Последнее китайское предупреждение от команды Horizon3 Attack Team.

В ближайшее время исследователи намерены раскрыть технические подробности и выпустить PoC для критической CVE-2022-22972 с оценкой CVSSv3 9,8, которая затрагивает VMware Workspace ONE Access, Identity Manager и vRealize Automation, позволяя злоумышленникам обходить аутентификацию и добраться до пользователей локального домена.

Как мы уже писали, проблема была экстренно устранена VMware в прошлую среду.

В качестве тизера Horizon3 опубликовали снимок экрана с демонстрацией доступа к экземпляру VMware Workspace ONE, при том, что ни один пользователь не вошел в систему через веб-интерфейс входа.

Несмотря на отсутствие официальных отчетов об атаках с использованием уязвимости, исследователи предполагают, что хакеры скорее всего уже располагают эксплойтом и, вероятно, начали его применять на практике.

Что еще хуже, в полку ориентированных на решения VMware ransomware-групп прибавилось. Ряды LockBit и Hive пополнились новой операцией Cheers (или Cheerscrypt). Новый вирус-вымогатель на нацелен на серверы виртуализации VMware ESXi под ОС Linux.

Новый штамм ransomware обнаружили аналитики Trend Micro, отслеживая его с марта 2022 года. Ресерчеры, несмотря на отсутствие образцов, не исключают модификации вируса под ОС Windows.

Малварь срабатывает на этапе компрометации сервера VMware ESXi, автоматически составляя перечень работающих виртуальных машин и отключая их посредством команды esxcli.

В процессе шифрования вирус реализует поиск файлов со расширениями log, vmdk, vmem, vswp и vmsn, связанные с образами ESXi, с файлами журналов, файлами подкачки, и виртуальными дисками, после чего добавляет к наименованию файлов расширение Cheers и кидает в каждую папку записку о выкупе. При этом переименование происходит до шифрования.

Схема шифрования использует пару в виде открытого и закрытого ключей для получения секретного ключа (потоковое шифрование SOSEMANUK) и встраивания его в каждый зашифрованный файл. Закрытый ключ, используемый для создания секретного ключа, после чего стирается, предотвращая восстановление.

Cheers осуществляет эксфильтрацию данных во время атак и использует украденные данные в атаках с двойным вымогательством. Каждая жертва получает уникальный сайт в Tor для ведения переговоров. Кроме того, в записках о выкупе указывается единый для всех жертв URL-адрес DLS, содержащий на данные момент сведения в отношении четырех жертв.

С момента заражения у жертвы Cheers есть три дня для выхода на связь с вымогателями. В случае отказа от уплаты выкупа, украденные сведения реализуются с молотка желающим их приобрести, при отсутствии которых публикуются на сайте утечек на всеобщее обозрение.

Судя по перечисленным жертвам, в приоритете у Cheers - крупный корпоративный сегмент, способный удовлетворить большие аппетиты хакеров.

Всем нежелающим попасть в шорт-лист вымогателей или прочих АРТ рекомендуем внимательно прислушаться к рекомендациям VMware и обновить уязвимые компоненты.

День Х настал, и не говорите, что не предупреждали.

Исследователи Horizon3 сегодня опубликовали эксплойт (PoC) и технический анализ критической уязвимости CVE-2022-22972 для обхода аутентификации в vRealize Automation и получения прав администратора в продуктах VMware.

Как вы помните, большинство атак АРТ в 2021 году были связаны отнюдь не с уникальными 0-day, а основывались на эксплуатации общеизвестного набора уязвимостей, который пополнился достаточно простой в эксплуатации и эффективной CVE-2022-22972.

Похоже, что следующие посты по инцидентам с VMware будем начинать с того, что «а ведь мы предупреждали».

͏Обновления Microsoft Windows - это всегда как сериал. Настоящая Санта-Барбара бесконечной череды исправлений: патчится одно - вылетает другое, а потом сам патч нужно пропатчить. Про Defender даже и вспоминать не будем…

На этот раз накопительные обновления KB5014019 для Windows 11, Windows 10 версии 1809 и Windows Server 2022 вывели из строя решения безопасности Trend Micro, которые реализуют защиту системы, включая и от ransomware.

Проблема затрагивает драйвер User Mode Hooking (UMH) Trend Micro в компонентах Apex One 2019, Worry-Free Business Security Advanced 10.0, Apex One as a Service 2019, Deep Security 20.0, Deep Security 12.0 и Worry-Free Business Security Services 6.7.

Теперь японский разработчик ломает голову над решением проблемы, перед тем, как предварительные исправления не станут частью июньского PatchTuesday.

Конечно же, решение для возникшей проблемки стандартное: просто удалите предварительные обновления, используя команду wusa/uninstall/kb:5014022. К счастью, в отличие от обычных обновлений Windows, предварительные не являются обязательными. Установившие исправление для Windows клиенты Trend Micro могут либо временно удалить это исправление, либо получить в службе поддержки модуль отладки UMH.

Но радоваться не стоит и уж точно надеятся на PatchTuesday, по крайней мере, на июньский.

Неисповедимы горизонты угроз безопасности, особенно когда об уязвимости в серверном оборудовании известно почти 2 года и каждый седьмой сервер на планете принадлежит ее производителю.

Речь идет о серверах, созданных Quanta Cloud Technology (QCT) и подвержены эти сервера уязвимости контроллера управления основной платой (BMC), известной как CVE-2019-6260 или Pantsdown (оценка CVSS: 9,8).

Контроллер управления основной платой — это специализированная система, используемая для удаленного мониторинга и управления серверами, включая управление низкоуровневыми настройками оборудования, а также установку обновлений прошивки и программного обеспечения.

Как говорят специалисты компании Eclypsium злоумышленник, запускающий код на уязвимом сервере QCT, может мигрировать с хоста сервера на BMC и реализовать атаки на сеть управления сервером, а также получить дополнительные разрешения для других BMC в сети и тем самым скомпрометировать доступ к другим серверам. В общем у злоумышленника флеш-рояль по реализациям векторов атаки от банального выключения сервера, до ransomware.

Для проверки концепции в компании разработали эксплойт и наглядно показали, как злоумышленник с удаленным доступом к операционной системе может использовать уязвимость для выполнения произвольного кода в BMC целевого сервера.

Уязвимость, подробности которой были раскрыты еще в начале 2019 года, затрагивает аппаратное и микропрограммное обеспечение ASPEED ast2400 и ast2500 BMC, реализующие мосты Advanced High-performance Bus, которые в свою очередь обеспечивают доступ для чтения и записи к физическому адресному пространству BMC.

Тогда же, несколько крупных производителей выпустили бюллетени для информирования своих клиентов о критической уязвимости, включая Supermicro, IBM, HP и Gigabyte. Но в прошлом году Eclypsium снова сообщила, что серверы QCT по-прежнему подвержены уязвимости Pantsdown, а для справки решения QCT используются в центрах обработки данных таких крупных компаний как Facebook и Rackspace.

Самое интересное, что патч доступен не для всех, так как поставщик сообщил Eclypsium, что новая прошивка, устраняющая эту уязвимость не будет обнародована и будет доступна для клиентов в частном порядке. В данной связи неясно, сколько клиентов на самом деле установили исправления.

Интересное продолжение получила описанная нами история с компрометацией популярных библиотек CTX и PHPass, в результате которой пакеты были дополнены вредоносным кодом для кражи учетных данных AWS разработчика через конечную точку Heroku.

Резонансность инцидента заставила актора признаться и пролить свет на причины взлома, заявить о том, что это был этичный хак, без злонамеренного умысла, по факту - проверка концепции (PoC) в расчёте на вознаграждение за обнаруженную ошибку. Актором выступил ресерчер из Стамбула Юнус Айдын, также известный как SockPuppets.

Хакер зарегистрировал аккаунт первоначального сопровождающего библиотеки на свое имя, однако привязанный к аккаунту адрес электронной почты Леджера остался тем же. Кроме того, веб-страница Heroku также вела к исследователю.

Однако не все наблюдавшие за инцидентом поверили в показания ресерчера, ведь, как правило, в большинстве программ PoC и Bug Bounty, нацеленных на библиотеки с открытым исходным кодом, используется упрощенный код, который вместо кражи переменных сред разработчика и учетных данных AWS, выдает сообщение «вас взломали!» в целевой системе или собирает общую инфу о системе, будь то IP-адрес пользователя, имя хоста или рабочий каталог.

Тем не менее, со слов Айдына, в HackerOne был отправлен соответствующий отчет, но он был отклонен.

Настораживает другое: сразу после хака Айдын решил потерпеть следу своего пребывания в сети, прикрыв свой сайт (виден из архива), а также профиль на BugCrowd. Он объяснил это тем, что это бесплатный веб-хостинг с дневным лимитом посещений, поэтому  000webhost закрыл его из-за большого трафика.

Хакер пояснил схему взлома, которая совпала с представленными первоначальными выводами. Исследователь использовал бота для обхода различных реестров с открытым исходным кодом и извлечения адреса электронной почты сопровождающего, указанного для каждого из пакетов в реестрах.

Пакет ctx изначально был опубликован в реестре PyPI с использованием адреса электронной почты figlief@figlief.com. После регистрации уже доступного доменного имени figlief.com и повторного создания адреса электронной почты сопровождающего исследователь успешно инициировал сброс пароля в PyPI для проекта ctx.

Таким образом, он смог снова войти в учетную запись сопровождающего PyPI для пакета ctx и опубликовать измененные версии. Благодаря этому исследованию, Айдын получил 1000 переменных среды через свое веб-приложение Heroku. Однако большая часть из них была сгенерированными фейками для обвала Heroku хакера.

Как бы ни было на самом деле, проблема скажем так, давно известна. Исследование Microsoft совместно с в 2021 году и исследователями из Университета штата Северная Каролина, показало, что тысячи проектов JavaScript в npm имели «просроченный» адрес почты сопровождающего. Будем полагать, что выводы актуальны и до сих пор.

Крупнейший ресурс о кибербезопасности в три раза дешевле: 3000₱ вместо 9900₽ ещё два дня!
 
XAKEP.RU доверяют 130 000 ИТ-специалистов, и не просто так. В их базе 66 000 обучающих технических материалов!  Чтобы быть в курсе и разбираться в теме кибербезопасности, ИТ-спецу просто необходима подписка на XAKEP.RU!
А сейчас у них еще и огромная скидка!
 
Подробно о подписке: https://xakep.ru/about-magazine/

WSL (Windows для Linux) набирает популярность среди хакеров с различным уровнем технических навыков. WSL позволяет запускать двоичные линексовые файлы в среде Windows, эмулирующей ядро Linux.

Black Lotus Labs сообщили о новом типе угроз в сентябре 2021 года, впервые обнаружив вредоносные бинарные файлы Linux для WSL. С тех пор их количество значительно возросло: ресерчерам удалось отследить более 100 таких образцов.

Обнаруженные Black Lotus Labs недавние образцы вредоносных ПО на основе WSL основаны на открытом исходном коде, и несмотря на это имеют низкие показатели обнаружения. Согласно наблюдениям Black Lotus Labs, один из образцов детектировался лишь двумя антивирусными решениями в Virus Total в качестве вредоносного.

Причем более совершенные образцы содержат шпионский функционал, позволяют загружать дополнительные вредоносные модули, реализуют связь через Telegram, предоставляя злоумышленникам удаленный доступ к скомпрометированной системе. По крайней мере, 2 образца могли функционировать как средство удаленного доступа (RAT) или устанавливать reverse shell на зараженном хосте.

Один из выявленных образцов включал инструмент удаленного администрирования Windows через Telegram-бот под названием RAT-via-Telegram-Bot, который имел функционал кражи файлов аутентификации cookie из веб-браузеров Google Chrome и Opera, запуска команд или загрузки файлов. Малварь распространяется с токеном живого бота и идентификатором чата, что указывает на активный характер его использования.

Кроме того, дополнительные функции позволяет оператору создавать снимки экрана, собирать информации о пользователе и системе (имя пользователя, IP-адрес, версия ОС), обеспечивая ему проводить разведку для последующих этапов атаки.

Другой обнаруженный образец вредоносного ПО на основе WSL реализовывал функционал обратной TCP-оболочки на зараженной машине для обеспечения связи с злоумышленником. Малварь использует IP-адрес из Amazon Web Services, принадлежавший нескольким организациям. Главной особенностью этого образца было всплывающее сообщение на турецком языке «Вы облажались, и вы мало что можете сделать».

Глядя на эволюцию вредоносных программ на основе WSL, специалисты Black Lotus Labs отмечает их возросшую эффективность, наличие активной инфраструктуры управления и контроля, а главное крайне низкий уровень обнаружения средствами защиты.

По всей видимости, в ближайшей перспективе WSL станет полигоном для разработки более совершенных штаммов, в том числе в интересах АРТ и более продвинутых преступных кибергрупп.

Исследователи NCC Group предупреждают о возвращений банды вымогателей Clop, которая оставалась оффлайн с ноября 2021 по февраль 2022 года.

После возрождения бренда, Clop вышли в лидеры рынка ransomware, сумев с марта по апреля подняться на 4 место в рейтинге NCC Group, хакнув 21 жертву, чьи данные размещены на сайте DLS вымогателей. Среди основных жертв - объекты промышленного сектора (45% атак) и технологические компании (27%).

Опередить Lockbit 2.0 (103 жертвы) или Conti (45 жертв) у группы вряд ли получится в ближайшее время, но вернуть себе былую репутацию, считайте, уже вернули.

Несмотря на то, что часть представленных жертв являются результатом новых атак, ресерчеры склоняются к мнению о том, что возрождение Clop отрабатывается по сценарию Conti и приведет к закрытию бренда. В данном случае хакеры пополнят DLS сведениями всех своих жертв. Либо мы увидим подтверждения новых атак в заявлениях пострадавших от недавних инцидентов компаний.

Затишье в истории Clop связывается с тем, что часть ее инфраструктуры была отключена в июне 2021 года после международной операции Operation Cyclone, координируемой Интерполом. В результате мероприятий на територии Киевской области 6 участников из числа операторов Clop были задержаны и арестованы.

Теперь же после объявленной на Украине амнистии на свободу вышли, походе на то, и представители Clop. Только вместо поездки на изюмский фронт или турне по окрестностям Мариуполя, хакеры решили взяться за старое.

Эксперты рассказали об уязвимости нулевого дня в WebAssembly и движке JavaScript V8, которую без лишнего шума исправили в браузерах Google Chrome и Chromium.

А проблема была связана с использованием use-after-free в компоненте оптимизации команд. Успешная эксплуатация уязвимости позволяла злоумышленнику выполнить произвольный код в контексте браузера.

О проблеме сообщил исследователь из сингапурской компании по кибербезопасности Numen Cyber Вейбо Ванг, который пояснил, что уязвимость происходит на этапе выбора инструкций и когда выбирается неправильная команда, то она приводит к исключению при доступе к памяти. Использование уязвимости при доступе к ранее освобожденной памяти может привести к сбою программы и возможности использовать поврежденные данные или запускать произвольный код.

Самое тревожное то, что специально созданный веб-сайт может удаленно использовать уязвимость, чтобы обойти ограничения безопасности и выполнить произвольный код для взлома системы.

Компания пока не раскрывает информацию об уязвимости, чтобы предоставить возможность как можно большему количеству пользователей загрузить исправленную версию.

Это не первый раз когда в Chrome были выявлены уязвимости "использования после освобождения". Для справки 7 таких ошибок браузера были исправлены Google в 2021 году, причем после того, как их использовали в реальных атаках.

Чтобы обеспечить совместимость своих приложений с последними функциями Chrome и изменениями API, пользователям браузера, особенно разработчикам, следует выполнить обновление до последней доступной версии.

Владельцы ransomware идут по проторенной дорожке наркокартелей и начинают примерять на себя маску Робина Гуда.

Напомним, что классический герой отбирал деньги у богатых и раздавал их бедным. До сих пор стоящие за вымогателями хакерские группы преимущественно деньги отбирали. И вот, они начали делать вид, что их раздают.

Исследователи из CloudSEK сообщают о новой ranspmware GoodWill, владельцы которой заставляют своих жертв заниматься благотворительностью в качестве выкупа, оказывая финансовую помощь нуждающимся и пожертвования на социальные нужды.

Они прямо заявляют, что заинтересованы в «помощи менее удачливым, а не в вымогательстве у жертв по финансовым мотивам», выдвигая мягко скажем необычные требования в обмен на ключ дешифрования

Ransomware, написанная на .NET, была впервые идентифицирована базирующейся в марте 2022 года.

Вредоносное ПО реализует алгоритм шифрования AES, находясь в неактивном состоянии в течение 722,45 секунд для сокрытия от динамического анализа. После завершения шифрования выводится длинная записка с требованиями выполнить три социально ориентированных действия в обмен на дешифратор.

Среди требований: покупка одежды и одеял бездомным, организация детям из малообеспеченных семей в поездки в Domino's Pizza, Pizza Hut или KFC, а также оказание финансовой поддержки пациентам, которые нуждаются в срочной медицинской помощи, но не имеют на это собственных средств.

Все эти действия должны быть зафиксированы жертвами вымогательства в виде скринов, селфи и видеороликов на страницах соцсетей (Facebook или Instagram) в качестве доказательств.

К настоящему времени ресерчеры еще работают над составлением точного списка жертв и изучением TTP GoodWill. Удалось выяснить лишь то, что владельцы из Индии и говорят на хинди, а образец ransomware имеет значительное совпадение с другим штаммом на базе Windows под названием HiddenTear, исходный код которой был открыт в качестве PoC еще в 2015 году турецким программистом. Предположительно, благодаря этому владельцы GoodWill смогли накодить новую программу-вымогатель.

Все бы ничего, но мы то помним, как в Робина Гуда начинали играть в свою бытность владельцы Darkside. К чему это привело - тоже помним. Но, как говориться, будем посмотреть.

Независимая группа исследователей nao_sec раскрыла новый 0-day в Microsoft Office, который используется в атаках выполнения произвольного кода в уязвимых системах Windows и получил наименование Follina.

Обнаруженный исследователями вредоносный документ Word («05-2022-0438.doc») был загружен на VirusTotal с IP-адреса Беларуси.

Уязвимость работает без повышенных привилегий, обходит обнаружение Защитника Windows и не требует включения макрокода для выполнения двоичных файлов или сценариев.

Фишка заключается в том, что используя функцию удаленного шаблона Word для загрузки HTML, злоумышленник может реализовать схему ms-msdt для выполнения кода PowerShell. MSDT — это утилита Microsoft Support Diagnostics Tool, которая служит для сбора диагностических данных и устранения неполадок специалистами службы поддержки при решении тех или иных проблем.
 
Известный в инфосек ресерчер Кевин Бомонт после изучения вредоносного документа пришел к выводу, что главной проблемой в схеме с использованием функций удаленного шаблона Word для получения HTML-файла с удаленного веб-сервера и последующей загрузки кода посредством ms-msdt MSProtocol является его выполнение через инструмент поддержки даже в том случае, когда макросы отключены.
 
Кроме того, если документ будет переформатирован в RTF это произойдет без его открытия (через вкладку предварительного просмотра в проводнике Windows), не говоря уже о защищенном просмотре, фактически - в режиме «эксплуатации без щелчка».
 
Huntress Labs провели отдельное исследование документа, а NCC Group успешно воспроизвели эксплойт для некоторых версий Microsoft Office и подробно описали ход атаки, отметив, что запускающий эксплойт HTML-файл («RDF842l.html») более недоступен с домена «xmlformats[.]com». К настоящему времени проблема затрагивает Office, Office 2016 и Office 2021.

В зависимости от полезной нагрузки злоумышленник может использовать этот эксплойт для доступа к удаленным хостам в сети жертвы, позволяя злоумышленнику собрать хэши паролей целевых Windows-машин.

Чтобы обнаружить атаку с таким вектором, необходимо отследить процессы в системе, поскольку полезная нагрузка Follina создает дочерний msdt.exe в родительском Microsoft Office. Кроме того, процесс sdiagnhost.exe будет инициирован дочерним conhost.exe и его последующими процессами полезной нагрузки.

Компаниям рекомендуется активировать блокировку все приложений Office в контексте создания дочерних процессов, чтобы пресечь Follina. Перед использованием ASR рекомендуется прежде запустить правило в режиме аудита и отследить результаты. Также возможно деактивировать сопоставление типов файлов для ms-msdt.

А теперь и соль и боль. Follina, согласно данным ресерчеров, была обнаружена и передана в Microsoft в апреле, однако разработчики отклонили сообщение как не относящуюся к безопасности проблему, даже пометив ее как VULN-065524 и надлежащим образом отрапортовав о ее закрытии.

И даже после публичного порицания микромягкие продолжают отмалчиваться.

Империя наносит ответный удар, правда непонятно в какую сторону.

После всеобщего негодования Microsoft все же присвоили уязвимости Follina идентификатор CVE-2022-30190, оценив ее на 7,8 из 10 по CVSS. Официально уязвимыми версиями признаны Microsoft Office Office 2013, Office 2016, Office 2019 и Office 2021, а также выпуски Professional Plus.

Разработчики подготовили и опубликовали дополнительные рекомендации (здесь), включая обходные пути по отключению протокола URL-адресов MSDT с помощью модификации реестра Windows, что обеспечивает открытие Microsoft Office документов из Интернета в режиме защищенного просмотра или Application Guard для Office по умолчанию.

Первые признаки эксплуатации уязвимости в реальности датируются 12 апреля 2022 года, когда в базу вредоносных программ был загружен второй образец, который был заточен под российского клиента, о чем свидетельствует наименование приглашение на интервью.doc в эфир радио Sputnik.

Но все это никак не меняет того, что Microsoft ещё 21 апреля закрыла отчет со ссылкой на то, что проблема была (вовсе не проблема) устранена и не относится к вопросам безопасности.

Впрочем чему удивляться.

Очередная реализация Интерпола по поимке нигерийских хакеров. Снова Интерпол, снова три нигерийца в Лагосе и снова Tesla RAT. Только операция называется Killer Bee, а не Falcon, как когда-то.

На этот раз Интерпол арестовал троих нигерийцев, подозреваемых в использовании Agent Tesla RAT для перенаправления финансовых транзакций и кражи конфиденциальных данных из корпоративных организаций. Полиция обнаружила у подозреваемых в возрасте от 31 до 38 лет поддельные документы, в том числе счета-фактуры и "официальные" письма.

В список пострадавших входят нефтегазовые компании Юго-Восточной Азии, Ближнего Востока и Северной Африки.

Агент Tesla штука не новая и впервые была обнаружена в конце 2014 года, но чрезвычайно популярный троян удаленного доступа, используемый злоумышленниками для кражи разного рода информации от учетных данных и нажатий клавиш до данных буфера обмена и других конфиденциальных сведений.

Троян стабильный, гибкий и функциональный и дабы не изобретать велосипед, за определенную копейку его можно взять в аренду в приватах хакерских форумов.

На самом деле операция была масштабная, так как в реализации Killer Bee участвовали штаб-квартира Генерального секретариата Интерпола, национальное центральные бюро (НЦБ) и правоохранительные органы из 11 стран Юго-Восточной Азии.

Один из мошенников, Хендрикс Оморуме, был обвинен и осужден по трем пунктам обвинения в серьезном финансовом мошенничестве, по двум другим мужчинам все еще ведется судебный процесс.

Также на прошлой неделе Интерпол, полиция Нигерии при поддержке инфосек компаний Group-IB, Palo Alto Networks Unit 42 и Trend Micro идентифицировали 37-летнего нигерийца, который, как полагают, является одним из лидеров киберпреступной группировки SilverTerrier.

͏И завершающий на сегодня пост из серии (раз и два) про свежую RCE-уязвимость Follina в Microsoft Office, которую мелкомягкие не хотели признавать и закрывать в течение полутора месяцев. Рисующий, так сказать, до боли знакомую картину.

Но сначала взглянем в прошлое, в весну 2017 года (читайте внимательнее, логическая цепочка состоит из многих звеньев).

Тогда произошла утечка Lost in Translation, организованная таинственными хактивистами (скорее всего, все-таки, коммерчески ориентированными) Shadow Brokers, в ходе которой была слита куча данных американской хакерской группы Equation, работающей на Управление по компьютерным сетевым операциям АНБ США (в 2017 году - Tailored Access Operations).

В числе прочего Lost in Translation содержала данные боевых эксплойтов американских правительственных хакеров - к примеру, EternalBlue и бэкдор DoublePulsar, использованные в последующем в ransomware WannaCry.

В 2020 году исследователи из словацкой ESET обнаружили поразительное сходство в коде одного из инструментов, использованного в 2018 году в атаке на разработчика компьютерных игр из Тайланда, приписываемой китайской APT Winnti, с аналогичным кодом из утечки Lost in Translation. Предполагалось, что китайцы использовали слитые наработки АНБ.

А зимой 2021 года исследователи из израильской компании Check Point обнаружили, что эксплойт Jian, использовавшийся другой китайской APT 31 aka Zirconium, является ни чем иным как клоном принадлежащего АНБ эксплойта EpMe, который утек в составе Lost in Translation. Более того, EpMe активно использовался (понятно кем) в период с 2014 по 2017 годы, задолго до китайцев.

Но самое интересное не это - кроме эксплойта EpMe в Lost in Translation был еще и эксплойт EpMo, который также использовал уязвимость в Windows, приводящую к повышению привилегий. Так вот этой уязвимости не было даже присвоено CVE, а Microsoft втихаря устранили ее вскоре после утечки.

Ничего не напоминает?

Шаг 1. Слитую в 2017 году уязвимость, которую активно использовало в своих атаках АНБ, Microsoft устраняет по-тихому, не присваивая ей плашку CVE.

Шаг 2. В апреле 2022 года Microsoft получает данные о критической RCE-уязвимости, но не присваивает ей CVE и не закрывает. Параллельно происходят атаки с использованием этой уязвимости, ориентированные на русскоязычные цели. В конце мая под давлением сообщества Microsoft вынуждена признать наличие дырки.

Можно с очень большой долей вероятности утверждать, что АНБ либо сотрудничающие с ней организации использовали вшитую в Office уязвимость в атаках на российские ресурсы, а Microsoft их в этом прикрывало.

Прелестно, просто прелестно.

Пока в Индии пытаются преодолеть последствия недавнего инцидента с ransomware, турецкая авиакомпания Pegasus Airlines непроизвольно сама создала себе проблемы, допустив утечку 6,5 ТБ конфиденциальных сведений.

Турецкая авиакомпания основана в 1990 году и специализируется на недорогих внутренних и международных рейсах. Штаб-квартира Pegasus располагается в Стамбуле, а выручка за 2021 году составила 620 миллионов долларов США.

Криво сконфигурированную AWS 28 февраля обнаружили специалисты SafetyDetectives, которым удалось выяснить, что утечка включала почти 23 миллиона файлов. Более трех млн. из них содержали полетные карты и заметки к ним, страховые документы, результаты предполетных проверок и сведения о составе смены экипажа. Порядка 1,6 млн. файлов представляли собой личную информацию (PII) экипажа авиакомпании, включая фотографии и подписи.

Кроме того, в общий доступ попал исходный код специализированного ПО Electronic Flight Bag (EFB), включая незашифрованные пароли и ключи доступа к нему, что помимо угроз конфиденциальности несет в себе достаточно серьезную проблему, открывая злоумышленникам доступ к крайне чувствительной секретной информации.

Потенциальный хакер в таких условиях потенциально смог бы подредактировать полетные данные и локнуть доступ к критически важной информации EFB, подвергнув риску жизни пассажиров и членов экипажа, а совокупный анализ всех представленных материалов мог быть использован для обхода системы безопасности аэропорта и самой компании.

Исследовательская группа SafetyDetectives не заметила никаких признаков возможной компрометации AWS, но это никак не оправдывает того, что после информирования на следующий день после обнаружения бреши у администрации Pegasus Airlines ушло почти целых три недели для того, чтобы должным образом настроить сервер. Зато сразу становятся понятны причины инцидента.

А учитывая, что файлы PegasusEFB в AWS датированы 19 июля 2019 года, по поводу сохранности информации - все же стоит задуматься, все равно 183 тысячи долларов штрафа придётся заплатить.

Это, безусловно, лучшее, что мы видели на тему коллапса волновой функции.

Что, анон, ты не знаешь что такое коллапс волновой функции? Тогда срочно учить квантовую физику - а потом назад в инфосек.

Бедные костариканцы вздрагивают, когда слышат новости о ransomware. Какая-то не прекращающаяся волна компьютерных атак обрушилась на омываемую Карибским морем и Тихим океаном страну.

В этот раз очередная попытка взлома компьютерной системы государственного агентства Коста-Рики привела к тому, что во вторник агентство общественного здравоохранения страны отключило свои системы, что в свою очередь значительно усложнило медицинское обслуживание тысяч людей.

По данным правительства, по меньшей мере 30 из 1500 серверов агентства социального обеспечения были заражены программами-вымогателями и дабы прекратить эскалацию атаки было принято решение ограничить доступ через shutdown.
 
Как мы помним, за последней атакой стояла Conti. Тогда в апреле под раздачу попало несколько правительственных учреждений Коста-Рики, особенно министерство финансов, которое до сих пор не восстановило контроль над некоторыми из своих систем.

После прикрытия бренда Conti инициативу в свои руки взяла другую не менее известная банда вымогателей Hive. Этакий рабочий тандем получился, как считают некоторые аналитики и специалисты из Emsisoft.

Президент агентства социального обеспечения Альваро Рамос заявил, что быстрое отключение их систем помешало киберпреступникам получить контроль и зашифровать данные и платить из казны хакерам не придется. Однако позже на портале Hive, который используется для переговоров со своими целями заявили обратное - «Чтобы расшифровать ваши системы, вы должны заплатить 5 000 000 долларов в биткойнах».

Со слов генерального директора агентства социального обеспечения Роберто Сервантеса над проблемой работают около 300 экспертов и фонд заработной платы и пенсии не пострадал, а вот костариканцам, которые зависят от системы общественного здравоохранения пришлось столкнуться с путаницей и беспорядком в попытках записаться и посетить врача.

По данным министерства здравоохранения, отключение систем также помешало правительству обновить сведения о заражении COVID-19 и издавать соответствующие приказы об изоляции на фоне новой волны инфекций.

В целом же ожидается, что системы будут восстановлены в ближайшие дни и кампания по вакцинации против COVID-19 в стране продолжится в штатном режиме.

͏Shadowserver Foundation завершили исследование и поделились его неутешительными результатами, согласно которым в сети Интернет обнаружено 2,22 млн. (IPv4) и 1,42 млн. (IPv6) серверов MySQL с доступной поверхностью атак по порту 3306/TCP.

При этом общее число серверов в результате сканирования составило примерно 5,4 млн.: по IPv4 - 4 млн., по по IPv6 - 1,4 млн.

Больше всего незащищенных серверов MySQL IPv4 выявлено в США и составило более 740 тыс., далее следует Китай с 300 тыс. и Германия, где отстукиваются примерно 175 тыс. В России, Японии и Индии число таких серверов варьируется в пределах 45-48 тыс. Немного иначе выглядит картина с MySQL IPv6: США также лидируют и насчитывают около 461 тыс., за ними следуют Нидерланды (более 296 тыс.) и Сингапур (218 тыс.).

Несмотря на то, что веб-службы и приложения подключаются к удаленным базам данных, MySQL обеспечивать подключения для только авторизованных устройств. Доступ к общедоступному серверу всегда должен сопровождаться строгими пользовательскими политиками, изменением порта по умолчанию (3306), двоичным ведением журнала, мониторингом запросов и принудительным шифрованием.

Исследователи не проводили оценку уровня доступа или уязвимостей конкретных баз данных, но в целом доступные внешние подключения представляют потенциальную поверхность атаки, которой следует избегать при любых условиях, отфильтровывая трафик к своим MySQL и обеспечивая надлежащую аутентификацию.

Администраторам рекомендуется постоянно применять выпускаемые Oracle обновления для свои экземпляров MySQL, в последнем из которых исправлено 520 проблем с безопасностью, 300 из которых можно использовать удаленно, в том числе 3 с оценкой CVSS 10 и более 40 с CVSS от 8 до 9.

Игнорирование надлежащих мер защиты серверов MySQL может к катастрофическим утечкам, разрушительным атакам, вымогательству, заражению RAT, как это было в 2020 году, когда в результате атак ransomware было скомпрометировано более 250 тыс. и взломано более 83 000 жертв.

Исследователи Check Point расчехлили последние образцы новых версий XLoader 2.5 и 2.6, которые оказались заряжены важным функционалом, затрудняющим отслеживание и идентификацию вредоносной ПО.

Предназначенный для кражи информации и задетектированный в январе 2021 года кросс-платформенный ботнет XLoader изначально базировался на Formbook и нацелен на ОС Windows и macOS. Впервые он поступил в широкое распространение в январе 2021 года.

Новая версия использует основы теории вероятности для сокрытия С2, что придают малварю значительную стабильность в работе, а операторы получают возможность использовать инфраструктуру без риска утраты узлов, избегая блокировок раскрытых IP-адресов.

Подобная система маскировки фактических серверов управления и контроля (C2) была заложена в версии 2.3, скрывая реальное доменное имя в конфигурации, включающей 63 ложных значения.

Но в последних версиях аналитики Check Point установили, что вредоносное ПО производит перезапись 8 значений из списка случайно выбранных доменов из списке конфигурации, включающего 64 значения, новыми при каждой иттерации установления связи.

Получается, что если реальный C2-домен находится во второй части списка, то XLoader однократно обращается к нему в каждом цикле в 80-90 секунд. Появляясь в первой части списка, значение будет перезаписано другим случайным доменным именем.

Восемь доменов, которые перезаписывают первую часть списка, отбираются случайным образом, и настоящий домен C2 может быть одним из них, формируя вероятность 7/64 или 1/8 обращения к реальному серверу на следующем цикле в зависимости от расположения подставного домена.

Check Point заметили, что в XLoader 2.6 новая обфускация C2 не поддерживается для 64-битной версии полезной нагрузки, в которой малварь каждый раз связывается с реальным доменом C2, что объясняется высоким распространением 32-разрядных систем в песочницах применяемых для анализа виртуальных машин.

В целом, новая техника помогает надежно спрятать реальные C2 от обнаружения ресерчерами, которым потребуется больше времени для тестов и попыток эмуляций, чтобы гарантированно идентифицировать фактический адрес, что также значительно снижает эффективность всех автоматизированных сценариев.

С другой стороны, вряд ли операторы будут выжидать часами в ожидании связи с C2 после заражения. Но будем посмотреть.