может привести к RCE.
В VMware отмечают, что обходных путей для устранения этого недостатка не существует, кроме как соответствующих обновлений, которые доступны в следующих версиях ПО: VMware vCenter Server 8.0 (8.0U1d или 8.0U2), Сервер VMware vCenter 7.0 (7.0U3o) и VMware Cloud Foundation 5.x и 4.x.
Учитывая критичность уязвимости и отсутствие временных мер по ее смягчению, поставщик также представил патч для vCenter Server 6.7U3, 6.5U3 и VCF 3.x.
Последнее обновление дополнительно устраняет CVE-2023-34056 (оценка CVSS: 4,3), уязвимость частичного раскрытия информации, влияющую на vCenter, которая может позволить злоумышленнику с неадминистративными привилегиями получить доступ к неавторизированным данным.
Как заявляет VMware, ей не известно об использовании ошибок в реальных условиях, но настоятельно рекомендует клиентам действовать оперативно и как можно скорее применить исправления для нейтрализации любых потенциальных угроз.
Вышел PoC для уязвимости Citrix Bleed (CVE-2023-4966), позволяющей захватывать учетные записи на уязвимых устройствах Citrix NetScaler ADC и NetScaler Gateway.
Еще раз напомним, что CVE-2023-4966 - это критичная уязвимость удаленного раскрытия информации, которую Citrix исправила 10 октября без какой-либо уточняющей информации, а 17 октября Mandiant зафиксировала уже первые атаки с ее использованием.
Как мы уже сообщали в начале недели, Citrix вновь обращалась к пользователям NetScaler ADC и Gateway, предупреждая о расширении масштабов эксплуатации уязвимости.
В свою очередь, исследователи Assetnote поделились более подробной информацией об эксплуатации CVE-2023-4966 и опубликовали PoC-эксплойт на GitHub для демонстрации своих выводов и помощи в проверке наличия уязвимости.
Теперь же, когда эксплойт CVE-2023-4966 стал общедоступным, ожидается, что злоумышленники значительно активизируют атаки на устройства Citrix Netscaler для получения первоначального доступа к корпоративным сетям.
Все эти прогнозы уже подтверждают в Shadowserver, сообщая о всплеске попыток эксплуатации после публикации PoC Assetnote.
Поскольку уязвимости этого типа достаточно часто используются для атак с использованием ransomware и кражи данных, системным администраторам настоятельно рекомендуется немедленно установить исправления для устранения уязвимости.
Еще раз напомним, что CVE-2023-4966 - это критичная уязвимость удаленного раскрытия информации, которую Citrix исправила 10 октября без какой-либо уточняющей информации, а 17 октября Mandiant зафиксировала уже первые атаки с ее использованием.
Как мы уже сообщали в начале недели, Citrix вновь обращалась к пользователям NetScaler ADC и Gateway, предупреждая о расширении масштабов эксплуатации уязвимости.
В свою очередь, исследователи Assetnote поделились более подробной информацией об эксплуатации CVE-2023-4966 и опубликовали PoC-эксплойт на GitHub для демонстрации своих выводов и помощи в проверке наличия уязвимости.
Теперь же, когда эксплойт CVE-2023-4966 стал общедоступным, ожидается, что злоумышленники значительно активизируют атаки на устройства Citrix Netscaler для получения первоначального доступа к корпоративным сетям.
Все эти прогнозы уже подтверждают в Shadowserver, сообщая о всплеске попыток эксплуатации после публикации PoC Assetnote.
Поскольку уязвимости этого типа достаточно часто используются для атак с использованием ransomware и кражи данных, системным администраторам настоятельно рекомендуется немедленно установить исправления для устранения уязвимости.
GitHub
exploits/citrix/CVE-2023-4966 at main · assetnote/exploits
Repository to store exploits created by Assetnotes Security Research team - assetnote/exploits
Второй день хакерского поединка в Pwn2Own в Торонто ознаменовался еще двумя успешными взломами Samsung Galaxy S23.
Первыми, кто провернул свой эксплойт на смартфоне стали исследователи Interrupt Labs, реализовав атаку с проверкой ввода, а уже затем ToChim смогла воспользоваться списком разрешенных входов для компрометации флагмана Samsung.
Обе команды заработали по 25 000 долларов. Причем в третий день соревнований Samsung Galaxy S23 снова станет мишенью для команды Orca из Sea Security.
Помимо этого участники продемонстрировали 13 0-day в принтерах, маршрутизаторах, интеллектуальных колонках, системах наблюдения и устройствах NAS от Canon, Synology, Sonos, TP-Link, QNAP, Wyze, Lexmark и HP, заработав в общей сложности более 362 500 долларов США.
Команде Viettel удалось выполнить запись OOB на Sonos Era 100 и заработать 30 000 долларов, а также еще 20 000 за МФУ HP Color LaserJet Pro 4301fdw.
Крису Анастасио удалось поэксплуатировать ошибки в TP-Link Omada и Lexmark CX331adwe, за что ему отвалили 100 000. Этот же роутер в придачу с QNAP TS-464 взломал стажер из DEVCORE, который был награжден 50 штуками.
Команда Orca из Sea Security смогла провести атаку в отношении Synology RT6600ax и реализовать цепочку из трех ошибок на QNAP TS-464 для SOHO Smashup, заработав таким образом 50 000 долларов.
Sonar смогли выполнить ввод команды в Wyze Cam v3 за 30 000 долларов. ANHTUD удалось провести атаку на переполнение буфера стека в Canon imageCLASS MF753Cdw, оцененную в 10 000.
Таким образом, за первые два дня общая сумма выплат составила $801 250.
Но будем посмотреть, смогут ли участники побить рекорд предыдущего Pwn2Own Vancouver 2023, который достиг 1 035 000 долларов.
Первыми, кто провернул свой эксплойт на смартфоне стали исследователи Interrupt Labs, реализовав атаку с проверкой ввода, а уже затем ToChim смогла воспользоваться списком разрешенных входов для компрометации флагмана Samsung.
Обе команды заработали по 25 000 долларов. Причем в третий день соревнований Samsung Galaxy S23 снова станет мишенью для команды Orca из Sea Security.
Помимо этого участники продемонстрировали 13 0-day в принтерах, маршрутизаторах, интеллектуальных колонках, системах наблюдения и устройствах NAS от Canon, Synology, Sonos, TP-Link, QNAP, Wyze, Lexmark и HP, заработав в общей сложности более 362 500 долларов США.
Команде Viettel удалось выполнить запись OOB на Sonos Era 100 и заработать 30 000 долларов, а также еще 20 000 за МФУ HP Color LaserJet Pro 4301fdw.
Крису Анастасио удалось поэксплуатировать ошибки в TP-Link Omada и Lexmark CX331adwe, за что ему отвалили 100 000. Этот же роутер в придачу с QNAP TS-464 взломал стажер из DEVCORE, который был награжден 50 штуками.
Команда Orca из Sea Security смогла провести атаку в отношении Synology RT6600ax и реализовать цепочку из трех ошибок на QNAP TS-464 для SOHO Smashup, заработав таким образом 50 000 долларов.
Sonar смогли выполнить ввод команды в Wyze Cam v3 за 30 000 долларов. ANHTUD удалось провести атаку на переполнение буфера стека в Canon imageCLASS MF753Cdw, оцененную в 10 000.
Таким образом, за первые два дня общая сумма выплат составила $801 250.
Но будем посмотреть, смогут ли участники побить рекорд предыдущего Pwn2Own Vancouver 2023, который достиг 1 035 000 долларов.
Zero Day Initiative
Zero Day Initiative — Pwn2Own Toronto 2023 - Day Two Results
Welcome to Day 2 of Pwn2Own Toronto 2023! We’ll be updating this blog in real time as results become available. We have a full schedule of attempts today, so stay tuned! All times are Eastern (GMT -4:00).
Касперские, видимо, намереваются задидосить медийное пространство (в неочевидных целях). Потому ничем иным объяснить тот факт, что они молчали несколько недель, а теперь бомбят каждый день (а иногда и по два раза в сутки) новыми отчетам, мы не можем.
На этот раз исследователи ЛК раскрывают истинную природу сложной мультиплатформенной вредоносной среды с множеством плагинов StripedFly, которая в течение пяти лет ошибочно классифицировалась как рядовой майнер и успела заразить более миллиона систем Windows и Linux.
Выйти на нее удалось в 2022 году после обнаружения в процессе WININIT.EXE последовательностей кода, которые ранее наблюдались во вредоносном ПО Equation.
И, как оказалось, майнер криптовалюты был всего лишь компонентом гораздо более крупного объекта. За весь период он принес лишь 150 долларов. Изучив внедренный код, исследователи определили, что он загружает и выполняет дополнительные файлы, включая сценарии PowerShell, из Bitbucket, GitHub и GitLab.
По оценкам исследователей StripedFly - это нечто впечатляющее: обладает сложными механизмами сокрытия трафика на основе TOR, автообновлением с доверенных платформ, функционалом распространения подобно червям, реализуя специально разработанный эксплойт EternalBlue SMBv1.
Причем судя по временной метке компилятора вредоносного ПО, самая ранняя известная версия StripedFly с эксплойтом EternalBlue датируется апрелем 2016, тогда как публичная утечка информации группой Shadow Brokers произошла в августе 2016.
Последняя полезная нагрузка StripedFly (system.img) включает специальный облегченный сетевой клиент TOR для защиты сетевых коммуникаций от перехвата, возможность отключения протокола SMBv1 и распространения на другие устройства Windows и Linux в сети с помощью SSH и EternalBlue.
Сервер C2 вредоносного ПО находится в сети TOR, и связь с ним включает в себя частые маяковые сообщения, содержащие уникальный идентификатор жертвы.
Для обеспечения устойчивости в системах Windows StripedFly корректирует свое поведение в зависимости от уровня привилегий, с которыми он работает, и наличия PowerShell.
Без PowerShell он создает скрытый файл в каталоге %APPDATA%. В тех случаях, когда PowerShell доступен, он выполняет сценарии для создания запланированных задач или изменения ключей реестра Windows.
В Linux вредоносная ПО принимает имя sd-pam. Он обеспечивает постоянство с помощью служб systemd, файла автозапуска .desktop или путем изменения различных файлов профиля и запуска, таких как /etc/rc*, Profile, bashrc или файлы inittab.
Вредоносная программа работает как монолитный двоичный исполняемый файл с допмодулями, что придает ей эксплуатационную универсальность, часто связанную с операциями APT.
Среди основных из них: хранилище конфигурации, обновление/удаление, обратный прокси, обработчик различных команд, сборщик учетных данных, повторяемые задачи, модуль разведки, SSH-инфектор, инфектор SMBv1 и Monero Mining Module.
Полезная нагрузка вредоносного ПО включает в себя несколько модулей, что позволяет злоумышленнику действовать как APT, как криптомайнер и даже как группа вымогателей. А модуль майнинга является основным фактором, позволявшим вредоносному ПО долгое время избегать обнаружения.
Исследователи также обнаружили отсылки на версию программы-вымогателя ThunderCrypt, которая использует тот же C2 по адресу ghtyqipha6mcwxiz[.]onion:1111. При этом модуль повторяющихся задач как бы также предполагает, что злоумышленники могут быть заинтересованы в получении дохода с некоторых жертв.
Но проведя достаточно кропотливую работу по StripedFly, специалисты ЛК с учетом сложности ПО склоняются к его задействованию в интересах, прежде всего, АРТ.
На этот раз исследователи ЛК раскрывают истинную природу сложной мультиплатформенной вредоносной среды с множеством плагинов StripedFly, которая в течение пяти лет ошибочно классифицировалась как рядовой майнер и успела заразить более миллиона систем Windows и Linux.
Выйти на нее удалось в 2022 году после обнаружения в процессе WININIT.EXE последовательностей кода, которые ранее наблюдались во вредоносном ПО Equation.
И, как оказалось, майнер криптовалюты был всего лишь компонентом гораздо более крупного объекта. За весь период он принес лишь 150 долларов. Изучив внедренный код, исследователи определили, что он загружает и выполняет дополнительные файлы, включая сценарии PowerShell, из Bitbucket, GitHub и GitLab.
По оценкам исследователей StripedFly - это нечто впечатляющее: обладает сложными механизмами сокрытия трафика на основе TOR, автообновлением с доверенных платформ, функционалом распространения подобно червям, реализуя специально разработанный эксплойт EternalBlue SMBv1.
Причем судя по временной метке компилятора вредоносного ПО, самая ранняя известная версия StripedFly с эксплойтом EternalBlue датируется апрелем 2016, тогда как публичная утечка информации группой Shadow Brokers произошла в августе 2016.
Последняя полезная нагрузка StripedFly (system.img) включает специальный облегченный сетевой клиент TOR для защиты сетевых коммуникаций от перехвата, возможность отключения протокола SMBv1 и распространения на другие устройства Windows и Linux в сети с помощью SSH и EternalBlue.
Сервер C2 вредоносного ПО находится в сети TOR, и связь с ним включает в себя частые маяковые сообщения, содержащие уникальный идентификатор жертвы.
Для обеспечения устойчивости в системах Windows StripedFly корректирует свое поведение в зависимости от уровня привилегий, с которыми он работает, и наличия PowerShell.
Без PowerShell он создает скрытый файл в каталоге %APPDATA%. В тех случаях, когда PowerShell доступен, он выполняет сценарии для создания запланированных задач или изменения ключей реестра Windows.
В Linux вредоносная ПО принимает имя sd-pam. Он обеспечивает постоянство с помощью служб systemd, файла автозапуска .desktop или путем изменения различных файлов профиля и запуска, таких как /etc/rc*, Profile, bashrc или файлы inittab.
Вредоносная программа работает как монолитный двоичный исполняемый файл с допмодулями, что придает ей эксплуатационную универсальность, часто связанную с операциями APT.
Среди основных из них: хранилище конфигурации, обновление/удаление, обратный прокси, обработчик различных команд, сборщик учетных данных, повторяемые задачи, модуль разведки, SSH-инфектор, инфектор SMBv1 и Monero Mining Module.
Полезная нагрузка вредоносного ПО включает в себя несколько модулей, что позволяет злоумышленнику действовать как APT, как криптомайнер и даже как группа вымогателей. А модуль майнинга является основным фактором, позволявшим вредоносному ПО долгое время избегать обнаружения.
Исследователи также обнаружили отсылки на версию программы-вымогателя ThunderCrypt, которая использует тот же C2 по адресу ghtyqipha6mcwxiz[.]onion:1111. При этом модуль повторяющихся задач как бы также предполагает, что злоумышленники могут быть заинтересованы в получении дохода с некоторых жертв.
Но проведя достаточно кропотливую работу по StripedFly, специалисты ЛК с учетом сложности ПО склоняются к его задействованию в интересах, прежде всего, АРТ.
Securelist
StripedFly: Perennially flying under the radar
Nobody would even suspect the mining malware was merely a mask, masquerading behind an intricate modular framework that supports both Linux and Windows. The amount of effort that went into creating the framework is truly remarkable, and its disclosure was…
Крупнейший телекомгигант в Чили Grupo GTD подвергся кибератаке, которая привела к сбоям платформы Infrastructure as a Service (IaaS), нарушив работу онлайн-сервисов, включая центры обработки данных, доступ в интернет, VPN, телевидение и IP-телефонию.
В чилиском CSIRT подтвердили киберинцидент с GTD с использованием ransomware.
Несмотря на то, что официальных заявлений по ходу расследования не поступало, некоторые источники сообщают, что был задействован вариант вредоносного ПО Rorschach, ранее замеченный в атаках на американские компании.
Rorschach (ака BabLock) - относительно новый шифровальщик, обнаруженный Check Point Research в апреле 2023 года.
Исследователи предупреждают, что он является достаточно сложным и очень быстрым, способным зашифровать устройство за 4 минуты 30 секунд.
В атаке на GTD злоумышленники использовали уязвимости DLL sideloading в легитимных исполняемых файлах Trend Micro, BitDefender и Cortex XDR для загрузки вредоносного DLL.
Этот DLL является инжектором Rorschach, который внедряет пейлоад вымогателя "config[.]ini" в процесс Notepad. После загрузки малварь начинает шифрование файлов на устройстве.
В следствии атаки, некоторые государственные службы Чили, подключенные к IaaS, объявили о недоступности своих веб-ресурсов. Пострадали и в Испании, Колумбии и Перу, где компания также оказывала услуги.
Ранее в этом году в Чили от вымогателей также отгребали и военные, Rhysida учили военное ведомство сегментировать сеть на наглядных примерах, теперь видимо пришла очередь Grupo GTD, которая судя по обстоятельствам инцидента - даже не знает о таком.
В чилиском CSIRT подтвердили киберинцидент с GTD с использованием ransomware.
Несмотря на то, что официальных заявлений по ходу расследования не поступало, некоторые источники сообщают, что был задействован вариант вредоносного ПО Rorschach, ранее замеченный в атаках на американские компании.
Rorschach (ака BabLock) - относительно новый шифровальщик, обнаруженный Check Point Research в апреле 2023 года.
Исследователи предупреждают, что он является достаточно сложным и очень быстрым, способным зашифровать устройство за 4 минуты 30 секунд.
В атаке на GTD злоумышленники использовали уязвимости DLL sideloading в легитимных исполняемых файлах Trend Micro, BitDefender и Cortex XDR для загрузки вредоносного DLL.
Этот DLL является инжектором Rorschach, который внедряет пейлоад вымогателя "config[.]ini" в процесс Notepad. После загрузки малварь начинает шифрование файлов на устройстве.
В следствии атаки, некоторые государственные службы Чили, подключенные к IaaS, объявили о недоступности своих веб-ресурсов. Пострадали и в Испании, Колумбии и Перу, где компания также оказывала услуги.
Ранее в этом году в Чили от вымогателей также отгребали и военные, Rhysida учили военное ведомство сегментировать сеть на наглядных примерах, теперь видимо пришла очередь Grupo GTD, которая судя по обстоятельствам инцидента - даже не знает о таком.
Forwarded from Social Engineering
🖖🏻 Приветствую тебя, user_name.• На протяжении многих лет большинство конференций по информационной безопасности не обходятся без докладов по локпикингу. А ведь это правильно, так как изучение того, как взламывать замки, окажется крайне полезным навыком для получения доступа к компаниям, сейфам, офисам, лифтам и другим местам, где будет храниться необходимая информация.
• Стоит ли говорить, что помимо важности данной темы, она еще является очень интересной и увлекательной. Многие из подписчиков SE начали активно развивать навыки взлома, ведь у нас есть весь необходимый материал для старта. Обратите внимание на информацию по хештегу #Lockpicking, сегодня добавим к этому списку еще несколько полезных статей:
• Лучшие карты Wallet Lock Pick для повседневного использования;
• Ломаем замок. 13 эффективных методов.
• Копируем ключи. 6 методов.
• Отвёртка - наше всё.
• 5 способов обойти дверной замок и открыть дверь.
• Кодовый замок, как открыть? Полезные советы.
• Дополнительную информацию ищите в нашей подборке: https://xn--r1a.website/Social_engineering/2343
S.E. ▪️ infosec.work
Please open Telegram to view this post
VIEW IN TELEGRAM
В третий день Pwn2Own Toronto 2023 команде STEALIEN удалось выполнить атаку на переполнение буфера стека в Wyze Cam v3, что привело к повреждению корневой оболочки. Они зарабатали 15 000 долларов.
Эту же камеру успешно скомпрометировал Рафаль Горил, реализовав цепочку из двух ошибок и заработав тем самым 15 000 долларов.
Команде Orca из Sea Security все же удалось провести атаку на Samsung Galaxy S23. Однако использованная ими ошибка была ранее известна.
А вот Xiaomi 13 Pro так и не смогли похакать ни Orca из Sea Security, ни ToChim, ни Interrupt Labs, ни ANHTUD.
Viettel смогла провести атаку на переполнение буфера стека, что привело к RCE в Lexmark CX331adwe. За это их вознаградили 10 штуками.
Synacktiv смогли выполнить переполнение буфера в куче ядра, вызванное через Wi-Fi и приведшее к RCE, на Wyze Cam v3, за что получили 15 000 долларов.
Сине Хейркхе удалось использовать переполнение буфера стека и отсутствие аутентификации для критически важных функций против гигабитного маршрутизатора TP-Link Omada и Lexmark CX331adwe. Однако одна из использованных им ошибок была известна ранее.
Таким образом общая сумма призовых выплат составила $938 250, пока не преодолев планку предыдущего рекорда Ванкувера. Но будем еще посмотреть.
Эту же камеру успешно скомпрометировал Рафаль Горил, реализовав цепочку из двух ошибок и заработав тем самым 15 000 долларов.
Команде Orca из Sea Security все же удалось провести атаку на Samsung Galaxy S23. Однако использованная ими ошибка была ранее известна.
А вот Xiaomi 13 Pro так и не смогли похакать ни Orca из Sea Security, ни ToChim, ни Interrupt Labs, ни ANHTUD.
Viettel смогла провести атаку на переполнение буфера стека, что привело к RCE в Lexmark CX331adwe. За это их вознаградили 10 штуками.
Synacktiv смогли выполнить переполнение буфера в куче ядра, вызванное через Wi-Fi и приведшее к RCE, на Wyze Cam v3, за что получили 15 000 долларов.
Сине Хейркхе удалось использовать переполнение буфера стека и отсутствие аутентификации для критически важных функций против гигабитного маршрутизатора TP-Link Omada и Lexmark CX331adwe. Однако одна из использованных им ошибок была известна ранее.
Таким образом общая сумма призовых выплат составила $938 250, пока не преодолев планку предыдущего рекорда Ванкувера. Но будем еще посмотреть.
Zero Day Initiative
Zero Day Initiative — Pwn2Own Toronto 2023 - Day Three Results
Welcome to Day 3 of Pwn2Own Toronto 2023! We’ll be updating this blog in real time as results become available. We have a full schedule of attempts today, so stay tuned! All times are Eastern (GMT -4:00).
CCleaner подтвердила утечку данных и стала еще одной крупной жертвой кампании Cl0p MOVEit.
Разработчик утилиты с 2,5 млрд. загрузок и 5 млн. установок Piriform Software до настоящего времени принадлежит Avast, которая видимо так и сделала никаких выводов после резонансного инцидента, когда в 2017 году Winnti троянизировали установщик CCleaner.
Сведения об утечке стали появляться после того, как пользователи ПО на форумах начали публиковать письма от поставщика, информирующих о недавнем нарушении.
Как заявляет CCleaner, на нее повлияла 0-day MOVEit Transfer, которая позволила злоумышленницам извлечь данные сотрудников и клиентов, которые уже зарегулируют в даркнете. Затронутыми оказались екоторые личные данные, включая имя, адрес электронной почты и номер телефона.
Тем не менее, разработчик классифицирует нарушение как утечку с низким уровнем риска.
Вообще же, по данным Emsisoft, более 2500 организаций - в основном в США - и более 66 миллионов человек пострадали от атак MOVEit, инициированных картелем вымогателей CL0p.
А если учитывать оценки IBM, которая подсчитала среднюю стоимость утечки данных в 165 долларов США за одну запись, влияние атак Cl0p может составить ошеломляющие 10,7 млрд. долл.
Разработчик утилиты с 2,5 млрд. загрузок и 5 млн. установок Piriform Software до настоящего времени принадлежит Avast, которая видимо так и сделала никаких выводов после резонансного инцидента, когда в 2017 году Winnti троянизировали установщик CCleaner.
Сведения об утечке стали появляться после того, как пользователи ПО на форумах начали публиковать письма от поставщика, информирующих о недавнем нарушении.
Как заявляет CCleaner, на нее повлияла 0-day MOVEit Transfer, которая позволила злоумышленницам извлечь данные сотрудников и клиентов, которые уже зарегулируют в даркнете. Затронутыми оказались екоторые личные данные, включая имя, адрес электронной почты и номер телефона.
Тем не менее, разработчик классифицирует нарушение как утечку с низким уровнем риска.
Вообще же, по данным Emsisoft, более 2500 организаций - в основном в США - и более 66 миллионов человек пострадали от атак MOVEit, инициированных картелем вымогателей CL0p.
А если учитывать оценки IBM, которая подсчитала среднюю стоимость утечки данных в 165 долларов США за одну запись, влияние атак Cl0p может составить ошеломляющие 10,7 млрд. долл.
Telegram
SecAtor
Сегодня мы продолжим разговор о APT 41 aka Double Dragon, работающую на китайское правительство. Сразу скажем, что информации вагон, поэтому подготовка постов занимает достаточно много времени.
Итак, как мы говорили китайская APT 41 весьма деятельна и за…
Итак, как мы говорили китайская APT 41 весьма деятельна и за…
Исследователи из Мичиганского университета, Технологического института Джорджии и Рурского университета в Бохуме раскрыли подробности новой спекулятивной атаки по побочному каналу под названием iLeakage, которая использует Safari для кражи информации и работает на последних устройствах Apple.
iLeakage — это первая демонстрация спекулятивной атаки на процессоры ARM Apple A-серии и M-серии. Ее можно использовать для получения данных с почти идеальной точностью.
По сути, это вневременная атака Spectre, которая обходит стандартную защиту побочных каналов, реализованную всеми поставщиками браузеров.
Злоумышленнику необходимо заманить целевого пользователя Safari на вредоносный сайт, который затем автоматически откроет сайт, с которого будет произведена кража информации. Это возможно, поскольку процесс рендеринга обрабатывает как сайт атаки iLeakage, так и целевой сайт.
Эксперты показали, как можно использовать атаку для получения паролей и другой информации, опубликовав демонстрационные ролики с iLeakage для кражи учетных данных Instagram, автоматически заполняемых менеджером паролей, электронных писем из ящика Gmail и истории просмотров на YouTube.
Свои результаты исследователи направили в Apple еще в сентябре 2022, но производитель пока представил защиту Safari на macOS, которое, по словам исследователей, не включено по умолчанию и работает нестабильно.
Компания намерена продолжить решение проблемы в следующем запланированном выпуске ПО.
С одной стороны, нет никаких доказательств того, что iLeakage использовался в реальных условиях, и провести атаку достаточно сложно, поскольку требует глубоких познаний об атаках по побочным каналам через браузер и реализации самой Safari.
С другой стороны, эксперты отметили, что атаку будет сложно обнаружить, поскольку она запускается в Safari и не оставляет следов в файлах системного журнала.
По словам исследователей, в macOS iLeakage влияет только на Safari.
Однако на iOS атака может сработать и с другими браузерами, включая Chrome, Edge и Firefox.
iLeakage показывает, что Spectre по-прежнему актуален и пригоден для реализации, даже после почти 6 лет трудов по ее смягчению с момента ее обнаружения.
iLeakage — это первая демонстрация спекулятивной атаки на процессоры ARM Apple A-серии и M-серии. Ее можно использовать для получения данных с почти идеальной точностью.
По сути, это вневременная атака Spectre, которая обходит стандартную защиту побочных каналов, реализованную всеми поставщиками браузеров.
Злоумышленнику необходимо заманить целевого пользователя Safari на вредоносный сайт, который затем автоматически откроет сайт, с которого будет произведена кража информации. Это возможно, поскольку процесс рендеринга обрабатывает как сайт атаки iLeakage, так и целевой сайт.
Эксперты показали, как можно использовать атаку для получения паролей и другой информации, опубликовав демонстрационные ролики с iLeakage для кражи учетных данных Instagram, автоматически заполняемых менеджером паролей, электронных писем из ящика Gmail и истории просмотров на YouTube.
Свои результаты исследователи направили в Apple еще в сентябре 2022, но производитель пока представил защиту Safari на macOS, которое, по словам исследователей, не включено по умолчанию и работает нестабильно.
Компания намерена продолжить решение проблемы в следующем запланированном выпуске ПО.
С одной стороны, нет никаких доказательств того, что iLeakage использовался в реальных условиях, и провести атаку достаточно сложно, поскольку требует глубоких познаний об атаках по побочным каналам через браузер и реализации самой Safari.
С другой стороны, эксперты отметили, что атаку будет сложно обнаружить, поскольку она запускается в Safari и не оставляет следов в файлах системного журнала.
По словам исследователей, в macOS iLeakage влияет только на Safari.
Однако на iOS атака может сработать и с другими браузерами, включая Chrome, Edge и Firefox.
iLeakage показывает, что Spectre по-прежнему актуален и пригоден для реализации, даже после почти 6 лет трудов по ее смягчению с момента ее обнаружения.
Microsoft выкатила подробный профиль англоязычного злоумышленника с расширенными возможностями социнженерии, поломавшего не так давно казино Caesars и MGM.
Microsoft отслеживает группу как Octo Tempest, но они также известны как 0ktapus, Scattered Spider и UNC3944.
Хакерская группа, как оказалось, использовала угрозы физического насилия для получения первоначального доступа к сетям жертв, нацеливаясь на администраторов и сотрудников службы поддержки, обладающих достаточными разрешениями.
Исследователи начали обращать внимание на группу в начале 2022 года, которую Cyberscoop связывает с подпольным сообществом под названием The Com, члены которого, предположительно, практиковали подмену SIM-карт, инциденты с обстрелами домов и организации силовых акций в реальной жизни.
К началу 2023 года некоторые члены группы разработали более продвинутый и агрессивный подход и начали монетизировать вымогательство, атакуя телеком, IT и поставщиков MSP.
Атаки Octo Tempest неуклонно развивались и в настоящее время группа перешла от простых схем вымогательства к ransomware, активно привлекая для этих целей AlphV как для кражи, так и для шифрования данных.
Кроме того, расширился и профиль жертв. Ранее в этом году группа атаковала компании игрового, гостиничного, розничного, производственного, технологического и финансового секторов.
Компания привлекла внимание общественности после того, как в прошлом месяце нанесла удар по Caesars Entertainment и MGM Resorts в ходе операции, которая нанесла мощный ущерб их работе, но это была лишь одна из атак в череде инцидентов, затронувших крупные корпорации, включая Okta, Microsoft, Nvidia, Rockstar и Samsung.
По оценкам Microsoft, Octo Tempest - это самая опасная финансово мотивированная и первоклассно организованная группа, демонстрирующая разнообразный набор TTPs для навигации в сложных гибридных средах, извлечения конфиденциальных данных и шифрования данных.
Но больше всего группа известна своей сверхъестественной способностью добиваться первоначального доступа. А мы всегда говорили, что терморектальный криптоанлиз - это самый надежный метод первичной компрометации.
Microsoft отслеживает группу как Octo Tempest, но они также известны как 0ktapus, Scattered Spider и UNC3944.
Хакерская группа, как оказалось, использовала угрозы физического насилия для получения первоначального доступа к сетям жертв, нацеливаясь на администраторов и сотрудников службы поддержки, обладающих достаточными разрешениями.
Исследователи начали обращать внимание на группу в начале 2022 года, которую Cyberscoop связывает с подпольным сообществом под названием The Com, члены которого, предположительно, практиковали подмену SIM-карт, инциденты с обстрелами домов и организации силовых акций в реальной жизни.
К началу 2023 года некоторые члены группы разработали более продвинутый и агрессивный подход и начали монетизировать вымогательство, атакуя телеком, IT и поставщиков MSP.
Атаки Octo Tempest неуклонно развивались и в настоящее время группа перешла от простых схем вымогательства к ransomware, активно привлекая для этих целей AlphV как для кражи, так и для шифрования данных.
Кроме того, расширился и профиль жертв. Ранее в этом году группа атаковала компании игрового, гостиничного, розничного, производственного, технологического и финансового секторов.
Компания привлекла внимание общественности после того, как в прошлом месяце нанесла удар по Caesars Entertainment и MGM Resorts в ходе операции, которая нанесла мощный ущерб их работе, но это была лишь одна из атак в череде инцидентов, затронувших крупные корпорации, включая Okta, Microsoft, Nvidia, Rockstar и Samsung.
По оценкам Microsoft, Octo Tempest - это самая опасная финансово мотивированная и первоклассно организованная группа, демонстрирующая разнообразный набор TTPs для навигации в сложных гибридных средах, извлечения конфиденциальных данных и шифрования данных.
Но больше всего группа известна своей сверхъестественной способностью добиваться первоначального доступа. А мы всегда говорили, что терморектальный криптоанлиз - это самый надежный метод первичной компрометации.
Microsoft News
Octo Tempest crosses boundaries to facilitate extortion, encryption, and destruction
Financially motivated threat actor Octo Tempest's evolving campaigns represent growing concern for organizations across multiple industries.
Positive Technologies обнаружила кампанию по майнингу крипты, в рамках которой было заражено более 250 000 компьютеров Windows в 164 странах посредством пиратского ПО, распространяемого через торрент.
Подавляющее их число (более 200 тысяч) находится в России, Украине, Белоруссии, Узбекистане. В топ-10 стран также вошли Индия, Филиппины, Бразилия, Польша, Германия.
Большинство жертв — некорпоративные (обычные) пользователи, но были и госструктуры, образовательные учреждения, нефтяные и газовые компании, медучреждения, строительные, горнодобывающие компании, ритейл, IT и др.
Вредоносная ПО, получившая название autoit stealer, собирала информацию о компьютере жертвы, устанавливала RMS и майнер XMRig, архивировала содержимое пользовательской папки Telegram (tdata) — и это лишь наиболее деструктивные действия.
ВПО попадала на машину через торрент-файл с сайта topsoft[.]space, который был перерегистрирован в октябре 2022 года на украинском регистраторе.
Помимо легитимного ПО, установщик также содержит вредоносный компонент, который состоит из множества отдельных программ, представляющих собой по большей части скомпилированные AutoIt-скрипты, дополнительно накрытые пакером Themida.
Его реализация не выглядит сложной, сделано в некоторой степени по методичке и включает простые тактики проведения атаки.
ВПО отправляло собранную информацию в телеграм-бот, который выступал в роли С2. Проанализировав все сообщения из этого бота, исследователи обнаружили первого пользователя, который его запустил, — splokk.
После чего нашли его комменты под постами торрент-сайтов в ВК. В другой соцсети у этого же пользователя был ник cdjsend, который был замечен в публикациях постов по теме разработки ВПО.
Особую активность он проявлял на форуме autoit-script[.]ru, посвященном AutoIt, языку программирования для Windows, где и отметился размещением фрагментов кода аналогичных autoit stealer.
Теперь же дальнейшие дискуссии относительно кода разраб будет вести с силовиками. А другие подробности вместе с IOC можно узнать из расширенной версии исследования.
Подавляющее их число (более 200 тысяч) находится в России, Украине, Белоруссии, Узбекистане. В топ-10 стран также вошли Индия, Филиппины, Бразилия, Польша, Германия.
Большинство жертв — некорпоративные (обычные) пользователи, но были и госструктуры, образовательные учреждения, нефтяные и газовые компании, медучреждения, строительные, горнодобывающие компании, ритейл, IT и др.
Вредоносная ПО, получившая название autoit stealer, собирала информацию о компьютере жертвы, устанавливала RMS и майнер XMRig, архивировала содержимое пользовательской папки Telegram (tdata) — и это лишь наиболее деструктивные действия.
ВПО попадала на машину через торрент-файл с сайта topsoft[.]space, который был перерегистрирован в октябре 2022 года на украинском регистраторе.
Помимо легитимного ПО, установщик также содержит вредоносный компонент, который состоит из множества отдельных программ, представляющих собой по большей части скомпилированные AutoIt-скрипты, дополнительно накрытые пакером Themida.
Его реализация не выглядит сложной, сделано в некоторой степени по методичке и включает простые тактики проведения атаки.
ВПО отправляло собранную информацию в телеграм-бот, который выступал в роли С2. Проанализировав все сообщения из этого бота, исследователи обнаружили первого пользователя, который его запустил, — splokk.
После чего нашли его комменты под постами торрент-сайтов в ВК. В другой соцсети у этого же пользователя был ник cdjsend, который был замечен в публикациях постов по теме разработки ВПО.
Особую активность он проявлял на форуме autoit-script[.]ru, посвященном AutoIt, языку программирования для Windows, где и отметился размещением фрагментов кода аналогичных autoit stealer.
Теперь же дальнейшие дискуссии относительно кода разраб будет вести с силовиками. А другие подробности вместе с IOC можно узнать из расширенной версии исследования.
ptsecurity.com
Блог PT ESC Threat Intelligence
В этом блоге вы можете найти информацию об актуальных атаках хакерских группировок по всему миру, разбор их инструментов, информацию об инцидентах, TTP группировок, индикаторы компрометации и названия детектов в наших продуктах
Минутка познавательной географии на канале SecAtor.
Как рассказывает европейская пресса, в Испании задержаны двое жителей города Аликанте, являвшихся ключевыми фигурами в банде вымогателей RagnarLocker. Также в Латвии был арестован еще один член группировки, а лидер ransomware gang былвызван на gang bang задержан в Париже (Франция). В 2021 году двоих участников банды приняли на Украине.
Если верить сообщениям прогрессивных западных инфосек журналистов и экспертов за последние пару лет - все это Россия.
Как рассказывает европейская пресса, в Испании задержаны двое жителей города Аликанте, являвшихся ключевыми фигурами в банде вымогателей RagnarLocker. Также в Латвии был арестован еще один член группировки, а лидер ransomware gang был
Если верить сообщениям прогрессивных западных инфосек журналистов и экспертов за последние пару лет - все это Россия.
Euro Weekly News
Alicante Hackers Targeted 168 Companies Around The World
A multi-national police operation coordinated by Europol has seen a major ransomware gang busted, with two of the main suspects arrested in Alicante. In a sweeping move against cybercrime…
͏Один из крупнейших в мире производителей авиационной, космической и военной техники с доходом в 66 млрд. долл. и штатом в 150 000 сотрудников вчера попал на DLS банды вымогателей Lockbit.
Если Вы еще не догадались, то жертвой оказалась Boeing, которая помимо коммерческих проектов, реализует приличный объем госзаказов в сфере обороны и космоса.
Представители Lockbit пока не разглашают каких-либо подробностей атаки на Boeing, включая объем и характера украденных данных.
Как они отмечают, отработал одних из операторов, который смог реализовать доступ посредством неназванного 0-day.
Банда обещает слить внушительный объем конфиденциальных данных, если компания не свяжется с группой до 2 ноября. Однако до этого времени не будут представлять списки или образцы.
Причем, как исследователи заметили, что большинству жертв Lockbit дает 10 дней (или больше) на начало переговоров.
Несмотря на громкие заявления, многие исследователи полагают, что за последние полгода репутация Lockbit изрядно подпортилась и в некоторых случая заявленные на DLS украденные данные не публиковались.
Однако учитывая статус новой жертвы - определенные козыри у банды однозначно есть.
Но будем посмотреть.
Если Вы еще не догадались, то жертвой оказалась Boeing, которая помимо коммерческих проектов, реализует приличный объем госзаказов в сфере обороны и космоса.
Представители Lockbit пока не разглашают каких-либо подробностей атаки на Boeing, включая объем и характера украденных данных.
Как они отмечают, отработал одних из операторов, который смог реализовать доступ посредством неназванного 0-day.
Банда обещает слить внушительный объем конфиденциальных данных, если компания не свяжется с группой до 2 ноября. Однако до этого времени не будут представлять списки или образцы.
Причем, как исследователи заметили, что большинству жертв Lockbit дает 10 дней (или больше) на начало переговоров.
Несмотря на громкие заявления, многие исследователи полагают, что за последние полгода репутация Lockbit изрядно подпортилась и в некоторых случая заявленные на DLS украденные данные не публиковались.
Однако учитывая статус новой жертвы - определенные козыри у банды однозначно есть.
Но будем посмотреть.
Организованное Trend Micro Zero Day Initiative соревнование хакеров Pwn2Own в Торонто 2023 завершилось: исследователи заработали 1 038 500 долларов за 58 0-day эксплойтов (и множество столкновений с ошибками), нацеленных на мобильные устройства и устройства IoT.
Напомним, что среди основных целей хакеров были представлены: мобильные телефоны (Apple iPhone 14, Google Pixel 7, Samsung Galaxy S23 и Xiaomi 13 Pro), принтеры, беспроводные маршрутизаторы, устройства NAS, умные дома, системы наблюдения и различные интеллектуальные устройства, а также Google Pixel Watch и Chromecast.
За все гетры дня ни одна команда не попыталась взломать Apple iPhone 14 и Google Pixel 7, но зато четыре раза поломали полностью исправленный Samsung Galaxy S23.
Команда Pentest Limited первой продемонстрировала 0-day в Samsung Galaxy S23, воспользовавшись слабостью неправильной проверки ввода для обеспечения выполнения кода, заработав 50 000 долларов.
Далее STAR Labs SG использовала список разрешенных входных данных для взлома флагмана Samsung в первый день, заработав 25 000 долларов.
Исследователи из Interrupt Labs и команды ToChim также взломали Galaxy во второй день соревнований, воспользовавшись списком разрешенных входных данных и еще одной уязвимостью неправильной проверки ввода.
По итогу всех этапов Viettel стала победителем и заработала $180 000 (30 очков Master of Pwn).
За ними следуют Team Orca из Sea Security с $116 250 (17,25 балла), DEVCORE Intern и Interrupt Labs (каждый с $50 000 и 10 очками).
Исследователи успешно продемонстрировали эксплойты, нацеленные на 58 0-day в устройствах от различных производителей, включая Xiaomi, Western Digital, Synology, Canon, Lexmark, Sonos, TP-Link, QNAP, Wyze, Lexmark и HP.
Теперь после демонстрации всех уязвимостей на Pwn2Own, у поставщиков есть 120 дней для выпуска исправлений, прежде чем ZDI публично раскроет их.
Как мы и ожидали, рекорд предыдущего состязания Pwn2Own Vancouver 2023, который составил $1 035 000, был побит на 3 500 зеленых (если не принимать в расчет Tesla Model 3, отправившийся одной из команд в качестве приза).
Но если оценивать по числу раскрытых уязвимостей прошлый результат (27 0-day) можно даже не сравнивать.
Напомним, что среди основных целей хакеров были представлены: мобильные телефоны (Apple iPhone 14, Google Pixel 7, Samsung Galaxy S23 и Xiaomi 13 Pro), принтеры, беспроводные маршрутизаторы, устройства NAS, умные дома, системы наблюдения и различные интеллектуальные устройства, а также Google Pixel Watch и Chromecast.
За все гетры дня ни одна команда не попыталась взломать Apple iPhone 14 и Google Pixel 7, но зато четыре раза поломали полностью исправленный Samsung Galaxy S23.
Команда Pentest Limited первой продемонстрировала 0-day в Samsung Galaxy S23, воспользовавшись слабостью неправильной проверки ввода для обеспечения выполнения кода, заработав 50 000 долларов.
Далее STAR Labs SG использовала список разрешенных входных данных для взлома флагмана Samsung в первый день, заработав 25 000 долларов.
Исследователи из Interrupt Labs и команды ToChim также взломали Galaxy во второй день соревнований, воспользовавшись списком разрешенных входных данных и еще одной уязвимостью неправильной проверки ввода.
По итогу всех этапов Viettel стала победителем и заработала $180 000 (30 очков Master of Pwn).
За ними следуют Team Orca из Sea Security с $116 250 (17,25 балла), DEVCORE Intern и Interrupt Labs (каждый с $50 000 и 10 очками).
Исследователи успешно продемонстрировали эксплойты, нацеленные на 58 0-day в устройствах от различных производителей, включая Xiaomi, Western Digital, Synology, Canon, Lexmark, Sonos, TP-Link, QNAP, Wyze, Lexmark и HP.
Теперь после демонстрации всех уязвимостей на Pwn2Own, у поставщиков есть 120 дней для выпуска исправлений, прежде чем ZDI публично раскроет их.
Как мы и ожидали, рекорд предыдущего состязания Pwn2Own Vancouver 2023, который составил $1 035 000, был побит на 3 500 зеленых (если не принимать в расчет Tesla Model 3, отправившийся одной из команд в качестве приза).
Но если оценивать по числу раскрытых уязвимостей прошлый результат (27 0-day) можно даже не сравнивать.
Zero Day Initiative
Zero Day Initiative — Pwn2Own Toronto 2023 - Day Four Results
The contest has wrapped, and we awarded $1,038,500 during the event for 58 unique 0-days. These bugs have been disclosed to the vendors, who now have 90 days to produce a patch. Congratulations to Team Viettel for winning Master of Pwn with $180,000 and 30…
Ubiquiti выпустила обновление безопасности для исправления критической уязвимости в UniFi, программном обеспечении для управления шлюзами, коммутаторами и точками беспроводного доступа компании.
Уязвимость, отслеживаемая как CVE-2023-41721, позволяет злоумышленникам получить доступ к данным конфигурации устройства. Ошибка получила максимальный рейтинг серьезности - 10/10.
Выявленные в UDM, UDM-PRO, UDM-SE, UDR и UDW проблемы позволяют атакующему менять конфигурацию сети.
Устройства Ubiquiti, на которых включено автоматическое обновление, уже исправлены, а остальным следует обновиться как можно скорее до версии 7.5.187 или более поздней.
Уязвимость, отслеживаемая как CVE-2023-41721, позволяет злоумышленникам получить доступ к данным конфигурации устройства. Ошибка получила максимальный рейтинг серьезности - 10/10.
Выявленные в UDM, UDM-PRO, UDM-SE, UDR и UDW проблемы позволяют атакующему менять конфигурацию сети.
Устройства Ubiquiti, на которых включено автоматическое обновление, уже исправлены, а остальным следует обновиться как можно скорее до версии 7.5.187 или более поздней.
cve.mitre.org
CVE -
CVE-2023-41721
CVE-2023-41721
The mission of the CVE® Program is to identify, define, and catalog publicly disclosed cybersecurity vulnerabilities.
В контроллере NGINX для Kubernetes обнаружены три неисправленные уязвимости высокой серьезности, которые злоумышленник может использовать для кражи секретных учетных данных из кластера.
Среди них:
- CVE-2022-4886 (оценка CVSS: 8,8): обход очистки пути Ingress-nginx для получения учетных данных контроллера Ingress-nginx;
- CVE-2023-5043 (оценка CVSS: 7,6): внедрение аннотации Ingress-nginx вызывает выполнение произвольной команды.
- CVE-2023-5044 (оценка CVSS: 7,6): внедрение кода через аннотацию nginx.ingress.kubernetes[.io]/permanent-redirect.
Уязвимости позволяет злоумышленнику, который может контролировать конфигурацию объекта Ingress, украсть секретные учетные данные из кластера.
CVE-2022-4886 из-за отсутствия проверки в поле «spec.rules[].http.paths[].path» позволяет злоумышленнику, имеющему доступ к Ingress, скачивать учетные данные API Kubernetes из контроллера входящего трафика.
В объекте Ingress оператор может определить, какой входящий путь HTTP направляется на какой внутренний путь.
Уязвимое приложение не проверяет должным образом достоверность внутреннего пути и может указывать на внутренний файл, который содержит токен учетной записи службы для аутентификации клиента на сервере API.
В отсутствие исправлений разработчики ПО выпустили меры по смягчению последствий, которые включают в себя активацию опции «strict-validate-path-type» и установку флага --enable-annotation-validation, чтобы предотвратить создание объектов Ingress с недопустимыми символами и ввести дополнительные ограничения.
В ARMO заявили, что обновление NGINX до версии 1.19, наряду с добавлением конфигурации командной строки «--enable-annotation-validation», устраняет CVE-2023-5043 и CVE-2023-5044.
Среди них:
- CVE-2022-4886 (оценка CVSS: 8,8): обход очистки пути Ingress-nginx для получения учетных данных контроллера Ingress-nginx;
- CVE-2023-5043 (оценка CVSS: 7,6): внедрение аннотации Ingress-nginx вызывает выполнение произвольной команды.
- CVE-2023-5044 (оценка CVSS: 7,6): внедрение кода через аннотацию nginx.ingress.kubernetes[.io]/permanent-redirect.
Уязвимости позволяет злоумышленнику, который может контролировать конфигурацию объекта Ingress, украсть секретные учетные данные из кластера.
CVE-2022-4886 из-за отсутствия проверки в поле «spec.rules[].http.paths[].path» позволяет злоумышленнику, имеющему доступ к Ingress, скачивать учетные данные API Kubernetes из контроллера входящего трафика.
В объекте Ingress оператор может определить, какой входящий путь HTTP направляется на какой внутренний путь.
Уязвимое приложение не проверяет должным образом достоверность внутреннего пути и может указывать на внутренний файл, который содержит токен учетной записи службы для аутентификации клиента на сервере API.
В отсутствие исправлений разработчики ПО выпустили меры по смягчению последствий, которые включают в себя активацию опции «strict-validate-path-type» и установку флага --enable-annotation-validation, чтобы предотвратить создание объектов Ingress с недопустимыми символами и ввести дополнительные ограничения.
В ARMO заявили, что обновление NGINX до версии 1.19, наряду с добавлением конфигурации командной строки «--enable-annotation-validation», устраняет CVE-2023-5043 и CVE-2023-5044.
Nginx
About
Исследователи Лаборатории Касперского раскрывают новую кампанию Lazarus с использованием вредоносного ПО SIGNBT, нацеленную на поставщиков программного обеспечения в период с марта по август 2023 года.
Обнаружить удалось после того, как северокорейские хакеры взламывали одного и того же разработчика, умело апеллируя уязвимостями в ПО, причем несмотря на то, что жертва реализовала множество исправлений и предупреждений.
Вероятно, Lazarus стремились получить доступ к исходному коду в расчете на проведение атаки на цепочку поставок.
Атака была обнаружена ЛК в июле 2023 года. В отчете упоминается, что Lazarus был нацелен на программное обеспечение безопасности, используемое для шифрования веб-коммуникаций. Однако точный вектор атаки, которым воспользовались хакеры, остается неизвестным.
Эксплуатация привела к развертыванию вредоносного ПО SIGNBT вместе с шелл-кодом, используемым для внедрения полезной нагрузки в память для скрытого выполнения.
Постоянство обеспечивалось путем добавления вредоносной DLL («ualapi.dll») в автозагрузку, которая должна была выполняться с помощью «spoolsv.exe», а также внесения изменений в реестр Windows.
Вредоносный файл DLL выполняет проверку идентификатора жертвы перед расшифровкой и загрузкой полезных данных SIGNBT из пути локальной файловой системы, чтобы гарантировать распространение заражения на намеченные цели.
SIGNBT получил свое название в виду отдельных строк, которые он использует для связи с C2, отправки информации о системе и получения команд для выполнения, среди которых: CCBrush, CCList, CCComboBox, CCButton и CCBitmap.
SIGNBT также может получать дополнительные полезные данные от C2 и развертывать их на хосте, обеспечивая Lazarus эксплуатационную универсальность.
Специалисты ЛК наблюдали, как Lazarus использовала эту функцию на SIGNBT для загрузки инструментов сброса учетных данных и вредоносного ПО LPEClient на скомпрометированные системы.
LPEClient сам по себе является похитителем информации, который, по словам ресерчеров, в своих последних версиях демонстрирует передовые методы для повышения своей скрытности и предотвращения обнаружения, включая отключение перехвата системных вызовов в пользовательском режиме и восстановление разделов памяти системной библиотеки.
В ЛК полагают, что Lazarus использовала LPEClient и в других кампаниях, которые проводились в 2023 году, хотя на более ранних этапах заражения они использовали вредоносное ПО для внедрения других полезных данных.
В целом Lazarus остается одним из наиболее активных и опасных субъектов угроз, реализуя широкий спектр атак в различных регионах и отраслях в соответствии с национальными стратегическими интересами.
Их недавняя активность подчеркивает изощренную тактику и последовательные цели, еще раз акцентируя внимание на необходимость системного обновления ПО, уязвимости в котором открывают широкие возможности для первоначальной компрометации.
Обнаружить удалось после того, как северокорейские хакеры взламывали одного и того же разработчика, умело апеллируя уязвимостями в ПО, причем несмотря на то, что жертва реализовала множество исправлений и предупреждений.
Вероятно, Lazarus стремились получить доступ к исходному коду в расчете на проведение атаки на цепочку поставок.
Атака была обнаружена ЛК в июле 2023 года. В отчете упоминается, что Lazarus был нацелен на программное обеспечение безопасности, используемое для шифрования веб-коммуникаций. Однако точный вектор атаки, которым воспользовались хакеры, остается неизвестным.
Эксплуатация привела к развертыванию вредоносного ПО SIGNBT вместе с шелл-кодом, используемым для внедрения полезной нагрузки в память для скрытого выполнения.
Постоянство обеспечивалось путем добавления вредоносной DLL («ualapi.dll») в автозагрузку, которая должна была выполняться с помощью «spoolsv.exe», а также внесения изменений в реестр Windows.
Вредоносный файл DLL выполняет проверку идентификатора жертвы перед расшифровкой и загрузкой полезных данных SIGNBT из пути локальной файловой системы, чтобы гарантировать распространение заражения на намеченные цели.
SIGNBT получил свое название в виду отдельных строк, которые он использует для связи с C2, отправки информации о системе и получения команд для выполнения, среди которых: CCBrush, CCList, CCComboBox, CCButton и CCBitmap.
SIGNBT также может получать дополнительные полезные данные от C2 и развертывать их на хосте, обеспечивая Lazarus эксплуатационную универсальность.
Специалисты ЛК наблюдали, как Lazarus использовала эту функцию на SIGNBT для загрузки инструментов сброса учетных данных и вредоносного ПО LPEClient на скомпрометированные системы.
LPEClient сам по себе является похитителем информации, который, по словам ресерчеров, в своих последних версиях демонстрирует передовые методы для повышения своей скрытности и предотвращения обнаружения, включая отключение перехвата системных вызовов в пользовательском режиме и восстановление разделов памяти системной библиотеки.
В ЛК полагают, что Lazarus использовала LPEClient и в других кампаниях, которые проводились в 2023 году, хотя на более ранних этапах заражения они использовали вредоносное ПО для внедрения других полезных данных.
В целом Lazarus остается одним из наиболее активных и опасных субъектов угроз, реализуя широкий спектр атак в различных регионах и отраслях в соответствии с национальными стратегическими интересами.
Их недавняя активность подчеркивает изощренную тактику и последовательные цели, еще раз акцентируя внимание на необходимость системного обновления ПО, уязвимости в котором открывают широкие возможности для первоначальной компрометации.
Securelist
A cascade of compromise: unveiling Lazarus' new campaign
We unveil a Lazarus campaign exploiting security company products and examine its intricate connections with other campaigns