Ни дня без ransomware.
Mandiant препарировали недавно дебютировавшую в июне 2021 года группу вымогателей Sabbath (отслеживаемую как UNC2190), нацеленную на критически важную инфраструктуру в США и Канаде, включая сферу образования, здравоохранения и добычи природных ресурсов. Первой же атакой Sabbath положили целый округ в США, выкатив сумму первоначальна выкупа в несколько лямов.
Как выяснили исследователи, ранее группа ранее действовала под именами Arcane и Eruption, а в прошлом году использовала ransomware ROLLCOAST. Группа не один раз меняла не только свое название, логотип и цветовые схемы в рамках ребрендинга, yj вносиkf при этом определенные технические изменения в свою партнерскую модель.
Но дело в том, что как бы вымогатели не меняли маски они допускали схожие грамматические ошибки в сообщениях на форумах, оставляя образцы Cobalt Strike и инфраструктуру без изменений. Лишь с июня 2021 года Cobalt Strike стал включать уникальные элементы профиля, а в июле хакеры стали использовать Themida для упаковки образцов вредоносного ПО и обхода обнаружения.
Анализ используемой хакерами ROLLCOAST также указал на ее сходство с Tycoon, например, AES в режиме GCM для шифрования и перекрытие каталогов, файлов и расширений, которые игнорируются в процессе шифрования. Все говорит о том, что элементы из Tycoon были взяты в разработку ROLLCOAST.
В целом, Mandiant подчеркивают, что благодаря неоднократному ребрендингу и более избирательному подходу к выбору целей Sabbath долгое время оставалась незамеченной и избегала пристального внимания, при этом прибегая лишь к косметическим изменениям схемы своей работы.
А специалистам из Symantec удалось отследить некоторые особенности вымогателя Yanluowang. Ransomware используется злоумышленником, который проводит целевые атаки на корпорации США, по крайней мере, с августа 2021 года. При этом финансовый сектор является основной целью хакеров, но они также работают по промышленным, ИТ, консалтинговым и инженерным компаниям.
Как выяснили исследователи, используемые злоумышленником TTP, похожи на те, что используются операторами вымогателя Thieflock, за которой стоит группа FiveHands. Symantec полагает, что в настоящее время Yanluowang может управлять бывшим филиалом Thieflock. При этом авторство двух семейств программ-вымогателей не имеет общего авторства.
Однако атрибуция строится на использовании в атаках специальных инструментов восстановления пароля, инструментов сканирования сети с открытым исходным кодом и бесплатных браузеров.
В рамках атак противник применяет PowerShell для загрузки различных полезных данных на скомпрометированные машины, а протокол RDP включается в реестре для удаленного доступа к скомпрометированной машине. Также развертывается инструмент удаленного доступа ConnectWise.
Злоумышленники используют AdFind для запроса Active Directory и выявления систем, представляющих интерес для бокового перемещения. Также используется SoftPerfect Network Scanner вместе с различными инструментами для кражи учетных данных, включая GrabFF, GrabChrome, BrowserPassView и KeeThief.
Symantec также выявила использование средств захвата экрана и эксфильтрации файлов, наличие Cobalt Strike Beacon в системах одной организации и использование таких инструментов, как ProxifierPE.
В целом, все это указывает на управление Yanluowang злоумышленником, ранее входившим в группу FiveHands.
Mandiant препарировали недавно дебютировавшую в июне 2021 года группу вымогателей Sabbath (отслеживаемую как UNC2190), нацеленную на критически важную инфраструктуру в США и Канаде, включая сферу образования, здравоохранения и добычи природных ресурсов. Первой же атакой Sabbath положили целый округ в США, выкатив сумму первоначальна выкупа в несколько лямов.
Как выяснили исследователи, ранее группа ранее действовала под именами Arcane и Eruption, а в прошлом году использовала ransomware ROLLCOAST. Группа не один раз меняла не только свое название, логотип и цветовые схемы в рамках ребрендинга, yj вносиkf при этом определенные технические изменения в свою партнерскую модель.
Но дело в том, что как бы вымогатели не меняли маски они допускали схожие грамматические ошибки в сообщениях на форумах, оставляя образцы Cobalt Strike и инфраструктуру без изменений. Лишь с июня 2021 года Cobalt Strike стал включать уникальные элементы профиля, а в июле хакеры стали использовать Themida для упаковки образцов вредоносного ПО и обхода обнаружения.
Анализ используемой хакерами ROLLCOAST также указал на ее сходство с Tycoon, например, AES в режиме GCM для шифрования и перекрытие каталогов, файлов и расширений, которые игнорируются в процессе шифрования. Все говорит о том, что элементы из Tycoon были взяты в разработку ROLLCOAST.
В целом, Mandiant подчеркивают, что благодаря неоднократному ребрендингу и более избирательному подходу к выбору целей Sabbath долгое время оставалась незамеченной и избегала пристального внимания, при этом прибегая лишь к косметическим изменениям схемы своей работы.
А специалистам из Symantec удалось отследить некоторые особенности вымогателя Yanluowang. Ransomware используется злоумышленником, который проводит целевые атаки на корпорации США, по крайней мере, с августа 2021 года. При этом финансовый сектор является основной целью хакеров, но они также работают по промышленным, ИТ, консалтинговым и инженерным компаниям.
Как выяснили исследователи, используемые злоумышленником TTP, похожи на те, что используются операторами вымогателя Thieflock, за которой стоит группа FiveHands. Symantec полагает, что в настоящее время Yanluowang может управлять бывшим филиалом Thieflock. При этом авторство двух семейств программ-вымогателей не имеет общего авторства.
Однако атрибуция строится на использовании в атаках специальных инструментов восстановления пароля, инструментов сканирования сети с открытым исходным кодом и бесплатных браузеров.
В рамках атак противник применяет PowerShell для загрузки различных полезных данных на скомпрометированные машины, а протокол RDP включается в реестре для удаленного доступа к скомпрометированной машине. Также развертывается инструмент удаленного доступа ConnectWise.
Злоумышленники используют AdFind для запроса Active Directory и выявления систем, представляющих интерес для бокового перемещения. Также используется SoftPerfect Network Scanner вместе с различными инструментами для кражи учетных данных, включая GrabFF, GrabChrome, BrowserPassView и KeeThief.
Symantec также выявила использование средств захвата экрана и эксфильтрации файлов, наличие Cobalt Strike Beacon в системах одной организации и использование таких инструментов, как ProxifierPE.
В целом, все это указывает на управление Yanluowang злоумышленником, ранее входившим в группу FiveHands.
Google Cloud Blog
Kitten.gif: Meet the Sabbath Ransomware Affiliate Program, Again | Google Cloud Blog
Mozilla выпустила исправления для устранения критической уязвимости в Network Security Services (NSS), которая потенциально может быть использована для вызова сбоя приложения и выполнения произвольного кода. Ошибка была обнаружена Тэвисом Орманди из Google Project Zero и получила наименованием BigSig.
NSS - это набор криптографических компьютерных библиотек с открытым исходным кодом, предназначенных для кроссплатформенной разработки клиент-серверных приложений с поддержкой SSL v3, TLS, PKCS5, PKCS7, PKCS11, PKCS12, X.509 v3 и других стандартов безопасности. NSS используется многими компаниями, включая AOL, Red Hat и Google.
CVE-2021-43527 затрагивает актуальные версии NSS до 3.73 или 3.68.1 ESR и заключается в переполнение буфера на основе кучи при проверке цифровых подписей DSA и RSA-PSS, которые закодированы с использованием двоичного формата DER.
BigSig не оказывает никакого влияния на сам Mozilla Firefox, а вот почтовые клиенты, программы просмотра PDF-файлов и другие приложения, в основе которых реализован NSS для проверки подписи, такие как Red Hat, Thunderbird, LibreOffice, Evolution и Evince можно считать уязвимыми.
Сама уязвимость, по мнению экспертов, уникальна своей простотой и возрастом (начиная с версии 3.14, выпущенной в октябре 2012 года).
Так что разработчикам решений на основе NSS в ближайшее время предстоит своя работа над ошибками и обновлением своих библиотек.
NSS - это набор криптографических компьютерных библиотек с открытым исходным кодом, предназначенных для кроссплатформенной разработки клиент-серверных приложений с поддержкой SSL v3, TLS, PKCS5, PKCS7, PKCS11, PKCS12, X.509 v3 и других стандартов безопасности. NSS используется многими компаниями, включая AOL, Red Hat и Google.
CVE-2021-43527 затрагивает актуальные версии NSS до 3.73 или 3.68.1 ESR и заключается в переполнение буфера на основе кучи при проверке цифровых подписей DSA и RSA-PSS, которые закодированы с использованием двоичного формата DER.
BigSig не оказывает никакого влияния на сам Mozilla Firefox, а вот почтовые клиенты, программы просмотра PDF-файлов и другие приложения, в основе которых реализован NSS для проверки подписи, такие как Red Hat, Thunderbird, LibreOffice, Evolution и Evince можно считать уязвимыми.
Сама уязвимость, по мнению экспертов, уникальна своей простотой и возрастом (начиная с версии 3.14, выпущенной в октябре 2012 года).
Так что разработчикам решений на основе NSS в ближайшее время предстоит своя работа над ошибками и обновлением своих библиотек.
Mozilla
Memory corruption in NSS via DER-encoded DSA and RSA-PSS signatures
Полный разбор кибербитвы The Standoff: приглашаем всех желающих на онлайн-митап
6 декабря аналитики центра предотвращения киберугроз CyberART ГК Innostage и Positive Technologies проведут совместную онлайн-встречу, на которой расскажут об устройстве киберполигона The Standoff, подходе к практической киберзащите, ходе киберучений, а также подробно разберут два примера реализованных атак: на транспортную компанию и предприятие нефтехимии.
Митап будет полезен специалистам и руководителям ИБ-служб, обеспечивающим практическую корпоративную и промышленную кибербезопасность.
Программа встречи:
• The Standoff: что это, для чего нужен и как проходил
• Чем этот The Standoff отличается от предыдущих
• Инфраструктура государства F: риски и отрасли
• Как проходила подготовка SOC CyberART к мероприятию
• Цепочка реализации риска в транспортной компании
• Цепочка реализации риска в нефтехимической компании
• Ответы на вопросы участников
Для участия в онлайн-митапе необходимо зарегистрироваться
6 декабря аналитики центра предотвращения киберугроз CyberART ГК Innostage и Positive Technologies проведут совместную онлайн-встречу, на которой расскажут об устройстве киберполигона The Standoff, подходе к практической киберзащите, ходе киберучений, а также подробно разберут два примера реализованных атак: на транспортную компанию и предприятие нефтехимии.
Митап будет полезен специалистам и руководителям ИБ-служб, обеспечивающим практическую корпоративную и промышленную кибербезопасность.
Программа встречи:
• The Standoff: что это, для чего нужен и как проходил
• Чем этот The Standoff отличается от предыдущих
• Инфраструктура государства F: риски и отрасли
• Как проходила подготовка SOC CyberART к мероприятию
• Цепочка реализации риска в транспортной компании
• Цепочка реализации риска в нефтехимической компании
• Ответы на вопросы участников
Для участия в онлайн-митапе необходимо зарегистрироваться
Исследователи голландской компании по кибербезопасности Sansec, которые ранее разбирали CronRAT, который злоупотреблял системой планирования задач cron, на этот раз обнаружили новую угрозу.
Угроза получила название NginRAT - некое коллаборация целевого приложения и возможностей удаленного доступа, используемая в атаках на стороне сервера для кражи данных платежных карт Интернет-магазинов. Следы вредоносного ПО были обнаружены на серверах США, Германии и Франции, которые были также заражены CronRAT.
Sansec смог изучить NginRAT после создания пользовательского CronRAT и наблюдения за обменом данными с C2, расположенным в Китае. Новое вредоносное ПО в скомпрометированную систему поставляется CronRAT посредством специальной команды dwn, которая загружает вредоносную системную библиотеку Linux в папку dev/shm/php-shared. Затем библиотека запускается с использованием функции отладки LD_PRELOAD в Linux.
Оба, несмотря на использование очень разных методов для поддержания своей скрытности, выполняют одну и ту же роль, выступая в качестве резервной копии для сохранения удаленного доступа.
NginRAT, по сути, захватывает хост-приложение Nginx, чтобы оставаться незамеченным. Для этого NginRAT изменяет основные функции хост-системы Linux. Когда веб-сервер Nginx использует такую функциональность (например, dlopen), NginRAT перехватывает его, чтобы внедриться. Затем процесс Nginx встраивает вредоносное ПО для удаленного доступа таким образом, что его практически невозможно отличить от легитимного. NginRAT скрывается как обычный процесс Nginx, а код существует только в памяти сервера.
Обнаружить активные вредоносные процессы можно используя опечатку в командах с переменными LD_PRELOAD и LD_L1BRARY_PATH. При этом Sansec отмечает, если на сервере обнаружен NginRAT, администраторам также необходимо проверить систему задач cron, и, вероятно, там также прячется вредоносное ПО, добавленное CronRAT.
Угроза получила название NginRAT - некое коллаборация целевого приложения и возможностей удаленного доступа, используемая в атаках на стороне сервера для кражи данных платежных карт Интернет-магазинов. Следы вредоносного ПО были обнаружены на серверах США, Германии и Франции, которые были также заражены CronRAT.
Sansec смог изучить NginRAT после создания пользовательского CronRAT и наблюдения за обменом данными с C2, расположенным в Китае. Новое вредоносное ПО в скомпрометированную систему поставляется CronRAT посредством специальной команды dwn, которая загружает вредоносную системную библиотеку Linux в папку dev/shm/php-shared. Затем библиотека запускается с использованием функции отладки LD_PRELOAD в Linux.
Оба, несмотря на использование очень разных методов для поддержания своей скрытности, выполняют одну и ту же роль, выступая в качестве резервной копии для сохранения удаленного доступа.
NginRAT, по сути, захватывает хост-приложение Nginx, чтобы оставаться незамеченным. Для этого NginRAT изменяет основные функции хост-системы Linux. Когда веб-сервер Nginx использует такую функциональность (например, dlopen), NginRAT перехватывает его, чтобы внедриться. Затем процесс Nginx встраивает вредоносное ПО для удаленного доступа таким образом, что его практически невозможно отличить от легитимного. NginRAT скрывается как обычный процесс Nginx, а код существует только в памяти сервера.
Обнаружить активные вредоносные процессы можно используя опечатку в командах с переменными LD_PRELOAD и LD_L1BRARY_PATH. При этом Sansec отмечает, если на сервере обнаружен NginRAT, администраторам также необходимо проверить систему задач cron, и, вероятно, там также прячется вредоносное ПО, добавленное CronRAT.
Sansec
NginRAT parasite targets Nginx
A new parasitic malware targets the popular Nginx web server, Sansec discovered. This novel code injects itself into a host Nginx application and is nearly i...
Сведения об отцовстве (в том числе планируемом) более 400000 пациентов были украдены вымогателями из отделения Planned Parenthood в Лос-Анджелесе.
В результате атаки, состоявшейся в период с 9 по 17 октября, злоумышленники эксфильтровали файлы, содержащие имена пациентов, их адреса, страховую и медицинскую информацию, включая истории их меднаблюдения, выписанные рецепты и поставленные диагнозы.
По сообщению медорганизации, инцидент расследуется, о деталях переговорах и выплате выкупа умалчивается.
Отметим, что компанию уже взламывали. В этом году утечка была обнаружена подразделением в Вашингтоне, специалисты которого обнаружили кражу информации о пациентах и донорах, произошедшую в 2020 году. А в 2015 году хакеры и вовсе размещали в Интернет имена и другую информацию о сотнях сотрудников службы планирования семьи.
Пока неясно, кто именно несет ответственность за атаку на будущих отцов, пока не решился окончательно вопрос выкупа, и, стало быть, дальнейшая судьба столь интересной для мошенников Data.
В результате атаки, состоявшейся в период с 9 по 17 октября, злоумышленники эксфильтровали файлы, содержащие имена пациентов, их адреса, страховую и медицинскую информацию, включая истории их меднаблюдения, выписанные рецепты и поставленные диагнозы.
По сообщению медорганизации, инцидент расследуется, о деталях переговорах и выплате выкупа умалчивается.
Отметим, что компанию уже взламывали. В этом году утечка была обнаружена подразделением в Вашингтоне, специалисты которого обнаружили кражу информации о пациентах и донорах, произошедшую в 2020 году. А в 2015 году хакеры и вовсе размещали в Интернет имена и другую информацию о сотнях сотрудников службы планирования семьи.
Пока неясно, кто именно несет ответственность за атаку на будущих отцов, пока не решился окончательно вопрос выкупа, и, стало быть, дальнейшая судьба столь интересной для мошенников Data.
Forwarded from Эксплойт | Live
Теперь мошеннические сайты будут блокировать без суда
Как только будет обнаружен очередной сайт с финансовой пирамидой или поддельным банковским приложением, он будет заблокирован в течение нескольких дней.
Раньше это можно было реализовать только по решению суда, что, очевидно, занимало немало времени.
В некоторых случаях фактическая блокировка сайта наступала больше, чем через месяц, благо теперь такое долгое ожидание будет попросту невозможно.
Этот закон, к слову, приняли очень вовремя, ведь именно в последние месяцы подобные сайты стали появляться чаще, чем обычно.
Как только будет обнаружен очередной сайт с финансовой пирамидой или поддельным банковским приложением, он будет заблокирован в течение нескольких дней.
Раньше это можно было реализовать только по решению суда, что, очевидно, занимало немало времени.
В некоторых случаях фактическая блокировка сайта наступала больше, чем через месяц, благо теперь такое долгое ожидание будет попросту невозможно.
Этот закон, к слову, приняли очень вовремя, ведь именно в последние месяцы подобные сайты стали появляться чаще, чем обычно.
Сервера Microsoft Exchange вновь под ударом.
Red Canary сообщают об атаках BlackByte, которые взламывают корпоративные сети, эксплуатируя серверы Microsoft Exchange с помощью уязвимостей ProxyShell.
Все мы помним о комбинации трех уязвимостей Microsoft Exchange, включая CVE-2021-34473, CVE-2021-34523 и CVE-2021-31207, которые хоть и были исправлены в апреле-мае этого года, но на непропатченных системах позволяют удаленно выполнять код без проверки подлинности на сервере.
Действуя по накатанной технологии, BlackByte с помощью ProxyShell устанавливают веб-шеллы на скомпрометированные сервера Microsoft Exchange, затем цепляют Cobalt Strike, а после захвата учетных данных в системе приступают к работе со своим софтом, что отличает BlackByte от коллег, которые в основном используют сторонние инструменты для получения повышенных привилегий или развертывания ransomware.
Исполняемый файл BlackByte играет ключевую роль, обеспечивая как повышение привилегий, так и возможность бокового перемещения в скомпрометированной среде. ПО устанавливает три значения реестра: одно для повышения локальных привилегий, одно для включения совместного использования сетевого подключения между всеми уровнями привилегий и одно для разрешения длинных значений пути для путей к файлам.
Перед шифрованием malware удаляет задачу Raccine Rules Updater и стирает теневые копии напрямую через WMI с помощью обфусцированной команды PowerShell. В то время как, украденные файлы извлекаются с помощью WinRAR для архивирования файлов и анонимных платформ обмена файлами, таких как file.io или anonymfiles.com.
Результаты исследований Red Canary вряд ли порадуют, ведь стало понятно, что выпущенный Trustwave в октябре 2021 года декриптор уже бесполезен перед множеством появившихся в дикой природе более свежих версий BlackByte.
Конечно, атаками с использованиям ProxyShell к настоящему времени, казалось бы, уже никого не удивишь, но все же схема работает с точки зрения вымогателей, а значит время для применения обновлений безопасности наступило еще позавчера, прежде всего, для тех, кто еще не знаком с ransomware.
Red Canary сообщают об атаках BlackByte, которые взламывают корпоративные сети, эксплуатируя серверы Microsoft Exchange с помощью уязвимостей ProxyShell.
Все мы помним о комбинации трех уязвимостей Microsoft Exchange, включая CVE-2021-34473, CVE-2021-34523 и CVE-2021-31207, которые хоть и были исправлены в апреле-мае этого года, но на непропатченных системах позволяют удаленно выполнять код без проверки подлинности на сервере.
Действуя по накатанной технологии, BlackByte с помощью ProxyShell устанавливают веб-шеллы на скомпрометированные сервера Microsoft Exchange, затем цепляют Cobalt Strike, а после захвата учетных данных в системе приступают к работе со своим софтом, что отличает BlackByte от коллег, которые в основном используют сторонние инструменты для получения повышенных привилегий или развертывания ransomware.
Исполняемый файл BlackByte играет ключевую роль, обеспечивая как повышение привилегий, так и возможность бокового перемещения в скомпрометированной среде. ПО устанавливает три значения реестра: одно для повышения локальных привилегий, одно для включения совместного использования сетевого подключения между всеми уровнями привилегий и одно для разрешения длинных значений пути для путей к файлам.
Перед шифрованием malware удаляет задачу Raccine Rules Updater и стирает теневые копии напрямую через WMI с помощью обфусцированной команды PowerShell. В то время как, украденные файлы извлекаются с помощью WinRAR для архивирования файлов и анонимных платформ обмена файлами, таких как file.io или anonymfiles.com.
Результаты исследований Red Canary вряд ли порадуют, ведь стало понятно, что выпущенный Trustwave в октябре 2021 года декриптор уже бесполезен перед множеством появившихся в дикой природе более свежих версий BlackByte.
Конечно, атаками с использованиям ProxyShell к настоящему времени, казалось бы, уже никого не удивишь, но все же схема работает с точки зрения вымогателей, а значит время для применения обновлений безопасности наступило еще позавчера, прежде всего, для тех, кто еще не знаком с ransomware.
Red Canary
ProxyShell exploitation leads to BlackByte ransomware | Red Canary
BlackByte ransomware leverages ProxyShell Microsoft Exchange vulnerabilities for initial access and Cobalt Strike for lateral movement.
Unit42 Palo Alto Networks сообщают о новых атаках на клиентов Zoho.
Новое расследование Palo Alto дополняет их выводы о причастности китайской APT27 к нападениям на более чем 370 серверов Zoho ManageEngine в США. Как мы сообщали, атаки совершались с использованием известной 0-day уязвимости CVE-2021-40539 в ADSelfService Plus, исправленной еще 8 сентября.
Теперь же, согласно отчету Unit42, АРТ переориентировалась на эксплуатацию другой уязвимости CVE-2021-44077 в Zoho ServiceDesk Plus версий 11305 и более ранних, для которой, как известно, не существует общедоступного PoC. Группа APT самостоятельно разработала код эксплойта и использует его исключительно в своих интересах.
Уязвимость эксплуатируется отправкой двух запросов к REST API: один для загрузки исполняемого файла (msiexec.exe), а второй - для запуска полезной нагрузки. Этот процесс выполняется удаленно и не требует аутентификации на уязвимом сервере ServiceDesk. Когда ServiceDesk выполняет полезную нагрузку, создается мьютекс, и жестко запрограммированный модуль Java записывается в lib/tomcat/tomcat-postgres.jar (одна из разновидностей Godzilla), который загружается в процессы ServiceDesk.
При этом злоумышленники использовали тот же секретный ключ веб-оболочки, что и в атаках на ADSelfService Plus, но на этот раз он устанавливается как фильтр сервлетов Apache Tomcat Java, что отсутствие определенного URL-адреса, на который субъект будет отправлять свои запросы при взаимодействии с веб-оболочкой, что в целом позволит обойти фильтр безопасности в ServiceDesk Plus для сохранения доступа к файлам веб-оболочки. Для создания фильтра использовался общедоступный код под названием tomcat-backdoor, а затем к нему была добавлена модифицированная веб-оболочка Godzilla.
Несмотря на устранение RCE еще 16 сентября и публикацию 22 ноября 2021 года всех необходимых рекомендаций по безопасности, клиенты не спешат обновляться. К настоящему времени обнаружено более 600 уязвимых систем в США и еще 2100 в Индии, России, Великобритании, Турции и других странах. Причем многие из уязвимых решений применяются в госсекторе и ни объектах критической инфраструктуры. А 9 компании уже пали жертвой АРТ.
И вновь, виноватыми назначили китайскую APT27, ТТР которой, как полагают Unit42, соответствуют расследуемым кампаниям и полностью коррелируют с выводами Microsoft Threat Intelligence Center (MSTIC) в отношении DEV-0322. Но несмотря на громкие заявления, официально Palo Alto продолжают атрибуцию.
Организациям же настоятельно рекомендуется как можно скорее исправить дыры в ПО Zoho и изучить файлы в каталогах ServiceDesk Plus в ретроспективе октября 2021 года.
Новое расследование Palo Alto дополняет их выводы о причастности китайской APT27 к нападениям на более чем 370 серверов Zoho ManageEngine в США. Как мы сообщали, атаки совершались с использованием известной 0-day уязвимости CVE-2021-40539 в ADSelfService Plus, исправленной еще 8 сентября.
Теперь же, согласно отчету Unit42, АРТ переориентировалась на эксплуатацию другой уязвимости CVE-2021-44077 в Zoho ServiceDesk Plus версий 11305 и более ранних, для которой, как известно, не существует общедоступного PoC. Группа APT самостоятельно разработала код эксплойта и использует его исключительно в своих интересах.
Уязвимость эксплуатируется отправкой двух запросов к REST API: один для загрузки исполняемого файла (msiexec.exe), а второй - для запуска полезной нагрузки. Этот процесс выполняется удаленно и не требует аутентификации на уязвимом сервере ServiceDesk. Когда ServiceDesk выполняет полезную нагрузку, создается мьютекс, и жестко запрограммированный модуль Java записывается в lib/tomcat/tomcat-postgres.jar (одна из разновидностей Godzilla), который загружается в процессы ServiceDesk.
При этом злоумышленники использовали тот же секретный ключ веб-оболочки, что и в атаках на ADSelfService Plus, но на этот раз он устанавливается как фильтр сервлетов Apache Tomcat Java, что отсутствие определенного URL-адреса, на который субъект будет отправлять свои запросы при взаимодействии с веб-оболочкой, что в целом позволит обойти фильтр безопасности в ServiceDesk Plus для сохранения доступа к файлам веб-оболочки. Для создания фильтра использовался общедоступный код под названием tomcat-backdoor, а затем к нему была добавлена модифицированная веб-оболочка Godzilla.
Несмотря на устранение RCE еще 16 сентября и публикацию 22 ноября 2021 года всех необходимых рекомендаций по безопасности, клиенты не спешат обновляться. К настоящему времени обнаружено более 600 уязвимых систем в США и еще 2100 в Индии, России, Великобритании, Турции и других странах. Причем многие из уязвимых решений применяются в госсекторе и ни объектах критической инфраструктуры. А 9 компании уже пали жертвой АРТ.
И вновь, виноватыми назначили китайскую APT27, ТТР которой, как полагают Unit42, соответствуют расследуемым кампаниям и полностью коррелируют с выводами Microsoft Threat Intelligence Center (MSTIC) в отношении DEV-0322. Но несмотря на громкие заявления, официально Palo Alto продолжают атрибуцию.
Организациям же настоятельно рекомендуется как можно скорее исправить дыры в ПО Zoho и изучить файлы в каталогах ServiceDesk Plus в ретроспективе октября 2021 года.
Unit 42
APT Expands Attack on ManageEngine With Active Campaign Against ServiceDesk Plus
A persistent and determined APT actor has expanded beyond Zoho ManageEngine ADSelfService Plus and begun an active campaign against ServiceDesk Plus.
IoT Inspector в сотрудничестве с журналом CHIP решили затестить наиболее популярные среди миллионов пользователей модели WiFi маршрутизаторов: Asus, AVM, D-Link, Netgear, Edimax, TP-Link, Synology и Linksys.
И ужаснулись.
Исследователи прогнали устройства по известным 5000 CVE и другим проблемам безопасности. Обнаружили в них в общей сложности 226 потенциальных уязвимостей. Лидерами антирейтинга по количеству уязвимостей стали TP-Link Archer AX6000 (32 ошибки) и Synology RT-2600ac (30 ошибок). Многие маршрутизаторы по-прежнему остаются уязвимыми для уже публично раскрытых уязвимостей даже при использовании последней версии встроенного ПО.
Из общих проблем исследователи выяв или следующие: устаревшее ядро Linux в прошивке, устаревшие функции мультимедиа и VPN, чрезмерное использование старых версий BusyBox, использование слабых паролей по умолчанию (таких как admin), наличие жестко запрограммированных учетных данных в текстовой форме.
Отдельно в качестве знакового результата тестов исследователями была представлена атака, в результате которой им удалось извлечь ключ шифрования для образов прошивки маршрутизатора D-Link.
Команда нашла способ получить локальные привилегии на D-Link DIR-X1560, обеспечив доступ к оболочке через физический интерфейс отладки UART. Затем они сбросили всю файловую систему с помощью встроенных команд BusyBox и обнаружили двоичный файл, отвечающий за процедуру дешифрования.
Анализируя соответствующие переменные и функции, исследователи в конечном итоге извлекли ключ AES для шифрования прошивки. Используя его, злоумышленник может накатывать прошивки без прохождения проверочных проверок на устройстве, заражая маршрутизатор вредоносным ПО.
Все участвовавшие в тестировании производители оперативно отреагировали на выводы исследователей и выпустили исправления для прошивки, устранили большинство недостатков безопасности, выявленных рабочей группой, но не все из них.
Главной общей проблемой безопасности остаются принцип подключи, играй и забудь, которым руководствуется большая часть пользователей. Просто ответьте на вопрос: меняли ли вы дефолтный пароль от админки при первой настройке и когда в последний раз устанавливали обновления прошивки на своем роутере.
Затрудняетесь? Тогда независимо от результатов исследования IoT Inspector и CHIP следует применить доступные обновления, включить автоматическое обновление системы и поменять пароль по умолчанию. Кроме того, следует отключить удаленный доступ, функции UPnP (Universal Plug and Play) и WPS (Wi-Fi Protected Setup), если вы не пользуетесь ими.
И ужаснулись.
Исследователи прогнали устройства по известным 5000 CVE и другим проблемам безопасности. Обнаружили в них в общей сложности 226 потенциальных уязвимостей. Лидерами антирейтинга по количеству уязвимостей стали TP-Link Archer AX6000 (32 ошибки) и Synology RT-2600ac (30 ошибок). Многие маршрутизаторы по-прежнему остаются уязвимыми для уже публично раскрытых уязвимостей даже при использовании последней версии встроенного ПО.
Из общих проблем исследователи выяв или следующие: устаревшее ядро Linux в прошивке, устаревшие функции мультимедиа и VPN, чрезмерное использование старых версий BusyBox, использование слабых паролей по умолчанию (таких как admin), наличие жестко запрограммированных учетных данных в текстовой форме.
Отдельно в качестве знакового результата тестов исследователями была представлена атака, в результате которой им удалось извлечь ключ шифрования для образов прошивки маршрутизатора D-Link.
Команда нашла способ получить локальные привилегии на D-Link DIR-X1560, обеспечив доступ к оболочке через физический интерфейс отладки UART. Затем они сбросили всю файловую систему с помощью встроенных команд BusyBox и обнаружили двоичный файл, отвечающий за процедуру дешифрования.
Анализируя соответствующие переменные и функции, исследователи в конечном итоге извлекли ключ AES для шифрования прошивки. Используя его, злоумышленник может накатывать прошивки без прохождения проверочных проверок на устройстве, заражая маршрутизатор вредоносным ПО.
Все участвовавшие в тестировании производители оперативно отреагировали на выводы исследователей и выпустили исправления для прошивки, устранили большинство недостатков безопасности, выявленных рабочей группой, но не все из них.
Главной общей проблемой безопасности остаются принцип подключи, играй и забудь, которым руководствуется большая часть пользователей. Просто ответьте на вопрос: меняли ли вы дефолтный пароль от админки при первой настройке и когда в последний раз устанавливали обновления прошивки на своем роутере.
Затрудняетесь? Тогда независимо от результатов исследования IoT Inspector и CHIP следует применить доступные обновления, включить автоматическое обновление системы и поменять пароль по умолчанию. Кроме того, следует отключить удаленный доступ, функции UPnP (Universal Plug and Play) и WPS (Wi-Fi Protected Setup), если вы не пользуетесь ими.
Onekey
Resources | ONEKEY
Automate your process with our all-in-one platform and expert services. Seamless SBOM management, vulnerability analysis, and compliance reporting. Book a call!
Исследователи ESET представили результаты изучения вредоносных фреймворков, которые встречались последние 15 лет в ходе атак на сети с воздушным зазором.
Как удалось выяснить, все фреймворки предназначены для ведения шпионажа в той или иной форме. При этом только в первой половине 2020 года были обнаружены 4 различных вредоносных фреймворка, предназначенных для атак на сети с воздушным зазором, в результате чего общее количество таких наборов инструментов достигло 17.
Все фреймворки использовали USB-накопители в качестве физической среды передачи для передачи данных в целевые сети с воздушными зазорами и из них, за все время не было обнаружено ни одного случая фактического или предполагаемого использования скрытой физической передачи.
Основное различие между подключенными и автономными фреймворками заключается в том, как в первую очередь используется накопитель. В то время как подключенные работают путем развертывания вредоносного ПО в подключенной системе, который отслеживает вставку новых USB-накопителей и автоматически размещает код атаки, необходимый для компрометации системы с воздушными зазорами, автономные фреймворки, такие как Brutal Kangaroo, EZCheese и ProjectSauron, полагаются на злоумышленников, умышленно заражающих собственные USB-накопителей с целью взлома целевой машины.
Более 75% всех фреймворков использовали вредоносные LNK-файлы или AutoRun на USB-накопителях, чтобы выполнить начальную компрометацию системы с воздушным зазором либо для бокового перемещения внутри сети с воздушным зазором.
За последние 10 лет было обнаружено более 10 уязвимостей удаленного выполнения кода в Windows критической степени серьезности, связанных с LNK, которые затем были исправлены Microsoft. При этом все фреймворки были созданы для атак на системы Windows. Исследователи не обнаружили никаких доказательств наличия реальных или предполагаемых вредоносных компонентов, предназначенных для других ОС.
Учитывая, что воздушный зазор является одним из наиболее распространенных способов защиты SCADA и промышленных систем управления (ICS), многие APT все чаще обращают внимание на критически важную инфраструктуру в «воздухе».
Так, некоторые фреймворки были отнесены к четко определенным, хорошо известным злоумышленникам: Retro (DarkHotel aka APT-C-06 or Dubnium), Ramsay (DarkHotel), USBStealer (Fancy Bear), USBFerry (Tropic Trooper aka APT23 or Pirate Panda), Fanny (Equation Group), USBCulprit (Goblin Panda aka Hellsing or Cycldek), PlugX (Mustang Panda) и Agent.BTZ (Turla Group).
В качестве мер противодействия подобным атакам компаниям рекомендуется предотвращать прямой доступ к электронной почте в подключенных системах, отключать USB-порты и проверять USB-накопители, ограничивая выполнение файлов на съемных дисках и проводить периодический анализ закрытых систем на наличие каких-либо признаков аномальной активности.
Ведь, даже воздушные зазоры не спасут от устаревшего ПО или самого банального человеческого фактора.
Как удалось выяснить, все фреймворки предназначены для ведения шпионажа в той или иной форме. При этом только в первой половине 2020 года были обнаружены 4 различных вредоносных фреймворка, предназначенных для атак на сети с воздушным зазором, в результате чего общее количество таких наборов инструментов достигло 17.
Все фреймворки использовали USB-накопители в качестве физической среды передачи для передачи данных в целевые сети с воздушными зазорами и из них, за все время не было обнаружено ни одного случая фактического или предполагаемого использования скрытой физической передачи.
Основное различие между подключенными и автономными фреймворками заключается в том, как в первую очередь используется накопитель. В то время как подключенные работают путем развертывания вредоносного ПО в подключенной системе, который отслеживает вставку новых USB-накопителей и автоматически размещает код атаки, необходимый для компрометации системы с воздушными зазорами, автономные фреймворки, такие как Brutal Kangaroo, EZCheese и ProjectSauron, полагаются на злоумышленников, умышленно заражающих собственные USB-накопителей с целью взлома целевой машины.
Более 75% всех фреймворков использовали вредоносные LNK-файлы или AutoRun на USB-накопителях, чтобы выполнить начальную компрометацию системы с воздушным зазором либо для бокового перемещения внутри сети с воздушным зазором.
За последние 10 лет было обнаружено более 10 уязвимостей удаленного выполнения кода в Windows критической степени серьезности, связанных с LNK, которые затем были исправлены Microsoft. При этом все фреймворки были созданы для атак на системы Windows. Исследователи не обнаружили никаких доказательств наличия реальных или предполагаемых вредоносных компонентов, предназначенных для других ОС.
Учитывая, что воздушный зазор является одним из наиболее распространенных способов защиты SCADA и промышленных систем управления (ICS), многие APT все чаще обращают внимание на критически важную инфраструктуру в «воздухе».
Так, некоторые фреймворки были отнесены к четко определенным, хорошо известным злоумышленникам: Retro (DarkHotel aka APT-C-06 or Dubnium), Ramsay (DarkHotel), USBStealer (Fancy Bear), USBFerry (Tropic Trooper aka APT23 or Pirate Panda), Fanny (Equation Group), USBCulprit (Goblin Panda aka Hellsing or Cycldek), PlugX (Mustang Panda) и Agent.BTZ (Turla Group).
В качестве мер противодействия подобным атакам компаниям рекомендуется предотвращать прямой доступ к электронной почте в подключенных системах, отключать USB-порты и проверять USB-накопители, ограничивая выполнение файлов на съемных дисках и проводить периодический анализ закрытых систем на наличие каких-либо признаков аномальной активности.
Ведь, даже воздушные зазоры не спасут от устаревшего ПО или самого банального человеческого фактора.
—Партнерский пост—
Несмотря на жизненные ненастья Group-IB умеет и продолжает в инфосек.
Вчера на ежегодном CyberCrimeCon’2021 компания представила традиционный отчет Hi-Tech Crime Trends, который теперь выходит в формате нескольких частей (для лучшего усвоения материала).
Основываясь на данных системы Threat Intelligence&Attribution, про которую мы уже рассказывали, исследователи проанализировали рынок продаж доступов в скомпрометированные сети за последние 15 лет (пацаны вообще ребята). В полученных результатых встречаются любопытные скриншоты даже от 2006 года.
Из актуального:
- в даркнете выставлено на продажу 1099 доступов к сетям различных компаний;
- за год количество продавцов выросло на 205% (!), основная часть — русскоязычные;
- в этот же период были атакованы компании из 68 стран, по российскому сегменту почти не работают. А в Азербайджане подломили нефтяной холдинг;
- объем мирового рынка продаж взломов - $7 млн, но это нижняя планка. Вероятнее всего сумма существенно больше;
- лидеры по подломам - финсектор, производство и образование;
- партнерские программы вымогателей (RaaS) - серьезный бустер для рынка продаж взломов.
Про ransomware подробнее обещают в следующей части отчета. План публикаций очередных частей следующий:
9 декабря — отчет “Киберимперия шифровальщиков”
13 декабря — отчет “Киберугрозы для финсектора”
16 декабря — отчет “Военные операции” (ограниченный доступ)
20 декабря — отчет “Скам и фишинг”.
Несмотря на жизненные ненастья Group-IB умеет и продолжает в инфосек.
Вчера на ежегодном CyberCrimeCon’2021 компания представила традиционный отчет Hi-Tech Crime Trends, который теперь выходит в формате нескольких частей (для лучшего усвоения материала).
Основываясь на данных системы Threat Intelligence&Attribution, про которую мы уже рассказывали, исследователи проанализировали рынок продаж доступов в скомпрометированные сети за последние 15 лет (пацаны вообще ребята). В полученных результатых встречаются любопытные скриншоты даже от 2006 года.
Из актуального:
- в даркнете выставлено на продажу 1099 доступов к сетям различных компаний;
- за год количество продавцов выросло на 205% (!), основная часть — русскоязычные;
- в этот же период были атакованы компании из 68 стран, по российскому сегменту почти не работают. А в Азербайджане подломили нефтяной холдинг;
- объем мирового рынка продаж взломов - $7 млн, но это нижняя планка. Вероятнее всего сумма существенно больше;
- лидеры по подломам - финсектор, производство и образование;
- партнерские программы вымогателей (RaaS) - серьезный бустер для рынка продаж взломов.
Про ransomware подробнее обещают в следующей части отчета. План публикаций очередных частей следующий:
9 декабря — отчет “Киберимперия шифровальщиков”
13 декабря — отчет “Киберугрозы для финсектора”
16 декабря — отчет “Военные операции” (ограниченный доступ)
20 декабря — отчет “Скам и фишинг”.
Group-IB
Research Hub
Deep dives on previously unknown APTs, insights into the most recent cybersecurity trends and technologies, and predictions and recommendations that can help shape your security strategy.
Энергетическая компания Delta-Montrose Electric Association в Колорадо США уже месяц пытается оправиться от разрушительной кибератаки, в результате которой было выведено из строя почти 90% ее внутренних систем, потеряны данные за последние 25 лет, а телефонная связь и электронная почта не работали в течение нескольких недель.
Со слов представителей компании, первые проблемы возникли 7 ноября, когда в результате атаки было отключено большинство внутренних сетевых сервисов. Атака затронула все системы поддержки, процессинговый центр обработки платежей, биллинговые платформы и другие инструменты, предоставляемые клиентам.
Руководство заявило, что хакеры были нацелены на определенные части внутренней сети и повредили сохраненные документы, электронные таблицы и формы с 25-летней историей!, что указывает на то, что это мог быть инцидент с ransomware. Для пресечения угрозы и расследования инцидента энергетическая компания наняла экспертов по кибербезопасности, но почти за месяц работы до сих пор возникают проблемы с восстановлением. Интересно, почему-то компания не заявляет, что инфраструктура была зашифрована, а тактично говорит, что данные были "повреждены". Кем, как и какие преследовались интересы пока умалчивается.
Тем не менее в компании считают, что конфиденциальные данные клиентов и сотрудников не были скомпрометированы, но для полноценного контроля и тарификации услуг всем придется пройти поэтапное восстановление. Добрые энергетики предупредили, что какое-то время большинство клиентов могут получать повторные счета за электроэнергию и что они не будут отключать услуги за неуплату или начислять пени до 31 января 2022 года.
Ждем результатов расследования, так как интересно узнать мотивы кибератаки, ведь требований о выкупе до сих пор не поступало.
Со слов представителей компании, первые проблемы возникли 7 ноября, когда в результате атаки было отключено большинство внутренних сетевых сервисов. Атака затронула все системы поддержки, процессинговый центр обработки платежей, биллинговые платформы и другие инструменты, предоставляемые клиентам.
Руководство заявило, что хакеры были нацелены на определенные части внутренней сети и повредили сохраненные документы, электронные таблицы и формы с 25-летней историей!, что указывает на то, что это мог быть инцидент с ransomware. Для пресечения угрозы и расследования инцидента энергетическая компания наняла экспертов по кибербезопасности, но почти за месяц работы до сих пор возникают проблемы с восстановлением. Интересно, почему-то компания не заявляет, что инфраструктура была зашифрована, а тактично говорит, что данные были "повреждены". Кем, как и какие преследовались интересы пока умалчивается.
Тем не менее в компании считают, что конфиденциальные данные клиентов и сотрудников не были скомпрометированы, но для полноценного контроля и тарификации услуг всем придется пройти поэтапное восстановление. Добрые энергетики предупредили, что какое-то время большинство клиентов могут получать повторные счета за электроэнергию и что они не будут отключать услуги за неуплату или начислять пени до 31 января 2022 года.
Ждем результатов расследования, так как интересно узнать мотивы кибератаки, ведь требований о выкупе до сих пор не поступало.
Исследователь безопасности Nusenu отследил тайного оператора тысяч вредоносных серверов сети Tor, позволявших ему проводить Sybil attack.
Опытный и достаточно обеспеченный специалист, которого условно именуют KAX17, по крайней мере с 2017 года запустил и админил тысячи вредоносных серверов на входных, промежуточных и выходных позициях сети Tor.
По скромным подсчетам злоумышленник запускал более 900 вредоносных серверов в Tor, в то время как на в среднем сеть включала до 9 000–10 000 в день таких узлов, реализующих шифрование и анонимизацию пользовательского трафика.
Как правило, добавленные в сеть Tor серверы имеют контактную информацию: по минимуму - email для связи с администрацией для решения различных вопросов, связанных с неправильной конфигурацией или различными злоупотреблениями.
Nusenu еще в 2019 году удалось выявить закономерность ретрансляторов Tor без контактной информации и проанализировать ее вплоть до 2017 года. Группируя серверы, стало понятно, что злоумышленник постоянно добавлял серверы без контактных данных в сеть Tor в промышленных масштабах, администрируя по несколько сотен узлов одновременно.
Размещались сервера в ЦОДах по всему миру, получая конфигурацию, в первую очередь, как входные и средние точки, что не соответствует обычным преступным устремлениям хакеров, которые предпочитают контролировать выходные узлы, что позволяет им изменять трафик пользователя. Например, злоумышленник, отслеживаемый как BTCMITM20, запускал тысячи вредоносных выходных узлов Tor, чтобы заменять адреса биткойн-кошельков в веб-трафике и перехватывать платежи пользователей.
По его наводке Nusenu руководство проекта Tor, в октябре 2020 года группа безопасности Tor удалила все реле выхода KAX17.
Однако следующая партия выходных ретрансляторов была вновь подключена сразу после чистки. В 2021 году представители Tor Project вновь отключали до сотни серверов KAX17 в октябре и ноябре, инициировав собственное расследование.
Вместе с тем, Nusenu благодаря ошибке OpSec, смогли отследить реальный адрес электронной почты злоумышленника. KAX17 использовал его для подписки на рассылки Tor Project, а также принимал участие в обсуждениях, пытаясь понять причины удаления вредоносных серверов.
Таким образом, KAX17 обладал возможностью контроля посредством собственных узлов трафика любого подключенного к сети пользователя с вероятностью до 35%. Исследователи пришли к выводу о том, что злоумышленник занимался деанонимизацией и идентификацией как пользователей Tor, так и сервисов внутри сети, обладая для этого серьезным техническим и финансовым потенциалом.
Опытный и достаточно обеспеченный специалист, которого условно именуют KAX17, по крайней мере с 2017 года запустил и админил тысячи вредоносных серверов на входных, промежуточных и выходных позициях сети Tor.
По скромным подсчетам злоумышленник запускал более 900 вредоносных серверов в Tor, в то время как на в среднем сеть включала до 9 000–10 000 в день таких узлов, реализующих шифрование и анонимизацию пользовательского трафика.
Как правило, добавленные в сеть Tor серверы имеют контактную информацию: по минимуму - email для связи с администрацией для решения различных вопросов, связанных с неправильной конфигурацией или различными злоупотреблениями.
Nusenu еще в 2019 году удалось выявить закономерность ретрансляторов Tor без контактной информации и проанализировать ее вплоть до 2017 года. Группируя серверы, стало понятно, что злоумышленник постоянно добавлял серверы без контактных данных в сеть Tor в промышленных масштабах, администрируя по несколько сотен узлов одновременно.
Размещались сервера в ЦОДах по всему миру, получая конфигурацию, в первую очередь, как входные и средние точки, что не соответствует обычным преступным устремлениям хакеров, которые предпочитают контролировать выходные узлы, что позволяет им изменять трафик пользователя. Например, злоумышленник, отслеживаемый как BTCMITM20, запускал тысячи вредоносных выходных узлов Tor, чтобы заменять адреса биткойн-кошельков в веб-трафике и перехватывать платежи пользователей.
По его наводке Nusenu руководство проекта Tor, в октябре 2020 года группа безопасности Tor удалила все реле выхода KAX17.
Однако следующая партия выходных ретрансляторов была вновь подключена сразу после чистки. В 2021 году представители Tor Project вновь отключали до сотни серверов KAX17 в октябре и ноябре, инициировав собственное расследование.
Вместе с тем, Nusenu благодаря ошибке OpSec, смогли отследить реальный адрес электронной почты злоумышленника. KAX17 использовал его для подписки на рассылки Tor Project, а также принимал участие в обсуждениях, пытаясь понять причины удаления вредоносных серверов.
Таким образом, KAX17 обладал возможностью контроля посредством собственных узлов трафика любого подключенного к сети пользователя с вероятностью до 35%. Исследователи пришли к выводу о том, что злоумышленник занимался деанонимизацией и идентификацией как пользователей Tor, так и сервисов внутри сети, обладая для этого серьезным техническим и финансовым потенциалом.
Medium
The Growing Problem of Malicious Relays on the Tor Network
Background
Positive Technologies представили матрицу MITRE ATT&CK на русском языке.
Отличительной особенностью стал интерактивный формат популярнейшей среди специалистов по ИБ базы знаний корпорации MITRE. В виде таблицы структурированы списки тактик, для каждой из которых указаны возможные техники. В адаптированной версии помимо прочего можно ознакомиться с тем, какие из угроз могут быть выявлены с помощью PT Network Attack Discovery.
Не взирая на маркетинговую ориентированность, более наглядная и практичная русифицированная версия MITRE ATT&CK весьма актуальна и востребована, ведь, согласно опросам, более 37% специалистов по ИБ намерены применять матрицу в повседневной работе и в рамках расследования атак.
Очевидно, что профиль АРТ-групп и их кампаний помогает четко понять, какие инструменты и TTP используют злоумышленники, что с точки зрения ИБ позволяет заблаговременно спрогнозировать и обезопасить вероятную точку входа.
К изучению и руководству – рекомендуем.
Отличительной особенностью стал интерактивный формат популярнейшей среди специалистов по ИБ базы знаний корпорации MITRE. В виде таблицы структурированы списки тактик, для каждой из которых указаны возможные техники. В адаптированной версии помимо прочего можно ознакомиться с тем, какие из угроз могут быть выявлены с помощью PT Network Attack Discovery.
Не взирая на маркетинговую ориентированность, более наглядная и практичная русифицированная версия MITRE ATT&CK весьма актуальна и востребована, ведь, согласно опросам, более 37% специалистов по ИБ намерены применять матрицу в повседневной работе и в рамках расследования атак.
Очевидно, что профиль АРТ-групп и их кампаний помогает четко понять, какие инструменты и TTP используют злоумышленники, что с точки зрения ИБ позволяет заблаговременно спрогнозировать и обезопасить вероятную точку входа.
К изучению и руководству – рекомендуем.
ФБР США совместно с Агентством по кибербезопасности и безопасности инфраструктуры (CISA) выпустили экстренное предупреждение о кубинских вымогателях.
По данным спецслужб, кубинские хакеры атаковали не менее 49 критически важных объектов, располагающихся на территории штатов, включая госсектор, финансовый рынок, здравоохранение, промышленность и IT, заработав по скромным прикидкам более 43,9 миллионов зеленых (из 74 миллионов выставленных счетов на выкуп). Cuba активна по крайней мере с января 2020 года. У операторов есть сайт утечки, вымогатель шифрует файлы в целевых системах, используя расширение «.cuba».
Одноименная ransomware доставляется с помощью загрузчик Hancitor (Chancitor), широко востребованный еще с 2016 года среди хакеров инструмент для распространения помимо прочего Vawtrak, Pony, Ficker stealer, NetSupport RAT и прочих приблуд, а в последнее время - Cobalt Strike. Hancitor распространяется через фишинговые электронные письма или с использованием скомпрометированных учетных данных, применяя уязвимости Microsoft Exchange или инструменты RDP для получения первоначального доступа к сети жертвы.
Закрепившись в системе посредством Hancitor, кубинские операторы запускают CobaltStrike через службы Windows (например, PowerShell, PsExec и др.) для развертывания полезной нагрузки в виде ransomware и последующего шифрования файлов.
По факту уведомление стало ничем иным, как меморандумом о войне с кубинскими вымогателями.
ФБР обратилось за помощью к инфосек сообществу для сбора дополнительных техданных в отношении группы. Спецслужбу интересуют платежные реквизиты, образцы полированных файлов, дешифраторы, журналы IP-соединений с пограничных точек и другая информация, которая может вывести на след хакеров.
Предупреждение ФБР также включает индикаторы компрометации и необходимые рекомендации по безопасности.
По данным спецслужб, кубинские хакеры атаковали не менее 49 критически важных объектов, располагающихся на территории штатов, включая госсектор, финансовый рынок, здравоохранение, промышленность и IT, заработав по скромным прикидкам более 43,9 миллионов зеленых (из 74 миллионов выставленных счетов на выкуп). Cuba активна по крайней мере с января 2020 года. У операторов есть сайт утечки, вымогатель шифрует файлы в целевых системах, используя расширение «.cuba».
Одноименная ransomware доставляется с помощью загрузчик Hancitor (Chancitor), широко востребованный еще с 2016 года среди хакеров инструмент для распространения помимо прочего Vawtrak, Pony, Ficker stealer, NetSupport RAT и прочих приблуд, а в последнее время - Cobalt Strike. Hancitor распространяется через фишинговые электронные письма или с использованием скомпрометированных учетных данных, применяя уязвимости Microsoft Exchange или инструменты RDP для получения первоначального доступа к сети жертвы.
Закрепившись в системе посредством Hancitor, кубинские операторы запускают CobaltStrike через службы Windows (например, PowerShell, PsExec и др.) для развертывания полезной нагрузки в виде ransomware и последующего шифрования файлов.
По факту уведомление стало ничем иным, как меморандумом о войне с кубинскими вымогателями.
ФБР обратилось за помощью к инфосек сообществу для сбора дополнительных техданных в отношении группы. Спецслужбу интересуют платежные реквизиты, образцы полированных файлов, дешифраторы, журналы IP-соединений с пограничных точек и другая информация, которая может вывести на след хакеров.
Предупреждение ФБР также включает индикаторы компрометации и необходимые рекомендации по безопасности.
Не так давно криптовалютный мир и хакерское сообщество наблюдало за феерией самого грандиозного ограбления с последующим не менее грандиозным возвращением похищенных средств. Напомним, в августе этого года Мистер Белая шляпа позаимствовал у Poly Network токенов на сумму более 600 млн. долларов.
Тогда все обошлось, держатели криптоактивов выдохнули, а трухакеры похлопали в ладоши. Но сегодня совсем другая история - компания BitMart после выходных не досчиталась 150 миллионов долларов и стала вторым потерпевшим по величине крипто-ограблении в этом году.
В BitMart заявили, что на выходных их взломали и вывели криптоактивы в ETH и BSC на сумму около 150 миллионов долларов. Клиентам не стоит беспокоится, так как в компания заверили, что покроют убытки за счет собственных средств.
Со слов генерального директора BitMart Шелдона Ся, взлом произошел после того, как злоумышленник получил доступ к некоторым закрытым ключам компании - «Мы выявили серьезное нарушение безопасности, связанное с одним из наших горячих кошельков ETH и BSC».
Как хакеры получили доступ к этим ключам, остается неизвестным, но в настоящее время основной версией является компрометация учетной записи сотрудника. Вывод средств на платформе все еще заморожен, пока специалисты по безопасности BitMart не завершает расследование инцидента.
Вряд ли это очередные происки Белой Шляпы или его вдохновленных последователей, и BitMart повезет также как PolyNetwork. Скорее всего инцидент займет второе место в строчке по величине реализованных хищений и первое место по фактическому ущербу от действий третьих лиц.
Тогда все обошлось, держатели криптоактивов выдохнули, а трухакеры похлопали в ладоши. Но сегодня совсем другая история - компания BitMart после выходных не досчиталась 150 миллионов долларов и стала вторым потерпевшим по величине крипто-ограблении в этом году.
В BitMart заявили, что на выходных их взломали и вывели криптоактивы в ETH и BSC на сумму около 150 миллионов долларов. Клиентам не стоит беспокоится, так как в компания заверили, что покроют убытки за счет собственных средств.
Со слов генерального директора BitMart Шелдона Ся, взлом произошел после того, как злоумышленник получил доступ к некоторым закрытым ключам компании - «Мы выявили серьезное нарушение безопасности, связанное с одним из наших горячих кошельков ETH и BSC».
Как хакеры получили доступ к этим ключам, остается неизвестным, но в настоящее время основной версией является компрометация учетной записи сотрудника. Вывод средств на платформе все еще заморожен, пока специалисты по безопасности BitMart не завершает расследование инцидента.
Вряд ли это очередные происки Белой Шляпы или его вдохновленных последователей, и BitMart повезет также как PolyNetwork. Скорее всего инцидент займет второе место в строчке по величине реализованных хищений и первое место по фактическому ущербу от действий третьих лиц.
Twitter
Sheldon Xia
1/4 In response to this incident, BitMart has completed initial security checks and identified affected assets. This security breach was mainly caused by a stolen private key that had two of our hot wallets compromised. Other assets with BitMart are safe…
Как мы и предполагали с самого начала, одним из поводов столь жестких нападок на израильского производителя шпионского ПО Pegasus могла стать слежка за американскими дипломатами.
По данным Apple, яблочные девайсы 11 американских дипломатов в Уганде или Восточной Африке были атакованы с помощью того самого ПО от компании NSO Group, которая после соответствующего публичного заявления начала свое расследование по этому факту. Сотрудники Госдепартамента США были уведомлены Apple о компрометации их телефонов с использованием эксплойта ForcedEntry под iOS в рамках анонсированной функции производителя.
NSO не подтверждает использование ее технологии, однако перекрыла доступ «соответствующих клиентов к системе» после того, как новый скандал вышел в плоскость авторитетных изданий Reuters и Washington Post. В NSO отказались при этом разглашать кого конкретно из клиентов им пришлось отключить.
Все это стало продолжением черной полосы в жизни производителя сразу по попадания под торговые санкции со стороны Министерства торговли США за «предоставлением иностранным правительствам проводить транснациональные репрессии» и поданного в ноябре иска в суд от Apple, намеренной таким образом отбиться от репутационных и хакерских нападок со стороны израильтян, которые могли получать доступ к устройствам пользователей в ходе атак с нулевым щелчком.
Сама Apple отказалась комментировать ситуацию, добавив лишь о намерении продолжать уведомлять всех пользователей, ставших жертвами атак шпионского ПО.
Вполне себе вероятно, что список жертв и будет пополняться и авторитетными фигурами, дабы еще более четко прояснить участникам правила игры на рынке экспорта киберуслуг.
По данным Apple, яблочные девайсы 11 американских дипломатов в Уганде или Восточной Африке были атакованы с помощью того самого ПО от компании NSO Group, которая после соответствующего публичного заявления начала свое расследование по этому факту. Сотрудники Госдепартамента США были уведомлены Apple о компрометации их телефонов с использованием эксплойта ForcedEntry под iOS в рамках анонсированной функции производителя.
NSO не подтверждает использование ее технологии, однако перекрыла доступ «соответствующих клиентов к системе» после того, как новый скандал вышел в плоскость авторитетных изданий Reuters и Washington Post. В NSO отказались при этом разглашать кого конкретно из клиентов им пришлось отключить.
Все это стало продолжением черной полосы в жизни производителя сразу по попадания под торговые санкции со стороны Министерства торговли США за «предоставлением иностранным правительствам проводить транснациональные репрессии» и поданного в ноябре иска в суд от Apple, намеренной таким образом отбиться от репутационных и хакерских нападок со стороны израильтян, которые могли получать доступ к устройствам пользователей в ходе атак с нулевым щелчком.
Сама Apple отказалась комментировать ситуацию, добавив лишь о намерении продолжать уведомлять всех пользователей, ставших жертвами атак шпионского ПО.
Вполне себе вероятно, что список жертв и будет пополняться и авторитетными фигурами, дабы еще более четко прояснить участникам правила игры на рынке экспорта киберуслуг.
Reuters
U.S. State Department phones hacked with Israeli company spyware - sources
Apple Inc iPhones of at least nine U.S. State Department employees were hacked by an unknown assailant using sophisticated spyware developed by the Israel-based NSO Group, according to four people familiar with the matter.
Forwarded from SecurityLab.ru
Телевизоры следят за пользователями, шпионы поколения Джеймса Бонда страдают от новых технологий, а неудачный пост в Whatsapp десятилетней давности может привести к тюремному сроку.
Эти и другие новости недели, а также розыгрыш уникальных призов для подписчиков нашего канала в нашем новом Youtube выпуске от главного редактора Александра Антипова.
Эти и другие новости недели, а также розыгрыш уникальных призов для подписчиков нашего канала в нашем новом Youtube выпуске от главного редактора Александра Антипова.
Более 200 отелей в Скандинавии, Финляндии и странах Балтии под брендами Comfort, Quality и Clarion со штатом более 16 000 сотрудников стали жертвой атаки с использованием ransomware.
Компания Nordic Choice Hotels подтвердила кибератаку на свои системы, апогей которой случился 2 декабря, когда из строя вышли вся IT-инфраструктура, включая систему бронирования (регистрацией заезда, отъезда, оплата) и управления доступом к номерам.
Сотрудники перешли к ручному управлению бизнесом. Клиенты к настоящему времени не могут войти в свои учетные записи Nordic Choice Hotels для управления бронированием, а также для применения бонусных баллов, проблема также затронула членов Nordic Choice Club.
К расследованию инцидента подключилось Норвежское управление по защите данных и Норвежское управление национальной безопасности. По официальным данным, утечки данных не допущено, даже несмотря на то, что ранее компания признала компрометацию сведений по бронированию, включающую имена, адреса электронной почты, номера телефонов, даты визита и платежные данные.
Администрация холдинга воздержалась от переговоров. Вместе с тем, по предварительным данным, ответственность за инцидент лежит на Conti, пока что не опубликовавшей релиза с указанием Nordic Choice Hotels на своем сайте утечек.
Тем временем, отельеры восстанавливают свои системы и намерены к концу недели вернуться к нормальному режиму работы. Достаточно оперативно, что в совокупности с отсутствием анонсов у Conti наводит на определенные мысли.
Компания Nordic Choice Hotels подтвердила кибератаку на свои системы, апогей которой случился 2 декабря, когда из строя вышли вся IT-инфраструктура, включая систему бронирования (регистрацией заезда, отъезда, оплата) и управления доступом к номерам.
Сотрудники перешли к ручному управлению бизнесом. Клиенты к настоящему времени не могут войти в свои учетные записи Nordic Choice Hotels для управления бронированием, а также для применения бонусных баллов, проблема также затронула членов Nordic Choice Club.
К расследованию инцидента подключилось Норвежское управление по защите данных и Норвежское управление национальной безопасности. По официальным данным, утечки данных не допущено, даже несмотря на то, что ранее компания признала компрометацию сведений по бронированию, включающую имена, адреса электронной почты, номера телефонов, даты визита и платежные данные.
Администрация холдинга воздержалась от переговоров. Вместе с тем, по предварительным данным, ответственность за инцидент лежит на Conti, пока что не опубликовавшей релиза с указанием Nordic Choice Hotels на своем сайте утечек.
Тем временем, отельеры восстанавливают свои системы и намерены к концу недели вернуться к нормальному режиму работы. Достаточно оперативно, что в совокупности с отсутствием анонсов у Conti наводит на определенные мысли.
Уже годик минул с момента вскрытия атаки неизведанной APT на компанию SolarWinds и соответствующих обвинений в адрес "русских хакеров", а какой-либо внятной аргументации в пользу этой связи никто так и не привел. Ну вот нет ничего.
Свое мнение касательно этой истории мы неоднократно транслировали и наиболее полно отразили здесь.
Тем временем тема хакерской группы Nobelium, которую Microsoft называют исполнителем атаки на SolarWinds и связывают с российскими разведчиками (тысячи их!), опять всплывает в трендах инфосек новостей.
(В рот нам ноги, как вспоминаем "атрибуцию фишинговой кампании Nobelium" от американцев из Volexity, вот прямо головой бьемся о стену. Железные докозательства - использование документа-приманки на тему американских выборов и Cobalt Strike. Кокаинум, чтоб его! А корейские слова в коде и время компиляции - это ложный флаг!)
Во-первых, французский CERT со ссылкой на французское же Агентство национальной кибербезопасности (ANSSI) сообщил, что Nobelium с февраля этого года осуществляет широкую фишинговую кампанию, направленную на различные иностранные организации с использованием заранее подломанных французских НКО. И обратно - французские учреждения были целями для фишинга со стороны скомпрометированных иностранных почтовых серверов.
Во-вторых, Mandiant описывают новую кибершпионскую кампанию , которую они связывают с Nobelium. Эти, правда, поумнее - они везде подчеркивают "предполагаемый" характер связи APT с Россией, а в конце отчета ставят дисклеймер об "отсутствии достаточных доказательств".
Cherche le Nobellium, пилят.
Свое мнение касательно этой истории мы неоднократно транслировали и наиболее полно отразили здесь.
Тем временем тема хакерской группы Nobelium, которую Microsoft называют исполнителем атаки на SolarWinds и связывают с российскими разведчиками (тысячи их!), опять всплывает в трендах инфосек новостей.
(В рот нам ноги, как вспоминаем "атрибуцию фишинговой кампании Nobelium" от американцев из Volexity, вот прямо головой бьемся о стену. Железные докозательства - использование документа-приманки на тему американских выборов и Cobalt Strike. Кокаинум, чтоб его! А корейские слова в коде и время компиляции - это ложный флаг!)
Во-первых, французский CERT со ссылкой на французское же Агентство национальной кибербезопасности (ANSSI) сообщил, что Nobelium с февраля этого года осуществляет широкую фишинговую кампанию, направленную на различные иностранные организации с использованием заранее подломанных французских НКО. И обратно - французские учреждения были целями для фишинга со стороны скомпрометированных иностранных почтовых серверов.
Во-вторых, Mandiant описывают новую кибершпионскую кампанию , которую они связывают с Nobelium. Эти, правда, поумнее - они везде подчеркивают "предполагаемый" характер связи APT с Россией, а в конце отчета ставят дисклеймер об "отсутствии достаточных доказательств".
Cherche le Nobellium, пилят.
Google Cloud Blog
Suspected Russian Activity Targeting Government and Business Entities Around the Globe | Mandiant | Google Cloud Blog
Индийская IT компания Zoho предупреждает своих клиентов о новой уязвимости нулевого дня и призывает срочно обновить сервера ManageEngine, так как в настоящее время бага активно эксплуатируется злоумышленниками в атаках.
Уязвимость CVE-2021-44515, затрагивает продукт Zoho ManageEngine Desktop Central - решение для управления сетью организации и устройствами сотрудников. Масштаб угроз внушительный, так как по заявлению Zoho, продукт используется более чем в 40 тыс. крупных компаниях по всему миру. В настоящее время в сети около 3100 серверов Zoho ManageEngine Desktop Central, готовых к эксплуатации.
В рекомендациях по безопасности компания заявила, что исправила ошибку, которая позволяла хакерам обходить аутентификацию и запускать вредоносный код на серверах Desktop Central.
Пока индийский разработчик не раскрывает инциденты, связанные с использования данной ошибки, но как известно, ранее в дикой природе использовались две другие уязвимости программных компонентов Zoho, а именно в ADSelfService Plus (CVE-2021-40539) и ServiceDesk Plus (CVE-2021-44077) причем не абы кем, а Китайскими APT.
По данным Palo Alto Networks, под ударом находились несколько организаций оборонного сектора США. Считается, что целью этих атак являлся кибершпионаж и кража данных.
В настоящее время не подтверждено, что за использованием третьей уязвимости стоят одни и те же группы, но компаниям следует проявить бдительность и как можно скорее обновить свои серверы Zoho.
Уязвимость CVE-2021-44515, затрагивает продукт Zoho ManageEngine Desktop Central - решение для управления сетью организации и устройствами сотрудников. Масштаб угроз внушительный, так как по заявлению Zoho, продукт используется более чем в 40 тыс. крупных компаниях по всему миру. В настоящее время в сети около 3100 серверов Zoho ManageEngine Desktop Central, готовых к эксплуатации.
В рекомендациях по безопасности компания заявила, что исправила ошибку, которая позволяла хакерам обходить аутентификацию и запускать вредоносный код на серверах Desktop Central.
Пока индийский разработчик не раскрывает инциденты, связанные с использования данной ошибки, но как известно, ранее в дикой природе использовались две другие уязвимости программных компонентов Zoho, а именно в ADSelfService Plus (CVE-2021-40539) и ServiceDesk Plus (CVE-2021-44077) причем не абы кем, а Китайскими APT.
По данным Palo Alto Networks, под ударом находились несколько организаций оборонного сектора США. Считается, что целью этих атак являлся кибершпионаж и кража данных.
В настоящее время не подтверждено, что за использованием третьей уязвимости стоят одни и те же группы, но компаниям следует проявить бдительность и как можно скорее обновить свои серверы Zoho.