GitHub выпустила исправления для критической уязвимости в Enterprise Server, которая позволяет неаутентифицированным злоумышленникам получить административные привилегии.

CVE-2024-4985 имеет максимальную оценку из возможных CVSS 10/10 и затрагивает все версии Enterprise Server до 3.13.0 с аутентификацией единого входа SAML (SSO) и включенной дополнительной функцией зашифрованных утверждений.

Эксплуатация открывает несанкционированный доступ к серверу с правами администратора без необходимости предварительной аутентификации с помощью подделки ответа SAML.

Однако, согласно GitHub, поскольку зашифрованные утверждения не включены по умолчанию, экземпляры, использующие аутентификацию SAML SSO без этой функции, не подвержены недостатку, как Enterprise Server без единого входа SAML.

GitHub исправила уязвимость, выпустив в срочном порядке версии Enterprise Server 3.9.15, 3.10.12, 3.11.10 и 3.12.4.

Разработчик не располагает сведениями об эксплуатации уязвимости в дикой природе, но с учетом серьезности CVE-2024-4985, пользователям рекомендуется как можно скорее обновить GitHub Enterprise Server до исправленной версии.

Поскольку максимальный уровень серьезности CVE-2024-4985 подвергает пользователей непропатченных версий невероятно высокому риску взлома сети злоумышленниками.

Исследователи Cybernews предупреждают о новой атаке на цепочку мудаков, обнаружив в сети 224 962 вероятно уязвимых экземпляров Atlassian Confluence Data Center и Confluence Server.

Традиционно больше всего (мудаков) их оказалось в США (53 195) и Японии (22 007), но и во Франции (11 562) и Германии (11 373) - тоже имеются.

По мнению исследователей, все они подвергаются потенциальному воздействию недавно обнаруженной критической уязвимости, которая отслеживается как CVE-2024-21683 и имеет оценку CVSS 8,3.

Она позволяет злоумышленнику, прошедшему проверку подлинности, выполнить произвольный код и не требует взаимодействия с пользователем, а скомпрометированная система при этом может быть использована в качестве опорной точки для продвижения внутри сети.

Ошибка в Atlassian Confluence Data Center и Confluence Server была исправлена, но несмотря на это исправить дефекты серого вещества владельцам обнаруженных сотен тысяч экземпляров пока не удалось.

По всей видимости, в самое ближайшее время этим займутся банды вымогателей и APT, правда за лечение придется заплатить.

Исследователи Mandiant поделились своими соображениями относительно того, как APT для уклонения от обнаружения задействуют прокси-сети, или сети оперативной ретрансляции ORB, созданные по типу ботнета из коммерческих VPS-сервисов и взломанных устройств.

Независимо от типа используемых устройств, сеть ORB включает обязательный набор необходимых компонентов:
- сервер администрирования узлов ACOS,
- узел ретрансляции (позволяет аутентифицироваться в сети и ретранслировать трафик),
- узлы обхода (основные узлы в сети ORB),
- выходные/промежуточные узлы (для запуска атак на цели),
- сервер-жертва (инфраструктура жертвы, взаимодействующая с узлом в сети ORB).

По данным ресерчеров, все чаще к ORB обращаются именно китайские APT в реализации своих операций кибершпионажа, две из которых им удалось задетектить.

Один из отлеживаемых кластеров прокси - ORB3/SPACEHOP, описывается как очень активная сеть, используемая множеством злоумышленников, связанных с Китаем, включая APT5 и APT15 для разведки и эксплуатации уязвимостей.

В декабре 2022 года SPACEHOP задействовалась для  эксплуатации критической CVE-2022-27518 в Citrix ADC, которую АНБ связало с APT5 (Manganese, Mulberry Typhoon, Bronze Fleetwood, Keyhole Panda, и UNC2630).

По данным Mandiant, SPACEHOP - это высокоорганизованная сеть, использующая сервер ретрансляции в Гонконге или Китае у облачного провайдера и поддерживающая структуру C2 с открытым исходным кодом для управления нижестоящими узлами.

Узлы ретрансляции представляют собой клонированные образы на базе Linux, выполняющие роль перенаправления вредоносного трафика на выходной узел, который взаимодействует с целевыми средами жертвы.

Другая ORB2/FLORAHOX представляет собой гибридную сеть, состоящую из сервера ACOS, скомпрометированных устройств (маршрутизаторов и IoT) и VPS, которые пропускают трафик через TOR и различные типы взломанных маршрутизаторов, включая устройства с EoL CISCO, ASUS и Draytek.

Исследователи полагают, что эта сетка используется в кампаниях кибершпионажа различными участниками угроз, связанных с Китаем, чтобы скрыть трафик от источника.

Судя по всему, сеть содержит несколько подсетей, состоящих из взломанных устройств, задействованных имплантатом маршрутизатора FLOWERWATER, а также других полезных нагрузок на базе маршрутизатора.

Несмотря на то, что ORB2/FLORAHOX используется многими злоумышленниками, Mandiant полагает, что за ней может стоять APT31/Zirconium.

Помимо FLOWERWATER для навигации по сети ORB2 и ранее существовавшим узлам на основе входных данных командной строки задействовались также и дополнительные полезные данные и инструменты, в том числе туннелер маршрутизатора MIPS PETALTOWER, сценарии bash SHIMMERPICK.

В целом ресерчеры резюмировали, что подобная практика с ORB достаточно усложняет решение задач по защите корпоративной среды, негативно влияя, прежде всего, на обнаружение и атрибуцию, а также размывая индикаторы атакующей инфраструктуры.

Лаборатория Касперского продолжает отслеживать и разбирать все новые версии различных стилеров, которые по-прежнему представляют актуальную угрозу и пользуются повышенным спросом в киберподполье.

Стилеры опасны своими последствиями, обеспечивая злоумышленников необходимой конфиденциальной информацией для задействования в других вредоносных целях, приводя по итогу к ощутимым финансовым потерям.

В новом отчете специалисты разобрали усовершенствованный вариант уже известной Sys01, а также два совершенно новых стилера - Acrid и ScarletStealer с различной сложностью и функциональностью.

Acrid - это новый стилер, обнаруженный в декабре прошлого года. Написан на C++ для 32-разрядных систем.

При этом компиляция для 32-разрядной среды, вероятно, обусловлена техникой Heaven’s Gate, которая позволяет 32-разрядным приложениям получать доступ к 64-разрядной среде, чтобы обойти определенные меры безопасности.

Функциональность стилера типична для вредоносного ПО такого типа, собранные данные архивируются и отправляются на командный сервер злоумышленников.

Уровень сложности стилера - средний, в нем есть некоторые изощренные детали, вроде шифрования строк, но нет ничего инновационного.

ScarletStealer, напротив, довольно необычный стилер. Большая часть его функциональности содержится в других бинарных файлах (приложениях и расширениях Chrome), которые он загружает.

При этом стилер очень слабо развит в плане функциональности и содержит множество ошибок, недоработок и избыточного кода. В связи с чем довольно странно, что этот стилер распространяется через длинную цепочку загрузчиков (последний из которых — это Penguish) и подписан цифровым сертификатом.

Его жертвы в основном находятся в Бразилии, Турции, Индонезии, Алжире, Египте, Индии, Вьетнаме, США, Южной Африке и Португалии.

И, наконец, SYS01 (Album Stealer, S1deload Stealer) - относительно малоизвестный стилер, существующий как минимум с 2022 года и попадавший в поле зрения Bitdefender, Zscaler и Morphisec. Он эволюционировал с C# до стилера на PHP, а ЛК заметили сочетание двух полезных нагрузок - на C# и на PHP.

Единственное, что не изменилось в новой версии стилера, - это вектор заражения. Как и раньше, пользователей обманом побуждают загрузить вредоносный ZIP-архив, замаскированный под видео для взрослых, через страницу на Facebook.

Открытие приводит к запуску полезной нагрузки, которая представляет собой вредоносный PHP-файл, закодированный с помощью ionCube. Он вызывает скрипт install.bat, а тот выполняет команду PowerShell для запуска runalayer и финальной полезной нагрузки Newb.

Последняя версия содержит функциональность для кражи данных, связанных с Facebook и из браузера, а также реализует функции бэкдора.

Жертвы наблюдаемой кампании - по всему миру, но большинство - в Алжире (чуть более 15%).

Индикаторы компрометации - в отчете Лаборатории Касперского.

Если ситуацию с восставшими из пепла фотографиями после обновления до iOS 17.5 благодаря Synactiv в итоге удалось разрулить, отбросив сомнения по поводу проблем с iCloud (правда, все же остается непонятным зачем фото хранятся в памяти телефона после их удаления), то совсем недавно назрела новая дилемма.

Исследователи из Университета Мэриленда выявили серьёзные проблемы с безопасностью данных в системах геолокации Apple, которые к тому же затрагивают и Starlink.

Как оказалось, Apple собирает информацию о Wi-Fi точках доступа (BSSID), видимых её устройствами, что позволяет определять местоположение без постоянного использования GPS. Аналогичные системы кстати работают и в Google.

В отличие от Google, система позиционирования Wi-Fi Apple (WPS) способна возвращает геолокацию до 400 близлежащих BSSID по запросу через официальный API.

Ученые полагают, что эти данные можно собирать для создания полномасштабной карты устройств с поддержкой Wi-Fi по всему миру, включая устройства сторонних производителей.

При этом периодические обновления массивов позволят отслеживать перемещение конкретных лиц и групп в течение определенного периода времени.

Ученые запросили информацию о более чем миллиарде случайно сгенерированных BSSID и получили данные о 488 миллионах точек доступа. Причем им удалось точно отследить и перемещение терминалов Starlink в зоне проведения СВО, а также перемещения беженцев на юг Сектора Газа в ходе израильско-палестинского конфликта.

В ответ на результаты исследования, Starlink выпустила обновления ПО, которые рандомизируют BSSID устройств, что затрудняет их отслеживание. Исследователи отметили, что в последние месяцы количество устройств Starlink, местоположение которых можно было бы определять с помощью системы Apple, действительно снизилось.

Apple также отреагировала на исследование и внесла изменения в свою политику конфиденциальности, а в марте 2024 года позволила пользователям исключать свои Wi-Fi точки доступа из системы, добавив суффикс «_nomap» к имени сети.

Однако, по мнению исследователей, Apple следует все же внедрить дополнительные меры для ограничения злоупотреблений своим API, например, ограничение скорости запросов.

Так что, вопросов (больше - риторических) к Apple становится все больше.

Такими темпами Google «пятилетку за год» осилит, если продолжит в неделю по 0-day закрывать.

Восьмой активно эксплуатируемый ноль за текущий год исправила Google в браузере Chrome, выпустив экстренное обновление безопасности.

Проблема была обнаружена ресерчером Google Клеманом Лесинем и отслеживается как CVE-2024-5274. Она представляет собой серьезную путаницу типов в V8, движке JavaScript Chrome, которая может привести к сбоям, повреждению данных, а также RCE.

Google не поделилась техническими подробностями об уязвимости, но заявляет о своей осведомленности в наличии рабочего эксплойта для CVE-2024-5274 и попытках ее эксплуатации в дикой природе.

Исправления Chrome доступны в качестве версии 125.0.6422.112/.113 для Windows и Mac, а пользователи Linux получат обновления для версии 125.0.6422.112 в ближайшие недели.

Исследователи кибербезопасности из Rapid7 и S2W обнаружили троян-бэкдор GateDoor в популярном приложении Justice AV Solutions (JAVS) для просмотра записей заседаний, используемого в судебных, исправительных и юридических учреждениях по всему миру.

Неизвестные злоумышленники реализовали атаку на цепочку поставок, внедрив вредоносное ПО в установщик JAVS Viewer версии 8.3.7, который имеет более 10 000 загрузок.

Модификация официального установщика с внедрением в его вредоносного двоичного fffmpeg.exe, вероятно, была произведена в апреле и затронула клиентов, воспользовавшихся им до середины мая.

Расследовавшая этот инцидент в цепочке поставок (теперь отслеживается как CVE-2024-4978) Rapid7 отмечает, что S2W Talon впервые обнаружила  зараженный установщик JAVS в начале апреля и связала его с вредоносным ПО Rustdoor/GateDoor.

Найденная вредоносная ПО написана на Go и представляет собой версию RustDoor для Windows, бэкдора на основе Rust, который может заражать системы macOS.

Предыдущие отчеты Bitdefender и S2W связывали обе версии вредоносного ПО с серверной инфраструктурой, которой ранее управляла соскамившаяся банда вымогателей AlphV (BlackCat).

Анализируя инцидент, связанный с CVE-2024-4978, произошедший 10 мая, Rapid7 обнаружила, что вредоносное ПО отправляет системную информацию на свой C2 после установки и запуска.

Затем выполняет два запутанных сценария PowerShell для отключения отслеживания событий для Windows (ETW) и обхода интерфейса сканирования на наличие вредоносных программ AMSI.

Затем дополнительная вредоносная нагрузка с сервера C2 сбрасывает сценарии Python, которые начинают собирать учетные данные из браузеров в системе.

Rapid7 поделилась рекомендауиями по детектированию угрозы, вредоносной версией приложения JAVS Viewer, настоятельно призывая затронутых клиентов в случае обнаружения выполнить полную переустановку и сменить все пароли в системе.

В свою очередь, Justice AV Solutions, также отреагировала на инцидент, удалив вредоносный установщик со своих серверов и теперь проводит аудит всех программных продуктов JAVS.

Предварительно инцидент локализован, но до сих пор разработчики пытаются выяснить, как злоумышленнику удалось разместить на своих серверах файл с бэкдором.

Ресерчеры Check Point раскрывают новую кампанию кибершпионажа китайской APT Sharp Panda, нацеленную на правительства стран Африки и Карибского бассейна.

Вновь наблюдаемую активность исследователи отслеживают как под новым названием Sharp Dragon, отмечая расширение географии таргета, усовершенствованный подход и более глубокое понимание своих целей.

В кампании задействуется Cobalt Strike Beacon в качестве полезной нагрузки, обеспечивая бэкдорные функции, такие как связь C2 и выполнение команд, при этом минимизируя раскрытие пользовательских инструментов.

Злоумышленник впервые был замечен в июне 2021 года в ходе атак на правительство Юго-Восточной Азии с использованием бэкдора для Windows, получившего название VictoryDLL.

Последующие атаки Sharp Dragon были нацелены на правительственные учреждения в Юго-Восточной Азии с целью доставки модульного Soul, который затем используется для получения дополнительных компонентов с сервера С2 для сбора информации.

Бэкдор Soul находится в разработке с октября 2017 года, перенимая функции у Gh0st RAT - вредоносного ПО, обычно ассоциируемого с различными китайскими APT-группами, и у других общедоступных инструментов.

Еще одна замеченная серия атак была нацелена на правительственных чиновников из стран Большой двадцатки в июне 2023 года.

Особенностью деятельности Sharp Panda является использование N-day уязвимостей (например, CVE-2023-0669) для проникновения в инфраструктуру для последующего использования в качестве серверов C2, а также задействование легитимного Cobalt Strike поверх пользовательских бэкдоров.

Последняя серия атак на правительства стран Африки и Карибского бассейна реализуется по хитрой схеме, в рамках которой нацеливание происходит с помощью взломанной почты известных лиц в Юго-Восточной Азии для рассылки фишинговых писем и заражения новых целей.

Сообщения включают вредоносные вложения, которые используют Royal Road Rich Text Format (RTF) для запуска загрузчика с именем 5.t, отвечающего за разведку и запуск Cobalt Strike Beacon, позволяя собирать информацию о целевой среде.

Использование Cobalt Strike не только сводит к минимуму воздействие пользовательских инструментов, но и предполагает более утонченный подход к реализации атак.

Индикаторы компрометации и детальный разбор новых атак - в отчете.

Исследователи Malwarebytes сообщают об обнаружении вредоносной кампании, связанной с продвижением нового браузера Arc в качестве приманки для заражения пользователей вредоносным ПО с использованием рекламных инструментов.

Разработчики The Browser Company из Кремниевой долины с шумихой зашли на рынок в качестве стартапа и в июле 2023 года представили свой браузер Arc для MacOS, а версию для Windows выпустили всего пару недель назад.

Продукт получил многочисленные восторженные отзывы, а ажиотаж не остался без внимания со стороны киберпреступников, которые оперативно запустили вредоносную рекламу в Google.

Внимательно изучив размещенные объявления с помощью Центра прозрачности рекламы Google, ресерчеры смогли связать их с рекламодателем из Украины «ПРИВАТНЕ ПІДПРИЄМСТВО «САЛОН "СОФТ».

Злоумышленник также зарегистрировал доменные имена, на которые перенаправлялись жертвы. Шаблон даже включал в себя некоторые заголовки новостей, посвященные выпуску Windows.

Загружая Arc для Windows с их сайтов, доставляется вредоносное ПО. При этом злоумышленник задействовал уникальный способ его упаковки, который раньше еще не встречался.

Основной установщик (ArcBrowser.exe) - это исполняемый файл, который содержит два других исполняемых файла. В качестве приманки один из них - установщик Windows для легального Arc.

В фоновом режиме Arc.exe связывается с облачной платформой MEGA через API разработчика, которая используется в качестве сервера С2 для отправки и получения данных.

Первый запрос аутентифицирует злоумышленника (используется одноразовый адрес электронной почты из yopmail). За ним следует серия запросов и ответов, которые закодированы, предположительно, с пользовательскими данными.

Далее идет запрос к удаленному сайту на загрузку полезной нагрузки следующего этапа, при выполнении которой задействуется поддельное изображение PNG, скрывающее вредоносный код.

Далее получается еще одна полезная нагрузка, сбрасываемая на диск как JRWeb.exe. Кроме того, была замечена и другая версия boostrap.exe, которая не извлекала файл PNG, использующая исполняемый файл Python для внедрения кода в MSBuild.exe, как и предыдущая.

Впоследствии вредоносная программ запрашивает через https://textbin[.]net/raw/it4ooicdbv вредоносный IP-адрес (предположительно, другого сервера С2) и по итогу доставляет стилера.

По поводу вредоносной рекламы уже постучались в Google, а индикаторы компрометации - в отчете.

Кто куда, а мы на дачу

ICQ все.

Good night, sweet prince

Исследователи из Лаборатории Касперского расчехлили новую ransomware ShrinkLocker, которая для шифрования корпоративных систем использует Windows BitLocker.

Несмотря на то, что тенденция задействования BitLocker для шифрования не является чем-то новым, ресерчеры утверждают, что ShrinkLocker обладает ранее неизвестными функциями, позволяющими максимизировать ущерб от атаки.

ShrinkLocker написан на VBScript, поддержка которого будет кстати прекращена Microsoft поэтапно к 2027 году.

Одна из его возможностей — определение конкретной версии Windows на целевом компьютере с помощью инструментария управления Windows (WMI) с классом Win32_OperatingSystem.

Атака реализуется только в том случае, если соблюдены определенные параметры, такие как текущий домен, соответствующий цели, и версия ОС, более новая, чем Vista. В противном случае ShrinkLocker автоматически завершится и удалит себя.

В случае соответствия вредоносная ПО активирует утилиту diskpart в Windows, чтобы сжать каждый незагрузочный раздел на 100 МБ, разбив нераспределенное пространство на новые первичные тома того же размера.

Исследователи ЛК отмечают, что в Windows 2008 и 2012 ShrinkLocker сначала сохраняла загрузочные файлы вместе с индексами остальных томов. Причем те же операции по изменению размера выполняются и в других версиях ОС Windows, но с другим фрагментом кода.

Затем вредоносная программа задействует инструмент командной строки BCDEdit для переустановки загрузочных файлов на вновь созданных разделах.

ShrinkLocker также модифицирует реестр для дезактивации подключений к удаленному рабочему столу или включения шифрования BitLocker на хостах без доверенного платформенного модуля (TPM).

Вместо файла с требованием выкупа злоумышленник в качестве метки новых загрузочных разделов оставляет контактный адрес электронной почты (onboardingbinder[at]proton[dot]me, conspiracyid9[at]protonmail[dot]com).

Завершив шифрование удаляет средства защиты BitLocker (в том числе TPM, PIN-код, ключ запуска, пароль, пароль и ключ восстановления), лишая жертву возможности восстановить ключ.

Сгенерированный по определенному алгоритму для шифрования файлов ключ доставляется через TryCloudflare, позволяющий взаимодействовать с CloudFlare Tunnel без добавления сайта в DNS CloudFlare.

На заключительном этапе атаки ShrinkLocker завершает работу систему, заставляя вступить в силу все изменения, оставив пользователя с заблокированными дискамми и без возможности восстановить BitLocker.

Учитывая, что BitLocker позволяет выдать эффектное уведомление в качестве записки о выкупе на экране восстановления вместо метки диска, это свидетельствует о нацеливании ShrinkLocker без явного намерения финансовой выгоды, а скорее - для нанесения ущерба жертвам, замеченным в Мексике, Индонезии и Иордании.

Практические рекомендации и индикаторы компрометации угрозы - в отчете.

Тем временем, как мы и предполагали, за исправленную на прошлой неделе критическую RCE CVE-2024-21683 с CVSS 8,3 в Atlassian Confluence Data Center и Confluence Server обязательно теперь примутся банды вымогателей и APT.

Особенно после того, как исследователь Хуонг Киеу выкатил PoC, а в сети висят десятки тысяч вероятно уязвимых серверов, открывая широкий простор для массированных атак с последующей компрометации систем через уязвимую точку опоры.

Благо, традиционно больше всего посчастливится встроиться в атаку на цепочку (мудаков) США (53 195) и Японии (22 007), но Франции (11 562) и Германии (11 373) - тоже непоздоровиться.

Будем посмотреть.

Исследователи Positive Technologies продолжают отслеживать Hellhounds, которая в рамках новой операции под названием Lahat предпринимает новые атаки на организации в России.

В предыдущем отчете подробно разбирался инструментарий группы, включая бэкдор Decoy Dog, нацеленный на на узлы под управлением ОС Linux.

В новом отчете Позитивы продолжают подробный разбор арсенала группировки, который задействуется под Windows-инфраструктуру.

Получив доступ в систему, на первом этапе атакующие устанавливали сервис с именем Microsoft Account Service или Microsoft Viewer Service, который запускал исполняемый PE-файл размером 17 КБ и именем AccSrvX64__STABLE__2016-11-10.exe или R_TARIF.VIEWS_X86.EXE.

После успешного запуска сервиса образец расшифровывает список доменов, которые содержатся в секции .rdata, и затем пытается резолвить полученные доменные имена.

Домены из конфигурации используются при получении одной из частей ключа для расшифровки полезной нагрузки, а также могут применяться для создания трафика, схожего с легитимным, и для обхода песочниц.

После расшифровки и резолва всех доменов в конфигурации загрузчик расшифровывает следующий блок c фиксированным размеом в 256 байт и зашифрованным алгоритмом CLEFIA в режиме сцепления блоков (CBC). Он содержит путь к основному бэкдору.

Расшифрованная нагрузка практически не отличается от изученного ранее Decoy Dog под Linux. Бэкдор основан на open-source-проекте Pupy RAT.

Все обнаруженные образцы под Windows (самый старый скомпилирован 29.11.2019, новый - 03.01.2024) имели управляющий сервер net-sensors[.]net и DGA-домен dynamic-dns[.]net. Динамическая конфигурация отсутствовала во всех образцах.

Анализ SSL-сертификатов в бэкдоре для шифрования соединений с удаленными узлами указывает на то, что кампания началась как минимум в конце 2021 года.

Помимо Decoy Dog, злоумышленники использовали хорошо известный фреймворк Sliver с управляющим сервером 31.184.204[.]42 (ns2.maxpatrol[.]net).

Во всех наблюдаемых инцидентах атакующим удалось проникнуть в инфраструктуру жертв через подрядчика, скомпрометировав учетные данные для входа по протоколу SSH.

Кроме того, выпотрошив управляющий сервер удалось выявить ряд ранее неизвестных атак на организации в России, число жертв которых теперь достигает 48.

Их анализ показал, что атакующие помимо госсектора активно атакуют российские IT-компании из числа подрядчиков критически важных организаций. Предположительно, в расчете на атаки типа trusted relationship.

Ресерчеры Solar 4RAYS выкатили мощный отчет о деятельности высокопрофессиональной хакерской группы Shedding Zmiy, которая с начала 2022 года атаковала десятки российских компаний в промышленности, телекоме, госсекторе и других ключевых отраслях, преследуя цель кибершпионажа.

При этом злоумышленники использовали скомпрометированные данные российских компаний не только для последующих атак, но и публиковали их в открытом доступе, преимущественно в проукраинских Telegram-каналах.

Причем каждый раз хакерам удавалось менять свой арсенал до неузнаваемости, находя всё новые способы атак: кастомные загрузчики, бэкдоры и веб-шеллы.

По части используемого инструментария Shedding Zmiy связана с другими группировками Cobalt, exCobalt, Shadow, Comet, Twelve, о происхождении которых в профсообществе сложилось недвусмысленное мнение.

Собственно, и в логах имелись команды на украинском и русском языках.

По оценке экспертов, Shedding Zmiy демонстрирует высокую ресурсную обеспеченность, наличие слаженной оргструктуры и высочайший уровень разработки, включающей собственный фреймворк для автоматизированной эксплуатации уязвимостей и продвинутый вредоносный арсенал.

Всего эксперты заметили следы использования 35 различных инструментов для разведки, доставки вредоносного ПО, скрытного горизонтального продвижения внутри сети и похищения данных.

Задействуется как общедоступное, так и собственное уникальное вредоносное ПО.

Для проникновения в сеть, повышения привилегий и закрепления атакующие использовали до 20 известных уязвимостей в распространенном корпоративном ПО.

Кроме технических средств, Shedding Zmiy умело владеет и социальной инженерией.

Shedding Zmiy научилась отлично запутывать следы: группировка располагает обширной сетью С2 серверов на территории России и за рубежом, арендуя ресурсы у хостинг-провайдеров и на облачных платформах, обходя блокировки по GeoIP.

Тем не менее, ресерчерам удалось объединить разрозненные на первый взгляд инциденты со схожими признаками использования ВПО, уязвимостей, инфраструктуры в единый кластер, активность которого продолжает представлять серьезную угрозу для РФ.

На технической части и подробным разборам расследуемых инцидентов останавливаться не будем, достаточно четко отражено в отчете, с которым настоятельно рекомендуем ознакомиться и взять на вооружение.

͏Вирусный аналитик тренирует мозг

Ресерчеры BI.ZONE сообщают об активности Sapphire Werewolf, которая модифицировала опенсорс-стилер для проведения новых атак в целях кибершпионажа.

Начиная с марта 2024 года Sapphire Werewolf реализовала уже более 300 атак на российские организации в сфере образования, промышленности, ИТ, ВПК и космоса с использованием стилера Amethyst, который злоумышленники разработали на основе программы с открытым исходным кодом - SapphireStealer.

Атакующие распространяли вредоносное ПО с помощью фишинговых электронных писем со ссылками в формате t[.]ly под видом постановления о возбуждении исполнительного производства, информационного бюллетеня ЦИК, а также указа Президента РФ.

После открытия вредоносного файла осуществляется создание папки %AppData%\Microsoft\EdgeUpdate, из Resources.MicrosoftEdgeUpdate в нее записывается MicrosoftEdgeUpdate.exe. Попутно производится запись отвлекающего документа в текущую директорию и его открытие.

Для обеспечения персистентности в системе жертвы осуществляется создание задачи в планировщике с помощью встроенной в исполняемый файл библиотеки FunnyCat.Microsoft.Win32.TaskScheduler.dll.

Имя, описание и путь к исполняемому файлу в задаче маскируются под легитимную задачу MicrosoftEdgeUpdateTaskMachineCore.

После закрепления осуществляется запись стилера Amethyst (в файл VPN.exe во временной папке данных) и его запуск, сопровождающийся изменением зоны безопасности исполняемого потока на MyComputer, а также созданием асинхронной задачи, которая впоследствии отправит собранные файлы на С2.

Собранные файлы сохраняются в папку, названием которой является строка, сгенерированная с помощью UUID. Папка находится в каталоге с временными файлами.

Стиллер собирает файлы конфигурации мессенджера Telegram, файлы с различными расширениями и с внешних носителей, данные из браузеров (Chrome, Opera, Yandex, Brave, Edge и др.), а также журналы использования PowerShell и конфиги FileZilla и SSH.

Собранные материалы помещаются в архив и отправляются на С2, а в последних версиях при создании архива используется пароль и добавляется комментарий с данными по хосту.

Роль командного сервера для отправки архива выполнял бот в Telegram, токен которого, как и идентификатор пользователя, находился в ПО.

При этом злоумышленники в код разных версий ВПО указывали не один, а сразу несколько токенов и идентификаторов пользователя. Если главный бот или основной клиент были недоступны, вредоносное ПО обращалось к другим.

IOCs и рекомендации по обнаружению вредоносной активности - в отчете.

Новости законостроения.

Два члена американской Палаты представителей, конгрессмен Хейли Стивенс и конгрессвумен Шонтель Браун, представили законопроект Diverse Cybersecurity Workforce Act, посвященный, как нетрудно догадаться, разнообразию рабочей силы в области кибербезопасности.

Законопроект направлен на то, чтобы выправить неравномерность представительства в американском Агентстве кибербезопасности и безопасности инфраструктуры (оно же CISA) различных слоев американских граждан. Согласно задумке через 180 дней после принятия Закона директор CISA должен создать программу по продвижению кибербезопасности среди:
- неблагополучных сообществ;
- пожилых людей;
- расовых и этнических меньшинств;
- женщин;
- людей с ограниченными возможностями;
- географических разнообразных сообществ (это что такое? типа жена живет в Краснодаре, а я по-кайфу?);
- социально-экономически разнообразных сообществ;
- лиц с нетрадиционным образовательным бэкграундом (проще говоря - заочники);
- ветеранов;
- ранее осужденных граждан.

Обоснование простое - средняя зарплата аналитиков в области информационной безопасности составляет 120 тыс. долларов в год. Надо делиться.

Мы не будем никак шутить по данному поводу. Скажем лишь одно - не останавливайтесь, товарищи! Требуется срочно распространить этот законопроект на АНБ, особенно на Управление CNO, ранее известное Tailored Access Operations. Оправдайте уже название APT Equation, в конце концов!

Шквал запросов по СДЭК рвет все поисковые ленты, а всепропальщиские лейтмотивы пронизывают буквально все обсуждения в отношении киберинцидента, с которым столкнулась одна из ведущих курьерских компаний в России.

Оперативно нарисовались проукраинские Head Mare с якобы пруфами и заявлениями про ransomware и уничтоженные бэкапы в купе с обвинениями в адрес Бизонов и ИБ за копейку.

По всем признакам возникшего сбоя можно полагать, что не обошлось без программы-вымогателя и ряда потенциальных упущений в плане защиты, что присутствует вдоль и поперек интернационально.

Cогласно заявлениям компании, восстановительные работы ведутся, прогресс имеет место быть, можно лишь надеется на благополучное завершение.

Официальные лица подтверждают атаку, однако Роскомнадзор все еще ожидает уведомления и результаты расследования от СДЭК.

Вместе с тем, все же вызывает недоумение, на наш взгляд, не всегда адекватная реакция клиентов, особенно тех, кто так или иначе знаком с инфосеком.

Подобные высокотехнологичные преступления со стороны вымогателей на западе локализуются неделями, а то и более, причем в компаниях, более заточенных под более высокий уровень кибербезопасности.

Если перечитать то, о чем мы не раз сообщали: тенденции хактивизма и все более разрушительных атак на фоне растущей международной напряженности будут превалировать на ландшафте угроз и все чаще затрагивать рядовых пользователей.

Про ИБ за полбюджета пару (если не тысячу нецензурных) слов было уже не раз сказано.

Пока же хотелось бы дождаться внятных результатов расследования и не делать всеобъемлющих выводов.

Так что будем посмотреть.