Ресерчеры из вьетнамского подразделения кибербезопасности GTSC сообщают об обнаружении активно эксплуатируемой 0-day в Microsoft Exchange, позволяющие злоумышленнику выполнить RCE.

Злоумышленники используют комбинацию 0-day для развертывания веб-оболочек China Chopper на скомпрометированных серверах для сохранения и кражи данных, а также для бокового перемещения на другие системы в сетях жертв.

GTSC подозревает, что за атаками стоит китайская АРТ, судя по кодовой странице веб-оболочек, кодировке символов Microsoft для упрощенного китайского языка.

Пользовательский агент, используемый для установки веб-оболочек, также связан с Antsword, китайским инструментом администрирования веб-сайтов с открытым исходным кодом и поддержкой управления веб-оболочками.

Microsoft пока не раскрывает никакой информации о двух критических ошибках и еще не присвоила им CVE.

Исследователи уведомили Microsoft об уязвимостях еще три недели назад в рамкахрбезопасности GTSC сообщаюгде баги отслеживаются как ZDI-CAN-18333 и ZDI-CAN-18802 с CVSS в 8,8 и 6,3.

ZDI подтвердил ошибки, о чем Trend Micro выпустила бюллетень по безопасности и добавила средства обнаружения 0-day в свои продукты.

GTSC пока не стали публиковать технические подробности новых 0-day. Тем не менее, исследователи обнаружили, что запросы, используемые в этой цепочке эксплойтов, аналогичны тем, которые применяются в атаках, нацеленных на уязвимости ProxyShell.

Пока Microsoft не выпустит исправления для устранения 0-day, следует руководствоваться рекомендациями GTSC по смягчению последствий атак. Ресерчеры предлагают добавить новое правило сервера IIS с помощью модуля правила перезаписи URL.

В Autodiscover at FrontEnd необходимо выберать вкладку URL Rewrite, а затем Request Blocking, после чего добавить строку « .*autodiscover\.json.*\@.*Powershell.* » в URL-путь. При вводе условия - выберать {REQUEST_URI}.

Для проверки возможной компрометации серверов Exchange с использованием обнаруженных 0-day, администраторам следует запустить следующую команду PowerShell для сканирования файлов журнала IIS на наличие индикаторов компрометации: Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200’.

​🤔 Личное мнение. Почему атаки с помощью методов СИ в РФ эффективнее, чем в других странах?

🖖🏻 Приветствую тебя user_name.

• В RU сегменте, атаки с помощью социальной инженерии получили куда большее распространение, чем в других странах. Эта проблема нарастает с каждым годом из-за определенных причин:

• Утечки баз данных различных компаний и структур.
• Низкая осведомленность граждан.

• Если говорить об утечках, то недавно securitylab опубликовали новость, в которой сказано, что с начала 2022 года в РФ произошло около 60 крупных утечек персональных данных, в ходе которых в открытый доступ попало 230 млн записей с личной информацией россиян.

• А как мы все прекрасно знаем, в 80% случаев атакующие используют информацию собранную из открытых источников, которая становится доступна любому желающему, благодаря утечкам данных различных компаний. Соответственно атаки с помощью методов СИ становятся наиболее эффективными...

• Что касается низкой осведомленности, то почти в каждом третьем случае граждане лишаются денежных средств из-за собственной беспечности. Атакующие с успехом используют способы психологического воздействия, ведь любая атака такого рода идет в обход аналитических инструментов разума и действует в основном на уровне эмоциональной сферы, привычно подавляемой у большинства людей, занятых умственным трудом.

• Исходя из этого, методы социальной инженерии часто завершаются успехом даже если интеллект атакующего заметно ниже, чем у жертвы. Высокий IQ мало препятствует обману, поскольку методы СИ бьют по шаблонам поведения и страха.

• Берегите свои данные, сейчас информация — это золото. Большое количество данных — это огромные возможности для социальных инженеров и фишеров.

Твой S.E. #СИ

Разработчики браузера Brave порадовали своих пользователей, внедрив блокировку раздражающих баннеров с согласием на использование cookie.

С недавнего времени такие уведомления стали необходимым для ведения бизнеса в Интернете, который подпадает под правила защиты данных GDPR, а пользователям приходится сталкиваться с ними почти каждый раз при посещении веб-сайта.

При этом зачастую сами баннеры наносят больший ущерб конфиденциальности недели упомянутые в нем соглашения. В некоторых случаях эти баннеры могут сами служить трекерами, нарушая конфиденциальность, еще до того, как у пользователя появится возможность отказаться.

Теперь же новые версии Brave будут скрывать — и, по возможности, полностью блокировать — уведомления о согласии на использование файлов cookie, снижая потенциальный риск для конфиденциальности пользователей, что выгодно отличает браузер от аналогов, реализующих функцию автоматического согласия.

При этом Brave будет блокировать канал связи между браузером и системой отслеживания согласия.

Внедрение новой системы уже началось в Brave Nightly, и планируется, что в октябре она достигнет стабильной ветки версии 1.45, начиная с Windows и Android. iOS появится вскоре после этого.

Новая опция появится в настройках браузера, в разделе «Щит», где пользователи могут поставить галочку для блокировки навязчивых уведомлений о файлах cookie.

Коммуникационная платформа Matrix исправляет критические уязвимости сквозного шифрования в комплекте для разработки программного обеспечения (SDK), рекомендуя пользователям применить доступные обновления к своим IM-клиентам.

Matrix — открытый децентрализованный клиент-серверный протокол мгновенного обмена сообщениями и файлами с поддержкой голосовой и видеосвязи, а также передачей сообщений между серверами и API в формате JSON.

Используя уязвимости, злоумышленник может реализовать атаки типа MiTM, получив доступ к содержимому сообщений в Matrix. Среди затронутых клиентов: matrix-js-sdk, matrix-ios-sdk и matrix-android-sdk2, такие как Element, Beeper, Cinny, SchildiChat, Circuli и Synod.im.

Уязвимости были обнаружены группой исследователей из Brave Software, Королевского университета Холлоуэя в Лондоне и Университета Шеффилда, которые представили свой технический отчет с подробным описанием своих выводов и шестью примерами атак с использованием ошибок.

Критическая CVE-2022-39250 описывается как ошибка путаницы с идентификатором ключа/устройства при проверке SAS на matrix-js-sdk, позволяющая администратору сервера нарушать проверку на основе смайликов при использовании перекрестной подписи, аутентифицируя себя вместо целевого пользователя.

Другие критические ошибки CVE-2022-39251, CVE-2022-39255 и CVE-2022-39248 связаны с путаницей протоколов в matrix-js-sdk, matrix-ios-sdk (клиенты iOS) и matrix-android-sdk2 (клиенты Android) соответственно, приводящей к неправильному приему сообщений от поддельного отправителя, открывающая возможность выдать себя за доверенного отправителя.

Тот же недостаток позволяет злоумышленникам-администраторам домашних серверов добавлять резервные ключи к учетной записи цели.

Серьезные проблемы CVE-2022-39249, CVE-2022-39257 и CVE-2022-39246 в matrix-js-sdk, matrix-ios-sdk и matrix-android-sdk2 соответственно, приводят к принятию ключей, пересылаемых без запроса, что делает возможным олицетворение других пользователей на сервере. Клиенты помечают эти сообщения как подозрительные на стороне получателя, поэтому серьезность ошибки снижается.

Еще не отмеченные CVE оставшиеся ошибки позволяют злоумышленнику на домашнем сервере подделывать приглашения от имени своих пользователей или добавлять устройства в учетные записи пользователей, а также снижают безопасность AES-CTR для шифрования вложений, секретов и резервных копий симметричных ключей без вектора инициализации AES.

Согласно заявлению, Matrix эксплуатация уязвимостей достаточно осложнена, а доказательства активного использования в дикой природе ими не получены.

Но не стоить беспокоиться насчет сложности эксплуатации, ведь если это касается возможности взломать реализованные на базе Matrix приватные мессенджеры Минобороны Германии или правительства Франции, то задача будет решена. Или уже решена.

Особой изощрённостью удивила китайская APT группировка Witchetty, которая использовала в очередной шпионской кампании стеганографию для сокрытия бэкдора в логотипе Windows.

По мнению экспертов, АРТ, известная также как LookingFrog, является частью Cicada, китайской кибершпионской группы (ака APT10 и Stone Panda).

Первоначально ориентируясь на японские цели, Cicada расширила свой список целей, включив в него правительственные организации в нескольких странах Европы, Азии и Северной Америки.

А в рамках недавно наблюдаемой активности Witchetty специалисты из Symatec определили в качестве целей правительства двух стран на Ближнем Востоке, а также фондовую биржу в Африканской стране.

Для первоначальной компрометации хакеры использовали уязвимости ProxyShell и ProxyLogon в Microsoft Exchange Server для установки веб-оболочек, а затем приступали к краже учетных данных, боковому перемещению и развертыванию вредоносных программ.

Начиная с апреля 2022 года хакеры добавили в свой арсенал новые вредоносные программы, в том числе бэкдор Stegmap, который использует стеганографию для извлечения полезной нагрузки из растрового изображения.

Цепочка заражения включает использование загрузчика DLL для загрузки с GitHub растрового файла, который выглядит как логотип Microsoft Windows, но содержит скрытый вредоносный код. Загрузка с доверенного хоста GitHub, значительно затрудняет обнаружение, чем загрузка с C&C.

Бэкдор Stegmap поддерживает команды для создания/удаления каталогов, управление файлами, запуск/завершение процессов, загрузку и запуск исполняемых файлов, кражу файлов, уничтожение процессов, а также чтение, создание и удаление ключей реестра.

В рамках наблюдаемых атак хакеры также использовали набор специальных инструментов, таких как прокси утилиты, которые используют протокол, аналогичный SOCKS5, но действуют как сервер, сканер портов и утилиты сохранения, которые добавляют себя в автозагрузку.

По данным Symantec, злоумышленники начали свою вредоносную деятельность в сети одного из скомпрометированных ближневосточных правительств в конце февраля 2022 года и продолжали активно подключаться к среде до 1 сентября.

За это время хакеры предприняли несколько попыток получить учетные данные через дампы памяти, выполнили перечисление сети, развернули бэкдоры и веб-шеллы, а также установили вышеупомянутые пользовательские инструменты.

В очередной раз китайские APT в лице Witchetty продемонстрировали способность постоянно совершенствовать и обновлять свой набор инструментов и тактик, чтобы компрометировать интересующие объекты.

ESET поймали Lazarus на злоупотреблении ошибкой драйвера Dell и использовании нового руткита FudModule в ходе атаки Bring Your Own Vulnerable Driver с целью шпионажа и кражи данных.

В своем отчете ресерчеры сообщают, что все началось с кампании целевого фишинга осенью 2021 года, среди подтвержденных целей которого были жертвы из аэрокосмической отрасли Нидерландов и сектор политических журналистов в Бельгии.

Целям этой кампании в ЕС по электронной почте отправлялись поддельные предложения о работе, на этот раз от имени Amazon, что является их излюбленным приемом в рамках социальной инженерии.

ESET сообщает, что среди инструментов этой кампании наиболее интересным является новый руткит FudModule, который использует технику BYOVD для использования уязвимости CVE-2021-21551 в драйвере оборудования Dell («dbutil_2_3.sys»).

Стоит отметить, что это первое зарегистрированное злоупотребление этой уязвимостью в дикой природе. Причем в декабре 2021 года Rapid 7 предупреждали, что именно этот драйвер из-за некачественных исправлений Dell позволяет выполнять код ядра даже в последних подписанных версиях.

Но, похоже, что Lazarus уже отлично знали об этой возможности задолго до того, как аналитики озвучили свои опасения.

Затем злоумышленники использовали свой доступ к записи в память ядра, чтобы отключить семь механизмов, которые ОС Windows предлагает для мониторинга действий. После чего злоумышленники получали возможность использовать уязвимости драйвера для запуска команд с привилегиями на уровне ядра.

ESET также отметили, что АРТ развернула свой фирменный бэкдор HTTP(S) BLINDINGCAN, который был атрибутирован Лабораторией Касперского в октябре 2021 года.

Бэкдор поддерживает обширный набор из 25 команд, охватывающих действия с файлами, выполнение команд, настройку связи C2, создание скриншотов, создание и завершение процессов, а также кражу системной информации.

Среди других инструментов, развернутых в представленной кампании, были также различные троянизированные приложения с открытым исходным кодом, такие как wolfSSL и FingerText.

Все подробности атаки BYOVD подробно изложены ESET в отдельном 15-страничном техническом документе.

Не так давно мы писали про серьезные утечки, которые в числе прочих затронули Чили и Мексику и стали результатом массированных атак. Как стало известно, за инцидентами стоит хактивистская группа Guacamaya.

В общей сложности хакеры выкрали 10 ТБ конфиденциальных документов и электронных писем военного сектора Центральной и Южной Америки.

В рамках своей кампании, получившей наименование Mining Secrets, хакеры обнародовали множество документов военных и правоохранительных структур Мексики, Сальвадора, Колумбии, Чили и Перу.

Ранее они также взломали и опубликовали электронные письма горнодобывающей компании, долгое время обвиняемой в нарушении прав человека и окружающей среды в Гватемале.

Ни одно из попавших под руку хакеров агентств не комментировало инциденты. Однако Президент Мексики Андрес Мануэль Лопес Обрадор провел пресс-конференцию, на которой не только подтвердил кибератаку на армию Мексики, но и сказал, что получил информацию о нападениях на ряд других стран.

Представители Гуакамайи, в свою очередь, раскритиковали новостные агентства в Мексике, сосредоточившие внимание к закрытым сведениям о болезни Лопеса Обрадора, в то время как, утечки проливают свет на более широкие вопросы управления, коррупции и ущерба окружающей среде.

Лопес Обрадор преуменьшил значение взлома, заявив, что «нет ничего неизвестного». Он сказал, что вторжение, по-видимому, произошло во время смены систем министерства обороны, а также отказался расследовать киберинцидент.

Хакеры же отметили, что утечка включает и шесть терабайт файлов с документами о слежке за послом США в Мексике Кеном Салазаром, стенограммы и информацию о наркопреступных операциях. Кроме того, они представили тысячи электронных писем, иллюстрирующих огромную власть мексиканских военных над правительством Обрадора, а также споры внутри военных кланов.

В правительстве Чили тем временем были настолько обеспокоены взломом систем, что на прошлой неделе страна вызвала своего министра обороны из Соединенных Штатов, где она вместе с президентом Габриэлем Бориком присутствовала на Генеральной Ассамблее ООН.

Хакеры же намерены продолжать разоблачать несправедливость и коррупцию в защиту коренных народов Центральной и Южной Америки, мотивируя свои действия ответом на разграбление Латинской Америки колонизаторами с Глобального севера.

Ну, а мы - будем посмотреть.

Тем временем, консорциум отелей Shangri-La заявил, что их база данных с личной информации о клиентах была взломана.

Утечка затронула отели в Гонконге, Сингапуре, Чиангмае, Тайбэе и Токио. Компания заявила, что пока не смогла определить, какие конкретно данные были украдены.

Взлом произошел в период с мая по июль, когда в сингапурском отеле Shangri-La проходил крупнейший в Азии саммит по безопасности, на котором присутствовали в числе прочих Министр обороны США Ллойд Остин и его китайский коллега генерал Вэй Фэнхэ.

Как отметила Shangri-La, база данных содержала контактную информацию гостей, но личная информация, такая как даты рождения, удостоверения личности и номера паспортов, а также данные кредитной карты, была зашифрована.

Shangri-La уведомила власти и гостей, которые, возможно, пострадали. Неужели все 290 000 клиентов, о которых упоминают журналисты или только особенных гостей.

Специалисты из Trustwave обнаружили две уязвимости XSS в инструменте Vitrea View от Canon Medical, которые могут раскрывать информацию о пациентах.

Vitrea View предназначен для просмотра и безопасного обмена медицинскими изображениями по стандарту DICOM.

Ошибки имеют общий идентификатор CVE-2022-37461 и позволяют потенциальному злоумышленнику вызывать ошибки для доступа и изменения информации о пациенте (например, сохраненных изображений и сканов), а также получать дополнительный доступ к некоторым службам, связанным с Vitrea View.

Первая уязвимость, которую можно использовать без аутентификации, обнаружена на странице ошибок, расположенной по адресу /vitrea-view/error/, где все вводимые данные после подкаталога /error/ возвращаются пользователю.

Эксперты заметили, что одинарные и двойные кавычки, а также пробелы могут нарушить отображение. Однако использование обратных кавычек и кодировки base64 может позволить избежать эти ограничения и импортировать удаленные сценарии.

Вторая бага кроется в административной панели инструментов и затрагивает функцию поиска на странице «Группы и пользователи». Потенциальный злоумышленник может получить доступ к панели, обманом заставив жертву нажать на специально созданную ссылку.

Спецы из Trustwave опубликовали соответствующий PoC, а Canon Medical устранили выявленные недостатки, выпустив Vitrea View версии 7.7.6.

Стоит отдать должное Canon Medical, уязвимости были обнаружены в результате пентеста. Всегда приятно, когда поставщик ПО достаточно ответственно подходит к вопросам безопасности решений.

Ресерчеры Лаборатории Касперского раскрывают TTP ближневосточной DeftTorero, о которой впервые стало известно еще в 2015 году.

Представленные исследователями и выявленные в период 2019-2021 гг. ТТР DeftTorero в значительной степени отсутствовали в публичных отчетах. Доступные на сегодняшний день исследования, в основном, касались окончательной полезной нагрузки Explosive RAT и веб-оболочек Caterpillar и ASPXSpy.

География жертв имеет четкий акцент на страны Ближнего Востока, такие как Египет, Иордания, Кувейт, Ливан, Саудовская Аравия, Турция и Объединенные Арабские Эмираты.

Начальный доступ DeftTorero реализовывался посредством формы загрузки файла и уязвимости для внедрения команд на функциональном или промежуточном веб-сайте, размещенном на целевом веб-сервере. Загруженные веб-оболочки, как правило, помещались в одну и ту же веб-папку.

В других случаях использовались подключаемые модулей IIS PHP, а также учетные данные сервера, полученные из других систем в той же организации, после чего вход в систему с помощью удаленного рабочего стола (MSTSC.exe) для развертывания веб-шелла.

После успешной установки операторы запускали несколько команд для оценки ситуационной информации в отношении эксплуатируемой системы. Далее в ход пускались инструменты для сброса локальных учетных данных и учетных данных домена. Кроме того, устанавливались Nmap и Advanced Port Scanner, возможно, для сканирования внутренних систем.

Методы сброса учетных данных различались от одного случая к другому. В некоторых случаях использовался Lazagne.exe, в других использовались варианты Mimikatz либо путем выполнения соответствующего двоичного файла PE, либо путем вызова версии PowerShell с кодировкой base64 из проекта GitHub.

Считается, что после получения учетных данных операторы использовали протокол удаленного рабочего стола для доступа к внутренним системам или доступным системам. Дальнейшие команды выполнялись для обхода антивирусного ядра и установления сеанса Meterpreter с C2-сервером операторов. На ранних этапах субъект угрозы использовал Explosive RAT.

Проведенный ресерчерами анализ вторжений в целом показывает потенциальное изменение злоумышленником TTP в сторону использования LOLBINS-методов и популярных наступательных инструментов, что объясняет текущие пробелы в обнаружении отличительной активности, слившейся к настоящему времени с другими угрозами.

Телеметрия Лаборатории и общедоступные отчеты не выявили каких-либо новых обнаружений Explosive RAT после 2020 года, а только старые слегка измененные наборы инструментов (например, Explosive RAT, веб-оболочки и пр.).

Желающим побольше узнать о деятельности DeftTorero и защите от этой группы угроз, рекомендуем обратиться в службу Kaspersky Intelligence для получения дополнительной ориентирующей информации.

Центральная база данных и вспомогательные системы Электроэнергетической компании Ганы (ECG) были скомпрометированы, предположительно, в результате ransomware-атаки.

Инцидент затронул клиентов в 10 операционных регионах ECG в Вольте, Кумаси, Аккре, Такоради, Теме, Кейп-Кост, Касоа, Виннебе, Сведру, Кофоридуа, Нкавкау и Тафо.

Некоторые потребители не могли пополнить счет за электроэнергию на предоплаченных счетчиках в течение последних четырех дней.

Кроме того, атака привела к частичному отключению подачи электроэнергии.

Должностные лица Национальной безопасности и Управления кибербезопасности сейчас проводят расследование совместно с ECG для восстановления систем и оценки ущерба.

Новые инциденты, связанные с ransomware, также затронули сеть Walmart. На этот раз крупного ретейлера начали атаковать вымогатели Diavol.

Они вернулись с обновленным ПО после силовой операции в отношении участников TrickBot, стоявших у истоков начальных версий ransoware.

Изучая новейшие образцы, ресерчеры отметили сочетание шифрования RSA и кодирования XOR для файлов.

В целом, если месяцем ранее новых ransomware насчитывалось не более 20, то за последний месяц исследователи вредоносных ПО обнаружили 45 новых штаммов.

Вероятно, во многом благодаря утекшему конструктору LockBit.

CrowdStrike предупреждает о недавно выявленной атаке на цепочку поставок с участием канадского SaaS-поставщика Comm100.

При том, что уязвимое ПО для взаимодействия с клиентами используется более 15 000 пользователями в 51 стране мира.

В рамках атаки троянизированный установщик Comm100 Live Chat, подписанный 26 сентября действительным сертификатом Comm100 Network Corporation, распространялся с веб-сайта компании как минимум с 27 по 29 сентября 2022 года.

Троянизированный файл был обнаружен в организациях, работающих в сфере промышленности, здравоохранения, технологий, производства, страхования и телекоммуникаций в Северной Америке и Европе.

Установщик Comm100 — это приложение Electron, в котором злоумышленники внедрили бэкдор JavaScript в файл «main.js», который присутствует в следующих версиях установщика Comm100 Live Chat: 10.0.72 и 10.0.8.

При выполнении бэкдор извлекает обфусцированный JS-скрипт второго этапа из жестко запрограммированного URL-адреса («http[:]//api.amazonawsreplay[.]com/livehelp/collect»), что дает злоумышленникам удаленный доступ к оболочке атакуемых конечных точек через командную строку.

На следующем этапе на скомпрометированных хостах злоумышленник разворачивает вредоносные загрузчики («MidlrtMd.dll»), которые используют технику перехвата порядка DLL для загрузки полезной нагрузки из контекста легитимных процессов Windows, таких как «notepad.exe», запускаемых непосредственно из памяти.

Загрузчик извлекает окончательную полезную нагрузку из C2 и использует жестко закодированный ключ RC4 для ее расшифровки.

Несмотря на различия в доставляемой полезной нагрузке, масштабах целей и механизме атак на цепочки поставок, CrowdStrike Intelligence полагает, что за атакой стоит китайская АРТ, которая ранее таргетировались на различные азиатские компании в сфере азартных онлайн-игр.

Разработчик выпустил обновленный установщик Comm100 10.0.9 и рекомендует всем клиентам как можно скорее перейти на последнюю версию приложения. Comm100 не предоставила объяснений того, как злоумышленникам удалось получить доступ к ее системам и разместить установщик.

Вместе с тем, Канадский центр кибербезопасности подчеркивает, что обновления до последней версии не устранит риск компрометации, поскольку злоумышленники, возможно, уже обеспечили себе постоянство в целевых системах.

Подробности расследования не разглашаются, но будем следить за ситуацией.

Новые непропатченные o-day в Microsoft Exchange, официально обозначенные как CVE-2022-41040 и CVE-2022-41082, получили наименование ProxyNotShell, в силу сходства с ProxyShell, которая использовалась в реальных условиях более года. И дело не только в этом.

Похоже, что патчи Microsoft для ProxyShell не полностью устранили вектор атаки. Ошибки могут позволить злоумышленнику удаленно выполнять произвольный код с повышенными привилегиями.

Однако, в отличие от ProxyShell, новые проблемы могут быть использованы только аутентифицированным злоумышленником, хотя достаточно даже стандартных учетных данных пользователя электронной почты.

Этим и воспользовались китайские АРТ, а скорее всего и не только китайские, читывая, что таргетинг на 10 целевых компаний с использованием новых ProxyNotShell выявила сама же Microsoft. Инфосек же ожидает, когда другие злоумышленники начнут использовать ошибки Exchange Server в своих атаках.

Тем более, что патчи для этих уязвимостей еще не выпущены, а представленный Microsoft инструмент, который должен автоматизировать смягчение последствий, на данный момент применяет правило, которое можно обойти.

Первым об этом предупредил исследователь Janggggg. Он отметил, что это правило неэффективно и его можно легко обойти, не прилагая особых усилий. Позже к нему присоединился старший аналитик по уязвимостям в ANALYGENCE Уилл Дорманн. После проверки о неэффективности мер также заявили обнаружившие ProxyNotShell ресерчеры GTSC.

Кроме того, инструкции Microsoft по этим двум уязвимостям применимы локальным серверам Exchange, при этом клиентам Exchange Online, по мнению разработчика, не нужно предпринимать никаких действий.

Однако у многих организаций гибридная установка, и в сегодняшнем видео исследователь Кевин Бомонт отметил, что гибридная установка Exchange чрезвычайно распространена в корпоративных средах, предупредив, что до тех пор, пока существует локальное развертывание Exchange Server, организация находится в опасности.

Тем временем, несмотря на то, что подробности об уязвимостях не были обнародованы, GitHub заполонили поддельные PoC для ProxyNotShell по цене в несколько сотен долларов. Правда, по словам того же Бомонта, у некоторых представителей индустрии инфосек все же есть работающие эксплойты.

Поскольку для эксплуатации уязвимостей требуется аутентификация, ожидается, что массовая эксплуатация на данном этапе маловероятна, но уязвимости могут быть очень ценными в целевых атаках.

Некоторые участники инфосек-сообщества выпустили инструменты с открытым исходным кодом, которые можно использовать для обнаружения наличия уязвимостей.

Последние несколько недель специалисты из TrendMicro наблюдали несколько обнаружений программ-вымогателей на базе Linux, которые злоумышленники запускали для атак на серверы VMware ESXi.

В течение этого периода специалисты столкнулись с новым семейством Cheerscrypt, нацеленным на сервера EXSi клиента.

Серверы ESXi и в прошлом достаточно активно подвергались атакам других известных семейств программ-вымогателей, таких как LockBit, Hive и RansomEXX, но самое интересное так это то, что исследователи обнаружили, что новая программа-вымогатель Cheerscrypt, основана на утечке исходного кода Babuk.

При изучении Cheerscrypt и Linux-версией программы-вымогателя Babuk, особенно ее версией ESXi базовый код Cheerscrypt был получен из исходного кода Babuk, но изменен и настроен в соответствии с целями злоумышленника.

Ну, а ресерчеры Sygnia вовсе приписали атаки китайской кибершпионской группе Bronze Starlight, также известной как DEV-0401, APT10 и Emperor Dragonfly.

Bronze Starlight активен с середины 2021 года и развертывает семейства программ-вымогателей после вторжения, чтобы скрыть операции кибершпионажа.

Не так давно Sygnia расследовали атаку программы-вымогателя Cheerscrypt, в которой использовались TTP программы-вымогателя Night Sky.

Дальнейший анализ показал, что Cheerscrypt и Night Sky являются ребрендингом одной и той же группы угроз, которую они и назвали Emperor Dragonfly.

По заявлению специалистов китайская APT использует инструменты с открытым исходным кодом, написанные китайскими разработчиками. Это подтверждает утверждения о том, что операторы программы-вымогателя Emperor Dragonfly базируются в Китае.

Вопреки общедоступной информации, программа-вымогатель Cheerscrypt использует полезные нагрузки, предназначенные как для Windows, так и для сред ESXi.

Цепочки заражения, наблюдаемые на сегодняшний день, используют критическую уязвимость Log4Shell в библиотеке Apache Log4j для компрометации серверов VMware Horizon и сброса полезной нагрузки PowerShell, способной доставлять зашифрованный Cobalt Strike.

Кроме того, Sygnia обнаружила три дополнительных инструмента на основе Go, развернутых вместе с Cobalt Strike: кейлоггер, который экспортирует записанные нажатия клавиш в Alibaba Cloud, утилиту интернет-прокси под названием iox и софт для туннелирования NPS.

Также связь Cheerscrypt с Emperor Dragonfly обусловлена сходством начальных векторов атак, методов бокового перемещения и развертывания Cobalt Strike с помощью DLL Sideloading.