Очередной mayday у пользователей WordPress с плагином Backup Migration, где обнаружена критическая RCE уязвимость CVE-2023-6553 c рейтингом CVSS 9,8.
Уязвимость позволяет неаутентифицированным злоумышленникам захватывать целевые сайты, получая удаленное выполнение кода через внедрение PHP посредством файла /includes/backup-heart.php.
Баг обнаружили специалисты Nex Team, которые немедленно сообщили о проблеме в Wordfence, а они, в свою очередь, уведомили о проблеме разработчиков плагина.
Уязвимость затрагивает все версии плагина до Backup Migration 1.3.6 включительно, и злоумышленники могут с легкостью эксплуатировать ее без взаимодействия с пользователем.
Не смотря на достаточно оперативный выпуск патча, под угрозой до сих пор остаются владельцы почти 50 000 сайтов на WordPress.
Специалисты рекомендуют немедленно обновить плагин Backup Migration, а также сделать резервную копию данных сайта и поменять учетные данные для входа в WordPress.
Уязвимость позволяет неаутентифицированным злоумышленникам захватывать целевые сайты, получая удаленное выполнение кода через внедрение PHP посредством файла /includes/backup-heart.php.
Баг обнаружили специалисты Nex Team, которые немедленно сообщили о проблеме в Wordfence, а они, в свою очередь, уведомили о проблеме разработчиков плагина.
Уязвимость затрагивает все версии плагина до Backup Migration 1.3.6 включительно, и злоумышленники могут с легкостью эксплуатировать ее без взаимодействия с пользователем.
Не смотря на достаточно оперативный выпуск патча, под угрозой до сих пор остаются владельцы почти 50 000 сайтов на WordPress.
Специалисты рекомендуют немедленно обновить плагин Backup Migration, а также сделать резервную копию данных сайта и поменять учетные данные для входа в WordPress.
GBHackers Security | #1 Globally Trusted Cyber Security News Platform
WordPress Backup Migration Plugin Flaw Exposes 90K+ Websites
The WordPress Backup Migration Plugin has detected a critical remote code execution exposed more than 90,000 websites to attack in Wordfence.
͏Исследователи SonarCloud обнаружили уязвимости в pfSense, которые в случае объединения в цепочку позволяют злоумышленникам выполнять RCE на устройстве.
pfSense — это популярное ПО с открытым исходным кодом, реализующее функционал брандмауэра/маршрутизатора с поддержкой широого спектра возможностей, доступных коммерческим аналогам.
Уязвимости отслеживаются как CVE-2023-42325 (XSS), CVE-2023-42327 (XSS) и CVE-2023-42326 (внедрение команд) и затрагивают pfSense 2.7.0, pfSense Plus 23.05.01 (и старше).
Если для эксплуатации XSS-ошибок требуются действия пользователя на стороне жертвы, то недостаток внедрения команд в этом плане является более серьезной проблемой (оценка CVSS: 8,8).
Уязвимости в веб-интерфейсе pfSense обусловлены созданием команд оболочки на основе предоставленных пользователем данных для настройки сетевых интерфейсов без надлежащей проверки.
В частности, параметр сетевого интерфейса «gifif» не проверяется на наличие безопасных значений, что позволяет злоумышленникам вводить в него допкоманды, приводя к их выполнению с привилегиями root.
Для полноценной работы эксплойта злоумышленнику необходим доступ к учетной записи с разрешениями на редактирование интерфейса, что достигается за счет эксплуатации других уязвимостей.
При этом CVE-2023-42325 или CVE-2023-42327 позволяют обеспечить выполнение вредоносного JavaScript в браузере аутентифицированного пользователя и получить контроль над сеансом pfSense.
Netgate была уведомлена о проблемах 3 июля 2023 года и представила исправления в рамках pfSense Plus 23.09 и pfSense CE 2.7.1 еще ноябре.
Однако даже спустя месяц после этого, почти 1450 серверов pfSense (92,4% всех доступных в сети) остаются уязвимыми для атак, о чем предупреждают исследователи, основываясь на статистике Shodan.
Причем, согласно данным сканирования, Россия по этому показателю занимает третье место с почти сотней дырявых pfSense.
Безусловно, для компрометации злоумышленнику необходимо для начала будет успешно отработать XSS-уязвимости, но столь значительное число уязвимых конечных точек создает значительную поверхность атаки.
pfSense — это популярное ПО с открытым исходным кодом, реализующее функционал брандмауэра/маршрутизатора с поддержкой широого спектра возможностей, доступных коммерческим аналогам.
Уязвимости отслеживаются как CVE-2023-42325 (XSS), CVE-2023-42327 (XSS) и CVE-2023-42326 (внедрение команд) и затрагивают pfSense 2.7.0, pfSense Plus 23.05.01 (и старше).
Если для эксплуатации XSS-ошибок требуются действия пользователя на стороне жертвы, то недостаток внедрения команд в этом плане является более серьезной проблемой (оценка CVSS: 8,8).
Уязвимости в веб-интерфейсе pfSense обусловлены созданием команд оболочки на основе предоставленных пользователем данных для настройки сетевых интерфейсов без надлежащей проверки.
В частности, параметр сетевого интерфейса «gifif» не проверяется на наличие безопасных значений, что позволяет злоумышленникам вводить в него допкоманды, приводя к их выполнению с привилегиями root.
Для полноценной работы эксплойта злоумышленнику необходим доступ к учетной записи с разрешениями на редактирование интерфейса, что достигается за счет эксплуатации других уязвимостей.
При этом CVE-2023-42325 или CVE-2023-42327 позволяют обеспечить выполнение вредоносного JavaScript в браузере аутентифицированного пользователя и получить контроль над сеансом pfSense.
Netgate была уведомлена о проблемах 3 июля 2023 года и представила исправления в рамках pfSense Plus 23.09 и pfSense CE 2.7.1 еще ноябре.
Однако даже спустя месяц после этого, почти 1450 серверов pfSense (92,4% всех доступных в сети) остаются уязвимыми для атак, о чем предупреждают исследователи, основываясь на статистике Shodan.
Причем, согласно данным сканирования, Россия по этому показателю занимает третье место с почти сотней дырявых pfSense.
Безусловно, для компрометации злоумышленнику необходимо для начала будет успешно отработать XSS-уязвимости, но столь значительное число уязвимых конечных точек создает значительную поверхность атаки.
Microsoft выпустила декабрьский PatchTuesday с исправлением 34 уязвимостей, включая 10 - связанных с повышением привилегий, 8 - RCE, 6 - раскрытием информации, 5 - DoS, 5 - спуфингом, а также одну 0-day.
Из восьми исправленных RCE Microsoft оценила только три как критические.
Всего же в этой категории было закрыто четыре: 1 - в Power Platform Connector (Spoofing), 2 - в Internet Connection Sharing (RCE) и 1 - в Windows MSHTML (RCE).
Помимо указанных 34 ошибок 8 - исправлено в Microsoft Edge.
Упомянутая 0-day представляет собой общеизвестную проблему спекулятивного исполнения AMD.
CVE-2023-20588 была обнаружена в августе 2023 года, однако AMD так и не предоставила никаких исправлений, кроме рекомендаций по мерами для ее устранения, считая потенциальное воздействие этой уязвимости незначительным.
Пользователям Windows также настоятельно рекомендуется обратить особое внимание на CVE-2023-36019, критическую ошибку спуфинга в Microsoft Power Platform Connector.
Проблема имеет оценку серьезности CVSS 9,6 из 10 и может быть использована через вредоносную ссылку, реализуя выполнение вредоносных сценариев в браузере жертвы.
Microsoft также присвоила критический рейтинг проблеме в платформе Windows MSHTML (CVE-2023-35628), предупреждая, что злоумышленник может отправить специально созданное электронное письмо, которое автоматически активируется при его получении и обработке клиентом Outlook. Это приведет к эксплуатации еще до того, как электронное письмо будет открыто в панели предварительного просмотра.
Декабрьские исправления также закрывают пару критических ошибок в ICS и множество других недостатков безопасности в Microsoft Office, Azure, Защитнике Windows, Windows DNS and DHCP server (полный перечень здесь).
Таким образом, по данным ZDI, софтверный гигант исправил более 900 CVE в этом году, что является одним из самых «дырявых» показателей для Microsoft.
Из восьми исправленных RCE Microsoft оценила только три как критические.
Всего же в этой категории было закрыто четыре: 1 - в Power Platform Connector (Spoofing), 2 - в Internet Connection Sharing (RCE) и 1 - в Windows MSHTML (RCE).
Помимо указанных 34 ошибок 8 - исправлено в Microsoft Edge.
Упомянутая 0-day представляет собой общеизвестную проблему спекулятивного исполнения AMD.
CVE-2023-20588 была обнаружена в августе 2023 года, однако AMD так и не предоставила никаких исправлений, кроме рекомендаций по мерами для ее устранения, считая потенциальное воздействие этой уязвимости незначительным.
Пользователям Windows также настоятельно рекомендуется обратить особое внимание на CVE-2023-36019, критическую ошибку спуфинга в Microsoft Power Platform Connector.
Проблема имеет оценку серьезности CVSS 9,6 из 10 и может быть использована через вредоносную ссылку, реализуя выполнение вредоносных сценариев в браузере жертвы.
Microsoft также присвоила критический рейтинг проблеме в платформе Windows MSHTML (CVE-2023-35628), предупреждая, что злоумышленник может отправить специально созданное электронное письмо, которое автоматически активируется при его получении и обработке клиентом Outlook. Это приведет к эксплуатации еще до того, как электронное письмо будет открыто в панели предварительного просмотра.
Декабрьские исправления также закрывают пару критических ошибок в ICS и множество других недостатков безопасности в Microsoft Office, Azure, Защитнике Windows, Windows DNS and DHCP server (полный перечень здесь).
Таким образом, по данным ZDI, софтверный гигант исправил более 900 CVE в этом году, что является одним из самых «дырявых» показателей для Microsoft.
Zero Day Initiative
Zero Day Initiative — The December 2023 Security Update Review
It’s the final patch Tuesday of 2023, and Apple, Adobe, and Microsoft have released their latest security offerings. Take a break from your holiday hustle and join us as we review the details of their latest advisories. If you’d rather watch the video recap…
Множество уязвимостей, в том числе и критических, закрыла Apple, выпустив исправления безопасности для iOS, iPadOS, macOS, tvOS, watchOS и Safari.
Сюда входят обновления для 12 уязвимостей в iOS и iPadOS, затрагивающих AVEVideoEncoder, ExtensionKit, Find My, ImageIO, Kernel, Safari Private Browsing и WebKit.
Согласно рекомендациям Купертино, наиболее серьезной проблемой является повреждение памяти в ImageIO, которое может привести к выполнению произвольного кода при обработке определенных изображений.
Обновленная macOS Sonoma 14.2 устраняет 39 недостатков, включая шесть ошибок, затрагивающих библиотеку ncurses.
Среди исправленных следует отметить CVE-2023-45866, критическую проблему безопасности в Bluetooth, которая может позволить злоумышленнику, находящемуся в привилегированном положении в сети, ввести нажатия клавиш путем подмены клавиатуры.
Как мы сообщали ранее, уязвимость была обнаружена исследователем SkySafe Марком Ньюлином на прошлой неделе.
По заявлениям Apple, проблема была исправлена в iOS 17.2, iPadOS 17.2 и macOS Sonoma 14.2 с помощью улучшенных проверок.
Apple также представила Safari 17.2 с исправлениями двух ошибок WebKit (CVE-2023-42890 и CVE-2023-42883), которые могли привести к RCE и DoS.
Обновление доступно для компьютеров Mac под управлением macOS Monterey и macOS Ventura.
iOS 17.2 и iPadOS 17.2, помимо фиксы ошибки Siri, которая могла позволить злоумышленнику с физическим доступом получить конфиденциальные данные, реализована новая функция проверки ключа контакта.
Она обеспечивает конфиденциальность переговоров в iMessage и противодействует злоупотреблениям серверной инфраструктурой сервиса, прежде всего, связанным с поставщиками spyware и АРТ.
Сюда входят обновления для 12 уязвимостей в iOS и iPadOS, затрагивающих AVEVideoEncoder, ExtensionKit, Find My, ImageIO, Kernel, Safari Private Browsing и WebKit.
Согласно рекомендациям Купертино, наиболее серьезной проблемой является повреждение памяти в ImageIO, которое может привести к выполнению произвольного кода при обработке определенных изображений.
Обновленная macOS Sonoma 14.2 устраняет 39 недостатков, включая шесть ошибок, затрагивающих библиотеку ncurses.
Среди исправленных следует отметить CVE-2023-45866, критическую проблему безопасности в Bluetooth, которая может позволить злоумышленнику, находящемуся в привилегированном положении в сети, ввести нажатия клавиш путем подмены клавиатуры.
Как мы сообщали ранее, уязвимость была обнаружена исследователем SkySafe Марком Ньюлином на прошлой неделе.
По заявлениям Apple, проблема была исправлена в iOS 17.2, iPadOS 17.2 и macOS Sonoma 14.2 с помощью улучшенных проверок.
Apple также представила Safari 17.2 с исправлениями двух ошибок WebKit (CVE-2023-42890 и CVE-2023-42883), которые могли привести к RCE и DoS.
Обновление доступно для компьютеров Mac под управлением macOS Monterey и macOS Ventura.
iOS 17.2 и iPadOS 17.2, помимо фиксы ошибки Siri, которая могла позволить злоумышленнику с физическим доступом получить конфиденциальные данные, реализована новая функция проверки ключа контакта.
Она обеспечивает конфиденциальность переговоров в iMessage и противодействует злоупотреблениям серверной инфраструктурой сервиса, прежде всего, связанным с поставщиками spyware и АРТ.
Apple Support
Apple security releases
This document lists security updates and Rapid Security Responses for Apple software.
А тем временем, даркнет продолжает переживать за судьбу банды вымогателей AlphV, чья серверная инфраструктура на днях загадочным образом отключилась, о чем мы сообщали ранее.
Несмотря на циркулирующие в инфосеке слухи и догадки о вмешательстве спецслужб в рамках силовой кибероперации, официального подтверждения в пользу этой версии так и не поступило.
Пока исследователи дискутируют AlphV постепенно поднимают сервера и сайты, часть из которых уже онлайн, но пока без контента.
Сами же админы из AlphV утверждают, что инцидент был связан со сбоями на стороне хостинга.
Несмотря на циркулирующие в инфосеке слухи и догадки о вмешательстве спецслужб в рамках силовой кибероперации, официального подтверждения в пользу этой версии так и не поступило.
Пока исследователи дискутируют AlphV постепенно поднимают сервера и сайты, часть из которых уже онлайн, но пока без контента.
Сами же админы из AlphV утверждают, что инцидент был связан со сбоями на стороне хостинга.
Telegram
SecAtor
Успешно оседлавшая CitrixBleed банда вымогателей ALPHV (ака BlackCat) неожиданно ушла в оффлайн и если верить слухам - после операции силовиков, которые наведались в гости.
Сайты переговоров и утечки данных ALPHV внезапно стали недоступны и продолжают сбоить…
Сайты переговоров и утечки данных ALPHV внезапно стали недоступны и продолжают сбоить…
В новом отчете исследователи Trend Micro раскрывают ранее недокументированную цепочку заражения AsyncRAT, в которой злоумышленники внедрения полезной нагрузки воспользовались процессом aspnet_compiler.exe.
Сам же AsyncRAT - троян удаленного доступа с функциями несанкционированного доступа, кейлоггинга, удаленного управления рабочим столом и скрытого манипулирования файлами, который реализует цель кражи ценной информации (включая креды, крипту и финансы).
Операторы AsyncRAT традиционно проявляют недюжие способности для заражения, адаптируясь к различным методам. Например, в 2019-2020 распространяли модифицированные версии AsyncRAT под тематику Covid-19, а в другом случае выдавали себя за банки и правоохранителей, чтобы доставить RAT своим целям.
Позже в 2021 AsyncRAT был задействован в фишинговой кампании Operation Spalax, в рамках которой использовались вложения HTML для доставки RAT и методы рефлексивной загрузки.
Триггером новой кампании стал downloadedFile_SSAfnmeddOFzc.zip. Пароль для распаковки ZIP-файла был, вероятно, получен вместе с вредоносной ссылкой. ZIP содержал одноименный файл сценария wsf.
Он использует сочетание команд PowerShell и VBScript для выполнения ряда действий. Изучение профиля выполнения показывает, что wscript.exe запускается через проводник Windows. Последовательность установки включает создание и выполнение нескольких сценариев PowerShell (.ps1), VBScript (.vbs) и пакетных файлов (.bat).
Он создает объект WScript.Shell , обычно используемый для выполнения команд оболочки, и генерирует текстовый файл с именем VLCdllFrame.xml в каталоге C:\Users\Public.
Скрипт использует команду Start-BitsTransfer для загрузки файла с hxxp://185[.]81[.]157[.]246:222/dd/mc.jpg, сохраняя его как Snakers.zip. Впоследствии он извлекает содержимое в виде вредоносных скриптов в каталог C:\Users\Public. После выполнения команд PowerShell сценарий удаляет ранее созданный файл VLCdllFrame.xml.
Исследователи наблюдали, как aspnet_compiler.exe устанавливал соединения с IP-адресами 208[.]95[.]112[.]1:80 (ip-api[.]com) и 45[.]141[.]215.40:4782 (httpswin10[ .]kozow[.]com). Первый используется для проверки геолокации, а второй, идентифицируемый как динамический DNS, вероятно, - для сокрытия истинного IP-адреса своего сервера.
Запланированные задачи создавались с именами задач Reklam или Rekill, что обеспечивало возможности сохранения AsyncRAT.
После отработки нескольких уровней сценариев в качестве средства уклонения от обнаружения AsyncRAT приступал к внедрению кода в aspnet_compiler.exe, что представляет собой еще один способ остаться незамеченным.
В отчете ресерчеры подробно анализируют поведение каждого скрипта из Snakers.zip, но подробно на этом останавливаться не будем.
Отметим лишь то, что бэкдор AsyncRAT реализует различные возможности в зависимости от встроенной конфигурации, а также сокетное соединение для взаимодействия с различными IP-адресами и портами, что делает его инфраструктуру динамичной и адаптируемой, включая также в себя механизмы обработки ошибок.
Стратегическое использование множества запутанных сценариев, включающих методы living off the land, обеспечивает эффективное уклонение от обнаружения, что еще больше усложняется в сочетании с внедрением кода в легитимные процессы, такие как aspnet_compiler.exe.
Полный перечень IOC для угрозы представлен здесь.
Сам же AsyncRAT - троян удаленного доступа с функциями несанкционированного доступа, кейлоггинга, удаленного управления рабочим столом и скрытого манипулирования файлами, который реализует цель кражи ценной информации (включая креды, крипту и финансы).
Операторы AsyncRAT традиционно проявляют недюжие способности для заражения, адаптируясь к различным методам. Например, в 2019-2020 распространяли модифицированные версии AsyncRAT под тематику Covid-19, а в другом случае выдавали себя за банки и правоохранителей, чтобы доставить RAT своим целям.
Позже в 2021 AsyncRAT был задействован в фишинговой кампании Operation Spalax, в рамках которой использовались вложения HTML для доставки RAT и методы рефлексивной загрузки.
Триггером новой кампании стал downloadedFile_SSAfnmeddOFzc.zip. Пароль для распаковки ZIP-файла был, вероятно, получен вместе с вредоносной ссылкой. ZIP содержал одноименный файл сценария wsf.
Он использует сочетание команд PowerShell и VBScript для выполнения ряда действий. Изучение профиля выполнения показывает, что wscript.exe запускается через проводник Windows. Последовательность установки включает создание и выполнение нескольких сценариев PowerShell (.ps1), VBScript (.vbs) и пакетных файлов (.bat).
Он создает объект WScript.Shell , обычно используемый для выполнения команд оболочки, и генерирует текстовый файл с именем VLCdllFrame.xml в каталоге C:\Users\Public.
Скрипт использует команду Start-BitsTransfer для загрузки файла с hxxp://185[.]81[.]157[.]246:222/dd/mc.jpg, сохраняя его как Snakers.zip. Впоследствии он извлекает содержимое в виде вредоносных скриптов в каталог C:\Users\Public. После выполнения команд PowerShell сценарий удаляет ранее созданный файл VLCdllFrame.xml.
Исследователи наблюдали, как aspnet_compiler.exe устанавливал соединения с IP-адресами 208[.]95[.]112[.]1:80 (ip-api[.]com) и 45[.]141[.]215.40:4782 (httpswin10[ .]kozow[.]com). Первый используется для проверки геолокации, а второй, идентифицируемый как динамический DNS, вероятно, - для сокрытия истинного IP-адреса своего сервера.
Запланированные задачи создавались с именами задач Reklam или Rekill, что обеспечивало возможности сохранения AsyncRAT.
После отработки нескольких уровней сценариев в качестве средства уклонения от обнаружения AsyncRAT приступал к внедрению кода в aspnet_compiler.exe, что представляет собой еще один способ остаться незамеченным.
В отчете ресерчеры подробно анализируют поведение каждого скрипта из Snakers.zip, но подробно на этом останавливаться не будем.
Отметим лишь то, что бэкдор AsyncRAT реализует различные возможности в зависимости от встроенной конфигурации, а также сокетное соединение для взаимодействия с различными IP-адресами и портами, что делает его инфраструктуру динамичной и адаптируемой, включая также в себя механизмы обработки ошибок.
Стратегическое использование множества запутанных сценариев, включающих методы living off the land, обеспечивает эффективное уклонение от обнаружения, что еще больше усложняется в сочетании с внедрением кода в легитимные процессы, такие как aspnet_compiler.exe.
Полный перечень IOC для угрозы представлен здесь.
Trend Micro
Analyzing AsyncRAT's Code Injection into Aspnet_Compiler.exe Across Multiple Incident Response Cases
This blog entry delves into MxDR's unraveling of the AsyncRAT infection chain across multiple cases, shedding light on the misuse of aspnet_compiler.exe, a legitimate Microsoft process originally designed for precompiling ASP.NET web applications.
Китайские исследователи из QiAnXin обнаружили на официальном Microsoft App Store вредоносный установщик, замаскированный под русскоязычную версию ПО 7Zip.
Как отмечают в QiAnXin, вредоносный пак был загружен еще в январе 2023 года и оставался незамеченным почти год, а его удаление последовало лишь после сообщения о нем в Microsoft.
При этом у 7z-soft.exe были также и альтернативные способы загрузки помимо Microsoft App Store, в числе которых социальная инженерия и перенаправления с веб-страниц.
По данным телеметрии QiAnXin, число загрузок вредоносного пакета из Microsoft App Store с августа значительно возросло, что могло быть связано с проблемами в WinRAR.
Основная цель вредоносного ПО заключалась в краже различных типов файлов, включая текстовые документы, ключи, кошельки и другие ценные данные. В качестве последней полезной нагрузкой выступали Redline Malware, Lumma Stealer и Amadey.
Респект за изощрённость поскольку, чтобы избежать обнаружения злоумышленники использовали библиотеку JPHP для загрузки полезных нагрузок с удаленного сервера и обновляли их ежедневно.
Атрибутировать угрозу исследователям не удалось. Но самое непонятное для них в этой истории оказалась даже не атрибуция, а то, как злоумышленникам удалось загрузить вредонос на Microsoft App Store.
Впрочем, полагаем, что у читателей канала SecAtor именно это обстоятельство, как раз, вопросов не вызывает.
Как отмечают в QiAnXin, вредоносный пак был загружен еще в январе 2023 года и оставался незамеченным почти год, а его удаление последовало лишь после сообщения о нем в Microsoft.
При этом у 7z-soft.exe были также и альтернативные способы загрузки помимо Microsoft App Store, в числе которых социальная инженерия и перенаправления с веб-страниц.
По данным телеметрии QiAnXin, число загрузок вредоносного пакета из Microsoft App Store с августа значительно возросло, что могло быть связано с проблемами в WinRAR.
Основная цель вредоносного ПО заключалась в краже различных типов файлов, включая текстовые документы, ключи, кошельки и другие ценные данные. В качестве последней полезной нагрузкой выступали Redline Malware, Lumma Stealer и Amadey.
Респект за изощрённость поскольку, чтобы избежать обнаружения злоумышленники использовали библиотеку JPHP для загрузки полезных нагрузок с удаленного сервера и обновляли их ежедневно.
Атрибутировать угрозу исследователям не удалось. Но самое непонятное для них в этой истории оказалась даже не атрибуция, а то, как злоумышленникам удалось загрузить вредонос на Microsoft App Store.
Впрочем, полагаем, что у читателей канала SecAtor именно это обстоятельство, как раз, вопросов не вызывает.
Qianxin
奇安信威胁情报中心
Nuxt.js project
Наметилась крупная рокировка в индустрии ransomware после того, как на прошлой неделе инфраструктура NoEscape и BlackCat/ALPHV внезапно стала недоступной.
Как сообщают LeMagIT, воспользовавшись моментом, банда вымогателей LockBit объявила о намерении привлекать операторов ушедших банд к своим операциям.
Если ALPHV остаются на связи и обещают восстановиться, то NoEscape, судя по всему, решили просто слиться, не рассчитавшись со своими партнерами.
Несмотря по возобновление работы своих ресурсов и даже некоторых чатов с жертвами, DLS вымогателей ALPHV висит пустым, а некоторые из ранее опубликованных там жертв уже замечены у LockBit, которые оперативно перехватили инициативу в плане набора партнеров.
В числе таких оказалась одна из жертв ALPHV - Немецкое энергетическое агентство, данные в отношении которого теперь опубликованы на DLS LockBit.
Как ожидается, оставшиеся нереализованные резервные копии украденных данных будут использованы бывшими операторами BlackCat и NoEscape в качестве входных билетов в конкурирующие RaaS.
Кроме того, LockBit предлагают офферы и разработчикам ALPHV, называя исчезновение конкурентов рождественским подароком. В свою очередь, исследователи усматривают в действиях банд признаки ребрендинга.
Так что будем посмотреть.
Как сообщают LeMagIT, воспользовавшись моментом, банда вымогателей LockBit объявила о намерении привлекать операторов ушедших банд к своим операциям.
Если ALPHV остаются на связи и обещают восстановиться, то NoEscape, судя по всему, решили просто слиться, не рассчитавшись со своими партнерами.
Несмотря по возобновление работы своих ресурсов и даже некоторых чатов с жертвами, DLS вымогателей ALPHV висит пустым, а некоторые из ранее опубликованных там жертв уже замечены у LockBit, которые оперативно перехватили инициативу в плане набора партнеров.
В числе таких оказалась одна из жертв ALPHV - Немецкое энергетическое агентство, данные в отношении которого теперь опубликованы на DLS LockBit.
Как ожидается, оставшиеся нереализованные резервные копии украденных данных будут использованы бывшими операторами BlackCat и NoEscape в качестве входных билетов в конкурирующие RaaS.
Кроме того, LockBit предлагают офферы и разработчикам ALPHV, называя исчезновение конкурентов рождественским подароком. В свою очередь, исследователи усматривают в действиях банд признаки ребрендинга.
Так что будем посмотреть.
LeMagIT
Ransomware : LockBit 3.0 recrute dans les rangs d’Alphv/BlackCat | ...
L’opérateur de la franchise mafieuse LockBit 3.0 a appelé les affidés de ses concurrents Alphv/BlackCat et feu NoEscape à le rejoindre. Au moins un affidé, responsable de l’attaque contre l’agence ...
Shadowserver сообщают о начале эксплуатации критической уязвимости обхода пути CVE-2023-50164 в Apache Struts.
RCE-уязвимость затрагивает версии Struts 2.0.0 - 2.3.37, 2.5.0 - 2.5.32 и 6.0.0 - 6.3.0, исправлена 7 декабря Apache в 6.3.0.2 и 2.5.33.
Успешная эксплуатация приводит к несанкционированному доступу к серверам, краже конфиденциальных данных, нарушению работы критически важных служб и горизонтальному перемещению во взломанных сетях.
Несмотря на то, что пока замечено лишь небольшое число IP, задействованных в попытках эксплуатации, основная волна еще впереди.
Ведь 10 декабря стали известны технические подробности и был выпущен общедоступный PoC-эксплойт. Будем следить.
RCE-уязвимость затрагивает версии Struts 2.0.0 - 2.3.37, 2.5.0 - 2.5.32 и 6.0.0 - 6.3.0, исправлена 7 декабря Apache в 6.3.0.2 и 2.5.33.
Успешная эксплуатация приводит к несанкционированному доступу к серверам, краже конфиденциальных данных, нарушению работы критически важных служб и горизонтальному перемещению во взломанных сетях.
Несмотря на то, что пока замечено лишь небольшое число IP, задействованных в попытках эксплуатации, основная волна еще впереди.
Ведь 10 декабря стали известны технические подробности и был выпущен общедоступный PoC-эксплойт. Будем следить.
X (formerly Twitter)
Shadowserver (@Shadowserver) on X
We have started to see attempts to use PoC exploit code published for Apache Struts CVE-2023-50164 CVSS 9.8 RCE in our sensors (a few src IPs). Make sure to update your Struts installs ...
Apache Security Bulletin: https://t.co/iVAinVdl7M
NVD entry: h…
Apache Security Bulletin: https://t.co/iVAinVdl7M
NVD entry: h…
Russian OSINT на днях написал (раз и два), что GoDaddy и Hetzner предупреждают своих клиентов из России о том, что скоро их обслуживание будет прекращено. О том же сообщают и Habr c VC.
А теперь, внимание, обратимся к анналам одного небольшого и скромного Телеграм-канала, посвященного вопросам информационной безопасности:
Это приведет лишь к тому, что в конце концов сеть будет жестко сегментирована по геополитическому принципу и между различными кластерами будут летать такие кибер-плюхи, что мало никому не покажется. Ну а мы, как рядовые пользователи, будем огребать за компанию, потеряв при этом возможность пользоваться большей частью привычных нам сервисов.
11 июля 2020 года.
Ну и кто теперь тут Ванга, япона бога душу мать?!
А теперь, внимание, обратимся к анналам одного небольшого и скромного Телеграм-канала, посвященного вопросам информационной безопасности:
Это приведет лишь к тому, что в конце концов сеть будет жестко сегментирована по геополитическому принципу и между различными кластерами будут летать такие кибер-плюхи, что мало никому не покажется. Ну а мы, как рядовые пользователи, будем огребать за компанию, потеряв при этом возможность пользоваться большей частью привычных нам сервисов.
11 июля 2020 года.
Ну и кто теперь тут Ванга, япона бога душу мать?!
Telegram
Russian OSINT
Подписчик сообщает, что один из крупнейших регистраторов GoDaddy (около 60 миллионов доменных имён) решил приговорить 🇷🇺российские домены. Вот такие вот письма рассылают. Инфа также появилась на habr.
✋ @Russian_OSINT
✋ @Russian_OSINT
То ли по привычке, то ли просто накосячили, но факт остается фактом и на этот раз разработчики Microsoft вновь втайне от общественности решили прикрыть уязвимость.
Речь идет об ошибке в сервере Azure DevOps, которая отслеживается как CVE-2023-21751 и имеет среднюю степень серьезности 6,5.
Проблема была устранена в декабрьском PatchTuesday, а упомянуть о ней в забыли. Зато, хотя бы, CVE пришили.
Кончено это уже не то же самое, как выстраданные пачти для своих же бэкдоров после шумихи, устроенной Shadow Brokers, но тоже прелестно.
Речь идет об ошибке в сервере Azure DevOps, которая отслеживается как CVE-2023-21751 и имеет среднюю степень серьезности 6,5.
Проблема была устранена в декабрьском PatchTuesday, а упомянуть о ней в забыли. Зато, хотя бы, CVE пришили.
Кончено это уже не то же самое, как выстраданные пачти для своих же бэкдоров после шумихи, устроенной Shadow Brokers, но тоже прелестно.
Telegram
SecAtor
͏И завершающий на сегодня пост из серии (раз и два) про свежую RCE-уязвимость Follina в Microsoft Office, которую мелкомягкие не хотели признавать и закрывать в течение полутора месяцев. Рисующий, так сказать, до боли знакомую картину.
Но сначала взглянем…
Но сначала взглянем…
Исследователи Group-IB рассказали о деятельности ранее неизвестной хакерской группы GambleForce, нацеленной на компании в Азиатско-Тихоокеанского регионе.
Злоумышленники активно орудуют с сентября текущего года и используют набор базовых, но очень эффективных техник, включая SQL-инъекции и эксплуатацию уязвимых CMS для кражи конфиденциальной пользовательской информации.
По оценкам специалистов, злоумышленники уже атаковали 24 организации, преимущественно, связанные с индустрией азартных игр.
Пострадали также и компании в сфере торговли, туризма, а также госучреждения, дислоцированные в Австралии, Бразилии, Китае, Индии, Индонезии, Филиппинах, Южной Корее и Таиланде.
Шесть из них привели злоумышленников к успеху.
В арсенале GambleForce вполне понятные и открытые инструменты, такие как dirsearch, sqlmap, tinyproxy и redis-rogue-getshell, применяемые на разных этапах атак с конечной целью получения конфиденциальной информации из скомпрометированных сетей.
На этапе пост-эксплуатации злоумышленники юзают фреймворк Cobalt Strike.
При этом версия инструмента, обнаруженная в инфраструктуре одной из жертв, включала команды на китайском языке, но до конца происхождение группы остается под вопросом, включая и то, как в дальнейшем GambleForce использует украденную информацию.
Ресерчевам Group-IB удалось вывести из строя C2 злоумышленника и уведомить потерпевшие компании.
Но ожидают, что злоумышленники инфраструктурно перестроятся и возобновят свою деятельность.
Злоумышленники активно орудуют с сентября текущего года и используют набор базовых, но очень эффективных техник, включая SQL-инъекции и эксплуатацию уязвимых CMS для кражи конфиденциальной пользовательской информации.
По оценкам специалистов, злоумышленники уже атаковали 24 организации, преимущественно, связанные с индустрией азартных игр.
Пострадали также и компании в сфере торговли, туризма, а также госучреждения, дислоцированные в Австралии, Бразилии, Китае, Индии, Индонезии, Филиппинах, Южной Корее и Таиланде.
Шесть из них привели злоумышленников к успеху.
В арсенале GambleForce вполне понятные и открытые инструменты, такие как dirsearch, sqlmap, tinyproxy и redis-rogue-getshell, применяемые на разных этапах атак с конечной целью получения конфиденциальной информации из скомпрометированных сетей.
На этапе пост-эксплуатации злоумышленники юзают фреймворк Cobalt Strike.
При этом версия инструмента, обнаруженная в инфраструктуре одной из жертв, включала команды на китайском языке, но до конца происхождение группы остается под вопросом, включая и то, как в дальнейшем GambleForce использует украденную информацию.
Ресерчевам Group-IB удалось вывести из строя C2 злоумышленника и уведомить потерпевшие компании.
Но ожидают, что злоумышленники инфраструктурно перестроятся и возобновят свою деятельность.
Group-IB
Exposing GambleForce, an SQL injection gang | Group-IB Blog
Analysis of TTPs tied to GambleForce, which carried out SQL injection attacks against companies in the APAC region.
Forwarded from Social Engineering
• Если Вы активный читатель S.E., то должны помнить занимательную историю о 60-летней женщине, которая увидела наклейку на входной двери магазина, где предлагалось отсканировать QR-код, заполнить анкету на сайте и получить за это «бесплатную чашку чая». Итог всем известен, женщина лишилась 1.5 млн. рублей...
• Кстати, в той истории я упоминал методы размещения таких QR-кодов на самокатах, велосипедах или стоянках. Сегодняшняя новость как раз об этом. Живой пример, как говориться.
• Дело произошло в Англии, на железнодорожной станции Торнаби. Женщина отсканировала QR-код для оплаты парковки, который был размещен мошенниками и перенаправлял жертву на фишинговый ресурс. Как итог, жертва потеряла 16 000 баксов, уйму времени и нервы. А в качестве бонуса, жертва стала счастливым обладателем крупного кредита, который был оформлен злоумышленниками за считаные минуты после сканирования QR-кода.
• Ну а я в свою очередь напоминаю, что такой таргет-фишинг с точки зрения Социальной Инженерии является очень "перспективным" для атакующих и может затронуть куда больше людей, чем в интернете. Поэтому всегда думайте на холодную голову и старайтесь проверять информацию, особенно когда дело касается ваших кровно заработанных.
S.E. ▪️ infosec.work ▪️ #Новости #СИ
Please open Telegram to view this post
VIEW IN TELEGRAM
Dell сообщает об исправлении восьми уязвимостей в решениях PowerProtect DD, многие из которых имеют рейтинг высокой степени серьезности.
Уязвимости затрагивают устройства серии PowerProtect Data Domain (DD), а также APEX Protect Storage, PowerProtect DD Management Center, устройства серии PowerProtect DP и PowerProtect Data Manager.
Наиболее серьезной из уязвимостей с CVSS 8,8 является CVE-2023-44286, которая представляет собой уязвимость межсайтового сценария на основе DOM.
Она позволяет удаленному неавторизованному злоумышленнику внедрить вредоносный код HTML или JavaScript в среду DOM пользователя-жертвы в браузере. Эксплуатация может привести к подделке запросов на стороне клиента, краже сеанса и раскрытию информации.
Ряд других уязвимостей высокой степени серьезности связаны с внедрением команд ОС и недостатками управления доступом.
Ошибки внедрения команд можно использовать для выполнения произвольных команд в базовой операционной системе с привилегиями уязвимой эксплуатации, и они могут позволить злоумышленнику захватить контроль над целевой системой.
Для эксплуатации требуется локальный доступ и низкие или повышенные привилегии. Однако злоумышленник может воспользоваться уязвимостью, такой как CVE-2023-44286, для выполнения требований аутентификации.
Три уязвимости средней серьезности, обнаруженные в продуктах PowerProtect, могут быть использованы злоумышленником, прошедшим проверку подлинности, для обхода ограничений безопасности и захвата системы, получения доступа на чтение и запись к файлам ОС, а также выполнения произвольных команд SQL в серверной базе данных приложения и получения доступа на чтение.
Dell Technologies рекомендует клиентам ознакомиться с рекомендациями по безопасности DSA-2023-412, а также оперативно применить все обновления.
Ведь несмотря на отсутствие какой-либо эксплуатации, уязвимости в решениях поставщика в прошлом году были востребованы АРТ Lazarus, которые задействовали их в своих касаниях.
Уязвимости затрагивают устройства серии PowerProtect Data Domain (DD), а также APEX Protect Storage, PowerProtect DD Management Center, устройства серии PowerProtect DP и PowerProtect Data Manager.
Наиболее серьезной из уязвимостей с CVSS 8,8 является CVE-2023-44286, которая представляет собой уязвимость межсайтового сценария на основе DOM.
Она позволяет удаленному неавторизованному злоумышленнику внедрить вредоносный код HTML или JavaScript в среду DOM пользователя-жертвы в браузере. Эксплуатация может привести к подделке запросов на стороне клиента, краже сеанса и раскрытию информации.
Ряд других уязвимостей высокой степени серьезности связаны с внедрением команд ОС и недостатками управления доступом.
Ошибки внедрения команд можно использовать для выполнения произвольных команд в базовой операционной системе с привилегиями уязвимой эксплуатации, и они могут позволить злоумышленнику захватить контроль над целевой системой.
Для эксплуатации требуется локальный доступ и низкие или повышенные привилегии. Однако злоумышленник может воспользоваться уязвимостью, такой как CVE-2023-44286, для выполнения требований аутентификации.
Три уязвимости средней серьезности, обнаруженные в продуктах PowerProtect, могут быть использованы злоумышленником, прошедшим проверку подлинности, для обхода ограничений безопасности и захвата системы, получения доступа на чтение и запись к файлам ОС, а также выполнения произвольных команд SQL в серверной базе данных приложения и получения доступа на чтение.
Dell Technologies рекомендует клиентам ознакомиться с рекомендациями по безопасности DSA-2023-412, а также оперативно применить все обновления.
Ведь несмотря на отсутствие какой-либо эксплуатации, уязвимости в решениях поставщика в прошлом году были востребованы АРТ Lazarus, которые задействовали их в своих касаниях.
Пользователи Ubiquiti столкнулись с аномалиями в работе своих сетевых устройств, начиная от маршрутизаторов до камер видеонаблюдения.
Ubiquiti - это популярный производитель сетевых устройств с облачной платформой UniFi, благодаря которой администраторы могут осуществлять управление всеми своими устройствами с единого облачного портала.
Как раз на стороне облака и возникли неполадки, на которые владельцы устройств начали массово жаловаться, рассказывая о поступающих через UniFi Protect уведомлениях с чужих камер наблюдения.
В других случаях после входа в UniFi Site Manager помимо своих устройств пользователи увидели еще 88 из аккаунта другого клиента.
Аналогичными инцидентами делятся и другие пользователи в Reddit, которые таким образом получили не только доступ к чужому UDM Pro, но и смогли перехватить управление устройством и даже создавать дополнительные Wi-Fi-сети.
При этом инертная реакция Ubiquiti привела к тому, что клиенты были глубоко разочарованы тем, что компания не сделала публичного заявления и фактически отказалась признавать серьезную проблему нарушения конфиденциальности.
Однако позже Ubiquiti все же представила официальные комментарии, отмечая, что ошибка доступа к устройствам была вызвана неправильной конфигурацией при обновлении облачной инфраструктуры UniFi.
Проблема возникла 13 декабря, между 6:47 и 15:45 UTC, и с тех пор была исправлена.
Компания тем не менее продолжает расследовать инцидент и пока заявляет лишь о 12 аккаунтах, к которым был получен доступ со стороны других пользователей.
Ubiquiti - это популярный производитель сетевых устройств с облачной платформой UniFi, благодаря которой администраторы могут осуществлять управление всеми своими устройствами с единого облачного портала.
Как раз на стороне облака и возникли неполадки, на которые владельцы устройств начали массово жаловаться, рассказывая о поступающих через UniFi Protect уведомлениях с чужих камер наблюдения.
В других случаях после входа в UniFi Site Manager помимо своих устройств пользователи увидели еще 88 из аккаунта другого клиента.
Аналогичными инцидентами делятся и другие пользователи в Reddit, которые таким образом получили не только доступ к чужому UDM Pro, но и смогли перехватить управление устройством и даже создавать дополнительные Wi-Fi-сети.
При этом инертная реакция Ubiquiti привела к тому, что клиенты были глубоко разочарованы тем, что компания не сделала публичного заявления и фактически отказалась признавать серьезную проблему нарушения конфиденциальности.
Однако позже Ubiquiti все же представила официальные комментарии, отмечая, что ошибка доступа к устройствам была вызвана неправильной конфигурацией при обновлении облачной инфраструктуры UniFi.
Проблема возникла 13 декабря, между 6:47 и 15:45 UTC, и с тех пор была исправлена.
Компания тем не менее продолжает расследовать инцидент и пока заявляет лишь о 12 аккаунтах, к которым был получен доступ со стороны других пользователей.
Reddit
From the Ubiquiti community on Reddit
Explore this post and more from the Ubiquiti community
Исследователи из Лаборатории Касперского расчехлили новое уникальное многоплатформенное вредоносное ПО на базе Go под названием NKAbuse с возможностью скрытого обмена данными посредством New Kind of Network.
NKN — это относительно новый децентрализованный одноранговый сетевой протокол на базе технологии блокчейна для управления ресурсами, поддержания безопасной и прозрачной модели сетевых операций.
NKN эффективно оптимизирует скорость передачи данных по сети, реализуя разнообразные наиболее эффективные алгоритмы маршрутизации данных.
По аналогии с Tor, NKN включает узлы, число которых к настоящему времени достигает до 61 тысячи, обеспечивая децентрализацию и конфиденциальность.
Как сообщают исследователи, NKAbuse, в первую очередь, нацелено на настольные ПК на базе Linux в Мексике, Колумбии и Вьетнаме. Однако, учитывая его способность заражать системы MISP и ARM, он также представляет угрозу для устройств IoT.
Одно из наблюдаемых заражений NKAbuse было реализовано в ходе атаки на финансовую компанию с использованием старой 10-ти бальной уязвимости Apache Struts (CVE-2017-5638).
Кроме того, NKAbuse способно злоупотреблять NKN для проведения DDoS-атак, которые достаточно сложно отследить, не говоря уже об идентификации конкретной задействованной инфраструктуры, ведь новый протокол практически вне поля зрения большинства решений безопасности.
Злоумышленники используют преимущества нового протокола связи для C2, эффективно уклоняясь от обнаружения. В частности, клиент вредоносного ПО связывается с мастером бота через NKN для отправки и получения данных.
Среди команды полезной нагрузки, отправляемые C2, - атаки HTTP, TCP, UDP, PING, ICMP и SSL-флуд.
В дополнение к возможностям DDoS, NKAbuse также действует как RAT в скомпрометированных системах, позволяя своим операторам выполнять команды, кража данных и делать снимки экрана.
Вредоносное ПО обычно устанавливается на устройство жертвы путем выполнения удаленного сценария оболочки.
Примечательным аспектом является отсутствие механизма самораспространения, а персистентность достигается за счет использования заданий cron.
По мнению ЛК, исследуемый имплантат был тщательно разработан для интеграции в ботнет, однако он может быть адаптирован к работе в качестве бэкдора на конкретном хосте.
При этом использование технологии блокчейна обеспечивает высокую надежность и анонимность, что указывает на внушительный потенциал будущего развития ботнета, фактически действующего без идентифицируемого центрального контроллера, что делает защиту от этой угрозы весьма проблематичной.
NKN — это относительно новый децентрализованный одноранговый сетевой протокол на базе технологии блокчейна для управления ресурсами, поддержания безопасной и прозрачной модели сетевых операций.
NKN эффективно оптимизирует скорость передачи данных по сети, реализуя разнообразные наиболее эффективные алгоритмы маршрутизации данных.
По аналогии с Tor, NKN включает узлы, число которых к настоящему времени достигает до 61 тысячи, обеспечивая децентрализацию и конфиденциальность.
Как сообщают исследователи, NKAbuse, в первую очередь, нацелено на настольные ПК на базе Linux в Мексике, Колумбии и Вьетнаме. Однако, учитывая его способность заражать системы MISP и ARM, он также представляет угрозу для устройств IoT.
Одно из наблюдаемых заражений NKAbuse было реализовано в ходе атаки на финансовую компанию с использованием старой 10-ти бальной уязвимости Apache Struts (CVE-2017-5638).
Кроме того, NKAbuse способно злоупотреблять NKN для проведения DDoS-атак, которые достаточно сложно отследить, не говоря уже об идентификации конкретной задействованной инфраструктуры, ведь новый протокол практически вне поля зрения большинства решений безопасности.
Злоумышленники используют преимущества нового протокола связи для C2, эффективно уклоняясь от обнаружения. В частности, клиент вредоносного ПО связывается с мастером бота через NKN для отправки и получения данных.
Среди команды полезной нагрузки, отправляемые C2, - атаки HTTP, TCP, UDP, PING, ICMP и SSL-флуд.
В дополнение к возможностям DDoS, NKAbuse также действует как RAT в скомпрометированных системах, позволяя своим операторам выполнять команды, кража данных и делать снимки экрана.
Вредоносное ПО обычно устанавливается на устройство жертвы путем выполнения удаленного сценария оболочки.
Примечательным аспектом является отсутствие механизма самораспространения, а персистентность достигается за счет использования заданий cron.
По мнению ЛК, исследуемый имплантат был тщательно разработан для интеграции в ботнет, однако он может быть адаптирован к работе в качестве бэкдора на конкретном хосте.
При этом использование технологии блокчейна обеспечивает высокую надежность и анонимность, что указывает на внушительный потенциал будущего развития ботнета, фактически действующего без идентифицируемого центрального контроллера, что делает защиту от этой угрозы весьма проблематичной.
Securelist
Unveiling NKAbuse: a new multiplatform threat abusing the NKN protocol
We uncovered a novel multiplatform threat named “NKAbuse”. The malware utilizes NKN technology for data exchange between peers and equipped with both flooder and backdoor capabilities.
Иранская APT34, более известная как OilRig, использовала три новых загрузчика в кампании, нацеленной на Израиля, где были атакованы организации в сфере здравоохранения, производства и государственного управления.
Как отмечают специалисты ESET, задействовались ODAgent, OilCheck и OilBooster. При этом кроме нового софта использовалась обновленная версия известного загрузчика SampleCheck5000 (или SC5k).
Малварь использует один из нескольких легитимных облачных сервисов для связи и эксфильтрации данных: API Microsoft Graph OneDrive или Outlook и API веб-службу Microsoft Office Exchange (EWS), чтобы скрыть вредоносную активность и смешаться с легитимным сетевым трафиком.
Неясно, какой именно вектор начального доступа использовался для компрометации целей, а также неизвестно, смогли ли злоумышленники сохранить свое присутствие в сетях, чтобы развернуть эти загрузчики.
OilRig на ландшафте угроз как минимум с 2014 года и отслеживается под именами Crambus, Cobalt Gypsy, Hazel Sandstorm (ранее EUROPIUM) и Helix Kitten.
Иранские злоумышленники уже прославились своей изощрённостью и использованием широкого спектра вредоносных программ для атак на организации Ближнего Востока.
Только в 2023 году было замечено, что хакерская группа использует новое вредоносное ПО, такое как MrPerfectionManager, PowerExchange, Solar, Mango и Menorah.
Как отмечают специалисты ESET, задействовались ODAgent, OilCheck и OilBooster. При этом кроме нового софта использовалась обновленная версия известного загрузчика SampleCheck5000 (или SC5k).
Малварь использует один из нескольких легитимных облачных сервисов для связи и эксфильтрации данных: API Microsoft Graph OneDrive или Outlook и API веб-службу Microsoft Office Exchange (EWS), чтобы скрыть вредоносную активность и смешаться с легитимным сетевым трафиком.
Неясно, какой именно вектор начального доступа использовался для компрометации целей, а также неизвестно, смогли ли злоумышленники сохранить свое присутствие в сетях, чтобы развернуть эти загрузчики.
OilRig на ландшафте угроз как минимум с 2014 года и отслеживается под именами Crambus, Cobalt Gypsy, Hazel Sandstorm (ранее EUROPIUM) и Helix Kitten.
Иранские злоумышленники уже прославились своей изощрённостью и использованием широкого спектра вредоносных программ для атак на организации Ближнего Востока.
Только в 2023 году было замечено, что хакерская группа использует новое вредоносное ПО, такое как MrPerfectionManager, PowerExchange, Solar, Mango и Menorah.
Welivesecurity
OilRig’s persistent attacks using cloud service-powered downloaders
ESET researchers document a series of new OilRig downloaders, all relying on legitimate cloud service providers for C&C communications.
Исследователи Akamai обнаружили ботнет на базе Mirai под названием InfectedSlurs, который нацелен на уязвимости в QNAP VioStor NVR и марштрутизаторах FXC.
Вредоносная активность с эксплуатацией двух 0-day в маршрутизаторах и сетевых видеорегистраторах попала в поле зрения исследователей еще октябре 2023 года.
После выпуска поставщиком исправлений Akamai представила два дополнительных отчета (1, 2), дополнив исходный за конец ноября.
Первая уязвимость, использованная InfectedSlurs, отслеживается как CVE-2023-49897 и затрагивает Wi-Fi-маршрутизаторы FXC AE1021 и AE1021PE.
Поставщик выпустил обновления безопасности 6 декабря 2023 с версией встроенного ПО 2.0.10, рекомендуя пользователям помимо обновления выполнить сброс настроек до заводских параметров с изменением пароля по умолчанию.
Другая уязвимость высокой степени серьезности, использованная в атаках ботнета — CVE-2023-47565, затрагивает сетевой видеорегистратор QNAP VioStor NVR с прошивкой QVR 4.x и связана с внедрением команд ОС.
QNAP опубликовала рекомендацию 7 декабря 2023, пояснив, что ранее неизвестная проблема была исправлена в прошивке QVR 5.x и более поздних версиях, доступных для всех поддерживаемых моделей.
Помимо обновления поставщик рекомендует клиентам также сменить пароли пользователей на QVR через панель управления.
Учитывая, что версия 5.0.0 была выпущена почти десять лет назад, некоторые модели VioStor NVR, срок эксплуатации которых истек, не получат обновлений, поэтому единственное решение — заменить их на более новые, активно поддерживаемые модели.
Вредоносная активность с эксплуатацией двух 0-day в маршрутизаторах и сетевых видеорегистраторах попала в поле зрения исследователей еще октябре 2023 года.
После выпуска поставщиком исправлений Akamai представила два дополнительных отчета (1, 2), дополнив исходный за конец ноября.
Первая уязвимость, использованная InfectedSlurs, отслеживается как CVE-2023-49897 и затрагивает Wi-Fi-маршрутизаторы FXC AE1021 и AE1021PE.
Поставщик выпустил обновления безопасности 6 декабря 2023 с версией встроенного ПО 2.0.10, рекомендуя пользователям помимо обновления выполнить сброс настроек до заводских параметров с изменением пароля по умолчанию.
Другая уязвимость высокой степени серьезности, использованная в атаках ботнета — CVE-2023-47565, затрагивает сетевой видеорегистратор QNAP VioStor NVR с прошивкой QVR 4.x и связана с внедрением команд ОС.
QNAP опубликовала рекомендацию 7 декабря 2023, пояснив, что ранее неизвестная проблема была исправлена в прошивке QVR 5.x и более поздних версиях, доступных для всех поддерживаемых моделей.
Помимо обновления поставщик рекомендует клиентам также сменить пароли пользователей на QVR через панель управления.
Учитывая, что версия 5.0.0 была выпущена почти десять лет назад, некоторые модели VioStor NVR, срок эксплуатации которых истек, не получат обновлений, поэтому единственное решение — заменить их на более новые, активно поддерживаемые модели.
Akamai
Actively Exploited Vulnerability in FXC Routers: Fixed, Patches Available | Akamai
Akamai uncovered a zero-day vulnerability in some FXC routers, which allowed the spread of Mirai. Read all about it now that the patch has been released.
Хакеры используют ботнет состоящий из маршрутизаторов и брандмауэров Cisco, DrayTek, Fortinet и NETGEAR для скрытой передачи данных.
С таким заявлением выступили специалисты Lumen Technologies, которые, собственно, и обнаружили так называемый KV-botnet, используемый субъектами угроз для своих грязных делишек.
Специалисты считают, что активным юзером вредоносной инфраструктуры является китайская хакерская группа Volt Typhoon, о чем свидетельствуют также данные телеметрии, которые указывают на управление ботнета с IP-адресов из Китая.
KV-botnet активен как минимум с февраля 2022 года и представляет собой скрытую сеть передачи данных, предназначенную для продвинутых участников угроз.
Он работает через два отдельных логических кластера и отличается сложным процессом заражения в сочетании с хорошо скрытой инфраструктурой C2, а также нацеленностью на устройства на границе сети.
Точный механизм первоначального заражения устройств пока неизвестен.
Однако, специалисты Microsoft, которые первыми раскрыли тактику злоумышленника, сообщили, что хакеры пытается вмешаться в обычную сетевую активность, направляя трафик через скомпрометированное сетевое оборудование SOHO, включая маршрутизаторы, брандмауэры и оборудование VPN.
Lumen Technologies отмечает, что за последний месяц инфраструктура ботнета обновилась, нацелившись также на IP-камеры Axis, что указывает на подготовку к новой волне атак.
С таким заявлением выступили специалисты Lumen Technologies, которые, собственно, и обнаружили так называемый KV-botnet, используемый субъектами угроз для своих грязных делишек.
Специалисты считают, что активным юзером вредоносной инфраструктуры является китайская хакерская группа Volt Typhoon, о чем свидетельствуют также данные телеметрии, которые указывают на управление ботнета с IP-адресов из Китая.
KV-botnet активен как минимум с февраля 2022 года и представляет собой скрытую сеть передачи данных, предназначенную для продвинутых участников угроз.
Он работает через два отдельных логических кластера и отличается сложным процессом заражения в сочетании с хорошо скрытой инфраструктурой C2, а также нацеленностью на устройства на границе сети.
Точный механизм первоначального заражения устройств пока неизвестен.
Однако, специалисты Microsoft, которые первыми раскрыли тактику злоумышленника, сообщили, что хакеры пытается вмешаться в обычную сетевую активность, направляя трафик через скомпрометированное сетевое оборудование SOHO, включая маршрутизаторы, брандмауэры и оборудование VPN.
Lumen Technologies отмечает, что за последний месяц инфраструктура ботнета обновилась, нацелившись также на IP-камеры Axis, что указывает на подготовку к новой волне атак.
Ведущий разработчик ПО для баз данных MongoDB стал жертвой кибератаки, в результате которой была украдены данные клиентов.
MongoDB подтвердила инцидент и сообщает о начале расследования.
Как заявили в компании, 13 декабря была обнаружена аномальная активность в сети, а позже установлено, что хакеры проникли в системы и оставались там «в течение некоторого периода времени до момента обнаружения».
В уведомлении для клиентов директор по ИБ MongoDB Лена Смарт заявила, что компании не известно о каких-либо рисках для данных, которые клиенты хранят в ее флагманском MongoDB Atlas.
Тем не менее, разработчики порекомендовал клиентам проявлять бдительность на предмет возможных фишинговых атак или инцидентов использованием социальной инженерии, а также активировать MFA и регулярно менять пароли в MongoDB Atlas.
Никакой другой дополнительной информации о компрометации пока нет. Будем следить.
MongoDB подтвердила инцидент и сообщает о начале расследования.
Как заявили в компании, 13 декабря была обнаружена аномальная активность в сети, а позже установлено, что хакеры проникли в системы и оставались там «в течение некоторого периода времени до момента обнаружения».
В уведомлении для клиентов директор по ИБ MongoDB Лена Смарт заявила, что компании не известно о каких-либо рисках для данных, которые клиенты хранят в ее флагманском MongoDB Atlas.
Тем не менее, разработчики порекомендовал клиентам проявлять бдительность на предмет возможных фишинговых атак или инцидентов использованием социальной инженерии, а также активировать MFA и регулярно менять пароли в MongoDB Atlas.
Никакой другой дополнительной информации о компрометации пока нет. Будем следить.
MongoDB
Alerts
MongoDB Alerts