На фоне последних фейлов западных вендоров, связанных с FollinaGate и обрушением дырявых Confluence под натиском атак с использованием непропатченных 0-day, могла пройти незамеченной серьезная работа отечественных специалистов в сфере инфосек. Но мы это исправим.
Четко сработали специалисты Лаборатории Касперского, которые выявили две критические уязвимости в российском сервисе видеоконференций TrueConf Server. Не менее слаженно отработал сам вендор, который в кратчайшие сроки (для понимания - за сутки!) подтвердил ошибки и выпустил обновления ПО с их исправлением.
TrueConf - полностью отечественная разработка, поддерживает Full HD конференции, умеет их записывать и транслировать, причем на различных доступных пользователям платформах, в том числе с процессорами Эльбрус.
Применяется, как правило, для создания защищенного ВКС-контура в закрытых сетях на объектах ВПК, госсекторе и других сферах, где важна безопасность и не допускается применение зарубежных аппаратных и программных средств.
Согласно отчёту исследователей, TrueConf Server содержал уязвимости, которые могли позволить злоумышленникам без авторизации получить полный доступ к серверу и далее развить атаку внутри организаций, использующих уязвимую версию решения.
Пользователям рекомендуется немедленно обновить ПО до версии 4.7.3.10181 или 5.0.2.10353, при отсутствии такой возможности - использовать компенсирующие меры (ограничить доступ к серверу). В идеале - проверить возможность эксплуатации выявленных баг, сохранив архивную версию директории сервера.
А вообще российские пользователи могут быть спокойны: совместная работа ведущих разработчиков в сферах ВКС и ИБ позволила обеспечить надежную защиту их коммуникации, лишив западные таблоиды очередной возможности позлорадствовать и похрипеть в адрес российского инфосек.
Четко сработали специалисты Лаборатории Касперского, которые выявили две критические уязвимости в российском сервисе видеоконференций TrueConf Server. Не менее слаженно отработал сам вендор, который в кратчайшие сроки (для понимания - за сутки!) подтвердил ошибки и выпустил обновления ПО с их исправлением.
TrueConf - полностью отечественная разработка, поддерживает Full HD конференции, умеет их записывать и транслировать, причем на различных доступных пользователям платформах, в том числе с процессорами Эльбрус.
Применяется, как правило, для создания защищенного ВКС-контура в закрытых сетях на объектах ВПК, госсекторе и других сферах, где важна безопасность и не допускается применение зарубежных аппаратных и программных средств.
Согласно отчёту исследователей, TrueConf Server содержал уязвимости, которые могли позволить злоумышленникам без авторизации получить полный доступ к серверу и далее развить атаку внутри организаций, использующих уязвимую версию решения.
Пользователям рекомендуется немедленно обновить ПО до версии 4.7.3.10181 или 5.0.2.10353, при отсутствии такой возможности - использовать компенсирующие меры (ограничить доступ к серверу). В идеале - проверить возможность эксплуатации выявленных баг, сохранив архивную версию директории сервера.
А вообще российские пользователи могут быть спокойны: совместная работа ведущих разработчиков в сферах ВКС и ИБ позволила обеспечить надежную защиту их коммуникации, лишив западные таблоиды очередной возможности позлорадствовать и похрипеть в адрес российского инфосек.
www.kaspersky.ru
«Лаборатория Касперского» обнаружила критические уязвимости в TrueConf Server
Эксперты «Лаборатории Касперского» выявили две критические уязвимости в продукте для видеоконференцсвязи TrueConf Server
͏Google выпустила обновления безопасности за июнь 2022 года для устройств Android с версиями ОС 10, 11 и 12, в которых устранена 41 уязвимость, пять из которых признаны критическими.
Обновление безопасности разделено на два уровня, выпущенных 1 и 5 июня. Первый содержит исправления для компонентов системы и платформы Android, а второй включает обновления для ядра и компонентов с закрытым исходным кодом сторонних поставщиков.
По оценкам разработчиков, самой серьезной из проблем является критическая уязвимость RCE в компоненте System, эксплуатация которой не требует дополнительных прав выполнения. Уязвимость отслеживается как CVE-2022-20127 и затрагивает версии Android 10, 11, 12 и 12L. Эксплуатация может привести к раскрытию информации, компрометации системы высокого уровня и полному захвату устройства.
Две другие критические ошибки были устранены в компоненте System с помощью набора обновлений Android в этом месяце и могут привести к несанкционированному получению прав. Первая из них CVE-2022-20140 - влияет на Android 12 и 12L, вторая CVE-2022-20145 затрагивает Android 11.
Другая критическая уязвимость была обнаружена в Media Framework, отслеживается как CVE-2022-20130 и приводит к RCE на устройствах под управлением Android 10 и новее.
Все четыре уязвимости были устранены в рамках уровня исправления безопасности 2022-06-01, который также включает исправления для пяти ошибок безопасности в Framework и 13 других уязвимостей в компоненте System, все из которых имеют высокий рейтинг серьезности. Их успешное использование может привести к повышению привилегий, раскрытию информации или отказу в обслуживании (DoS).
В дополнение Google выпустила исправления для 18 других ошибок в рамках уровня исправления безопасности 2022-06-05. Ошибки были устранены в компонентах ядра, MediaTek, Unisoc и Qualcomm с закрытым исходным кодом.
Про одну из них мы уже упоминали: CVE-2022-20210 была обнаружена исследователями Check Point и позволяла нейтрализовать радиосвязь устройства с помощью искаженного пакета.
Google также объявил, что около 80 других уязвимостей были исправлены в устройствах Pixel, включая компоненты: Framework (8 уязвимостей), Media Framework (2), System (9), Pixel (35) и Qualcomm (4).
Кроме того, разработчик включил в последнее обновление Pixel исправления безопасности 21 ошибки ядра основной ветки, которые были связаны с долгосрочной поддержкой Linux (LTS) версий 5.4.147 и 5.10.66.
Обновление безопасности разделено на два уровня, выпущенных 1 и 5 июня. Первый содержит исправления для компонентов системы и платформы Android, а второй включает обновления для ядра и компонентов с закрытым исходным кодом сторонних поставщиков.
По оценкам разработчиков, самой серьезной из проблем является критическая уязвимость RCE в компоненте System, эксплуатация которой не требует дополнительных прав выполнения. Уязвимость отслеживается как CVE-2022-20127 и затрагивает версии Android 10, 11, 12 и 12L. Эксплуатация может привести к раскрытию информации, компрометации системы высокого уровня и полному захвату устройства.
Две другие критические ошибки были устранены в компоненте System с помощью набора обновлений Android в этом месяце и могут привести к несанкционированному получению прав. Первая из них CVE-2022-20140 - влияет на Android 12 и 12L, вторая CVE-2022-20145 затрагивает Android 11.
Другая критическая уязвимость была обнаружена в Media Framework, отслеживается как CVE-2022-20130 и приводит к RCE на устройствах под управлением Android 10 и новее.
Все четыре уязвимости были устранены в рамках уровня исправления безопасности 2022-06-01, который также включает исправления для пяти ошибок безопасности в Framework и 13 других уязвимостей в компоненте System, все из которых имеют высокий рейтинг серьезности. Их успешное использование может привести к повышению привилегий, раскрытию информации или отказу в обслуживании (DoS).
В дополнение Google выпустила исправления для 18 других ошибок в рамках уровня исправления безопасности 2022-06-05. Ошибки были устранены в компонентах ядра, MediaTek, Unisoc и Qualcomm с закрытым исходным кодом.
Про одну из них мы уже упоминали: CVE-2022-20210 была обнаружена исследователями Check Point и позволяла нейтрализовать радиосвязь устройства с помощью искаженного пакета.
Google также объявил, что около 80 других уязвимостей были исправлены в устройствах Pixel, включая компоненты: Framework (8 уязвимостей), Media Framework (2), System (9), Pixel (35) и Qualcomm (4).
Кроме того, разработчик включил в последнее обновление Pixel исправления безопасности 21 ошибки ядра основной ветки, которые были связаны с долгосрочной поддержкой Linux (LTS) версий 5.4.147 и 5.10.66.
Горизонт проблем со шпионским ПО Pegasus разрастается все больше и больше и уже сам Испанский судья решил отправиться в Израиль, чтобы взять показания от главы технологической компании NSO - производителя скандального софта, используемого для прослушивания телефонов политиков Испании.
Как мы помним, масло в огонь подлили специалисты из Citizen Lab, которые выявили вредоносные инструменты, продаваемые израильскими фирмами NSO Group и Candiru на устройствах как минимум 65 каталонцев, включая членов Европейского парламента, каталонских президентов, ряда законодателей, юристов и представителей гражданского общества.
Как говорилось в отчете каждый каталонский президент с 2010 года подвергался заражению Pegasus либо во время своего срока, либо до, либо после выхода на пенсию, что откровенно говоря, как-то не особо увязывается с обеспечением безопасности и противодействием терроризма.
На просьбу от Associated Press прокомментировать ситуацию, представитель израильской компании ограничился своей сухой дежурной фразой из разряда, что NSO действует в рамках строгих правовых рамок и уверен, что это будет результатом любого правительственного расследования.
Информация была обнародована после того, как судья снял гриф секретности с дела о взломе мобильных телефонов премьер-министра Испании Педро Санчеса и министров обороны и внутренних дел Испании в мае и июне 2021 года. Причем кибератака совпала с дипломатическим разногласием между Испанией и Марокко.
Официальные лица Марокко от высказываний по этому поводу воздержались, а правительство Испании передало дело в испанский суд с соответствующими пруфами о взломах.
Интересно чем закончится это испанское родео, какие и против кого будут вынесены санкции, но как известно под раздачу уже попала бывшая глава спецслужбы Испании Пас Эстебан. Да, да представьте себе главной Национального разведывательного центра Испании была женщина, по указанию которой промышляли использованием чудо-софта против некоторых каталонских политиков.
Как мы помним, масло в огонь подлили специалисты из Citizen Lab, которые выявили вредоносные инструменты, продаваемые израильскими фирмами NSO Group и Candiru на устройствах как минимум 65 каталонцев, включая членов Европейского парламента, каталонских президентов, ряда законодателей, юристов и представителей гражданского общества.
Как говорилось в отчете каждый каталонский президент с 2010 года подвергался заражению Pegasus либо во время своего срока, либо до, либо после выхода на пенсию, что откровенно говоря, как-то не особо увязывается с обеспечением безопасности и противодействием терроризма.
На просьбу от Associated Press прокомментировать ситуацию, представитель израильской компании ограничился своей сухой дежурной фразой из разряда, что NSO действует в рамках строгих правовых рамок и уверен, что это будет результатом любого правительственного расследования.
Информация была обнародована после того, как судья снял гриф секретности с дела о взломе мобильных телефонов премьер-министра Испании Педро Санчеса и министров обороны и внутренних дел Испании в мае и июне 2021 года. Причем кибератака совпала с дипломатическим разногласием между Испанией и Марокко.
Официальные лица Марокко от высказываний по этому поводу воздержались, а правительство Испании передало дело в испанский суд с соответствующими пруфами о взломах.
Интересно чем закончится это испанское родео, какие и против кого будут вынесены санкции, но как известно под раздачу уже попала бывшая глава спецслужбы Испании Пас Эстебан. Да, да представьте себе главной Национального разведывательного центра Испании была женщина, по указанию которой промышляли использованием чудо-софта против некоторых каталонских политиков.
euronews
Spanish court calls CEO of Israel's NSO to testify in spying case
MADRID -Spain’s High Court on Tuesday called the chief executive
Аналитики HP сообщают о новой фишинговой кампании, особенностью которой является ранее неизвестный загрузчик вредоносного ПО под названием SVCReady.
Мальварь реализует необычный способ доставки на целевые ПК - с помощью шелл-кода, скрытого в свойствах документов Microsoft Office.
SVCReady находится в стадии активной разработки, разработчики выпустили несколько обновлений в мае 2022 года. Первые признаки активности были зафиксированы 22 апреля 2022 года.
Цепочки заражения включают в себя отправку по электронной почте вложений документов Microsoft Word, которые содержат макросы VBA для развертывания вредоносных полезных нагрузок. Однако вместо использования PowerShell или MSHTA для извлечения исполняемых файлов следующего этапа с удаленного сервера макрос запускает шелл-код, хранящийся в свойствах документа, который впоследствии удаляет вредоносное ПО SVCReady.
Отделяя макросы от кода вредоносной оболочки, злоумышленники пытаются обойти программное обеспечение безопасности, которое обычно может их обнаружить.
Помимо сохранения на зараженном узле с помощью запланированного задания, вредоносная программа обладает функционалом для сбора системной информации, создания снимков экрана, запуска команд оболочки, а также загрузки и выполнения произвольных файлов.
В частности, в некоторых случаях в качестве дополнительной полезной нагрузки доставлялся RedLine Stealer, что впервые было обнаружено 26 апреля 2022 года после компрометации с помощью SVCReady одной из жертв.
Связь с C2 шифруется с помощью ключа RC4. Причем аналитики HP отмечают, что эта функция была добавлена в мае во время одного из обновлений зловреда.
Вредоносная программа также делает два запроса WMI на хосте, чтобы выяснить, работает ли он в виртуализированной среде. SVCReady подключается к C2 каждые пять минут, чтобы сообщить о своем статусе, получить новые задачи, отправить украденную информацию или проверить домен.
В ходе анализа используемых для распространения SVCReady документов-приманок и изображений, ресерчеры HP нашли сходство с аналогичными файлами, за которыми стояла TA551 (также известной как Hive0106 или Shathak). Ранее фишинговая группировка использовала эти домены для размещения полезных нагрузок Ursnif и IcedID.
Однако исследователи больше склоняются к к тому, что обнаруженные артефакты оставлены двумя разными акторами, которые используют одни и те же аналогичные шаблоны и потенциально конструкторы документов. Будем следить за развитием штамма.
Мальварь реализует необычный способ доставки на целевые ПК - с помощью шелл-кода, скрытого в свойствах документов Microsoft Office.
SVCReady находится в стадии активной разработки, разработчики выпустили несколько обновлений в мае 2022 года. Первые признаки активности были зафиксированы 22 апреля 2022 года.
Цепочки заражения включают в себя отправку по электронной почте вложений документов Microsoft Word, которые содержат макросы VBA для развертывания вредоносных полезных нагрузок. Однако вместо использования PowerShell или MSHTA для извлечения исполняемых файлов следующего этапа с удаленного сервера макрос запускает шелл-код, хранящийся в свойствах документа, который впоследствии удаляет вредоносное ПО SVCReady.
Отделяя макросы от кода вредоносной оболочки, злоумышленники пытаются обойти программное обеспечение безопасности, которое обычно может их обнаружить.
Помимо сохранения на зараженном узле с помощью запланированного задания, вредоносная программа обладает функционалом для сбора системной информации, создания снимков экрана, запуска команд оболочки, а также загрузки и выполнения произвольных файлов.
В частности, в некоторых случаях в качестве дополнительной полезной нагрузки доставлялся RedLine Stealer, что впервые было обнаружено 26 апреля 2022 года после компрометации с помощью SVCReady одной из жертв.
Связь с C2 шифруется с помощью ключа RC4. Причем аналитики HP отмечают, что эта функция была добавлена в мае во время одного из обновлений зловреда.
Вредоносная программа также делает два запроса WMI на хосте, чтобы выяснить, работает ли он в виртуализированной среде. SVCReady подключается к C2 каждые пять минут, чтобы сообщить о своем статусе, получить новые задачи, отправить украденную информацию или проверить домен.
В ходе анализа используемых для распространения SVCReady документов-приманок и изображений, ресерчеры HP нашли сходство с аналогичными файлами, за которыми стояла TA551 (также известной как Hive0106 или Shathak). Ранее фишинговая группировка использовала эти домены для размещения полезных нагрузок Ursnif и IcedID.
Однако исследователи больше склоняются к к тому, что обнаруженные артефакты оставлены двумя разными акторами, которые используют одни и те же аналогичные шаблоны и потенциально конструкторы документов. Будем следить за развитием штамма.
HP Wolf Security
SVCReady: A New Loader Gets Ready | HP Wolf Security
Don’t let cyber threats get the best of you. Read our post, SVCReady: A New Loader Gets Ready, to learn more about cyber threats and cyber security.
Forwarded from Social Engineering
👾 Awesome CVE PoC.
• Сегодня, я поделюсь с тобой крутым репозиторием, который включает в себя почти все CVE, начиная с 1999 года. Но для начала, немного теории.
• Раньше в различных сервисах для указания одних и тех же уязвимостей использовались разные названия. Для устранения путаницы с названием уязвимостей, компания MITRE предложила решение, независимое от различных производителей средств поиска уязвимостей. Это решение было реализовано в виде базы данных уязвимостей CVE Common Vulnerabilities and Exposures (Общие уязвимости и воздействия). Это решение позволило всем специалистам и производителям разговаривать на одном языке. В данной базе для каждой уязвимости используется следующий атрибут записи
• Если у тебя возник вопрос "А откуда берутся эти ваши CVE?" то вот ответ: Представим, что ты нашел очередную уязвимость и хочешь рассказать о ней всему миру. Для этого тебе требуется заполнить определенную форму на сайте mitre. И, по сути, это всё))
* Весь процесс описан тут: https://www.cve.org/ResourcesSupport/FAQs
• Теперь перейдем к репозиторию о котором я говорил в самом начале. Делюсь ссылкой: https://github.com/trickest/cve, тут собраны почти все CVE, начиная с 1999 года, присутствует удобная сортировка (по годам) и есть ежедневные обновления. Надеюсь, что данная информация будет полезной каждому из Вас.
Твой S.E. #CVE
🖖🏻 Приветствую тебя user_name.• Каждый день появляются новые уязвимости, которые затрагивают различный софт, сервисы и ОС. Думаю ты помнишь, крайнюю новость о Confluence Server и Data Center и их критической уязвимости (CVE-2022-26134), о которой писали 99% всех новостных ресурсов, освещающих тему #ИБ.
• Сегодня, я поделюсь с тобой крутым репозиторием, который включает в себя почти все CVE, начиная с 1999 года. Но для начала, немного теории.
• Раньше в различных сервисах для указания одних и тех же уязвимостей использовались разные названия. Для устранения путаницы с названием уязвимостей, компания MITRE предложила решение, независимое от различных производителей средств поиска уязвимостей. Это решение было реализовано в виде базы данных уязвимостей CVE Common Vulnerabilities and Exposures (Общие уязвимости и воздействия). Это решение позволило всем специалистам и производителям разговаривать на одном языке. В данной базе для каждой уязвимости используется следующий атрибут записи
CVE- YYYY-NNNN, где YYYY — это год обнаружения уязвимости, а NNNN — ее порядковый номер.• Если у тебя возник вопрос "А откуда берутся эти ваши CVE?" то вот ответ: Представим, что ты нашел очередную уязвимость и хочешь рассказать о ней всему миру. Для этого тебе требуется заполнить определенную форму на сайте mitre. И, по сути, это всё))
* Весь процесс описан тут: https://www.cve.org/ResourcesSupport/FAQs
• Теперь перейдем к репозиторию о котором я говорил в самом начале. Делюсь ссылкой: https://github.com/trickest/cve, тут собраны почти все CVE, начиная с 1999 года, присутствует удобная сортировка (по годам) и есть ежедневные обновления. Надеюсь, что данная информация будет полезной каждому из Вас.
Твой S.E. #CVE
Американские спецслужбы триадой заявили о варварских проникновениях китайских АРТ в национальный телеком. Опубликованный бюллетень по кибербезопасности под авторством АНБ, CISA и ФБР больше напоминает надуманный предлог для очередных неправомерных санкций.
По данным авторов, прокитайские АРТ нацелились на крупные телекоммуникационные компании и поставщиков сетевых услуг, используя общеизвестные уязвимости , взломали буквально все: от непропатченных офисных маршрутизаторов до крупных корпоративных сетей, для кражи учетных данных и сбора данных.
Все скомпрометированные незащищенные сетевые устройства хакеры использовали в качестве инфраструктуры для атак, располагая сервера управления и контроля и прокси-системы.
После закрепления внутри телекоммуникационной организации АРТ выделяет круг критически важных пользователей и инфраструктуру, включая системы обеспечения безопасности аутентификации, авторизации и учета. После чего крадут учетные данные для доступа к базам данных SQL и с использованием SQL-команды производят сброс учетных данных пользователей и администраторов с RADIUS.
Вооружившись уже действительными учетными записями со взломанного сервера RADIUS и конфигурациями маршрутизаторов, злоумышленники проходят успешную аутентификацию в сети, приступают к настройке маршрутизатора для скрытого перенаправления трафика на подконтрольную инфраструктуру через настраиваемый туннель, обновление таблицы маршрутизации и эеркалирование портов.
Завершив изменения конфигурации, злоумышленники часто модифицировали и/или удаляли локальные файлы журналов, чтобы уничтожить доказательства своей деятельности, чтобы еще больше скрыть свое присутствие и избежать обнаружения.
В своей работе китайские акторы используют набор общих уязвимостей, начиная с 2020 года, среди которых: Cisco (CVE-2018-0171, CVE-2019-15271, CVE-2019-1652), Citrix (CVE-2019-19781), D-Link (CVE-2019-16920), Fortinet (CVE-2018-13382), MikroTik (CVE-2018-14847), Netgear (CVE-2017-6862), Pulse (CVE-2019-11510, CVE-2021-22893), QNAP (CVE-2019-7192-7195), Zyxel (CVE-2020-29583) и др.
Этот метод позволил злоумышленникам получать доступ к учетным записям жертв, используя общедоступные PoC, без использования своего собственного отличительного или идентифицирующего вредоносного ПО. Злоумышленники также использовали RouterSploit и RouterScan с открытым исходным кодом для конкретных маршрутизаторов, чтобы определять марки, модели и известные уязвимости для дальнейшей эксплуатации.
По данным спецслужб, такая тактика работы позволила АРТ создать обширные инфраструктурные сети для совершения более мощных атак на широкий круг целей государственного и частного секторов США.
Абстрагируясь от политической ангажированности подобных заявлений, представленные меры по смягчению последствий и обнаружению будут востребованы вне зависимости от фактуры самого документа. Рекомендуем ознакомиться (здесь).
По данным авторов, прокитайские АРТ нацелились на крупные телекоммуникационные компании и поставщиков сетевых услуг, используя общеизвестные уязвимости , взломали буквально все: от непропатченных офисных маршрутизаторов до крупных корпоративных сетей, для кражи учетных данных и сбора данных.
Все скомпрометированные незащищенные сетевые устройства хакеры использовали в качестве инфраструктуры для атак, располагая сервера управления и контроля и прокси-системы.
После закрепления внутри телекоммуникационной организации АРТ выделяет круг критически важных пользователей и инфраструктуру, включая системы обеспечения безопасности аутентификации, авторизации и учета. После чего крадут учетные данные для доступа к базам данных SQL и с использованием SQL-команды производят сброс учетных данных пользователей и администраторов с RADIUS.
Вооружившись уже действительными учетными записями со взломанного сервера RADIUS и конфигурациями маршрутизаторов, злоумышленники проходят успешную аутентификацию в сети, приступают к настройке маршрутизатора для скрытого перенаправления трафика на подконтрольную инфраструктуру через настраиваемый туннель, обновление таблицы маршрутизации и эеркалирование портов.
Завершив изменения конфигурации, злоумышленники часто модифицировали и/или удаляли локальные файлы журналов, чтобы уничтожить доказательства своей деятельности, чтобы еще больше скрыть свое присутствие и избежать обнаружения.
В своей работе китайские акторы используют набор общих уязвимостей, начиная с 2020 года, среди которых: Cisco (CVE-2018-0171, CVE-2019-15271, CVE-2019-1652), Citrix (CVE-2019-19781), D-Link (CVE-2019-16920), Fortinet (CVE-2018-13382), MikroTik (CVE-2018-14847), Netgear (CVE-2017-6862), Pulse (CVE-2019-11510, CVE-2021-22893), QNAP (CVE-2019-7192-7195), Zyxel (CVE-2020-29583) и др.
Этот метод позволил злоумышленникам получать доступ к учетным записям жертв, используя общедоступные PoC, без использования своего собственного отличительного или идентифицирующего вредоносного ПО. Злоумышленники также использовали RouterSploit и RouterScan с открытым исходным кодом для конкретных маршрутизаторов, чтобы определять марки, модели и известные уязвимости для дальнейшей эксплуатации.
По данным спецслужб, такая тактика работы позволила АРТ создать обширные инфраструктурные сети для совершения более мощных атак на широкий круг целей государственного и частного секторов США.
Абстрагируясь от политической ангажированности подобных заявлений, представленные меры по смягчению последствий и обнаружению будут востребованы вне зависимости от фактуры самого документа. Рекомендуем ознакомиться (здесь).
Исследователи Modzero обнаружили серьезные уязвимости в устройствах для видеоконференций Meeting Owl Pro и Whiteboard Owl, выпускаемые Owl Labs.
Owl Labs Meeting Owl Pro оснащен камерой с объективом 360°, обеспечивающей панорамный вид конференц-зала, поддерживает различные решения для видеоконференций, включая Zoom, Skype и Google Meet.
Речь идет о 5 уязвимостях CVE-2022-31459, CVE-2022-31460, CVE-2022-31461 (с оценкой CVSS 7,4), CVE-2022-31463 (с оценкой CVSS 8,2) и CVE-2022-31462 (с оценкой CVSS 9,3). Все они могут быть использованы для поиска устройств по всему миру, доступа к конфиденциальным данным и получения доступа к сетям их владельцев.
Ошибки связаны с жестко закодированными учетными данными. Meeting Owl Pro создает собственную точку доступа Wi-Fi с жестко запрограммированным кодом доступа hoothoot, обеспечивая связь между устройством Meeting Owl Pro, его приложением, серверной частью, а также веб-приложением, используемым для управления устройствами Meeting Owl.
Одна из ошибок CVE-2022-31460 позволяет злоумышленнику в радиусе действия Bluetooth превратить устройство Meeting Owl в мошенническую точку доступа к сети владельца.
Проблема обусловлена тем, что в режиме точки доступа устройство остается подключенным к сети Wi-Fi и направляет весь трафик в сеть вместо того, чтобы разрешать подключения только к самой Owl. Уязвимость может быть использована без аутентификации.
Пока что производитель Owl Labs выпустил обновленную версию прошивки для Meeting Owl Pro и Whiteboard Owl для отключения сетевого трафика в режиме модема точки доступа Wi-Fi, тем самым предотвращая использование этих устройств в качестве точек беспроводного доступа.
Другие недостатки компания планирует устранить в будущих обновлениях. Вместе с тем, по заверению Owl Labs, после обновления все устройства должны быть защищены от возможных попыток эксплуатации из-за вышеуказанных CVE. Проблемы с PIN-кодом Owl несут низкие риски, позволяя кому-либо получить доступ только к настройкам по умолчанию и не могут быть использованы за пределами радиуса Bluetooth.
Но как бы то ни было, непропатченные проблемы потенциально раскрывают позволяют злоумышленнику выполнять действия, поддерживаемые сопутствующим приложением и получить доступ без аутентификации к функциям, поддерживаемым Bluetooth.
Самая серьезная из проблем, CVE-2022-31462, связана с наличием жестко запрограммированного кода доступа к бэкдору, который может быть рассчитан на основе информации, видимой в диапазоне Bluetooth с низким энергопотреблением. Этот пароль реализуется SHA-1, представляющий серийный номер ПО, который транслируется как имя Owl через Bluetooth.
В любом случае владельцам устройств Owl настоятельно рекомендуется обновить прошивку до версии 5.4.1.4 и ожидать дальнейших инструкций производителя.
Owl Labs Meeting Owl Pro оснащен камерой с объективом 360°, обеспечивающей панорамный вид конференц-зала, поддерживает различные решения для видеоконференций, включая Zoom, Skype и Google Meet.
Речь идет о 5 уязвимостях CVE-2022-31459, CVE-2022-31460, CVE-2022-31461 (с оценкой CVSS 7,4), CVE-2022-31463 (с оценкой CVSS 8,2) и CVE-2022-31462 (с оценкой CVSS 9,3). Все они могут быть использованы для поиска устройств по всему миру, доступа к конфиденциальным данным и получения доступа к сетям их владельцев.
Ошибки связаны с жестко закодированными учетными данными. Meeting Owl Pro создает собственную точку доступа Wi-Fi с жестко запрограммированным кодом доступа hoothoot, обеспечивая связь между устройством Meeting Owl Pro, его приложением, серверной частью, а также веб-приложением, используемым для управления устройствами Meeting Owl.
Одна из ошибок CVE-2022-31460 позволяет злоумышленнику в радиусе действия Bluetooth превратить устройство Meeting Owl в мошенническую точку доступа к сети владельца.
Проблема обусловлена тем, что в режиме точки доступа устройство остается подключенным к сети Wi-Fi и направляет весь трафик в сеть вместо того, чтобы разрешать подключения только к самой Owl. Уязвимость может быть использована без аутентификации.
Пока что производитель Owl Labs выпустил обновленную версию прошивки для Meeting Owl Pro и Whiteboard Owl для отключения сетевого трафика в режиме модема точки доступа Wi-Fi, тем самым предотвращая использование этих устройств в качестве точек беспроводного доступа.
Другие недостатки компания планирует устранить в будущих обновлениях. Вместе с тем, по заверению Owl Labs, после обновления все устройства должны быть защищены от возможных попыток эксплуатации из-за вышеуказанных CVE. Проблемы с PIN-кодом Owl несут низкие риски, позволяя кому-либо получить доступ только к настройкам по умолчанию и не могут быть использованы за пределами радиуса Bluetooth.
Но как бы то ни было, непропатченные проблемы потенциально раскрывают позволяют злоумышленнику выполнять действия, поддерживаемые сопутствующим приложением и получить доступ без аутентификации к функциям, поддерживаемым Bluetooth.
Самая серьезная из проблем, CVE-2022-31462, связана с наличием жестко запрограммированного кода доступа к бэкдору, который может быть рассчитан на основе информации, видимой в диапазоне Bluetooth с низким энергопотреблением. Этот пароль реализуется SHA-1, представляющий серийный номер ПО, который транслируется как имя Owl через Bluetooth.
В любом случае владельцам устройств Owl настоятельно рекомендуется обновить прошивку до версии 5.4.1.4 и ожидать дальнейших инструкций производителя.
Cuba снова в деле, вернувшись с обновленным ransomware.
Активность группировки достигла пика в 2021 году, когда они взаимодействовали с Hancitor для обеспечения первоначального доступа. К концу года Cuba взломали 49 критически важных инфраструктурных организаций на территории США.
К началу года показатели работы вымогателей начали серьезно снижаться, однако хакеры вернули былой темп, засветив новый софт в недавних атаках.
Изменения в тактике вымогателей Cuba отметили ресерчеры Mandiant. В свою очередь, Trend Micro также сообщили о возобновлении роста числа инцидентов, начиная с марта 2022 года (3 жертвы в апреле попали на DLS, в мае - 1).
Кроме того, в конце апреля Trend Micro отследили образец новой версии шифровальщика, который содержал дополнения, делающие вредоносное ПО более опасным для целевых объектов.
Общий функционал ransomware не претерпел серьёзных изменений, основные обновления были направлены на оптимизацию выполнения ПО, минимизацию непреднамеренный сценариев системы и организацию новой схемы технической поддержки для жертв.
Вредоносное ПО теперь завершает больше процессов перед шифрованием, в числе которых также Outlook, MS Exchange и MySQL.
Расширен список исключений для большего количества каталогов и типов файлов, которые следует пропускать при шифровании, повышая тем самым работоспособность системы после атаки.
Cuba обновила свои заметки о выкупе, добавив quTox для поддержки жертв.
Так что помимо рома и сигар некоторые, особо везучие представители крупного бизнеса Северной Америке смогут оценить также новый вариант ransomware Cuba, не имеющего к настоящему времени доступного дешифровщика.
Активность группировки достигла пика в 2021 году, когда они взаимодействовали с Hancitor для обеспечения первоначального доступа. К концу года Cuba взломали 49 критически важных инфраструктурных организаций на территории США.
К началу года показатели работы вымогателей начали серьезно снижаться, однако хакеры вернули былой темп, засветив новый софт в недавних атаках.
Изменения в тактике вымогателей Cuba отметили ресерчеры Mandiant. В свою очередь, Trend Micro также сообщили о возобновлении роста числа инцидентов, начиная с марта 2022 года (3 жертвы в апреле попали на DLS, в мае - 1).
Кроме того, в конце апреля Trend Micro отследили образец новой версии шифровальщика, который содержал дополнения, делающие вредоносное ПО более опасным для целевых объектов.
Общий функционал ransomware не претерпел серьёзных изменений, основные обновления были направлены на оптимизацию выполнения ПО, минимизацию непреднамеренный сценариев системы и организацию новой схемы технической поддержки для жертв.
Вредоносное ПО теперь завершает больше процессов перед шифрованием, в числе которых также Outlook, MS Exchange и MySQL.
Расширен список исключений для большего количества каталогов и типов файлов, которые следует пропускать при шифровании, повышая тем самым работоспособность системы после атаки.
Cuba обновила свои заметки о выкупе, добавив quTox для поддержки жертв.
Так что помимо рома и сигар некоторые, особо везучие представители крупного бизнеса Северной Америке смогут оценить также новый вариант ransomware Cuba, не имеющего к настоящему времени доступного дешифровщика.
Trend Micro
Cuba Ransomware Group’s New Variant Found Using Optimized Infection Techniques
Trend Micro Research observed the resurgence of the Cuba ransomware group that launched a new malware variant using different infection techniques compared to past iterations. We discuss our initial findings in this report.
Из года в год статистика потерпевших от ransomware не утешительная и не отличается позитивной динамикой, о чем в очередной раз сообщают специалисты из Cybereason.
Исследование показало, что 80% жертв ransomware снова подверглись атаке и возникает вопрос о целесообразности оплаты выкупа, если с большой долей вероятности вас отаудируют снова. Такой ликбез по инфобез обходится всегда дорого, а абонемент со скидками или ежегодная фиксированная дань с пактом о ненападении пока у хакеров не предусмотрена.
Суровая правда жизни такова и если вас проглотили, то у вас есть два выхода. Совет не платить вымогателям дается часто, но редко выполняется, поэтому просто немного статистики:
⁃ 80% компаний, заплативших выкуп, пострадали во второй раз.
⁃ 40% заплатили повторно, из которых 70% более высокую сумму, чем в первый раз.
⁃ 73% организаций пострадали как минимум от одной атаки программ-вымогателей за последние 24 месяца, что на 33% больше, чем в прошлом году.
⁃ 80% компаний признали, что злоумышленники находились в их сети от одного до шести месяцев до того, как они были обнаружены.
Почти 200 000 компаний так и не получили свои данные после оплаты и они все равно остаются у преступников при любом раскладе. В 35% компаний отправили в отставку руководителей высшего звена из-за атаки ransomware.
Как видите это не та проблема, которую можно игнорировать со смутным убеждением, что с вами этого не случится.
Другие ключевые результаты исследования свидетельствуют о том, что 64% компаний были атакованы через одного из своих поставщиков или деловых партнеров (цепочку поставок).
Срыв бизнес-процессов неизбежен. 31% компаний были вынуждены временно или навсегда приостановить свою деятельность после атаки, и, как следствие, почти 40% компаний уволили персонал.
При этом 42% сказали, что платеж привел к восстановлению всех систем и данных (по сравнению с 51% в прошлом году). Кроме того, в 54% случаев часть данных была повреждена после расшифровки.
Самым шокирующим показателем бесполезности платежей является повторяющийся характер атак. Есть и те кто заплатили и третий выкуп, коих 10% и четвертый - 1%.
Повторные атаки происходят быстро, пока компания еще слаба и не оправилась от первой атаки, и обычно требуют более высокой платы. 68% фирм заявили, что вторая атака произошла менее чем через месяц после первой.
Эволюция ransomware не остановится на повторном вымогательстве. Раз атаки с продолжают прогрессировать, значит жертвы идут на требования злоумышленников и готовы платить повторно. Как ни парадоксально, но 78% организаций, которые не платили выкуп смогли полностью восстановить системы и данные без ключа дешифрования.
В общем, думайте сами, решайте сами…
Исследование показало, что 80% жертв ransomware снова подверглись атаке и возникает вопрос о целесообразности оплаты выкупа, если с большой долей вероятности вас отаудируют снова. Такой ликбез по инфобез обходится всегда дорого, а абонемент со скидками или ежегодная фиксированная дань с пактом о ненападении пока у хакеров не предусмотрена.
Суровая правда жизни такова и если вас проглотили, то у вас есть два выхода. Совет не платить вымогателям дается часто, но редко выполняется, поэтому просто немного статистики:
⁃ 80% компаний, заплативших выкуп, пострадали во второй раз.
⁃ 40% заплатили повторно, из которых 70% более высокую сумму, чем в первый раз.
⁃ 73% организаций пострадали как минимум от одной атаки программ-вымогателей за последние 24 месяца, что на 33% больше, чем в прошлом году.
⁃ 80% компаний признали, что злоумышленники находились в их сети от одного до шести месяцев до того, как они были обнаружены.
Почти 200 000 компаний так и не получили свои данные после оплаты и они все равно остаются у преступников при любом раскладе. В 35% компаний отправили в отставку руководителей высшего звена из-за атаки ransomware.
Как видите это не та проблема, которую можно игнорировать со смутным убеждением, что с вами этого не случится.
Другие ключевые результаты исследования свидетельствуют о том, что 64% компаний были атакованы через одного из своих поставщиков или деловых партнеров (цепочку поставок).
Срыв бизнес-процессов неизбежен. 31% компаний были вынуждены временно или навсегда приостановить свою деятельность после атаки, и, как следствие, почти 40% компаний уволили персонал.
При этом 42% сказали, что платеж привел к восстановлению всех систем и данных (по сравнению с 51% в прошлом году). Кроме того, в 54% случаев часть данных была повреждена после расшифровки.
Самым шокирующим показателем бесполезности платежей является повторяющийся характер атак. Есть и те кто заплатили и третий выкуп, коих 10% и четвертый - 1%.
Повторные атаки происходят быстро, пока компания еще слаба и не оправилась от первой атаки, и обычно требуют более высокой платы. 68% фирм заявили, что вторая атака произошла менее чем через месяц после первой.
Эволюция ransomware не остановится на повторном вымогательстве. Раз атаки с продолжают прогрессировать, значит жертвы идут на требования злоумышленников и готовы платить повторно. Как ни парадоксально, но 78% организаций, которые не платили выкуп смогли полностью восстановить системы и данные без ключа дешифрования.
В общем, думайте сами, решайте сами…
Cybereason
Cybereason Blog | Cybersecurity News and Analysis | Research
Research | Get the latest research, expert insights, and security industry news.
͏Как мы и предупреждали, эксплойты для критической RCE-уязвимости Atlassian Confluence активно интегрируются в атакующий арсенал киберпреступников.
Исследователи Lacework Labs обнаружили несколько ботнетов, задействовавших эксплойты, нацеленные на CVE-2021-26134, для заражения серверов Linux, на которых установлены непропатченные Atlassian Confluence Server и Data Center.
Успешная эксплуатация этой ошибки позволяет злоумышленникам, не прошедшим проверку подлинности, создавать новые админские учетные записи, выполнять команды и, в конечном итоге, удаленно захватывать весь сервер.
На карандаш ресерчерам Lacework Labs попали три ботнета: Kinsing, Hezb и Dark.IoT, реализующие бэкдоры и криптомайнеры на скомпрометированных серверах Linux.
Kinsing и ранее нацеливался на Confluence, используя другую критическую уязвимость Atlassian Confluence RCE для установки вредоносного ПО для криптомайнинга.
Ботнет Hezb был замечен в развертывании Cobalt Strike и майнеров XMRig на серверах с WSO2 без исправлений.
Dark.IoT известен тем, что сбрасывает в качестве полезной нагрузки coinminer при нацеливании на виртуальные машины Microsoft Azure с помощью эксплойтов OMIGOD, а также сотни тысяч устройств Realtek SDK.
Учитывая, что эксплойты, связанные с Confluence, всегда популярны среди хакеров, активность эксплуатации будет только возрастать, что подтверждается уже не только телеметрией GreyNoise, но и выводами Lacework Labs.
Конечно, это не так масштабно, как log4j, но в тысячу сто десятый раз предупреждаем клиентов Atlassian и рекомендуем скорее переходить на фиксированную версию Confluence.
А в случае отсутствия такой возможности - использовать временный обходной путь с апгрейдом файлов JAR на сервере Confluence (в соответствии с тем, как описано здесь).
Исследователи Lacework Labs обнаружили несколько ботнетов, задействовавших эксплойты, нацеленные на CVE-2021-26134, для заражения серверов Linux, на которых установлены непропатченные Atlassian Confluence Server и Data Center.
Успешная эксплуатация этой ошибки позволяет злоумышленникам, не прошедшим проверку подлинности, создавать новые админские учетные записи, выполнять команды и, в конечном итоге, удаленно захватывать весь сервер.
На карандаш ресерчерам Lacework Labs попали три ботнета: Kinsing, Hezb и Dark.IoT, реализующие бэкдоры и криптомайнеры на скомпрометированных серверах Linux.
Kinsing и ранее нацеливался на Confluence, используя другую критическую уязвимость Atlassian Confluence RCE для установки вредоносного ПО для криптомайнинга.
Ботнет Hezb был замечен в развертывании Cobalt Strike и майнеров XMRig на серверах с WSO2 без исправлений.
Dark.IoT известен тем, что сбрасывает в качестве полезной нагрузки coinminer при нацеливании на виртуальные машины Microsoft Azure с помощью эксплойтов OMIGOD, а также сотни тысяч устройств Realtek SDK.
Учитывая, что эксплойты, связанные с Confluence, всегда популярны среди хакеров, активность эксплуатации будет только возрастать, что подтверждается уже не только телеметрией GreyNoise, но и выводами Lacework Labs.
Конечно, это не так масштабно, как log4j, но в тысячу сто десятый раз предупреждаем клиентов Atlassian и рекомендуем скорее переходить на фиксированную версию Confluence.
А в случае отсутствия такой возможности - использовать временный обходной путь с апгрейдом файлов JAR на сервере Confluence (в соответствии с тем, как описано здесь).
Forwarded from SecurityLab.ru
Россия не оставит без ответа киберагрессию других государств
— Все шаги РФ будут иметь точечный, выверенный характер, сказал директор департамента международной информационной безопасности МИД РФ Андрей Крутских.
— По его словам, главным образом речь идет о DDoS-атаках с привлечением "кибердобровольцев", когда злоумышленники применяют вредоносное программное обеспечение на базе серверов компаний-поставщиков Hetzner (ФРГ) и DigitalOcean (США)
— Всего же, по его данным, в противоправных операциях против России задействованы 22 хакерские группировки. Среди наиболее активных Крутских назвал следующие: IT-army of Ukraine (Украина), GhostClan (США), GNG (Грузия), Squad303 (Польша).
Подробнее: https://www.securitylab.ru/news/532219.php
— Все шаги РФ будут иметь точечный, выверенный характер, сказал директор департамента международной информационной безопасности МИД РФ Андрей Крутских.
— По его словам, главным образом речь идет о DDoS-атаках с привлечением "кибердобровольцев", когда злоумышленники применяют вредоносное программное обеспечение на базе серверов компаний-поставщиков Hetzner (ФРГ) и DigitalOcean (США)
— Всего же, по его данным, в противоправных операциях против России задействованы 22 хакерские группировки. Среди наиболее активных Крутских назвал следующие: IT-army of Ukraine (Украина), GhostClan (США), GNG (Грузия), Squad303 (Польша).
Подробнее: https://www.securitylab.ru/news/532219.php
SecurityLab.ru
Россия не оставит без ответа киберагрессию других государств
Все шаги РФ будут иметь точечный, выверенный характер
͏Стали известны подробности масштабного киберинцидента, связанного с атакой на один из крупнейших итальянских мегаполисов.
Как и предполагалось, отключение IT-инфраструктуры города Палермо было вызвано атакой с использованием ransomware. Ответственность за нее взяла Vice Society.
Атака состоялась в прошлую пятницу и вызвала сбой всех цифровых систем и сервисов, затронув более 1,3 миллиона жителей, не считая туристов и гостей города.
Власти в понедельник подтвердили инцидент, предупредив, что перебои могут длиться еще несколько дней. Собственно, так и происходит.
Кроме того, туристический потенциал города красуется также на DLS вымогателей, которые, по всей видимости, начала и с представляем муниципалитета переговоры о выкупе, поскольку данные еще не слиты, а лишь анонсированы к сливу в воскресенье этой недели.
Несмотря на то, что хакеры еще представили никаких образцов украденных файлов, не стоит надеется на отсутствие эксфильтрации.
Учитывая, что в своих атаках операторы Vice Society довольно часто используют известные уязвимости в неисправленных системах, вполне вероятен сценарии, что злоумышленник находился в сетях жертвы достаточно длительное время, хотя бы для того, чтобы выкрасть все конфиденциальные сведения.
Время покажет, как говорится. В случае возможной утечки - последствия для представителей будут не менее серьезными, нежели текущий сбой в работе IT.
Как и предполагалось, отключение IT-инфраструктуры города Палермо было вызвано атакой с использованием ransomware. Ответственность за нее взяла Vice Society.
Атака состоялась в прошлую пятницу и вызвала сбой всех цифровых систем и сервисов, затронув более 1,3 миллиона жителей, не считая туристов и гостей города.
Власти в понедельник подтвердили инцидент, предупредив, что перебои могут длиться еще несколько дней. Собственно, так и происходит.
Кроме того, туристический потенциал города красуется также на DLS вымогателей, которые, по всей видимости, начала и с представляем муниципалитета переговоры о выкупе, поскольку данные еще не слиты, а лишь анонсированы к сливу в воскресенье этой недели.
Несмотря на то, что хакеры еще представили никаких образцов украденных файлов, не стоит надеется на отсутствие эксфильтрации.
Учитывая, что в своих атаках операторы Vice Society довольно часто используют известные уязвимости в неисправленных системах, вполне вероятен сценарии, что злоумышленник находился в сетях жертвы достаточно длительное время, хотя бы для того, чтобы выкрасть все конфиденциальные сведения.
Время покажет, как говорится. В случае возможной утечки - последствия для представителей будут не менее серьезными, нежели текущий сбой в работе IT.
Исследователи Trellix Стив Поволни и Сэм Куинн обнаружили 8 0-day в популярной АСУ ТП LenelS2 HID Mercury от компании Carrier, решения которой широко применяются в здравоохранении, образовании, транспорте и государственных учреждениях.
Уязвимости затрагивают панель управления доступом LenelS2 Mercury, которая используется для предоставления физического доступа к объектам и интеграции с более сложными системами автоматизации ICS.
Ошибки могут быть использованы злоумышленником для получения полного контроля над системой, включая возможность манипулировать дверными замками. Одна из ошибок (CVE-2022-31481) включает уязвимость RCE, серьезность которой оценивается в 10 из 10 по системе оценки CVSS.
Другие баги могут привести к внедрению команд (CVE-2022-31479, CVE-2022-31486), отказу в обслуживании (CVE-2022-31480, CVE-2022-31482), изменению пользователя (CVE-2022-31484) и подмене информации (CVE-2022-31485), а также записи произвольного файла (CVE-2022-31483).
Уязвимы следующие панели доступа HID Mercury LenelS2: LNL-X2210, LNL-X2220, LNL-X3300, LNL-X4420, LNL-4420, S2-LP-1501, S2-LP-1502, S2-LP-2500 и S2-LP-4502.
Исследователи признались, что предвидели большой потенциал для поиска уязвимостей, зная, что контроллер доступа работает под управлением операционной системы Linux, а корневой доступ к плате можно получить, используя классические методы взлома оборудования.
Используя встроенные порты производителя, они смогли манипулировать встроенными компонентами и взаимодействовать с устройством. Путем обратного проектирования и оперативной отладки обнаружили 6 неаутентифицированных и 2 аутентифицированных уязвимости, которые можно использовать удаленно.
Ресерчеры отметили, что объединение некоторых уязвимостей позволяет удаленно получить привилегии корневого уровня на устройстве, а также разблокировать двери и управлять ими, эффективно подрывая защиту системного мониторинга, что исследователи наглядно и продемонстрировали в опубликованном видео.
Carrier не согласны с признанием недостатков уровнем 0-day, тем не менее разработчик совместно с Trellix разработал и выпустил бюллетень с подробными инструкциями по их устранению. Владельцам систем рекомендуется обновить панели доступа до последней версии прошивки (CARR-PSA-006-0622).
Уязвимости затрагивают панель управления доступом LenelS2 Mercury, которая используется для предоставления физического доступа к объектам и интеграции с более сложными системами автоматизации ICS.
Ошибки могут быть использованы злоумышленником для получения полного контроля над системой, включая возможность манипулировать дверными замками. Одна из ошибок (CVE-2022-31481) включает уязвимость RCE, серьезность которой оценивается в 10 из 10 по системе оценки CVSS.
Другие баги могут привести к внедрению команд (CVE-2022-31479, CVE-2022-31486), отказу в обслуживании (CVE-2022-31480, CVE-2022-31482), изменению пользователя (CVE-2022-31484) и подмене информации (CVE-2022-31485), а также записи произвольного файла (CVE-2022-31483).
Уязвимы следующие панели доступа HID Mercury LenelS2: LNL-X2210, LNL-X2220, LNL-X3300, LNL-X4420, LNL-4420, S2-LP-1501, S2-LP-1502, S2-LP-2500 и S2-LP-4502.
Исследователи признались, что предвидели большой потенциал для поиска уязвимостей, зная, что контроллер доступа работает под управлением операционной системы Linux, а корневой доступ к плате можно получить, используя классические методы взлома оборудования.
Используя встроенные порты производителя, они смогли манипулировать встроенными компонентами и взаимодействовать с устройством. Путем обратного проектирования и оперативной отладки обнаружили 6 неаутентифицированных и 2 аутентифицированных уязвимости, которые можно использовать удаленно.
Ресерчеры отметили, что объединение некоторых уязвимостей позволяет удаленно получить привилегии корневого уровня на устройстве, а также разблокировать двери и управлять ими, эффективно подрывая защиту системного мониторинга, что исследователи наглядно и продемонстрировали в опубликованном видео.
Carrier не согласны с признанием недостатков уровнем 0-day, тем не менее разработчик совместно с Trellix разработал и выпустил бюллетень с подробными инструкциями по их устранению. Владельцам систем рекомендуется обновить панели доступа до последней версии прошивки (CARR-PSA-006-0622).
YouTube
Trellix Researchers Expose Zero Day Vulnerabilities in Industrial Control System
At Hardwear.io 2022, Trellix researchers disclosed 8 zero-day vulnerabilities in HID Global Mercury access control panels, allowing them to remotely unlock and lock doors, modify and configure user accounts and subvert detection from management software.…
SentinelLabs выпустили отчет, в котором описывают новую китайскую APT, названную ими Aoqin Dragon.
Насколько эта группа действительно новая утверждать не беремся, возможно имеет место вторичная атрибуция.
Исследователи сообщают, что Aoqin Dragon с 2013 года атакует государственные учреждения, телекоммуникационные и образовательные организации в Юго-Восточной Азии и Австралии. Правда тут же говорят, что в период с 2012 по 2015 годы хакеры активно использовали в фишинговых кампаниях две CVE (2010-3333 и 2012-0158) в продуктах Microsoft. Так что сами запутались с датами, похоже.
Опять же интересный момент - аналогичную тактику фишинга FireEye обнаружили в 2014 году. Тогда же американцы атрибутировали стоящую за атакой группу как китайскую APT Naikon aka Lotus Panda (кстати, вот тут - шикарно оформленный отчет о деятельности Naikon и ее привязке к войсковой части 78020 китайской НОАК). Поэтому возможно, что все-таки Aoqin Dragon - это просто часть активности APT Naikon, либо какое-то из ее подразделений.
SentinelLabs сообщают, что хакеры используют в своей деятельности авторский загрузчик, а также два бэкдора - Mongall и Heyoka. И если первый, похоже, является также авторской разработкой Aoqin Dragon и его ранние версии были замечены еще в 2013 году, то Heyoka - это опенсорсный инструмент для эксфильтрации информации, который китайские хакеры переделали в полноценный бэкдор.
При описании атрибуции (то, что группа китайская, в принципе, сомнений не вызывает, поскольку иероглифов там раскидано - мама не балуйся) SentinelLabs упоминают, что одна из версий бэкдора Mongall использовалась в 2015 году для атаки на водопой посредством сайта Президента Мьянмы (в который китайцы ходят как к себе домой). Но дальше эту историю исследователи копать не стали почему-то.
Мы-то знаем почему - потому что они ленивые жопы. Поэтому дойдем тернистую тропку атрибуции за них. Unit42, расследовавшие атаку на сайт Президента Мьянмы, сообщали, что в ходе атаки активно использовался троян Evilgrab. А последний, в свою очередь, приписывается другой старой и активной китайской APT Stone Panda aka APT10 (считается, что работают на Тяньзиньское управление МГБ Китая). Вот вам еще один кандидат на роль Aoqin Dragon.
И последнее - если сделать обзор объектов заинтересованности китайских APT, то можно отметить, что в последние годы одну из ведущих ролей играют телекоммуникационные компании. Сиречь, операторы сотовой связи и ШПД. Почему так - объясним. В силу часто встречающегося среди айтишников заболевания "Arma Pravum", хакер, взломав офисный сегмент сети, может добраться и до биллинга. А там - залежи ценной информации для анализа, к которой хитрые китайские кибершпионы пытаются пробиться.
Всем КИИ, поцоны! Ну вы понели...
Насколько эта группа действительно новая утверждать не беремся, возможно имеет место вторичная атрибуция.
Исследователи сообщают, что Aoqin Dragon с 2013 года атакует государственные учреждения, телекоммуникационные и образовательные организации в Юго-Восточной Азии и Австралии. Правда тут же говорят, что в период с 2012 по 2015 годы хакеры активно использовали в фишинговых кампаниях две CVE (2010-3333 и 2012-0158) в продуктах Microsoft. Так что сами запутались с датами, похоже.
Опять же интересный момент - аналогичную тактику фишинга FireEye обнаружили в 2014 году. Тогда же американцы атрибутировали стоящую за атакой группу как китайскую APT Naikon aka Lotus Panda (кстати, вот тут - шикарно оформленный отчет о деятельности Naikon и ее привязке к войсковой части 78020 китайской НОАК). Поэтому возможно, что все-таки Aoqin Dragon - это просто часть активности APT Naikon, либо какое-то из ее подразделений.
SentinelLabs сообщают, что хакеры используют в своей деятельности авторский загрузчик, а также два бэкдора - Mongall и Heyoka. И если первый, похоже, является также авторской разработкой Aoqin Dragon и его ранние версии были замечены еще в 2013 году, то Heyoka - это опенсорсный инструмент для эксфильтрации информации, который китайские хакеры переделали в полноценный бэкдор.
При описании атрибуции (то, что группа китайская, в принципе, сомнений не вызывает, поскольку иероглифов там раскидано - мама не балуйся) SentinelLabs упоминают, что одна из версий бэкдора Mongall использовалась в 2015 году для атаки на водопой посредством сайта Президента Мьянмы (в который китайцы ходят как к себе домой). Но дальше эту историю исследователи копать не стали почему-то.
Мы-то знаем почему - потому что они ленивые жопы. Поэтому дойдем тернистую тропку атрибуции за них. Unit42, расследовавшие атаку на сайт Президента Мьянмы, сообщали, что в ходе атаки активно использовался троян Evilgrab. А последний, в свою очередь, приписывается другой старой и активной китайской APT Stone Panda aka APT10 (считается, что работают на Тяньзиньское управление МГБ Китая). Вот вам еще один кандидат на роль Aoqin Dragon.
И последнее - если сделать обзор объектов заинтересованности китайских APT, то можно отметить, что в последние годы одну из ведущих ролей играют телекоммуникационные компании. Сиречь, операторы сотовой связи и ШПД. Почему так - объясним. В силу часто встречающегося среди айтишников заболевания "Arma Pravum", хакер, взломав офисный сегмент сети, может добраться и до биллинга. А там - залежи ценной информации для анализа, к которой хитрые китайские кибершпионы пытаются пробиться.
Всем КИИ, поцоны! Ну вы понели...
SentinelOne
Aoqin Dragon | Newly-Discovered Chinese-linked APT Has Been Quietly Spying On Organizations For 10 Years
Targeting organizations in SE Asia and Australia, Aoqin Dragon uses pornographic-themed lures and custom backdoors to conduct espionage operations.
Евгений Валентинович (tm) желает нам всем приятных выходных. Не забудьте сжечь свой роутер.
Twitter
Eugene Kaspersky
What did router security look like in 2021? ✔️ 506 vulnerabilities discovered, including 87 critical ones ✔️ ~30% of critical vulnerabilities remain unpatched Find out more in our annual Router security report for 2021 👉 kas.pr/2cjc
Крайне интересная малваль для Linux была обнаружена специалистами по безопасности из Intezer и BlackBerry. Этакий Веном в мире вредоносного ПО под названием Symbiote, которое практически невозможно задетектировать из-за способности маскироваться в запущенных процессах и сетевом трафике.
Название собственно и происходит от концепции симбиота, который представляет собой организм, живущий в симбиозе с другим организмом, точно так же, как этот зловред живет с зараженными системами. По этой причине исследователи безопасности определили эту угрозу как практически не поддающуюся обнаружению.
Основная цель Symbiote — получить учетные данные и установить бэкдор к машине жертвы и отличается Symbiote от других вредоносных программ тем, что он заражает запущенные процессы, а не использует отдельный исполняемый файл.
Малварь воздействует через библиотеку общих объектов (SO), которая загружается во все запущенные процессы с использованием LD_PRELOAD Linux и, как паразит, заражает машину. После того, как вредоносная программа заразила все запущенные процессы, она предоставляет субъекту угрозы возможности руткита и кражи данных.
Одной из интересных технических функций, реализованных Symbiote, является функция перехвата пакетов Berkeley Packet Filter (BPF). Это первая вредоносная программа для Linux, использующая эту функцию для сокрытия вредоносного сетевого трафика.
ПО было впервые обнаружено в ноябре 2021 года и эксперты полагают, что оно было разработано для финансового сектора в Латинской Америке, такого как Banco do Brasil и Caixa.
Но как мы понимаем фронт применения малвари значительно шире. В связи с чем, эксперты решили поделиться подробным отчетом и индикаторами компрометации (IoC) для этой угрозы.
Название собственно и происходит от концепции симбиота, который представляет собой организм, живущий в симбиозе с другим организмом, точно так же, как этот зловред живет с зараженными системами. По этой причине исследователи безопасности определили эту угрозу как практически не поддающуюся обнаружению.
Основная цель Symbiote — получить учетные данные и установить бэкдор к машине жертвы и отличается Symbiote от других вредоносных программ тем, что он заражает запущенные процессы, а не использует отдельный исполняемый файл.
Малварь воздействует через библиотеку общих объектов (SO), которая загружается во все запущенные процессы с использованием LD_PRELOAD Linux и, как паразит, заражает машину. После того, как вредоносная программа заразила все запущенные процессы, она предоставляет субъекту угрозы возможности руткита и кражи данных.
Одной из интересных технических функций, реализованных Symbiote, является функция перехвата пакетов Berkeley Packet Filter (BPF). Это первая вредоносная программа для Linux, использующая эту функцию для сокрытия вредоносного сетевого трафика.
ПО было впервые обнаружено в ноябре 2021 года и эксперты полагают, что оно было разработано для финансового сектора в Латинской Америке, такого как Banco do Brasil и Caixa.
Но как мы понимаем фронт применения малвари значительно шире. В связи с чем, эксперты решили поделиться подробным отчетом и индикаторами компрометации (IoC) для этой угрозы.
BlackBerry
Symbiote: A New, Nearly-Impossible-to-Detect Linux Threat
There's a new, nearly-impossible-to-detect Linux threat that may be hiding in your running processes. Learn more about "Symbiote," discovered via new joint research by Intezer and BlackBerry.
В конце прошлой недели Rapid7 выпустили свежий Metasploit 6.2.0, первый почти за год с предыдущего апдейта в августе 2021 года.
Создатели заявляют о 138 новых модулях, 148 новых функциях и куче исправленных ошибок. Перечислять улучшения не будем - все основное по ссылке.
Добавим лишь два момента.
Во-первых, с точки зрения ежедневного использования Metasploit теряет свои позиции. Хотя бы в пользу модифицированного Cobalt Strike. Либо кастомных сборок.
А во-вторых, количество мамкиных хакеров ожидаемо вырастет. Поэтому в очередной раз напоминаем про необходимость свежих апдейтов всего используемого ПО.
Создатели заявляют о 138 новых модулях, 148 новых функциях и куче исправленных ошибок. Перечислять улучшения не будем - все основное по ссылке.
Добавим лишь два момента.
Во-первых, с точки зрения ежедневного использования Metasploit теряет свои позиции. Хотя бы в пользу модифицированного Cobalt Strike. Либо кастомных сборок.
А во-вторых, количество мамкиных хакеров ожидаемо вырастет. Поэтому в очередной раз напоминаем про необходимость свежих апдейтов всего используемого ПО.
Rapid7
Announcing Metasploit 6.2 | Rapid7 Blog
Metasploit 6.2.0 has been released, marking another milestone that includes new modules, features, improvements, and bug fixes.
Пентестеры из немецкой SySS в прошлом месяце обнаружили бэкдор в IP-телефонах Mitel, которые очень популярны в бизнес-сообществе.
Уязвимости CVE-2022-29854 и CVE-2022-29855 имеют оценку CVSS 6,8 и связаны с проблемами контроля доступа.
Несмотря на, казалось, не критический характер проблем, в случае успешной эксплуатации они могут позволить злоумышленнику получить привилегии суперпользователя, который обеспечивает полный доступ к конфиденциальной информации и выполнению кода.
Проблема связана с ранее неизвестным сценарием оболочки check_mft.sh в прошивке телефонов, которая предназначена для запуска при загрузке системы. Он находится в каталоге /etc на телефоне и следит за активацией одновременного нажатия клавишзвездочка и решетка в ходе запуска системы.
При запуске сценария телефон устанавливает свой IP-адрес на 10.30.102[.]102 и распаривает сервер Telnet, к которому затем можно подключиться со статическим корневым паролем.
Благодаря незадокументированному бэкдору злоумышленник, имеющий физический доступ к уязвимому настольному телефону, может получить root-доступ, нажав определенные клавиши при загрузке системы, а затем подключиться к предоставленной службе Telnet в качестве пользователя root со всеми дальнейшими вытекающими последствиями.
Уязвимости затрагивают SIP-телефоны серий 6800 и 6900, за исключением модели 6970.
Пользователям затронутых моделей рекомендуется обновиться до последней версии, дабы снизить любой потенциальный риск, связанный с использованием атаки повышения привилегий.
Подобная практика, по всей видимости, является нормой для производителей (или требованием?). Во всяком случае, в декабре прошлого года в VoIP-устройствах Auerswald уже находили аналогичные бэкдоры.
Уязвимости CVE-2022-29854 и CVE-2022-29855 имеют оценку CVSS 6,8 и связаны с проблемами контроля доступа.
Несмотря на, казалось, не критический характер проблем, в случае успешной эксплуатации они могут позволить злоумышленнику получить привилегии суперпользователя, который обеспечивает полный доступ к конфиденциальной информации и выполнению кода.
Проблема связана с ранее неизвестным сценарием оболочки check_mft.sh в прошивке телефонов, которая предназначена для запуска при загрузке системы. Он находится в каталоге /etc на телефоне и следит за активацией одновременного нажатия клавишзвездочка и решетка в ходе запуска системы.
При запуске сценария телефон устанавливает свой IP-адрес на 10.30.102[.]102 и распаривает сервер Telnet, к которому затем можно подключиться со статическим корневым паролем.
Благодаря незадокументированному бэкдору злоумышленник, имеющий физический доступ к уязвимому настольному телефону, может получить root-доступ, нажав определенные клавиши при загрузке системы, а затем подключиться к предоставленной службе Telnet в качестве пользователя root со всеми дальнейшими вытекающими последствиями.
Уязвимости затрагивают SIP-телефоны серий 6800 и 6900, за исключением модели 6970.
Пользователям затронутых моделей рекомендуется обновиться до последней версии, дабы снизить любой потенциальный риск, связанный с использованием атаки повышения привилегий.
Подобная практика, по всей видимости, является нормой для производителей (или требованием?). Во всяком случае, в декабре прошлого года в VoIP-устройствах Auerswald уже находили аналогичные бэкдоры.
SySS Tech Blog
Rooting Mitel Desk Phones Through the Backdoor (CVE-2022-29854, CVE-2022-29855)
Abstract During a security analysis of an enterprise communication infrastructure, IT security expert Moritz Abrell identified an “undocumented functionality” (backdoor) in the firmware of Mitel 6800/6900 desk phones, which allows a physical attacker gaining…
Ловкий прием провернули злоумышленники с пакетами PyPI keep, pyanxdns и api-res-py, в которые посредством атаки на цепочку зависимостей пристроили бэкдор. Причем удалось реализовать аферу без особых усилий, авторы пакетов сами попались из-за банальной опечатки в setup.py.
Лазейка нашлась во встроенном в код модуле Python для выполнения HTTP-запросов. Оригинальный запрос requests был изменен в последних версиях пакетов на equest (без s), который является вредоносным ПО. Библиотеки достаточно востребованы разработчиками, в частности, пакет keep загружается в среднем более 8000 раз в неделю.
Подмена библиотек запросов была замечена мае GitHub-пользователем duxinglin1. Выявленным уязвимостям были присвоены: CVE-2022-30877 (для keep версии 1.2), CVE-2022-30882 (затронута версия 0.2 пакета pyanxdns), CVE-2022-31313 (уязвимая версия 0.1 пакета api-res-py). При этом даже если пакет запроса был удален PyPI, многие зеркальные сайты не удалили этот пакет полностью, поэтому его все еще можно установить.
Строка 57 кода поддельного «запроса» содержит URL-адрес вредоносного ПО check.so в кодировке base64. Аналитики Intel по угрозам Blackorbird также определил и другие URL-адреса, связанные с request: http://dexy[.]top/request/check.so и http://dexy[.]top/x.pyx.
Check.so содержит троян удаленного доступа (RAT), в свою очередь, x.pyx реализует вредоносное ПО для кражи информации, которое крадет файлы cookie и конфиденциальную информацию с Chrome, Firefox, Yandex и Brave, после чего злоумышленники переходят к компрометации других используемых разработчиком аккаунтов и учёток.
На самом деле трюк с библиотекой не новый: в 2020 году Tencent Onion обнаружила вредоносный запрос typosquat, загруженный в PyPI, который выдавал себя за легальную HTTP-библиотеку запросов, но вместо этого грузил вредоносные ПО.
По итогу, ошибки исправлены, а разработчикам - очередное напоминание о необходимости проверки и перепроверки стороннего кода, который, как показывает ситуация, может быть модифицирован непреднамеренно его же авторами.
Лазейка нашлась во встроенном в код модуле Python для выполнения HTTP-запросов. Оригинальный запрос requests был изменен в последних версиях пакетов на equest (без s), который является вредоносным ПО. Библиотеки достаточно востребованы разработчиками, в частности, пакет keep загружается в среднем более 8000 раз в неделю.
Подмена библиотек запросов была замечена мае GitHub-пользователем duxinglin1. Выявленным уязвимостям были присвоены: CVE-2022-30877 (для keep версии 1.2), CVE-2022-30882 (затронута версия 0.2 пакета pyanxdns), CVE-2022-31313 (уязвимая версия 0.1 пакета api-res-py). При этом даже если пакет запроса был удален PyPI, многие зеркальные сайты не удалили этот пакет полностью, поэтому его все еще можно установить.
Строка 57 кода поддельного «запроса» содержит URL-адрес вредоносного ПО check.so в кодировке base64. Аналитики Intel по угрозам Blackorbird также определил и другие URL-адреса, связанные с request: http://dexy[.]top/request/check.so и http://dexy[.]top/x.pyx.
Check.so содержит троян удаленного доступа (RAT), в свою очередь, x.pyx реализует вредоносное ПО для кражи информации, которое крадет файлы cookie и конфиденциальную информацию с Chrome, Firefox, Yandex и Brave, после чего злоумышленники переходят к компрометации других используемых разработчиком аккаунтов и учёток.
На самом деле трюк с библиотекой не новый: в 2020 году Tencent Onion обнаружила вредоносный запрос typosquat, загруженный в PyPI, который выдавал себя за легальную HTTP-библиотеку запросов, но вместо этого грузил вредоносные ПО.
По итогу, ошибки исправлены, а разработчикам - очередное напоминание о необходимости проверки и перепроверки стороннего кода, который, как показывает ситуация, может быть модифицирован непреднамеренно его же авторами.
GitHub
code execution backdoor · Issue #85 · OrkoHunter/keep
We found a malicious backdoor in version 1.2 of this project, and its malicious backdoor is the request package. Even if the request package was removed by pypi, many mirror sites did not completel...
Drupal опять попал и хакеры снова могут использовать ошибки для удаленного взлома веб-сайтов, работающих на популярной CMS.
Причем к самим разработчикам нет никаких претензий, ибо проблема кроется в серьезных уязвимостях сторонней библиотеки и дабы смягчить возможные последствия и привлечь внимание своих клиентов, команда безопасности выпустила «умеренно критическую» рекомендацию по безопасности.
Уязвимости, отслеживаемые как CVE-2022-31042 и CVE-2022-31043, были обнаружены и исправлены в библиотеке Guzzle, которую Drupal использует для обработки HTTP-запросов и ответов на внешние сервисы.
Как заявляют разработчики, ошибки не влияют на ядро CMS, однако могут повлиять на некоторые проекты или пользовательский код на сайтах Drupal. В свою очередь, разработчики Guzzle оценили эти уязвимости, как "представляющие высокий риск"
Рекомендации по безопасности вышли вне обычного графика выпуска обновлений безопасности, поскольку Guzzle уже опубликовал информацию об уязвимостях, которые могут существовать в пользовательских модулях, используемых Guzzle для исходящих запросов и эксплуатация уязвимостей может позволить удаленному злоумышленнику получить контроль над уязвимым веб-сайтом.
Специалисты по безопасности рекомендует своим пользователям установить самые последние версии (с Drupal 9.2 по Drupal 9.4). Причем, важным замечанием является то, что все версии Drupal 9 до 9.2.x устарели и на них не распространяется защита безопасности.
Причем к самим разработчикам нет никаких претензий, ибо проблема кроется в серьезных уязвимостях сторонней библиотеки и дабы смягчить возможные последствия и привлечь внимание своих клиентов, команда безопасности выпустила «умеренно критическую» рекомендацию по безопасности.
Уязвимости, отслеживаемые как CVE-2022-31042 и CVE-2022-31043, были обнаружены и исправлены в библиотеке Guzzle, которую Drupal использует для обработки HTTP-запросов и ответов на внешние сервисы.
Как заявляют разработчики, ошибки не влияют на ядро CMS, однако могут повлиять на некоторые проекты или пользовательский код на сайтах Drupal. В свою очередь, разработчики Guzzle оценили эти уязвимости, как "представляющие высокий риск"
Рекомендации по безопасности вышли вне обычного графика выпуска обновлений безопасности, поскольку Guzzle уже опубликовал информацию об уязвимостях, которые могут существовать в пользовательских модулях, используемых Guzzle для исходящих запросов и эксплуатация уязвимостей может позволить удаленному злоумышленнику получить контроль над уязвимым веб-сайтом.
Специалисты по безопасности рекомендует своим пользователям установить самые последние версии (с Drupal 9.2 по Drupal 9.4). Причем, важным замечанием является то, что все версии Drupal 9 до 9.2.x устарели и на них не распространяется защита безопасности.
Drupal.org
Drupal core - Moderately critical - Third-party libraries - SA-CORE-2022-011
Updated 22:00 UTC 2022-06-10: Added steps to update without drupal/core-recommended. Drupal uses the third-party Guzzle library for handling HTTP requests and responses to external services. Guzzle has released two security advisories: Failure to strip the…
Команда Unit42 из компании Palo Alto Networks сообщает о новом крайне скрытном RAT под названием PingPull, которым, по мнению исследователей, вооружилась прокитайская АРТ Gallium.
Следы нового ПО обнаружились в Австралии, России, Филиппинах, Бельгии, Вьетнаме, Малайзии, Камбодже и Афганистане, где целями атак АРТ стали финансовые учреждения и госструктуры. Считается, что Gallium ориентированы на в телекоммуникационный, финансовый и государственный сегменты в ходе своих шпионских кампаний.
PingPull предназначен для доставления обратной оболочки на скомпрометированную машину, что позволяет операторам удаленно выполнять команды. Ресерчеры обратили внимание на то, что различные версии ПО используют разные протоколы связи C2, среди которых ICMP, HTTPS и TCP.
Развертывание каждого конкретного варианта зависит от результатов предварительной разведки, что тактически предназначено для более эффективного уклонения от средств обнаружения атак. Во всех случаях вредоносное ПО инсталлируется под видом легальной службы, вводя в заблуждение пользователя.
Малварь собирает сведения о томах, формирует списки содержимого папок, способен считать, записать, удалить файл, создать каталог, а при необходимости преобразовать в шестнадцатеричный вид, скопировать или переместить его, задавая значения времени создания, записи и доступа в соответствии с исходными данными. Кроме того, может выполнить команду через cmd.exe.
Все команды с параметрами отправляются на C2 в зашифрованном с помощью AES формате, который расшифровываются благодаря паре жестко запрограммированных ключей.
Свои выводы о причастности к атак с новым RAT специалисты Unit 42 основывают на сходстве инфраструктуры с прошлыми операциями Gallium. В частности, ими обнаружены более 170 IP-адресов, некоторые из которых относятся к концу 2020 года.
Учитывая, что Gallium не так часто светились в отчетах исследователей, последние из которых в 2019 году готовили Microsoft, соглашаться с безальтернативными выводы Palo Alto мы бы не стали.
Вместе с тем, рекомендуем использовать индикаторы компрометации, представленные в отчете Unit 42 для обнаружения и отсечки потенциальных угроз.
Следы нового ПО обнаружились в Австралии, России, Филиппинах, Бельгии, Вьетнаме, Малайзии, Камбодже и Афганистане, где целями атак АРТ стали финансовые учреждения и госструктуры. Считается, что Gallium ориентированы на в телекоммуникационный, финансовый и государственный сегменты в ходе своих шпионских кампаний.
PingPull предназначен для доставления обратной оболочки на скомпрометированную машину, что позволяет операторам удаленно выполнять команды. Ресерчеры обратили внимание на то, что различные версии ПО используют разные протоколы связи C2, среди которых ICMP, HTTPS и TCP.
Развертывание каждого конкретного варианта зависит от результатов предварительной разведки, что тактически предназначено для более эффективного уклонения от средств обнаружения атак. Во всех случаях вредоносное ПО инсталлируется под видом легальной службы, вводя в заблуждение пользователя.
Малварь собирает сведения о томах, формирует списки содержимого папок, способен считать, записать, удалить файл, создать каталог, а при необходимости преобразовать в шестнадцатеричный вид, скопировать или переместить его, задавая значения времени создания, записи и доступа в соответствии с исходными данными. Кроме того, может выполнить команду через cmd.exe.
Все команды с параметрами отправляются на C2 в зашифрованном с помощью AES формате, который расшифровываются благодаря паре жестко запрограммированных ключей.
Свои выводы о причастности к атак с новым RAT специалисты Unit 42 основывают на сходстве инфраструктуры с прошлыми операциями Gallium. В частности, ими обнаружены более 170 IP-адресов, некоторые из которых относятся к концу 2020 года.
Учитывая, что Gallium не так часто светились в отчетах исследователей, последние из которых в 2019 году готовили Microsoft, соглашаться с безальтернативными выводы Palo Alto мы бы не стали.
Вместе с тем, рекомендуем использовать индикаторы компрометации, представленные в отчете Unit 42 для обнаружения и отсечки потенциальных угроз.
Unit 42
GALLIUM Expands Targeting Across Telecommunications, Government and Finance Sectors With New PingPull Tool
A new, difficult-to-detect remote access trojan named PingPull is being used by GALLIUM, an advanced persistent threat (APT) group.