Неисповедимы горизонты угроз безопасности, особенно когда об уязвимости в серверном оборудовании известно почти 2 года и каждый седьмой сервер на планете принадлежит ее производителю.

Речь идет о серверах, созданных Quanta Cloud Technology (QCT) и подвержены эти сервера уязвимости контроллера управления основной платой (BMC), известной как CVE-2019-6260 или Pantsdown (оценка CVSS: 9,8).

Контроллер управления основной платой — это специализированная система, используемая для удаленного мониторинга и управления серверами, включая управление низкоуровневыми настройками оборудования, а также установку обновлений прошивки и программного обеспечения.

Как говорят специалисты компании Eclypsium злоумышленник, запускающий код на уязвимом сервере QCT, может мигрировать с хоста сервера на BMC и реализовать атаки на сеть управления сервером, а также получить дополнительные разрешения для других BMC в сети и тем самым скомпрометировать доступ к другим серверам. В общем у злоумышленника флеш-рояль по реализациям векторов атаки от банального выключения сервера, до ransomware.

Для проверки концепции в компании разработали эксплойт и наглядно показали, как злоумышленник с удаленным доступом к операционной системе может использовать уязвимость для выполнения произвольного кода в BMC целевого сервера.

Уязвимость, подробности которой были раскрыты еще в начале 2019 года, затрагивает аппаратное и микропрограммное обеспечение ASPEED ast2400 и ast2500 BMC, реализующие мосты Advanced High-performance Bus, которые в свою очередь обеспечивают доступ для чтения и записи к физическому адресному пространству BMC.

Тогда же, несколько крупных производителей выпустили бюллетени для информирования своих клиентов о критической уязвимости, включая Supermicro, IBM, HP и Gigabyte. Но в прошлом году Eclypsium снова сообщила, что серверы QCT по-прежнему подвержены уязвимости Pantsdown, а для справки решения QCT используются в центрах обработки данных таких крупных компаний как Facebook и Rackspace.

Самое интересное, что патч доступен не для всех, так как поставщик сообщил Eclypsium, что новая прошивка, устраняющая эту уязвимость не будет обнародована и будет доступна для клиентов в частном порядке. В данной связи неясно, сколько клиентов на самом деле установили исправления.

Интересное продолжение получила описанная нами история с компрометацией популярных библиотек CTX и PHPass, в результате которой пакеты были дополнены вредоносным кодом для кражи учетных данных AWS разработчика через конечную точку Heroku.

Резонансность инцидента заставила актора признаться и пролить свет на причины взлома, заявить о том, что это был этичный хак, без злонамеренного умысла, по факту - проверка концепции (PoC) в расчёте на вознаграждение за обнаруженную ошибку. Актором выступил ресерчер из Стамбула Юнус Айдын, также известный как SockPuppets.

Хакер зарегистрировал аккаунт первоначального сопровождающего библиотеки на свое имя, однако привязанный к аккаунту адрес электронной почты Леджера остался тем же. Кроме того, веб-страница Heroku также вела к исследователю.

Однако не все наблюдавшие за инцидентом поверили в показания ресерчера, ведь, как правило, в большинстве программ PoC и Bug Bounty, нацеленных на библиотеки с открытым исходным кодом, используется упрощенный код, который вместо кражи переменных сред разработчика и учетных данных AWS, выдает сообщение «вас взломали!» в целевой системе или собирает общую инфу о системе, будь то IP-адрес пользователя, имя хоста или рабочий каталог.

Тем не менее, со слов Айдына, в HackerOne был отправлен соответствующий отчет, но он был отклонен.

Настораживает другое: сразу после хака Айдын решил потерпеть следу своего пребывания в сети, прикрыв свой сайт (виден из архива), а также профиль на BugCrowd. Он объяснил это тем, что это бесплатный веб-хостинг с дневным лимитом посещений, поэтому  000webhost закрыл его из-за большого трафика.

Хакер пояснил схему взлома, которая совпала с представленными первоначальными выводами. Исследователь использовал бота для обхода различных реестров с открытым исходным кодом и извлечения адреса электронной почты сопровождающего, указанного для каждого из пакетов в реестрах.

Пакет ctx изначально был опубликован в реестре PyPI с использованием адреса электронной почты figlief@figlief.com. После регистрации уже доступного доменного имени figlief.com и повторного создания адреса электронной почты сопровождающего исследователь успешно инициировал сброс пароля в PyPI для проекта ctx.

Таким образом, он смог снова войти в учетную запись сопровождающего PyPI для пакета ctx и опубликовать измененные версии. Благодаря этому исследованию, Айдын получил 1000 переменных среды через свое веб-приложение Heroku. Однако большая часть из них была сгенерированными фейками для обвала Heroku хакера.

Как бы ни было на самом деле, проблема скажем так, давно известна. Исследование Microsoft совместно с в 2021 году и исследователями из Университета штата Северная Каролина, показало, что тысячи проектов JavaScript в npm имели «просроченный» адрес почты сопровождающего. Будем полагать, что выводы актуальны и до сих пор.

Крупнейший ресурс о кибербезопасности в три раза дешевле: 3000₱ вместо 9900₽ ещё два дня!
 
XAKEP.RU доверяют 130 000 ИТ-специалистов, и не просто так. В их базе 66 000 обучающих технических материалов!  Чтобы быть в курсе и разбираться в теме кибербезопасности, ИТ-спецу просто необходима подписка на XAKEP.RU!
А сейчас у них еще и огромная скидка!
 
Подробно о подписке: https://xakep.ru/about-magazine/

WSL (Windows для Linux) набирает популярность среди хакеров с различным уровнем технических навыков. WSL позволяет запускать двоичные линексовые файлы в среде Windows, эмулирующей ядро Linux.

Black Lotus Labs сообщили о новом типе угроз в сентябре 2021 года, впервые обнаружив вредоносные бинарные файлы Linux для WSL. С тех пор их количество значительно возросло: ресерчерам удалось отследить более 100 таких образцов.

Обнаруженные Black Lotus Labs недавние образцы вредоносных ПО на основе WSL основаны на открытом исходном коде, и несмотря на это имеют низкие показатели обнаружения. Согласно наблюдениям Black Lotus Labs, один из образцов детектировался лишь двумя антивирусными решениями в Virus Total в качестве вредоносного.

Причем более совершенные образцы содержат шпионский функционал, позволяют загружать дополнительные вредоносные модули, реализуют связь через Telegram, предоставляя злоумышленникам удаленный доступ к скомпрометированной системе. По крайней мере, 2 образца могли функционировать как средство удаленного доступа (RAT) или устанавливать reverse shell на зараженном хосте.

Один из выявленных образцов включал инструмент удаленного администрирования Windows через Telegram-бот под названием RAT-via-Telegram-Bot, который имел функционал кражи файлов аутентификации cookie из веб-браузеров Google Chrome и Opera, запуска команд или загрузки файлов. Малварь распространяется с токеном живого бота и идентификатором чата, что указывает на активный характер его использования.

Кроме того, дополнительные функции позволяет оператору создавать снимки экрана, собирать информации о пользователе и системе (имя пользователя, IP-адрес, версия ОС), обеспечивая ему проводить разведку для последующих этапов атаки.

Другой обнаруженный образец вредоносного ПО на основе WSL реализовывал функционал обратной TCP-оболочки на зараженной машине для обеспечения связи с злоумышленником. Малварь использует IP-адрес из Amazon Web Services, принадлежавший нескольким организациям. Главной особенностью этого образца было всплывающее сообщение на турецком языке «Вы облажались, и вы мало что можете сделать».

Глядя на эволюцию вредоносных программ на основе WSL, специалисты Black Lotus Labs отмечает их возросшую эффективность, наличие активной инфраструктуры управления и контроля, а главное крайне низкий уровень обнаружения средствами защиты.

По всей видимости, в ближайшей перспективе WSL станет полигоном для разработки более совершенных штаммов, в том числе в интересах АРТ и более продвинутых преступных кибергрупп.

Исследователи NCC Group предупреждают о возвращений банды вымогателей Clop, которая оставалась оффлайн с ноября 2021 по февраль 2022 года.

После возрождения бренда, Clop вышли в лидеры рынка ransomware, сумев с марта по апреля подняться на 4 место в рейтинге NCC Group, хакнув 21 жертву, чьи данные размещены на сайте DLS вымогателей. Среди основных жертв - объекты промышленного сектора (45% атак) и технологические компании (27%).

Опередить Lockbit 2.0 (103 жертвы) или Conti (45 жертв) у группы вряд ли получится в ближайшее время, но вернуть себе былую репутацию, считайте, уже вернули.

Несмотря на то, что часть представленных жертв являются результатом новых атак, ресерчеры склоняются к мнению о том, что возрождение Clop отрабатывается по сценарию Conti и приведет к закрытию бренда. В данном случае хакеры пополнят DLS сведениями всех своих жертв. Либо мы увидим подтверждения новых атак в заявлениях пострадавших от недавних инцидентов компаний.

Затишье в истории Clop связывается с тем, что часть ее инфраструктуры была отключена в июне 2021 года после международной операции Operation Cyclone, координируемой Интерполом. В результате мероприятий на територии Киевской области 6 участников из числа операторов Clop были задержаны и арестованы.

Теперь же после объявленной на Украине амнистии на свободу вышли, походе на то, и представители Clop. Только вместо поездки на изюмский фронт или турне по окрестностям Мариуполя, хакеры решили взяться за старое.

Эксперты рассказали об уязвимости нулевого дня в WebAssembly и движке JavaScript V8, которую без лишнего шума исправили в браузерах Google Chrome и Chromium.

А проблема была связана с использованием use-after-free в компоненте оптимизации команд. Успешная эксплуатация уязвимости позволяла злоумышленнику выполнить произвольный код в контексте браузера.

О проблеме сообщил исследователь из сингапурской компании по кибербезопасности Numen Cyber Вейбо Ванг, который пояснил, что уязвимость происходит на этапе выбора инструкций и когда выбирается неправильная команда, то она приводит к исключению при доступе к памяти. Использование уязвимости при доступе к ранее освобожденной памяти может привести к сбою программы и возможности использовать поврежденные данные или запускать произвольный код.

Самое тревожное то, что специально созданный веб-сайт может удаленно использовать уязвимость, чтобы обойти ограничения безопасности и выполнить произвольный код для взлома системы.

Компания пока не раскрывает информацию об уязвимости, чтобы предоставить возможность как можно большему количеству пользователей загрузить исправленную версию.

Это не первый раз когда в Chrome были выявлены уязвимости "использования после освобождения". Для справки 7 таких ошибок браузера были исправлены Google в 2021 году, причем после того, как их использовали в реальных атаках.

Чтобы обеспечить совместимость своих приложений с последними функциями Chrome и изменениями API, пользователям браузера, особенно разработчикам, следует выполнить обновление до последней доступной версии.

Владельцы ransomware идут по проторенной дорожке наркокартелей и начинают примерять на себя маску Робина Гуда.

Напомним, что классический герой отбирал деньги у богатых и раздавал их бедным. До сих пор стоящие за вымогателями хакерские группы преимущественно деньги отбирали. И вот, они начали делать вид, что их раздают.

Исследователи из CloudSEK сообщают о новой ranspmware GoodWill, владельцы которой заставляют своих жертв заниматься благотворительностью в качестве выкупа, оказывая финансовую помощь нуждающимся и пожертвования на социальные нужды.

Они прямо заявляют, что заинтересованы в «помощи менее удачливым, а не в вымогательстве у жертв по финансовым мотивам», выдвигая мягко скажем необычные требования в обмен на ключ дешифрования

Ransomware, написанная на .NET, была впервые идентифицирована базирующейся в марте 2022 года.

Вредоносное ПО реализует алгоритм шифрования AES, находясь в неактивном состоянии в течение 722,45 секунд для сокрытия от динамического анализа. После завершения шифрования выводится длинная записка с требованиями выполнить три социально ориентированных действия в обмен на дешифратор.

Среди требований: покупка одежды и одеял бездомным, организация детям из малообеспеченных семей в поездки в Domino's Pizza, Pizza Hut или KFC, а также оказание финансовой поддержки пациентам, которые нуждаются в срочной медицинской помощи, но не имеют на это собственных средств.

Все эти действия должны быть зафиксированы жертвами вымогательства в виде скринов, селфи и видеороликов на страницах соцсетей (Facebook или Instagram) в качестве доказательств.

К настоящему времени ресерчеры еще работают над составлением точного списка жертв и изучением TTP GoodWill. Удалось выяснить лишь то, что владельцы из Индии и говорят на хинди, а образец ransomware имеет значительное совпадение с другим штаммом на базе Windows под названием HiddenTear, исходный код которой был открыт в качестве PoC еще в 2015 году турецким программистом. Предположительно, благодаря этому владельцы GoodWill смогли накодить новую программу-вымогатель.

Все бы ничего, но мы то помним, как в Робина Гуда начинали играть в свою бытность владельцы Darkside. К чему это привело - тоже помним. Но, как говориться, будем посмотреть.

Независимая группа исследователей nao_sec раскрыла новый 0-day в Microsoft Office, который используется в атаках выполнения произвольного кода в уязвимых системах Windows и получил наименование Follina.

Обнаруженный исследователями вредоносный документ Word («05-2022-0438.doc») был загружен на VirusTotal с IP-адреса Беларуси.

Уязвимость работает без повышенных привилегий, обходит обнаружение Защитника Windows и не требует включения макрокода для выполнения двоичных файлов или сценариев.

Фишка заключается в том, что используя функцию удаленного шаблона Word для загрузки HTML, злоумышленник может реализовать схему ms-msdt для выполнения кода PowerShell. MSDT — это утилита Microsoft Support Diagnostics Tool, которая служит для сбора диагностических данных и устранения неполадок специалистами службы поддержки при решении тех или иных проблем.
 
Известный в инфосек ресерчер Кевин Бомонт после изучения вредоносного документа пришел к выводу, что главной проблемой в схеме с использованием функций удаленного шаблона Word для получения HTML-файла с удаленного веб-сервера и последующей загрузки кода посредством ms-msdt MSProtocol является его выполнение через инструмент поддержки даже в том случае, когда макросы отключены.
 
Кроме того, если документ будет переформатирован в RTF это произойдет без его открытия (через вкладку предварительного просмотра в проводнике Windows), не говоря уже о защищенном просмотре, фактически - в режиме «эксплуатации без щелчка».
 
Huntress Labs провели отдельное исследование документа, а NCC Group успешно воспроизвели эксплойт для некоторых версий Microsoft Office и подробно описали ход атаки, отметив, что запускающий эксплойт HTML-файл («RDF842l.html») более недоступен с домена «xmlformats[.]com». К настоящему времени проблема затрагивает Office, Office 2016 и Office 2021.

В зависимости от полезной нагрузки злоумышленник может использовать этот эксплойт для доступа к удаленным хостам в сети жертвы, позволяя злоумышленнику собрать хэши паролей целевых Windows-машин.

Чтобы обнаружить атаку с таким вектором, необходимо отследить процессы в системе, поскольку полезная нагрузка Follina создает дочерний msdt.exe в родительском Microsoft Office. Кроме того, процесс sdiagnhost.exe будет инициирован дочерним conhost.exe и его последующими процессами полезной нагрузки.

Компаниям рекомендуется активировать блокировку все приложений Office в контексте создания дочерних процессов, чтобы пресечь Follina. Перед использованием ASR рекомендуется прежде запустить правило в режиме аудита и отследить результаты. Также возможно деактивировать сопоставление типов файлов для ms-msdt.

А теперь и соль и боль. Follina, согласно данным ресерчеров, была обнаружена и передана в Microsoft в апреле, однако разработчики отклонили сообщение как не относящуюся к безопасности проблему, даже пометив ее как VULN-065524 и надлежащим образом отрапортовав о ее закрытии.

И даже после публичного порицания микромягкие продолжают отмалчиваться.

Империя наносит ответный удар, правда непонятно в какую сторону.

После всеобщего негодования Microsoft все же присвоили уязвимости Follina идентификатор CVE-2022-30190, оценив ее на 7,8 из 10 по CVSS. Официально уязвимыми версиями признаны Microsoft Office Office 2013, Office 2016, Office 2019 и Office 2021, а также выпуски Professional Plus.

Разработчики подготовили и опубликовали дополнительные рекомендации (здесь), включая обходные пути по отключению протокола URL-адресов MSDT с помощью модификации реестра Windows, что обеспечивает открытие Microsoft Office документов из Интернета в режиме защищенного просмотра или Application Guard для Office по умолчанию.

Первые признаки эксплуатации уязвимости в реальности датируются 12 апреля 2022 года, когда в базу вредоносных программ был загружен второй образец, который был заточен под российского клиента, о чем свидетельствует наименование приглашение на интервью.doc в эфир радио Sputnik.

Но все это никак не меняет того, что Microsoft ещё 21 апреля закрыла отчет со ссылкой на то, что проблема была (вовсе не проблема) устранена и не относится к вопросам безопасности.

Впрочем чему удивляться.

Очередная реализация Интерпола по поимке нигерийских хакеров. Снова Интерпол, снова три нигерийца в Лагосе и снова Tesla RAT. Только операция называется Killer Bee, а не Falcon, как когда-то.

На этот раз Интерпол арестовал троих нигерийцев, подозреваемых в использовании Agent Tesla RAT для перенаправления финансовых транзакций и кражи конфиденциальных данных из корпоративных организаций. Полиция обнаружила у подозреваемых в возрасте от 31 до 38 лет поддельные документы, в том числе счета-фактуры и "официальные" письма.

В список пострадавших входят нефтегазовые компании Юго-Восточной Азии, Ближнего Востока и Северной Африки.

Агент Tesla штука не новая и впервые была обнаружена в конце 2014 года, но чрезвычайно популярный троян удаленного доступа, используемый злоумышленниками для кражи разного рода информации от учетных данных и нажатий клавиш до данных буфера обмена и других конфиденциальных сведений.

Троян стабильный, гибкий и функциональный и дабы не изобретать велосипед, за определенную копейку его можно взять в аренду в приватах хакерских форумов.

На самом деле операция была масштабная, так как в реализации Killer Bee участвовали штаб-квартира Генерального секретариата Интерпола, национальное центральные бюро (НЦБ) и правоохранительные органы из 11 стран Юго-Восточной Азии.

Один из мошенников, Хендрикс Оморуме, был обвинен и осужден по трем пунктам обвинения в серьезном финансовом мошенничестве, по двум другим мужчинам все еще ведется судебный процесс.

Также на прошлой неделе Интерпол, полиция Нигерии при поддержке инфосек компаний Group-IB, Palo Alto Networks Unit 42 и Trend Micro идентифицировали 37-летнего нигерийца, который, как полагают, является одним из лидеров киберпреступной группировки SilverTerrier.

͏И завершающий на сегодня пост из серии (раз и два) про свежую RCE-уязвимость Follina в Microsoft Office, которую мелкомягкие не хотели признавать и закрывать в течение полутора месяцев. Рисующий, так сказать, до боли знакомую картину.

Но сначала взглянем в прошлое, в весну 2017 года (читайте внимательнее, логическая цепочка состоит из многих звеньев).

Тогда произошла утечка Lost in Translation, организованная таинственными хактивистами (скорее всего, все-таки, коммерчески ориентированными) Shadow Brokers, в ходе которой была слита куча данных американской хакерской группы Equation, работающей на Управление по компьютерным сетевым операциям АНБ США (в 2017 году - Tailored Access Operations).

В числе прочего Lost in Translation содержала данные боевых эксплойтов американских правительственных хакеров - к примеру, EternalBlue и бэкдор DoublePulsar, использованные в последующем в ransomware WannaCry.

В 2020 году исследователи из словацкой ESET обнаружили поразительное сходство в коде одного из инструментов, использованного в 2018 году в атаке на разработчика компьютерных игр из Тайланда, приписываемой китайской APT Winnti, с аналогичным кодом из утечки Lost in Translation. Предполагалось, что китайцы использовали слитые наработки АНБ.

А зимой 2021 года исследователи из израильской компании Check Point обнаружили, что эксплойт Jian, использовавшийся другой китайской APT 31 aka Zirconium, является ни чем иным как клоном принадлежащего АНБ эксплойта EpMe, который утек в составе Lost in Translation. Более того, EpMe активно использовался (понятно кем) в период с 2014 по 2017 годы, задолго до китайцев.

Но самое интересное не это - кроме эксплойта EpMe в Lost in Translation был еще и эксплойт EpMo, который также использовал уязвимость в Windows, приводящую к повышению привилегий. Так вот этой уязвимости не было даже присвоено CVE, а Microsoft втихаря устранили ее вскоре после утечки.

Ничего не напоминает?

Шаг 1. Слитую в 2017 году уязвимость, которую активно использовало в своих атаках АНБ, Microsoft устраняет по-тихому, не присваивая ей плашку CVE.

Шаг 2. В апреле 2022 года Microsoft получает данные о критической RCE-уязвимости, но не присваивает ей CVE и не закрывает. Параллельно происходят атаки с использованием этой уязвимости, ориентированные на русскоязычные цели. В конце мая под давлением сообщества Microsoft вынуждена признать наличие дырки.

Можно с очень большой долей вероятности утверждать, что АНБ либо сотрудничающие с ней организации использовали вшитую в Office уязвимость в атаках на российские ресурсы, а Microsoft их в этом прикрывало.

Прелестно, просто прелестно.

Пока в Индии пытаются преодолеть последствия недавнего инцидента с ransomware, турецкая авиакомпания Pegasus Airlines непроизвольно сама создала себе проблемы, допустив утечку 6,5 ТБ конфиденциальных сведений.

Турецкая авиакомпания основана в 1990 году и специализируется на недорогих внутренних и международных рейсах. Штаб-квартира Pegasus располагается в Стамбуле, а выручка за 2021 году составила 620 миллионов долларов США.

Криво сконфигурированную AWS 28 февраля обнаружили специалисты SafetyDetectives, которым удалось выяснить, что утечка включала почти 23 миллиона файлов. Более трех млн. из них содержали полетные карты и заметки к ним, страховые документы, результаты предполетных проверок и сведения о составе смены экипажа. Порядка 1,6 млн. файлов представляли собой личную информацию (PII) экипажа авиакомпании, включая фотографии и подписи.

Кроме того, в общий доступ попал исходный код специализированного ПО Electronic Flight Bag (EFB), включая незашифрованные пароли и ключи доступа к нему, что помимо угроз конфиденциальности несет в себе достаточно серьезную проблему, открывая злоумышленникам доступ к крайне чувствительной секретной информации.

Потенциальный хакер в таких условиях потенциально смог бы подредактировать полетные данные и локнуть доступ к критически важной информации EFB, подвергнув риску жизни пассажиров и членов экипажа, а совокупный анализ всех представленных материалов мог быть использован для обхода системы безопасности аэропорта и самой компании.

Исследовательская группа SafetyDetectives не заметила никаких признаков возможной компрометации AWS, но это никак не оправдывает того, что после информирования на следующий день после обнаружения бреши у администрации Pegasus Airlines ушло почти целых три недели для того, чтобы должным образом настроить сервер. Зато сразу становятся понятны причины инцидента.

А учитывая, что файлы PegasusEFB в AWS датированы 19 июля 2019 года, по поводу сохранности информации - все же стоит задуматься, все равно 183 тысячи долларов штрафа придётся заплатить.

Это, безусловно, лучшее, что мы видели на тему коллапса волновой функции.

Что, анон, ты не знаешь что такое коллапс волновой функции? Тогда срочно учить квантовую физику - а потом назад в инфосек.

Бедные костариканцы вздрагивают, когда слышат новости о ransomware. Какая-то не прекращающаяся волна компьютерных атак обрушилась на омываемую Карибским морем и Тихим океаном страну.

В этот раз очередная попытка взлома компьютерной системы государственного агентства Коста-Рики привела к тому, что во вторник агентство общественного здравоохранения страны отключило свои системы, что в свою очередь значительно усложнило медицинское обслуживание тысяч людей.

По данным правительства, по меньшей мере 30 из 1500 серверов агентства социального обеспечения были заражены программами-вымогателями и дабы прекратить эскалацию атаки было принято решение ограничить доступ через shutdown.
 
Как мы помним, за последней атакой стояла Conti. Тогда в апреле под раздачу попало несколько правительственных учреждений Коста-Рики, особенно министерство финансов, которое до сих пор не восстановило контроль над некоторыми из своих систем.

После прикрытия бренда Conti инициативу в свои руки взяла другую не менее известная банда вымогателей Hive. Этакий рабочий тандем получился, как считают некоторые аналитики и специалисты из Emsisoft.

Президент агентства социального обеспечения Альваро Рамос заявил, что быстрое отключение их систем помешало киберпреступникам получить контроль и зашифровать данные и платить из казны хакерам не придется. Однако позже на портале Hive, который используется для переговоров со своими целями заявили обратное - «Чтобы расшифровать ваши системы, вы должны заплатить 5 000 000 долларов в биткойнах».

Со слов генерального директора агентства социального обеспечения Роберто Сервантеса над проблемой работают около 300 экспертов и фонд заработной платы и пенсии не пострадал, а вот костариканцам, которые зависят от системы общественного здравоохранения пришлось столкнуться с путаницей и беспорядком в попытках записаться и посетить врача.

По данным министерства здравоохранения, отключение систем также помешало правительству обновить сведения о заражении COVID-19 и издавать соответствующие приказы об изоляции на фоне новой волны инфекций.

В целом же ожидается, что системы будут восстановлены в ближайшие дни и кампания по вакцинации против COVID-19 в стране продолжится в штатном режиме.

͏Shadowserver Foundation завершили исследование и поделились его неутешительными результатами, согласно которым в сети Интернет обнаружено 2,22 млн. (IPv4) и 1,42 млн. (IPv6) серверов MySQL с доступной поверхностью атак по порту 3306/TCP.

При этом общее число серверов в результате сканирования составило примерно 5,4 млн.: по IPv4 - 4 млн., по по IPv6 - 1,4 млн.

Больше всего незащищенных серверов MySQL IPv4 выявлено в США и составило более 740 тыс., далее следует Китай с 300 тыс. и Германия, где отстукиваются примерно 175 тыс. В России, Японии и Индии число таких серверов варьируется в пределах 45-48 тыс. Немного иначе выглядит картина с MySQL IPv6: США также лидируют и насчитывают около 461 тыс., за ними следуют Нидерланды (более 296 тыс.) и Сингапур (218 тыс.).

Несмотря на то, что веб-службы и приложения подключаются к удаленным базам данных, MySQL обеспечивать подключения для только авторизованных устройств. Доступ к общедоступному серверу всегда должен сопровождаться строгими пользовательскими политиками, изменением порта по умолчанию (3306), двоичным ведением журнала, мониторингом запросов и принудительным шифрованием.

Исследователи не проводили оценку уровня доступа или уязвимостей конкретных баз данных, но в целом доступные внешние подключения представляют потенциальную поверхность атаки, которой следует избегать при любых условиях, отфильтровывая трафик к своим MySQL и обеспечивая надлежащую аутентификацию.

Администраторам рекомендуется постоянно применять выпускаемые Oracle обновления для свои экземпляров MySQL, в последнем из которых исправлено 520 проблем с безопасностью, 300 из которых можно использовать удаленно, в том числе 3 с оценкой CVSS 10 и более 40 с CVSS от 8 до 9.

Игнорирование надлежащих мер защиты серверов MySQL может к катастрофическим утечкам, разрушительным атакам, вымогательству, заражению RAT, как это было в 2020 году, когда в результате атак ransomware было скомпрометировано более 250 тыс. и взломано более 83 000 жертв.

Исследователи Check Point расчехлили последние образцы новых версий XLoader 2.5 и 2.6, которые оказались заряжены важным функционалом, затрудняющим отслеживание и идентификацию вредоносной ПО.

Предназначенный для кражи информации и задетектированный в январе 2021 года кросс-платформенный ботнет XLoader изначально базировался на Formbook и нацелен на ОС Windows и macOS. Впервые он поступил в широкое распространение в январе 2021 года.

Новая версия использует основы теории вероятности для сокрытия С2, что придают малварю значительную стабильность в работе, а операторы получают возможность использовать инфраструктуру без риска утраты узлов, избегая блокировок раскрытых IP-адресов.

Подобная система маскировки фактических серверов управления и контроля (C2) была заложена в версии 2.3, скрывая реальное доменное имя в конфигурации, включающей 63 ложных значения.

Но в последних версиях аналитики Check Point установили, что вредоносное ПО производит перезапись 8 значений из списка случайно выбранных доменов из списке конфигурации, включающего 64 значения, новыми при каждой иттерации установления связи.

Получается, что если реальный C2-домен находится во второй части списка, то XLoader однократно обращается к нему в каждом цикле в 80-90 секунд. Появляясь в первой части списка, значение будет перезаписано другим случайным доменным именем.

Восемь доменов, которые перезаписывают первую часть списка, отбираются случайным образом, и настоящий домен C2 может быть одним из них, формируя вероятность 7/64 или 1/8 обращения к реальному серверу на следующем цикле в зависимости от расположения подставного домена.

Check Point заметили, что в XLoader 2.6 новая обфускация C2 не поддерживается для 64-битной версии полезной нагрузки, в которой малварь каждый раз связывается с реальным доменом C2, что объясняется высоким распространением 32-разрядных систем в песочницах применяемых для анализа виртуальных машин.

В целом, новая техника помогает надежно спрятать реальные C2 от обнаружения ресерчерами, которым потребуется больше времени для тестов и попыток эмуляций, чтобы гарантированно идентифицировать фактический адрес, что также значительно снижает эффективность всех автоматизированных сценариев.

С другой стороны, вряд ли операторы будут выжидать часами в ожидании связи с C2 после заражения. Но будем посмотреть.

Результаты ежегодных исследований связанных с ransomware угроз представили Sophos и IBM X-Force. Забегая вперед, отметим: выводы подтвердили все наши прогнозы.

Согласно исследования Sophos State of Ransomware 2022, средний размер выкупа за восстановление данных по сравнению с 2020 вырос в 5 раз и составил 812 360 долларов, при этом число компаний, выплативших более 1 миллиона долларов утроилось. В большинстве случаев (37%) сумма выкупа варьируется в диапазоне от 100 до 249 тысяч долларов. 

По статистике, 7 из 10 компаний становились мишенью ransomware. Количество атак возросло на 78%, для 63% встреча с вымогателями заканчивалась шифрованием, а 26% смогли оперативно купировать угрозу и обеспечить сохранность своих данных. При этом 46% пострадавших компаний выплатили выкуп даже вопреки наличию у них возможностей восстановить данные, в том числе с использованием резервных копий.

Сработала тактика двойного вымогательства, многие опасаются утечки украденной информации. На переговоры и уступки жертв подталкивают последствия атак ransomware. 55% пострадавших компаний заявили, что влияние инцидента на бизнес было критическим.

Время устранения последствий атак составило до недели в 36% случаях, до месяца - в 34%, и лишь 11% респондентов смогли восстановить инфраструктуру менее чем за день.

Однако как показывает практика, сделка с хакерами не оправдывает ожиданий. 24% из числа откупившихся смогли восстановить около половины своих данных и только 3% из них удалось вернуть весь объем. При этом 78% атакованных все равно обращаются к работе с резервной копией.

Как отмечают Sophos, восстановление данных при любом из сценариев не гарантирует безопасности без надлежащей перепроверки восстановленных данных и сети. Зачастую доступ к сетям остается и по возможности перепродается. Лишь 27% респондентов ожидали и готовились к возможным инцидентам в будущем.

Исследователи IBM X-Force отмечают, что продолжительность атак в 2021 году в среднем составляла 92,5 часа с момента первоначального доступа к сети до развертывания полезной нагрузки, ранее хакеры тратили в среднем 230 часов на завершение своей атаки, а в 2019 году — 1637,6 часа.

В условиях совершенствования механизмов реагировании на инциденты вымогатели вынуждены были действовать более оперативно и слажено, в том числе выстраивая более тесное сотрудничество между брокерами первоначального доступа.

Некоторые крупные банды и вовсе получили контроль над первоначальным вектором заражения, как в случае с Conti и TrickBot. При этом вредоносное ПО для взлома корпоративных сетей за считанные минуты реализует постэксплуатационные этапы атаки.

Инструментарии вымогателей существенных изменений не претерпел: Cobalt Strike обычно используется для интерактивных сеансов, RDP - для бокового перемещения, Mimikatz и LSASS - для учетных данных, а SMB, WMIC и Psexec - для развертывания полезных нагрузок на сетевых узлах.

По словам исследователей, эффективность обнаружения и реагирования на угрозы значительно повысилась, но все также далека от совершенства. Соответствующими решениями обладали 36% целевых организаций, ранее - лишь 8%. В 64% случаев вторжения в сеть атакованные организаций своевременно предупреждались, в 2019 - 42%.

Конечно, представленные данные хоть и вызывают недоумение, но вовсе не удивляют.

Как мы и предупреждали, вымогатели будут действовать более целенаправленно и агрессивно, ускоряя атаки, оттачивая процесс шифрования и стараясь максимализировать ущерб своих атак, а значит и прибыль.

͏Лучшие инфосек практики только на канале SecAtor

По старой доброй традиции безопасностью в решениях Microsoft занимаются все, кроме самой Microsoft.

0-day уязвимость CVE-2022-30190 в Microsoft Windows Support Diagnostic Tool (MSDT), также известная как Follina, получила общедоступное неофициальное исправление, выпущенное 0patch.
 
Патч адаптирован для следующих уязвимых версий Windows: Windows 11 v21H2, Windows 10 (от v1803 до v21H2), Windows 7 и Windows Server 2008 R2

Тем временем RCE-уязвимость обзавелась PoC-эксплойтом и уже состоит в арсенале почти всего киберподполья.

Сам Редмонд при этом до настоящего времени не выпустил ничего, ограничившись мерами по смягчению последствий для блокировки атак, посоветовав отключить протокол URL-адресов MSDT.

Однако 0patch пошли по другому пути, вместо отключения обработчика протокола URL-адреса MSDT, они добавили очистку предоставленного пользователем пути (в настоящее время отсутствует в сценарии Windows) для предотвращения вывода мастера диагностики Windows из строя в ОС для всех приложений.

0patch отмечают, что не имеет значения, какая версия Office установлена и установлена ли она вообще: уязвимость также может быть использована с помощью других векторов атак.

Чтобы развернуть микропатч в Windows следует использовать 0patch-агент, который автоматически загрузит и применит исправление.

Ожидающим официального патча от Microsoft в первой итерации (когда он выйдет), скорее всего нужно будет откатить обновление и дождаться новых двух: один из них закроет основную проблему, а второй - проблему, которая возникнет после исправления основной.