Исследователи из Лаборатории Касперского сообщают о возросшей в 2023 году активности вредоносного и нежелательного ПО для Android, вернувшейся к уровню начала 2021 после относительного затишья.
Обновленную статистику Kaspersky Security Network представили в своем отчете по мобильной вирусологии.
Благодаря решениям ЛК в 2023 удалось предотвратить почти 33,8 млн атак с использованием вредоносного, рекламного или нежелательного мобильного ПО.
При этом число уникальных установочных пакетов снизилось относительно 2022 года, что говорит о том, что злоумышленники значительно активнее, чем раньше, использовали одни и те же пакеты для заражения разных жертв.
Традиционно атакующие продолжили распространять вредоносные ПО через официальные магазины приложений, такие как Google Play.
Например, в магазине был замечен Trojan.AndroidOS.Agent.wr, маскирующийся под файловый менеджер и реализующий reverse proxy с рекламой.
Кроме того, официальные и сторонние площадки заполонили поддельные инвестиционные приложения для сбора пользовательских данных с помощью социнженерии, которые впоследствии утекали телефонным мошенникам.
Серьезную угрозу в 2023 представляли вредоносные модификации для популярных мессенджеров WhatsApp и Telegram, нацеленные на хищение данных ничего не подозревающих пользователей.
Самой распространенной угрозой для мобильных устройств стало рекламное ПО (AdWare) — 40,8% от всех обнаруженных угроз. Наиболее популярное семейство рекламного ПО - MobiDash (35,2%), за ним следуют Adlo (9,4%) и HiddenAd (9%).
При этом стоит отметить, что значительно уменьшилась активность вредоносного ПО типа Trojan-SMS, а в список самых распространенных вредоносных ПО вошли многие семейства, которых не было в двадцатке предыдущего года.
Что же касается географической привязки, то пользователи из Турции в 2023 году столкнулись с самым большим разнообразием угроз.
В их числе оказались разные модификации банковских троянцев BrowBot, GodFather и Sova, шпионы SmsThief.tp, SMS-троянцы Fakeapp.e и бэкдор Tambir.
Несколько специализированных угроз действовало и в Бразилии: здесь были активны банковские троянцы Banbra и Brats.
Преимущественно в Индонезии распространялись шпионы SmsThief и SmsEye, а на пользователях из Таиланда специализировался Fakeapp.g.
Общее число атак банковских троянцев осталось на уровне предыдущего года, несмотря на некоторое уменьшение числа уникальных установочных пакетов. По новым установочным пакетам вымогателей - зафиксирован небольшой рост.
Троянец Rasket (52,39%) вышел на первое место по числу атак среди других троянцев такого же типа, потеснив Pigertl (22,30%). Остальные строчки привычно занимают различные модификации давно известных Rkor, Congur, Small, Svpeng.
Обновленную статистику Kaspersky Security Network представили в своем отчете по мобильной вирусологии.
Благодаря решениям ЛК в 2023 удалось предотвратить почти 33,8 млн атак с использованием вредоносного, рекламного или нежелательного мобильного ПО.
При этом число уникальных установочных пакетов снизилось относительно 2022 года, что говорит о том, что злоумышленники значительно активнее, чем раньше, использовали одни и те же пакеты для заражения разных жертв.
Традиционно атакующие продолжили распространять вредоносные ПО через официальные магазины приложений, такие как Google Play.
Например, в магазине был замечен Trojan.AndroidOS.Agent.wr, маскирующийся под файловый менеджер и реализующий reverse proxy с рекламой.
Кроме того, официальные и сторонние площадки заполонили поддельные инвестиционные приложения для сбора пользовательских данных с помощью социнженерии, которые впоследствии утекали телефонным мошенникам.
Серьезную угрозу в 2023 представляли вредоносные модификации для популярных мессенджеров WhatsApp и Telegram, нацеленные на хищение данных ничего не подозревающих пользователей.
Самой распространенной угрозой для мобильных устройств стало рекламное ПО (AdWare) — 40,8% от всех обнаруженных угроз. Наиболее популярное семейство рекламного ПО - MobiDash (35,2%), за ним следуют Adlo (9,4%) и HiddenAd (9%).
При этом стоит отметить, что значительно уменьшилась активность вредоносного ПО типа Trojan-SMS, а в список самых распространенных вредоносных ПО вошли многие семейства, которых не было в двадцатке предыдущего года.
Что же касается географической привязки, то пользователи из Турции в 2023 году столкнулись с самым большим разнообразием угроз.
В их числе оказались разные модификации банковских троянцев BrowBot, GodFather и Sova, шпионы SmsThief.tp, SMS-троянцы Fakeapp.e и бэкдор Tambir.
Несколько специализированных угроз действовало и в Бразилии: здесь были активны банковские троянцы Banbra и Brats.
Преимущественно в Индонезии распространялись шпионы SmsThief и SmsEye, а на пользователях из Таиланда специализировался Fakeapp.g.
Общее число атак банковских троянцев осталось на уровне предыдущего года, несмотря на некоторое уменьшение числа уникальных установочных пакетов. По новым установочным пакетам вымогателей - зафиксирован небольшой рост.
Троянец Rasket (52,39%) вышел на первое место по числу атак среди других троянцев такого же типа, потеснив Pigertl (22,30%). Остальные строчки привычно занимают различные модификации давно известных Rkor, Congur, Small, Svpeng.
securelist.ru
Отчет «Лаборатории Касперского» о мобильных угрозах за 2023 год
Отчет содержит статистику и основные тренды, связанные с мобильным вредоносным ПО: троянцы в Google Play, вредоносные модификации мессенджеров и др.
Блэк SEO всегда будет в тренде и таргет на мертвые домены и поддомены, связанные с крупными брендами и популярными компаниями - далеко не новость.
Однако поражает воображение масштаб угрозы кампании SubdoMailing, в рамках которой были захвачены более 8000 доменов и 13000 субдоменов, принадлежащих легитимным брендам и учреждениям с целью распространения спама и монетизации кликов.
О проблеме рассказали исследователи из Guardio Labs, которые отслеживают скоординированную злонамеренную деятельность, как минимум с сентября 2022 года и приписывают ее ResurrecAds, уже известной своими манипуляциями с цифровой рекламной экосистемой из корыстных побуждений.
Как сообщают специалисты, злоумышленники управляют обширной инфраструктурой, охватывающей широкий спектр хостов, SMTP-серверов, IP-адресов и даже частных домашних подключений к интернет-провайдерам, наряду с множеством дополнительных собственных доменных имен.
Доверие, связанное с этими доменами, используется для распространения спама и злонамеренных фишинговых электронных писем по несколько миллионов каждый день, хитро используя их преимущество в обходе спам-фильтров и настроенных политик электронной почты SPF и DKIM.
В арсенале у злоумышленников имеются субдомены, связанные с такими крупными брендами и организациями, как ACLU, eBay, Lacoste, Marvel, McAfee, MSN, Pearson, PwC, Swatch, Symantec, The Economist, UNICEF и VMware, среди прочих.
Кампания примечательна своей способностью обходить стандартные блокировки безопасности, причем весь текст письма представлен в виде изображения, дабы избежать текстовых спам-фильтров, однако, клик по которому инициирует серию перенаправлений через разные домены.
Причем, эти редиректы проверяют тип вашего устройства и географическое положение, ведя к контенту, с максимальной монетизацией.
Сценарии разнообразные, от раздражающей рекламы или партнерской ссылки до более обманных тактик, направленных на мошеннические викторины, фишинговые сайты или даже загрузки вредоносного ПО.
Вариантов защиты немного, но, чтобы хоть как-то идентифицировать угрозу, специалисты Guardio Labs создали сайт для проверки поддоменов, который позволяет владельцам доменов определить, подвергается ли их бренд злоупотреблениям.
Однако поражает воображение масштаб угрозы кампании SubdoMailing, в рамках которой были захвачены более 8000 доменов и 13000 субдоменов, принадлежащих легитимным брендам и учреждениям с целью распространения спама и монетизации кликов.
О проблеме рассказали исследователи из Guardio Labs, которые отслеживают скоординированную злонамеренную деятельность, как минимум с сентября 2022 года и приписывают ее ResurrecAds, уже известной своими манипуляциями с цифровой рекламной экосистемой из корыстных побуждений.
Как сообщают специалисты, злоумышленники управляют обширной инфраструктурой, охватывающей широкий спектр хостов, SMTP-серверов, IP-адресов и даже частных домашних подключений к интернет-провайдерам, наряду с множеством дополнительных собственных доменных имен.
Доверие, связанное с этими доменами, используется для распространения спама и злонамеренных фишинговых электронных писем по несколько миллионов каждый день, хитро используя их преимущество в обходе спам-фильтров и настроенных политик электронной почты SPF и DKIM.
В арсенале у злоумышленников имеются субдомены, связанные с такими крупными брендами и организациями, как ACLU, eBay, Lacoste, Marvel, McAfee, MSN, Pearson, PwC, Swatch, Symantec, The Economist, UNICEF и VMware, среди прочих.
Кампания примечательна своей способностью обходить стандартные блокировки безопасности, причем весь текст письма представлен в виде изображения, дабы избежать текстовых спам-фильтров, однако, клик по которому инициирует серию перенаправлений через разные домены.
Причем, эти редиректы проверяют тип вашего устройства и географическое положение, ведя к контенту, с максимальной монетизацией.
Сценарии разнообразные, от раздражающей рекламы или партнерской ссылки до более обманных тактик, направленных на мошеннические викторины, фишинговые сайты или даже загрузки вредоносного ПО.
Вариантов защиты немного, но, чтобы хоть как-то идентифицировать угрозу, специалисты Guardio Labs создали сайт для проверки поддоменов, который позволяет владельцам доменов определить, подвергается ли их бренд злоупотреблениям.
Medium
“SubdoMailing” — Thousands of Hijacked Major-Brand Subdomains Found Bombarding Users With Millions of Malicious Emails
By Nati Tal, Oleg Zaytsev (Guardio Labs)
Раскрытые совсем недавно критические уязвимости ConnectWise ScreenConnect (CVE-2024-1708 и CVE-2024-1709), получившие наименование SlashAndGrab, стали экспулатироваться буквально на следующий день, а теперь и для доставки ransomware.
Причем по данным Huntress, SlashAndGrab использовался для доставки LockBit, Cobalt Strike, SSH-туннелей, инструментов удаленного управления и майнеров криптовалюты.
В числе жертв, выявленных компанией, оказались органы власти, системы экстренной помощи и организации в сфере здравоохранения.
В свою очередь, Sophos также сообщила, что ее исследователи наблюдали развертывание в скомпрометированных системах программы-вымогателя LockBit.
Причем уже после операции «Кронос», приведшей к захвату спецслужбами инфраструктуры банды.
Кроме того, Sophos фиксировались случаи доставки AsyncRAT, различных инфокрадов и ПО для удаленного доступа SimpleHelp.
И совсем свежая аналитика от Trend Micro указывает на то, что SlashAndGrab теперь в прицеле банды вымогателей BlackBasta и Bl00dy, которые реализуют уязвимости для взлома сетей и шифрования файлов.
Такими темпами SlashAndGrab рискует превзойти все достижения MOVEit 0-day, оттеняя попутно все недавние качели с Ivanti, но будем посмотреть.
Причем по данным Huntress, SlashAndGrab использовался для доставки LockBit, Cobalt Strike, SSH-туннелей, инструментов удаленного управления и майнеров криптовалюты.
В числе жертв, выявленных компанией, оказались органы власти, системы экстренной помощи и организации в сфере здравоохранения.
В свою очередь, Sophos также сообщила, что ее исследователи наблюдали развертывание в скомпрометированных системах программы-вымогателя LockBit.
Причем уже после операции «Кронос», приведшей к захвату спецслужбами инфраструктуры банды.
Кроме того, Sophos фиксировались случаи доставки AsyncRAT, различных инфокрадов и ПО для удаленного доступа SimpleHelp.
И совсем свежая аналитика от Trend Micro указывает на то, что SlashAndGrab теперь в прицеле банды вымогателей BlackBasta и Bl00dy, которые реализуют уязвимости для взлома сетей и шифрования файлов.
Такими темпами SlashAndGrab рискует превзойти все достижения MOVEit 0-day, оттеняя попутно все недавние качели с Ivanti, но будем посмотреть.
Trend Micro
Threat Actor Groups, Including Black Basta, are Exploiting Recent ScreenConnect Vulnerabilities
This blog entry gives a detailed analysis of these recent ScreenConnect vulnerabilities. We also discuss our discovery of threat actor groups, including Black Basta and Bl00dy Ransomware gangs, that are actively exploiting CVE-2024-1708 and CVE-2024-1709…
Бизоны сообщают о новых атаках активной с 2023 года Mysterious Werewolf на военно-промышленного комплекса РФ с помощью бэкдора RingSpy, написанного на Python.
Злоумышленники продолжают активно полагаться на фишинговые письма с приложенным архивом, который содержит легитимный документ в формате PDF, а также вредоносный файл CMD.
После открытия архива и двойного щелчка по документу эксплоит запускает файл CMD с использованием уязвимости CVE-2023-38831 в WinRAR для доставки в скомпрометированную систему нового оригинального инструмента - RingSpy.
Вредоносное ПО стало заменой агента Athena фреймворка Mythic, который Mysterious Werewolf применяла в предыдущих атаках.
RingSpy позволяет злоумышленнику удаленно выполнять команды, получать результат и скачивать файлы с сетевых ресурсов.
Mysterious Werewolf продолжает использовать легитимные сервисы для взаимодействия со скомпрометированными системами: в качестве командного сервера выступает бот в Telegram.
Индикаторы компрометации и MITRE ATT&CK - в отчете.
Злоумышленники продолжают активно полагаться на фишинговые письма с приложенным архивом, который содержит легитимный документ в формате PDF, а также вредоносный файл CMD.
После открытия архива и двойного щелчка по документу эксплоит запускает файл CMD с использованием уязвимости CVE-2023-38831 в WinRAR для доставки в скомпрометированную систему нового оригинального инструмента - RingSpy.
Вредоносное ПО стало заменой агента Athena фреймворка Mythic, который Mysterious Werewolf применяла в предыдущих атаках.
RingSpy позволяет злоумышленнику удаленно выполнять команды, получать результат и скачивать файлы с сетевых ресурсов.
Mysterious Werewolf продолжает использовать легитимные сервисы для взаимодействия со скомпрометированными системами: в качестве командного сервера выступает бот в Telegram.
Индикаторы компрометации и MITRE ATT&CK - в отчете.
BI.ZONE
Mysterious Werewolf атакует ВПК с помощью нового бэкдора RingSpy
Группировка использует фишинговую рассылку для первоначального доступа, а в ней — архив с исполняемым файлом, который доставляет в систему оригинальный бэкдор RingSpy для получения удаленного доступа
Исследователи Patchstack предупреждают об XSS-уязвимости, отслеживаемой как CVE-2023-40000, в плагине LiteSpeed Cache для WordPress.
LiteSpeed Cache - это популярный плагин кеширования в WordPress с более чем 5 миллионами активных установок.
Неаутентифицированный пользователь может использовать уязвимость для кражи конфиденциальной информации или повышения привилегий на сайте WordPress, выполнив всего лишь один HTTP-запрос.
Уязвимость затрагивает функцию update_cdn_status и и может быть воспроизведена при установке по умолчанию.
Основная проблема обусловлена тем, что код, обрабатывающий вводимые пользователем данные, не реализует очистку и экранирование вывода, что также сочетается с неправильным контролем доступа к одной из доступных конечных точек REST API из плагина.
Поскольку уязвимость связана с созданием значения HTML непосредственно из параметра тела POST для сообщения администратора, проблему можно решить, очистив ввод пользователя через esc_html непосредственно в затронутом параметре.
Кроме того, поставщик реализовал проверку разрешений для функции update_cdn_status, включая проверку хеша, чтобы ограничить доступ к функции исключительно привилегированным пользователям.
Уязвимость была устранена с выходом версии 5.7.0.1, при том последняя версия 6.1 выпущена 5 февраля 2024 года.
LiteSpeed Cache - это популярный плагин кеширования в WordPress с более чем 5 миллионами активных установок.
Неаутентифицированный пользователь может использовать уязвимость для кражи конфиденциальной информации или повышения привилегий на сайте WordPress, выполнив всего лишь один HTTP-запрос.
Уязвимость затрагивает функцию update_cdn_status и и может быть воспроизведена при установке по умолчанию.
Основная проблема обусловлена тем, что код, обрабатывающий вводимые пользователем данные, не реализует очистку и экранирование вывода, что также сочетается с неправильным контролем доступа к одной из доступных конечных точек REST API из плагина.
Поскольку уязвимость связана с созданием значения HTML непосредственно из параметра тела POST для сообщения администратора, проблему можно решить, очистив ввод пользователя через esc_html непосредственно в затронутом параметре.
Кроме того, поставщик реализовал проверку разрешений для функции update_cdn_status, включая проверку хеша, чтобы ограничить доступ к функции исключительно привилегированным пользователям.
Уязвимость была устранена с выходом версии 5.7.0.1, при том последняя версия 6.1 выпущена 5 февраля 2024 года.
Patchstack
XSS Vulnerability in LiteSpeed Cache Plugin - Patchstack
There is a vulnerability in the LiteSpeed Cache plugin - Unauth Site Wide Stored XSS in <= 5.7 affecting 4+ millions of sites.
Forwarded from Russian OSINT
Группа ученых из Флоридского университета опубликовала исследование, посвященное семейству атак с использованием беспроводных зарядок стандарта Qi, которое они назвали VoltSchemer.
Защититься от VoltSchemer не так уж сложно: достаточно не пользоваться публичными беспроводными зарядками и не подключать собственную беспроводную зарядку к подозрительным USB-портам и адаптерам питания.
Но, несмотря на то что атаки VoltSchemer весьма интересны и зрелищны, их практическая применимость крайне сомнительна. Во-первых, атаку очень сложно организовать. А во-вторых, не очень понятна потенциальная выгода для атакующего — разумеется, если он не маньяк-пироман.
А вот что это исследование демонстрирует, так это то, насколько в принципе опасны могут быть беспроводные зарядки — в особенности наиболее мощные модели. Так что избегать незнакомых беспроводных зарядок может оказаться и впрямь неплохой идеей. Взломать их вряд ли кто-то взломает, но вот опасность поджарить смартфон из-за «сошедшей с ума» и переставшей реагировать на команды зарядки вовсе не выглядит невероятной.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Продолжается передел рынка поставщиков spyware и прочих технологии массовой слежки, контроль над которым и доминантную позицию все увереннее занимают США.
На этот раз под санкционный пресс Министерства торговли США попала канадская компания Sandvine, для чего поводом стал контракт с властями Египта.
В официальном пресс-релизе утверждается, что сетевое оборудование Sandvine использовалось для мониторинга и цензурирования Интернет-трафика в Египте и проведения атак на местных политических деятелей и правозащитников.
Sandvine Canada и пять ее дочерних компаний были добавлены в список BIS Министерства торговли, фигурантам которого запрещено продавать технологии Sandvine без лицензии правительства США.
Таким образом, Sandvine становится пятым поставщиком коммерческого ПО для наблюдения и шпионажа, включенным в этот список наряду с известными Candiru, NSO Group, Intellexa и Cytrox, попавшими под санкции в 2021 и 2023.
Sandvine была основана в 2001 году и славится своими решениями в области анализа сетевого трафика, обеспечивая возможность устранения перегрузок сети и глубокой проверки пакетов.
Проблемы у компании начали возникать еще в конце 2010-х годов, когда правозащитные группы и исследователи стали обвинять компанию в сотрудничестве с поборниками демократии.
В своем отчете за 2020 год Bloomberg сообщали, что оборудование Sandvine задействовано в интернет-цензуре в 15 странах — Алжире, Афганистане, Азербайджане, Египте, Эритрее, Иордании, Кувейте, Пакистане, Катаре, России, Судане, Таиланде, Турции, Объединенных Арабских Эмиратах и Узбекистане.
Кроме того, согласно отчету CitizenLab в сентябре прошлого года, возможности Sandvine использовались для доставки шпионского ПО Predator на телефон Ахмеда Эльтантави, члена парламента, участвовавшего в президентской кампании.
Причем по мнению CitizenLab, такой метод внедрения через Sandvine был аналогичен тому инциденту 2018 года в Турции для доставки шпионского ПО сотням пользователей.
Усилившееся давление также способствовало тому, что ей пришлось уйти из Белоруссии в 2020 году после сообщений о том, что оборудование Sandvine применялось в ходе выборной кампании.
Позже в 2023 году ее выдавили и с рынка США.
Вполне вероятно, что торговые ограничения в отношении Sandvine реализованы по аналогии се Sandvine исполчьи технологии и специалисты уже давно в самих штатах, но работают под новым брендом и новыми кураторами, а главное с новым портфелем заказов.
На этот раз под санкционный пресс Министерства торговли США попала канадская компания Sandvine, для чего поводом стал контракт с властями Египта.
В официальном пресс-релизе утверждается, что сетевое оборудование Sandvine использовалось для мониторинга и цензурирования Интернет-трафика в Египте и проведения атак на местных политических деятелей и правозащитников.
Sandvine Canada и пять ее дочерних компаний были добавлены в список BIS Министерства торговли, фигурантам которого запрещено продавать технологии Sandvine без лицензии правительства США.
Таким образом, Sandvine становится пятым поставщиком коммерческого ПО для наблюдения и шпионажа, включенным в этот список наряду с известными Candiru, NSO Group, Intellexa и Cytrox, попавшими под санкции в 2021 и 2023.
Sandvine была основана в 2001 году и славится своими решениями в области анализа сетевого трафика, обеспечивая возможность устранения перегрузок сети и глубокой проверки пакетов.
Проблемы у компании начали возникать еще в конце 2010-х годов, когда правозащитные группы и исследователи стали обвинять компанию в сотрудничестве с поборниками демократии.
В своем отчете за 2020 год Bloomberg сообщали, что оборудование Sandvine задействовано в интернет-цензуре в 15 странах — Алжире, Афганистане, Азербайджане, Египте, Эритрее, Иордании, Кувейте, Пакистане, Катаре, России, Судане, Таиланде, Турции, Объединенных Арабских Эмиратах и Узбекистане.
Кроме того, согласно отчету CitizenLab в сентябре прошлого года, возможности Sandvine использовались для доставки шпионского ПО Predator на телефон Ахмеда Эльтантави, члена парламента, участвовавшего в президентской кампании.
Причем по мнению CitizenLab, такой метод внедрения через Sandvine был аналогичен тому инциденту 2018 года в Турции для доставки шпионского ПО сотням пользователей.
Усилившееся давление также способствовало тому, что ей пришлось уйти из Белоруссии в 2020 году после сообщений о том, что оборудование Sandvine применялось в ходе выборной кампании.
Позже в 2023 году ее выдавили и с рынка США.
Вполне вероятно, что торговые ограничения в отношении Sandvine реализованы по аналогии се Sandvine исполчьи технологии и специалисты уже давно в самих штатах, но работают под новым брендом и новыми кураторами, а главное с новым портфелем заказов.
Если шутки про DDoS через зубные щетки остались шутками, то всерьез стоит обратить внимание на исследование Лаборатории Касперского в отношении уязвимостей умных игрушек, которые превращают девайс в чат-рулетку с детьми по всему миру.
Любезно предоставив обучающего робота на опыты исследователям, нойнейм-производитель был очень удивлен, когда выяснилось, что дефекты в безопасности могли быть использованы для доступа к конфиденциальным данным и общения с детьми без ведома их родителей.
Робот предназначен для обучения и развлечения детей, представляя собой интерактивное устройство на базе Android с большим экраном, микрофоном, видеокамерой, а также возможностью передвижения.
Функционал включает игровые и обучающие приложения для детей, голосовой ассистент, подключение к Wi-Fi и связь с родительским приложением для смартфона.
Исследование выявило ряд уязвимостей в API игрушки, связанных с возможностью получения действительного токена доступа, передачей HTTP-трафика в открытом виде, раскрытием ключей доступа к API внешних используемых сервисов (например, QuickBlocks, Azure, Linode), перехватом токена Agora для видеосвязи.
Причем используемый в запросах к API короткий предсказуемый ID позволял осуществлять полный перебор всего множества уникальных идентификаторов с привязкой к IP-адресам, данным владельцев и ребенка.
Особо изощренный злоумышленник в случае успешной атаки на сервер обновлений имел возможность подмены файла-архива в облаке на вредоносный, что обеспечит ему возможность исполнять произвольные команды на всех роботах с привилегиями суперпользователя.
А не особо продвинутый также был способен поколдовать с checkAuthentication и путем перебора перепривязать произвольное устройство к своему аккаунту.
В совокупности весь набор обнаруженных проблем позволял злоумышленнику выкрасть чувствительную информацию (данные ребенка, город проживания, телефон и электронный адрес родителя), а также получить несанкционированный доступ к роботу со всеми вытекающими последствиями.
А это, в свою очередь, может привести к кибербуллингу, социальной инженерии и другим манипуляциям над ребенком вне ведома родителей.
Дабы избежать таких рисков, исследователи рекомендуют внимательно подходить к выбору умных игрушек, а также ответственно относится к обновлениям ПО.
Любезно предоставив обучающего робота на опыты исследователям, нойнейм-производитель был очень удивлен, когда выяснилось, что дефекты в безопасности могли быть использованы для доступа к конфиденциальным данным и общения с детьми без ведома их родителей.
Робот предназначен для обучения и развлечения детей, представляя собой интерактивное устройство на базе Android с большим экраном, микрофоном, видеокамерой, а также возможностью передвижения.
Функционал включает игровые и обучающие приложения для детей, голосовой ассистент, подключение к Wi-Fi и связь с родительским приложением для смартфона.
Исследование выявило ряд уязвимостей в API игрушки, связанных с возможностью получения действительного токена доступа, передачей HTTP-трафика в открытом виде, раскрытием ключей доступа к API внешних используемых сервисов (например, QuickBlocks, Azure, Linode), перехватом токена Agora для видеосвязи.
Причем используемый в запросах к API короткий предсказуемый ID позволял осуществлять полный перебор всего множества уникальных идентификаторов с привязкой к IP-адресам, данным владельцев и ребенка.
Особо изощренный злоумышленник в случае успешной атаки на сервер обновлений имел возможность подмены файла-архива в облаке на вредоносный, что обеспечит ему возможность исполнять произвольные команды на всех роботах с привилегиями суперпользователя.
А не особо продвинутый также был способен поколдовать с checkAuthentication и путем перебора перепривязать произвольное устройство к своему аккаунту.
В совокупности весь набор обнаруженных проблем позволял злоумышленнику выкрасть чувствительную информацию (данные ребенка, город проживания, телефон и электронный адрес родителя), а также получить несанкционированный доступ к роботу со всеми вытекающими последствиями.
А это, в свою очередь, может привести к кибербуллингу, социальной инженерии и другим манипуляциям над ребенком вне ведома родителей.
Дабы избежать таких рисков, исследователи рекомендуют внимательно подходить к выбору умных игрушек, а также ответственно относится к обновлениям ПО.
securelist.ru
Уязвимости детской обучающей игрушки-робота
Исследование безопасности детской обучающей игрушки-робота выявило уязвимости, позволяющие злоумышленнику перехватывать управление устройством и общаться с ребенком по видеосвязи.
Открыт новый набор на практические курсы по информационной безопасности INSECA.
Каждый модуль обучения содержит боевые задачи, с которыми ИБ-специалисты сталкиваются ежедневно.
🔹Threat Hunting. Практический курс по поиску киберугроз. Получите навыки выявления аномалий в инфраструктуре с помощью формулировки гипотез и их дальнейшей проверки. Начните бесплатно.
🔹Digital Forensics & Incident Response. Практический курс по цифровой криминалистике и реагированию на инциденты. Получите навыки, необходимые для расследования, анализа и реагирования на инциденты кибербезопасности. Начните бесплатно.
🔹Аналитик SOC. Практический курс по мониторингу и реагированию на инциденты. Получите навыки выявления киберугроз и оперативного реагирования на ИБ-инциденты с помощью инструментов класса SIEM и IRP\SOAR.
Каждый модуль обучения содержит боевые задачи, с которыми ИБ-специалисты сталкиваются ежедневно.
🔹Threat Hunting. Практический курс по поиску киберугроз. Получите навыки выявления аномалий в инфраструктуре с помощью формулировки гипотез и их дальнейшей проверки. Начните бесплатно.
🔹Digital Forensics & Incident Response. Практический курс по цифровой криминалистике и реагированию на инциденты. Получите навыки, необходимые для расследования, анализа и реагирования на инциденты кибербезопасности. Начните бесплатно.
🔹Аналитик SOC. Практический курс по мониторингу и реагированию на инциденты. Получите навыки выявления киберугроз и оперативного реагирования на ИБ-инциденты с помощью инструментов класса SIEM и IRP\SOAR.
Глубоко полюбившиеся бандам ransomware решения американской Progress Software вновь тренде угроз.
Обошлось без новой MOVEit MFT 0-day, но критичность не менее серьезна.
Новая проблема затрагивает OpenEdge Authentication Gateway и AdminServer до версий 11.7.19, 12.2.14, 12.8.1 и и оценивается на все 10.0 баллов CVSS.
CVE-2023-1403 представляет собой обход аутентификации в связи с неправильной определенных типов имен пользователей и паролей, позволяя злоумышленникам обходить аутентификацию и получать доступ к затронутым системам с произвольными привилегиями.
Ошибка исправлена с выпуском обновлений OpenEdge LTS 11.7.19, 12.2.14 и 12.8.1. Следует отметить, что представленные поставщиком меры по смягчению последствий имеют краткосрочный характер.
Как заверяет Progress Software, никаких упоминаний об эксплуатации не получено.
Во всяком случае пока. Но будем посмотреть.
Обошлось без новой MOVEit MFT 0-day, но критичность не менее серьезна.
Новая проблема затрагивает OpenEdge Authentication Gateway и AdminServer до версий 11.7.19, 12.2.14, 12.8.1 и и оценивается на все 10.0 баллов CVSS.
CVE-2023-1403 представляет собой обход аутентификации в связи с неправильной определенных типов имен пользователей и паролей, позволяя злоумышленникам обходить аутентификацию и получать доступ к затронутым системам с произвольными привилегиями.
Ошибка исправлена с выпуском обновлений OpenEdge LTS 11.7.19, 12.2.14 и 12.8.1. Следует отметить, что представленные поставщиком меры по смягчению последствий имеют краткосрочный характер.
Как заверяет Progress Software, никаких упоминаний об эксплуатации не получено.
Во всяком случае пока. Но будем посмотреть.
Lazarus Group использовала CVE-2024-21338 в драйвере AppLocker в качестве 0-day для повышения привилегий в атаках, задействуя руткит FudModule.
Раскрыть коварных северокорейцев смогли исследователи Avast, которые в августе 2023 года проинформировали Microsoft об обнаружении CVE-2024-21338 и представили убедительный PoC.
Недостаток был закрыт Microsoft в рамках PatchTuesday в феврале 2024 года. Однако Microsoft при этом умолчала об использовании уязвимости как 0-day.
Уязвимость затрагивает драйвер appid.sys, связанный с функцией безопасности AppLocker от Microsoft, который обеспечивает возможность внесения приложений в белый список.
Нацелившись на уязвимость в драйвере через диспетчер управления вводом и выводом (IOCTL), которая присутствует во многих системах, вместо использования BYOVD, злоумышленник добился более высокой степени скрытности.
Используя такую уязвимость, злоумышленник в некотором смысле реализует Living off the Land без необходимости загружать какие-либо пользовательские драйверы, что делает атаку ядра фактически безфайловой, позволяя обходить большинство защитных решений.
Используя CVE-2024-21338, Lazarus смогли повысить свои привилегии на скомпрометированной системе и установить примитив чтения/записи ядра.
А это, в свою очередь, позволило им выполнить прямые манипуляции с объектами ядра (DKOM) в обновленной версии руткита FudModule, которая появилась в 2022 году и была задокументирована ESET.
Ранее руткит использовал драйвер Dell для атак BYOVD.
Новый же вариант руткита включает в себя несколько улучшений, прежде всего в части скрытности и функциональности, включая новые и обновленные методы уклонения от обнаружения и отключения средств защиты, таких как AhnLab V3 Endpoint, Windows Defender, CrowdStrike Falcon и HitmanPro.
При этом наблюдаемая кампания Lazarus помимо 0-day также отметилась применением нового RAT, о котором исследователи намерены подробно рассказать позже на конференции BlackHat Asia в апреле.
Avast отмечают, что эта новая тактика Lazarus знаменует собой значительную эволюцию возможностей доступа к ядру, позволяя проводить более скрытые атаки и обеспечивать присутствие в скомпрометированных системах в течение более длительных периодов времени.
Правила YARA, связанные с последней версией руткита FudModule, можно найти здесь.
Раскрыть коварных северокорейцев смогли исследователи Avast, которые в августе 2023 года проинформировали Microsoft об обнаружении CVE-2024-21338 и представили убедительный PoC.
Недостаток был закрыт Microsoft в рамках PatchTuesday в феврале 2024 года. Однако Microsoft при этом умолчала об использовании уязвимости как 0-day.
Уязвимость затрагивает драйвер appid.sys, связанный с функцией безопасности AppLocker от Microsoft, который обеспечивает возможность внесения приложений в белый список.
Нацелившись на уязвимость в драйвере через диспетчер управления вводом и выводом (IOCTL), которая присутствует во многих системах, вместо использования BYOVD, злоумышленник добился более высокой степени скрытности.
Используя такую уязвимость, злоумышленник в некотором смысле реализует Living off the Land без необходимости загружать какие-либо пользовательские драйверы, что делает атаку ядра фактически безфайловой, позволяя обходить большинство защитных решений.
Используя CVE-2024-21338, Lazarus смогли повысить свои привилегии на скомпрометированной системе и установить примитив чтения/записи ядра.
А это, в свою очередь, позволило им выполнить прямые манипуляции с объектами ядра (DKOM) в обновленной версии руткита FudModule, которая появилась в 2022 году и была задокументирована ESET.
Ранее руткит использовал драйвер Dell для атак BYOVD.
Новый же вариант руткита включает в себя несколько улучшений, прежде всего в части скрытности и функциональности, включая новые и обновленные методы уклонения от обнаружения и отключения средств защиты, таких как AhnLab V3 Endpoint, Windows Defender, CrowdStrike Falcon и HitmanPro.
При этом наблюдаемая кампания Lazarus помимо 0-day также отметилась применением нового RAT, о котором исследователи намерены подробно рассказать позже на конференции BlackHat Asia в апреле.
Avast отмечают, что эта новая тактика Lazarus знаменует собой значительную эволюцию возможностей доступа к ядру, позволяя проводить более скрытые атаки и обеспечивать присутствие в скомпрометированных системах в течение более длительных периодов времени.
Правила YARA, связанные с последней версией руткита FudModule, можно найти здесь.
Gendigital
Lazarus and the FudModule Rootkit: Beyond BYOVD with an Admin-to-Kernel Zero-Day
Zero-Day Exploit Powers Advanced Rootkit
Сегодня день не задался у многих: у Microsoft Office с их 365 (на самом деле помним, как было и 364), затем пользователей Xiaomi накрыла волна «окирпичивания» их мобильных девайсов после обновления Hyper OS, а владельцы 3D-принтеров Anycubic по всему миру получили месседж от хакера.
Послание отправил некий хакер-альтруист, которые обнаружил уязвимость, позволяющую потенциальным злоумышленникам контролировать печать на принтерах через API службы MQTT.
И дабы не тратить время на объяснения и оповещение разработчиков хакер пошел с козырей и продемонстрировал атаку на устройства сам, в результате которой смог загрузить файл с предупреждением о найденной проблеме.
В результате на девайсы был доставлен файл с названием hacked_machine_readme.gcode, содержащий месседж о критической ошибке и дружеский совет пользователям отключить свои принтеры от интернета до тех пор, пока компания не устранит проблему.
Сообщалось, что под угрозой находятся более 290 тыс. принтеров по всему миру, но позже на форуме Reddit хакер уточнил, что фактическое количество затронутых устройств может быть значительно меньше, поскольку одно и то же предупреждение могло быть отправлено на один и тот же принтер несколько раз.
После появления сообщений о взломе временно перестало работать приложение Anycubic, которое выдавало ошибку "сеть недоступна".
Вероятно, это было вызвано с действиями компании по отключению сетевых функций в целях безопасности.
Так уж получилось, что о насущной проблеме хакер уведомил клиентов сам, при этом он все же связался с Anycubic и транслировал о проблеме, что дает надежду на скорое ее решение.
Anycubic, в свою очередь, еще не предоставила никаких официальных комментариев по поводу инцидента.
Послание отправил некий хакер-альтруист, которые обнаружил уязвимость, позволяющую потенциальным злоумышленникам контролировать печать на принтерах через API службы MQTT.
И дабы не тратить время на объяснения и оповещение разработчиков хакер пошел с козырей и продемонстрировал атаку на устройства сам, в результате которой смог загрузить файл с предупреждением о найденной проблеме.
В результате на девайсы был доставлен файл с названием hacked_machine_readme.gcode, содержащий месседж о критической ошибке и дружеский совет пользователям отключить свои принтеры от интернета до тех пор, пока компания не устранит проблему.
Сообщалось, что под угрозой находятся более 290 тыс. принтеров по всему миру, но позже на форуме Reddit хакер уточнил, что фактическое количество затронутых устройств может быть значительно меньше, поскольку одно и то же предупреждение могло быть отправлено на один и тот же принтер несколько раз.
После появления сообщений о взломе временно перестало работать приложение Anycubic, которое выдавало ошибку "сеть недоступна".
Вероятно, это было вызвано с действиями компании по отключению сетевых функций в целях безопасности.
Так уж получилось, что о насущной проблеме хакер уведомил клиентов сам, при этом он все же связался с Anycubic и транслировал о проблеме, что дает надежду на скорое ее решение.
Anycubic, в свою очередь, еще не предоставила никаких официальных комментариев по поводу инцидента.
TechCrunch
Anycubic users say their 3D printers were hacked to warn of a security flaw | TechCrunch
Anycubic customers are reporting that their 3D printers have been hacked and now display a message warning of an alleged security flaw in the company's systems.
Forwarded from Social Engineering
• Из названия понятно, какую тему мы сегодня затронем. Автор данной статьи собрал материал с других источников и проверил методы на практике, придав им актуальный статус и структурированный вид:
- Введение;
- Краткие сведения об 1C:Предприятие;
- Сценарии компьютерных атак на 1С;
- Поиск кластера 1C;
- Получение первоначального доступа;
- Эксплуатация отсутствия пароля;
- Подбор учетных записей;
- Анализ резервных копий.
• Другие полезные ссылки по теме:
- 1C-Exploit-Kit;
- Взломать за 60 секунд!
- 1С глазами пентестера;
- Формат файлов выгрузки DT;
- 1С глазами злоумышленника;
- Взломать сервер 1С за 15 минут;
- Консоль кода для управляемых форм;
- Взламываем Windows Server через 1С;
- Технология восстановления пароля 1С v8;
- Найти и уничтожить Популярные уязвимости в проектах 1С;
- НеБезопасный прикладной программный интерфейс сервера;
- Практический опыт построения защищенного контура для 1С-приложений;
- История одного взлома 1С или проверьте вашу систему на безопасность видео;
- Мастер класс по инструментам кластера 1С для повышения уровня защищённости системы;
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
В общем, если Microsoft Office 365 и Xiaomi на Hyper OS как-то пережили 29 февраля, то вот заправочные станции Allied Petroleum, Gull, Z и Waitomo в Новой Зеландии не смогли.
Как сообщает NZ Herald, возникли общенациональные проблемы с платежами по картам из-за сбоя в программном обеспечении, который, по словам администрации АЗС, был вызван тем, что их системы попросту не были запрограммированы на работу с датой 29 февраля.
Благо спустя сутки 1 марта сети АЗС снова заработали штатно после массовых отключений насосов, виной которым стала ошибка «високосного» кода в ПО.
Речь идет о платежных решениях Invenco, которые реализуют сервисы оплаты топлива. Разработчики сообщают, что совместно с Worldline ведут работы по исправлению софта, который был внедрен год назад.
Как сообщает NZ Herald, возникли общенациональные проблемы с платежами по картам из-за сбоя в программном обеспечении, который, по словам администрации АЗС, был вызван тем, что их системы попросту не были запрограммированы на работу с датой 29 февраля.
Благо спустя сутки 1 марта сети АЗС снова заработали штатно после массовых отключений насосов, виной которым стала ошибка «високосного» кода в ПО.
Речь идет о платежных решениях Invenco, которые реализуют сервисы оплаты топлива. Разработчики сообщают, что совместно с Worldline ведут работы по исправлению софта, который был внедрен год назад.
NZ Herald
Petrol pumps back online after day-long outage blamed on leap year glitch
The curse of February 29 hits Waitomo, Gull and Allied pumps along with BP truckstops.
Как мы и полагали, все инсинуации с инфраструктурой вымогателей - лишь небольшой хук, который вряд ли приведет к нокдауну RaaS, с чем также солидарны исследователи Wired.
Вслед за подбитыми LockBit и уже замеченными Bl00dy и Black Basta к эксплуатации ConnectWise ScreenConnect приступили операторы банды вымогателей ALPHV/BlackCat.
Активность заметили исследователи Huntress в ходе реагирования на инцидент у одного из своих клиентов, экземпляр ScreenConnect которого был скомпрометирован 22 февраля 2024 года менее чем за три минуты для доставки исполняемого файла BlackCat ransomware.
Как и в случае с LockBit разработчики ALPHV успешно восстановились после атак спецслужб и вовсю используют новую своего штамма программы-вымогателя.
Новая версия, отслеживаемая как версия 2.0 обновление Sphynx, была замечена в недавних атаках в этом месяце. Программа способна шифровать файлы в системах Windows, Linux и VMware.
Некоторые из новых атак AlphV затронули учреждения здравоохранения в США, которые группировка ранее обещала не атаковать.
Но табу, по всей видимости, были сняты после посягательств со стороны силовиков и теперь RaaS станет только вредоноснее.
Будем посмотреть.
Вслед за подбитыми LockBit и уже замеченными Bl00dy и Black Basta к эксплуатации ConnectWise ScreenConnect приступили операторы банды вымогателей ALPHV/BlackCat.
Активность заметили исследователи Huntress в ходе реагирования на инцидент у одного из своих клиентов, экземпляр ScreenConnect которого был скомпрометирован 22 февраля 2024 года менее чем за три минуты для доставки исполняемого файла BlackCat ransomware.
Как и в случае с LockBit разработчики ALPHV успешно восстановились после атак спецслужб и вовсю используют новую своего штамма программы-вымогателя.
Новая версия, отслеживаемая как версия 2.0 обновление Sphynx, была замечена в недавних атаках в этом месяце. Программа способна шифровать файлы в системах Windows, Linux и VMware.
Некоторые из новых атак AlphV затронули учреждения здравоохранения в США, которые группировка ранее обещала не атаковать.
Но табу, по всей видимости, были сняты после посягательств со стороны силовиков и теперь RaaS станет только вредоноснее.
Будем посмотреть.
WIRED
Ransomware Groups Are Bouncing Back Faster From Law Enforcement Busts
Two months ago, the FBI “disrupted” the BlackCat ransomware group. They're already back—and their latest attack is causing delays at pharmacies across the US.
Подкатили подробности серьезных уязвимостей, затрагивающих MeshCentral, Cisco и Zyxel, некоторые из которых еще не обзавелись ни CVE, ни исправлениями.
Исследователи Praetorian обнаружили уязвимость CVE-2024-26135 с CVSS 8,3 в MeshCentral, популярном решении для удаленного мониторинга и управления конечными точками.
Уязвимость межсайтового перехвата веб-сокетов CSWSH затрагивает компонент control.ashx и влияет на все версии до 1.1.20 включительно, исправлена в 1.1.21. Сложность атаки высокая, но доступен PoC.
Уязвимость можно использовать, если злоумышленнику удается убедить жертву щелкнуть вредоносную ссылку на подконтрольный сайт, что позволяет создать межсайтовое соединение через веб-сокет, используя код JavaScript на стороне клиента, чтобы подключиться к control.ashx в качестве пользователя-жертвы.
Cisco выпустила полугодовой пакет рекомендаций по безопасности FXOS и NX-OS, в том числе с исправлениями двух уязвимостей высокой степени серьезности.
Первая из серьезных ошибок, CVE-2024-20321, позволяет неаутентифицированному удаленному злоумышленнику вызвать состояние DoS, посылая большие объемы трафика.
Она затрагивает коммутаторы серии Nexus 3600 и линейные карты Nexus 9500 серии R.
Вторая серьезная CVE-2024-20267 позволяет удаленному злоумышленнику, не прошедшему проверку подлинности, инкапсулировать созданный пакет IPv6 в кадр MPLS и отправить его на уязвимое устройство, чтобы вызвать DoS-условие.
Проблема затрагивает коммутаторы серий Nexus 3000, Nexus 5500, Nexus 5600, Nexus 6000, Nexus 7000 и Nexus 9000, на которых настроен MPLS.
Исследователи Eclypsium предупреждают о множестве уязвимостей в линейке межсетевых экранов и VPN-устройств Zyxel USG с прошивкой версии 5.36 и ниже.
Злоумышленник, не прошедший проверку подлинности, может воспользоваться ими для полной компрометации необновленных устройств.
Несмотря на уведомления о уязвимостях, Zyxel отказалась давать рекомендации, поскольку уязвимости отсутствуют в последней версии прошивки.
В связи с тем, что уязвимостям не присвоены CVE, пользователи могут не знать об использовании уязвимых версий, в связи с чем следует обновить прошивку.
Исследователи Praetorian обнаружили уязвимость CVE-2024-26135 с CVSS 8,3 в MeshCentral, популярном решении для удаленного мониторинга и управления конечными точками.
Уязвимость межсайтового перехвата веб-сокетов CSWSH затрагивает компонент control.ashx и влияет на все версии до 1.1.20 включительно, исправлена в 1.1.21. Сложность атаки высокая, но доступен PoC.
Уязвимость можно использовать, если злоумышленнику удается убедить жертву щелкнуть вредоносную ссылку на подконтрольный сайт, что позволяет создать межсайтовое соединение через веб-сокет, используя код JavaScript на стороне клиента, чтобы подключиться к control.ashx в качестве пользователя-жертвы.
Cisco выпустила полугодовой пакет рекомендаций по безопасности FXOS и NX-OS, в том числе с исправлениями двух уязвимостей высокой степени серьезности.
Первая из серьезных ошибок, CVE-2024-20321, позволяет неаутентифицированному удаленному злоумышленнику вызвать состояние DoS, посылая большие объемы трафика.
Она затрагивает коммутаторы серии Nexus 3600 и линейные карты Nexus 9500 серии R.
Вторая серьезная CVE-2024-20267 позволяет удаленному злоумышленнику, не прошедшему проверку подлинности, инкапсулировать созданный пакет IPv6 в кадр MPLS и отправить его на уязвимое устройство, чтобы вызвать DoS-условие.
Проблема затрагивает коммутаторы серий Nexus 3000, Nexus 5500, Nexus 5600, Nexus 6000, Nexus 7000 и Nexus 9000, на которых настроен MPLS.
Исследователи Eclypsium предупреждают о множестве уязвимостей в линейке межсетевых экранов и VPN-устройств Zyxel USG с прошивкой версии 5.36 и ниже.
Злоумышленник, не прошедший проверку подлинности, может воспользоваться ими для полной компрометации необновленных устройств.
Несмотря на уведомления о уязвимостях, Zyxel отказалась давать рекомендации, поскольку уязвимости отсутствуют в последней версии прошивки.
В связи с тем, что уязвимостям не присвоены CVE, пользователи могут не знать об использовании уязвимых версий, в связи с чем следует обновить прошивку.
Исследователи Apiiro раскрыли новую волну скоординированной кампании, в результате которой на GitHub было загружено более 100 000 вредоносных репозиториев (на самом деле, предположительно, - миллионы).
Акторы используют опечатки в именах и автоматизированное разветвление, имитируя популярные репозитории и нацеливаясь таким образом на разработчиков, побуждая загрузить вредоносную версию вместо реальной.
В случае успеха - скрытая полезная нагрузка раскрывает семь уровней обфускации, включая извлечение модифицированной версии BlackCap-Grabber.
Инфокрад собирает учетные данные для входа из различных приложений, пароли браузера и файлы cookie, а также другие конфиденциальные данные, после чего выполняется длинный ряд дополнительных вредоносных действий.
Ориентированная на широкий охват кампания имеет своего рода сетевой эффект социнженерии второго порядка, когда время от времени наивные пользователи разветвляют вредоносные репозитории, не осознавая, что они распространяют вредоносное ПО.
Большинство разветвленных репозиториев быстро удаляются GitHub, который оперативно идентифицирует автоматизацию, что затрудняет документирование.
Тем не менее, небольшой процент остается и составляет тысячи вредоносных репозиториев. С учетом удаленных количество таких репозиториев достигает миллионных значений.
Исследователи Apiiro полагают, что вредоносная кампания началась еще в мае 2023 года, когда в PyPI было загружено несколько вредоносных пакетов, содержащих ранние части текущей полезной нагрузки.
Затем в июле того же года на GitHub было загружено еще несколько вредоносных репозиториев, на полезная нагрузка уже доставлялась напрямую, а не через импорт пакетов PyPI.
Тогда по этому поводу Trend Micro опубликовала подробный технический анализ.
А в ноябре 2023 Apiiro обнаружила более 100 000 репозиториев, содержащих аналогичные вредоносные полезные нагрузки, и их число продолжает расти.
Новая кампания достаточно эффективна, что обусловлено переходом от вредоносных пакетов в PyPI к репозиториям GitHub (с простотой автоматизации), а целевые репозитории занимают небольшую нишу и имеют низкую популярность.
А это позволяет ничего не подозревающим разработчикам совершить ошибку и клонировать своих злонамеренных подражателей.
Акторы используют опечатки в именах и автоматизированное разветвление, имитируя популярные репозитории и нацеливаясь таким образом на разработчиков, побуждая загрузить вредоносную версию вместо реальной.
В случае успеха - скрытая полезная нагрузка раскрывает семь уровней обфускации, включая извлечение модифицированной версии BlackCap-Grabber.
Инфокрад собирает учетные данные для входа из различных приложений, пароли браузера и файлы cookie, а также другие конфиденциальные данные, после чего выполняется длинный ряд дополнительных вредоносных действий.
Ориентированная на широкий охват кампания имеет своего рода сетевой эффект социнженерии второго порядка, когда время от времени наивные пользователи разветвляют вредоносные репозитории, не осознавая, что они распространяют вредоносное ПО.
Большинство разветвленных репозиториев быстро удаляются GitHub, который оперативно идентифицирует автоматизацию, что затрудняет документирование.
Тем не менее, небольшой процент остается и составляет тысячи вредоносных репозиториев. С учетом удаленных количество таких репозиториев достигает миллионных значений.
Исследователи Apiiro полагают, что вредоносная кампания началась еще в мае 2023 года, когда в PyPI было загружено несколько вредоносных пакетов, содержащих ранние части текущей полезной нагрузки.
Затем в июле того же года на GitHub было загружено еще несколько вредоносных репозиториев, на полезная нагрузка уже доставлялась напрямую, а не через импорт пакетов PyPI.
Тогда по этому поводу Trend Micro опубликовала подробный технический анализ.
А в ноябре 2023 Apiiro обнаружила более 100 000 репозиториев, содержащих аналогичные вредоносные полезные нагрузки, и их число продолжает расти.
Новая кампания достаточно эффективна, что обусловлено переходом от вредоносных пакетов в PyPI к репозиториям GitHub (с простотой автоматизации), а целевые репозитории занимают небольшую нишу и имеют низкую популярность.
А это позволяет ничего не подозревающим разработчикам совершить ошибку и клонировать своих злонамеренных подражателей.
Apiiro | Deep Application Security Posture Management (ASPM)
Over 100,000 Infected Repos Found on GitHub
The Apiiro research team has detected a repo confusion campaign that has evolved and expanded, impacting over 100k GitHub repos with malicious code.