Пострадавшая в результате киберинцидента в августе 2022 года LastPass сообщила о более серьезных последствиях, нежели чем считалось ранее.

Как позже стало известно, злоумышленникам удалось получить доступ к внушительному объему личной информации ее клиентов, включая зашифрованные данные хранилища паролей.

Предварительное расследование указало тогда на компрометацию хакерами исходного кода и технической информации из среды разработки.

В LastPass отметили, что это позволило неустановленному актору скопировать резервную копию данных хранилища клиентов из зашифрованного контейнера хранилища.

Оно реализовано в собственном двоичном формате, в котором содержатся как незашифрованные данные (URL-адреса веб-сайтов), так и полностью зашифрованные поля (имена пользователей и пароли веб-сайтов, защищенные заметки и др).

Зашифрованные поля защищены с помощью 256-битного шифрования AES и могут быть расшифрованы только с помощью уникального ключа шифрования, полученного из мастер-пароля пользователя с использованием так называемой архитектуры компании с нулевым разглашением. 

По факту была украдена почти вся основная информация об учетной записи клиента и связанные метаданные, включая наименование компаний, имена конечных пользователей, платежные адреса, электронная почта, номера телефонов и IP-адреса доступа к LastPass.

При этом инцидент не затронул незашифрованные финансовые данные, поскольку они архивировались в контейнер облачного хранилища.

LastPass не разглашает общее число пострадавших пользователей, однако отметила об уведомлении менее 3% своих клиентов о необходимости принятия дополнительных мер по обеспечению безопасности своих конфиденциальных данных.

Также компания призывает пользователей избегать повторного использования мастер-паролей на других сайтах.

В целом же, компания ожидает потенциальные атаки на клиентов посредством социнженерии и брута для последующего взлома мастер-пароля и расшифровки копии украденных данных хранилища.

Будем посмотреть.

Microsoft, как обычно, незаметно исправила важную уязвимость безопасности в службе Azure (ACS) после того, как исследователи из Mnemonic обнаружили, что проблемная функция допускает атаки в обход сети между арендаторами.

Как выяснили ресерчеры, уязвимость позволяет обойти периметр идентификации изолированных от Интернета экземпляров Azure Cognitive Search и предоставляет межклиентский доступ к плоскости данных экземпляров ACS из любого места, включая экземпляры без явного доступа к сети.

Ошибка затронула все экземпляры службы Azure с активированной функцией «разрешить доступ с портала».

Включив эту функцию, клиенты фактически разрешили межклиентский доступ к плоскости данных своих экземпляров ACS из любого места, независимо от фактических сетевых конфигураций последних.

Причем сюда вошли экземпляры, открытые исключительно на частных конечных точках, а также экземпляры без явного доступа к сети, даже без какой-либо частной, служебной или общедоступной конечной точки.

Простым нажатием кнопки клиенты могли включить уязвимую функцию, которая фактически сбрасывала весь сетевой периметр, настроенный вокруг их экземпляров ACS, без предоставления какого-либо реального периметра идентификации, позволяя любому создать действительный токен доступа для ARM.

Microsoft заплатила вознаграждение в размере 10 000 долларов и повысила уровень серьезности баги с умеренного до серьезного из-за простоты эксплуатации и создания риска эксплуатации для множества пользователей.

В какой-то момент в процессе раскрытия информации Microsof заявила, что исправление было отложено, потому что исправление требовало значительного изменения уровня дизайна.

Правда, по словам исследователя Эмильена Сокки, уязвимость, получившая наименование ACSESSED, все же была исправлена Microsoft без официального объявления в конце августа 2022 года, примерно через шесть месяцев после того, как о ней впервые сообщили.

Эксперты предупреждают о критической уязвимости ядра Linux в 10 баллов по шкале CVSS, которая затрагивает серверы SMB и может привести к RCE.

Критическая уязвимость ядра Linux делает уязвимыми для взлома SMB-серверы с включенным ksmbd (сервер ядра Linux, который реализует протокол SMB3 в пространстве ядра для обмена файлами по сети).

Проблема связана с неправильной обработкой команд SMB2_TREE_DISCONNECT, в виду отсутствия проверки существования объекта перед выполнением операций над объектом.

Удаленный злоумышленник, не прошедший проверку подлинности, может выполнить произвольный код на уязвимых установках ядра Linux.

Для использования этой уязвимости не требуется аутентификация, но уязвимы только системы с включенным ksmbd.

Уязвимость была обнаружена 26 июля 2022 года исследователями Арно Гатиньолом, Квентином Минстером, Флораном Соделем и Гийомом Тесье из команды Thales Group, и была публично раскрыта 22 декабря 2022 года.

Исследователь Шир Тамари из Wiz_IO отметил, что SMB-серверы, использующие Samba, не затронуты, добавив, что SMB-серверы, использующие ksmbd, уязвимы для доступа на чтение, что может привести к утечке памяти сервера (по аналогии с уязвимостью Heartbleed).

В силу новизны ksmbd большинство пользователей по-прежнему используют Samba.

Администраторам, использующим же ksmbd, рекомендуется обновить ядро Linux до выпущенной в августе версии 5.15.61 или более поздней.

Исследователь ReSolver обнаружил бэкдор в маршрутизаторах ZyXEL LTE3301-M209 LTE.

CVE-2022-40602 связана с жестко закодированными учетными данными по аналогии с аналогичными проблемами в Telnet в D-Link DWR-921. Он проанализировал ELF, сосредоточив внимание на функциях amit, которые содержали лазейку в маршрутизаторах D-Link.

Прошивка в основном представляет собой слияние 3 разделов, раздел LZMA — это ядро, по адресу 0x148CD6 — root-fs, а по адресу 0x90BD36 — содержимое www.

Внутри последних Squashfs есть файл, который содержит по адресу 0x10 целевые байты Zlib. Несмотря на то, что он не нашел учетных данных Telnet, но обнаружил что-то похожее на бэкдор в веб-интерфейсе.

12 сентября 2022 года он уведомил ZyXEL об уязвимости, отправив технические подробности. Через два дня ZyXEL подтвердила проблемы и отметила, что баги затрагивают только модель LTE3301-M209.

19 октября ошибке был присвоен CVE, а 22 ноября был опубликован бюллетень безопасности ZyXEL и выпущено исправление для прошивки. 

Zyxel PSIRT решила не раскрывать учетные данные, чтобы предотвратить массовую эксплуатацию в дикой природе.

Владельцам затронутых устройств необходимо как можно скорее обновить их до последней версии прошивки.

Еще раз вернемся к Zerobot, о котором изначально сообщали Fortinet две недели назад.

Ботнет Интернета вещей (IoT) представляет собой самовоспроизводящееся и самораспространяющеся вредоносное ПО, написанное на языке Golang (Go) и нацеленное более чем на двенадцать архитектур, с широким спектром возможностей распределенной DDoS.

Microsoft опубликовала собственный анализ Zerobot, предупредив, что вредоносное ПО было обновлено с дополнительными возможностями, включая эксплойты для двух уязвимостей в Apache и Apache Spark, отслеживаемых как CVE-2021-42013 и CVE-2022-33891 соответственно.

Известно, что ошибка подделки запросов на стороне сервера (SSRF), исправленная в октябре 2021 года, CVE-2021-42013, также использовалась и в других ботнетах, включая Enemybot DDoS.

В дополнение к ранее обнаруженным эксплойтам, проанализированный Microsoft образец Zerobot также включает эксплойты для CVE-2017-17105 (Zivif PR115-204-P-RS), CVE-2019-10655 (Grandstream), CVE-2020-25223 (Sophos SG UTM), CVE-2022-31137 (Roxy-WI) и ZSL-2022-5717 (MiniDVBLinux).

После выпуска Zerobot 1.1 операторы вредоносных программ исключили CVE-2018-12613, уязвимость phpMyAdmin, которая могла позволить злоумышленникам просматривать или выполнять файлы.

При этом исследователи также обнаружили новые доказательства того, что Zerobot распространяется, компрометируя устройства с известными уязвимостями, которые не включены в двоичный файл вредоносного ПО, такими как CVE-2022-30023, уязвимость внедрения команд в маршрутизаторах Tenda GPON AC1200.

После компрометации устройства Zerobot внедряет сценарий для запуска вредоносного ПО ботнета (или сценарий для определения архитектуры устройства и получения соответствующего двоичного файла), обеспечивая устойчивость.

Угроза не нацелена на компьютеры с Windows, но Microsoft заявляет, что обнаружила образцы Zerobot, которые могут работать в среде Windows.

Обновленный вариант Zerobot содержит несколько новых возможностей для запуска DDoS-атак с использованием протоколов UDP, ICMP, TCP, SYN, ACK и SYN-ACK.

Zerobot также может сканировать Интернет на наличие дополнительных устройств для заражения. Эта функция позволяет ему сканировать наборы случайно сгенерированных IP-адресов, пытаясь идентифицировать IP-адреса приманки.

Microsoft также определила образец, который может работать в Windows на основе кроссплатформенного (Linux, Windows, macOS) средства удаленного администрирования с открытым исходным кодом (RAT) с различными функциями, такими как управление процессами, файловые операции, создание снимков экрана и выполнение команд.

Видимо в канун нового года не до обновлений, особенно когда в Интернет-магазинах на WordPress идет активная продажа подарочных карт через популярный плагин YITH WooCommerce Gift Cards Premium.

Как оказалась, не менее активные продажи и у хакеров, которые штудируют сеть и эксплуатируют критическую уязвимость плагина CVE-2022-45359 с оценкой 9,8 по CVSS, которая позволяет неаутентифицированным пользователям загружать файлы на уязвимые ресурсы, обеспечивая себе полный контроль.

По классике жанра, все что касается WordPress всегда славится масштабом угроз и ошибка в YITH WooCommerce Gift Cards Premium не исключение, так как плагин используется на более чем 50 000 сайтах.

Уязвимость обнаружена 22 ноября и затрагивает все версии плагина вплоть до 3.19.0.

Патч появился еще в составе версии 3.20.0, но с тех пор производитель уже выпустил версию 3.21.0 и теперь настоятельно рекомендует обновляться именно до нее.

Исследователи Wordfence сообщают, что многие сайты, до сих пор используют уязвимую версию плагина, что к сожалению, не осталось без внимания злоумышленников, которые полным ходом эксплуатируют баг для загрузки бэкдоров, RCE и захвата чужих сайтов.

Специалисты разобрали эксплоит, который используют хакеры и выяснили, что корень проблемы заключается в функции import_actions_from_settings_panel, которая связана с хуком admin_init.

Кроме того, эта функция не выполняет проверки CSRF и capability, что в итоге позволяет отправлять POST-запросы в /wp-admin/admin-post.php для загрузки вредоносных исполняемых PHP-файлов на сайт. В логах это отображается, как unexpected POST-запросы с неизвестных IP-адресов.

Wordfence выяснили, что на уязвимые сайты хакеры загружали следующие файлы:

• kon.php/1tes.php - загружает в память копию файлового менеджера marijuana shell из удаленного источника (shell.prinsh[.]com);
• b.php — простой файл загрузчика;
• admin.php — защищенный паролем бэкдор.

Аналитики сообщают, что большинство атак произошло в ноябре, прежде чем администраторы успели исправить уязвимость, но второй пик взломов произошел 14 декабря 2022 года.

Атаки продолжаются и до сих пор, в связи с чем необходимо как можно скорее обновить YITH WooCommerce Gift Cards Premium до версии 3.21.

͏На Breached хакеры выложили на продажу базу данных со сведениями на 400 миллионов уникальных пользователей Twitter.

Селлер по имени Ryushi утверждает, что данные собраны в результате парсинга с использованием уже исправленной уязвимость API, предлагая эксклюзивную продажу за 200 000 долларов.

Ранее в январе 2022 года благодаря этой же уязвимости другим злоумышленникам удалось извлечь информацию на 5,4 миллиона пользователей, а также 17 млн. Однако последняя утечка осталась в привате и не продавалась.

В качестве доказательства причастности базы селлер предоставил образец, включающий порядка 1000 учетных записей, а также конкретные примеры данных 37 знаменитостей, политиков, журналистов, руководителей корпораций и госучреждений, включая Александрию Окасио-Кортес, Дональда Трампа-младшего, Марка Кубу, Кевина О'Лири и Пирса Моргана.

По данным Хадсон Рок, на первый взгляд пруфы кажутся достоверными, однако полностью полагать легитимность всей базы на этом этапе невозможно.

Содержащиеся в базе профили пользователей содержат общедоступные и конфиденциальные данные из Twitter, включая адреса электронной почты пользователей, установочные данные, количество подписчиков, дату создания и номера телефонов.

Продавец сообщил, что сделка покрывается услугой условного депонирования, предлагаемой администраторами форума Breached, в частности, небезызвестным pompompurin.

После продажи хакеры обещают удалить данные. В случае отказа от эксклюзивной покупки, база будет продана копиями нескольким покупателям по 60 000 долларов.

Хакеры обратились к Илону Маску с предложением приобрести данные, прежде чем это приведет к большому штрафу в размере 276 миллионов долларов США в соответствии с европейским законом о конфиденциальности GDPR, а также сослался на сообщение, в котором отражены основные способы дальнейшей компрометации пользовательских сведений в мошеннических целях.

Вместе с тем, как признаются сами хакеры, все попытки выйти на контакт с Twitter провалились. Компания пока никак не комментирует инцидент.

Но будем посмотреть.

Специалисты из CrowdStrike обнаружили новый штамм продвинутого лоадера GuLoader.

Как выяснилось, авторы малвари провели приличный апгрейд и добавили широкий спектр фич для обхода программных средств защиты.

GuLoader, также известный как CloudEyE, впервые был обнаружен в 2019 году и представляет собой загрузчик на Visual Basic Script (VBS), который используется для распространения троянов удаленного доступа.

Как отметили эксперты, новый метод антианализа основан на сканировании выделенной памяти всех процессов, связанных с виртуальной машиной.

Вредонос использует трёхэтапный процесс, в котором VBScript доставляет полезную нагрузку, отвечающую за доставку второго этапа и проверку виртуальной среды, после чего шелл-код внедряется в память.

Далее, шелл-код, помимо использования тех же методов антианализа, загружает финальную полезную нагрузку по выбору злоумышленника с удаленного сервера и выполняет ее на скомпрометированном хосте.

Причем шелл-код использует несколько приемов антианализа и анти-отладки на каждом этапе выполнения, выдавая соответствующие сообщения об ошибке, если вдруг обнаружит какой-либо известный метод анализа или механизм отладки.

В целях уклонения от ловушек NTDLL.dl, реализуемых решениями EDR систем, малварь использует, как назвали эксперты - механизм внедрения избыточного кода.

Ресерчеры из Cymulate вовсе продемонстрировали технику обхода EDR, известную как Blindside, которая позволяет запускать произвольный код с использованием аппаратных точек останова для создания «процесса, в котором только NTDLL находится в автономном, неподключенном состоянии».

Как заключили исследователи, GuLoader был и остается опасной угрозой, которая постоянно развивается благодаря новым методам уклонения от обнаружения.

͏BTC.com обчистили на $3 млн. в ходе кибератаки.

Cедьмой по величине пул майнинга криптовалюты официально объявил об инциденте, в результате которого злоумышленниками была совершена кража криптоактивов на сумму около 3 млн. долларов, в том числе 700 000, принадлежащие ее клиентам, и цифровые активы на 2,3 млн., принадлежащие компании.

Атаку удалось обнаружить 3 декабря 2022 года, после чего администрация связалась по этому поводу с китайскими силовиками в Шэньчжэне. 23 декабря власти объявили о начале официального расследования.

Благодаря оперативным действиям компании удалось вернуть часть украденной криптовалюты, однако конкретная сумма не называется.

BTC.com также приняли все необходимые меры для блокировки аналогичных атак в будущем.

Платформа в настоящее время продолжает работать в штатном режиме за исключением услуг по управлению цифровыми активами.

В настоящее время компания не раскрывает информации о том, каким образом злоумышленники смогли украсть криптовалюту.

Также не ясно, были ли украдены какие-либо корпоративные данные или личная информация клиентов во время инцидента.

После того, как Microsoft реализовала начиная с июля 2022 года блокировку макросов Visual Basic для приложений (VBA) по умолчанию для файлов Office, загруженных из Интернета, многие злоумышленники пересмотрели свою тактику и экспериментируют с альтернативными путями заражения для развертывания вредоносных программ.

Тем не менее, заряженные документы Office, доставляемые с помощью целевых фишинга и социнженерии, остаются одной из широко используемых точек входа для продвинутых акторов, нацеленных на RCE.

Такие файлы традиционно побуждают жертв включить макросы для просмотра, казалось бы, безобидного контента, однако по факту - активировать скрытное выполнение вредоносного ПО в фоновом режиме.

По данным Cisco Talos, APT и владельцы обычных вредоносных программ стали все чаще использовать файлы надстроек Excel (.XLL) в качестве начального вектора вторжения.

Файлы XLL Microsoft описывает как тип файла библиотеки динамической компоновки (DLL), который можно открыть только в Excel.

Их можно отправлять по электронной почте, и даже с обычными мерами сканирования на наличие вредоносных программ пользователи могут открывать их, не зная, что они содержат вредоносный код

Ресерчеры обнаружили, что субъекты угроз используют сочетание собственных надстроек, написанных на C++, а также надстроек, разработанных с использованием инструмента Excel-DNA.

Такая техника получила широкое применение с середины 2021 года и используется до настоящего времени.

Тем не менее, первое публично задокументированное злонамеренное использование XLL произошло в 2017 году, когда APT10 (ака Stone Panda) задействовала этот метод для внедрения бэкдора в память через процесс.

Кроме того, аналогичные шаги предпринимались и DoNot Team, FIN7.

Злоупотребление форматом файла XLL использовалось для распространения штаммов вредосного ПО Agent Tesla, Arkei, Buer, Dridex, Ducktail , Ekipa RAT, FormBook, IcedID, Vidar Stealer и Warzone RAT, что может указывать на новую тенденцию в современном ландшафте угроз.

Ресерчеры Trustwave отмечают, что помимо надстроек XLL Excel злоумышленниками также применяются макросы Microsoft Publisher. Метод, в частности, реализован в ноябрьском обновлении Ekipa RAT.

Как и в других офисных продуктах Microsoft, файлы Publisher могут содержать макросы, которые будут выполняться при открытии или закрытии файла, что делает их весьма интересным начальным вектором атаки.

При этом ограничения Microsoft, препятствующие выполнению макросов в файлах, загруженных из Интернета, не распространяются на Publisher.

Ekipa RAT — отличный пример того, как злоумышленники постоянно совершенствуют свои методы, чтобы опережать предпринимаемые разработчиками меры защиты.

Создатели этой вредоносной ПО отслеживают изменения в индустрии безопасности и соответствующим образом пересматривают свою тактику.

Группа исследователей Техасского университета A&M, Университета Темпл, Технологического института Нью-Джерси, Университета Рутгерса и Дейтонского университета США раскрыли метод атаки по побочному каналу, получивший название EarSpy, который позволяет прослушивать разговоров целевого пользователя через динамики устройства.

EarSpy использует динамик телефона в верхней части устройства, который подносится к уху, а также встроенный акселерометр для улавливания вибраций, генерируемых динамиком при получении конфиденциальной информации во время телефонного звонка..

При этом все предыдущие аналогичные исследования акцентровались на вибрациях, создаваемых динамиками телефона, или на внешнем компоненте для сбора данных.

Очевидным способом перехвата разговора является внедрение злоумышленником вредоносного ПО с возможностью записи звонка через микрофон телефона. Однако меры защиты Android значительно эволюционировали, и вредоносным ПО становится все сложнее получать необходимые разрешения.

С другой стороны, доступ к данным с датчиков движения в смартфоне не требует каких-либо специальных разрешений. Конечно, разработчики Android уже начали закладывать некоторые ограничения на сбор данных с датчиков, но атака EarSpy даже в условиях современного уровня безопасности все еще актуальна.

Вредоносное ПО, установленная на устройстве, может использовать атаку EarSpy для захвата потенциально конфиденциальной информации и отправки ее злоумышленнику. Причем атаки EarSpy становятся все более возможными благодаря улучшениям, которые производители смартфонов вносят в наушники. 

Точно так же в современных устройствах используются более чувствительные датчики движения и гироскопы, способные регистрировать даже мельчайшие резонансы динамиков.

Ресерчеры провели тесты на смартфонах OnePlus 7T и OnePlus 9 и обнаружили, что акселерометр из ушного динамика может захватывать значительно больше данных благодаря стереодинамикам, присутствующим в этих современных моделях, по сравнению со старыми моделями телефонов OnePlus, в котором их еще не было.

Эксперименты, проведенные академическими исследователями, наглядно показали влияние реверберации динамиков на акселерометр, позволяющей извлекать необходимые характеристики частотно-временной области и спектрограммы. Анализ был сосредоточен на распознавании пола, говорящего и речи.

В тесте распознавания пола, целью которого является определение того, является ли цель мужчиной или женщиной, атака EarSpy показала точность 98%. Точность была почти такой же высокой, 92% при определения личности говорящего. В случае же реальной речи, точность записи цифр, произносимых во время телефонного звонка, достигает 56%.

Одна снизить эффективность атаки EarSpy может уровень громкости. Более низкая громкость может предотвратить подслушивание через эту атаку по побочному каналу. Расположение аппаратных компонентов устройства и герметичность сборки также влияют на распространение реверберации динамика.

Исследователи рекомендуют производителям для защиты от таких атак обеспечивать стабильное звуковое давление во время разговора и размещать датчики движения в положении, при котором внутренние вибрации не влияют на них или, по крайней мере, оказывают минимально возможное воздействие.

͏Скучно живете если храните крипту и ваш Новый год не похож на этот, так как у многих пользователей криптокошельков BitKeep новогоднее настроение начнется с седых волос, ибо их кошельки были опустошены во время празднования Рождества.

BitKeep — это децентрализованный кошелек DeFi web3, поддерживающий более 30 блокчейнов, 76 сетей и более 20 000 децентрализованных приложений.

Активная аудитория насчитывает более 8 миллионов пользователей в 168 странах, которые используют кошелек для управления своими криптоактивами.

Специалисты из Peckshield сообщили, что примерно 8 миллионов долларов средств пользователей BitKeep были украдены через взломанную APK-версию криптокошелька.

Команда BitKeep уже подтвердила о проблеме в своей официальной учетной записи Telegram и сообщила, что хакеры перехватили загрузку некоторых пакетов APK, что привело к потере средств для ее пользователей.

В компании добавили, что пользователи, чьи средства были украдены, загрузили неизвестную версию ее приложения.

BitKeep уточнил, что пользователи должны переводить свои средства на кошельки, загруженные из официальных источников, таких как Google Play и App Store.

BitKeep рекомендовал своим пользователям создать новые адреса кошельков, поскольку хакеры могут по-прежнему иметь доступ к адресам, созданным через скомпрометированный APK.

Команда попросила пострадавших пользователей отправить свои данные в форму Google, добавив, что она выплатит полную компенсацию, если кража произошла по вине платформы.

По мере того, как команда будет получать актуальные сведения об атаке, она предоставит более подробную информацию о ней своим пользователям.

Пока известно, что хакер перевел большую часть средств на адрес кошелька в Binance Smart Chain (BSC). Общий ганорар злоумушленника включает 4373 $ BNB, 5,4 млн $ USDT, 196 тыс. DAI и 1233,21 ETH.

Криптофирма также принимает меры в заморозке адреса хакера и возвращении украденных средств.

У кого как, а у хакеров действительно Merry Christmas!