Национальный центр кибербезопасности Великобритании NCSC выдал отчет по вредоносному ПО для Linux под названием Pigmy Goat, который, по их данным, был создан для взлома межсетевых экранов Sophos XG в рамках недавно раскрытых атак китайских APT.

Отчет последовал почти сразу после прошлонедельной публикации британской Sophos серии исследований под названием Тихоокеанский рубеж с описанием атак китайских хакеров на периферийные сетевые устройства за последние пять лет.

Одной из вредоносных ПО, используемых в этих атаках, являлся руткит, который имитирует соглашения об именовании файлов продуктов Sophos.

Вредоносное ПО, предназначенное для взлома сетевых устройств, отличается развитыми механизмами сохранения, уклонения и удаленного доступа, а также имеет довольно сложную структуру кода и пути выполнения.

При этом наблюдаемая NCSC активность не приписывается известным субъектам угроз, но подчеркиваются схожие TTPs с вредоносным ПО Castletap, которое компания Mandiant связывает с китайской APT.

В свою очередь, Sophos также упомянула эту вредоносную ПО в своем отчете, заявляя, что руткит задействовался в атаках 2022 года, связанных с китайской группировкой Tstark.

Исследователи выявили две копии libsophos.so, обе из которых были развернуты с использованием CVE-2022-1040: одна на правительственном устройстве, а другая на устройстве технологического партнера того же ненадеванного правительственного департамента.

Pygmy Goat представляет собой общий объект x86-32 ELF (libsophos.so), обеспечивающий бэкдор-доступ к сетевым устройствам на базе Linux, таким как межсетевые экраны Sophos XG.

Он использует переменную среды LD_PRELOAD для загрузки своей полезной нагрузки в демон SSH (sshd), что позволяет ему подключаться к функциям демона и переопределять функцию accept, которая обрабатывает входящие соединения.

Pygmy Goat отслеживает трафик SSH на предмет определенной последовательности в первых 23 байтах каждого пакета, при нахождении которой соединение идентифицируется как сеанс бэкдора и перенаправляет его на внутренний сокет Unix (/tmp/.sshd.ipc) для связи со своим C2.

Вредоносная ПО также прослушивает необработанный сокет ICMP, ожидая пакеты с зашифрованной по алгоритму AES полезной нагрузкой, содержащей информацию об IP-адресе и порте для связи с C2, что запускает попытку обратного подключения по протоколу TLS.

Pygmy Goat взаимодействует с C2 по протоколу TLS, используя встроенный сертификат, имитирующий сертификат центра сертификации Fortinet FortiGate, что является потенциальным прикрытием для встраивания в сетевые среды, где широко распространены ее устройства.

При установке SSH-соединения запускается поддельное рукопожатие с заранее заданными ответами, создавая ложное впечатление легитимности на сетевых мониторах. При этом сервер C2 может отправлять команды Pygmy Goat для выполнения на устройстве.

Отчет NCSC включает хэши файлов, правила YARA и Snort, которые позволяют детектировать последовательности байтов и поддельные рукопожатия SSH для раннего выявления активности Pygmy Goat.

Кроме того, выявить заражение можно путем проверки /lib/libsophos.so, /tmp/.sshd.ipc, /tmp/.fgmon_cli.ipc, /var/run/sshd.pid и /var/run/goat.pid вручную.

Также рекомендуется настроить мониторинг зашифрованных полезных данных в пакетах ICMP и использования «LD_PRELOAD» в среде процесса «ssdh», что является необычным поведением и может указывать на активность Pygmy Goat.

Исследователи из VulnCheck сообщают об обнаружении критических уязвимостей, которые затрагивают ABB Cylon ASPECT - широко используемую систему автоматизации зданий и управления энергопотреблением.

Первая CVE-2023-0636 допускает инъекцию команд, что позволяет несанкционированное удаленное выполнение кода.

Несмотря на заявления ABB о необходимости аутентификации, исследование показывает, что можно получить более легкий доступ, чем предполагалось изначально.

Другая CVE-2024-6209 допускает неаутентифицированное раскрытие файлов, что позволяет злоумышленникам извлекать учетные данные в виде обычного текста, что облегчает реализацию дальнейших эксплойтов в уязвимых системах.

При этом результаты сканирования Shodan и Censys, проведенного VulnCheck, указывают на доступность извне к настоящему времени почти 265 систем автоматизации ABB Cylon Aspect, из которых 214 (несмотря на исправление, доступное с 2022 года) остаются уязвимыми, позволяя атакующим их полностью скомпрометировать и захватить.

Причем, согласно наблюдениям VulnCheck, PoC-эксплойты доступны (первоначально опубликован на Packet Storm исследователем Liquid Worm) и, вероятно, ограниченно могли эксплуатироваться.

Тем не менее, потенциально серьезный вектор для атаки на цепочку мудаков - налицо. И похоже, кому-то просто таки не терпится воплотить в жизнь сюжет фильма Эксперимент «Офис».

Будем посмотреть.

В компании IBM X-Force приняли решение о создании XOR, новой команды, которая будет специализироваться на исследованиях в области наступательной безопасности.

И уже приступили к набору специалистов.

Как мы говорили несколько лет назад, разрастающееся под влиянием геополитических процессов сегментирование Интернета не только приведет (что мы уже наблюдаем) к недоступности многих сервисов для пользователей "конкурирующего сегмента", но и неизбежно повлечет возникновение "киберкаперов", сетевых пиратов XXI века с патентом того или иного государства.

Своеобразный licence to cyber kill.

Отчасти, это явление мы уже наблюдаем в лице возникновения множества хактивистских движений, получающих как полное одобрямс со стороны медиа, так и благосклонные кивки головой от инфосек экспертов.

Когда специалисту по ИБ навесили фукнционал по персданным

Ведущий французский поставщик ISC Schneider Electric подтвердил взлом платформы разработки после заявлений группировки Grep (теперь - Hellcat) об инциденте, связанном с кражей 40 ГБ и вымогательством выкупа.

Schneider Electric инициировала расследование инцидента и реализует аудит внутренних платформ, которые размещались в изолированной среде.

Компания заявляет, что продукция и услуги остаются нетронутыми.

В свою очередь, Grep впервые отрапортовала о взломе систем Schneider в X, указывая на компрометацию сервера Jira, используя раскрытые учетные данные.

Получив доступ, злоумышленники воспользовались MiniOrange REST API для извлечения 400 тыс. строк пользовательских данных, которые, по словам хакеров, включают 75 000 уникальных адресов электронной почты и полных имен сотрудников и клиентов Schneider Electric.

На сайте DLS в даркнете злоумышленник потребовал 125 000 долларов в «багетах» за не разглашение данных, поделившись более подробной информацией о том, что именно было украдено.

Как отмечают вымогатели, утечка поставила под угрозу критически важные данные, включая проекты, проблемы и плагины, а также более 400 000 строк пользовательских данных, что в общей сложности составляет более 40 ГБ.

Hellcat также поделилась с журналистами, что недавно им удалось сформировать новую хакерскую группу International Contract Agency (ICA), названную в честь Hitman: Codename 47, которая ранее не практиковала вымогательство в случае взлома своих жертв.

Правда, позже прознав, что наименование ICA часто связывают с «группой исламских террористов», злоумышленники переименовались в банду вымогателей Hellcat и в настоящее время уже ведут тестирование собственного шифровальщика для будущих атак.

После официального объявления и отказа от переговоров сумма выкупа, согласно требованиям Hellcat, будет увеличена в половину от требуемой.

Так что, по всей видимости, Schneider пока не намерена платить.

Тем не менее можно считать начало новой RaaS вполне многообещающим.

Если конечно, не окажется так, что новая утечка - это последствия прошлого инцидента, связанного с атакой Cactus в начале этого года.

Но будем посмотреть.

Google исправила два нуля в Android в числе 51 уязвимости в рамках своих ноябрьских обновлений безопасности, которые использовались в целевых атаках, как это обычно бывает в последнее время.

Первая CVE-2024-43047 представляет собой серьезную проблему использования памяти после освобождения в закрытых компонентах Qualcomm в ядре Android, которая приводит к EoP.

Впервые уязвимость была обнаружена Qualcomm в начале октября 2024 года как проблема в ее службе цифрового сигнального процессора (DSP).

CVE-2024-43093 также представляет собой уязвимость высокой степени серьезности, приводящую к EoP, на этот раз влияющую на компонент Android Framework и системные обновления Google Play, в частности, в cпользовательском интерфейсе Documents.

Google не раскрыла, кто именно обнаружил CVE-2024-43093.

Традиционно Google не разглашает никаких подробностей о том, как эксплуатировались уязвимости, однако учитывая обнаружение CVE-2024-43047 исследователями Amnesty International можно полагать, что она задействовалась в spyware.

Оставшиеся исправленные 49 уязвимостей затронули версии Android с 12 по 15, и только одна, CVE-2024-38408, классифицируется как критическая и также затрагивает компоненты Qualcomm.

Google представила два уровня исправлений каждый месяц: 1 ноября (уровень исправления 2024-11-01) и 5 ноября (уровень исправления 2024-11-05).

Первый уровень устраняет основные уязвимости Android, в общей сложности 17 проблем, в то время как второй уровень исправлений охватывает те же уязвимости, а также исправления, специфичные для поставщиков (Qualcomm, MediaTek и т. д.) - еще 34.

При этом Android 11 и более ранние версии больше не поддерживаются, но могут получать обновления безопасности для устранения критических проблем, связанных с активно используемыми уязвимостями, через обновления системы Google Play, хотя это не гарантируется.

Интерпол провернул вторую масштабную операцию под названием Synergia II по захвату инфраструктуры из 22 000 вредоносных IP-адресов, которая нанесла удар по экосистеме киберпреступности по трем основным направлениям: фишинг, инфокрады и ransomware.

Первая операция выявила 1300 подозрительных IP-адресов и URL-адресов и привела к 30 арестам.

Synergia II проводилась в период с 1 апреля по 31 августа 2024 года с участием правоохранителей из 95 стран и привела к арестам 41 лица и привлечению к ответственности в той или иной форме еще 65 человек, а также блокировке 1037 серверов.

Силовикам удалось нейтрализовать 76% из 30 000 подозрительных IP-адресов.

Кроме того, были изъяты 59 серверов и 43 электронных устройств, включая ноутбуки, мобильные телефоны и жесткие диски.

Предпосылками к активным действиям стало резкое развитие рынка фишинга и инфостилеров.

В 2023 году продажи логов инфостилеров в даркнете выросли на 40%, а число атак с использованием ransomware увеличилось в среднем на 70% во всех отраслях.

При этом хакеры, как отмечают силовики, удалось эффективно интегрировать генеративный ИИ для улучшения фишинговых операций, а инфостиллеры применять в качестве прекурсоров атак с целью вымогательства.

В ходе операции Synergia II использовались результаты исследований Group-IB, Trend Micro, Лаборатории Касперского и Team Cymru по отслеживанию преступной кибердеятельности, что помогло идентифицировать тысячи вредоносных серверов.

Исследователи BI.ZONE обнаружили ранее неизвестный кластер Venture Wolf, который активен как минимум с ноября 2023 года и нацелен на промышленность, строительство, IT, телеком и другие отрасли с использованием различных загрузчиков для доставки MetaStealer.

Venture Wolf распространяет архивы, содержащие загрузчик с расширением .com (реже .exe), а также один или несколько фишинговых документов, в качестве которых используются как изображения, например JPG или PNG, так и файлы PDF, DOC/DOCX и ODT.

После запуска загрузчик либо создает dummy-файл .NET, в который внедряется вредоносная нагрузка, либо внедряет ее в процесс RegAsm.exe.

Загрузчики являются исполняемыми файлами формата PE (Portable Executable). Их код обфусцирован, имена WinAPI-функций, использующихся для внедрения вредоносного кода, зашифрованы. 

Вредоносная нагрузка и dummy-файл .NET, в зависимости от типа загрузчика, содержатся в его теле и зашифрованы алгоритмом RC4.

В зависимости от типа загрузчика, осуществляется расшифровка и создание dummy-файла .NET со случайным именем в каталоге %TEMP%.

Имя формируется случайным образом из заданной в загрузчике строки алфавита, поэтому имя dummy-файла .NET может содержать китайские иероглифы. При этом dummy-файл .NET не содержит какого-либо кода в функции Main.

Расшифровываются имена WinAPI-функций, использующихся для внедрения кода в запущенный процесс, а именно: CreateProcessW, VirtualAllocEx, WriteProcessMemory, Wow64SetThreadContext/SetThreadContext, ResumeThread.

Затем расшифровывается и внедряется в процесс вредоносная нагрузка - MetaStealer. ВПО реализовано на C# и является форком другого стилера - RedLine.

Важное отличие MetaStealer от RedLine заключается в том, что разработчики MetaStealer не запрещают применять его для реализации атак на Россию и страны СНГ.

В процессе выполнения MetaStealer осуществляет сбор информации о системе, получение данных из браузеров, криптокошельков, клиентов электронной почты, а также из различных приложений, таких как Steam и FileZilla.

Также стоит отметить, что Venture Wolf для обфускации кода MetaStealer использует протектор .NET Reactor.

Технические подробности и индикаторы компрометации - в отчете.

Cisco устранила уязвимость максимальной критичности, которая позволяет злоумышленникам выполнять команды с правами root в уязвимых промышленных беспроводных системах Ultra-Reliable Wireless Backhaul (URWB).

CVE-2024-20418 была обнаружена в веб-интерфейсе управления Cisco Unified Industrial Wireless Software. Неаутентифицированные злоумышленники могут использовать ее в атаках с внедрением команд низкой сложности, которые не требуют взаимодействия с пользователем.

Ошибка вызвана неправильной проверкой входных данных в веб-интерфейсе управления, воспользоваться ей можно, отправив специально созданные HTTP-запросы в веб-интерфейс управления уязвимой системы.

Успешная эксплойт-атака позволит злоумышленнику выполнять произвольные команды с привилегиями root на базовой операционной системе пострадавшего устройства.

Как поясняет Cisco, уязвимость затрагивает точки доступа Catalyst IW9165D Heavy Duty, защищенные точки доступа и беспроводные клиенты Catalyst IW9165E, а также точки доступа Catalyst IW9167E Heavy Duty, но только если на них установлено уязвимое ПО и включен режим работы URWB.

Cisco PSIRT к настоящему времени не встречала общедоступного эксплойта и не фиксировала сообщений об атаках в реальных условиях.

Администраторы могут определить, включен ли режим работы URWB, проверив, доступность команды CLI "show mpls-config".

Если команда недоступна, URWB отключается, и устройство не будет затронуто этой уязвимостью.

Как мы уже сообщали, на западе приступили к активным приготовлениям к исследованиям в области наступательной безопасности в условиях сегментирования Интернета под влиянием геополитики.

Вслед за начинаниями IBM X-Force легализовать будущих "киберкаперов" решили в Германии, предлагая поправки в статью 202а Уголовного кодекса (StGB) и создавая тем самым законодательную основу для будущих операций.

Федеральное министерство юстиции Германии разработало закон, предусматривающий правовую защиту для исследователей, которые будут несанкционированно находить уязвимости безопасности и ответственно сообщать о них (куда нужно) поставщикам.

Аналогичное исключение из уголовной ответственности применяется и к преступлениям, связанным с перехватом данных (§ 202b Уголовного кодекса) и изменением данных (§ 303a Уголовного кодекса), при условии, что соответствующие действия считаются санкционированными.

Потенциально виновные в совершении уголовных киберпреступлений хакеры, взявшие на себя «эту важную задачу», будут получат статус «белых» и будут освобождены от ответственности и риска судебного преследования.

Федеральные земли и заинтересованные объединения получили на рассмотрение законопроект и должны к 13 декабря 2024 года представить свои замечания, прежде чем он будет представлен в Бундестаг для парламентского обсуждения.

Как и прогнозировали в Лаборатории Касперского, одним из трендов 2024 года станут альтернативные фреймворки постэксплуатации.

Исследователи Fortinet обратили внимание на активное задействование в актах на пользователей Windows вредоносного фреймворка Winos4.0, распространяемого через, казалось бы, безобидные игровые приложения.

Инструментарий является эквивалентом Sliver и Cobalt Strike, был задокументирован Trend Micro этим летом в отчете об атаках на китайских пользователей, реализуемых Void Arachne/Silver Fox через различное пиратское ПО.

В отчете Fortinet отмечается эволюция активности: теперь хакеры в своих частых атаках на китайских пользователей полагаются на игры и связанные с играми файлы.

При запуске, казалось бы, легитимных установщиков они загружают DLL-файл с «ad59t82g[.]com», инициируя при этом многоступенчатый процесс заражения.

На первом этапе DLL-файл (you.dll) загружает дополнительные файлы, настраивает среду выполнения и обеспечивает сохранение путем добавления записей в реестр Windows.

На втором этапе внедренный шелл-код загружает API, извлекает данные конфигурации и устанавливает соединение с C2.

На третьем этапе другая DLL (上线模块.dll) извлекает дополнительные закодированные данные с C2, сохраняет их в реестре в разделе «HKEY_CURRENT_USER\\Console\\0» и обновляет адреса C2.

На последнем этапе цепочки атаки загружается модуль входа (登录模块.dll), который собирает системную информацию, проверяет наличие антивирусного ПО на хосте, детектирует о конкретных расширениях криптокошельков, поддерживает соединение с сервером C2 и извлекает данные.

Winos4.0 проверяет наличие в системе различных средств безопасности, включая Kaspersky, Avast, Avira, Symantec, Bitdefender, Dr.Web, Malwarebytes, McAfee, AhnLab, ESET, Panda Security и Microsoft Security Essentials.

Выявляя эти процессы, вредоносная ПО определяет, запущена ли она в контролируемой среде, и соответствующим образом корректирует свое поведение или прекращает выполнение.

Хакеры продолжают использовать фреймворк Winos4.0 уже несколько месяцев, и появление новых кампаний свидетельствует о том, что его роль во вредоносных операциях, по-видимому, возрастает.

Fortinet описывает фреймворк как достаточно мощный с точки зрения контроля скомпрометированных систем, с функциональностью, похожей на Cobalt Strike и Sliver.

Индикаторы компрометации доступны в отчетах Fortinet и Trend Micro.

Позитивы выкатили мощный отчет по итогам работы IR-команды PT ESC за период с 4 квартала 2023 по 3 квартал 2024 с аналитикой по расследованиям в рамках более ста проектов в организациях по всему миру, выделив наиболее важные аспекты инцидентов.

В исследовании представлены результаты этого анализа, статистика по проектам, подробный разбор интересных кейсов и ключевых трендов, которые им удалось проследить в массе.

Помимо этого, перечислены основные недостатки в алгоритмах и подходах к обеспечению защиты инфраструктуры, ставшие причинами инцидентов, и на их основе выработали перечень рекомендаций, которые помогут свести к минимуму риски успешных кибератак.

Главное из отчета:

- Отмечается существенный спрос на проекты по расследованию инцидентов. В 2023 году их прирост составил 176%, а за первые три квартала 2024 года число проектов выросло на 24% по сравнению с аналогичным периодом 2023 года.

- Чаще всего за услугами PT ESC IR обращались промышленные предприятия (23%) и госучреждения (22%). По сравнению с прошлым периодом, с 8% до 13% выросла доля обращений IT-компаний.

- Среднее время от начала инцидента до обнаружения нелегитимной активности TTD составило 17 дней. Средняя продолжительность инцидента — 23 дня, при этом время, в течение которого удавалось свести инцидент к контролируемой фазе TTC, в среднем составило 3 дня. Самая продолжительная вредоносная активность, выявленная в ходе расследования, длилась почти три года, а длительность самого короткого инцидента составила одни сутки.

- В 39% компаний были выявлены следы присутствия известных APT-группировок, а в 35% организаций злоумышленники (из категории Cybercrime) совершали успешные действия, направленные на шифрование либо уничтожение информации и нарушение бизнес-процессов.

- В 44% случаев точкой входа в инфраструктуру становились веб-приложения на сетевом периметре. Среди них чаще всего мы отмечали сайты под управлением CMS 1С-Битрикс. Доля таких сайтов по сравнению с прошлым периодом выросла с 13% до 33%.

- Растет число атак, в которых злоумышленники проникали в инфраструктуру организации через компанию подрядчика. Если раньше это были единичные случаи, то за прошедший год доля атак, основанных на доверительных отношениях с подрядчиками, выросла до 15%.

- По сравнению с 2021–2023 годами существенно (с 32% до 50%) выросла доля проектов, в которых инцидент привел к нарушению внутренних бизнес-процессов. Предположительно, это связано с увеличением интенсивности атак со стороны хактивистов и финансово мотивированных злоумышленников, которые, как правило, требуют выкуп за восстановление инфраструктуры.

- В числе наиболее распространенных причин, из-за которых компании становились жертвами кибератак, — использование устаревших версий ОС и ПО (47% проектов), отсутствие механизма двухфакторной аутентификации (41%) и недостаточная сегментация корпоративной сети (38%). 18% - небезопасное хранение чувствительной информации, в частности аутентификационных данных. В 12% проектов выявлены недостатки парольной политики.

Исследователи из Лаборатории Касперского сообщают об обнаружении в ходе одного из своих расследований вредоносной инфраструктуры QSC с несколькими плагинами, которая загружает и запускает модули в памяти.

Задетектить QSC удалось в процессе реагирования на инцидент 2021 года с атакой на телекоммуникационную отрасль в Южной Азии.

В состав инфраструктуры входят загрузчик, модуль ядра, сетевой модуль, модуль командной оболочки и модуль файлового менеджера.

Она запускается либо как отдельный исполняемый файл, либо как файл полезной нагрузки вместе с DLL-библиотекой загрузчика.

Когда ЛК впервые в 2021 году отследили QSC, телеметрии было недостаточно, чтобы выяснить, как фреймворк был развернут или кто за ним стоит.

Продолжая отслеживать телеметрию на предмет дальнейших признаков фреймворка QSC, в октябре 2023 года были замечены несколько экземпляров, нацеленных на интернет-провайдера в Западной Азии.

Дальнейшее асследование показало, что целевые машины были заражены бэкдором Quarian версии 3 (он же Turian) с 2022 года, и те же злоумышленники использовали этот доступ для развертывания фреймворка QSC, начиная с 10 октября 2023 года.

В дополнение к фреймворку QSC злоумышленники также доставили новый бэкдор, написанный на Golang, который получил название GoClient и взаимодействует с C2, жестко закодированным во вредоносной программе, через TLS, задействуя RC4 для дальнейшего обмена сообщениями.

Как отмечают исследователи, GoClient использовался злоумышленниками в основном для выполнения команд на целевой системе. При этом в первую очередь, они были заинтересованы в сборе системной информации.

В свою очередь, фреймворк QSC также использовался для выполнения серии команд для поиска контроллера домена в сети, файлового сервера и других машин.

Используя WMIC и украденные креды администратора домена, злоумышленники также запускали QSC на других машинах в сети. 

Первое развертывание бэкдора GoClient состоялось 17 октября 2023 года.

Проанализировав все артефакты кампании, со средней уверенностью исследователи пришли к выводу, что за QSC и GoClient стоит CloudComputating (BackdoorDiplomacy или Faking Dragon).

Расследование выявило существенный сдвиг в тактике группы CloudComputating, связанный с задействованием фреймворка QSC вторичного способа для сохранения доступа в скомпрометированных сетях наряду с ранее выявленным бэкдором Quarian и его вариантами.

При этом группа инициировала ограниченные целевые кампании с использованием QSC, сосредоточившись конкретно на телекоммуникационном секторе.

Кроме того, в ответ на обнаружение бэкдора Quarian группа начала развертывать защищенную версию. 

Технический разбор каждого компонента QSC, а также недавней активности CloudComputating, включая сценарий развертывания, дополнительный бэкдор, действия на этапе постэксплуатации и обновленные IoC угрозы - в отчете.

Исследователи из F.A.C.C.T. также не остаются в стороне от своих уже упомянутых сегодня коллег и делятся с аналитикой по новым тенденциям во вредоносных почтовых рассылках, перехваченных в третьем квартале.

Исследование показывает, что хакеры практически отказались от использования ссылок для доставки вредоносного ПО.

Доля фишинговых писем с вложениями увеличилась с 97,3% во втором квартале 2024-го до 99,1% в третьем квартале.

Такое сокращение использования ссылок связано с тем, что техника доставки вредоносного ПО не оправдывает затрат в массовых фишинговых рассылках, поскольку вредоносная нагрузка должна храниться где-то на стороне, создавая дополнительные издержки для атакующих.

В 82% вредоносных писем получатели видели во вложении архив, содержащий вредоносный экземпляр, чаще всего в виде исполняемого файла.

Самые популярные у злоумышленников расширения ZIP и RAR (встречаются в 6 из 10 вредоносных писем), а также 7z, Z, GZ и другие.

Также в качестве доставщика ВПО злоумышленники продолжают использоваться офисные документы с расширениями PDF и DOCX, доля которых в рассылках незначительно подросла до 8,8% (+2,4%) по сравнению с предыдущим кварталом.

Причём преступники отказываются от использования электронных таблиц Excel (с расширением XLS) для упаковки вредоносного ПО в пользу файлов с расширениями PDF и DOCX.

На первое место среди вредоносных начинок фишинговых писем вырвался стилер FormbookFormgrabber - его доля в рассылках увеличилась в 4 раза, до 40%.

Прежний лидер, AgentTesla, откатился сразу на третью позицию (с 56,1% до 13,4%), а вторую строчку занял малоизвестный загрузчик DarkGate с широким функционалом: стилера, средства удаленного управления и даже майнера.

Резкое падение доли AgentTesla в рассылках специалисты F.A.C.C.T. связывают с ликвидацией инфраструктуры этого вредоносного ПО летом 2024 года, на замену которого многие злоумышленники выбрали проверенный временем стилер Formbook.

Анализируя функционал вредоносного ПО, эксперты отмечают: самым популярным типом остаётся шпионское ПО, семейства которого распространяются по модели MaaS.

Однако доля вредоносных рассылок со шпионами за третий квартал уменьшилась на 8% — до 63%.

Доля загрузчиков при этом увеличилась более чем в 2 раза, с 10% до 23%.

Вредоносное ПО типа бэкдор в качестве первичной вредоносной нагрузки стало встречаться немного реже — в 8%.

Пик вредоносных рассылок в третьем квартале вновь вернулся на среду: в этот день рассылались 22% всех фишинговых писем.

Отмечается снижение доли почтовых рассылок с бесплатных почтовых сервисов (2,6%).

Более 97% писем с вредоносной начинкой рассылаются с отдельных доменов, специально созданных или скомпрометированных.

Чаще всего для отправки вредоносных писем киберпреступники используют доменные имена в зоне com (64,0%), ru (5,4%), net (3,0%), а также jp и org, зачастую используя спуфинг.

Если с атаками на цепочку мудаков мы сталкиваемся в последнее время достаточно часто, то атаки мудаков на цепочку поставок явление редкое, но весьма приметное, как в случае с японской Mazda, которая забила болт как на результаты Trend Micro Zero Day Initiative, так и на клиентов.

В соответствии с регламентом, выждав положенный срок на устранение обнаруженных в ходе ZDI недостатков, организаторы хакерского турнира решили раскрыть подробности RCE-уязвимостей в информационно-развлекательной системе, установленной на некоторых моделях Mazda.

Проблемы обусловлены тем, что система Mazda Connect Connectivity Master Unit (CMU) не обрабатывает должным образом вводимые пользователем данные, позволяя злоумышленнику с физическим доступом отправлять команды в систему, подключив USB-устройство.

CMU, популярный среди сообщества моддеров, выпустивших программные доработки для модификации, был произведен компанией Visteon и использует ПО, изначально разработанное Johnson Controls.

По данным ZDI, недостатки, выявленные в версии 74.00.324A (и более ранних), могут использоваться в совокупности для достижения полной компрометации CMU, затрагивая Mazda 3 2014-2021 модельного года и другие модели автопроизводителя.

Первая CVE-2024-8355 связана с тем, что при подключении нового Apple CMU берет несколько значений с устройства и использует их в операторе SQL без очистки, что позволяет злоумышленнику использовать поддельное устройство для ответа на запрос с помощью определенных команд.

Она будут выполняться в системе с привилегиями root и приведут к манипулированию базой данных, созданию произвольных файлов и потенциальному выполнению кода.

Эксплуатация уязвимости достаточно условна из-за явного ограничения длины входных данных в 0x36 байт, но это можно обойти, подключив несколько поддельных iPod один за другим, каждый из которых будет содержать собственные внедренные SQL-операторы вместо серийного номера.

Три других CVE-2024-8359, CVE-2024-8360 и CVE-2024-8358 влияют на функции процесса обновления и позволяют злоумышленнику внедрять произвольные команды ОС, которые будут выполняться оболочкой ОС головного устройства, что приведет к полной компрометации системы.

Пятая CVE-2024-8357 обусловлена отсутствием в SoC приложения под управлением Linux аутентификации для загрузки ОС, что позволяет злоумышленнику манипулировать корневой файловой системой, данными конфигурации и кодом начальной загрузки для сохранения, установки ключа SSH и выполнения кода.

Другая уязвимость, CVE-2024-8356, затрагивает вторую систему головного устройства, а именно микроконтроллер, работающий под управлением неуказанной ОС, реализующий такие функции CMU, как подключение по CAN и LIN, который идентифицируется как VIP в строках ПО CMU.

ZDI также обнаружила возможности манипуляций в процессе обновления VIP, которые позволяют злоумышленнику перейти от скомпрометированного приложения SoC к VIP MCU, установив специально созданную версию прошивки, и по итогу получить прямой доступ к CAN-шинам автомобиля.

Эксплуатация этих уязвимостей возможна с помощью USB-устройства, подключение которого к автомобилю может автоматически запустить процесс обновления ПО, что облегчит эксплуатацию ошибок внедрения команд.

Несмотря на то, что, по мнению ZDI, атака может быть выполнена за считанные минуты, ни одна из уязвимостей до сих пор не была исправлена поставщиком.

В Palo Alto Networks видимо руководствовались старым добрым «корабельным» правилом по части выбора наименований для своих решений и теперь вынуждены в очередной раз трубить тревогу, предупреждая клиентов о потенциальной RCE-уязвимости.

Компания призвала ограничить (заблокировать) доступ к межсетевым экранам следующего поколения из Интернета к интерфейсу управления PAN-OS своих брандмауэров из-за потенциальной уязвимости удаленного выполнения кода.

Правда, в компании до сих пор пока не располагают никакой дополнительной информацией относительно предполагаемой уязвимости, пытаясь ее идентифицировать, чтобы затем понять признаки ее эксплуатации.

Palo Alto Networks сейчас активно отслеживают признаки любой эксплуатации, рекомендуя проделывать тоже самое клиентам и следовать отдельным рекомендациям для смягчения последствий.

И все это на фоне прошлонедельных сигналов CISA в отношении продолжающихся атак, нацеленных на критическую уязвимость отсутствия аутентификации в Palo Alto Networks Expedition (CVE-2024-5910), которая была исправлена в июле и позволяет удаленно сбросить учетные данные администратора на серверах, доступных через Интернет.

Криминалисты в США столкнулись с проблемами после изъятия iPhone у подозреваемых, в период содержания которых под стражей устройства загадочно перезагружались, лишая возможности их лабораторного исследования.

Оказалось, что Apple добавила секретную функцию под названием «перезагрузка бездействия», которая принудительно перезагружает iPhone, которые не разблокировались в течение длительного периода времени.

При этом перезагрузка переводит устройства в состояние «до первой разблокировки» (BFU), в котором данные телефона получить сложнее нежели на этапе «после первой разблокировки» (AFU).

Она срабатывает в течение 24 часов и переводит устройство, что ставит под угрозу возможность анализа хранящихся данных.

По данным 404 Media, первые экспонаты iPhone с iOS 18 с принудительным BFU были изначально доставлены в лабораторию 3 октября и на момент начала осмотра уже перезагрузились.

Правоохранители предполагают, что эти устройства взаимодействовали с уже имеющимися в лаборатории iPhone в состоянии AFU. В результате этого взаимодействия мог возникнуть сигнал на перезагрузку.

Однако, как выяснили исследователи новая функция реализована в keybagd и расширении ядра AppleSEPKeyStore, а значит не имеет ничего общего с доступом к сети. Компонент используется исключительно при разблокировке устройства.

А мы всегда говорили, что терморектальный криптоанлиз - был и остается самым надежным методом первичной компрометации или разблокировки.

В реальности с трудом вериться во все подобные приколы, особенно после «неожиданных» открытий (в стиле «а кто это сделал?») в рамках «Операции Триангуляции», которую четко провернули исследователи из Лаборатории Касперского.

Больше похоже на попытки отбеливания репутации.

Исследователи Perception Point заметили новый тренд, связанный с задействованием техники конкатенации ZIP-файлов для доставки вредоносных данных в сжатых архивах в ходе атак на компьютеры Windows, чтобы избежать обнаружения

В этой методике используются различные методы обработки объединенных ZIP-файлов ZIP-анализаторами и менеджерами архивов.

Новинку исследователям удалось задетектить, обнаружив составной ZIP-архив, скрывающий троян, в ходе расследуемой фишинговой атаки.

Исследователи обнаружили, что вложение было замаскировано под архив RAR, а вредоносная ПО использовала язык сценариев AutoIt для автоматизации вредоносных задач.

На первом этап атаки злоумышленники реализуют подготовку, в рамках которой создают два или более отдельных ZIP-архива и прячут вредоносную нагрузку в одном из них, оставляя остальные с безобидным содержимым.

Затем отдельные файлы объединяются в один путем добавления двоичных данных одного файла к другому, объединяя их содержимое в один объединенный ZIP-архив.

При этом конечный результат выглядит как один файл, но содержит несколько структур ZIP, каждая из которых имеет свой центральный каталог и конечные маркеры.

Следующая фаза атаки зависит от того, как парсеры ZIP обрабатывают объединенные архивы.

Результаты тестов Perception Point показали:

- 7zip считывает только первый ZIP-архив (который может оказаться безвредным) и может выдать предупреждение о дополнительных данных, которые пользователи могут пропустить.

- WinRAR считывает и отображает обе структуры ZIP, выявляя все файлы, включая скрытую вредоносную нагрузку.

- Проводник Windows может не открыть объединенный файл или, если он переименован с расширением .RAR, может отобразить только второй ZIP-архив.

В зависимости от поведения приложения злоумышленники могут оптимизировать свою атаку, например, скрыть вредоносное ПО в первом или втором ZIP-архиве конкатенации.

Запустив вредоносный архив из атаки, исследователи Perception Point наблюдали только безвредный PDF-файл. Однако открытие с помощью Windows Explorer выявило вредоносный исполняемый файл.

Для защиты от объединенных ZIP-файлов Perception Point предлагают использовать решения безопасности, поддерживающие рекурсивную распаковку, и применять фильтры для блокировки соответствующих расширений файлов.

Исследователи Trend Micro сообщают о двух масштабных кампаниях, инициированных Earth Estries с использованием продвинутых TTPs для проникновения в корпоративные системы через уязвимости в широко распространенном ПО.

В первой хакеры нацеливались на уязвимости или некорректные настройки QConvergeConsole - инструмент для управления оптоволоконными адаптерами QLogic, используя после начального доступа утилиты PsExec и WMIC для распространения малвари по сети.

Для этих целей злоумышленники задействовали установленный агент удаленного приложения (c:\program files\qlogic corporation\nqagent\netqlremote.exe), который позволял проводить сетевое сканирование и доставлять Cobalt Strike на целевые машины.

Помимо этого использовалась уязвимость в Apache Tomcat6, поставляемом с QConvergeConsole для бокового перемещения и управления инструментами на этапе постэксплуататции.

Закрепление в системе Earth Estries обеспечивали бэкдоры: Cobalt Strike, Trillclient, Hemigate и новый под названием Crowdoor, доставляемые в виде CAB-архивов.

Во второй замеченной кампании эксплуатировались уязвимости в Microsoft Exchange для развертывания ChinaCopper, через который злоумышленники подтягивались уже Cobalt Strike и другие инструменты для бокового перемещения по сети.

Ключевыми элементами цепочки заражения выступали бэкдоры Zingdoor и SnappyBee (Deed RAT), которые загружались либо с С2, либо через curl-запросы к подконтрольным сайтам.

При этом хакеры активно полагались на PortScan и различные скрипты для разведки сетевой инфраструктуры, а дополнительные бэкдоры - для сбора и экспорта документов через RAR-архивы.

Earth Estries уделяла особое внимание скрытности, регулярно обновляя свои инструментарии и подчищая следы.

Для большего размаха действий использовались кастомныме бэкдоры, включая недавно обнаруженный Crowdoor, который взаимодействовал с Cobalt Strike.

Для закрепления в системе злоумышленники использовали различные методы создания задач по расписанию.

Помимо кражи учетных данных через Trillclient хакеры прятали управляющий трафик через локальные и удаленные прокси-серверы.

В ходе исследования были также обнаружены бэкдоры FuxosDoor и Cryptmerlin.

Первый работал как бэкдор для веб-сервера IIS, обеспечивая скрытую связь с С2, а другой использовал технику DLL sideloading для длительного контроля над зараженными машинами.

Упомянутые Zingdoor и SnappyBee функционировали как HTTP-бэкдоры, облегчая боковое перемещение по сети. SnappyBee представляет собой модульный бэкдор, преемник ShadowPad.

Оба вредоноса реализуют DLL sideloading для внедрения в легитимные процессы.

ChinaChopper позволял злоумышленникам создавать удаленные службы для EoP и обеспечения персистентности, а Crowdoor позволял перезапускать и обновлять Cobalt Strike в скомпрометированных системах, а также выполнять другие действия, в том числе по части закрепления.

На протяжении всех кампаний Earth Estries демонстрировала глубокое понимание целевых сред, постоянно выявляя возможности для повторного входа, а комбинация известных инструментов и пользовательских бэкдоров позволила APT реализовать многоуровневую стратегию атак.