Еще раз вернемся к разговору про трудности перевода.

Пытаясь выцедить молекулы «правильной» атрибуции ведущих RaaS из отчета F.A.C.C.T. за 2023 года, исследователи из vx-underground с недоумением обнаруживают, что Lockbit и Babuk упоминаются в качестве ПО и не имеют привязки к каким-либо группам.

В качестве примера приводится раздел про Shadow (Comet) APT, где Lockbit и Babuk указаны в числе прочих как используемые а атаках инструменты.

Заподозрив неладное и разложив отчет на буквы, vx-underground так и нашли отсылки к операторам или владельцам RaaS, что показалось им очень подозрительным, даже несмотря на вразумительные доводы в комментариях.

Но мы неоднократно обозревали деятельность Shadow в контексте исследований F.A.C.C.T., отмечая наличие в арсенале хакеров билдера Lockbit и модифицированного ПО Babuk, которые задействовались в финансово мотивированных кампаниях в отношении организации в России и странах СНГ.

Поэтому, если бы специалисты занимались делом, а не погоней за русской пропагандой, то никаких трудностей у них бы не возникало. Но имеем, что имеем.

͏"Как работает ваша машина времени на Марсе?" - спрашивают подписчики.

А вот так!

Подкатил мартовский Patch Tuesday от Microsoft с исправлениями 60 уязвимостей, среди которых только две имеют рейтинг критических, а 18 относятся к RCE.

При этом, к всеобщему удивлению, обошлось без 0-day и эксплуатации в дикой природе. По крайней мере, согласно официальным сообщениям.

В целом разбивка по категориям выглядит следующим образом: 24 - уязвимости повышения привилегий, 3 - обхода функций безопасности, 18 - RCE, по 6 - раскрытия информации и DoS, а также 2 - спуфинга.

Помимо этого 4 ошибки исправлены в Microsoft Edge.

Две критические уязвимости затрагивают Hyper-V.

Первая CVE-2024-21407 с CVSS 8.1 позволяет коду в гостевой VM инициировать RCE и, по мнению Microsoft, достаточно сложна в эксплуатации.

Вторая CVE-2024-21408 вызывает отказ в обслуживании.

Среди уязвимостей, которые хоть и не признаны критическими, но вполне будут интересны сообществу:
- CVE-2024-21400 - EoP в Azure Kubernetes Service;
- CVE-2024-20671 - обход Microsoft Defender;
- CVE-2024-26198 - RCE в Exchange Server;
- CVE-2024-21334 - RCE в Open Management Infrastructure с CVSS 9,8 из 10;
- CVE-2024-26199 - EoP в MS Office;
- CVE-2024-21411 - RCE в Skype.

Полное описание каждой уязвимости и систем, которые она затрагивает - здесь.

ChatGPT-Next-Web, более известный как NextChat подвержен SSRF-уязвимости, позволяющей получать доступ к файлам на серверах, на которых запущен его виджет.

Уязвимость в приложении NextChat отслеживается как CVE-2023-49785 и затрагивает все версии до 2.11.2, потенциально влияя на более чем 7500 серверов, подключенных к Интернету.

NextChat представляет собой кроссплатформенный пользовательский интерфейс чата, разработанный для использования с ChatGPT.

Обнаруженный специалистами Horizon3 баг обеспечивает доступ для чтения к внутренним конечным точкам HTTP, а также доступ для записи с использованием HTTP POST, PUT и других методов.

Как говорят исследователи, злоумышленники также могут использовать эту уязвимость для маскировки исходного IP-адреса, перенаправляя вредоносный трафик, предназначенный для других целей в сети, через эти открытые прокси.

Исследователи заявили, что они вынуждены были раскрыть информацию о данной уязвимости, поскольку поставщик не смог выпустить исправление в течение почти трех месяцев.

Более того и на данный момент патч не доступен, соответственно пользователи должны быть осведомлены о рисках и принимать меры для минимизации потенциального ущерба самостоятельно.

Fortinet выпустила патчи для критических RCE-уязвимостей в FortiOS, FortiProxy и FortiClientEMS.

Одна из них CVE-2023-42789, проблема записи за вне границ в FortiOS и FortiProxy, может позволить злоумышленникам выполнять код или команды с помощью созданных HTTP-запросов.

Обнаруженная командой безопасности Fortinet проблема была решена в совокупности с другой CVE-2023-42790, уязвимостью переполнения буфера на основе стека, которая также приводит к RCE.

Обе проблемы были устранены с выпуском FortiOS 7.4.2, 7.2.6, 7.0.13, 6.4.15 и 6.2.16, а также FortiProxy 7.4.1, 7.2.7, 7.0.13 и 2.0.14.

Второй недостаток критической степени тяжести - CVE-2023-48788, проблема SQL-инъекции в FortiClientEMS, которая позволяет неаутентизованным злоумышленникам выполнять код или команды через созданные запросы.

Проблема решена с выпуском FortiClientEMS 7.2.3 и 7.0.11.

Следует отметить, что Fortinet оценил как CVE-2023-42789, так и CVE-2023-48788 на 9,3 по CVSS, в то время как NIST NVD указывает оба с CVSS 9,8.

Fortinet также объявила об исправлениях ряда других ошибок высокой серьезности в FortiOS и FortiProxy (ведущую к раскрытию информации), FortiClientEMS (ведущую к выполнению команд) и в FortiWLM MEA для FortiManager (приводящую к RCE).

Хотя Fortinet и не упоминает об использовании уязвимостей в дикой природе, но мы то знаем, что это неизбежно произойдет в перспективе, учитывая нацеленность хакеров на такие активы, ведь успешное препарирование проблем может позволить захватить уязвимые системы.

Админы даркнет-площадки Incognito, специализирующейся на утечках, наркотрафике и продаже прочей запрещенки, решили обчистить своих участников и слиться.

Как сообщает KrebsOnSecurity, наркорынок № 1 сначала 6 марта заморозил все активы пользователей, ссылаясь на технические сбои и обновление платформы, а затем и вовсе лишил их доступа к аккаунтам и средствам.

Но на этом проблемы у завсегдатаев Incognito не закончились.

Теперь один из владельцев маркета Pharoah потребовал от каждого селлера отступные в размере до $20 тысяч в качестве выкупа за неразглашение данных об активности на площадке.

В противном случае все чаты, транзакции валюты и прочие логи будут переданы всеобщей огласке, включая и блюстителей закона, которые уже потирают ручки в ожидании заветной даты слива, запланированной на май месяц.

Анонсированный дамп содержит 557 тысяч заказов и 862 тысяч идентификаторов криптотранзакций.

Причем при открытии админы платформы анонсировали внедренную ими систему автоматического шифрования, которая, как они утверждали, должна была обеспечивать конфиденциальность и зачистку всех следов активности участников.

Но оказалось, что это блеф, а на сайте к настоящему висит таблица со статусом платежа и обозначением тех, кто выплатил отступные, и тех, кто остается в красной зоне.

Как говорят исследователи, удивляться нечему, такая схема закрытия маркетов практикуется еще со времен Shadowcrew, а заплативших барыш по итогу тоже кинут, хотя бы в том, что в назначенную дату никакого слива не будет.

Но будем посмотреть.

Исследователи Dr.Web сообщают о результатах расследования целевой АРТ-атаки на российское предприятие в сфере машиностроения, произошедшей в октября 2023 года.

В качестве основной цели замеченной кампании исследователи рассматривают кибершпионаж в отношении инфраструктуры компании и ее внутренней сети.

Для этого злоумышленники задействовали фишинговую рассылку и направили несколько сообщений на электронный адрес пострадавшей компании с темой «расследования» неких уголовных дел по уклонению от уплаты налогов.

Письма отправлялись якобы от имени следователя СК РФ и содержали два вложения. Первым был защищенный паролем zip-архив, включающий вредоносную ПО, при запуске которой начиналось заражение системы.

Вторым был обычный pdf-документ с фишинговым текстом о том, что вся информация об «уголовном деле» находится в архиве, и побуждал открыть вредоносную программу.

Во всех случаях распространяемым злоумышленниками вредоносным приложением был WhiteSnake Stealer, который широко реализуется в даркнете и используется для кражи учетных данных.

В рассматриваемой целевой атаке ему отводилась роль первой ступени заражения, доставляя в систему после запуска SSH-прокси-сервера основную полезную нагрузку - бэкдор JS.BackDoor.60, реализующий собственный фреймворк на JavaScript.

Троян состоит из основного обфусцированного тела, а также вспомогательных модулей, которые благодаря специфике архитектуры вредоносной ПО одновременно являются и ее частью, и задачами, которые та исполняет через общие с ними JavaScript-функции.

Новые задачи поступают трояну с С2 и фактически превращают его в многокомпонентную угрозу с расширяемой функциональностью, что позволяет применять его в качестве мощного инструмента кибершпионажа.

Кроме того, бэкдор имеет достаточно интересный механизм своего автозапуска. Наряду с одним из традиционных способов - внесением необходимых изменений в реестр Windows - троян особым образом модифицировал файлы lnk.

Для этого он проверял содержимое ряда системных каталогов, включая каталог рабочего стола и панели задач, и всем найденным в них ярлыкам, кроме Explorer.lnk или Проводник.lnk, целевым приложением для запуска назначал wscript.exe.

При этом для его запуска указывались специальные аргументы, одним из которых был ADS, в который записывалось тело бэкдора. В результате изменений модифицированные ярлыки вначале запускали JS.BackDoor.60, а уже после ― исходные программы.

Дополнительным инструментом слежки в рассматриваемой атаке стала вредоносная программа BackDoor.SpyBotNET.79, которая использовалась для записи разговоров через подключенный к зараженному компьютеру микрофон.

Результаты анализа не позволили однозначно атрибутировать угрозу к какой-либо из ранее известных APT-группировок, но, по всей видимости, возможности для этого еще представятся.

͏"Какая рабочая атмосфера в вашем коллективе?" - спрашивают подписчики.

Атмосфера в нашем коллективе.

Исследователи из IBM и Амстердамского университета VU Amsterdam сообщают подробности нового типа атаки, которая затрагивет всех основных производителей процессоров, включая Intel, AMD, Arm и IBM, а также ряда широко используемых ПО.

Новая атака, получившая название GhostRace, связана с утечкой данных на основе спекулятивной гонки SRC.

Такая атака может позволить злоумышленникам получить потенциально конфиденциальную информацию из памяти, в том числе пароли и ключи шифрования, но обычно требует физического или привилегированного доступа к целевой машине, а практическое использование в большинстве случаев нетривиально.

Условия гонки возникают, когда несколько потоков одновременно пытаются получить доступ к общему ресурсу, что может создавать уязвимости, которые можно использовать для различных целей, включая RCE, обход средств защиты и получения данных.

Операционные системы используют примитивы синхронизации, чтобы избежать условий гонки, но анализ безопасности этих примитивов, показал, что условия гонки могут сочетаться со спекулятивным выполнением, которое в последние годы часто использовался при атаках на процессоры.

Ключевой вывод заключается в том, что все общие примитивы синхронизации, реализованные с использованием условных ветвей, можно микроархитектурно обойти на спекулятивных путях с помощью атаки Spectre-v1, создавая условия SRC, что обеспечивает утечку информации из целевого программного обеспечения. 

Чтобы реализовать атаку, выполнение процесса-жертвы должно быть прервано в нужной точке, позволяя злоумышленнику выполнить спекулятивные параллельное использование после освобождения SCUAF.

Достигается это за счет новой техники под названием Inter-Process Interrupt Interrupting (IPI) Storming.

Сканирование гаджетов SCUAF в ядре Linux привело к обнаружению почти 1300 потенциально уязвимых.

Исследователи продемонстрировали атаку SCUAF с раскрытием информации на ядро Linux, достигнув утечки памяти ядра 12 Кбит/с. 

Исследование было сосредоточено на архитектурах x86 и Linux, но эксперты заявляют, что затронуты все основные поставщики оборудования, а также любое иное ПО помимо Linux, реализующее примитивы синхронизации посредством условных ветвей без каких-либо инструкций сериализации.

Intel, AMD, Arm и IBM были уведомлены об атаке GhostRace в конце 2023 года, а они, в свою очередь, уведомили поставщиков ОС и гипервизоров, которые также признали наличие проблемы. 

AMD представила по этому поводу рекомендацию, информируя, что предыдущее руководство по атакам Spectre должно также предотвратить атаки GhostRace.

Разработчики гипервизора Xen также выпустили рекомендации, отметив отсутствие в проекте уязвимых для GhostRace устройств.

Разработчики Linux реализовали функцию ограничения скорости IPI, но более не намерены предпринимать дальнейших действий из-за проблем с производительностью. 

Уязвимостям присвоены CVE CVE-2024-2193 (GhostRace) и CVE-2024-26602 (IPI Storming), выпущен PoC.

Кроме того, исследователи представили сценарии для сканирования ядра Linux на предмет гаджетов SCUAF, а также список уже обнаруженных ими гаджетов.

Очередная партия из более 200 уязвимостей закрыта Siemens и Schneider Electric в рамках обновлений за март 2024 года.

Siemens опубликовала 11 новых рекомендаций, описывающих в общей сложности 214 уязвимостей, большая часть которых относится к мобильному считывателю Simatic RF160B.

Два сообщения посвящены уязвимостям FortiOS и Fortigate, поскольку Fortigate NGFW интегрирован с коммутаторами и маршрутизаторами Ruggedcom, а уязвимости Fortinet также влияют на платформу хостинга промышленных приложений Siemens Ruggedcom APE1808.

Одна из двух рекомендаций Ruggedcom APE1808 охватывает семь проблем, а другие 38. Они могут привести к RCE, MitM-атакам, повышению привилегий, утечке информации, обходу функций безопасности и DoS.

В числе уязвимостей Fortinet - CVE-2024-21762 , CVE-2023-27997 и CVE-2022-41328, которые использовались в вредоносных атаках продвинутыми злоумышленниками. 

Промышленный гигант также представил бюллетень с описанием трех уязвимостей в системах противопожарной защиты Sinteso EN и Cerberus PRO EN. 

Одна из них была оценена как критическая (CVSS 10) и позволяет удаленному, неавторизованному злоумышленнику выполнить произвольный код в базовой операционной системе с привилегиями root.

Критическая уязвимость, которая могла привести к выполнению кода, также устранена в Sinema Remote Connect Server.

Уязвимости высокой степени серьезности были обнаружены в Siemens Sentron (DoS) и Solid Edge (RCE).

Siemens выпустила исправления для большинства уязвимых продуктов, но для некоторых исправления до настоящего времени еще не выпущены.

Schneider Electric выкатила только два новых предупреждения.

В одном из них описаны три уязвимости в Easergy T200 RTU для управления распределительными сетями общего пользования среднего и низкого напряжения.

Уязвимости имеют критическую и высокую степень серьезности, могут быть использованы для захвата учетных записей, RCE и несанкционированного доступа к информации.

Однако решение снято с реализации в конце 2021 года, и никаких исправлений предоставляться не будет. Клиентам было рекомендовано перейти на PowerLogic T300.

Другой бюллетень Schneider информирует клиентов о серьезной ошибке удаленного выполнения кода в продуктах EcoStruxure Power Design – Ecodial.

Исследователи Akamai предупреждают о новой уязвимости высокой степени серьезности в Kubernetes позволяет удаленно выполнять код с системными привилегиями на конечных точках Windows в кластере, для которой доступен PoC.

Проблема отслеживается как CVE-2023-5528 и влияет на установки Kubernetes по умолчанию.

Она схожа с CVE-2023-3676 (отсутствие очистки параметра subPath в файлах YAML) и связана с тем, как система оркестрации контейнеров обрабатывает файлы YAML.

В то время как CVE-2023-3676 был обнаружен при обработке службой kubelet файлов YAML, содержащих информацию о подключении общей папки, CVE-2023-5528 возникает при создании модуля, включающего локальный том, который позволяет монтировать разделы диска.

Одна из функций, которую выполняет сервис kubelet при создании такого модуля, формирует символическую ссылку между расположением тома на узле и местоположением внутри модуля.

Поскольку функция содержит вызов cmd, командная строка Windows поддерживает объединение команд. Злоумышленник может контролировать один параметр при выполнении cmd и вводить произвольные команды, которые будут выполняться с привилегиями kubelet.

Однако проблема возникает только при указании или создании persistVolume — типа ресурса хранения, который администраторы могут создать для предварительного выделения места для хранения и который будет действовать после окончания срока службы модуля.

Злоумышленник может изменить значение параметра «local.path» внутри YAML-файла persistVolume, чтобы добавить вредоносную команду, которая будет выполняться во время процесса монтирования.

Чтобы решить эту проблему, Kubernetes удалил вызов cmd и заменил его встроенной функцией Go, которая выполняет только операцию с символической ссылкой.

Все развертывания Kubernetes версии 1.28.3 и более ранних версий с узлами Windows в кластере уязвимы для CVE-2023-5528, исправленная версия - 1.28.4.

Поскольку проблема кроется в исходном коде, угроза останется активной, и вероятность ее использования, вероятно, увеличится - именно поэтому настоятельно рекомендуется исправлять кластер, даже если в нем нет узлов Windows.

Изучив рейтинг OWASP Top Ten, исследователи из Лаборатории Касперского решили поделиться своими соображениями по поводу распределения наиболее значимых уязвимостей через призму наработанного опыта, представив собственный рейтинг.

Для этого собрали данные из выборки проектов по анализу защищенности веб-приложений за 2021–2023 гг.

География анализируемых приложений - преимущественно Россия, Китай и страны Ближнего Востока.

Подавляющее большинство проектов (83%) было выполнено методом черного и серого ящиков, что позволило выявлять четыре из пяти (с доступом к исходному коду) наиболее распространенных типов уязвимостей.

Несмотря на то, что метод белого ящика позволяет найти больше уязвимостей в приложении, анализ методом черного и серого ящиков помогает посмотреть на приложение с точки зрения злоумышленника и выявить наиболее приоритетные для устранения уязвимости.

Теперь, подробнее по результатам.

Почти 70% всех проанализированных приложений содержали уязвимости, связанные с недостатками контроля доступа. Почти половина всех обнаруженных уязвимостей была среднего уровня риска, еще 37% — высокого. 

На втором месте - раскрытие чувствительной информации, но данная категория в отличие от первой содержит больше уязвимостей низкого уровня риска.

Популярность облачной и микросервисной архитектуры постоянно растет, что, в свою очередь, увеличивает поверхность для атак типа SSRF. Более половины приложений (57%) содержали уязвимость, которая позволяла злоумышленнику взаимодействовать с внутренними сервисами в обход логики приложения.

За 2021–2023 годы наибольшее количество проблем высокого уровня риска относились к SQL-уязвимостям, но только только 43% всех изученных веб-приложений содержали уязвимость данного типа, которые могут привести к получению конфиденциальных данных или RCE.

XSS-уязвимости, несмотря на статистику в 61%, оказались на 5 месте, поскольку в большинстве случаев данная уязвимость имела средний уровень риска.

Шестую строчку заняли уязвимости, связанные с недостатками аутентификации, из них 47% среднего уровня риска, но были и серьезные, позволявшие получить доступ к веб-приложению от имени клиента заказчика.

Чуть меньше половины приложений имело небезопасные настройки конфигурации, начиная от включенного режима отладки и до не включенной аутентификации.

Более трети всех приложений позволяли проводить атаки, направленные на подбор учетных данных.

На 9 месте с 22% - это слабые пароли, а 10-ая, но не менее важная категория распространенных уязвимостей — использование компонентов с известными ошибками.

Более подробно ознакомиться с каждой категорией и примерами можно в отчете, где помимо самих уязвимостей представлены также и конкретные рекомендации по каждой из них.

Баги, затрагивающие продукты контроля доступа к зданиям Linear были исправлены только спустя 5 лет после их первоначального обнаружения. Пять лет Карл!

Причем они включали в себя уязвимость, которая активно эксплуатировалась в реальных условиях.

Все началось в мае 2019 года на конференции ICS Cyber Security Conference, когда исследователь из Applied Risk Гьоко Крстич, раскрыл информацию о более чем 100 уязвимостях, обнаруженных в системах управления зданиями и контроля доступа от Nortek, Prima Systems, Optergy и других.

По непонятным причинам Nortek, тогда так и не выпустил патчей несмотря на то, что было обнаружено более 2500 экземпляров продукта контроля доступа Linear eMerge доступных из сети.

В феврале 2020 года, уже SonicWall сообщила, что одна из уязвимостей, обнаруженных Крстичем, была использована в атаках, а именно CVE-2019-7256, представляющая собой критическую ошибку удаленного выполнения кода без аутентификации.

В том же 2020 году CISA опубликовала информацию, что Nortek выпустила исправления для пяти уязвимостей Linear eMerge, обнаруженных Крстичем.

Однако, почему-то эксплуатируемая CVE-2019-7256 не была включена в этот список. WTF хочется спросить и почему злосчастный баг обходят стороной.

Мыс надежды появился в 2021 году, когда Nortek Security & Control была приобретена компанией Nice, специализирующейся на решениях для умного дома, безопасности и автоматизации зданий, но о проблемах безопасности своих продуктов доставшихся по наследству узнала только в 2023 году.

После череды бюллетеней по безопасности от нового вендора и разработки соответствующего обновления прошивки продуктов контроля доступа к дверям серии Linear eMerge E3 проблема как-то разрешилась.

5 марта 2024 года CISA опубликовала новую рекомендацию с описанием дюжины уязвимостей серии Linear eMerge E3, с предупреждением, что баги могут позволить удаленному злоумышленнику получать полный доступ к системе.

Причем все уязвимости имеют идентификаторы CVE 2019 года, включая CVE-2019-7256, которая была активно эксплуатирована.

В свою очередь, Nice подуспокоила клиентов и наконец-то подтвердила выпуск патчей для проблемной прошивки.

͏Пропалестинская группа хактивистов Handala Hack слила в сеть скриншоты панели администрирования приобретенного в 2014 за 900 млн.$ японской Rakuten мессенджера Viber, заявив о его полной компрометации.

Пруфы доступны в одноименном ТГ-канале хакеров.

Хакеры утверждают, что смогли выкрасть более 740 ГБ данных с серверов компании, включая исходный код Viber, который ассоциируют как «аффилированный с оккупационным режимом».

И, судя по скринам, в руках хактивистов оказался достаточно широкий перечень категорий данных, включая логи авторизаций и переписку.

Полученные данные теперь реализуются по цене в 8 битков (544 000 долларов США), по поводу приобретения желающим предлагается обсудить детали через TOX.

Однако сам Viber сообщил журналистам, что в ходе расследования не нашлось никаких доказательств, подтверждающих какие-либо утверждения о вторжении в системы или компрометации пользовательских данных.

Тем не менее, исследователи полагают, что утечка может действительно иметь место, ведь Viber никогда не славился надежными мерами безопасности и лишь недавно реализовал сквозное шифрование, причем сразу после нескольких технологических сбоев.

Какова бы не оказалась дальнейшая судьба утечки и предполагаемого инцидента, кейс достаточно серьезный, будем следить.

Исследователи из Лаборатории Касперского раскрывают нацеленную на китайских пользователей кампанию с задействованием вредоносной рекламы для продвижения троянизированных установщиков Notepad++ и VNote.

В поисках легального ПО Notepad++ и VNote через поисковые системы, в том числе Baidu, китайские юзеры столкнулись со множеством фиктивных ссылок, приводящих к фейковым установщикам популярных текстовых редакторов, а в конечном итоге, к развертыванию бэкдора, схожего с Geacon (реализации Cobalt Strike на основе Golang).

Причем в одном случае по запросу «notepad++» вредоносный сайт выдавался в рекламной строке, во втором (по запросу «vnote») — на первом месте в поисковой выдаче.

Открывая сайт, внимательный пользователь сразу мог заметить забавную нестыковку: в адресе сайта есть строка vnote, в заголовке предлагается скачать Notepad‐‐ (аналог Notepad++), а изображение указывает на Notepad++.

Задействоанный в кампании веб-сайт под названием vnote.fuwenkeji[.]cn включал ссылки для загрузки ПО под Windows, Linux и macOS, причем ссылка на Windows-версию вела на официальный репозиторий и не являлась вредоносной.

Но версии под Linux и macOS, с другой стороны, приводили к вредоносным установочным пакетам, размещенным на vnote-1321786806.cos.ap-hongkong.myqcloud[.]com.

Аналогичным образом фейковые сайты, схожие с VNote («vnote[.]info» и «vnotepad[.]com»), вели на один и тот же набор ссылок myqcloud[.]com, в данном случае также указывающих на установщик Windows. 

Ссылки на потенциально вредоносные версии ПО больше не активны.

Анализ модифицированных установщиков Notepad-- для macOS показал, что они предназначены для получения полезной нагрузки следующего этапа с удаленного сервера, бэкдора DPysMac64 (DPysMacM1).

Он способен создавать SSH-соединения, выполнять файловые операции, считывать процессы, получать доступ к содержимому буфера обмена, загружать и выполнять файлы, производить снимки экрана и даже уходить в спящий режим.

Связь с С» (dns[.]transferusee[.]com) реализовывалась посредством HTTPS.

Исследование угрозы продолжается, ведь артефакты указывают на то, что есть вероятность существования также бэкдора для Linux, возможно, схожего с обнаруженным бэкдором для macOS.

Если атаки и инциденты с такими вымогателями как LockBit, BlackCat и Clop всегда на слуху и в заголовках СМИ, то про StopCrypt вряд ли кто-то слышал.

Известные также как STOP Djvu или STOP, вымогатели на самом деле представляет наиболее широко распространенную из существующих программ-вымогателей.

Все дело в том, что банда нацелена не на предприятия, а на частных пользователей, предъявляя требования выкупа в размере от 400 до 1000 долларов США.

Штаммы STOP обычно распространяются через вредоносную рекламу под видом бесплатного ПО, игровых читов, крякалок и пр., при установке которых пользователи заражаются различными вредоносами, включая и ransomware.

Если до настоящего времени с момента появления 2018 году шифратор-вымогатель не сильно изменялся, то исследователи SonicWall обнаружили в дикой природе новый вариант StopCrypt, который теперь реализует многоэтапный механизм выполнения и включает шелл-коды для обхода инструментов безопасности.

Первоначально вредоносная ПО загружает, казалось бы, несвязанный файл DLL (msim32.dll), возможно, в целях отвлечения внимания. Он также реализует серию циклов с длительной задержкой, которые могут помочь обойти меры безопасности, связанные со временем.

Затем StopCrypt использует динамически создаваемые вызовы API в стеке, чтобы выделить необходимое пространство памяти для разрешений на чтение/запись и выполнение, что усложняет обнаружение.

StopCrypt задействует вызовы API для различных операций, включая создание снимков запущенных процессов, чтобы понять среду, в которой он работает.

Следующий этап включает в себя очистку процесса, когда StopCrypt захватывает текущие процессы и внедряет свою полезную нагрузку для незаметного выполнения в память, что производится с помощью серии четких вызовов API, которые манипулируют памятью процесса и управляют потоком.

После выполнения окончательной полезной нагрузки осуществляется ряд действий по обеспечению устойчивости ransomware, изменению ACL, запрещая пользователям удалять важные файлы и каталоги вредоносного ПО, а также создается запланированное задание для выполнения полезной нагрузки каждые пять минут.

Файлы шифруются с добавлением расширения msjd, но существуют сотни других расширений, связанных со STOP, которые часто меняют их.

Наконец, в каждой папке создается записка с требованием выкупа под названием «_readme.txt» и инструкциями по переводу средств.

Как отмечают SonicWall, эволюция StopCrypt в сторону более скрытной и мощной угрозы несет в себе риски расширения преступной активности банды и нанесения значительного совокупного ущерба в результате атак.

Cisco выпустила исправления для устранения множества уязвимостей в IOS RX, в том числе и трех высокой степени серьезности, приводящих к DoS и повышению привилегий.

Самая серьезная из них — CVE-2024-20320, проблема в функции SSH IOS RX, которая может позволить злоумышленникам повысить привилегии до суперпользователя, отправив специально созданные команды SSH в CLI.

Дыра в безопасности, затронувшая маршрутизаторы серии 8000 и систему NCS серий 540 и 5700, была исправлена с выпуском IOS RX версии 7.10.2. 

Устройства под управлением более старых версий операционной системы следует обновить до исправленной версии.

Вторая уязвимость высокой степени серьезности CVE-2024-20318 затрагивает линейные карты с активированной функцией служб уровня 2. 

Злоумышленник может отправить определенные кадры Ethernet через уязвимое устройство, чтобы вызвать сброс сетевого процессора линейной карты, и может повторить процесс сброса линейной карты, вызывая состояние DoS.

Уязвимость была устранена в версиях IOS RX 7.9.2 и 7.10.1. Cisco также выпустила обновления обслуживания программного обеспечения (SMU), которые устраняют эту ошибку.

Кроме того, исправлена CVE-2024-20327, серьезная DoS-ошибка, влияющуая на функцию завершения PPP через Ethernet (PPPoE) в маршрутизаторах серии ASR 9000. 

Неправильная обработка неправильно сформированных пакетов PPPoE позволяет злоумышленнику привести к сбою процесса ppp_ma, вызывая состояние DoS для трафика PPPoE.

По словам Cisco, эта проблема затрагивает маршрутизаторы, использующие функцию BNG с терминацией PPPoE на линейной карте на базе Lightspeed или Lightspeed-Plus.

Выпуски IOS RX 7.9.21, 7.10.1 и 7.11.1 содержат исправления для недостатка.

Cisco также объявила об исправлениях нескольких уязвимостей средней серьезности в IOS XR, которые могут позволить злоумышленникам обойти защиту, вызвать DoS или установить непроверенные образы ПО.

Недостатки были устранены в рамках полугодового пакета по безопасности IOS RX, который включает восемь рекомендаций.

Информацией об использовании какой-либо из уязвимостей в реальных условиях Cisco не располагает.

Исследователи Cyble предупреждают об обнаружении кампании, нацеленной с 29 февраля на CVE-2024-23334, уязвимости обхода каталогов в библиотеке Python aiohttp.

Aiohttp — это библиотека с открытым исходным кодом, созданная на основе платформы асинхронного ввода-вывода Python Asyncio предназначенная для обработки больших объемов одновременных HTTP-запросов без традиционной многопоточной сети.

Ошибка высокой степени серьезности затрагивает все версии aiohttp, начиная с 3.9.1 и позволяет не прошедшим проверку подлинности удаленным злоумышленникам получать доступ к файлам на уязвимых серверах.

27 февраля 2024 года исследователи представили PoC-эксплойт для CVE-2024-23334, а в начале марта на YouTube вышло подробное видео с пошаговыми инструкциями по ее использованию.

Исправления были выпущены месяцем ранее 28 января в рамках aiohttp 3.9.2.

Как полагают исследователи, за атаками стоит ShadowSyndicate, чей IP-адрес совпал с одним из пяти, замеченных в сканировании серверов, уязвимых к CVE-2024-23334.

Ранее этот адрес упоминался в отчете Group-IB в контексте программы-вымогателя ShadowSyndicate. Банда действует с июля 2022 года и преследует сугубо финансовые цели.

По мнению Грибов, ShadowSyndicate реализует более функции оператора, сотрудничая с такими RaaS, как Quantum, Nokoyawa, BlackCat/ALPHV, Clop, Royal, Cactus и Play.

К настоящему времени исследователи Cyble еще не наблюдали успешных атак, но полагают, что скандирование серверов с использованием уязвимой версии библиотеки aiohttp в перспективе, вероятно, привести к нарушениям.

Что касается поверхности атаки, то ODIN показывает около 44 170 доступных в Интернете экземпляров aiohttp. 

Большинство (15,8%) расположены в США, за ними следуют Германия (8%), Испания (5,7%), Великобритания, Италия, Франция, Россия и Китай.

Адекватно понять, сколько из них уязвимы затруднительно, но практика показывает, что зачастую библиотеки с открытым исходным кодом часто используются в устаревших версиях в течение длительного времени.

Поэтому и задействуется в атаках даже по прошествии длительного времени с момента выпуска обновления безопасности, представляя в связи этим высокую привлекательность для киберподполья. Aiohttp - не исключение.

Пока французские власти упражняются в Наполеона в позе страуса, жители «шестиугольника» столкнулись с последствиями с крупнейшей утечкой, потенциально затронувшей почти 43 миллионов человек.

Виновник торжества - французское агентство по трудоустройству France Travail или Pole Emploi, чьи данные хакеры выкрали в ходе кибератаки в период с 6 февраля по 5 марта 2024 года, что подтверждает Cybermalveillance.

Предполагается, что злоумышленники могли получить информацию по соискателям работы, включая полные установочные данные, номера соцстрахования, идентификатор агентства, почтовый адрес и контактные данные.

В своем заявлении France Travail подтвердила все предположения, уточнив об утечке данных всех регистрировавшихся за последние 20 лет, что соответствует числу в 43 млн.

При этом агентство утверждает, что хакеры не получили доступа к какой-либо финансовой информации.

Пока неясно, была ли France Travail целью группы вымогателей, ни одна известная преступная группировка не взяла на себя ответственность за атаку.

Но France Travail уже не в первый раз приходиться извиняться за свою некомпетентность в вопросах защиты данных, ранее, можно оказать, разминка прошла августе 2023 года, когда утекли сведения по 10 млн. граждан.

Вообще, французским властям следовало бы больше сосредоточиться на решении внутренних вопросов и разрешении инцидентов, особенно в период начавшего жесткого прессинга со стороны хакеров, нежели кукарекать с международной трибуны угрозы.