Исследователи BI.ZONE обнаружили ранее неизвестный кластер Venture Wolf, который активен как минимум с ноября 2023 года и нацелен на промышленность, строительство, IT, телеком и другие отрасли с использованием различных загрузчиков для доставки MetaStealer.

Venture Wolf распространяет архивы, содержащие загрузчик с расширением .com (реже .exe), а также один или несколько фишинговых документов, в качестве которых используются как изображения, например JPG или PNG, так и файлы PDF, DOC/DOCX и ODT.

После запуска загрузчик либо создает dummy-файл .NET, в который внедряется вредоносная нагрузка, либо внедряет ее в процесс RegAsm.exe.

Загрузчики являются исполняемыми файлами формата PE (Portable Executable). Их код обфусцирован, имена WinAPI-функций, использующихся для внедрения вредоносного кода, зашифрованы. 

Вредоносная нагрузка и dummy-файл .NET, в зависимости от типа загрузчика, содержатся в его теле и зашифрованы алгоритмом RC4.

В зависимости от типа загрузчика, осуществляется расшифровка и создание dummy-файла .NET со случайным именем в каталоге %TEMP%.

Имя формируется случайным образом из заданной в загрузчике строки алфавита, поэтому имя dummy-файла .NET может содержать китайские иероглифы. При этом dummy-файл .NET не содержит какого-либо кода в функции Main.

Расшифровываются имена WinAPI-функций, использующихся для внедрения кода в запущенный процесс, а именно: CreateProcessW, VirtualAllocEx, WriteProcessMemory, Wow64SetThreadContext/SetThreadContext, ResumeThread.

Затем расшифровывается и внедряется в процесс вредоносная нагрузка - MetaStealer. ВПО реализовано на C# и является форком другого стилера - RedLine.

Важное отличие MetaStealer от RedLine заключается в том, что разработчики MetaStealer не запрещают применять его для реализации атак на Россию и страны СНГ.

В процессе выполнения MetaStealer осуществляет сбор информации о системе, получение данных из браузеров, криптокошельков, клиентов электронной почты, а также из различных приложений, таких как Steam и FileZilla.

Также стоит отметить, что Venture Wolf для обфускации кода MetaStealer использует протектор .NET Reactor.

Технические подробности и индикаторы компрометации - в отчете.

Cisco устранила уязвимость максимальной критичности, которая позволяет злоумышленникам выполнять команды с правами root в уязвимых промышленных беспроводных системах Ultra-Reliable Wireless Backhaul (URWB).

CVE-2024-20418 была обнаружена в веб-интерфейсе управления Cisco Unified Industrial Wireless Software. Неаутентифицированные злоумышленники могут использовать ее в атаках с внедрением команд низкой сложности, которые не требуют взаимодействия с пользователем.

Ошибка вызвана неправильной проверкой входных данных в веб-интерфейсе управления, воспользоваться ей можно, отправив специально созданные HTTP-запросы в веб-интерфейс управления уязвимой системы.

Успешная эксплойт-атака позволит злоумышленнику выполнять произвольные команды с привилегиями root на базовой операционной системе пострадавшего устройства.

Как поясняет Cisco, уязвимость затрагивает точки доступа Catalyst IW9165D Heavy Duty, защищенные точки доступа и беспроводные клиенты Catalyst IW9165E, а также точки доступа Catalyst IW9167E Heavy Duty, но только если на них установлено уязвимое ПО и включен режим работы URWB.

Cisco PSIRT к настоящему времени не встречала общедоступного эксплойта и не фиксировала сообщений об атаках в реальных условиях.

Администраторы могут определить, включен ли режим работы URWB, проверив, доступность команды CLI "show mpls-config".

Если команда недоступна, URWB отключается, и устройство не будет затронуто этой уязвимостью.

Как мы уже сообщали, на западе приступили к активным приготовлениям к исследованиям в области наступательной безопасности в условиях сегментирования Интернета под влиянием геополитики.

Вслед за начинаниями IBM X-Force легализовать будущих "киберкаперов" решили в Германии, предлагая поправки в статью 202а Уголовного кодекса (StGB) и создавая тем самым законодательную основу для будущих операций.

Федеральное министерство юстиции Германии разработало закон, предусматривающий правовую защиту для исследователей, которые будут несанкционированно находить уязвимости безопасности и ответственно сообщать о них (куда нужно) поставщикам.

Аналогичное исключение из уголовной ответственности применяется и к преступлениям, связанным с перехватом данных (§ 202b Уголовного кодекса) и изменением данных (§ 303a Уголовного кодекса), при условии, что соответствующие действия считаются санкционированными.

Потенциально виновные в совершении уголовных киберпреступлений хакеры, взявшие на себя «эту важную задачу», будут получат статус «белых» и будут освобождены от ответственности и риска судебного преследования.

Федеральные земли и заинтересованные объединения получили на рассмотрение законопроект и должны к 13 декабря 2024 года представить свои замечания, прежде чем он будет представлен в Бундестаг для парламентского обсуждения.

Как и прогнозировали в Лаборатории Касперского, одним из трендов 2024 года станут альтернативные фреймворки постэксплуатации.

Исследователи Fortinet обратили внимание на активное задействование в актах на пользователей Windows вредоносного фреймворка Winos4.0, распространяемого через, казалось бы, безобидные игровые приложения.

Инструментарий является эквивалентом Sliver и Cobalt Strike, был задокументирован Trend Micro этим летом в отчете об атаках на китайских пользователей, реализуемых Void Arachne/Silver Fox через различное пиратское ПО.

В отчете Fortinet отмечается эволюция активности: теперь хакеры в своих частых атаках на китайских пользователей полагаются на игры и связанные с играми файлы.

При запуске, казалось бы, легитимных установщиков они загружают DLL-файл с «ad59t82g[.]com», инициируя при этом многоступенчатый процесс заражения.

На первом этапе DLL-файл (you.dll) загружает дополнительные файлы, настраивает среду выполнения и обеспечивает сохранение путем добавления записей в реестр Windows.

На втором этапе внедренный шелл-код загружает API, извлекает данные конфигурации и устанавливает соединение с C2.

На третьем этапе другая DLL (上线模块.dll) извлекает дополнительные закодированные данные с C2, сохраняет их в реестре в разделе «HKEY_CURRENT_USER\\Console\\0» и обновляет адреса C2.

На последнем этапе цепочки атаки загружается модуль входа (登录模块.dll), который собирает системную информацию, проверяет наличие антивирусного ПО на хосте, детектирует о конкретных расширениях криптокошельков, поддерживает соединение с сервером C2 и извлекает данные.

Winos4.0 проверяет наличие в системе различных средств безопасности, включая Kaspersky, Avast, Avira, Symantec, Bitdefender, Dr.Web, Malwarebytes, McAfee, AhnLab, ESET, Panda Security и Microsoft Security Essentials.

Выявляя эти процессы, вредоносная ПО определяет, запущена ли она в контролируемой среде, и соответствующим образом корректирует свое поведение или прекращает выполнение.

Хакеры продолжают использовать фреймворк Winos4.0 уже несколько месяцев, и появление новых кампаний свидетельствует о том, что его роль во вредоносных операциях, по-видимому, возрастает.

Fortinet описывает фреймворк как достаточно мощный с точки зрения контроля скомпрометированных систем, с функциональностью, похожей на Cobalt Strike и Sliver.

Индикаторы компрометации доступны в отчетах Fortinet и Trend Micro.

Позитивы выкатили мощный отчет по итогам работы IR-команды PT ESC за период с 4 квартала 2023 по 3 квартал 2024 с аналитикой по расследованиям в рамках более ста проектов в организациях по всему миру, выделив наиболее важные аспекты инцидентов.

В исследовании представлены результаты этого анализа, статистика по проектам, подробный разбор интересных кейсов и ключевых трендов, которые им удалось проследить в массе.

Помимо этого, перечислены основные недостатки в алгоритмах и подходах к обеспечению защиты инфраструктуры, ставшие причинами инцидентов, и на их основе выработали перечень рекомендаций, которые помогут свести к минимуму риски успешных кибератак.

Главное из отчета:

- Отмечается существенный спрос на проекты по расследованию инцидентов. В 2023 году их прирост составил 176%, а за первые три квартала 2024 года число проектов выросло на 24% по сравнению с аналогичным периодом 2023 года.

- Чаще всего за услугами PT ESC IR обращались промышленные предприятия (23%) и госучреждения (22%). По сравнению с прошлым периодом, с 8% до 13% выросла доля обращений IT-компаний.

- Среднее время от начала инцидента до обнаружения нелегитимной активности TTD составило 17 дней. Средняя продолжительность инцидента — 23 дня, при этом время, в течение которого удавалось свести инцидент к контролируемой фазе TTC, в среднем составило 3 дня. Самая продолжительная вредоносная активность, выявленная в ходе расследования, длилась почти три года, а длительность самого короткого инцидента составила одни сутки.

- В 39% компаний были выявлены следы присутствия известных APT-группировок, а в 35% организаций злоумышленники (из категории Cybercrime) совершали успешные действия, направленные на шифрование либо уничтожение информации и нарушение бизнес-процессов.

- В 44% случаев точкой входа в инфраструктуру становились веб-приложения на сетевом периметре. Среди них чаще всего мы отмечали сайты под управлением CMS 1С-Битрикс. Доля таких сайтов по сравнению с прошлым периодом выросла с 13% до 33%.

- Растет число атак, в которых злоумышленники проникали в инфраструктуру организации через компанию подрядчика. Если раньше это были единичные случаи, то за прошедший год доля атак, основанных на доверительных отношениях с подрядчиками, выросла до 15%.

- По сравнению с 2021–2023 годами существенно (с 32% до 50%) выросла доля проектов, в которых инцидент привел к нарушению внутренних бизнес-процессов. Предположительно, это связано с увеличением интенсивности атак со стороны хактивистов и финансово мотивированных злоумышленников, которые, как правило, требуют выкуп за восстановление инфраструктуры.

- В числе наиболее распространенных причин, из-за которых компании становились жертвами кибератак, — использование устаревших версий ОС и ПО (47% проектов), отсутствие механизма двухфакторной аутентификации (41%) и недостаточная сегментация корпоративной сети (38%). 18% - небезопасное хранение чувствительной информации, в частности аутентификационных данных. В 12% проектов выявлены недостатки парольной политики.

Исследователи из Лаборатории Касперского сообщают об обнаружении в ходе одного из своих расследований вредоносной инфраструктуры QSC с несколькими плагинами, которая загружает и запускает модули в памяти.

Задетектить QSC удалось в процессе реагирования на инцидент 2021 года с атакой на телекоммуникационную отрасль в Южной Азии.

В состав инфраструктуры входят загрузчик, модуль ядра, сетевой модуль, модуль командной оболочки и модуль файлового менеджера.

Она запускается либо как отдельный исполняемый файл, либо как файл полезной нагрузки вместе с DLL-библиотекой загрузчика.

Когда ЛК впервые в 2021 году отследили QSC, телеметрии было недостаточно, чтобы выяснить, как фреймворк был развернут или кто за ним стоит.

Продолжая отслеживать телеметрию на предмет дальнейших признаков фреймворка QSC, в октябре 2023 года были замечены несколько экземпляров, нацеленных на интернет-провайдера в Западной Азии.

Дальнейшее асследование показало, что целевые машины были заражены бэкдором Quarian версии 3 (он же Turian) с 2022 года, и те же злоумышленники использовали этот доступ для развертывания фреймворка QSC, начиная с 10 октября 2023 года.

В дополнение к фреймворку QSC злоумышленники также доставили новый бэкдор, написанный на Golang, который получил название GoClient и взаимодействует с C2, жестко закодированным во вредоносной программе, через TLS, задействуя RC4 для дальнейшего обмена сообщениями.

Как отмечают исследователи, GoClient использовался злоумышленниками в основном для выполнения команд на целевой системе. При этом в первую очередь, они были заинтересованы в сборе системной информации.

В свою очередь, фреймворк QSC также использовался для выполнения серии команд для поиска контроллера домена в сети, файлового сервера и других машин.

Используя WMIC и украденные креды администратора домена, злоумышленники также запускали QSC на других машинах в сети. 

Первое развертывание бэкдора GoClient состоялось 17 октября 2023 года.

Проанализировав все артефакты кампании, со средней уверенностью исследователи пришли к выводу, что за QSC и GoClient стоит CloudComputating (BackdoorDiplomacy или Faking Dragon).

Расследование выявило существенный сдвиг в тактике группы CloudComputating, связанный с задействованием фреймворка QSC вторичного способа для сохранения доступа в скомпрометированных сетях наряду с ранее выявленным бэкдором Quarian и его вариантами.

При этом группа инициировала ограниченные целевые кампании с использованием QSC, сосредоточившись конкретно на телекоммуникационном секторе.

Кроме того, в ответ на обнаружение бэкдора Quarian группа начала развертывать защищенную версию. 

Технический разбор каждого компонента QSC, а также недавней активности CloudComputating, включая сценарий развертывания, дополнительный бэкдор, действия на этапе постэксплуатации и обновленные IoC угрозы - в отчете.

Исследователи из F.A.C.C.T. также не остаются в стороне от своих уже упомянутых сегодня коллег и делятся с аналитикой по новым тенденциям во вредоносных почтовых рассылках, перехваченных в третьем квартале.

Исследование показывает, что хакеры практически отказались от использования ссылок для доставки вредоносного ПО.

Доля фишинговых писем с вложениями увеличилась с 97,3% во втором квартале 2024-го до 99,1% в третьем квартале.

Такое сокращение использования ссылок связано с тем, что техника доставки вредоносного ПО не оправдывает затрат в массовых фишинговых рассылках, поскольку вредоносная нагрузка должна храниться где-то на стороне, создавая дополнительные издержки для атакующих.

В 82% вредоносных писем получатели видели во вложении архив, содержащий вредоносный экземпляр, чаще всего в виде исполняемого файла.

Самые популярные у злоумышленников расширения ZIP и RAR (встречаются в 6 из 10 вредоносных писем), а также 7z, Z, GZ и другие.

Также в качестве доставщика ВПО злоумышленники продолжают использоваться офисные документы с расширениями PDF и DOCX, доля которых в рассылках незначительно подросла до 8,8% (+2,4%) по сравнению с предыдущим кварталом.

Причём преступники отказываются от использования электронных таблиц Excel (с расширением XLS) для упаковки вредоносного ПО в пользу файлов с расширениями PDF и DOCX.

На первое место среди вредоносных начинок фишинговых писем вырвался стилер FormbookFormgrabber - его доля в рассылках увеличилась в 4 раза, до 40%.

Прежний лидер, AgentTesla, откатился сразу на третью позицию (с 56,1% до 13,4%), а вторую строчку занял малоизвестный загрузчик DarkGate с широким функционалом: стилера, средства удаленного управления и даже майнера.

Резкое падение доли AgentTesla в рассылках специалисты F.A.C.C.T. связывают с ликвидацией инфраструктуры этого вредоносного ПО летом 2024 года, на замену которого многие злоумышленники выбрали проверенный временем стилер Formbook.

Анализируя функционал вредоносного ПО, эксперты отмечают: самым популярным типом остаётся шпионское ПО, семейства которого распространяются по модели MaaS.

Однако доля вредоносных рассылок со шпионами за третий квартал уменьшилась на 8% — до 63%.

Доля загрузчиков при этом увеличилась более чем в 2 раза, с 10% до 23%.

Вредоносное ПО типа бэкдор в качестве первичной вредоносной нагрузки стало встречаться немного реже — в 8%.

Пик вредоносных рассылок в третьем квартале вновь вернулся на среду: в этот день рассылались 22% всех фишинговых писем.

Отмечается снижение доли почтовых рассылок с бесплатных почтовых сервисов (2,6%).

Более 97% писем с вредоносной начинкой рассылаются с отдельных доменов, специально созданных или скомпрометированных.

Чаще всего для отправки вредоносных писем киберпреступники используют доменные имена в зоне com (64,0%), ru (5,4%), net (3,0%), а также jp и org, зачастую используя спуфинг.

Если с атаками на цепочку мудаков мы сталкиваемся в последнее время достаточно часто, то атаки мудаков на цепочку поставок явление редкое, но весьма приметное, как в случае с японской Mazda, которая забила болт как на результаты Trend Micro Zero Day Initiative, так и на клиентов.

В соответствии с регламентом, выждав положенный срок на устранение обнаруженных в ходе ZDI недостатков, организаторы хакерского турнира решили раскрыть подробности RCE-уязвимостей в информационно-развлекательной системе, установленной на некоторых моделях Mazda.

Проблемы обусловлены тем, что система Mazda Connect Connectivity Master Unit (CMU) не обрабатывает должным образом вводимые пользователем данные, позволяя злоумышленнику с физическим доступом отправлять команды в систему, подключив USB-устройство.

CMU, популярный среди сообщества моддеров, выпустивших программные доработки для модификации, был произведен компанией Visteon и использует ПО, изначально разработанное Johnson Controls.

По данным ZDI, недостатки, выявленные в версии 74.00.324A (и более ранних), могут использоваться в совокупности для достижения полной компрометации CMU, затрагивая Mazda 3 2014-2021 модельного года и другие модели автопроизводителя.

Первая CVE-2024-8355 связана с тем, что при подключении нового Apple CMU берет несколько значений с устройства и использует их в операторе SQL без очистки, что позволяет злоумышленнику использовать поддельное устройство для ответа на запрос с помощью определенных команд.

Она будут выполняться в системе с привилегиями root и приведут к манипулированию базой данных, созданию произвольных файлов и потенциальному выполнению кода.

Эксплуатация уязвимости достаточно условна из-за явного ограничения длины входных данных в 0x36 байт, но это можно обойти, подключив несколько поддельных iPod один за другим, каждый из которых будет содержать собственные внедренные SQL-операторы вместо серийного номера.

Три других CVE-2024-8359, CVE-2024-8360 и CVE-2024-8358 влияют на функции процесса обновления и позволяют злоумышленнику внедрять произвольные команды ОС, которые будут выполняться оболочкой ОС головного устройства, что приведет к полной компрометации системы.

Пятая CVE-2024-8357 обусловлена отсутствием в SoC приложения под управлением Linux аутентификации для загрузки ОС, что позволяет злоумышленнику манипулировать корневой файловой системой, данными конфигурации и кодом начальной загрузки для сохранения, установки ключа SSH и выполнения кода.

Другая уязвимость, CVE-2024-8356, затрагивает вторую систему головного устройства, а именно микроконтроллер, работающий под управлением неуказанной ОС, реализующий такие функции CMU, как подключение по CAN и LIN, который идентифицируется как VIP в строках ПО CMU.

ZDI также обнаружила возможности манипуляций в процессе обновления VIP, которые позволяют злоумышленнику перейти от скомпрометированного приложения SoC к VIP MCU, установив специально созданную версию прошивки, и по итогу получить прямой доступ к CAN-шинам автомобиля.

Эксплуатация этих уязвимостей возможна с помощью USB-устройства, подключение которого к автомобилю может автоматически запустить процесс обновления ПО, что облегчит эксплуатацию ошибок внедрения команд.

Несмотря на то, что, по мнению ZDI, атака может быть выполнена за считанные минуты, ни одна из уязвимостей до сих пор не была исправлена поставщиком.

В Palo Alto Networks видимо руководствовались старым добрым «корабельным» правилом по части выбора наименований для своих решений и теперь вынуждены в очередной раз трубить тревогу, предупреждая клиентов о потенциальной RCE-уязвимости.

Компания призвала ограничить (заблокировать) доступ к межсетевым экранам следующего поколения из Интернета к интерфейсу управления PAN-OS своих брандмауэров из-за потенциальной уязвимости удаленного выполнения кода.

Правда, в компании до сих пор пока не располагают никакой дополнительной информацией относительно предполагаемой уязвимости, пытаясь ее идентифицировать, чтобы затем понять признаки ее эксплуатации.

Palo Alto Networks сейчас активно отслеживают признаки любой эксплуатации, рекомендуя проделывать тоже самое клиентам и следовать отдельным рекомендациям для смягчения последствий.

И все это на фоне прошлонедельных сигналов CISA в отношении продолжающихся атак, нацеленных на критическую уязвимость отсутствия аутентификации в Palo Alto Networks Expedition (CVE-2024-5910), которая была исправлена в июле и позволяет удаленно сбросить учетные данные администратора на серверах, доступных через Интернет.

Криминалисты в США столкнулись с проблемами после изъятия iPhone у подозреваемых, в период содержания которых под стражей устройства загадочно перезагружались, лишая возможности их лабораторного исследования.

Оказалось, что Apple добавила секретную функцию под названием «перезагрузка бездействия», которая принудительно перезагружает iPhone, которые не разблокировались в течение длительного периода времени.

При этом перезагрузка переводит устройства в состояние «до первой разблокировки» (BFU), в котором данные телефона получить сложнее нежели на этапе «после первой разблокировки» (AFU).

Она срабатывает в течение 24 часов и переводит устройство, что ставит под угрозу возможность анализа хранящихся данных.

По данным 404 Media, первые экспонаты iPhone с iOS 18 с принудительным BFU были изначально доставлены в лабораторию 3 октября и на момент начала осмотра уже перезагрузились.

Правоохранители предполагают, что эти устройства взаимодействовали с уже имеющимися в лаборатории iPhone в состоянии AFU. В результате этого взаимодействия мог возникнуть сигнал на перезагрузку.

Однако, как выяснили исследователи новая функция реализована в keybagd и расширении ядра AppleSEPKeyStore, а значит не имеет ничего общего с доступом к сети. Компонент используется исключительно при разблокировке устройства.

А мы всегда говорили, что терморектальный криптоанлиз - был и остается самым надежным методом первичной компрометации или разблокировки.

В реальности с трудом вериться во все подобные приколы, особенно после «неожиданных» открытий (в стиле «а кто это сделал?») в рамках «Операции Триангуляции», которую четко провернули исследователи из Лаборатории Касперского.

Больше похоже на попытки отбеливания репутации.

Исследователи Perception Point заметили новый тренд, связанный с задействованием техники конкатенации ZIP-файлов для доставки вредоносных данных в сжатых архивах в ходе атак на компьютеры Windows, чтобы избежать обнаружения

В этой методике используются различные методы обработки объединенных ZIP-файлов ZIP-анализаторами и менеджерами архивов.

Новинку исследователям удалось задетектить, обнаружив составной ZIP-архив, скрывающий троян, в ходе расследуемой фишинговой атаки.

Исследователи обнаружили, что вложение было замаскировано под архив RAR, а вредоносная ПО использовала язык сценариев AutoIt для автоматизации вредоносных задач.

На первом этап атаки злоумышленники реализуют подготовку, в рамках которой создают два или более отдельных ZIP-архива и прячут вредоносную нагрузку в одном из них, оставляя остальные с безобидным содержимым.

Затем отдельные файлы объединяются в один путем добавления двоичных данных одного файла к другому, объединяя их содержимое в один объединенный ZIP-архив.

При этом конечный результат выглядит как один файл, но содержит несколько структур ZIP, каждая из которых имеет свой центральный каталог и конечные маркеры.

Следующая фаза атаки зависит от того, как парсеры ZIP обрабатывают объединенные архивы.

Результаты тестов Perception Point показали:

- 7zip считывает только первый ZIP-архив (который может оказаться безвредным) и может выдать предупреждение о дополнительных данных, которые пользователи могут пропустить.

- WinRAR считывает и отображает обе структуры ZIP, выявляя все файлы, включая скрытую вредоносную нагрузку.

- Проводник Windows может не открыть объединенный файл или, если он переименован с расширением .RAR, может отобразить только второй ZIP-архив.

В зависимости от поведения приложения злоумышленники могут оптимизировать свою атаку, например, скрыть вредоносное ПО в первом или втором ZIP-архиве конкатенации.

Запустив вредоносный архив из атаки, исследователи Perception Point наблюдали только безвредный PDF-файл. Однако открытие с помощью Windows Explorer выявило вредоносный исполняемый файл.

Для защиты от объединенных ZIP-файлов Perception Point предлагают использовать решения безопасности, поддерживающие рекурсивную распаковку, и применять фильтры для блокировки соответствующих расширений файлов.

Исследователи Trend Micro сообщают о двух масштабных кампаниях, инициированных Earth Estries с использованием продвинутых TTPs для проникновения в корпоративные системы через уязвимости в широко распространенном ПО.

В первой хакеры нацеливались на уязвимости или некорректные настройки QConvergeConsole - инструмент для управления оптоволоконными адаптерами QLogic, используя после начального доступа утилиты PsExec и WMIC для распространения малвари по сети.

Для этих целей злоумышленники задействовали установленный агент удаленного приложения (c:\program files\qlogic corporation\nqagent\netqlremote.exe), который позволял проводить сетевое сканирование и доставлять Cobalt Strike на целевые машины.

Помимо этого использовалась уязвимость в Apache Tomcat6, поставляемом с QConvergeConsole для бокового перемещения и управления инструментами на этапе постэксплуататции.

Закрепление в системе Earth Estries обеспечивали бэкдоры: Cobalt Strike, Trillclient, Hemigate и новый под названием Crowdoor, доставляемые в виде CAB-архивов.

Во второй замеченной кампании эксплуатировались уязвимости в Microsoft Exchange для развертывания ChinaCopper, через который злоумышленники подтягивались уже Cobalt Strike и другие инструменты для бокового перемещения по сети.

Ключевыми элементами цепочки заражения выступали бэкдоры Zingdoor и SnappyBee (Deed RAT), которые загружались либо с С2, либо через curl-запросы к подконтрольным сайтам.

При этом хакеры активно полагались на PortScan и различные скрипты для разведки сетевой инфраструктуры, а дополнительные бэкдоры - для сбора и экспорта документов через RAR-архивы.

Earth Estries уделяла особое внимание скрытности, регулярно обновляя свои инструментарии и подчищая следы.

Для большего размаха действий использовались кастомныме бэкдоры, включая недавно обнаруженный Crowdoor, который взаимодействовал с Cobalt Strike.

Для закрепления в системе злоумышленники использовали различные методы создания задач по расписанию.

Помимо кражи учетных данных через Trillclient хакеры прятали управляющий трафик через локальные и удаленные прокси-серверы.

В ходе исследования были также обнаружены бэкдоры FuxosDoor и Cryptmerlin.

Первый работал как бэкдор для веб-сервера IIS, обеспечивая скрытую связь с С2, а другой использовал технику DLL sideloading для длительного контроля над зараженными машинами.

Упомянутые Zingdoor и SnappyBee функционировали как HTTP-бэкдоры, облегчая боковое перемещение по сети. SnappyBee представляет собой модульный бэкдор, преемник ShadowPad.

Оба вредоноса реализуют DLL sideloading для внедрения в легитимные процессы.

ChinaChopper позволял злоумышленникам создавать удаленные службы для EoP и обеспечения персистентности, а Crowdoor позволял перезапускать и обновлять Cobalt Strike в скомпрометированных системах, а также выполнять другие действия, в том числе по части закрепления.

На протяжении всех кампаний Earth Estries демонстрировала глубокое понимание целевых сред, постоянно выявляя возможности для повторного входа, а комбинация известных инструментов и пользовательских бэкдоров позволила APT реализовать многоуровневую стратегию атак.

Наши корреспонденты передают эксклюзивные кадры с SOC Forum 2024

Hewlett Packard Enterprise (HPE) выпустила обновления для ПО Instant AOS-8 и AOS-10 для исправления двух критических уязвимостей в точках доступа Aruba Networking.

Выявленные ошибки позволяют удаленному злоумышленнику выполнить неаутентифицированное внедрение команд, отправив специально созданные пакеты в протокол управления точками доступа Aruba (PAPI) через UDP-порт 8211.

Критические уязвимости отслеживаются как CVE-2024-42509 и CVE-2024-47460 и имеют оценки CVSS 9,8 и 9,0 соответственно, затрагивая службу интерфейса командной строки (CLI), доступ к которой осуществляется через протокол PAPI.

Кроме того, обновление также устраняет другие четыре уязвимости безопасности:

- CVE-2024-47461 (CVSS 7,2): аутентифицированное RCE, которое может позволить злоумышленнику выполнять произвольные команды в базовой ОС.

- CVE-2024-47462 и  CVE-2024-47463 (CVSS 7,2): аутентифицированный злоумышленник может создавать произвольные файлы, что потенциально приводит к RCE.

- CVE-2024-47464  (CVSS 6,8): аутентифицированный злоумышленник, использующий ее, может получить доступ к несанкционированным файлам через обход пути.

Все шесть уязвимостей затрагивают AOS-10.4.xx: 10.4.1.4 и более ранние версии, Instant AOS-8.12.xx: 8.12.0.2 и ниже, а также Instant AOS-8.10.xx: 8.10.0.13 и более ранние версии.

При этом как отмечают в HPE, несколько версий ПО, достигшие EoL, также подвержены этим уязвимостям, но для них обновления выпускаться не будут.

Компания также предоставила обходные пути для всех шести уязвимостей на случай, когда обновления ПО оперативно накатить не получится.

Для устранения двух критических недостатков предлагается ограничить/заблокировать доступ к UDP-порту 8211 из всех недоверенных сетей, а для - ограничить доступ к CLI и веб-интерфейсам управления, поместив их в выделенный сегмент уровня 2 или VLAN, а также контролировать доступ с помощью политик брандмауэра.

Активной эксплуатации уязвимостей не наблюдалось, однако поставщик настоятельно рекомендует установить последние обновления и/или принять меры по смягчению последствий.

D-Link предупреждает о критической уязвимости, связанной с внедрением команд, которая затрагивает несколько снятых с производства моделей NAS, для которой был опубликован PoC.

CVE-2024-10914 имеет оценку CVSS 9,2 и влияет на функциональность управления учетными записями на затронутых устройствах.

По данным Netsecfish, злоумышленник может воспользоваться уязвимостью, отправив созданное HTTP-запрос GET на устройство NAS с вредоносным вводом в параметре имени, поскольку параметр имени не обрабатывается должным образом при добавлении нового пользователя

Атака может быть запущена удаленно, сложность атаки довольно высока, как и эксплуатация.

Но вышедший эксплойт этот процесс значительно упрощает и может быть реализован в реальных условиях.

Дефект затрагивает модели D-Link DNS-320, DNS-320LW, DNS-325 и DNS-340L NAS.

При этом скандирование показывает, что из Интернета доступ можно получить к более чем 61 000 уязвимых устройств.

В свою очередь, D-Link предупреждает уязвимы 16 других снятых с производства моделей NAS, и компания не может устранить эту уязвимость, поскольку вся разработка и поддержка клиентов прекращены.

Некоторые из этих устройств ушли в EoL и EOS еще десять лет назад.

Поставщик рекомендует своим клиентам отказаться от дальнейшего использования продуктов и перейти на более новые, поддерживаемые.

Исследователи из Лаборатории Касперского расчехлили новый штамм ransomware под названием Ymir, который шифрует системы, ранее взломанные с использованием стиллера RustyStealer.

RustyStealer - это достаточно известное семейство вредоносных ПО, впервые задокументированное в 2021 году, но его появление в связке с программами-вымогателями демонстрирует еще один пример тесной интеграции киберподполья.

Обнаруженный в ходе расследования инцидента новый штамм отличается обладает продвинутыми механизмами обхода обнаружения, включая выполнение в оперативной памяти, комментариями к коду на языке лингала, использованием PDF-файлов в качестве записок с требованиями выкупа и параметрами конфигурации расширений.

Сама же кампания началась в июле 2024 года и была нацелена на компании по всему миру. При этом Rusty внедрялась в несколько систем целевой инфраструктуры за два дня до развертывания Ymir.

RustyStealer представляет собой инструмент для сбора учетных данных и позволяет злоумышленникам получать несанкционированный доступ к системам путем взлома легитимных учетных записей с высокими привилегиями, полезных для горизонтального перемещения.

Горизонтальное перемещение по сети было реализовано с помощью таких инструментов, как Windows Remote Management (WinRM) и PowerShell для удаленного управления.

К тому же злоумышленники также установливали такие инструменты, как Process Hacker и Advanced IP Scanner.

Затем запускались скрипты, связанные с вредоносным ПО SystemBC, и созданием скрытым каналов связи с инфраструктурой злоумышленников, возможно, для кражи данных или выполнения команд.

После закрепления в системе и, вероятно, кражи данных с помощью RustyStealer, в качестве последней полезной нагрузки задействовалась программа-вымогатель Ymir.

Ymir - это новый вид вымогателя для Windows, который работает исключительно с памятью, используя такие функции, как «malloc», «memove» и «memcmp», чтобы избежать обнаружения.

После запуска выполняет системную разведку, извлекая системную дату и время, идентифицируя запущенные процессы и проверяя время безотказной работы системы, определяя, работает ли она в изолированной среде.

В ходе шифрования пропускает расширения файлов на основе жестко заданного списка. Ymir использует ChaCha20 - передовой и быстрый алгоритм шифрования - для шифрования файлов в системе жертвы.

Зашифрованные файлы получают рандомное расширение, например «.6C5oy2dVr6», а из раздела «.data» двоичного файла Ymir во всех каталогах, содержащих зашифрованные файлы, создается записка с требованием выкупа под названием «INCIDENT_REPORT.pdf» и предупреждением о краже данных.

Программа-вымогатель также изменяет значение «legalnoticecaption» реестра Windows, чтобы отобразить дополнительное требование до того, как пользователь войдет в систему на зашифрованном устройстве.

Под конец Ymir сканирует систему на наличие PowerShell и использует его для удаления своего исполняемого файла, чтобы избежать идентификации и анализа.

К настоящему времени Ymir пока не поддерживает сайт DLS, но вполне возможно он появиться, ведь злоумышленники могли только начать собирать данные о жертвах.

Индикаторы компрометации и подробный технический разбор - в отчете.

Positive Technologies сообщает об уязвимостях, которые можно использовать для извлечения незашифрованной прошивки из микроконтроллеров GigaDevice G32.

Исследователи выяснили, что потенциальный злоумышленник может обойти такую защиту в чипах GigaDevice GD32, извлечь прошивку, найти в ней уязвимости для атаки, модифицировать или украсть внутреннее ПО целиком.

Микроконтроллеры GigaDevice GD32 применяются в зарядных станциях, автомобильных двигателях, аккумуляторах, СКУДах и другом оборудовании вендоров по всему миру для замены популярных 32-битных микросхем производства STMicroelectronics.

Для защиты этой критически важной интеллектуальной собственности в микроконтроллерах (во флеш-памяти которых хранится прошивка) используют технологии, запрещающие ее считывание.

На примере чипов китайского производителя GigaDevice Позитивы обнаружили, что эта защита работает не столь надежно, как хотелось бы.

При этом возможность скачивания в открытом виде прошивки облегчает атакующему поиск уязвимостей в оборудовании.

Исследователи обнаружили недостатки защиты от считывания прошивки в одном устройстве, но для независимой проверки безопасности подобных чипов приобрели и протестировали 11 микроконтроллеров GigaDevice из серии GD32, предварительно активировав в них эту технологию защиты.

Экспертам удалось подтвердить возможность извлечения прошивки в незашифрованном виде - уязвимости оказались подвержены все исследованные чипы, относящиеся к семействам GD32F1×0, GD32F3×0, GD32F4xx, GD32L23x, GD32E23x, GD32E50x, GD32C10x, GD32E10x, GD32F20x, GD32F30x, GD32F403.

Вендор был уведомлен об угрозе и соответствующим образом отреагировал.

Учитывая трудность устранения аппаратных уязвимостей, в Positive Technologies рекомендовали производителям при проектировании конечных устройств использовать микроконтроллеры, технология защиты прошивки в которых протестирована независимыми исследователями.

Производители могут проверять наименования микроконтроллеров, а пользователи, в свою очередь, запрашивать такую информацию у вендоров либо определять маркировку чипа самостоятельно, разобрав устройство.

Клиенты D-Link в новой опасности, поставщик в очередной раз отказался исправлять критическую уязвимость, затрагивающую более 60 000 модемов, достигших EoL.

Найденная ошибка позволяет неавторизованному удаленному злоумышленнику изменить пароль любого пользователя и получить полный контроль над устройством.

Проблему в D-Link DSL6740C обнаружил исследователь Чайо-Лин Юй (Стивен Мяу), сообщив о ней в тайваньский TWCERTCC.

В свою очередь, D-Link в ответ на раскрытие сообщила, что не будет ее решать и рекомендует прекратить эксплуатацию устройств, достигших EOL/EOS.

Помимо упомянутой Чайо-Лин Юй уведомил TWCERTCC и о двух других уязвимостях, связанных с внедрением команды ОС и обходом пути.

Все обнаруженные недостатки отслеживаются как:

- CVE-2024-11068 (CVSS v3: 9,8): уязвимость, позволяющая неаутентифицированным злоумышленникам изменять пароль любого пользователя через привилегированный доступ к API, предоставляя им доступ к веб, SSH и Telnet службам модема.

- CVE-2024-11067 (CVSS v3: 7,5): уязвимость обхода пути, позволяющая неаутентифицированным злоумышленникам читать произвольные системные файлы, получать MAC-адрес устройства и пытаться войти в систему, используя учетные данные по умолчанию.

- CVE-2024-11066 (CVSS v3: 7,2): ошибка, позволяющая злоумышленникам с правами администратора выполнять произвольные команды в операционной системе хоста через определенную веб-страницу.

Согласно статистике FOFA, в сети доступно доступно около 60 000 уязвимых модемов D-Link DSL6740C, большинство из которых находятся на Тайване.

Причем TWCERTCC опубликовал дополнительные рекомендации по другим четырем более серьезным уязвимостям внедрения команд ОС, которые также затрагивают устройство D-Link и отслеживаются как: CVE-2024-11062, CVE-2024-11063, CVE-2024-11064 и CVE-2024-11065.

Принципиальность поставщика, помноженная на принципиальность клиентов, в вопросе эксплуатации DSL6740C - однозначно приведет к новой атаке на цепочку мудаков.

Но будем посмотреть.