Админы даркнет-площадки Incognito, специализирующейся на утечках, наркотрафике и продаже прочей запрещенки, решили обчистить своих участников и слиться.

Как сообщает KrebsOnSecurity, наркорынок № 1 сначала 6 марта заморозил все активы пользователей, ссылаясь на технические сбои и обновление платформы, а затем и вовсе лишил их доступа к аккаунтам и средствам.

Но на этом проблемы у завсегдатаев Incognito не закончились.

Теперь один из владельцев маркета Pharoah потребовал от каждого селлера отступные в размере до $20 тысяч в качестве выкупа за неразглашение данных об активности на площадке.

В противном случае все чаты, транзакции валюты и прочие логи будут переданы всеобщей огласке, включая и блюстителей закона, которые уже потирают ручки в ожидании заветной даты слива, запланированной на май месяц.

Анонсированный дамп содержит 557 тысяч заказов и 862 тысяч идентификаторов криптотранзакций.

Причем при открытии админы платформы анонсировали внедренную ими систему автоматического шифрования, которая, как они утверждали, должна была обеспечивать конфиденциальность и зачистку всех следов активности участников.

Но оказалось, что это блеф, а на сайте к настоящему висит таблица со статусом платежа и обозначением тех, кто выплатил отступные, и тех, кто остается в красной зоне.

Как говорят исследователи, удивляться нечему, такая схема закрытия маркетов практикуется еще со времен Shadowcrew, а заплативших барыш по итогу тоже кинут, хотя бы в том, что в назначенную дату никакого слива не будет.

Но будем посмотреть.

Исследователи Dr.Web сообщают о результатах расследования целевой АРТ-атаки на российское предприятие в сфере машиностроения, произошедшей в октября 2023 года.

В качестве основной цели замеченной кампании исследователи рассматривают кибершпионаж в отношении инфраструктуры компании и ее внутренней сети.

Для этого злоумышленники задействовали фишинговую рассылку и направили несколько сообщений на электронный адрес пострадавшей компании с темой «расследования» неких уголовных дел по уклонению от уплаты налогов.

Письма отправлялись якобы от имени следователя СК РФ и содержали два вложения. Первым был защищенный паролем zip-архив, включающий вредоносную ПО, при запуске которой начиналось заражение системы.

Вторым был обычный pdf-документ с фишинговым текстом о том, что вся информация об «уголовном деле» находится в архиве, и побуждал открыть вредоносную программу.

Во всех случаях распространяемым злоумышленниками вредоносным приложением был WhiteSnake Stealer, который широко реализуется в даркнете и используется для кражи учетных данных.

В рассматриваемой целевой атаке ему отводилась роль первой ступени заражения, доставляя в систему после запуска SSH-прокси-сервера основную полезную нагрузку - бэкдор JS.BackDoor.60, реализующий собственный фреймворк на JavaScript.

Троян состоит из основного обфусцированного тела, а также вспомогательных модулей, которые благодаря специфике архитектуры вредоносной ПО одновременно являются и ее частью, и задачами, которые та исполняет через общие с ними JavaScript-функции.

Новые задачи поступают трояну с С2 и фактически превращают его в многокомпонентную угрозу с расширяемой функциональностью, что позволяет применять его в качестве мощного инструмента кибершпионажа.

Кроме того, бэкдор имеет достаточно интересный механизм своего автозапуска. Наряду с одним из традиционных способов - внесением необходимых изменений в реестр Windows - троян особым образом модифицировал файлы lnk.

Для этого он проверял содержимое ряда системных каталогов, включая каталог рабочего стола и панели задач, и всем найденным в них ярлыкам, кроме Explorer.lnk или Проводник.lnk, целевым приложением для запуска назначал wscript.exe.

При этом для его запуска указывались специальные аргументы, одним из которых был ADS, в который записывалось тело бэкдора. В результате изменений модифицированные ярлыки вначале запускали JS.BackDoor.60, а уже после ― исходные программы.

Дополнительным инструментом слежки в рассматриваемой атаке стала вредоносная программа BackDoor.SpyBotNET.79, которая использовалась для записи разговоров через подключенный к зараженному компьютеру микрофон.

Результаты анализа не позволили однозначно атрибутировать угрозу к какой-либо из ранее известных APT-группировок, но, по всей видимости, возможности для этого еще представятся.

͏"Какая рабочая атмосфера в вашем коллективе?" - спрашивают подписчики.

Атмосфера в нашем коллективе.

Исследователи из IBM и Амстердамского университета VU Amsterdam сообщают подробности нового типа атаки, которая затрагивет всех основных производителей процессоров, включая Intel, AMD, Arm и IBM, а также ряда широко используемых ПО.

Новая атака, получившая название GhostRace, связана с утечкой данных на основе спекулятивной гонки SRC.

Такая атака может позволить злоумышленникам получить потенциально конфиденциальную информацию из памяти, в том числе пароли и ключи шифрования, но обычно требует физического или привилегированного доступа к целевой машине, а практическое использование в большинстве случаев нетривиально.

Условия гонки возникают, когда несколько потоков одновременно пытаются получить доступ к общему ресурсу, что может создавать уязвимости, которые можно использовать для различных целей, включая RCE, обход средств защиты и получения данных.

Операционные системы используют примитивы синхронизации, чтобы избежать условий гонки, но анализ безопасности этих примитивов, показал, что условия гонки могут сочетаться со спекулятивным выполнением, которое в последние годы часто использовался при атаках на процессоры.

Ключевой вывод заключается в том, что все общие примитивы синхронизации, реализованные с использованием условных ветвей, можно микроархитектурно обойти на спекулятивных путях с помощью атаки Spectre-v1, создавая условия SRC, что обеспечивает утечку информации из целевого программного обеспечения. 

Чтобы реализовать атаку, выполнение процесса-жертвы должно быть прервано в нужной точке, позволяя злоумышленнику выполнить спекулятивные параллельное использование после освобождения SCUAF.

Достигается это за счет новой техники под названием Inter-Process Interrupt Interrupting (IPI) Storming.

Сканирование гаджетов SCUAF в ядре Linux привело к обнаружению почти 1300 потенциально уязвимых.

Исследователи продемонстрировали атаку SCUAF с раскрытием информации на ядро Linux, достигнув утечки памяти ядра 12 Кбит/с. 

Исследование было сосредоточено на архитектурах x86 и Linux, но эксперты заявляют, что затронуты все основные поставщики оборудования, а также любое иное ПО помимо Linux, реализующее примитивы синхронизации посредством условных ветвей без каких-либо инструкций сериализации.

Intel, AMD, Arm и IBM были уведомлены об атаке GhostRace в конце 2023 года, а они, в свою очередь, уведомили поставщиков ОС и гипервизоров, которые также признали наличие проблемы. 

AMD представила по этому поводу рекомендацию, информируя, что предыдущее руководство по атакам Spectre должно также предотвратить атаки GhostRace.

Разработчики гипервизора Xen также выпустили рекомендации, отметив отсутствие в проекте уязвимых для GhostRace устройств.

Разработчики Linux реализовали функцию ограничения скорости IPI, но более не намерены предпринимать дальнейших действий из-за проблем с производительностью. 

Уязвимостям присвоены CVE CVE-2024-2193 (GhostRace) и CVE-2024-26602 (IPI Storming), выпущен PoC.

Кроме того, исследователи представили сценарии для сканирования ядра Linux на предмет гаджетов SCUAF, а также список уже обнаруженных ими гаджетов.

Очередная партия из более 200 уязвимостей закрыта Siemens и Schneider Electric в рамках обновлений за март 2024 года.

Siemens опубликовала 11 новых рекомендаций, описывающих в общей сложности 214 уязвимостей, большая часть которых относится к мобильному считывателю Simatic RF160B.

Два сообщения посвящены уязвимостям FortiOS и Fortigate, поскольку Fortigate NGFW интегрирован с коммутаторами и маршрутизаторами Ruggedcom, а уязвимости Fortinet также влияют на платформу хостинга промышленных приложений Siemens Ruggedcom APE1808.

Одна из двух рекомендаций Ruggedcom APE1808 охватывает семь проблем, а другие 38. Они могут привести к RCE, MitM-атакам, повышению привилегий, утечке информации, обходу функций безопасности и DoS.

В числе уязвимостей Fortinet - CVE-2024-21762 , CVE-2023-27997 и CVE-2022-41328, которые использовались в вредоносных атаках продвинутыми злоумышленниками. 

Промышленный гигант также представил бюллетень с описанием трех уязвимостей в системах противопожарной защиты Sinteso EN и Cerberus PRO EN. 

Одна из них была оценена как критическая (CVSS 10) и позволяет удаленному, неавторизованному злоумышленнику выполнить произвольный код в базовой операционной системе с привилегиями root.

Критическая уязвимость, которая могла привести к выполнению кода, также устранена в Sinema Remote Connect Server.

Уязвимости высокой степени серьезности были обнаружены в Siemens Sentron (DoS) и Solid Edge (RCE).

Siemens выпустила исправления для большинства уязвимых продуктов, но для некоторых исправления до настоящего времени еще не выпущены.

Schneider Electric выкатила только два новых предупреждения.

В одном из них описаны три уязвимости в Easergy T200 RTU для управления распределительными сетями общего пользования среднего и низкого напряжения.

Уязвимости имеют критическую и высокую степень серьезности, могут быть использованы для захвата учетных записей, RCE и несанкционированного доступа к информации.

Однако решение снято с реализации в конце 2021 года, и никаких исправлений предоставляться не будет. Клиентам было рекомендовано перейти на PowerLogic T300.

Другой бюллетень Schneider информирует клиентов о серьезной ошибке удаленного выполнения кода в продуктах EcoStruxure Power Design – Ecodial.

Исследователи Akamai предупреждают о новой уязвимости высокой степени серьезности в Kubernetes позволяет удаленно выполнять код с системными привилегиями на конечных точках Windows в кластере, для которой доступен PoC.

Проблема отслеживается как CVE-2023-5528 и влияет на установки Kubernetes по умолчанию.

Она схожа с CVE-2023-3676 (отсутствие очистки параметра subPath в файлах YAML) и связана с тем, как система оркестрации контейнеров обрабатывает файлы YAML.

В то время как CVE-2023-3676 был обнаружен при обработке службой kubelet файлов YAML, содержащих информацию о подключении общей папки, CVE-2023-5528 возникает при создании модуля, включающего локальный том, который позволяет монтировать разделы диска.

Одна из функций, которую выполняет сервис kubelet при создании такого модуля, формирует символическую ссылку между расположением тома на узле и местоположением внутри модуля.

Поскольку функция содержит вызов cmd, командная строка Windows поддерживает объединение команд. Злоумышленник может контролировать один параметр при выполнении cmd и вводить произвольные команды, которые будут выполняться с привилегиями kubelet.

Однако проблема возникает только при указании или создании persistVolume — типа ресурса хранения, который администраторы могут создать для предварительного выделения места для хранения и который будет действовать после окончания срока службы модуля.

Злоумышленник может изменить значение параметра «local.path» внутри YAML-файла persistVolume, чтобы добавить вредоносную команду, которая будет выполняться во время процесса монтирования.

Чтобы решить эту проблему, Kubernetes удалил вызов cmd и заменил его встроенной функцией Go, которая выполняет только операцию с символической ссылкой.

Все развертывания Kubernetes версии 1.28.3 и более ранних версий с узлами Windows в кластере уязвимы для CVE-2023-5528, исправленная версия - 1.28.4.

Поскольку проблема кроется в исходном коде, угроза останется активной, и вероятность ее использования, вероятно, увеличится - именно поэтому настоятельно рекомендуется исправлять кластер, даже если в нем нет узлов Windows.

Изучив рейтинг OWASP Top Ten, исследователи из Лаборатории Касперского решили поделиться своими соображениями по поводу распределения наиболее значимых уязвимостей через призму наработанного опыта, представив собственный рейтинг.

Для этого собрали данные из выборки проектов по анализу защищенности веб-приложений за 2021–2023 гг.

География анализируемых приложений - преимущественно Россия, Китай и страны Ближнего Востока.

Подавляющее большинство проектов (83%) было выполнено методом черного и серого ящиков, что позволило выявлять четыре из пяти (с доступом к исходному коду) наиболее распространенных типов уязвимостей.

Несмотря на то, что метод белого ящика позволяет найти больше уязвимостей в приложении, анализ методом черного и серого ящиков помогает посмотреть на приложение с точки зрения злоумышленника и выявить наиболее приоритетные для устранения уязвимости.

Теперь, подробнее по результатам.

Почти 70% всех проанализированных приложений содержали уязвимости, связанные с недостатками контроля доступа. Почти половина всех обнаруженных уязвимостей была среднего уровня риска, еще 37% — высокого. 

На втором месте - раскрытие чувствительной информации, но данная категория в отличие от первой содержит больше уязвимостей низкого уровня риска.

Популярность облачной и микросервисной архитектуры постоянно растет, что, в свою очередь, увеличивает поверхность для атак типа SSRF. Более половины приложений (57%) содержали уязвимость, которая позволяла злоумышленнику взаимодействовать с внутренними сервисами в обход логики приложения.

За 2021–2023 годы наибольшее количество проблем высокого уровня риска относились к SQL-уязвимостям, но только только 43% всех изученных веб-приложений содержали уязвимость данного типа, которые могут привести к получению конфиденциальных данных или RCE.

XSS-уязвимости, несмотря на статистику в 61%, оказались на 5 месте, поскольку в большинстве случаев данная уязвимость имела средний уровень риска.

Шестую строчку заняли уязвимости, связанные с недостатками аутентификации, из них 47% среднего уровня риска, но были и серьезные, позволявшие получить доступ к веб-приложению от имени клиента заказчика.

Чуть меньше половины приложений имело небезопасные настройки конфигурации, начиная от включенного режима отладки и до не включенной аутентификации.

Более трети всех приложений позволяли проводить атаки, направленные на подбор учетных данных.

На 9 месте с 22% - это слабые пароли, а 10-ая, но не менее важная категория распространенных уязвимостей — использование компонентов с известными ошибками.

Более подробно ознакомиться с каждой категорией и примерами можно в отчете, где помимо самих уязвимостей представлены также и конкретные рекомендации по каждой из них.

Баги, затрагивающие продукты контроля доступа к зданиям Linear были исправлены только спустя 5 лет после их первоначального обнаружения. Пять лет Карл!

Причем они включали в себя уязвимость, которая активно эксплуатировалась в реальных условиях.

Все началось в мае 2019 года на конференции ICS Cyber Security Conference, когда исследователь из Applied Risk Гьоко Крстич, раскрыл информацию о более чем 100 уязвимостях, обнаруженных в системах управления зданиями и контроля доступа от Nortek, Prima Systems, Optergy и других.

По непонятным причинам Nortek, тогда так и не выпустил патчей несмотря на то, что было обнаружено более 2500 экземпляров продукта контроля доступа Linear eMerge доступных из сети.

В феврале 2020 года, уже SonicWall сообщила, что одна из уязвимостей, обнаруженных Крстичем, была использована в атаках, а именно CVE-2019-7256, представляющая собой критическую ошибку удаленного выполнения кода без аутентификации.

В том же 2020 году CISA опубликовала информацию, что Nortek выпустила исправления для пяти уязвимостей Linear eMerge, обнаруженных Крстичем.

Однако, почему-то эксплуатируемая CVE-2019-7256 не была включена в этот список. WTF хочется спросить и почему злосчастный баг обходят стороной.

Мыс надежды появился в 2021 году, когда Nortek Security & Control была приобретена компанией Nice, специализирующейся на решениях для умного дома, безопасности и автоматизации зданий, но о проблемах безопасности своих продуктов доставшихся по наследству узнала только в 2023 году.

После череды бюллетеней по безопасности от нового вендора и разработки соответствующего обновления прошивки продуктов контроля доступа к дверям серии Linear eMerge E3 проблема как-то разрешилась.

5 марта 2024 года CISA опубликовала новую рекомендацию с описанием дюжины уязвимостей серии Linear eMerge E3, с предупреждением, что баги могут позволить удаленному злоумышленнику получать полный доступ к системе.

Причем все уязвимости имеют идентификаторы CVE 2019 года, включая CVE-2019-7256, которая была активно эксплуатирована.

В свою очередь, Nice подуспокоила клиентов и наконец-то подтвердила выпуск патчей для проблемной прошивки.

͏Пропалестинская группа хактивистов Handala Hack слила в сеть скриншоты панели администрирования приобретенного в 2014 за 900 млн.$ японской Rakuten мессенджера Viber, заявив о его полной компрометации.

Пруфы доступны в одноименном ТГ-канале хакеров.

Хакеры утверждают, что смогли выкрасть более 740 ГБ данных с серверов компании, включая исходный код Viber, который ассоциируют как «аффилированный с оккупационным режимом».

И, судя по скринам, в руках хактивистов оказался достаточно широкий перечень категорий данных, включая логи авторизаций и переписку.

Полученные данные теперь реализуются по цене в 8 битков (544 000 долларов США), по поводу приобретения желающим предлагается обсудить детали через TOX.

Однако сам Viber сообщил журналистам, что в ходе расследования не нашлось никаких доказательств, подтверждающих какие-либо утверждения о вторжении в системы или компрометации пользовательских данных.

Тем не менее, исследователи полагают, что утечка может действительно иметь место, ведь Viber никогда не славился надежными мерами безопасности и лишь недавно реализовал сквозное шифрование, причем сразу после нескольких технологических сбоев.

Какова бы не оказалась дальнейшая судьба утечки и предполагаемого инцидента, кейс достаточно серьезный, будем следить.

Исследователи из Лаборатории Касперского раскрывают нацеленную на китайских пользователей кампанию с задействованием вредоносной рекламы для продвижения троянизированных установщиков Notepad++ и VNote.

В поисках легального ПО Notepad++ и VNote через поисковые системы, в том числе Baidu, китайские юзеры столкнулись со множеством фиктивных ссылок, приводящих к фейковым установщикам популярных текстовых редакторов, а в конечном итоге, к развертыванию бэкдора, схожего с Geacon (реализации Cobalt Strike на основе Golang).

Причем в одном случае по запросу «notepad++» вредоносный сайт выдавался в рекламной строке, во втором (по запросу «vnote») — на первом месте в поисковой выдаче.

Открывая сайт, внимательный пользователь сразу мог заметить забавную нестыковку: в адресе сайта есть строка vnote, в заголовке предлагается скачать Notepad‐‐ (аналог Notepad++), а изображение указывает на Notepad++.

Задействоанный в кампании веб-сайт под названием vnote.fuwenkeji[.]cn включал ссылки для загрузки ПО под Windows, Linux и macOS, причем ссылка на Windows-версию вела на официальный репозиторий и не являлась вредоносной.

Но версии под Linux и macOS, с другой стороны, приводили к вредоносным установочным пакетам, размещенным на vnote-1321786806.cos.ap-hongkong.myqcloud[.]com.

Аналогичным образом фейковые сайты, схожие с VNote («vnote[.]info» и «vnotepad[.]com»), вели на один и тот же набор ссылок myqcloud[.]com, в данном случае также указывающих на установщик Windows. 

Ссылки на потенциально вредоносные версии ПО больше не активны.

Анализ модифицированных установщиков Notepad-- для macOS показал, что они предназначены для получения полезной нагрузки следующего этапа с удаленного сервера, бэкдора DPysMac64 (DPysMacM1).

Он способен создавать SSH-соединения, выполнять файловые операции, считывать процессы, получать доступ к содержимому буфера обмена, загружать и выполнять файлы, производить снимки экрана и даже уходить в спящий режим.

Связь с С» (dns[.]transferusee[.]com) реализовывалась посредством HTTPS.

Исследование угрозы продолжается, ведь артефакты указывают на то, что есть вероятность существования также бэкдора для Linux, возможно, схожего с обнаруженным бэкдором для macOS.

Если атаки и инциденты с такими вымогателями как LockBit, BlackCat и Clop всегда на слуху и в заголовках СМИ, то про StopCrypt вряд ли кто-то слышал.

Известные также как STOP Djvu или STOP, вымогатели на самом деле представляет наиболее широко распространенную из существующих программ-вымогателей.

Все дело в том, что банда нацелена не на предприятия, а на частных пользователей, предъявляя требования выкупа в размере от 400 до 1000 долларов США.

Штаммы STOP обычно распространяются через вредоносную рекламу под видом бесплатного ПО, игровых читов, крякалок и пр., при установке которых пользователи заражаются различными вредоносами, включая и ransomware.

Если до настоящего времени с момента появления 2018 году шифратор-вымогатель не сильно изменялся, то исследователи SonicWall обнаружили в дикой природе новый вариант StopCrypt, который теперь реализует многоэтапный механизм выполнения и включает шелл-коды для обхода инструментов безопасности.

Первоначально вредоносная ПО загружает, казалось бы, несвязанный файл DLL (msim32.dll), возможно, в целях отвлечения внимания. Он также реализует серию циклов с длительной задержкой, которые могут помочь обойти меры безопасности, связанные со временем.

Затем StopCrypt использует динамически создаваемые вызовы API в стеке, чтобы выделить необходимое пространство памяти для разрешений на чтение/запись и выполнение, что усложняет обнаружение.

StopCrypt задействует вызовы API для различных операций, включая создание снимков запущенных процессов, чтобы понять среду, в которой он работает.

Следующий этап включает в себя очистку процесса, когда StopCrypt захватывает текущие процессы и внедряет свою полезную нагрузку для незаметного выполнения в память, что производится с помощью серии четких вызовов API, которые манипулируют памятью процесса и управляют потоком.

После выполнения окончательной полезной нагрузки осуществляется ряд действий по обеспечению устойчивости ransomware, изменению ACL, запрещая пользователям удалять важные файлы и каталоги вредоносного ПО, а также создается запланированное задание для выполнения полезной нагрузки каждые пять минут.

Файлы шифруются с добавлением расширения msjd, но существуют сотни других расширений, связанных со STOP, которые часто меняют их.

Наконец, в каждой папке создается записка с требованием выкупа под названием «_readme.txt» и инструкциями по переводу средств.

Как отмечают SonicWall, эволюция StopCrypt в сторону более скрытной и мощной угрозы несет в себе риски расширения преступной активности банды и нанесения значительного совокупного ущерба в результате атак.

Cisco выпустила исправления для устранения множества уязвимостей в IOS RX, в том числе и трех высокой степени серьезности, приводящих к DoS и повышению привилегий.

Самая серьезная из них — CVE-2024-20320, проблема в функции SSH IOS RX, которая может позволить злоумышленникам повысить привилегии до суперпользователя, отправив специально созданные команды SSH в CLI.

Дыра в безопасности, затронувшая маршрутизаторы серии 8000 и систему NCS серий 540 и 5700, была исправлена с выпуском IOS RX версии 7.10.2. 

Устройства под управлением более старых версий операционной системы следует обновить до исправленной версии.

Вторая уязвимость высокой степени серьезности CVE-2024-20318 затрагивает линейные карты с активированной функцией служб уровня 2. 

Злоумышленник может отправить определенные кадры Ethernet через уязвимое устройство, чтобы вызвать сброс сетевого процессора линейной карты, и может повторить процесс сброса линейной карты, вызывая состояние DoS.

Уязвимость была устранена в версиях IOS RX 7.9.2 и 7.10.1. Cisco также выпустила обновления обслуживания программного обеспечения (SMU), которые устраняют эту ошибку.

Кроме того, исправлена CVE-2024-20327, серьезная DoS-ошибка, влияющуая на функцию завершения PPP через Ethernet (PPPoE) в маршрутизаторах серии ASR 9000. 

Неправильная обработка неправильно сформированных пакетов PPPoE позволяет злоумышленнику привести к сбою процесса ppp_ma, вызывая состояние DoS для трафика PPPoE.

По словам Cisco, эта проблема затрагивает маршрутизаторы, использующие функцию BNG с терминацией PPPoE на линейной карте на базе Lightspeed или Lightspeed-Plus.

Выпуски IOS RX 7.9.21, 7.10.1 и 7.11.1 содержат исправления для недостатка.

Cisco также объявила об исправлениях нескольких уязвимостей средней серьезности в IOS XR, которые могут позволить злоумышленникам обойти защиту, вызвать DoS или установить непроверенные образы ПО.

Недостатки были устранены в рамках полугодового пакета по безопасности IOS RX, который включает восемь рекомендаций.

Информацией об использовании какой-либо из уязвимостей в реальных условиях Cisco не располагает.

Исследователи Cyble предупреждают об обнаружении кампании, нацеленной с 29 февраля на CVE-2024-23334, уязвимости обхода каталогов в библиотеке Python aiohttp.

Aiohttp — это библиотека с открытым исходным кодом, созданная на основе платформы асинхронного ввода-вывода Python Asyncio предназначенная для обработки больших объемов одновременных HTTP-запросов без традиционной многопоточной сети.

Ошибка высокой степени серьезности затрагивает все версии aiohttp, начиная с 3.9.1 и позволяет не прошедшим проверку подлинности удаленным злоумышленникам получать доступ к файлам на уязвимых серверах.

27 февраля 2024 года исследователи представили PoC-эксплойт для CVE-2024-23334, а в начале марта на YouTube вышло подробное видео с пошаговыми инструкциями по ее использованию.

Исправления были выпущены месяцем ранее 28 января в рамках aiohttp 3.9.2.

Как полагают исследователи, за атаками стоит ShadowSyndicate, чей IP-адрес совпал с одним из пяти, замеченных в сканировании серверов, уязвимых к CVE-2024-23334.

Ранее этот адрес упоминался в отчете Group-IB в контексте программы-вымогателя ShadowSyndicate. Банда действует с июля 2022 года и преследует сугубо финансовые цели.

По мнению Грибов, ShadowSyndicate реализует более функции оператора, сотрудничая с такими RaaS, как Quantum, Nokoyawa, BlackCat/ALPHV, Clop, Royal, Cactus и Play.

К настоящему времени исследователи Cyble еще не наблюдали успешных атак, но полагают, что скандирование серверов с использованием уязвимой версии библиотеки aiohttp в перспективе, вероятно, привести к нарушениям.

Что касается поверхности атаки, то ODIN показывает около 44 170 доступных в Интернете экземпляров aiohttp. 

Большинство (15,8%) расположены в США, за ними следуют Германия (8%), Испания (5,7%), Великобритания, Италия, Франция, Россия и Китай.

Адекватно понять, сколько из них уязвимы затруднительно, но практика показывает, что зачастую библиотеки с открытым исходным кодом часто используются в устаревших версиях в течение длительного времени.

Поэтому и задействуется в атаках даже по прошествии длительного времени с момента выпуска обновления безопасности, представляя в связи этим высокую привлекательность для киберподполья. Aiohttp - не исключение.

Пока французские власти упражняются в Наполеона в позе страуса, жители «шестиугольника» столкнулись с последствиями с крупнейшей утечкой, потенциально затронувшей почти 43 миллионов человек.

Виновник торжества - французское агентство по трудоустройству France Travail или Pole Emploi, чьи данные хакеры выкрали в ходе кибератаки в период с 6 февраля по 5 марта 2024 года, что подтверждает Cybermalveillance.

Предполагается, что злоумышленники могли получить информацию по соискателям работы, включая полные установочные данные, номера соцстрахования, идентификатор агентства, почтовый адрес и контактные данные.

В своем заявлении France Travail подтвердила все предположения, уточнив об утечке данных всех регистрировавшихся за последние 20 лет, что соответствует числу в 43 млн.

При этом агентство утверждает, что хакеры не получили доступа к какой-либо финансовой информации.

Пока неясно, была ли France Travail целью группы вымогателей, ни одна известная преступная группировка не взяла на себя ответственность за атаку.

Но France Travail уже не в первый раз приходиться извиняться за свою некомпетентность в вопросах защиты данных, ранее, можно оказать, разминка прошла августе 2023 года, когда утекли сведения по 10 млн. граждан.

Вообще, французским властям следовало бы больше сосредоточиться на решении внутренних вопросов и разрешении инцидентов, особенно в период начавшего жесткого прессинга со стороны хакеров, нежели кукарекать с международной трибуны угрозы.

Исследователи из Университета Огасты в США разработали новый метод акустической атаки на клавиатуры, который позволяет определять текст, вводимый пользователем, на основе анализа звуков, издаваемых при нажатии клавиш.

Вряд ли дело дойдет до боевого применения, поскольку метод демонстрирует среднюю успешность в 43%, что, хотя и ниже, чем показатели других известных методов, но обладает значительным преимуществом в виде возможности работы в неконтролируемых условиях и в различных шумных средах.

Основой атаки является использование специализированного софта для захвата уникальных звуковых сигналов, издаваемых клавишами при печати, и последующий анализ этих данных для идентификации конкретных слов и фраз.

Только для успешного проведения атаки необходимо сначала собрать некоторое количество образцов печати от цели и обучить дабы можно было сопоставить звуковые волны с конкретными клавишами и словами.

Запись может быть выполнена как с использованием скрытого микрофона, так и через уже скомпрометированные устройства, находящиеся поблизости от цели, включая смартфоны, ноутбуки и умные колонки.

Ученные отмечают, что для обучения статистической модели, которая будет предсказывать текст на основе акустических данных, не требуется большого объема данных, но критически важно записать несколько сессий печати в различных условиях.

Разработанная модель учитывает временные интервалы между нажатиями клавиш, а также допускает небольшое отклонение в данных, чтобы компенсировать возможные ошибки или шум в записи.

Это позволяет методу быть достаточно гибким и адаптивным к различным условиям печати.

Точность метода в среднем составляет 43%, что уже заставляет снять шляпу перед исследователями и считать метод потенциально опасным инструментом для проведения атак в реальных условиях.

Однако существуют определенные ограничения, которые могут снижать эффективность атаки.

Например, менее уязвимыми являются пользователи, не имеющие стабильного паттерна печати из-за редкого использования клавиатуры, а также профессиональные печатники, скорость печати которых может затруднить точное профилирование.

Все, как всегда, дуракам повезло, а умных и продвинутых беда обойдет стороной.

Стоит проявлять бдительность, поскольку злоумышленники адаптировали атаки для кражи телефонного номера, перенося его на новую eSIM-карту.

Как, наверное, многие знают eSIMы представляют собой цифровые карты, хранящиеся на чипе мобильного устройства и выполняющие ту же роль и назначение, что и физическая SIM-карта.

Так вот коллеги из F.A.C.C.T. сообщают о случаях использования eSIM для перехвата телефонных номеров и обхода средств защиты с целью получения доступа к банковским счетам.

Новаторство заключается в том, что если раньше, чтоб получить SIM дроп бежал с доверкой в ОпСоС, то сейчас злоумышленники сначала взламывают мобильную учетную запись пользователя с помощью утечек, фишинга или развода и уже самостоятельно через личный кабинет инициируют перенос номера жертвы на другое устройство.

Дальше все по классике: получив доступ к номеру мобильного телефона жертвы, мошенники отрабатывают коды доступа и двухфакторную аутентификацию к различным сервисам, включая банки и мессенджеры.

Собственно, метод защиты простой – это не вестись на разводки и использовать сложные и уникальные пароли для учетной записи от личного кабинета с 2FA.

Исследователи Trend Micro сообщают о новой кампании кибершпионажа APT Earth Krahang, нацеленной на 70 правительственных учреждений в 23 странах с особым упором на Юго-Восточную Азию, но также нацеленную на Европу, Америку и Африку.

Одна из любимых тактик злоумышленника включает в себя использование злонамеренного доступа к правительственной инфраструктуре для атак на другие правительственные учреждения.

Злоупотребляя ей, Earth Krahang реализует размещение вредоносной полезной нагрузки, трафик прокси-атак и отправку фишинговый писем с вложеними или встроенными URL-ссылками со скомпрометированных учетных записей.

Дальнейшая цепочка включала Cobalt Strike и два специальных бэкдора RESHELL и XDealer.

RESHELL — это простой бэкдор .NET, обладающий возможностями сбора информации, загрузки файлов или выполнения системных команд. Его двоичные файлы упакованы в ConfuserEX, а его обмен данными С2 зашифрован с помощью AES.

С 2023 года Earth Krahang перешел на другой бэкдор с более широкими возможностями (названный XDealer от TeamT5 и DinodasRAT от ESET), атакуя Windows и Linux системы. Причем бэкдор все еще находится в стадии активной разработки.

Стоит отметить, что многие ранние образцы XDealer были разработаны в виде файла DLL, упакованного с установщиком, DLL модуля Steer, строки идентификатора содержимого текстового файла и файла LNK.

Файл LNK запускает программу установки, которая затем устанавливает DLL XDealer и DLL модуля Steer на компьютер жертвы. Модуль Stealer может делать снимки экрана, красть данные буфера обмена и регистрировать нажатия клавиш.

Причем некоторые из загрузчиков DLL XDealer были подписаны действительными сертификатами подписи кода, выданными GlobalSign двум китайским компаниям.

Cobalt Strike также часто использовался на начальном этапе атаки. При этом Earth Krahang добавила дополнительную защиту к своему C2-серверу за счет внедрения проекта с открытым исходным кодом RedGuard.

Earth Krahang также создает VPN-серверы (SoftEther) на скомпрометированных общедоступных серверах для доступа к сети жертв и проведение брута к учетным данным электронной почты и кражи переписки.

Для сканирования и доступа к серверу прибегает к sqlmap, kernel, xray, vscan, pocsuite и wordpressscan.

Используя данные телеметрии, исследователи также обнаружили, что злоумышленник также размещал образцы PlugX и ShadowPad в средах жертв.

Расследование выявило многочисленные связи между Earth Krahang и Earth Lusca, что может указывать на то, что этими двумя группами вторжений управляет один и тот же злоумышленник.

͏До недавнего времени нашими любимцами по части виртуозной атрибуции были американские индусы из компании Cyble со своим расследованием про коварную кибератаку на Tatar-Language Users.

Однако неожиданно, прямо на повороте, их обгоняют пытливые умы из Cyfirma со своим конгениальным кейсом про ransomware WinDestroyer.

Во-первых, WinDestroyer не оставляет требований о выкупе (ну или эксперты Cyfirma их просто не нашли). Это значит, что в деле замешана геополитика!

Во-вторых, все эти ваши YARA, матрицы MITRE (в конце отчета таки вспомнили), вредоносные инфраструктуры всякие - это для лохов. Настоящий инструмент продвинутого ресерчера - YouTube!

Идем туда, вбиваем в поиск название вымогателя и получаем все данные для точной атрибуции. А именно - канал WinDestroyer с 5 подписчиками и 1 видео про Путина. Все следы ведут в Россию!

Дальше шаримся по слитым в сеть нивчемневиноватымимамойклянусь российскими операторами персданных базам, в которых ищем никнейм WinDestroyer. И, само собой, его находим! Злоумышленник живет в России и работает в сети из-под IP-адреса провайдера из Санкт-Петербурга (потом, правда упоминание города из отчета убрали). Убийца - садовник! Злодей найден, Россия во всем виновата, покупайте продукты от Cyfirma (нет)!

Мы настолько впечатлились дедуктивным методом исследователей Cyfirma, что решили продолжить их дело. Пошуршали по всяким Интернет-помойкам и, не поверите, нашли еще одного WinDestroyer'а, правда из Хабаровска. На первый взгляд - несостыковка... Но нет!

Все очень просто, WinDestroyer из Питера и WinDestroyer из Хабаровска - это сиамские близнецы-программисты, жертвы бесчеловечных экспериментов КГБ, разлученные в раннем детстве карательной советской медициной! Чтобы до них не добралась русская мафия одного отправили на Дальний Восток, второго на недальний север. Но они установили телепатическую связь, которую получили через секретную прививку от КГБ, и выбрали себе один и тот же псевдоним в сети! Шах и мат, аметисты!

А если серьезно, то клюквеннее этого расследования уже вряд ли что-то будет.