​​AT&T Alien Labs представили отчет о последней широкомасштабной кампании APT TeamTNT под названием Chimaera.

Chimaera, как и предыдущие кампании TeamTNT ориентирована на кражу учетных данных облачных систем, использование зараженных систем для добычи криптовалюты и злоупотребления машинами жертв для поиска и распространения на другие уязвимые системы. В фокусе группы различные операционные системы: Windows, Linux, включая Alpine, AWS, Docker и Kubernetes.

Кампания активна с 25 июля 2021 года и до настоящего времени многие образцы задействованного вредоносного ПО имеют низкие показатели обнаружения антивирусными средствами. Все благодаря тому, что TeamTNT использует новые инструменты с открытым исходным кодом. Например, в январе он использовал инструмент обнаружения-уклонения libprocesshider, чтобы скрыть свое вредоносное ПО под Linux с помощью предзагрузчика.

По данным аналитики Trend Micro, TeamTNT является одной из самых многочисленных и устойчивых APT за последнее время, активна с 2011 года, а с прошлого года активизировалась, внедрив новые TTP, включая вредоносное ПО для криптоджекинга Black-T, сложные сетевые сканеры, нацеливание на инструменты майнинга XMR конкурентов в сети и использование скребков паролей. Незадолго до конца 2020 года группа запустила еще одну кампанию, развернув TNTbotinger: бот IRC (Internet Relay Chat) с возможностями распределенного отказа в обслуживании (DDoS).

В текущей кампании TeamTNT использует новый усовершенствованный арсенал:
- Masscan и сканер портов для поиска новых уязвимостей;
- libprocesshider для запуска своего бота прямо из памяти;
- 7z для распаковки загруженных файлов;
- b374k shell, который является веб-администратором PHP и может использоваться для управления зараженными системами;
- LaZagne •, приложение с открытым исходным кодом, используемое для получения паролей от нескольких приложений и нескольких веб-операционных систем, которые хранятся на локальном компьютере, в том числе от Chrome, Firefox, Wi-Fi, OpenSSH и различных программ баз данных.

Кроме того, согласно Palo Alto Networks, группа также добавила Kubernetes с открытым исходным кодом и набор инструментов для проникновения в облако Peirates в ходе разведки. В связи с чем TeamTNT получают еще больше возможностей для сбора информации в целевых средах AWS и Google Cloud, а также горизонтального перемещения и потенциальных атак с повышением привилегий, которые позволяют хакерам получить административный доступ ко всей облачной среде организации.

Поэтому за короткий срок хакерами реализовано более 5000 заражений, о чем теперь TeamTNT публично сообщает со страниц своего сайта, прикрутив к нему статистику заражений.

Чтобы не попасть в тину Chimaera, рекомендуем внимательно ознакомиться с техническими деталями новой кампании легендарной APT и взять на вооружение рекомендованные методы обнаружения возможных атак.

Возобновляю рубрику розыска книг. В прошлом проекте @S_E_Oblako, благодаря читателям, была собрана отличная подборка крутых книг, которые с трудом можно было найти на просторах Telegram.

Начнем с книги которая вышла 2 дня назад — Little Black Book of Lockpicking

Для обратной связи, используйте бота в описании канала.

​​Microsoft выпустили патч для исправления уязвимости Azurescape.

Контейнер Azure (ACI) от Microsoft - это облачная служба, которая позволяет компаниям развертывать пакетные приложения (контейнеры) в облаке. Когда контейнеры развернуты, ACI изолирует их от других запущенных контейнеров, чтобы они не могли совместно работать в памяти и взаимодействовать друг с другом.

Эксплуатация уязвимости позволяет хакерам получать контроль над контейнерами Azure, в том числе выполнять команды в контейнерах других пользователей и получать доступ ко всем данным, развернутым на платформе.

Несмотря на то, что в результате собственного расследования Microsoft не выявила ни атак Azurescape, ни признаков несанкционированного доступа в кластерах, тем не менее оповестила потенциальных жертв из числа своих пользователей. И не зря.

Ведь обнаружившие ошибку Palo Alto Networks представили технические подробности Azurescape. 

Исследователи установили, что в ACI используется код RunC v1.0.0-rc2, датированный аж 2016 годом, который и позволял скомпрометировать многопользовательские кластеры Kubernetes, в которых размещены ACI. 

Дело в том, что этот код содержал ошибки, обнаруженные ещё в 2019 году, одна из которых CVE-2019-5736 как раз обеспечивала выход из контейнера и выполнение кода с повышенными привилегиями на базовом хосте, узле Kubernetes.

Вектор атаки Azurescape реализуется путём перехвата в трафике на скомпрометированном узле запроса с токеном JWT в заголовке авторизации. 

Как это выглядит на практике - смотрите на видео👇

Агентство по кибербезопасности США CISA предупреждает об активном использовании уязвимостей в Zoho ManageEngine ADSelfService.

ManageEngine ADSelfService - интегрированное решение для самостоятельного управления паролями и единого входа для Active Directory в Microsoft Windows, позволяющее администраторам применять 2FA для входа в приложения, а пользователям - сбрасывать свои пароли. ADSelfService Plus также предоставляет пользователям безопасный мгновенный доступ ко всем корпоративным приложениям с поддержкой SAML, включая Office 365, Salesforce и G Suite.

Речь идет об уязвимости нулевого дня CVE-2021-40539. Ошибка связана с возможностью обхода аутентификации REST API, что может привести к произвольному выполнению кода (RCE) и позволить злоумышленнику получить контроль над уязвимой системой. Под угрозой находятся сборки ADSelfService Plus до 6113 версии.

Напоминаем, что это уже пятая уязвимость безопасности, обнаруженная в ManageEngine ADSelfService Plus с начала года, три из которых - CVE-2021-37421, CVE-2021-37417 и CVE-2021-33055 были исправлены в последних обновлениях. Четвертая уязвимость, CVE-2021-28958 была исправлена в марте 2021 года. Все выявленные уязвимости имеют высокую степень риска и имеют оценку CVSS: 9,8.

Присоединяемся к CISA и настоятельно рекомендуем накатить обновления на ManageEngine, реальные атаки с эксплуатацией данной уязвимости уже фиксируются. Скептикам же следует вспомнить прошлогодние мартовские инциденты, когда APT41 реализовали RCE в ManageEngine Desktop Central (CVE-2020-10189) для загрузки и выполнения вредоносных полезных нагрузок в корпоративных сетях в рамках глобальной кампании нашумевших вторжений.

​​Вернулись и взялись за дело.

На прошлой неделе мы уже сообщали об эффектном возвращении легендарной REvil, также известной как Sodinokibi, а уже на этой неделе возобновились и атаки: на сайте опубликованы скриншоты украденных данных новой жертвы.

9 сентября 2021 года на VirusTotal подгрузили новый образец ПО Revil, датированный 4 сентября.

Но главное, что стали известны подробности таинственного исчезновения группы на пике «своей карьеры», когда резонансные атаки стали поводом для переговоров между Президентами США и РФ.

Ожидалось, что вымогатели проведут ребрендинг и примутся за дело «с чистого листа». Но к всеобщему удивлению они просто возобновили работу, в даркнете появился новый представитель группировки.

При этом публиковавший новости об операциях вымогателя представитель группировки UNKN (он же 8800), по сведениям его сменщика, пропал из сети, а хостер сообщил, что серверы Clearnet были скомпрометированы, что и явилось поводом для кодеров группы отключить сервера и залечь на дно. По мнению банды, UNKWN мог быть похищен спецслужбами или арестован. А декриптор Kaseya, который якобы изъяли правоохранительные органы, на самом деле был упущен одним из наших операторов во время генерации дешифратора.

Мы, конечно, никогда не узнаем реальную историю исчезновения REvil и то, как Касея получила ключ дешифрования, но драматичная история REvil продолжается. Верившие во всесильные американские спецслужбы, расстроились, ведь угрожавший исключительными мерами Байден на деле не смог остановить хакеров, которые вновь нацелены на крупный корпоративный сектор и солидные заработки. Ждем реакции.

Не прошло и недели, как на теневых форумах появился мануал для мамкиных хацкеров по эксплуатации зеродея в Windows MSHTML, о котором мы писали ранее. Представители подпольного андеграунда активно делятся мануалом по эксплуатации CVE-2021-40444, что позволяет другим хакерам использовать новую уязвимость в своих собственных атаках.

Напоминаем, что в прошлый вторник Microsoft раскрыла новую уязвимость нулевого дня в Windows MSHTML, которая позволяет злоумышленникам создавать вредоносные документы, включая документы Office и RTF, для удаленного выполнения команд на компьютере жертвы. Microsoft на скорую руку предоставили меры по предотвращению ее эксплуатации. Эти меры защиты должны работать путем блокировки элементов управления ActiveX и предварительного просмотра документов Word / RTF в проводнике Windows.

Однако, хакеры уже модифицировали эксплойт так, чтобы он не использовал ActiveX, эффективно обходя предложенные меры защиты от Microsoft. Ребята на самом деле выдающиеся, раз так быстро смогли воспроизвести эксплойт самостоятельно на основе информации и образцов вредоносных документов, размещенных в Интернете собственно поэтому и начали делиться подробными руководствами и информацией на хакерских форумах.

Всплеск хакерской активности очевиден, так как для уязвимости CVE-2021-40444 до сих пор нет доступных обновлений безопасности, а предложенные корпорацией Microsoft меры уже не особо то эффективны.

Амбициозные планы выкатили разработчики вредоносного ПО SOVA под устройства Android.

Многофункциональный банковский троянец обещает покорить даркнет, в арсенал малваря будут встроены в дополнение к банковским функциям (кейлогер, мониторинг уведомлений и SMS-сообщений, оверлейные атаки и пр.): распределенный отказ в обслуживании (DDoS), возможности атак MiTM и нагрузка ransomware.

SOVA имеет одну очень необычную функцию: кража сессионных файлов cookie, которая позволяет вредоносному ПО получать банковские учетные данные для доступа к счетам жертвы. При этом SOVA способна создавать список приложений, для которых автоматически отслеживаются файлы cookie. Чтобы лучше собирать учетные данные жертвы и другую личную информацию (PII), SOVA осуществляет банковские операции на Android Accessibility Services.

По данным ThreatFabric, пока же SOVA находится в стадии активной разработки, с августа тестируется версия 2. Но она уже содержит возможность таргетинга пользователей помимо европейских и некоторых российских банков.

Кроме того, SOVA отличается и тем, что полностью развита в Kotlin, перспективном языке кодирования для Android. В основе разработки проект с открытым исходным кодом RetroFit, который реализует связь с command-and-control (C2). Retrofit - это REST-клиент для Android, Java и Kotlin, разработанный Square. Библиотека предоставляет мощную структуру для аутентификации и взаимодействия с API и отправки сетевых запросов с помощью OkHttp.

Авторы SOVA помимо прочего намерены добавить «автоматические трехступенчатые накладываемые инъекции».

Исследователи полагают, что кодеры вредоносного ПО явно имеют много амбиций относительно будущего SOVA, и малварь потенциально может стать серьёзной угрозой для экосистемы Android, а в общем задеть новый эталон для банковских троянов.

В этом плане SOVA может переплюнуть TrickBot, мультиплатформенное вредоносное ПО, которое начало свою жизнь как банковский троян, прежде чем перейти к другим видам кибератак и стать одним из самых популярных и распространенных троянов, используемых акторами по всему миру.

Уверены, ещё не раз мы столкнёмся с SOVA, если только планы не являются маркетинговым ходом хакеров.

«Российские власти может и не контролируют напрямую банды вымогателей. Однако они имеют непрямые симбиотические отношения с криминальной экосистемой вымогателей» https://t.co/XFhoIHpAG7 https://t.co/KUp0gvFeJz
— Alexey Lukatsky (@alukatsky) Sep 13, 2021

Google выпустил обновление Chrome 93.0.4577.82 для Windows, Mac и Linux, исправив в общей сложности 11 уязвимостей безопасности, две из которых CVE-2021-30632 и CVE-2021-30633 эксплуатируются в режиме «нулевого дня» в дикой природе. Однако дополнительной информации об атаках не предоставлено.

Самые серьезные ошибки были раскрыты Google 8 сентября 2021 без указания автора и обе являются ошибками памяти: CVE-2021-30632 - это запись за пределами допустимого диапазона в движке JavaScript V8, а CVE-2021-30633 - это ошибка использования после освобождения в Indexed DB API. Баги при оплетённых условиях позволяют злоумышленникам использовать их для удаленного выполнения кода, выхода из песочницы и других вредоносных действий.

Таким образом, Google патчит уже 10 zeroday в Chrome за этот год.

Теперь, когда они исправлены, эксплуатация будет только расти. А это подчеркивает то внимание, которое хакеры уделяют уязвимостям браузера. Chrome становится явным фаворитом, позволяя упростить доступ к миллионам устройств независимо от ОС.

Так что, настоятельно рекомендуется немедленно обновить Google Chrome до последней версии, дабы не узнать подробности анонсированных атак на себе.

Не часто услышишь от Apple признание потенциальных угроз в безопасности своей OS. И не нужно, все и так понятно.

Apple выпустила патчи обновлений для iOS и macOS с предупреждением о том, что угрозы относятся к категории «активно эксплуатируемых» zeroday. Примечательно, что обновления попали в свет совсем незадолго до презентации новой линейки девайсов.

Стало понятно почему Apple не предоставила никаких сведений о реальных атаках, ибо связано все со шпионскими политическими игрищами, с которыми компания себя ассоциировать никак не хочет.

Спасибо ребятам из Citizen Lab, которые предоставили доказательства, связывающие новые эксплойты KISMET и FORCEDENTRY с шпионским инструментом Pegasus от скандально известного израильского поставщика шпионского ПО NSO Group, а реальные атаки, как стало известно, были нацелены на политических активистов в Бахрейне.

Уязвимости CVE-2021-30858 и CVE-2021-30860 обнаруженные в компонентах WebKit и CoreGraphics, позволяют при обработке вредоносного PDF-файла или веб-контента привести к выполнению произвольного кода.

Угроза касается всех iPhone с версиями iOS до 14.8, все компьютеры Mac с версиями операционной системы до OSX Big Sur 11.6, обновление безопасности 2021-005 Catalina и Apple Watch до watchOS 7.6.2.

Согласно данным SecurityWeek, с начала 2021 года зафиксировано 64 атаки нулевого дня, 15 из которых нацелены на безопасность в операционных системах iOS и macOS, что потихоньку разрушает миф о незыблемой безопасности флагманского производителя Apple.

Обновляемся, не раздумывая.

​​Не так давно мы писали о крупнейшей компрометации поставщика систем безопасности Fortinet, когда в паблик утекли учетные данные от 87 000 VPN-устройств, которые были взломаны с использованием уязвимости двухлетней давности CVE-2018-13379.

Тем временем Fortinet продолжает бить тревогу для владельцев устройств FortiGate SSL-VPN и просит выполнить обновление FortiOS 5.4.13, 5.6.14, 6.0.11, 6.2.8 и более поздних версий, а также сбросить пароли для своих устройств после обновления.

В компании заявили, что если в вашей организации использовалась какая-либо из перечисленных версий, даже если вы обновили свои устройства необходимо сбросить пароль пользователя после обновления в соответствии с бюллетенем поддержки клиентов и другой консультативной информацией по данному инциденту.

В противном случае высока вероятность остаться уязвимым после обновления, если учетные данные пользователей ранее были скомпрометированы.

Но мы прекрасно с вами помним, что утечка все ещё размещена на сервере хранения банды-вымогателей Groove.

​​Армия Трясогузки снова в бою.

Некие хактивисты взломали хостинг MskHost, который они называют антиабьюзным и удалили большую часть серверов. В качестве причины называется массовое размещение фишинговых сайтов и отсутствие реакции на абьюзы. Данные на чернушников обещают слить в полицию, или хотя бы в паблик.

В соответствии с требованиями времени товарищи завели ТГ-канал, на котором все это описывают.

На самом ли деле это хактивисты или происки антиабьюзных конкурентов – мы не знаем. Но это в любом случае прецедент.

​​Понеслось. Похоже, что помимо софта BlackMatter успешно переняли у DarkSide и технологию подбора жертв.

В тиски ransomware попала ведущая компания в области медицинских технологий Olympus. Компания насчитывает более 31 000 сотрудников по всему миру и имеет более чем 100-летний опыт разработки в области медицины, биологических наук и промышленного оборудования.

При обнаружении о
8 сентября 2021 подозрительной активности Olympus немедленно мобилизовали спецгруппу реагирования, которой удалось установить, что потенциальный киберинцидент охватил ИТ-системы гиганта в регионе EMEA (Европа, Ближний Восток, Африка).

В рамках расследования Olympus оперативно приостановили передачу данных из зараженных систем и проинформировали соответствующих внешних партнеров. Компания заверила публику, что инцидент не повлиял на безопасность и обслуживание клиентов, масштабы вторжения и сведения об ущербе не сообщаются.

Впрочем, как всегда, пока не завершиться переговорный процесс - и не узнаем. И возможно, никто не узнает, все зависит от желания и возможности выплатить гонорар акторам.

​​После недавнего возвращения
вымогателей из REvil на американские спецслужбы напала печалька и вчера
заместитель директора ФБР Пол Аббейт заявил, что не видит никаких свидетельств того, что Россия борется с ransomware.

Он также сказал, что американцы ожидали взаимодействия с российскими
правоохранительными органами в отношении тех киберпреступников, которых они установили, но не получили никакого отзыва. Ситуация и в самом деле складывается неоднозначная и в ней есть несколько аспектов.

Во-первых, национальные американские пендосы как всегда крутят лукавой
мордой – взаимодействие в их понимании означает «дайте нам вашего
хакера, а мы его тут сами выжмем и на 30 лет посадим, а может против вас
работать заставим». Вместо разумного «вот вам материалы в отношении
противоправной деятельности негодяя, разберитесь с ним по всей строгости
закона».

С другой стороны, российские кибертанковые войска тоже не лыком шиты и, если им дать двух сферических хакеров в вакууме, то они одного сломают, а второго потеряют.

Поэтому с нашей точки зрения вся история с временным исчезновением REvil могла выглядеть следующим образом.

После атаки на Kaseya и последовавшего геополитического кипиша американцы направили российским коллегам данные в отношении Unknown, являвшегося официальным представителем REvil. Товарища хлопнули и получили от него универсальный декриптор, который потом передали представителям Kaseya.

Оставшийся партактив группы вымогателей ушел на дно, а Unknown их либо не сдал, либо просто не знал кто они. В связи с пунктами 1 и 2 (смотри выше) активность российских правоохранителей по дальнейшей борьбе с ransomware быстро сошли на нет. И поэтому спустя несколько месяцев REvil собрались снова и продолжили свою вымогательскую деятельность.

Всем спасибо, все свободны.

P.S. Кстати, а где обличительные пассажи ФБР и CISA в отношении Украины?
Ведь, как показали события этого года, как минимум две крупных
русскоязычных банды ransomware были родом именно оттуда. Хотя, с другой
стороны, их хотя бы хлопнули.

Наконец-то вышел долгожданный сентябрьский патч от Microsoft, который закрывает 60 недостатков безопасности, в том числе 2 критические уязвимости нулевого дня. 

Камнем преткновения стала бага в Windows MSHTML, известная как CVE-2021-40444, мануал по эксплуатации которой стал активно распространятся на хакерских площадках, что вызвало волну инцидентов. Второй zeroday CVE-2021-36968 связан с повышением привилегий в Windows DNS имеет локальный вектор эксплуатации и для обычного обывателя не представляет опасности.

Как известно, Microsoft раскрыла уязвимость в Windows MSHTML, только после того как злоумышленники стали активно использовать ее в фишинговых атаках. Эти атаки распространяли вредоносные документы Word с полезной нагрузкой CVE-2021-40444 для загрузки и выполнения вредоносного файла DLL, который устанавливал Cobalt Strike на компьютер жертвы, что соответственно давало возможность злоумышленникам получать удаленный доступ к устройству.

Вскоре после того, как Microsoft заявила об уязвимости, злоумышленники и исследователи безопасности начали делиться руководством по эксплуатации, что позволило любому начать использовать ее в атаках. Самое интересное, что энтузиастам удалось модифицировать эксплоит для обхода предложенных Microsoft рекомендаций по безопасности и более того обнаружили множество сценариев использования ошибки, что на данный момент пока неясно - исправляет ли обновление безопасности все методы.

Как мы знаем Microsoft классифицирует уязвимость, как уязвимость нулевого дня, только если она публично раскрыта или активно используется без выпуска официальных обновлений безопасности. Поэтому на сколько локализованы реальные угрозы остаётся только гадать, но пренебрегать обновлениями все же не стоит.

Интересный факт в том, что Microsoft не предоставила дополнительных сведений о реальных атаках или каких-либо индикаторов компрометации, чтобы помочь представителям инфосека найти признаки злонамеренной активности.

Тем не менее, в разделе атрибуции бюллетеня Microsoft содержится достаточно признаков, по которым можно предположить, что это работа APT-субъектов, а это уже совсем другая история и не про мамкиных хацкеров.

Xiaomi решила перестать блокировать смартфоны в «запрещённых» регионах

Помните, как жители Кубы, Крыма и других регионов столкнулись с полной блокировкой телефонов Xiaomi только из-за своего местоположения?

Так вот, компания сообщила, что она снимет эту блокировку в ближайшее время.

Как пояснил представитель Xiaomi, эта временная блокировка была связана с отслеживанием контрабанды.

Из его слов, конечно, мало что понятно, но пользователям больше ничего не угрожает.

Тем временем HP прикрыли серьезную уязвимость повышения привилегий в командном центре HP OMEN.

Расковыряли багу CVE-2021-3437 с оценкой CVSS 7,8 спецы из SentinelLabs. Ошибка касается миллионов устройств по всему миру, включая широкий спектр игровых ноутбуков и настольных компьютеров OMEN, а также моделей HP Pavilion и HP ENVY.

Игровой центр используется для управления настройками в соответствии с предпочтениями геймера, включая скорость вращения вентиляторов и разгон, а также для мониторинга общей производительности ПК и сети.

Применяемый в ПО HP драйвер HpPortIox64.sys выступает главным носителем угроз безопасности, которые перекочевали туда из WinRing0.sys, драйвера OpenLibSys, используемого для управления действиями, включая чтение/запись памяти ядра.

В прошлом в драйвере WinRing0.sys также обнаруживались ошибки повышения и привилегий, которые позволяли крутить интерфейс IOCTL для выполнения действий на более высоком уровне. В целом, уязвимость может позволить хакеру обходить решения безопасности.

Ошибки коснулись HP OMEN Gaming Hub до версии 11.6.3.0 и HP OMEN Gaming Hub SDK до 1.0.44. Свидетельств того, что ошибка была использована в дикой природе до настоящего времени не получено.

Об уязвимостях SentinelLabs сообщили ещё 17 февраля. К 14 мая HP разработали патч, однако он оказался малоэффективен. В итоге уязвимая функция была времени отключена до 7 июня. Исправленная версия ПО стала доступна 27 июля в Microsoft Store.

Кроме того, все же рекомендуем почитать на досуге рекомендации HP по CVE-2021-3437 и позаботиться о своих системах соответсвующим образом, пока о них не позаботились другие.