Ресерчеры Лаборатории Касперского раскрывают TTP ближневосточной DeftTorero, о которой впервые стало известно еще в 2015 году.

Представленные исследователями и выявленные в период 2019-2021 гг. ТТР DeftTorero в значительной степени отсутствовали в публичных отчетах. Доступные на сегодняшний день исследования, в основном, касались окончательной полезной нагрузки Explosive RAT и веб-оболочек Caterpillar и ASPXSpy.

География жертв имеет четкий акцент на страны Ближнего Востока, такие как Египет, Иордания, Кувейт, Ливан, Саудовская Аравия, Турция и Объединенные Арабские Эмираты.

Начальный доступ DeftTorero реализовывался посредством формы загрузки файла и уязвимости для внедрения команд на функциональном или промежуточном веб-сайте, размещенном на целевом веб-сервере. Загруженные веб-оболочки, как правило, помещались в одну и ту же веб-папку.

В других случаях использовались подключаемые модулей IIS PHP, а также учетные данные сервера, полученные из других систем в той же организации, после чего вход в систему с помощью удаленного рабочего стола (MSTSC.exe) для развертывания веб-шелла.

После успешной установки операторы запускали несколько команд для оценки ситуационной информации в отношении эксплуатируемой системы. Далее в ход пускались инструменты для сброса локальных учетных данных и учетных данных домена. Кроме того, устанавливались Nmap и Advanced Port Scanner, возможно, для сканирования внутренних систем.

Методы сброса учетных данных различались от одного случая к другому. В некоторых случаях использовался Lazagne.exe, в других использовались варианты Mimikatz либо путем выполнения соответствующего двоичного файла PE, либо путем вызова версии PowerShell с кодировкой base64 из проекта GitHub.

Считается, что после получения учетных данных операторы использовали протокол удаленного рабочего стола для доступа к внутренним системам или доступным системам. Дальнейшие команды выполнялись для обхода антивирусного ядра и установления сеанса Meterpreter с C2-сервером операторов. На ранних этапах субъект угрозы использовал Explosive RAT.

Проведенный ресерчерами анализ вторжений в целом показывает потенциальное изменение злоумышленником TTP в сторону использования LOLBINS-методов и популярных наступательных инструментов, что объясняет текущие пробелы в обнаружении отличительной активности, слившейся к настоящему времени с другими угрозами.

Телеметрия Лаборатории и общедоступные отчеты не выявили каких-либо новых обнаружений Explosive RAT после 2020 года, а только старые слегка измененные наборы инструментов (например, Explosive RAT, веб-оболочки и пр.).

Желающим побольше узнать о деятельности DeftTorero и защите от этой группы угроз, рекомендуем обратиться в службу Kaspersky Intelligence для получения дополнительной ориентирующей информации.

Центральная база данных и вспомогательные системы Электроэнергетической компании Ганы (ECG) были скомпрометированы, предположительно, в результате ransomware-атаки.

Инцидент затронул клиентов в 10 операционных регионах ECG в Вольте, Кумаси, Аккре, Такоради, Теме, Кейп-Кост, Касоа, Виннебе, Сведру, Кофоридуа, Нкавкау и Тафо.

Некоторые потребители не могли пополнить счет за электроэнергию на предоплаченных счетчиках в течение последних четырех дней.

Кроме того, атака привела к частичному отключению подачи электроэнергии.

Должностные лица Национальной безопасности и Управления кибербезопасности сейчас проводят расследование совместно с ECG для восстановления систем и оценки ущерба.

Новые инциденты, связанные с ransomware, также затронули сеть Walmart. На этот раз крупного ретейлера начали атаковать вымогатели Diavol.

Они вернулись с обновленным ПО после силовой операции в отношении участников TrickBot, стоявших у истоков начальных версий ransoware.

Изучая новейшие образцы, ресерчеры отметили сочетание шифрования RSA и кодирования XOR для файлов.

В целом, если месяцем ранее новых ransomware насчитывалось не более 20, то за последний месяц исследователи вредоносных ПО обнаружили 45 новых штаммов.

Вероятно, во многом благодаря утекшему конструктору LockBit.

CrowdStrike предупреждает о недавно выявленной атаке на цепочку поставок с участием канадского SaaS-поставщика Comm100.

При том, что уязвимое ПО для взаимодействия с клиентами используется более 15 000 пользователями в 51 стране мира.

В рамках атаки троянизированный установщик Comm100 Live Chat, подписанный 26 сентября действительным сертификатом Comm100 Network Corporation, распространялся с веб-сайта компании как минимум с 27 по 29 сентября 2022 года.

Троянизированный файл был обнаружен в организациях, работающих в сфере промышленности, здравоохранения, технологий, производства, страхования и телекоммуникаций в Северной Америке и Европе.

Установщик Comm100 — это приложение Electron, в котором злоумышленники внедрили бэкдор JavaScript в файл «main.js», который присутствует в следующих версиях установщика Comm100 Live Chat: 10.0.72 и 10.0.8.

При выполнении бэкдор извлекает обфусцированный JS-скрипт второго этапа из жестко запрограммированного URL-адреса («http[:]//api.amazonawsreplay[.]com/livehelp/collect»), что дает злоумышленникам удаленный доступ к оболочке атакуемых конечных точек через командную строку.

На следующем этапе на скомпрометированных хостах злоумышленник разворачивает вредоносные загрузчики («MidlrtMd.dll»), которые используют технику перехвата порядка DLL для загрузки полезной нагрузки из контекста легитимных процессов Windows, таких как «notepad.exe», запускаемых непосредственно из памяти.

Загрузчик извлекает окончательную полезную нагрузку из C2 и использует жестко закодированный ключ RC4 для ее расшифровки.

Несмотря на различия в доставляемой полезной нагрузке, масштабах целей и механизме атак на цепочки поставок, CrowdStrike Intelligence полагает, что за атакой стоит китайская АРТ, которая ранее таргетировались на различные азиатские компании в сфере азартных онлайн-игр.

Разработчик выпустил обновленный установщик Comm100 10.0.9 и рекомендует всем клиентам как можно скорее перейти на последнюю версию приложения. Comm100 не предоставила объяснений того, как злоумышленникам удалось получить доступ к ее системам и разместить установщик.

Вместе с тем, Канадский центр кибербезопасности подчеркивает, что обновления до последней версии не устранит риск компрометации, поскольку злоумышленники, возможно, уже обеспечили себе постоянство в целевых системах.

Подробности расследования не разглашаются, но будем следить за ситуацией.

Новые непропатченные o-day в Microsoft Exchange, официально обозначенные как CVE-2022-41040 и CVE-2022-41082, получили наименование ProxyNotShell, в силу сходства с ProxyShell, которая использовалась в реальных условиях более года. И дело не только в этом.

Похоже, что патчи Microsoft для ProxyShell не полностью устранили вектор атаки. Ошибки могут позволить злоумышленнику удаленно выполнять произвольный код с повышенными привилегиями.

Однако, в отличие от ProxyShell, новые проблемы могут быть использованы только аутентифицированным злоумышленником, хотя достаточно даже стандартных учетных данных пользователя электронной почты.

Этим и воспользовались китайские АРТ, а скорее всего и не только китайские, читывая, что таргетинг на 10 целевых компаний с использованием новых ProxyNotShell выявила сама же Microsoft. Инфосек же ожидает, когда другие злоумышленники начнут использовать ошибки Exchange Server в своих атаках.

Тем более, что патчи для этих уязвимостей еще не выпущены, а представленный Microsoft инструмент, который должен автоматизировать смягчение последствий, на данный момент применяет правило, которое можно обойти.

Первым об этом предупредил исследователь Janggggg. Он отметил, что это правило неэффективно и его можно легко обойти, не прилагая особых усилий. Позже к нему присоединился старший аналитик по уязвимостям в ANALYGENCE Уилл Дорманн. После проверки о неэффективности мер также заявили обнаружившие ProxyNotShell ресерчеры GTSC.

Кроме того, инструкции Microsoft по этим двум уязвимостям применимы локальным серверам Exchange, при этом клиентам Exchange Online, по мнению разработчика, не нужно предпринимать никаких действий.

Однако у многих организаций гибридная установка, и в сегодняшнем видео исследователь Кевин Бомонт отметил, что гибридная установка Exchange чрезвычайно распространена в корпоративных средах, предупредив, что до тех пор, пока существует локальное развертывание Exchange Server, организация находится в опасности.

Тем временем, несмотря на то, что подробности об уязвимостях не были обнародованы, GitHub заполонили поддельные PoC для ProxyNotShell по цене в несколько сотен долларов. Правда, по словам того же Бомонта, у некоторых представителей индустрии инфосек все же есть работающие эксплойты.

Поскольку для эксплуатации уязвимостей требуется аутентификация, ожидается, что массовая эксплуатация на данном этапе маловероятна, но уязвимости могут быть очень ценными в целевых атаках.

Некоторые участники инфосек-сообщества выпустили инструменты с открытым исходным кодом, которые можно использовать для обнаружения наличия уязвимостей.

Последние несколько недель специалисты из TrendMicro наблюдали несколько обнаружений программ-вымогателей на базе Linux, которые злоумышленники запускали для атак на серверы VMware ESXi.

В течение этого периода специалисты столкнулись с новым семейством Cheerscrypt, нацеленным на сервера EXSi клиента.

Серверы ESXi и в прошлом достаточно активно подвергались атакам других известных семейств программ-вымогателей, таких как LockBit, Hive и RansomEXX, но самое интересное так это то, что исследователи обнаружили, что новая программа-вымогатель Cheerscrypt, основана на утечке исходного кода Babuk.

При изучении Cheerscrypt и Linux-версией программы-вымогателя Babuk, особенно ее версией ESXi базовый код Cheerscrypt был получен из исходного кода Babuk, но изменен и настроен в соответствии с целями злоумышленника.

Ну, а ресерчеры Sygnia вовсе приписали атаки китайской кибершпионской группе Bronze Starlight, также известной как DEV-0401, APT10 и Emperor Dragonfly.

Bronze Starlight активен с середины 2021 года и развертывает семейства программ-вымогателей после вторжения, чтобы скрыть операции кибершпионажа.

Не так давно Sygnia расследовали атаку программы-вымогателя Cheerscrypt, в которой использовались TTP программы-вымогателя Night Sky.

Дальнейший анализ показал, что Cheerscrypt и Night Sky являются ребрендингом одной и той же группы угроз, которую они и назвали Emperor Dragonfly.

По заявлению специалистов китайская APT использует инструменты с открытым исходным кодом, написанные китайскими разработчиками. Это подтверждает утверждения о том, что операторы программы-вымогателя Emperor Dragonfly базируются в Китае.

Вопреки общедоступной информации, программа-вымогатель Cheerscrypt использует полезные нагрузки, предназначенные как для Windows, так и для сред ESXi.

Цепочки заражения, наблюдаемые на сегодняшний день, используют критическую уязвимость Log4Shell в библиотеке Apache Log4j для компрометации серверов VMware Horizon и сброса полезной нагрузки PowerShell, способной доставлять зашифрованный Cobalt Strike.

Кроме того, Sygnia обнаружила три дополнительных инструмента на основе Go, развернутых вместе с Cobalt Strike: кейлоггер, который экспортирует записанные нажатия клавиш в Alibaba Cloud, утилиту интернет-прокси под названием iox и софт для туннелирования NPS.

Также связь Cheerscrypt с Emperor Dragonfly обусловлена сходством начальных векторов атак, методов бокового перемещения и развертывания Cobalt Strike с помощью DLL Sideloading.

После обрушившейся критики на предложенные Microsoft меры по смягчению ProxyNotShell, разработчики были вынуждены искать новые варианты защиты от Exchange Zero-Days, ведь ресерчеры смогли без труда обойти их.

И, уже традиционно, Microsoft выпускает новые обходные пути по своей наработанной системе «патч для исправления патча».

Microsoft пересмотрела свои меры по устранению недавно обнаруженных и активно используемых CVE-2022-41040 и CVE-2022-41082 в Exchange Server, предложив новые варианты перезаписи URL-адресов (также доступное в виде отдельного сценария PowerShell).

Тем временем, атаки в дикой природе, использующие недостатки, реализуются объединением двух уязвимости в цепочку для достижения RCE на скомпрометированных серверах с повышенными привилегиями, что приводит к развертыванию веб-оболочек.

Пока неясно, когда Microsoft планирует выпустить исправление для двух уязвимостей, но вполне возможно, что они могут быть представлены в рамках обновлений Patch Tuesday на следующей неделе, 11 октября 2022 года.

Будем посмотреть.

Крупнейший тайваньский производитель DRAM в мире ADATA со штатом в 1400 сотрудников пал жертвой ransomware-атаки, в результате которой вымогатели украли 1 ТБ данных у компании, о чем сообщили на своем DLS RansomHouse.

ADATA не сообщает какие именно данные были похищены, однако вымогатели дали понять, что речь идет об исследованиях компании, а также о другой ценной конфиденциальной информации.

К настоящему времени веб-сайт ADATA перенаправляет пользователей на ресурс компании в зоне США.

Инцидент будем вторым по счету в истории компании. В июне прошлого года Ragnar Locker выкрали 700 ГБ данных из облачного хранилища компании.

Стоит отметить, что ранее RansomHouse также успешно атаковали американскую компанию по производству полупроводников Advanced Micro Devices (AMD).

Кучно кладут.

Ресерчеры Лаборатории Касперского раскрыли YouTube-канал, через который распространялась троянская версия установщика браузера Tor для Windows.

Выявленная кампания получила наименование OnionPoison и была рассчитана на цели в КНР. Хотя и масштабы атаки трудно оценить, но ЛК еще в марте 2022 года обнаружила первых жертв в своей телеметрии.

Вредоносная версия Tor Browser распространялась по ссылке в описании видеоролику, который был загружен на YouTube еще 9 января 2022 года и имеет более 64 500 просмотров, а сам канал имеет 181 000 подписчиков.

Атака рассчитана на тех пользователей, которые пытались обойти введенную властями КНР блокировку Tor Browser, чтобы загрузить ПО, вместо этого получали мошеннический вариант браузера после поиска на YouTube «Tor浏览器».

Описание видео содержало две ссылки: одна на официальный сайт Tor Browser, а другая вела к вредоносному установщику, размещенному на китайском облачном сервисе.

После перехода по ссылке для скачивания пользователь перенаправлялся к исполняемому файлу размером 74 МБ.

Одна из библиотек freebl3.dll, входящих в комплект вредоносного браузера Tor, отвечала за полезную нагрузку второго этапа, заражая шпионским ПО, которое собирает различные персональные данные и отправляет их на С2.

Компрометация происходила только в том случае, если IP-адрес жертвы принадлежал китайскому сегменту.

Шпионский модуль также имеет функциональные возможности для извлечения списка установленного ПО и запущенных процессов, истории Google Chrome и Edge, идентификаторов учетных записей WeChat и QQ, SSID и MAC адресов сетей Wi-Fi, к которым подключены жертвы, а также позволяет операторам запускать произвольные команды оболочки.

Кроме того, в отличие от других стилеров, имплантаты OnionPoison не предназначены для сбора паролей пользователей, сеансовых файлов cookie или данных кошельков.

Основная заточка - сбор идентифицирующей информации на жертв с помощью их истории просмотров, идентификаторов и SSID сетей Wi-Fi.

Tor сообщили, что пользователи модифицированной версии браузера будут перенаправлены в официальный репозиторий после запроса обновления. Ну, а Google ничего не осталось, как удалить видео за нарушение регламента YouTube.

Специалисты из SonarSource обнаружили и раскрыли серьезную уязвимость в репозитории пакетов PHP Packagist, которая могла быть использована для проведения атак на цепочку поставок программного обеспечения PHP.

В отчете говорится, что уязвимость позволяет получить контроль над Packagist, который используется диспетчером пакетов PHP Composer для определения и загрузки программных зависимостей, которые разработчики включают в свои проекты.

Масштаб угроз впечатляющий, так как практически все организации, работающие с PHP-кодом, используют Composer, который ежемесячно обслуживает 2 миллиарда пакетов программного обеспечения и более ста миллионов таких запросов потенциально могли быть перехвачены для распространения вредоносных зависимостей и компрометации миллионов серверов.

Уязвимость отслеживается как CVE-2022-24828 (оценка CVSS: 8,8) и была описана как проблема внедрения команд, которая связана с другой похожей ошибкой Composer CVE-2021-29472, обнаруженной в апреле 2021 года.

Вектор следующий: злоумышленник, контролирующий репозиторий Git или Mercurial, явно указанный по URL-адресу в файле composer.json проекта, может использовать специально созданные имена путей для выполнения команд на машине, на которой выполняется обновление Composer'а.

Собственно успешное использование уязвимости означало, что запросы на обновление пакета могли быть перехвачены для распространения вредоносных зависимостей путем выполнения произвольных команд на внутреннем сервере, на котором запущен официальный экземпляр Packagist.

На сегодняшний день нет никаких доказательств того, что уязвимость использовалась в дикой природе и уже доступны исправления в версиях Composer 1.10.26, 2.2.12 и 2.3.5 после того, как SonarSource сообщил об ошибке 7 апреля 2022 года.

Открытый исходный код становится все более привлекательной целью для злоумышленников из-за легкости, с которой они могут быть использованы в качестве оружия против цепочки поставок ПО.

Avast выпустила инструмент для расшифровки ransomware MafiaWare666 (также известна как JCrypt, RIP Lmao, BrutusptCrypt или Hades).

MafiaWare666 — это разновидность программы-вымогателя, написанная на C# и не содержащая никаких методов обфускации или антианализа. Мальварь шифрует файлы, используя AES.

Малварь реализует поиск выделенных папок (Рабочий стол, Музыка, Видео, Изображения и Документы) и шифрует файлы со фактически со всеми известными расширениями. Как правило, зашифрованные файлы получают новое расширение, которое зависит от образца: MafiaWare666, jcrypt, brutusptCrypt, bmcrypt, киберон и l33ch.

Ресерчеры обнаружили уязвимость в схеме шифрования, позволяющую расшифровать некоторые варианты без уплаты выкупа. Новые или ранее неизвестные образцы могут шифровать файлы иным способом, поэтому их, вряд ли, будет возможно расшифровать без дополнительного анализа.

По завершении процесса шифрования ransomware отображает окно с инструкциями и условиями уплаты выкупа.

Жертвам предлагается связаться с злоумышленником и заплатить ему биткойнами. Цена выкупа относительно низкая, от 50 до 300 долларов, хотя некоторые из более старых образцов с другими именами требуют гораздо больше, вплоть до одного биткойна.

Индикаторы компрометации IoC представлены здесь. Расшифровщик представляет собой исполняемы файл, который доступен для скачивания (здесь).

Для запуска процесса расшифровки понадобится предоставить файл в исходном виде с его зашифрованной версией. Дешифратор использует все известные комбинации паролей MafiaWare666 для взлома пароля под конкретную систему, после чего и запускается процесс.

Как и во многих других подобных утилитах, доступна функция резервного копирования зашифрованных файлов. Причем этот параметр включен по умолчанию.

͏Как и ожидалось, инициированная Австралийской федеральной полицией (AFP) операция Ураган принесла первые результаты и ознаменовалась арестом 19-летнего подростка из Сиднея, который был причастен к атаке на провайдера Optus, сопряженной с вымогательством выкупа за украденные сведения на 9 млн. клиентов компании.

Согласно заявлению AFP, подозреваемый посредством SMS направлял угрозы абонентам Optus, вымогая с них по 2000 австралийских долларов (1300 долларов США). В случае отказа от выкупа данные должны были быть перепроданы другим хакерам.

В числе жертв оказались клиенты, чьи данные попали в сеть в ходе первой утечки, затронувшей 10 200 записей из украденной базы. По данным AFP, арестованный успел разослать шантажирующие сообщения 93 пострадавшим.

Для этих целей мошенник использовал счет Commonwealth Bank of Australia, который и вывел полицию на фигуранта расследования. Такой гениальный шаг привел к тому, что теперь горе-хакеру светит две уголовные статьи и совокупное наказание до 17 лет лишения свободы.

Вместе с тем, арестованный лишь часть преступной цепочки, обвинения во взломе Optus ему не предъявлены. Акторы взлома пока не идентифицированы, но операция AFP все еще продолжается.

На текущий момент, согласно официальным данным Optus, 9,8 миллиона клиентов пострадали в той или иной степени, а государственные идентификационные номера 2,1 миллиона из них были скомпрометированы. Правительство Австралии требует от Optus покрытия расходов на замену документов.

Но на этом проблемы австралийских пользователей и властей не заканчиваются. Другая крупная телекоммуникационная компания Telstra сообщила, что стала жертвой утечки данных через третью сторону.

Взлом был нацелен на стороннюю платформу под названием Work Life NAB, а утечка данных касалась программы вознаграждений сотрудников Telstra по состоянию на 2017 год.

Компания не назвала количество пострадавших сотрудников, но в отчете Reuters указано, что это число составляет 30 000.

Немецкие ресерчеры из DCSO CyTec предупреждают о новом вредоносном ПО, которое нацелено на серверы Microsoft SQL.

Бэкдор под названием Maggie уже заразил сотни компьютеров по всему миру. Данные телеметрии показывают, что Мэгги наиболее распространена в Южной Корее, Индии, Вьетнаме, Китае, России, Таиланде, Германии и США.

Maggie управляется с помощью SQL-запросов, выполняя богатый набор из 51 команды. Бэкдор позволяет осуществлять вход администратора на другие серверы Microsoft SQL и создавать мост в сетевую среду сервера.

Анализ вредоносного ПО показал, что малварь маскируется под DLL-библиотеку расширенной хранимой процедуры (sqlmaggieAntiVirus_64.dll) с цифровой подписью компании DEEPSoft Co. Ltd, которая, по-видимому, базируется в Южной Корее.

Файлы расширенных хранимых процедур расширяют функциональные возможности SQL-запросов за счет использования API, который принимает аргументы удаленного пользователя и отвечает неструктурированными данными.

Поддерживаемые Maggie команды позволяют запрашивать системную информацию, запускать программы, взаимодействовать с файлами и папками, включать службы удаленного рабочего стола TermService, запускать прокси-сервер SOCKS5 и настраивать переадресацию портов.

В рамках выполнения команд злоумышленник также может полагаться на известные уязвимости для некоторых действий, включая и добавление нового пользователя.

Однако аналитики не смогли протестировать используемые Maggie эксплойты, в виду отсутствия дополнительной библиотеки DLL.

Подбор паролей администратора происходит с помощью команд SqlScan и WinSockScan после определения файла списка паролей и количества потоков. В случае успеха на сервер добавляется жестко закодированный пользователь бэкдора.

Вредоносная ПО предлагает простую функцию перенаправления TCP, которая позволяет удаленным злоумышленникам подключаться к любому IP-адресу, доступному зараженному серверу MS-SQL.

Вредоносная программа также имеет функцию прокси-сервера SOCKS5 для маршрутизации всех сетевых пакетов через прокси-сервер, что делает его еще более незаметным, если это необходимо.

В настоящее время некоторые детали остаются неизученными, в том числе поведение Maggie после заражения, а также неясно как вредоносное ПО вообще внедряется на серверы и кто может стоять за этими атаками.

CommonSpirit Health, одна из крупнейших некоммерческих систем здравоохранения в США, по всей видимости испытала на себе разрушительные последствия ransomware-атаки.

Компания отключила часть своих ИТ-систем, в том числе электронную медицинскую карту (EHR), из-за инцидента с безопасностью, который затронул ряд учреждений.

Система здравоохранения США включает 140 больниц и более 1000 медицинских учреждений в 21 штате, а ее команда состоит из 150 000 сотрудников и включает 20 000 врачей. Число пациентов достигает более чем 21 миллиона жителей.

В опубликованном во вторник заявлении CommonSpirit сообщается, что инцидент вынудил его ИТ-команду следовать процедурам отключения и свести к минимуму сбои.

В числе пострадавших: больница Берган Милосердие, медицинский центр MercyOne Des Moines и несколько поставщиков медицинских услуг Virginia Mason Franciscan Health.

Пациентам при этом отменили все записи на прием в CommonSpirit. Сама компания пока не комментирует ситуацию.

BlackByte взяли на вооружение новую технику Bring Your Own Driver (BYOVD).

Выявленные недавние атаки были связаны с использованием уязвимости повышения привилегий и выполнения кода CVE-2019-16098 в некоторых версиях драйвера MSI Afterburner RTCore64.sys.

Уверенная эксплуатация позволила BlackByte отключить драйверы, препятствующие нормальной работе EDR, а также антивирусные решения.

BYOVD эффективен, поскольку уязвимые драйверы подписаны действительным сертификатом и запускаются в системе с высокими привилегиями.

Аналогичным образом действовали Lazarus, злоупотребляя драйвером Dell, а также неизвестные акторы, которые использовали античитерский драйвер для игры Genshin Impact.

Исследователи поясняют, что злоупотребляемый графический драйвер MSI предлагает коды управления вводом-выводом, напрямую доступные процессам пользовательского режима, что нарушает правила безопасности Microsoft в отношении доступа к памяти ядра.

Это позволяет злоумышленникам читать, писать или выполнять код в памяти ядра без использования шелл-кода или эксплойта.

На первом этапе атаки BlackByte идентифицирует версию ядра, чтобы выбрать правильные смещения, соответствующие идентификатору ядра. Затем RTCore64.sys помещается в «AppData\Roaming» и создает службу, используя жестко заданное имя и случайно выбранное отображаемое имя.

Затем злоумышленники используют уязвимость драйвера для удаления процедур уведомления ядра, которые соответствуют процессам инструментов безопасности.

Полученные адреса обратного вызова используются для получения соответствующего имени драйвера и сравниваются со списком из 1000 целевых драйверов, которые поддерживают функцию инструментов AV/EDR.

Любые совпадения, найденные на этом этапе, удаляются путем перезаписи нулями элемента, содержащего адрес функции обратного вызова, поэтому целевой драйвер аннулируется.

Sophos также полагает, что BlackByte использует в этих атаках поиск признаков работы отладчика в целевой системе и выход из него.

Вредоносная программа BlackByte проверяет список перехватывающих DLL-библиотек, используемых Avast, Sandboxie, библиотекой Windows DbgHelp и Comodo Internet Security, и прекращает свое выполнение в случае обнаружения.

Системные администраторы могут защититься от нового приема обхода безопасности BlackByte, добавив конкретный драйвер MSI в активный черный список.

Кроме того, администраторы должны отслеживать все события установки драйверов и почаще проверять их, чтобы найти мошеннические внедрения, которые не соответствуют оборудованию.

Обнаружена очередная шпионская зверюга под Android, которая позволяет злоумышленникам прослушивать телефонные разговоры жертв и скачивать их фотографии.

О новом шпионском софте под названием RatMilad сообщили специалисты по информационной безопасности из компании Zimperium.

ПО распространяется под видом приложений (таких как NumRent или Text Me) для генерации виртуальных номеров телефонов, которые обычно используются при регистрации большого числа аккаунтов в соцсетях и других онлайн-сервисах.

Согласно отчету Zimperium, за распространением стоит иранская хакерская группировка AppMilad, которая через рассылки в социальных сетях и различных службах обмена сообщениями, заманивает предполагаемых жертв к загрузке вредоносного ПО на свои устройства.

При запуске фейковой утилиты она запрашивают большое число разрешений, что, по словам экспертов, должно сразу насторожить пользователей. Малварь просит доступ к списку контактов, содержанию SMS-сообщений, микрофону, данным в буфере обмена, GPS и не только.

После бездумного "разрешить-далее" приложение начинает воровать информацию о перемещениях жертвы, записывать разговоры, сканировать медиафайлы и отправлять результаты на C2 злоумышленников.

Кроме того Zimperium обнаружили канал Telegram, который злоумышленники использовали для распространения вредоносного ПО.

Со слов экспертов, сообщение со ссылкой на вредоносное приложение набрало более 4700 просмотров и было опубликовано более 200 раз. Показатели достаточно условные и оценить реальную степень заражения RatMilad пока не возможно.

Cisco исправила потенциально серьезные уязвимости в некоторых своих сетевых и коммуникационных продуктах, включая Enterprise NFV, Expressway и TelePresence.

Компания сообщила клиентам, что ее серия Expressway и ПО TelePresence Video Communication Server подвержены двум уязвимостям высокой степени серьезности.

Одна из них CVE-2022-20814 связана с неправильной проверкой сертификата, может позволить удаленному злоумышленнику, не прошедшему проверку подлинности, получить доступ к конфиденциальным данным посредством атаки MiTM.

Успешное использование уязвимости может привести к перехвату или изменению трафика злоумышленником.

Вторая CVE-2022-20853 реализует атаки с подделкой межсайтовых запросов CSRF, позволяя злоумышленнику вызвать состояние DoS, заставив пользователя щелкнуть специально созданную ссылку.

В корпоративном ПО инфраструктуры NFV (NFVIS) Cisco устранила серьезную проблему, связанную с неправильной проверкой подписи файлов обновления (CVE-2022-20929).

Злоумышленник может воспользоваться уязвимостью, предоставив администратору неаутентичный файл обновления.

Злоумышленник может воспользоваться уязвимостью, предоставив администратору неаутентичный файл обновления. Успешный эксплойт может позволить злоумышленнику полностью скомпрометировать систему Cisco NFVIS.

Компания также выпустила рекомендации по безопасности для устранения уязвимостей средней степени серьезности в Smart Software Manager On-Prem, Jabber, BroadWorks, ATA, Touch 10, Secure Web Appliance.

Производитель заявляет, что ему неизвестно о каких-либо реальных вредоносных атаках, нацеленных на эти уязвимости.

Ресерчеры Trend Micro продолжают отслеживать атаки и инструменты одной из наиболее активных АРТ Earth Aughisky (также известной как Taidoor).

В течение последнего десятилетия группа продолжала вносить коррективы в инструменты и развертывание вредоносных ПО под конкретные цели, расположенные на Тайване, а в последнее время и в Японии.

В дополнение к исследованному АРТ арсеналу, представленному в исследовательском материале (здесь), Trend Micro добавили новые семейства вредоносных программ и инструменты с компонентами, которые хоть и не полностью атрибутированы, но имеют определенные признаки и связи.

Бэкдор Roudan (или Taidoor) - это классическое вредоносное ПО Earth Aughisky, впервые раскрытое более 10 лет назад, наблюдалось для различных форматов, используемых АРТ для обратного трафика, поскольку оно содержит закодированный MAC-адрес и данные.

LuckDLL — относительно новый бэкдор, о котором до сих пор не сообщалось. Активность обнаружена после 2020 года. Открытый ключ встроен в конфигурацию вредоносного ПО и впоследствии взаимодействует с C2-сервером. Затем LuckDLL генерирует случайный сеансовый ключ и вектор инициализации (IV) для шифрования трафика. Открытый ключ шифрует сеансовый ключ и IV во время первоначальной связи и передается C2. 

GrubbyRAT развертывается только тогда, когда АРТ заинтересована в важных целях. Файл конфигурации, о котором до сих пор не сообщается, иногда устанавливается в существующее приложение или общую системную папку и использует то же имя файла, что и компонент. Эта RAT устанавливается вручную и после того, как злоумышленник получил административные привилегии и контроль над зараженной системой.

Taikite (SVCMONDR) ранее не было отнесено к Earth Aughisky. Некоторые образцы этого удаленного файла, обнаруженные на Тайване в 2015 году, имели файл .pdb, аналогичный другим семействам и инструментам вредоносного ПО группы APT. Трафик обратного вызова C2 закодирован в Base64 и демонстрирует подробную структуру данных обратной связи и анализ поведения.

О бэкдоре SiyBot также еще не сообщалось, вероятно, потому, что используется реже и только в нескольких случаях. SiyBot злоупотребляет более ранними версиями общедоступных сервисов, таких как Gubb и 30 Boxes, для связи с C2, при этом необходимые учетные данные или токен можно найти в конфигурации вредоносного ПО.

Ресерчеры обнаружили, что один и тот же веб-сайт используется для размещения Roudan и SiyBot, а также полезной нагрузки загрузчика ASRWEC (инструмент, который также приписывается к АРТ) в том же хранилище.

Taleret — еще одно семейство вредоносных ПО, которое уже много лет идентифицируется к Earth Aughisky. Выявлены совпадения С2, одинаковых хэшей, механизмов ведения журналов и хостов блогов между Taleret и более ранними версиями полезной нагрузки Roudan.

Полный список индикаторов компрометации IOC можно найти здесь.