Подкатывают все новые жертвы инцидента с MOVEit Transfer 0-day.

Инициировавшая атаку банда вымогателей Clop добавила пять новых жертв атак MOVEit на свой DLS в даркнете.

Среди них оказались Schneider Electric и Siemens Energy, чьи промышленные системы управления (ICS) используются в критической национальной инфраструктуре по всему миру.

Помимо них под раздачу попали: Калифорнийский университет в Лос-Анджелесе, werum и Abbie.

Пополнив и без того весьма внушительный список из сотен жертв, в который уже вошли правительственные учреждения США, British Airways, Boots, BBC, Aer Lingus, Ofcom, Shell, Gen Digital и многие другие.

Причем, в некоторых случаях последствия инцидента затрагивали помимо самой жертвы также ее контрагентов.

Например, как в случае с PBI Research Services, благодаря которой протекли Genworth Financial, Wilton Reassurance и CalPERS. В совокупности пострадали 4,75 миллиона человек, чьи данные попали в руки злоумышленников.

Будем следить за развитием ситуации.

Сеть АЗС Petro-Canada по всей Канаде подверглась кибератаке, в результате которой на протяжении нескольких дней клиенты не могли оплатить топливо банковской картой и войти в свои аккаунт на веб-сайте и в приложении.

В воскресенье через два дня после начала сбоя головная компания Suncor Energy опубликовала заявление, в котором сообщила, что столкнулась с инцидентом кибербезопасности и принимает необходимые меры.

По состоянию на начало недели в Торонто терминалы оплаты были не работоспособны и принималась только наличка.

Масштаб проблемы до конца не понятен, но для справки Suncor Energy является 48-й по величине публичной компанией в мире и одним из крупнейших производителей синтетического сырья в Канаде с годовым доходом в 31 миллиард долларов.

Об инциденте проинформированы соответствующие органы и к расследованию привлечены эксперты, однако на данный момент неизвестно о каких-либо фактах, что данные клиентов, поставщиков или сотрудников были скомпрометированы и использованы третьими лицами в злонамеренных целях.

Также в компания не предоставили никаких сведений об инциденте и на данный момент остается гадать, была ли это целенаправленная атака банд-вымогателей, умысел конкурентов или банальная безалаберность своих сотрудников.

Группа ученых из швейцарского университета ETH Zurich раскрыла подробности новой атаки RowPress, которая стала современной альтернативой RowHammer.

Еще в 2014 году атака RowHammer буквально всколыхнула рынок и заставила производителей чипов переосмыслить вопросы производства и безопасности в чипах DRAM.

Атака RowHammer, и все ее разновидности, основывалась на сверхбыстрых операциях чтения-записи, направленных на строку ячеек памяти внутри микросхемы DRAM, для создания электрических помех, которые изменяли или искажали данные в соседних строках.

Спустя многие годы производители чипов начали размещать строки памяти на большем расстоянии друг от друга и добавлять средства защиты на программном уровне, чтобы обнаруживать, когда приложения обращаются к строкам памяти со сверхвысокой скоростью.

Однако в отличие от RowHammer, новая атака работает, обращаясь к ряду ячеек памяти, а затем просто оставляя его открытым в течение длительного периода времени.

Исследовательская группа отмечает, что это неестественное поведение для ячеек памяти в конечном итоге приводит к модификации битов в соседних ячейках, аналогично классической атаке RowHammer.

Причем в ряде случаев ученным удавалось добиться битовых перестановок в строке DRAM сразу после единичной активации.

Поскольку RowPress не требует выполнения сверхбыстрых операций чтения-записи, средства защиты ПО RowHammer не применяются.

Атака также становится более эффективной по мере увеличения температуры чипа.

Исследователи протестировали RowPress на 164 микросхемах DDR4 DRAM всех трех основных производителей — Samsung, SK Hynix и Micron — по итогу все оказались уязвимы.

Несмотря на неутешительные результаты тестов, ученные полагают, что атаку достаточно легко смягчить на программном уровне, ограничив время, в течение которого строка памяти может оставаться открытой.

Подробно ознакомиться со всеми техническими деталями можно здесь, а код для воспроизведения атаки доступен на GitHub.

Польский разработчик шпионского приложения LetMeSpy уведомил своих клиентов об инциденте, в результате которого хакерам удалось скомпрометировать инфраструктуру, после чего выложить в паблик все конфиденциальные данные.

Приложение для слежки за владельцами Android-устройств специально разработано так, чтобы оставаться скрытым на главном экране телефона, что затрудняет обнаружение и удаление, позволяя наблюдать за человеком в режиме реального времени. Правда, для установки LetMeSpy требуется физический доступ.

В результате атаки преступники получили доступ к клиентским данным, включая адреса электронной почты и номера телефонов.

Помимо этого утечка включала перехваченные с помощью LetMeSpy сообщения, журналы вызовов и сведения о местоположении с отлеживаемых устройств.

Первыми о взломе сообщили Niebezpiecznik, которым удалось даже связаться со злоумышленником. Несмотря на это прояснить мотивы журналистам не удалось.

Хакер подтвердил, что ему удалось выкрасть всю базу данных, которая в тот же день оказалась в сети.

Она содержала сведения в отношении 26 000 клиентов и 13 000 объектов наблюдения, преимущественно находящихся в США, Индии и Западной Африке.

При том, что сам разработчик официально заявлял нахождении на мониторинге более чем 236 000 устройств.

Пострадал и сам разработчик LetMeSpy, личность которого в силу потенциальных юридических рисков оставалась втайне. Им оказался Рафал Лидвин из Кракова.

Пока же LetMeSpy лишь обратилась с заявлением к польским правоохранителям и регулятору по защите данных UODO, но вот уведомлять клиентов (и их визави по слежке) не спешит.

Теперь компания уверенно занимает самую верхнюю строчку в списке протекших шпионских приложений, следуя за Xnspy,KidsGuard, TheTruthSpy и Support King.

Пытливые умы, таки придумали что-то новое и показали, ранее не виданную миру технику внедрения вредоносного кода в легитимные процессы под названием Mockingjay.

Новая киллер-фича может позволяет злоумышленникам обходить EDR и другие продукты безопасности для скрытного выполнения вредоносного кода на скомпрометированных системах.

Исследователи из Security Joes обнаружили этот метод, который использует законные DLL с секциями RWX (чтение, запись, выполнение) для обхода EDR-хуков и внедрения кода в удаленные процессы.

Суть процесса заключается в том, чтобы выполнить произвольный код в адресном пространстве другого работающего процесса, которому доверяет операционная система, что дает злоумышленникам возможность запускать вредоносный код без его обнаружения.

Как говорят специалисты, Mockingjay выгодно отличается от других подходов, поскольку он не использует общепринятые практики с вызовом Windows API, не устанавливает специальные разрешения, не выполняет выделение памяти и даже не запускает поток, тем самым устраняя многие возможности для обнаружения.

Для демонстрации концепции исследователи разработали два метода внедрения, один для самовнедрения и один для внедрения в удаленный процесс.

В первом случае пользовательское приложение ("nightmare.exe") загружает уязвимую DLL непосредственно в свое адресное пространство, используя два вызова Windows API, предоставляя ей прямой доступ к секции RWX без выделения памяти или установки разрешений.

Ну, а второй метод включает в себя эксплуатацию секции TWX msys-2.0.dll для внедрения полезной нагрузки в удаленный процесс, в частности процесс "ssh.exe".

Таким образом пользовательское приложение запускает ssh.exe как дочерний процесс, открывает дескриптор к целевому процессу и внедряет вредоносный код в пространство памяти RWX уязвимой DLL.

Наконец, введенный шелл-код загружает DLL-файл "MyLibrary.dll", устанавливая обратную оболочку на компьютере злоумышленника.

Интересные новости подкатывают с судебного разбирательства Microsoft и Федеральной торговой комиссии* по поводу приобретения Activision Blizzard за 68,7 миллиарда долларов.

И дело даже не в том, по какому поводу идет процесс.

Оказывается, исходя из документов, которые Microsoft вынуждена была представить в суд, в планах корпорации перевести пользовательскую базу своей ОС Windows на облачную модель развертывания, которую она в настоящее время использует для своей ОС Windows 365, ориентированной на бизнес.

Свет на стратегические задумки пролила корпоративная презентация Microsoft по вопросу состояния бизнеса, датированная еще июнем 2022 года.

Правда, срок конкретный не указан, но будьте готовы попрощаться с локально установленной ОС в ближайшие годы. 

Так что Windows, похоже скоро, RIP.

͏Точное выполнение инструкций по безопасности на канале SecAtor

Поставщик средств защиты данных Arcserve устранил серьезную уязвимость в своем ПО для резервного копирования Unified Data Protection (UDP), которое может позволить обойти аутентификацию и получить права администратора.

Arcserve UDP — это решение для защиты данных, разработанное в том числе, чтобы помогать клиентам предотвращать атаки ransomware, обеспечивая эффективное аварийное восстановление для обеспечения непрерывности бизнес-процессов.

Решения для защиты данных используют 235 000 клиентов в 150 странах.

Ошибку обнаружили исследователи Хуан Мануэль Фернандес и Шон Доэрти из MDSec ActiveBreach еще четыре месяца, о чем немедленно уведомили разработчика.

Уязвимость отслеживается как CVE-2023-26258 и была исправлена в вышедшей 27 июня UDP 9.1.

Бага затрагивает Arcserve UDP версий 7.0–9.0 и позволяет злоумышленникам в локальной сети получить доступ к интерфейсу администратора UDP после извлечения и расшифровки учетных данных администратора путем захвата запросов SOAP, содержащих AuthUUID, для получения действительных сеансов администратора.

Используя учетные данные администратора злоумышленники могут стереть данные целей, включая резервные копии в ходе атак с использованием ransomware.

Исследователи MDSec ActiveBreach добавили, что даже если уязвимость устранена, получить учетные данные пользователя-администратора можно разными способами (из базы данных MSSQL по умолчанию или реестра).

Конечно, все они подразумевают определенные привилегии или учетные данные по умолчанию.

MDSec также поделились PoC и инструментами, которые можно использовать для сканирования Arcserve UDP с конфигурацией по умолчанию в локальных сетях, извлечения и расшифровки учетных данных с использованием обхода аутентификации в интерфейсе управления.

Исследователи BI.ZONE сообщают о возвращении группировки Red Wolf с новой кампанией, ориентированной на промышленный шпионаж.

Как известно, Red Wolf активна как минимум с июня 2018 года на территории России, Германии, Украины, Канады, Норвегии и Великобритании.

Группировка стремится оставаться незамеченной после проникновения как можно дольше (до 6 месяцев), поэтому разбивает процесс компрометации на этапы, обходя традиционные средства защиты.

Атакующие продолжают использовать фишинговые электронные письма для получения доступа к интересующим их организациям.

При этом для доставки ВПО на скомпрометированную систему используются IMG‑файлы, которые, в свою очередь, содержат LNK‑файлы.

Открытие такого файла приводит к запуску обфусцированного DLL‑файла, цели которого — загрузка на устройство жертвы и запуск RedCurl.FSABIN.

Таким образом атакующие получают возможность выполнять команды в скомпрометированной системе, а также загружать дополнительные инструменты для решения задач постэксплуатации.

В арсенале группировки - фреймворк собственной разработки, а также ряд общедоступных инструментов, включая LaZagne и AD Explorer. Для решения задач постэксплуатации активно используется PowerShell.

Несмотря на использование распространенных техник, Red Wolf до сих пор еще удается эффективно противодействовать традиционным средствам защиты, сводя возможность обнаружения к минимуму.

Это позволяет злоумышленнику оставаться незамеченным в скомпрометированной инфраструктуре продолжительное время, эффективно достигая поставленных целей.

Детальная информация о группировке, ее ТТР, а также дополнительные индикаторы компрометации доступны в отчете исследователей BI.ZONE.

Согласно последнему отчету Threat Pulse в настоящее время самой активной группой, является Lockbit 3.0, но такие новички как 8Base и Akira, набирают обороты.

Только за май 2023 года рансомварщики раскрыли данные о 436 организациях, что на 24% больше, чем в апреле 2023 года (352), и на 56% больше, чем в мае 2022 года.

Значительный вклад в "общее" дело внесли как раз таки представители 8Base, которые опубликовала данные о 67 жертвах.

Что за темная лошадка 8Base доподлинно не известно, но согласно Threat Analysis Unit от VMware Carbon Black, группа активна с марта 2022 года и ее деятельность стала более заметной как раз таки из-за значительного количества опубликованных в мае дампов данных.

Группировка в основном атакует малые и средние предприятия в сфере бизнес-услуг, консалтинга, финансов, производства и информационных технологий, используя стратегию двойного вымогательства и, как отмечают в ThreatMon, злоумышленники атакуют различными способами, включая фишинговые электронные письма, загрузки при просмотре веб-страниц и наборы эксплойтов.

Самое примечательное, заключается в том, что ее стиль общения поразительно похож на RansomHouse, еще одной группы вымогателей, деятельность которой была впервые замечена в мае 2022 года.

Лингвистический анализ показал, что записки с требованием выкупа, приветственные страницы сайтов утечек, страницы условий обслуживания и страницы FAQ обеих групп имеют один и тот же язык и стиль написания.

Но специалистами отмечены и два основных отличия, а именно: RansomHouse открыто рекламирует свои партнерства и активно ищет новые, в то время как 8Base этого не делает и дизайн страниц утечек отличается у двух групп.

RansomHouse известен тем, что использует широкий спектр программ-вымогателей, доступных на теневых площадках рынках и не имеет своей собственной малвари, в то время как у 8Base есть образцы с собственной настройкой бренда с добавлением '.8base' к зашифрованным файлам.

Однако формат всего добавленного раздела был таким же, как у Phobos, доступного в качестве программы-вымогателя как услуги (RAAS), включая раздел ID, адрес электронной почты и расширение файла.

Учитывая, что RansomHouse все еще активен и последние жертвы были доавлены 14 и 15 июня этого года среди аналитиков не утихают споры о том, что является ли 8Base ответвлением от Phobos или RansomHouse.

В целом статистика инцидентов с ransomware не утешительная и кто займет главенство в данном ремесле для жертвы мало имеет значение, ведь расплачиваться рублем в каком-то виде в любом случае придется.

͏Наш CISO, любим его.

͏Крупнейший в мире производитель полупроводников TSMC был атакован крупнейшей в мире бандой вымогателей, которая выкатила требование выкупа в размере 70 млн. долларов.

TSMC, безусловно, лидер рынка и замыкает на себя львиную долю в 65% от всего мирового рынка полупроводников и 90% высокопроизводительных микросхем. В штате работает более 65 000 сотрудников, а выручка за 2022 год превысила 72 млрд. долларов.

В свою очередь, LockBit является самым плодовитым синдикатом программ-вымогателей на рынке ransomware со своей моделью Ransomware-as-a-Service и списков из более чем 1800 жертв, публикуя иногда по 20 жертв за день, что по объему сопоставимо с тем, сколько другим группам удается сделать за квартал.

На DLS LockBit наименование компании появилось поздно вечером в четверг.

Злоумышленники пока не уточнили, какой тип данных и объем они смогли выкрасть, но сумма выкупа дает все основания не сомневаться в серьезности инцидента.

Однако в объявлении вымогателей нет никаких образцов данных, к которым злоумышленники могли получить доступ.

Злоумышленники пригрозили вывалить на всеобщее обозрение точки входа в сеть, а также учетные данные компании, если TSMC откажется от оплаты.

Тем временем, TSMC пока недоступна для комментариев, но не подтвердила нарушение.

Но будем посмотреть.

Исследователи австрийской SEC Consult, входящей в Eviden Atos Group, раскрыли подробности о критических уязвимостях в SAP, включая цепочку эксплойтов Wormable, которые могут подвергать организации атакам.

Недостатки были обнаружены по результатам исследовательского проекта, который длился три года. Исправления были выпущены SAP в середине 2021 года и январе 2023 года. 

Уязвимости отслеживаются как CVE-2021-27610, CVE-2021-33677, CVE-2021-33684 и CVE-2023-0014, и они влияют на продукты с компонентом SAP Application Server для ABAP.

Две из них CVE-2021-27610 и CVE-2023-0014 получили критический рейтинг серьезности.

Среди затронутых решений: центральный компонент SAP ERP (ECC), S/4HANA, BW/4HANA, Solution Manager (SolMan), SAP для нефтегазовой отрасли, SAP для коммунальных услуг, SRM, HCM и управление персоналом, а также продукты для расчета зарплаты ECP.

Кроме того, проблемы были обнаружены в ходе анализа интерфейса удаленного вызова функций RFC, предназначенного для связи между системами SAP.

Эксплуатация может привести к полной компрометации системы. Злоумышленнику нужен только сетевой доступ к целевой системе.

Несмотря на то, что уязвимые системы обычно доступны только внутри компании, ряд продуктов и конфигураций позволяют проэксплуатировать уязвимости непосредственно из Интернета.

Для использования уязвимостей не требуется взаимодействия с пользователем или специальных разрешений.

Все уязвимости опасны по отдельности, но они представляют еще больший риск в случае объединения в цепочку, что делает возможным автоматизированное использование и позволяет перемещаться в средах SAP.

Несмотря на то, что поставщик выпустил исправления уже больше полугода назад, организациям необходимо убедиться, что они все же установлены.

При этом SEC Consult рекомендует отдавать приоритет системам, открытым для ненадежных сетей.

Кроме того, следует обратить внимание, что помимо исправлений для устранения одного из недостатков требуются внесение изменений конфигурации.

Если установка исправлений невозможна, рекомендуется максимально ограничить сетевой доступ (RFC/HTTP) к уязвимым серверам, чтобы свести к минимуму доступную поверхность атаки, а также использовать зашифрованную связь между серверами с помощью HTTPS и SNC.

Подробная информация об уязвимостях и описание протокола RFC доступны в отдельном опубликованном документе SEC Consult.

Ресерчеры Лаборатории Касперского обнаружили ранее недокументированный троян удаленного доступа под названием EarlyRAT, используемый Andariel, одной из подгрупп северокорейской АРТ Lazarus.

Andariel (он же Stonefly) считается частью АРТ Lazarus, известной своим модульным бэкдором DTrack для сбора информации из скомпрометированных систем, включая историю просмотров, типизированные данные (кейлоггинг), снимки экрана, запущенные процессы и др.

Ранее в своем отчете исследователи WithSecure уже фиксировали, как северокорейская группа, использующая более новый вариант DTrack, возможно, Andariel, в течение двух месяцев нацеливалась на интеллектуальную собственность.

Лаборатория Касперского также связала Andariel с развертыванием ransomware Maui в России, Индии и Юго-Восточной Азии, поэтому группа угроз часто фокусируется на получении прибыли.

EarlyRAT используется АРТ для сбора системной информации со взломанных устройств и отправки ее на C2-сервер злоумышленника.

Лаборатория обнаружила EarlyRAT в ходе расследования кампании Andariel в середине 2022 года, когда злоумышленники использовали Log4Shell для взлома корпоративных сетей.

Воспользовавшись уязвимостью в ПО Log4j, Andariel загрузил готовые инструменты, такие как 3Proxy, Putty, Dumpert и Powerline, для проведения сетевой разведки, кражи учетных данных и бокового перемещения.

Аналитики также заметили в этих атаках фишинговый документ, в котором использовались макросы для получения полезной нагрузки EarlyRAT с сервера, связанного с прошлыми кампаниями вымогателей Maui.

EarlyRAT — это достаточно простой инструмент, который при запуске собирает системную информацию и отправляет ее на C2-сервер через POST-запрос.

Второй основной функцией EarlyRAT является выполнение команд в зараженной системе, возможно, для загрузки дополнительных полезных данных, эксфильтрации ценных данных или прерывания системных операций.

При этом EarlyRAT очень похож на MagicRAT, еще один инструмент, используемый Lazarus, функции которого включают создание запланированных задач и загрузку дополнительных вредоносных программ с C2.

Исследователи заметили, что наблюдаемые действия EarlyRAT выполнялись неопытным оператором, учитывая количество допущенных ошибок и опечаток.

Различные команды, выполняемые на взломанных сетевых устройствах, вводились вручную, а не жестко закодированы, что часто приводило к ошибкам, вызванным опечатками.

Кстати, во многом благодаря аналогичной небрежности, когда оператор группы забыл подрубить прокси и спалил свой IP-адрес, аналитики WithSecure смогли отследить кампанию Lazarus в прошлом году.

͏Не изменяя традициям, MITRE выпустила очередной ежегодный список из ТОП 25 самых опасных программных уязвимостей.

Разумеется, ошибок значительно больше, но если расставлять приоритеты с целью избавить себя от большинства проблем и снизить вероятность взлома до 1%, то на него определенно стоить обратить внимание.

В этом году в список вошли новые недостатки, связанные с недостаточной проверкой входных данных, неправильным использованием API и управлением ресурсами. Но в него также включены уязвимости, которые были в нем ранее, такие как инъекции, неправильное управление памятью и недостаточная обработка ошибок.

Список CWE-25 интересен тем, что написан не вилами на воде, а на основе данных из различных источников, включая отчеты об уязвимостях, данные о вредоносном ПО и информации об атаках, и что более примечательно, что он учитывает мнение экспертов по безопасности.

В общем ребята потрудились на славу и составили перечень, который, по сути, представляет собой важный инструмент для организаций, которые хотят улучшить свою безопасность, поскольку он помогает определить, какие уязвимости они должны устранить в первую очередь.

Также труды MITRE могут быть полезны для разработчиков, поскольку помогают понять, какие ошибки нужно избегать при написании кода.

Несмотря на то, что список основан на анализе общедоступных данных об уязвимостях, труд был титанический, поскольку всего было рассмотрено 43 996 записей CVE, каждой из которых была присвоена оценка в зависимости от распространенности и серьезности.

Что, если ваша защита - это главная СЛАБОСТЬ? Почему ваши данные всегда находятся в центре внимания ХАКЕРОВ? Может ли следующий мировой кризис быть спровоцирован КИБЕРВОЙНОЙ? Хотите узнать ответы на эти и другие вопросы?

Подписывайтесь на @SecLabNews и присоединяйтесь элите кибербезопасности. Вместе мы формируем будущее!

͏SecAtor продолжает внимательно следить за инцидентом с атакой LockBit на тайваньскую TSMC.

Тайваньская TSMC отрицает взлом, о котором заявили LockBit, которые выставили компанию на свой DLS и потребовали выкуп в размере 70 млн. долларов.

Тем не менее, в ответ на заявление Bassterlord поделился скриншотами в качестве пруфов, согласно которым атака на TSMC выглядела более чем реальной.

По ним видно, что злоумышленник имел полный доступ к системам TSMC, продемонстрировав адреса электронной почты, приложения и учетки для различных корпоративных систем.

Теперь, в случае отказа от выкупа LockBit пообещали вывалить в паблик точки входа в сеть, а также все пароли и логины компании.

В свою очередь, TSMC утверждают о принадлежности скринов к системам одного из своих поставщиков - Kinmax Technology.

Кроме того, по результатам проверки инцидент не повлиял на деятельность самой TSMC и не создал рисков утечки данных о клиентах.

Kinmax опубликовала заявление, в котором сообщила о компрометации 29 июня конкретной среды в его сети, а также о начале расследования с участием силовых структур.

Злоумышленникам удалось извлечь некоторые данные из системы, которые в основном носят служебный характер и не содержат чувствительной информации.

На чьей стороне правда, будем посмотреть.

Хакеры нацелились на 0-day для повышения привилегий в плагине WordPress под названием Ultimate Member для массовой компрометации сайтов.

Плагин Ultimate Member для регистрации и создания сообществ на сайтах WordPress имеет более 200 000 активных установок.

CVE-2023-3460 имеет оценку CVSS 9,8 и влияет на все версии подключаемого модуля Ultimate Member, включая самую последнюю v2.6.6.

Несмотря на все попытки разработчиков исправить уязвимость в версиях 2.6.3, 2.6.4, 2.6.5 и 2.6.6, до сих пор находятся способы ее использования. Тем не менее, разработчики продолжают работу над решением и надеются выпустить новое обновление в ближайшее время.

Атаки были обнаружены исследователями Wordfence, которые заметили, как злоумышленники устанавливают мета-значение пользователя «wp_capabilities» для получения прав администратора и полного доступа к уязвимому сайту.

У плагина есть черный список ключей, которые пользователи не должны обновлять; однако обойти эту меру защиты тривиально, говорит Wordfence.

Поскольку критический недостаток остается неисправленным, WordFence рекомендует немедленно удалить модуль Ultimate Member.

Wordfence объясняет, что правила брандмауэра не охватывают все возможные сценарии эксплуатации, поэтому удаление плагина остается единственным способом защиты.

Причем если сайт был уже скомпрометирован, удаления плагина будет недостаточно для устранения риска. В этих случаях владельцы должны выполнить полное сканирование на наличие вредоносных программ и деактивизировать мошеннические админские учетки.