Иранская APT34, более известная как OilRig, использовала три новых загрузчика в кампании, нацеленной на Израиля, где были атакованы организации в сфере здравоохранения, производства и государственного управления.

Как отмечают специалисты ESET, задействовались ODAgent, OilCheck и OilBooster. При этом кроме нового софта использовалась обновленная версия известного загрузчика SampleCheck5000 (или SC5k).

Малварь использует один из нескольких легитимных облачных сервисов для связи и эксфильтрации данных: API Microsoft Graph OneDrive или Outlook и API веб-службу Microsoft Office Exchange (EWS), чтобы скрыть вредоносную активность и смешаться с легитимным сетевым трафиком.

Неясно, какой именно вектор начального доступа использовался для компрометации целей, а также неизвестно, смогли ли злоумышленники сохранить свое присутствие в сетях, чтобы развернуть эти загрузчики.

OilRig на ландшафте угроз как минимум с 2014 года и отслеживается под именами Crambus, Cobalt Gypsy, Hazel Sandstorm (ранее EUROPIUM) и Helix Kitten.

Иранские злоумышленники уже прославились своей изощрённостью и использованием широкого спектра вредоносных программ для атак на организации Ближнего Востока.

Только в 2023 году было замечено, что хакерская группа использует новое вредоносное ПО, такое как MrPerfectionManager, PowerExchange, Solar, Mango и Menorah.

Исследователи Akamai обнаружили ботнет на базе Mirai под названием InfectedSlurs, который нацелен на уязвимости в QNAP VioStor NVR и марштрутизаторах FXC.

Вредоносная активность с эксплуатацией двух 0-day в маршрутизаторах и сетевых видеорегистраторах попала в поле зрения исследователей еще октябре 2023 года.

После выпуска поставщиком исправлений Akamai представила два дополнительных отчета (1, 2), дополнив исходный за конец ноября.

Первая уязвимость, использованная InfectedSlurs, отслеживается как CVE-2023-49897 и затрагивает Wi-Fi-маршрутизаторы FXC AE1021 и AE1021PE.

Поставщик выпустил обновления безопасности 6 декабря 2023 с версией встроенного ПО 2.0.10, рекомендуя пользователям помимо обновления выполнить сброс настроек до заводских параметров с изменением пароля по умолчанию.

Другая уязвимость высокой степени серьезности, использованная в атаках ботнета — CVE-2023-47565, затрагивает сетевой видеорегистратор QNAP VioStor NVR с прошивкой QVR 4.x и связана с внедрением команд ОС.

QNAP опубликовала рекомендацию 7 декабря 2023, пояснив, что ранее неизвестная проблема была исправлена в прошивке QVR 5.x и более поздних версиях, доступных для всех поддерживаемых моделей.

Помимо обновления поставщик рекомендует клиентам также сменить пароли пользователей на QVR через панель управления.

Учитывая, что версия 5.0.0 была выпущена почти десять лет назад, некоторые модели VioStor NVR, срок эксплуатации которых истек, не получат обновлений, поэтому единственное решение — заменить их на более новые, активно поддерживаемые модели.

Хакеры используют ботнет состоящий из маршрутизаторов и брандмауэров Cisco, DrayTek, Fortinet и NETGEAR для скрытой передачи данных.

С таким заявлением выступили специалисты Lumen Technologies, которые, собственно, и обнаружили так называемый KV-botnet, используемый субъектами угроз для своих грязных делишек.

Специалисты считают, что активным юзером вредоносной инфраструктуры является китайская хакерская группа Volt Typhoon, о чем свидетельствуют также данные телеметрии, которые указывают на управление ботнета с IP-адресов из Китая.

KV-botnet активен как минимум с февраля 2022 года и представляет собой скрытую сеть передачи данных, предназначенную для продвинутых участников угроз.

Он работает через два отдельных логических кластера и отличается сложным процессом заражения в сочетании с хорошо скрытой инфраструктурой C2, а также нацеленностью на устройства на границе сети.

Точный механизм первоначального заражения устройств пока неизвестен.

Однако, специалисты Microsoft, которые первыми раскрыли тактику злоумышленника, сообщили, что хакеры пытается вмешаться в обычную сетевую активность, направляя трафик через скомпрометированное сетевое оборудование SOHO, включая маршрутизаторы, брандмауэры и оборудование VPN.

Lumen Technologies отмечает, что за последний месяц инфраструктура ботнета обновилась, нацелившись также на IP-камеры Axis, что указывает на подготовку к новой волне атак.

Ведущий разработчик ПО для баз данных MongoDB стал жертвой кибератаки, в результате которой была украдены данные клиентов.

MongoDB подтвердила инцидент и сообщает о начале расследования.

Как заявили в компании, 13 декабря была обнаружена аномальная активность в сети, а позже установлено, что хакеры проникли в системы и оставались там «в течение некоторого периода времени до момента обнаружения».

В уведомлении для клиентов директор по ИБ MongoDB Лена Смарт заявила, что компании не известно о каких-либо рисках для данных, которые клиенты хранят в ее флагманском MongoDB Atlas.

Тем не менее, разработчики порекомендовал клиентам проявлять бдительность на предмет возможных фишинговых атак или инцидентов использованием социальной инженерии, а также активировать MFA и регулярно менять пароли в MongoDB Atlas.

Никакой другой дополнительной информации о компрометации пока нет. Будем следить.

Исследователи Palo Alto Networks разработали высокоточный детектор на основе машинного обучения, способный выявлять десятки тысяч вредоносных доменов, прежде чем они будут задействованы в запланированных атаках или инцидентах.

Злоумышленники, как правило, резервируют значительное количество доменов для обеспечения бесперебойной работы инфраструктуры для фишинговых, вредоносных или мошеннических кампаний, а также прочих преступных махинаций.

В современных условиях киберпреступники вынуждены активнее практиковать массовую регистрацию доменов и автоматизацию инфраструктуры, так или иначе оставляя своего рода метки, по которым исследователи могут вычислить зарезервированные вредоносные домены еще на ранней стадии.

Анализируя буквально крупицы информации из журналов прозрачности сертификатов и данных пассивного DNS (pDNS) в объеме, исследователи смогли запилить алгоритм машинного обучения Random Forest, который на выходе дал весьма впечатляющие результаты.

По состоянию на июль 2023 года детектор обнаружил 1 114 499 уникальных корневых доменных имен и еженедельно выявляет десятки тысяч вредоносных доменов.

Созданная модель в среднем обнаружила «складированные» домены на 34,4 дня раньше, чем поставщики на VirusTotal.

Для этого Unit42 разработала более 300 функций для обработки терабайт данных и миллиардов записей pDNS и сертификатов, а при обучении модели использовались миллионы вредоносных и безопасных доменов.

Классификатор был сразу включен во множество решений безопасности. Детектор уже позволил выявить мошенничество, фишинг, распространение вредоносного ПО и C2.

С примерами таких кампаний, которые были обнаружены на ранней стадии Palo Alto Networks, можно ознакомиться в блоге.

Очередной крупной жертвой CitrixBleed стала Comcast Cable Communications, работающая под торговой маркой Xfinity.

Компания подтвердила киберинцидент и сообщает об утечке данных клиентов после взлома одного из ее серверов Citrix.

Как заявила Xfinity, в результате предварительного расследования и анализа затронутых систем привлеченные специалисты пришли к выводу, что утечка включает имена пользователей и хешированные пароли клиентов.

Причем по некоторым клиентам также могла быть украдена и другая информация, в том числе контактные и установочные сведения, номера социального страхования, а также секретные вопросы и ответы. И это еще не финал, расследование продолжается.

Телекоммуникационная компания обнаружила вредоносную активность 25 октября. При этом злоумышленники находились в сети 16-19 октября.

Это примерно через две недели после того, как Citrix выпустила обновления для устранения критической CVE-2023-4966, которой воспользовались хакеры.

Еще месяц понадобился Xfinity, чтобы оценить последствия инцидента и только к 16 ноября специалисты установили, что в результате атаки были украдены данные нераскрытого числа клиентов.

В связи с чем, Xfinity обратилась к пострадавшим клиентам с требованием сброса пароля для учетных записей, настоятельно рекомендуя включить 2Fa или MFa.

Вместе с тем, в последнем официальном заявлении компания дала заднюю, заявляя что ей не известно ни об утечке данных о клиентах, ни о каких-либо атаках на клиентов. Требований о выкупе также не поступало. Отдельно в Xfinity отметили про оперативное исправление CitrixBleed и эффективную безопасность в режиме 24/7.

В совокупности все это напоминает отрывок из фильма Люди в черном, где Джей корректирует воспоминания зевак с помощью нейролизатора, зачитывая при этом последнее заявление Xfinity для прессы.

Microsoft сообщает о критической RCE-уязвимости в Perforce Helix Core Server, платформе управления исходным кодом, широко используемой в игровом, государственном, военном и технологическом секторах.

Всего же было выявлено четыре уязвимости, где три другие связаны с проблемами отказа в обслуживании. Чтобы снизить риск Microsoft рекомендует пользователям продукта обновиться до версии 2023.1/2513900, выпущенной 7 ноября 2023 года.

Самый опасный недостаток имеет идентификатор CVE-2023-45849 и оценку 10!!! по CVSS, который позволяет злоумышленникам, не прошедшим проверку подлинности, выполнять произвольный удаленный код от имени LocalSystem, получать доступ к локальным ресурсам и системным файлам, а также изменять настройки реестра и т.д.

В целях дополнительных мер защиты Microsoft рекомендует ограничить доступ с помощью VPN или белого списка IP-адресов, использовать прокси-сертификаты TLS для аутентификации пользователей, а также вести журнал всех доступов к Perforce Serve и использовать сегментацию сети для локализации возможных нарушений.

Исследователи F.A.C.C.T. Обнаружили новую кампанию кибершпионажа группировки Cloud Atlas, нацеленную на российские компании под видом поддержки участников СВО.

Cloud Atlas - APT-группа, специализирующаяся на кибершпионаже и краже конфиденциальной информации. По данным исследователей, активна как минимум с 2014 года.

Чаще других целями Cloud Atlas становились промышленные предприятия и  госкомпании в России, Беларуси, Азербайджане, Турции и Словении. В качестве основного вектора атаки АРТ отдает предпочтение точечной почтовой рассылке с вредоносным вложением.

В рамках новой кампании злоумышленники использовали адреса, зарегистрированные через популярные почтовые сервисы antonowadebora@yandex.ru и mil.dip@mail.ru и две актуальные темы — поддержку участников СВО и воинский учет.

На этот раз хакеры атаковали российское агропромышленное предприятие и исследовательскую госкомпанию с помощью рассылки.

В первом письме злоумышленники от имени представителей Московской городской организации Общероссийского профессионального союза работников госучреждений предлагают организовать сбор открыток и поздравлений участникам СВО и членам их семей. Указанные в письме контакты реальные —  их можно найти в свободном доступе.

В другой почтовой рассылке злоумышленники представились Ассоциацией Учебных Центров и использовали актуальную тему изменений в законодательстве о введении воинского учета и бронировании граждан, пребывающих в запасе.

Индикаторы компрометации, технический анализ новых атак Cloud Atlas, а TTPs - в свежем блоге экспертов F.A.C.C.T.

Разрешилась история с бандой вымогателей Blackcat, которую по итогу расчехляли американские силовики.

На днях об этом сообщил Минюст США, который подтвердил взлом инфраструктуры ALPHV и получение ключей дешифрования.

Поэтому внезапное закрытие сайтов банды в Tor стало результатом операции ФБР США, несмотря на заявления банды о трудностях на стороне хостинга.

Как пояснили в ФБР, силовикам удалось проникнуть к инфраструктуру задолго до ее нейтрализации, что позволило им в течение нескольких месяцев отслеживать работу ransomware, а также извлечь ключи дешифрования, которые были переданы более чем 500 жертвам. Кроме того, разработан инструмент для расшифровки.

В совокупности силовикам удалось нивелировать требования выкупа на общую сумму около 68 млн. долларов для жертв на территории США.

Теперь после заявления на сайте утечки данных банды ALPHV размещен баннер с информацией о конфискации ресурса в рамках международной правоохранительной операции с участием Европола и Zentrale Kriminalinspektion Guttingen.

Тем не менее, операторы ALPHV продолжали кошмарить жертв и связывались с ними напрямую по электронной почте, подозревая угон инфраструктуры.

Неудивительна в такой ситуации реакция LockBit, которая решила вовлечь освободившихся операторов ALPHV к своей RaaS и доработать реализованных ими жертв с позиции своей ransomware.

Пока что ставить точку в резюме DarkSide - BlackMatter - BlackCat/ALPHV рано. Ведь как показала их история, после перегруппировки они возвращались вновь под другим брендом.

Так что будем посмотреть.

Исследователи из Рурского университета в Бохуме разработали новую атаку с усечением префикса под названием Terrapin, которая нарушает целостность соединений OpenSSH при использовании определенных режимов шифрования.

Terrapin использует слабые места протокола транспортного уровня SSH в сочетании с новыми криптографическими алгоритмами и режимами шифрования, представленными OpenSSH более 10 лет назад.

Она позволяет злоумышленникам модифицировать сообщения на канале, что приводит к переходу на менее безопасные алгоритмы аутентификации клиентов и отключению защиты от атак по времени нажатия клавиш в OpenSSH 9.5.

Обнаруженные недостатки отслеживаются как CVE-2023-48795, CVE-2023-46445 и CVE-2023-46446.

Для реализации злоумышленникам необходимо находиться в позиции MiTM на сетевом уровне, чтобы перехватить и повлиять на обмен рукопожатиями, а соединение должно быть защищено либо ChaCha20-Poly1305, либо CBC с шифрованием, затем MAC.

Данные в сообщениях, которыми обмениваются после завершения рукопожатия, определяют серьезность последствий атаки.

Несмотря на особые требования к Terrapin, широкое внедрение упомянутых режимов шифрования (сканирование показывает 77%) делает атаку осуществимой в реальном сценарии.

Множество поставщиков постепенно смягчают проблему. Одним из решений стала реализация строгого обмена ключами, который делает невозможным внедрение пакетов во время рукопожатия.

Однако потребуется время, чтобы эта проблема была решена повсеместно. При этом исследователи отмечают, что строгие меры противодействия обмену ключами эффективны только тогда, когда они реализованы как на клиенте, так и на сервере.

Команда ученых представила сканер для уязвимостей Terrapin на GitHub, который администраторы могут использовать, чтобы определить, уязвим ли SSH-клиент или сервер для атаки. 

Terrapin - это не простая программная ошибка, которую можно исправить обновлением одной библиотеки или компонента. Необходимо обновить и клиенты, и серверы, чтобы защитить соединение от атак с усечением префикса.

На данный момент самым большим фактором смягчения атаки является требование MiTM, которое делает Terrapin менее серьезной угрозой. По этой причине исправление CVE-2023-48795 во многих случаях может не быть приоритетом.

Более подробную информацию об атаке Terrapin можно найти в техническом отчете.

Исследователи из BI.ZONE Threat Intelligence сообщают о новых атаках отлеживаемой ими группировки Core Werewolf, нацеленной на десятки объектов отечественной критической инфраструктуры.

Атакующие сфокусировались на предприятия в сфере оборонной и энергетической промышленности, а также другие объекты критической инфраструктуры. Мотивацией группы традиционно является кибершпионаж.

На этот раз злоумышленники рассылали письма с прикрепленным архивом UKAZ.PDF.ZIP, внутри которого находился исполняемый файл под названием «О предоставлении информации по согласованию и наградам.exe», который по сути являлся ВПО.

Исполняемый файл - это самораспаковывающийся архив, после запуска которого на экране жертвы выдавался ожидаемый документ PDF или Microsoft Word.

В последней выявленной кампании это был документ с текстом приказа от заместителя генерального директора известной промышленной компании.

Параллельно в фоновом режиме устанавливался легитимный инструмент UltraVNC, который позволял атакующим получить полный контроль над скомпрометированным устройством.

Core Werewolf активна как минимум с декабря 2021 года, а ее полная история и TTPs - в отдельной статье.

Нидерландская НПО Stichting Data Bescherming Nederland (SDBN) после исков отношении Amazon и X подала в суд на Adobe, вменяя незаконное использование файлов cookie браузера для отслеживания активности граждан Нидерландов.

По данным фонда, Adobe предъявлены обвинения в тайном сборе начиная с 25 мая 2018 внушительных объемов конфиденциальных данных пользователей с известных голландских веб-сайтов, включая KPN, ABP, Налоговое управление Нидерландов, а также популярных мобильных приложений, в том числе Marktplaats и Buienradar.

Реализуется сбор с помощью платформы управления данными Audience Manager, входящей в состав Adobe Experience Cloud, а также путем интеграции своего SDK в сторонние прилодения.

Причем консолидированные посредством возможностей Adobe массивы затем передаются третьим сторонам в коммерческих целях в формате подробного личного профиля, нарушая требования GDPR.

Как полагают специалисты SDBN, Adobe не обеспечивает должной прозрачности в отношении сбора данных, и компания часто извлекает файлы cookie еще до того, как у вас появится возможность отказаться от них.

SDBN, действуя от имени миллионов граждан, требует от Adobe прекратить незаконный сбор данных посредством отслеживания файлов cookie и приложений.

После неудачных переговоров и провала мирового соглашения с Adobe, SDBN теперь намерена отстаивать интересы в судебной плоскости.

Коллективный иск в числе требований также предполагает возмещения ущерба для более чем семи миллионов голландских пользователей.

Достаточно серьезный прецедент намечается. Будем посмотреть.

Более восьми лет RCE-уязвимость GWT остается неисправленной, подвергая многие приложения риску компрометации на стороне сервера.

Google Web Toolkit - это набор инструментов с открытым исходным кодом, который позволяет веб-разработчикам создавать и поддерживать интерфейсные приложения JavaScript на Java, который по данным Enlyft, используется около 2,000 софтверными компаниями.

Ошибка десериализации Java без аутентификации в платформе Google Web Toolkit несмотря на раскрытие в 2015 году остается неисправленной и в будущем может потребовать фундаментальных исправлений инфраструктуры для уязвимых приложений.

В новом исследовании Bishop Fox, специалисты подробно объясняют уязвимость GWT, демонстрируя как можно реализовать уязвимость в приложении, а также приводят потенциальные меры по снижению риска.

Исследователи сравнивают уязвимость GWT с Spring4Shell обнаружен в 2022 году, критикуя разработчиков кода за полное игнорирование проблемы, включая отсутствие обновлений руководства по фреймворку.

Причем, как отмечают Bishop Fox, смягчение воздействия уязвимых веб-приложений будет непростой задачей.

Все дело в том, что ошибка находится на таком фундаментальном уровне, что защита уязвимых веб-приложений, написанных с использованием этой платформы, вероятно, потребует архитектурных изменений этих приложений или самой платформы.

Но тем не менее ряд мер для частичного смягчения последствий исследователи все же представили в своем отчете.

Отлеживаемая Cisco как Casablanca группа замечена с новой кампанией, связанной с переговорами между Азербайджаном и Арменией по ситуации вокруг Нагорного Карабаха.

Новые активности обнаружили исследователи Qihoo 360, которые наблюдали за новой волной фишинга в регионе. Считается, что Casablanca проправительстваенная группировка, целями которой в основном являются организации, сосредоточенные на Ближнем Востоке, Центральной Азии и Восточной Европе.

Злоумышленники известны своей разработкой малвари LodaRAT, способной работать на двух платформах Windows и Android. Однако в последних атаках злоумышленник использовал вложение doc, содержащее макрос, в качестве дроппера для загрузки трояна VenomRAT.

Процесс атаки включает в себя отправку вредоносного документа посредством фишингового электронного письма. В случае открытия его жертвой загружается вредоносный исполняемый файл.

Далее файл подгружается в память для выполнения скрипта Windows, который удаленно устанавливает библиотеку dll, которая, в свою очередь, доставляет VenomRAT.

Атрибуция и TTPs злоумышленника подробно рассмотрены китайскими исследователями в отчете, которые высказывают опасения в связи возросшим в несколько раз количеством атак Casablanca с начала года.

Google выпустила экстренные обновления для исправления уже восьмой за год 0-day в Chrome, которая активно эксплуатируется в реальных условиях.

В рекомендациях по безопасности для CVE-2023-7024 разработчик подтверждает существование рабочего эксплойта.

Уязвимость высокой степени серьезности (CVE-2023-7024) связана с переполнением буфера кучи в платформе WebRTC, которую реализована в том числе и в других браузерах, включая Mozilla Firefox, Safari и Microsoft Edge.

Проблему обнаружили исследователи Клеман Лесинь и Влад Столяров из Google TAG, в связи с чем под активной эксплуатацией, вероятнее, можно понимать участие АРТ или задействование в spyware-кампаниях.

Однако как обычно подробности атак не приводятся.

Google максимально оперативно отреагировала, обновления были выпущены через день после сообщения об ошибке и доступны в для пользователей Windows (120.0.6099.129/130) и пользователей Mac и Linux (120.0.6099.129).

После попадания в рейтинги самых длинных сериалов в мире по версии канала SecAtor, наряду с Санта-Барбарой, Симпсонами и Путеводным светом, новый сезон в Списке критических 0-day в решениях Ivanti обещает быть не менее занятным и авантюрным.

После череды последних инцидентов теперь даже принято не спрашивать у клиентов Ivanti с какой новости начать, а разработчики решений не то чтобы бледный, а вообще не имеют вида.

И если быть суеверным, то последняя новость в конец развеет любые чаяния, ведь число вновь обнаруженных критических RCE-недостатков составило ровно чертову дюжину и в этом есть некая зловещая ирония.

Исправленные Ivanti проблемы затрагивают решение Avalanche для управления мобильными устройствами (MDM).

Как объясняют в Ivanti, обнаруженные исследователями Tenable в рамках Zero Day Initiative недостатки безопасности связаны со стеком WLAvalancheService и переполнением буфера на основе кучи.

Они затрагивают все поддерживаемые версии продуктов – Avalanche версии 6.3.1 и выше.

Злоумышленники, не прошедшие проверку подлинности, могут использовать их в атаках низкой сложности, не требующих взаимодействия с пользователем для удаленного выполнения кода или вызова состояния DoS в непропатченных системах.

Разработки также исправил восемь ошибок средней и высокой степени серьезности, которые злоумышленники могли использовать для DoS, удаленного выполнения кода и подделки запросов на стороне сервера (SSRF).

Все обнаруженные уязвимости безопасности были устранены в Avalanche v6.4.2.313.

Клиентам настоятельно рекомендуется загрузить установщик Avalanche и обновить его до последней версии.

Впрочем, при таком количестве проблем существует высокий риск того, что наиболее продвинутые злоумышленники уже успели проделать все необходимые манипуляции и новый «норвежский» кейс может маячить где-то на горизонте.

Но будем посмотреть.