Исследователи WatchTowr задаются вопросом, почему индустрия паникует по поводу бэкдора в библиотеках, в то время как поставщики решений безопасности не могут даже обновить используемые библиотеки в своих продуктах, допуская тривиальную эксплуатацию.

В общем, обрушились с критикой на IBM, которая не обновляла свой флагманский продукт, можно сказать, жемчужину компании и сердце стека безопасности многих ее клиентов, - QRadar SIEM.

Оставляя уязвимым для давней ошибки сервера Apache (CVE-2022-26377, CVSS: 7,3), поставщик открывал злоумышленникам возможность перехватить на себя сеанс пользователя и взять под контроль экземпляр QRadar SIEM в одном запросе.

Поставщика, безусловно, уведомили и были выпущены соответствующие исправления, но неприятный осадочек остался.

͏Минутка истории на канале SecAtor

͏После разборок со спецслужбами BreachForums перешел на разборки внутри киберподполья, став жертвой новой скоординированной кибератаки, которая привела к его приостановке.

В прошлый раз форум окучили в июне 2023 года хакеры ShinyHunters, выкрав и опубличив впоследствии базу данных пользователей.

На этот раз ответственность за инцидент взяли на себя R00TK1T (известная многочисленными кибератаками в Малайзии) и Cyber Army of Russia, усилия которых привели к выводу из строя серверной инфраструктуры Breach.

Помимо атаки хакеры обещают слить в сеть данные всех участников BreachForums, включая их IP, email и пр., развеяв таким образом иллюзию анонимности.

При этом текущий админ BreachForums, скорее всего и так сливающий все данные в ФБР США, Baphomet подтвердил блокировку домена и приступил к расследованию инцидента, не гарантируя безопасность пользовательских данных.

Но будем посмотреть.

Наряду с новыми видами атак вроде "атаки на цепочку мудаков" или "атаки мудаков на цепочку поставок" пора вводить новые термины и для выявленных уязвимостей.

Итак, встречайте - МX-day уязвимость.

Здесь X - это переменная, равная количеству дней, в течение которых мудаки-разработчики забивали на информацию об ошибке в их продукте, направляемую им исследователями.

То есть в случае с Delinea - это будет M60-day уязвимость.

Возможно, что переменная могла иметь и большее значение, ведь форсировать исправления поставщику PAM-решений пришлось после начала атак, нацеленных на критическую уязвимость обхода аутентификации.

При этом о ней поставщику сообщалось неоднократно, начиная с 12 февраля, в том числе через Координационный центр CERT в Университете Карнеги-Меллон.

В ответ на молчание и полный игнор со стороны Delinea обнаруживший проблему исследователь Джонни Ю (straight_blast) решил вывалить в паблик технические подробности в придачу с кодом PoC-эксплойта.

После чего, внимание к проблеме обратили все заинтересованные стороны, включая и хакеров.

В связи с чем, 12 апреля Delinea сообщила клиентам о начале расследования инцидента безопасности, предупреждая также о возможности возникновения перебоев в обслуживании.

На следующий день Delinea проснулась и подтвердила наличие критической уязвимости обхода аутентификации в SOAP API Secret Server Cloud.

Для противодействия атаке Delinea пришлось заблокировать затронутые конечные точки SOAP для клиентов Secret Server Cloud.

Позже компания также представила клиентам IoC, позволяющие обнаружить потенциальные попытки взлома.

Позже в тот же день Delinea объявила о выпуске исправлений для платформы Delinea и Secret Server Cloud. 14 апреля компания анонсировала патчи для Secret Server On-Premises.

На этом можно считать M60-day закрытой, правда, остается еще дождаться, когда ей присвоят CVE.

Как одна маленькая ошибка может подорвать безопасность целой индустрии?

А очень просто поскольку в популярном клиенте SSH и Telnet в версиях PuTTY с 0.68 по 0.80, выпущенных до обновления 0.81, была найдена критическая уязвимость (CVE-2024-31497), позволяющая атакующему восстановить секретный ключ пользователя.

Эта уязвимость особенно опасна в сценариях, когда злоумышленник может читать сообщения, подписанные с помощью PuTTY или Pageant. Набор подписанных сообщений может быть доступен публично, например, если они хранятся на общедоступном Git-сервисе, использующем SSH для подписи коммитов.

Это означает, что злоумышленник может уже иметь достаточно информации для компрометации частного ключа жертвы, даже если уязвимые версии PuTTY больше не используются.

Ахтунг, собственно, кроется в том, что после компрометации ключа злоумышленник может провести атаки на цепочку поставок программного обеспечения, хранящегося в Git.

Более того, существует второй, независимый сценарий, который включает в себя злоумышленника, управляющего SSH-сервером, к которому жертва аутентифицируется (для удаленного входа или копирования файлов), даже если этот сервер не полностью доверен жертвой.

Оператор такого сервера может вывести частный ключ жертвы и использовать его для несанкционированного доступа к другим сервисам. Если эти сервисы включают в себя Git-сервисы, то злоумышленник снова может провести атаки на цепочку поставок.

Уязвимость затрагивает не только PuTTY, но и другие популярные инструменты, такие как FileZilla до версии 3.67.0, WinSCP до версии 6.3.3, TortoiseGit до версии 2.15.0.1 и TortoiseSVN до версии 1.14.6.

Предупрежден, значит обновлен. Увы не тот случай, когда с обновлением можно повременить.

Cisco сообщает о крупномасштабной брутфорс-атаке, нацеленной на сервисы VPN и SSH на устройствах Cisco, CheckPoint, Fortinet, SonicWall, RD Web Services, Miktrotik, Draytek и Ubiquiti по всему миру.

Наблюдаемая кампания стартовала 18 марта 2024 года. При этом большинство воздействий исходят с узлов Tor, а также с использованием VPN Gate, IPIDEA Proxy, BigMama Proxy, Space Proxies, Nexus Proxy и Proxy Rack для обхода блокировок.

По наблюдениям исследователей в переборе задействуются как общие имена пользователей, так и реальные имена в конкретных организациях. Вместе с тем, атаки носят неизбирательный характер и не направлены на конкретный регион или отрасль.

В зависимости от целевой среды в случае успеха атаки могут привести к несанкционированному доступу к сети, блокировке учетных записей или отказам в обслуживании. Трафик, связанный с этими атаками, со временем увеличился и, вероятно, продолжит расти.

Команда Talos поделилась полным списком IoC для этой активности на GitHub, включая IP-адреса злоумышленников, а также список имен пользователей и паролей, используемых в бруте.

Причем ранее Cisco уже предупреждала о волне брута на RAVPN в устройствах Cisco Secure Firewall.

Тогда вредоносную активность приписали ботнету Brutus. Вполне возможно, что и текущие атаки инициированы им, но пока на этот счет информации нет.

Будем посмотреть.

Критическая уязвимость брандмауэра PAN-OS компании Palo Alto Networks обзавелась рабочим эксплойтом и теперь активно реализуется в атаках, а меры по смягчению оказались неэффективными.

Как ранее мы сообщали, CVE-2024-3400 может позволить неаутентифицированным злоумышленникам выполнять произвольный код под root посредством внедрения команд в атаках низкой сложности на PAN-OS 10.2, PAN-OS 11.0 и PAN-OS 11.1.

Через день после того, как Palo Alto Networks начала выпускать исправления для CVE-2024-3400, watchTowr Labs также опубликовала подробный анализ уязвимости и экспериментальный эксплойт, который можно использовать на непропатченных брандмауэрах.

И это при том, что исследователи обнаружили более 82 000 уязвимых для атак CVE-2024-34000 экземпляров, 40% из которых находились в США.

Рабочим эксплойтом, позволяющим загрузить файл конфигурации брандмауэра, поделились TrustedSec, которые обнаружили его в ходе расследования реальных атак, позволяющим злоумышленникам загрузить файл конфигурации брандмауэра.

Кроме того, Palo Alto Networks выяснили, что ранее опубликованные меры по устранению последствий оказались неэффективными для защиты устройств от уязвимости.

Заявленное отключение телеметрии в реальности не позволяет защититься от атак, работает только лишь последнее обновление программного обеспечения PAN-OS.

Исследователи из Лаборатории Касперского рассказывают о том, как утечка конструктора LockBit 3.0 привела к созданию хакерами мощных инструментов под конкретные цели.

В своем отчете по результатам реагирования на инциденты исследователи подробно проанализировали последствия утечки, позволившей по итогу злоумышленникам создавать гибко настраиваемые индивидуальные версии вредоносного ПО.

Это привело к значительной эскалации угроз заражения благодаря возможностям настройке распространения вируса по сети, отключать средства защитные целевых компаний, шифровать данные и стирать журналы событий, скрывая следы активности.

Файлы конструктора упрощают процесс создания вредоносной программы, позволяя генерировать публичные и приватные ключи для шифрования данных, а также настраивать функции ПО с помощью скрипта Build.bat и конфигурационных файлов.

Конфигурационный файл позволяет активировать функции подмены идентификаторов, шифрования сетевых дисков, отключения защиты и распространения по сети, формируя максимально адаптированный под структуру целевой сети малварь.

Исследование показало, что созданные с помощью утечки конструктора файлы были использованы для атак по всему миру, включая и страны СНГ.

Все нападения, скорее всего, не были связаны между собой и были осуществлены независимыми субъектами.

Были выявлены различные методики и инструменты, задействуемые хакеры для распространения и управления атакой, включая использование скрипта SessionGopher для извлечения сохранённых учётных данных.

Проведенный ЛК новый анализ билдера LockBit 3.0 продемонстрировал, насколько легко злоумышленники могут генерировать индивидуальные версии угрозы в соответствии со своими потребностями, делая атаки более эффективными и максимализируя воздействие на сеть.

Учитывая, что ransomware-атаки могут иметь разрушительные последствия, в отчете Лаборатория Касперского представила превентивные инфраструктурно-независимые меры по снижению риска таких атак.

Что ни решение Ivanti, то ниже 9 по CVSS не обходится.

На этот раз в очередной серии Ivanti bugs - 27 уязвимостей в продукте Avalanche MDM, конечно же, включая две критические ошибки на борту, приводящие к выполнению команд.

CVE-2024-24996 и CVE-2024-29204 описываются как проблемы переполнения кучи в компонентах WLInfoRailService и WLAvalancheService в MDM-решении.

Обе, как отмечает Ivanti в своем бюллетене, могут быть использованы удаленно, без аутентификации, и имеют оценку CVSS 9,8.

Представленные Ivanti исправления в Avalanche также устраняют многочисленные уязвимости высокой степени серьезности, которые могут позволить удаленным злоумышленникам, не прошедшим проверку подлинности, выполнять команды с системными привилегиями.

Восемь из них описаны как проблемы обхода пути в веб-компоненте Ivanti Avalanche.

Ошибка неограниченной загрузки файлов и две уязвимости состояния гонки (TOCTOU) в веб-компоненте также могут быть использованы для выполнения команд в качестве System.

Еще одна серьезная ошибка переполнения кучи в компоненте WLInfoRailService может быть использована удаленно и без аутентификации для выполнения команд.

Другая не менее серьезная проблема использования после освобождения в WLAvalancheService приводит к удаленному выполнению кода.

Выпущенные обновления также устраняют несколько ошибок высокой степени серьезности, связанных с DoS, и проблемы средней серьезности, позволяющих удаленным злоумышленникам, не прошедшим проверку подлинности, извлекать конфиденциальную информацию из памяти.

Недостаткам подвержены все поддерживаемые версии решения MDM (версии 6.3.1 и выше), включая и более старые версии. 6.4.3 Avalanche содержит исправления.

По данным Ivanti, ни одна из устраненных уязвимостей не использовалась в реальных условиях.

Но верить на слово поставщику со столь «безупречной» репутацией не стоит, такой флеш-рояль явно уже в руках опытных акторов, которые ранее уже эксплуатировали недостатки, для которых были выпущены патчи.

Cisco сообщает об исправлениях уязвимости высокой степени серьезности в Cisco IMC, для которой выпущен общедоступный PoC.

Cisco IMC — это контроллер управления основной платой на серверах UCS C-Series Rack и UCS S-Series Storage, работающий через несколько интерфейсов, включая XML API, WebUI и интерфейс командной строки (CLI).

Уязвимость в интерфейсе командной строки Cisco IMC может позволить локальному злоумышленнику, прошедшему проверку подлинности, выполнить атаки путем внедрения команд в базовую ОС и повысить привилегии до уровня root.

При этом для эксплуатации уязвимости злоумышленник должен иметь права только для чтения или более высокие права на уязвимом устройстве.

Отлеживаемая как CVE-2024-20295 проблема обусловлена недостаточной проверкой вводимых пользователем данных, ее можно использовать с помощью специально созданных команд CLI в рамках атак низкой сложности.

Уязвимость затрагивает корпоративные сетевые вычислительные системы (ENCS) серии 5000, Catalyst 8300 Series Edge uCPE, а также серверы UCS серии C и E.

Кроме того, потенциально атакам подвержен и многие другие продукты, если они настроены на предоставление доступа к уязвимому интерфейсу командной строки Cisco IMC.

Cisco PSIRT также предупредила, что PoC уже доступен, но, к счастью, злоумышленники еще не начали нацеливаться на уязвимость. Во всяком случаен пока.

Так что будем посмотреть.

Исследователи F.A.C.C.T. обнаружили на VirusTotal вредоносный файл, связанный с кибершпионской Core Werewolf, который был загружен 15 апреля из армянского города Гюмри, в котором дислоцируется 102-ая российская военная база.

Найденное ВПО представляло собой самораспаковывающийся архив 7zSFX, предназначенный для скрытой установки и запуска легитимной программы удаленного доступа UltraVNC, которую с иконкой приложения OneDrive обычно использует Core Werewolf.

В качестве документа-приманки использовалось ходатайство о награждении военнослужащих с указанием их звания, ФИО и личного номера, отличившихся в ходе СВО, в том числе Орденами Мужества.

Как известно, Core Werewolf (PseudoGamaredon) с 2021 года активно атакует российские организации, связанные с ОПК, а также объекты КИИ. В марте они атаковали НИИ, задействованный в военных разработких, а в апреле - оборонный завод.

На этот раз судя по дате и времени последней модификации содержащихся файлов в 7zSFX-архиве, можно предположить, что новая наблюдаемая атака могла начаться раньше даты загрузки на VirusTotal.

В качестве C2 злоумышленники использовали домен mailcommunity[.]ru, который был зарегистрирован год назад одновременно с другим доменом группы Core Werewolf, который использовался в кампании в 2023 году.

За день до истечения срока жизни домена злоумышленники продлили его еще на год и в этот же день начали использовать его для проведения атак.

Стоит отметить, что разворачиваемый образец UltraVNC, его конфигурационный файл и адрес C2 такие же, как и в ранее раскрытых атаках.

Также специалисты F.A.C.C.T. нашли на VirusTotal загруженные из России в марте и апреле этого года вредоносные исполняемые файлы, которые представляют собой ранее неописанные дропперы, реализованные на языке Go.

Они имеют идентичные функциональные возможности и они предназначены для скрытой установки и запуска клиента UltraVNC.

Причем конфигурационный файл и клиент UltraVNC совпадают по хеш-суммам с описанными выше файлами, а в качестве C2 используется тот же домен: mailcommunity[.]ru:443.

Технический обзор атаки и IOC - в отчете F.A.C.C.T.

В последнее время весеннее обострение активности наблюдается не только у шизиков, но и у хакеров, которые с неподдельным энтузиазмом эксплуатируют свежеиспеченные уязвимости корпоративных сетей.

Одним из последних примеров этого стало обнаружение новой кампании, использующей недавно раскрытый баг в устройствах Fortinet FortiClient EMS для доставки вредоносных пакетов ScreenConnect и Metasploit Powerfun.

Исследователи выявили эксплуатацию критической уязвимости SQL-инъекции (CVE-2023-48788) с критическим уровнем опасности в 9.3 по CVSS, которая позволяет неаутентифицированным атакующим выполнять код или команды посредством специально созданных запросов.

Кампания получила кодовое название Connect:fun из-за использования ScreenConnect и Powerfun для постэксплуатации в атаке на неназванную медиакомпанию, чьё уязвимое устройство FortiClient EMS торчало в интернет сразу после публикации PoC уязвимости от 21 марта 2024 года.

Причем, в течение нескольких дней неизвестный злоумышленник пытался загрузить ScreenConnect, а затем установить софтину для удаленного рабочего стола с помощью утилиты msiexec, но без успешно.

Однако 25 марта был использован PoC-эксплойт для запуска кода PowerShell, который загрузил скрипт Powerfun Metasploit и инициировал обратное соединение с другим IP-адресом.

Также были обнаружены SQL-запросы, предназначенные для загрузки ScreenConnect с удаленного домена ("ursketz[.]com") с использованием certutil, который затем устанавливался через msiexec перед установлением связи с сервером управления и контроля.

Доподлинно не установлено, но у специалистов есть признаки того, что злоумышленник активен как минимум с 2022 года и специализируется на устройствах Fortinet, используя вьетнамский и немецкий языки в своей инфраструктуре.

Также исследователи отмечают, что злоумышленники действовали по старинке в рукопашную, что подтверждается всеми неудачными попытками загрузки и установки инструментов, а также относительно долгим временем между попытками, как бы намекая, что цель выбрана хакерами не случайно.

По итогу, мораль сей басни такова, что организациям, как всегда, рекомендуется устанавливать последние исправления, отслеживать подозрительный трафик и использовать брандмауэр веб-приложений для блокирования вредоносных запросов.

Исследователи Лаборатории Касперского расчехлили новый банковский троян для Android под названием SoumniBot, разработчики которого реализовали нетривиальный метод обфускации для обхода защиты.

Вредоносное ПО использует особенности Android и манипулирует файлом манифеста APK-файлов, что позволяет ему обходить стандартные меры безопасности и проводить манипуляции по краже информации.

Находящийся в корневом каталоге APK файл AndroidManifest.xml включает информацию о декларируемых компонентах, разрешениях и других данных приложения, а также обеспечивает ОС извлекать сведения о различных точках входа в программу.

Исследователи ЛК обнаружили, что SoumniBot задействует три разных метода, которые включают в себя манипулирование сжатием и размером файла манифеста, чтобы обойти проверки парсера.

Во-первых, SoumniBot использует недопустимое значение сжатия при распаковке файла манифеста APK, которое отличается от стандартных значений (0 или 8), ожидаемых библиотекой Android libziparchive.

Анализатор Android APK по умолчанию распознает данные как несжатые из-за ошибки, что позволяет APK обходить проверки безопасности и продолжать выполнение на устройстве.

Второй метод предполагает неправильное указание размера файла манифеста в APK, предоставление значения, превышающего фактическое значение, что вводит в заблуждение инструменты анализа кода, поскольку в процессе копирования добавляются ненужные данные.

Третий метод обхода заключается в использовании чрезвычайно длинных строк для имен XML-пространств в манифесте, что очень затрудняет их проверку инструментами автоматического анализа, которым часто не хватает памяти для их обработки.

При запуске SoumniBot запрашивает конфигурационные параметры с заранее заданного сервера, заодно отправляя ему информацию о заражённом устройстве, включая номер телефона, используемого мобильного оператора и другие данные.

Затем вредоносное ПО запускает службу, которая перезапускается каждые 16 минут и передаёт данные со смартфона с периодичностью в 15 секунд.

Похищенные данные включают IP-адреса, списки контактов, детали учётных записей, SMS-сообщения, фотографии, видео и цифровые сертификаты для онлайн-банкинга.

Управление данными осуществляется через MQTT-сервер, который также может отправлять на смартфон команды, приводящие к различным действиям по управлению контактами, SMS, громкостью, режимом отладки.

SoumniBot ориентирован, в первую очередь, на корейских пользователей мобильного банкинга. Как и многие вредоносные приложения для Android, после установки он остаётся активным в фоновом режиме, скрывая при этом свою иконку.

Лаборатория Касперского в своем отчёте предоставила необходимый перечень IOC, а также уведомила Google о недостатках официальной утилиты анализа APK Analyzer.

Взаимное забрасывание на вентилятор в сфере инфосека между США и КНР в лице их ведущих ИБ-вендоров выходит на новый уровень.

Ранее в прошлом месяце SentinelOne опубликовала отчет, в котором с усмешкой писала, как Китаю не удается приписать кибератаки США и упрекая в постоянных ссылках в своих отчетах на старые инциденты.

После чего китайская Antiy отреагировала на отчет SentinelOne более глубокой с технической точки зрения оценкой враждебной киберактивности американских АРТ, достаточно плотно и основательно атрибутировав их атаки (включая Stuxnet) в ретроспективе и связи со спецслужбами.

А для того, чтобы окончательно утереть нос и «по заявкам телезрителей» из SentinelOne, китайская сторона в лице национального CERT выкатила отчет (PDF), приписав Volt Typhoon к деятельности группы под названием Dark Power.

По их мнению, США провернули хитрую пропагандистскую операцию с созданием и продвижением кластера угроз Volt Typhoon, агрессивный образ которой навязывался во многих вышедших в последнее время ИБ-отчетах Китаю.

Цель махинации - «убить сразу двух зайцев одним выстрелом», раздув «теорию глобальной китайской угрозы» для национальной и прочей КИИ и склонив Конгресс США к выделению соответствующих ассигнований.

Все началось в мае 2023 года, когда органы кибербезопасности Five Eyes выкатили сообщение об обнаружении якобы прокитайской АРТ.

Для подтверждения привлекли Microsoft, выпустившую нужный отчет, который затем растиражировали крупные западные СМИ, такие как Reuters, Wall Street Journal и New York Times.

Позже присоединилась и Lumen Technologies, также связавшая KV-ботнет с Volt Typhoon.

Все привлеченные инфосек-компании компании после этого финта получили жирные госконтракты и проектное финансирование.

Кончено же, про внятную атрибуцию позабыли.

А китайские исследователи нет, смогли разоблачить упомянутые атаки и соотнести их с киберпрестпуниками из Dark Power, о которых ранее сообщала в своем отчет ThreatMon.

По их данным, группа была активна еще задолго до событий 2023 года и причастна к инцидентам в Алжире, Египте, Чехии, Турции, Израиле, Перу, Франции и США.

Таким образом, по мнению китайской стороны «отслеживание кибератак» стало по сути инструментом в руках США для политизации вопросов ИБ и оказания международного давления на КНР, которая, в свою очередь, назвала именно штаты крупнейшим источником кибератак и набольшей угрозой общей кибербезопасности.

Силовики из 19 стран вновь накрыли киберподполье, под удар на этот раз попал сервис LabHost, реализующий PhaaS («Фишинг как услуга»).

PhaaS-платформа была запущена в конце 2021 года и по цене от 179 долларов в месяц предоставляла клиентам возможности создавать собственные фишинговые страницы для любой службы и шаблоны.

Помимо этого LabHost обеспечивал серверный хостинг, работу инструмента LabRat для организации и отслеживания различных фишинговых кампаний, а также поддерживал омпонентом SMS-фишинга (смишинга) под названием LabSend.

По данным Trend Micro, LabHost представляла одну из самых серьезных платформ PhaaS на темном рынке.

Причем это был первый фишинговый сервис, включавший надежный механизм обхода MFA за счет поддержки методов фишинга AitM на основе прокси.

LabHost позволял злоумышленникам взаимодействовать с жертвами в режиме реального времени. Эта функция часто использовалась для запроса кодов 2FA/MFA у жертв и обхода защиты учетной записи.

В совокупности все эти фишки сделали платформу невероятно успешной и популярной среди киберпреступников.

Как сообщает Европол, на платформе было зарегистрировано более 10 000 пользователей. 

В целом, как установили силовики, LabHost поддерживал более 170 онлайн-сервисов для фишинга и размещал более 40 000 фишинговых доменов.

За время работы команде LabHost удалось заработать 1 миллион фунтов стерлингов (1 173 000 долларов США) и выкрасть данные как минимум 500 000 кредитных карт.

В течение 4 дней спецслужбы провели обыски и задержания, которые привели к 37 арестам, а клиентам платформы полицаи разослали передали привет с обещанием в скором времени увидеться очно.

Кроме того, власти внимательно изучают фишинговые учетные данные и информируют жертв о мошенничестве.

Microsoft сообщает об обнаружении вредоносной кампании, нацеленной на критические уязвимости удаленного выполнения кода и обхода аутентификации OpenMetadata для развертывания вредоносного ПО в средах Kubernetes для майнинга крипты.

OpenMetadata представляет собой платформа управления метаданными с открытым исходным кодом, которое позволяет каталогизировать и обнаруживать активы данных в своей организации, включая базы данных, таблицы, файлы и сервисы.

Используемые в этих атаках уязвимости (CVE-2024-28255, CVE-2024-28847, CVE-2024-28253, CVE-2024-28848 и CVE-2024-28254), были исправлены 15 марта в OpenMedata версий 1.2.4 и 1.3.1.

По данным Microsoft, злоумышленники начали эксплуатировать их с начала апреля.

Сначала идентифицируют открытые в Интернете неисправленные рабочие нагрузки OpenMetadata Kubernetes, а затем используют уязвимости для выполнения кода в контейнере, на котором запущен образ OpenMetadata.

Злоумышленники сначала запускают разведывательные команды для сбора информации о скомпрометированной среде.

Затем они загружают с удаленного сервера вредоносное ПО для майнинга.

На этом сервере хранятся различные вредоносные ПО, связанные с майнингом крипты, как для ОС Linux, так и для ОС Windows.

Злоумышленники также инициируют обратное соединение оболочки с помощью инструмента Netcat, которое они могут использовать для удаленного доступа к контейнеру, что позволяет выполнять другие действия врукопашную и получать еще больший контроль над целевой системой.

Для обеспечения постоянного доступа злоумышленники используют cronjobs для планирования задач, выполняющих вредоносный код, через заданные интервалы времени.

При этом в ходе атаки хакеры оставляют записки в скомпрометированных системах с просьбой подкинуть Monero, помочь прикупить авто и поддержать материально.

Администраторам, размещающим свои рабочие нагрузки OpenMedata в Интернете, рекомендуется поменять учетные данные по умолчанию и обеспечить оперативную установку исправлений для своих приложений.

Исследователи из Лаборатории Касперского обнаружили кампанию в отношении правительственных организаций на Ближнем Востоке, которую назвали DuneQuixote.

Злоумышленники используют новый бэкдор CR4T и активны с февраля 2024 года, но есть подозрение, что кампания началась еще год назад.

В ЛК отмечают, что злоумышленники принимают достаточно эффективные шаги для уклонения от сбора и анализа своих вредоносных программ, что уже свидетельствует о том, что за атаками стоят не афганские хакеры.

CR4T ("CR4T.pdb") - имплант, работающий только с памятью на языке C/C++.

Причем в атаках применяется несколько сценариев дроппера, который поставляется в виде исполняемого файла или DLL-файла, а также поддельного установщика Total Commander.

Основная функция дроппера - извлечение адреса C2 с использованием новой техники шифрования.

Когда дроппер устанавливает соединение с сервером управления, он загружает полезную нагрузку и выполняет команды на зараженной машине.

Более того, была найдена Golang-версия CR4T, которая использует Telegram API для коммуникаций с C2.

Специалисты считают, что наличие Golang-версии свидетельствует об активном развитии злоумышленниками кросс-платформенных вредоносных ПО.

Пока в Лаборатории Касперского обошлись без официальных обвинений. Конечно, обнаруженный DuneQuixote навряд ли имеет отношение к роману испанского писателя.

Но не смогли не отметить приличный уровень злоумышленников благодаря внедрению имплантов, работающих только с памятью, и дропперов, маскирующихся под легитимное ПО и имитирующих установщик Total Commander.

Шокирующие кадры: опытный сотрудник инфосек устраняет червя из атакованной системы

CrushFTP пытается экстренно патчить свое корпоративное решение для управляемой передачи файлов посте того, как неизвестный злоумышленник приступил к эксплуатации 0-day, о чем стало известно от Airbus CERT.

Позже исследователи также CrowdStrike подтвердили целевые атаки на пользователей CrushFTP.

Сам поставщик предупредил клиентов в частном порядке об эксплуатации уязвимости с нулем, призывая немедленно обновиться до CrushFTP 10.7.1 и 11.1.0.

Сообщая, что уязвимостью может воспользоваться неаутентифицированный злоумышленник.

А публично компания отметила, что недостатком могут воспользоваться только прошедшие проверку подлинности злоумышленники, посеяв среди клиентов и ИБ-сообществе определенное недопонимание.

Уязвимость не позволяет злоумышленникам получить полный контроль над серверами CrushFTP, но ее можно использовать для кражи пользовательских данных, что открывает широкий простор для вымогательства и кибершпионажа.

Тем более, что по данным Censys, более 7600 серверов CrushFTP имеют открытые в сеть панели управления и потенциально могут быть уязвимы для атак.

При этом, как сообщает CrushFTP, серверы с включенной функцией DMZ не затронуты, что до момента исправления может быть неплохой тактикой смягчения последствий.

Идентификатор CVE для 0-day еще не присвоен, а CrushFTP присоединяется к списку из Accellion, FileZen, GoAnywhere и MOVEit, которые отметились в крупных кампаниях за последние 2-3 года.