Силовики из 19 стран вновь накрыли киберподполье, под удар на этот раз попал сервис LabHost, реализующий PhaaS («Фишинг как услуга»).

PhaaS-платформа была запущена в конце 2021 года и по цене от 179 долларов в месяц предоставляла клиентам возможности создавать собственные фишинговые страницы для любой службы и шаблоны.

Помимо этого LabHost обеспечивал серверный хостинг, работу инструмента LabRat для организации и отслеживания различных фишинговых кампаний, а также поддерживал омпонентом SMS-фишинга (смишинга) под названием LabSend.

По данным Trend Micro, LabHost представляла одну из самых серьезных платформ PhaaS на темном рынке.

Причем это был первый фишинговый сервис, включавший надежный механизм обхода MFA за счет поддержки методов фишинга AitM на основе прокси.

LabHost позволял злоумышленникам взаимодействовать с жертвами в режиме реального времени. Эта функция часто использовалась для запроса кодов 2FA/MFA у жертв и обхода защиты учетной записи.

В совокупности все эти фишки сделали платформу невероятно успешной и популярной среди киберпреступников.

Как сообщает Европол, на платформе было зарегистрировано более 10 000 пользователей. 

В целом, как установили силовики, LabHost поддерживал более 170 онлайн-сервисов для фишинга и размещал более 40 000 фишинговых доменов.

За время работы команде LabHost удалось заработать 1 миллион фунтов стерлингов (1 173 000 долларов США) и выкрасть данные как минимум 500 000 кредитных карт.

В течение 4 дней спецслужбы провели обыски и задержания, которые привели к 37 арестам, а клиентам платформы полицаи разослали передали привет с обещанием в скором времени увидеться очно.

Кроме того, власти внимательно изучают фишинговые учетные данные и информируют жертв о мошенничестве.

Microsoft сообщает об обнаружении вредоносной кампании, нацеленной на критические уязвимости удаленного выполнения кода и обхода аутентификации OpenMetadata для развертывания вредоносного ПО в средах Kubernetes для майнинга крипты.

OpenMetadata представляет собой платформа управления метаданными с открытым исходным кодом, которое позволяет каталогизировать и обнаруживать активы данных в своей организации, включая базы данных, таблицы, файлы и сервисы.

Используемые в этих атаках уязвимости (CVE-2024-28255, CVE-2024-28847, CVE-2024-28253, CVE-2024-28848 и CVE-2024-28254), были исправлены 15 марта в OpenMedata версий 1.2.4 и 1.3.1.

По данным Microsoft, злоумышленники начали эксплуатировать их с начала апреля.

Сначала идентифицируют открытые в Интернете неисправленные рабочие нагрузки OpenMetadata Kubernetes, а затем используют уязвимости для выполнения кода в контейнере, на котором запущен образ OpenMetadata.

Злоумышленники сначала запускают разведывательные команды для сбора информации о скомпрометированной среде.

Затем они загружают с удаленного сервера вредоносное ПО для майнинга.

На этом сервере хранятся различные вредоносные ПО, связанные с майнингом крипты, как для ОС Linux, так и для ОС Windows.

Злоумышленники также инициируют обратное соединение оболочки с помощью инструмента Netcat, которое они могут использовать для удаленного доступа к контейнеру, что позволяет выполнять другие действия врукопашную и получать еще больший контроль над целевой системой.

Для обеспечения постоянного доступа злоумышленники используют cronjobs для планирования задач, выполняющих вредоносный код, через заданные интервалы времени.

При этом в ходе атаки хакеры оставляют записки в скомпрометированных системах с просьбой подкинуть Monero, помочь прикупить авто и поддержать материально.

Администраторам, размещающим свои рабочие нагрузки OpenMedata в Интернете, рекомендуется поменять учетные данные по умолчанию и обеспечить оперативную установку исправлений для своих приложений.

Исследователи из Лаборатории Касперского обнаружили кампанию в отношении правительственных организаций на Ближнем Востоке, которую назвали DuneQuixote.

Злоумышленники используют новый бэкдор CR4T и активны с февраля 2024 года, но есть подозрение, что кампания началась еще год назад.

В ЛК отмечают, что злоумышленники принимают достаточно эффективные шаги для уклонения от сбора и анализа своих вредоносных программ, что уже свидетельствует о том, что за атаками стоят не афганские хакеры.

CR4T ("CR4T.pdb") - имплант, работающий только с памятью на языке C/C++.

Причем в атаках применяется несколько сценариев дроппера, который поставляется в виде исполняемого файла или DLL-файла, а также поддельного установщика Total Commander.

Основная функция дроппера - извлечение адреса C2 с использованием новой техники шифрования.

Когда дроппер устанавливает соединение с сервером управления, он загружает полезную нагрузку и выполняет команды на зараженной машине.

Более того, была найдена Golang-версия CR4T, которая использует Telegram API для коммуникаций с C2.

Специалисты считают, что наличие Golang-версии свидетельствует об активном развитии злоумышленниками кросс-платформенных вредоносных ПО.

Пока в Лаборатории Касперского обошлись без официальных обвинений. Конечно, обнаруженный DuneQuixote навряд ли имеет отношение к роману испанского писателя.

Но не смогли не отметить приличный уровень злоумышленников благодаря внедрению имплантов, работающих только с памятью, и дропперов, маскирующихся под легитимное ПО и имитирующих установщик Total Commander.

Шокирующие кадры: опытный сотрудник инфосек устраняет червя из атакованной системы

CrushFTP пытается экстренно патчить свое корпоративное решение для управляемой передачи файлов посте того, как неизвестный злоумышленник приступил к эксплуатации 0-day, о чем стало известно от Airbus CERT.

Позже исследователи также CrowdStrike подтвердили целевые атаки на пользователей CrushFTP.

Сам поставщик предупредил клиентов в частном порядке об эксплуатации уязвимости с нулем, призывая немедленно обновиться до CrushFTP 10.7.1 и 11.1.0.

Сообщая, что уязвимостью может воспользоваться неаутентифицированный злоумышленник.

А публично компания отметила, что недостатком могут воспользоваться только прошедшие проверку подлинности злоумышленники, посеяв среди клиентов и ИБ-сообществе определенное недопонимание.

Уязвимость не позволяет злоумышленникам получить полный контроль над серверами CrushFTP, но ее можно использовать для кражи пользовательских данных, что открывает широкий простор для вымогательства и кибершпионажа.

Тем более, что по данным Censys, более 7600 серверов CrushFTP имеют открытые в сеть панели управления и потенциально могут быть уязвимы для атак.

При этом, как сообщает CrushFTP, серверы с включенной функцией DMZ не затронуты, что до момента исправления может быть неплохой тактикой смягчения последствий.

Идентификатор CVE для 0-day еще не присвоен, а CrushFTP присоединяется к списку из Accellion, FileZen, GoAnywhere и MOVEit, которые отметились в крупных кампаниях за последние 2-3 года.

Героем новой серии Ivanti Zero-Days вслед за CISA стала другая небезызвестная американская структура - MITRE, также вынужденная рапортовать о киберинцидленте.

Как оказалось, ее сеть исследований и разработок NERVE взломала еще в начале января неназванная APT благодаря тем самым нулям в Ivanti, но заметить нападение удалось только недавно.

Атакующие за это время успешно препарировали сетевую среду экспериментирования, исследований и виртуализации MITRE NERVE для совместной работы, которая используется для исследований, разработок и прототипирования.

В ходе предварительного расследования MITRE установила, что атака включала эксплуатацию двух уязвимостей в устройствах Ivanti Connect Secure VPN для первоначального доступа.

Злоумышленники провели разведку, воспользовались нулями в Ivanti и обошли его систему многофакторной аутентификации с помощью перехвата сеанса.

После чего глубоко проникли в инфраструктуру VMware сети, используя скомпрометированную учетную запись администратора. А для обеспечения устойчивости и сбора учетных данных задействовали комбинацию сложных бэкдоров и веб-шеллов.

CVE-2023-46805 и CVE-2024-21887 на момент атаки относились к категории 0-day и 10 января благодаря Volexity стало известно об их активной эксплуатации.

Тогда Ivanti выкатила бесполезные меры по смягчению, а исправления смогла представить лишь спустя три недели.

В связи с чем, заложенный Ivanti временной лаг был реализован хакерами, которые развернули широкомасштабную кампанию по эксплуатации нулей. Вероятно, в тот момент и MITRE попала под раздачу.

Расследование MITRE продолжается, но на данный момент пока не получено никаких свидетельств, что инцидент затронул основную корпоративную сеть или системы партнеров.

Но будем посмотреть.

Изобретательности киберподполья не перестаешь удивляться.

Умельцы придумали и уже несколько месяцев используют фишку GitHub для распространения вредоносного ПО с использованием URL-адресов, связанных с репозиториями Microsoft и других известных компаний.

Злоумышленники загружают вредоносный файл в качестве комментария к проблеме в официальном проекте GitHub, но не отправляют отчет.

Оставляя комментарий, пользователь GitHub может прикрепить файл, который будет загружен в CDN GitHub и связан с соответствующим проектом, используя уникальный URL-адрес в следующем формате: https://www.github[.]com/{project_user}/{repo_name}/files/{file_id}/{file_name}.

Как в случае с обнаруженной McAfee кампанией с загрузчиком LUA, распространяемом в привязи к репозиториям Microsoft GitHub с URL-адресами:
- https://github[.]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip;
- https://github[.]com/microsoft/STL/files/14432565/Cheater.Pro.1.6.0.zip.

При этом проблема не станет активной и будет не видна владельцу проекта, но вредоносный файл остается на серверах GitHub, а URL-адреса загрузки продолжат работать. Это позволяет злоумышленникам прикреплять свои вредоносные программы к любому хранилищу без их ведома.

Такой условно привязанный к официальному репозиторию URL-адрес способен ввести пользователя в заблуждение относительно принадлежности файла конкретному проекту, а избавиться от него также будет непросто.

Даже если компания все же узнает, что ее репозитории используются для распространения вредоносного ПО, то не сможет найти никаких настроек, позволяющих управлять прикрепленными к проектам файлами.

Более того, можете защитить учетную запись GitHub от такого злоупотребления можно будет только отключив комментарии, но это уже может существенно повлиять на развитие проекта.

Если в случае с Microsoft добиться удаления вредоносного ПО удалось, то в аналогичных случаях с httprouter и Aimmy - вредоносное ПО по-прежнему доступно.

В апрельском отчете от Protect AI об уязвимостях раскрывается тревожная картина текущего состояния безопасности в области искусственного интеллекта и машинного обучения.

Как говорится, чем глубже в лес, тем голоднее волки, и с увеличением зависимости от открытого ПО для создания сложных систем ИИ, проблем безопасности становится всё больше.

Ведущие эксперты в области исследования уязвимостей ИИ представили результаты совместной работы с энтузиастами кибербезопасности huntr и привели удручающую статистику, где было обнаружено 48 уязвимостей, используемых в цепочке поставок для построения моделей машинного обучения, что на 220% больше по сравнению с первым отчетом, опубликованным в ноябре.

Красной линией отмечены уязвимости в таких инструментах, как PyTorch Serve, BerriAI/litellm, BentoML и FastAPI, которые широко используются в индустрии.

Характер потенциальных проблем варьируется от возможности удаленного выполнения кода до инъекций шаблонов на стороне сервера и уязвимостей, связанных с десериализацией и отказом в обслуживании.

Причем, ряд инструментов используется для создания критически важных корпоративных приложений.

Специалисты ратуют за сотрудничество и проактивный подход к обеспечению безопасности в мире, где все становится более зависимым от искусственного интеллекта и машинного обучения.

Добавить ровным счетом больше и нечего. Суровая реальность такова, что, вероятно, будущее предопределено, а Джон Коннор ошибся.

͏Как я ворвался в инфосек. Часть 4.

Более 300 тысяч сайтов WordPress с плагином Forminator затрагивает критическая уязвимость, которая позволяет удаленному злоумышленнику загружать вредоносное ПО на сайты.

Forminator от WPMU DEV — это универсальный конструктор различных форм (контактов, отзывов, викторин, обратной связи и тп.) для сайтов WordPress с более чем 1000 интеграциями.

О проблемах сообщил японский CERT, предупреждая о критической CVE-2024-28890 с CVSS v3: 9.8 в Forminator, открывающей по сути доступ к файлам на сервере со всеми вытекающими последствиями.

Кроме того, в бюллетене JPCERT также указаны и другие ошибки, среди которых CVE-2024-31077 и CVE-2024-31857.

Первая относится к уязвимости внедрения SQL, позволяя удаленным злоумышленникам с правами администратора выполнять произвольные SQL-запросы в базе данных сайта. Влияет на Forminator 1.29.3 и более ранние версии.

Вторая относится к XSS и открывает удаленному злоумышленнику возможности выполнения произвольного HTML-кода в браузере пользователя в случае перехода по специально созданной ссылке. Затрагивает на Forminator 1.15.4 и старше.

Администраторам сайтов с плагином Forminator рекомендуется как можно скорее обновиться до версии 1.29.3, включающей исправления для трех недостатков.

Пока сообщений об эксплуатации CVE-2024-28890 не поступало, но учитывая статистику загрузок плагина, все козыри в руках киберподполья.

Siemens сообщает, что критическая уязвимость в брандмауэре Palo Alto Networks добралась и до линейки техгиганта.

Эксплуатируемая в качестве нуля уже как месяц CVE-2024-3400 затронула также и устройства Ruggedcom APE1808, оснащенные уязвимым виртуальным межсетевым экраном нового поколения Palo Alto Networks (NGFW) наряду с другими решениями от Fortinet и Nozomi Networks.

Siemens готовит обновления для затронутого продукта, предлагая тем временем обходные пути и меры по смягчению последствий. 

Платформа хостинга промышленных приложений Ruggedcom APE1808 позволяет организациям развертывать коммерчески доступные приложения для периферийных вычислений и кибербезопасности в промышленных условиях. 

Как стало известно, CVE-2024-3400 широко использовалась еще до того, как Palo Alto Networks выпустила какие-либо исправления или меры по смягчению последствий, но Siemens ничего не упоминает об атаках, конкретно нацеленных на ее продукт.

Но это временно, учитывая, что уязвимость позволяет неаутентифицированному злоумышленнику выполнять произвольные команды с повышенными привилегиями на скомпрометированном брандмауэре, а после выхода PoC эксплуатация резко скакнула вверх.

При том, что по данным Shadowserver Foundation, межсетевых экранов Palo Alto Networks, уязвимых для атак с использованием CVE-2024-3400 и доступных в сети, все еще достигает почти 6000.

Так что будем посмотреть.

Хитрый прием для распространения вредоносного ПО, о котором мы сообщали вчера, также успешно работает и в GitLab.

Как выяснили исследователи из BleepingComputer, GitLab подвержен уязвимости CDN, позволяющей злоумышленникам создавать очень убедительные приманки с использованием URL-адресов, связанных с репозиториями популярных проектов с открытым исходным кодом.

По факту GitLab потенциально может подвергаться аналогичным злоупотреблениям, с которыми уже столкнулся GitHub.

Как и в случае с GitHub, сгенерированные ссылки на файлы GitLab остаются активными, даже если комментарий не был опубликован злоумышленником или вообще впоследствии удален.

Но GitLab предлагает пользователям войти в систему, прежде чем они смогут загружать или скачивать эти файлы, но это никак не помешает злоумышленникам вообще загружать эти файлы.

Пока ни GitLab, ни GitHub никак комментируют открытие, однако обнаруженные вредоносные ПО с URL-адресами Microsoft на GitHub были частично удалены, но не все.

Разгораются скандал, интриги и расследования вокруг утечки из базы World-Check, которая широко востребована в работе финсектора, регуляторики и правоохраны.

Виновниками инцидента стала группировка GhostR, которая победоносно объявила о краже конфиденциальной базы данных, содержащей 5,3 миллиона записей, и, по классике жанра, угрожает ее опубликовать.

Как сообщают эксперты, база может включать информацию из различных источников с профилями лиц, связанных с финансовыми махинациями, терроризмом или коррупцией, что делает ее критически важным инструментом в области борьбы с отмыванием денег (AML) и финансированием терроризма (CTF).

По заявлениям злоумышленников, база данных была украдена у некой компании в Сингапуре, имеющей доступ к этой чувствительной информации, однако потерпевшую организацию решили не раскрывать.

Дабы верифицироваться в содеянном, получить признание хакерского сообщества и нагнать жути на общественность, часть украденных данных была обнародована в качестве пруфа.

Она содержала записи о действующих и бывших госслужащих, дипломатах, политически экспонированных лицах, а также в отношении преступников и подозреваемых в терроризме.

Помимо собственно самого факта утечки, ситуация еще и усугубляется и критикой в адрес создателей World-Check из-за неверного маркирования лиц и организаций в качестве причастных к терроризму.

Так что обязательно будем следить.

͏via MalwareHunterTeam

Исследователи из Лаборатории Касперского продолжают разбор деятельности APT ToddyCat, сфокусировав внимание в своем новом отчете на инструментах сохранения доступа к скомпрометированной среде и кражи ценных данных.

ToddyCat активная как минимум с 2020 и атакует преимущественно госсектор в Азиатско-Тихоокеанском регионе, в том числе организации, имеющие отношение к оборонке, преследуя главную цель кибершпионажа.

Причем делая это в промышленных масштабах.

Чтобы пылесосить большие объемы данных с различных хостов, злоумышленники стремятся максимально автоматизировать процесс сбора и полагаться на различные альтернативные средства обеспечения постояннства в атакуемых системах.

Как именно это реализовано в ToddyCat, как раз, и выяснили исследователи, подробно описав в отчете инструменты, которые применялись APT на этапе, когда удалось обеспечить высокие привилегии, позволяющие подключаться к удаленным хостам.

Задействуемых набор включал:
- обратный SSH-туннель с использованием OpenSSH;
- SoftEther VPN (переименовывался в безобидные файлы);
- Ngrok и Krong (для шифрования и перенаправления трафика С2 на определенный порт целевой системы);
- клиент FRP (быстрый обратный прокси-сервер с открытым исходным кодом на основе Golang);
- Cuthead (скомпилированный на .NET исполняемый файл для поиска документов);
- WAExp (инструмент на .NET для сбора данных, связанных с WhatsApp);
- TomBerBil (для извлечения файлов cookie и учетных данных из веб-браузеров, таких как Google Chrome и Microsoft Edge).

Поддержание нескольких одновременных подключений на зараженных конечных точках к инфраструктуре субъекта с использованием различных инструментов рассматривается как запасной способ сохранения доступа, когда один из туннелей отвалился.

Анализ показывает, как злоумышленники активно реализуют методы обхода защиты, пытаясь замаскировать свое присутствие в системе и автоматизировать процесс сбора интересующих данных.

Для защиты инфраструктуры в ЛК рекомендуют ограничить работу облачных сервисов туннелирования трафика, а также круг инструментов для удаленного доступа к хостам. Избегать хранения паролей в своих браузерах и следить за соблюдением надежной парольной политики.

Бизоны рассказали о том, как новая планируемая Scaly Wolf кампания потерпела фиаско из-за загрузчика, который не смог.

Как и в прошлых атаках, Scaly Wolf полагались на фишинговые письма с прикрепленным легитимным документом якобы от имени федерального ведомства, нацеливаясь таким образом на российские промышленные, логистические и государственные компании.

Для достижения своих кибершпионских намерений APT задействует последние версии стилера White Snake.

Но в отличие от предыдущих атак, в мартовской кампании в отношении российских и белорусских компаний злоумышленники попробовали реализовать новый способ внедрения вредоносного ПО в инфраструктуру.

Раньше они просто укладывали стилер в защищенный паролем архив, теперь же они воспользовались вредоносным загрузчиком под названием in2al5d p3in4er (invalid printer).

При открытии архива printer проверял, не попал ли в виртуальную среду, и в случае успеха внедрял внедрял вредоносную нагрузку в адресное пространство процесса explorer.exe.

Проверка осуществлялась с использованием библиотеки dxgi.dll, которая сверяла идентификаторы производителей графических карт, используемых системой.

Не найдя Nvidia, AMD или Intel, вредоносный файл прекращал выполнение.

Особенностью загрузчика является то, что он не использует WinAPI‑вызовы для обращения к ядру Windows. Вместо этого функции вызываются напрямую с помощью syscall с требуемыми аргументами.

Также стоит отметить, что загрузчик во время выполнения пытается открыть множество случайных несуществующих в системе файлов и записать в них случайные данные.

Для определения процесса explorer.exe загрузчик перебирает структуры запущенных процессов и сравнивает контрольную сумму от имени процесса с сохраненным значением.

После обнаружения нужного копирует в него расшифрованную вредоносную нагрузку, после чего изменяет контекст процесса для выполнения внедренного шелл-кода.

Полезная нагрузка представляет собой шелл-код, полученный с помощью утилиты с открытым исходным кодом Donut, позволяющей выполнять в памяти исполняемые файлы (в том числе .NET).

Однако из-за ошибки в коде скопировался легитимный explorer.exe, без внедренного шелл-кода, сводя на нет всю цепочку заражения.

Обновленный перечень IOC и и детальное описание TTPs - в отчете.

Спустили методички и западный инфосек, на этот раз в лице Cyfirma, вновь демонстрирует примеры ангажированности.

Пытаясь нарисовать аналитику в части APT получилось все то же завывание про злых тоталитарных хакеров из группы РИСКа (Россия-Иран-Северная Корея-Китай).

По существу ничего нового, кому интересно - для общего развития можно полистать.

Avast сообщает о новой вредоносной кампании, в которой механизм обновления индийского антивирусного ПО eScan использовался для доставки бэкдоров и майнеров криптовалюты в крупные корпоративные сети с помощью вредоносного ПО GuptiMiner.

Исследователи описывают GuptiMiner как очень сложную угрозу, по некоторым признакам связанную с северокорейской Kimsuky и реализующую интересную цепочку заражения.

GuptiMiner может выполнять DNS-запросы к DNS-серверам злоумышленника, извлекать полезные данные из изображений, подписывать свои полезные данные и выполнять загрузку неопубликованных DLL.

Актор, стоящий за GuptiMiner, реализовал AitM для перехвата пакета обновлений eScan, заменяя его вредоносным с именем updll62.dlz.

Вредоносный файл помимо необходимых обновлений антивируса также включает GuptiMiner в виде DLL-файла с именем version.dll.

Программа обновления eScan обрабатывает пакет как обычно, распаковывая и выполняя его. На этом этапе DLL загружается легитимными двоичными файлами eScan, предоставляя вредоносному ПО привилегии системного уровня.

Затем DLL извлекает дополнительные полезные данные из инфраструктуры, обеспечивает постоянство на хосте с помощью запланированных задач, выполняет манипуляции DNS, внедряет шелл-код в процессы, использует виртуализацию кода, сохраняет полезные данные, зашифрованные XOR, в реестре Windows и извлекает PE из PNG-файлов.

Хакеры использовали GuptiMiner для развертывания нескольких вредоносных ПО на скомпрометированных системах, включая два отдельных бэкдора и майнер XMRig Monero.

Первый бэкдор представляет собой расширенную версию Putty Link, развернутую в корпоративных системах для сканирования локальной сети на предмет уязвимых систем и опорных точек на предмет бокового перемещения.

Второй бэкдор представляет собой сложную модульную вредоносную программу, которая сканирует хост на предмет сохраненных личных ключей и криптовалютных кошельков.

Он способен принимать команды для установки дополнительных модулей в реестр, однако Avast не предоставила дополнительных подробностей.

Злоумышленники также во многих случаях отключали XMRig, что может быть попыткой отвлечь внимание от основной линии атаки.

Avast раскрыла использованную уязвимость в eScan, а поставщик антивируса подтвердил и устранена проблему, которая оставалась незамеченной как минимум пять лет. Несмотря на это, в Avast продолжают наблюдать новые заражения GuptiMiner.

Полный список IoC GuptiMiner можно найти на GitHub.

͏OMG! ИИ захватит весь мир.

В это время ИИ:

Критическая уязвимость максимальной степени серьезности в решении для мониторинга производительности сети Progress Flowmon обрела общедоступный эксплойт и готова к массовой эксплуатации.

Так что полутора тысячам ее клиентам, включая SEGA, KIA, TDK, Volkswagen, Orange, Tietoevry и др., приготовиться.

Проблема отслеживается как CVE-2024-2389 и была обнаружена Rhino Security Labs.

Она позволяет посредством специального запроса API получить удаленный неаутентифицированный доступ к веб-интерфейсу Flowmon для выполнения произвольных системных команд.

Progress Software впервые предупредила об уязвимости 4 апреля, предупредив, что она затрагивает версии продукта v12.x и v11.x.

Клиентам было рекомендовано обновиться до последних версий: v12.3.4 и 11.1.14.

В свою очередь, Rhino Security Labs теперь представила технические подробности уязвимости, а также продемонстрировала, как можно с ее помощью внедрить веб-шелл и повысть привилегии до root.

При этом достичь выполнения произвольных команд им удалось, манипулируя pluginPath или параметрами файла и используя синтаксис подстановки команд, например $(...).

При это команда выполняется вслепую, поэтому невозможно увидеть вывод выполненной команды, но можно записать веб-шелл в /var/www/shtml/.

По сообщению итальянской CSIRT, эксплойт для CVE-2024-2389 стал доступен еще около двух недель назад.

Тем не менее, Progress Software заверяет своих клиентов об отсутствии опасений относительно эксплуатации CVE-2024-2389.

Но будем посмотреть.

А вот Cisco, напротив, на этой неделе не порадует клиентов хорошими новостями, предупреждая о кампании кибершпионажа, нацеленной на правительственные сети по всему миру, которая получила наименование ArcaneDoor.

По данным APT-группировка UAT4356 реализует атаки как минимум с ноября 2023 года с использованием двух 0-day в межсетевых экранах Adaptive Security Appliance (ASA) и Firepower Threat Defense (FTD).

Несмотря на то, что первоначальный вектор атаки до сих пор неизвестен, исследователям удалось обнаружить и закрыть те самые нули: CVE-2024-20353 (CVSS: 8,6, DoS) и CVE-2024-20359 (CVSS: 6,0, постоянное выполнение локального кода).

Активность хакеров попала в поле зрения в январе 2024 года после обращения к PSIRT неназванного клиента в отношении проблем безопасности в продуктах ASA.

Дальнейшее расследование показало, что эксплойты для атак разрабатывались еще с июля 2023 года.

В качестве компонентов кампании задействовались два бэкдора: Line Runner и Line Dancer, которые использовались совместно для обеспечения персистентности и проведения вредоносных действий, включая изменение конфигурации, разведку, захват и эксфильтрацию сетевого трафика, а также горизонтальное перемещение.

Один из имплантатов, Line Dancer, представляет собой загрузчик шелл-кода в памяти, который помогает доставлять и выполнять произвольные полезные нагрузки для отключения ведения журналов, обеспечения удаленного доступа и фильтрации захваченных пакетов.

Второй имплант, постоянный бэкдор под названием Line Runner, оснащен множеством механизмов уклонения от защиты и обнаружения, позволяя злоумышленникам запускать произвольный код Lua на взломанных системах.

Сетевая телеметрия Cisco позволила задетектить сложную цепочку атак, которая использовалась для внедрения специального вредоносного ПО среди небольшой группы клиентов.

Тем не менее, информация партнеров Cisco указывают на то, что хакеры заинтересованы в проникновении в сетевые устройства Microsoft и других производителей.

Компания в среду выпустила обновления безопасности с исправлением двух нулей и настоятельно рекомендует всем клиентам обновить свои устройства до фиксированного ПО.

Кроме того, администраторам следует отслеживать системные журналы на предмет любых признаков незапланированных перезагрузок, несанкционированных изменений конфигурации или подозрительной активности учетных данных.

В своих рекомендациях Cisco также отразила соответствующие инструкции по проверке целостности устройств ASA или FTD.