Как-то мы уже были свидетелями того, как логи инфостиллеров помогали выйти на самих злоумышленников, но оказывается могут быть задействованы и по другим направлениям.

Новый подход успешно, как заявляется, обкатали исследователи Insikt Group из Recorded Future, которые в своем отчете рассказали, как им удалось вычислить 3324 уникальных аккаунта, связанных с распространением CSAM (сексуальное насилие над детьми).

Поскольку этот тип вредоносного ПО обычно распространяется через пиратское ПО, вредоносную рекламу и фейковые обновления, стиллеры могут в течение длительного времени красть данные из зараженных систем, причем жертва даже не подозревает об этом.

К ним в числе прочих относятся и пользователи CSAM, которые раскрывают все креды своих счетов, электронную почту и другие личные данные, включая и учетные данные, используемые для доступа к CSAM-ресурсам с регистрацией.

Используя другие украденные у цели данные, аналитики Insikt могли отследить учетные записи по именам пользователей на различных платформах, получить их IP-адреса и в некоторых случаях системную информацию.

Insikt использовала логи, собранные с февраля 2021 года по февраль 2024 года, для идентификации CSAM путем сопоставления украденных учетных данных с двадцатью известными доменами CSAM.

После чего сопоставили реквизиты с собственными OSINT-массивами.

Как правило, украденные с помощью стиллеров учетные данные задействуется для взлома других аккаунтов, проведения целевых атак или продажи их в даркнете другим заинтересованным хакерам.

Собранные же Insikt сведения, добытые с Redline, Raccoon и Vidar через даркнет, ушли в ином направлении, а именно переданы силовикам для оперативной разработки и привлечения к ответственности.

Метод хорош, конечно, однако конкретные источники получения логов исследователи не приводят, что наводит на мысли о возможной легализации представленных данных.

Впрочем, вестник вашингтонского обкома особо никогда не скрывал своей аффилированности.

Microsoft обнаружила и раскрыла подробности критических ошибок в Rockwell Automation PanelView Plus.

RCE- уязвимость CVE-2023-2071 (оценка CVSS: 9,8) связана с неправильной проверков входных данных в PanelView Plus и включает в себя два пользовательских класса, которые можно использовать для загрузки вредоносной DLL на устройство с помощью специально созданных вредоносных пакетов.

DoS-проблема CVE-2023-29464 (оценка CVSS: 8,2) использует тот же пользовательский класс и позволяет неаутентифицированному актору считывать данные из памяти с помощью специально созданных вредоносных пакетов и приводить к DoS путем отправки пакета, размер которого превышает размер буфера.

Успешная эксплуатация этих двух уязвимостей позволяет злоумышленнику удаленно выполнить код, привести к раскрытию информации или состоянию DoS.

В то время как CVE-2023-2071 влияет на FactoryTalk View Machine Edition (версии 13.0, 12.0 и более ранние), CVE-2023-29464 затрагивает FactoryTalk Linx (версии 6.30, 6.20 и более ранние).

Предупреждения об уязвимостях были выпущены Rockwell Automation еще 12 сентября 2023 года и 12 октября 2023 года соответственно.

Как работает Лаборатория Касперского?
Люди/Бизнес/Технологии

- Истории успеха сотрудников Лаборатории Касперского
- Самые скилловые реверсеры в мире?
- Западные медиа атаки и их влияние на бизнес

Проект ITRussia рассказывает о крупнейших Tech компаниях России и о молодых стартапах!

Подписывайтесь, участвуйте в розыгрышах и будьте в тренде tech рынка России!

Обзор Лаборатории Касперского: https://youtu.be/eo-RwPrgRDs?si=xNCUcMGxVFENwmOp

Google выкатила исправления для 25 уязвимостей в Android, включая критическую ошибку повышения привилегий.

Самая серьезная из этих проблем CVE-2024-31320 затрагивает версии Android 12 и 12L и связана с компонентом Framework.

Как поясняет Google, она может привести к локальному повышению привилегий без необходимости дополнительных привилегий выполнения.

Дефект был устранен в рамках исправления безопасности 2024-07-01, которое также устраняет семь других проблем высокой степени серьезности, включая три EoP-ошибки в Framework, еще три таких же и одну уязвимость раскрытия информации в System.

Вторая часть обновления безопасности Android за июль 2024 года поступает на устройства как уровень исправления безопасности 2024-07-05 и устраняет 17 уязвимостей в компонентах Kernel, Arm, Imagination Technologies, MediaTek и Qualcomm.

Устройства с уровнем безопасности 2024-07-05 содержат исправления для всех 25 ошибок.

Пользователям рекомендуется обновить свои устройства, как только оно станет доступным.

В этом месяце Google не представила новых исправлений в рамках обновления безопасности Android Automotive, но отметила, что обновление содержит все исправления, которые содержатся в исправлении безопасности уровня 2024-07-05.

По Pixel бюллетень безопасности с подробным описанием патчей еще не вышел.

Исследователи AhnLab ASEC сообщают об атаках на серверы HTTP File Server (HFS) от Rejett с использованием критической CVE-2024-23692, обнаруженной в августе 2023 года и публично раскрытой в мае этого года.

Уязвимость внедрения шаблона позволяет неаутентифицированным удаленным злоумышленникам отправлять специально созданный HTTP-запрос для выполнения произвольных команд в уязвимой системе, затрагивая версии до 2.3m включительно.

При этом Rejetto предупреждает пользователей, что версии с 2.3m по 2.4 опасны и не должны больше использоваться из-за ошибки, которая позволяет злоумышленникам полностью скомпрометировать системы, а исправления отсутствует.

Несмотря на это, HFS 2.3m по-прежнему пользуется большой популярностью среди пользователей, небольших групп, образовательных учреждений и разработчиков, и, как обнаружили AhnLab, также востребована хакерами.

PoC-эксплойты и модуль Metasploit стали доступны сразу вскоре после раскрытия и, по данным ASEC, тогда же и началась эксплуатация в дикой природе.

В ходе наблюдаемых атак хакеры ведут сбор системной информации, устанавливают бэкдоры и различные штаммы вредоносного ПО.

Злоумышленники выполняют команды типа whoami и arp для сбора информации о системе и текущем пользователе, обнаружения подключенных устройств и общего планирования последующих действий.

Во многих случаях злоумышленники завершают процесс HFS после добавления нового пользователя в группу администраторов, чтобы воспрепятствовать другим попыткам использовать его.

На следующих этапах атак ASEC наблюдала установку XMRig для майнинга Monero, одна из которых была приписана группе LemonDuck.

Среди других полезных нагрузок, доставленных на взломанные компьютеры: XenoRAT (вместе с XMRig), Gh0stRAT (для удаленного управления и кражи данных), PlugX (бэкдор для постоянного доступа), а также GoThief (инфостллер).

Рекомендуемый безопасный вариант продукта - 0.52.x, который, несмотря на более низкую версию, в настоящее время является последним релизом HFS от разработчика.

Он веб-ориентирован, требует минимальной настройки, поставляется с поддержкой HTTPS, динамического DNS и аутентификации для административной панели.

В отчете AhnLab представлен набор IoC, в том числе хэши вредоносного ПО, IP-адреса C2, а также URL-адреса для загрузки вредоносного ПО, используемого в атаках.

͏Влед за MOAB («Мать всех утечек») с 12 ТБ и 26 млрд. записей подкатила еще одна грандиозная утечка RockYou2024, включающая 10 млрд. паролей, став крупнейшей подборкой в своем роде.

Подборку с ошеломляющими 9 948 575 739 уникальными текстовыми паролями обнаружили исследователи Cybernews 4 июля на популярном хакерском форуме ObamaCare.

Ресерчеры сравнили пароли из утечки RockYou2024 с данными Leaked Password Checker от Cybernews, результаты показали, что они были получены как из старых, так и новых утечек данных.

По сути, RockYou2024 представляет собой подборку реальных паролей, используемых людьми по всему миру, максимализируя риски атак с подстановкой учетных данных, как в случае с Snowflake, Santander, Ticketmaster, Advance Auto Parts, QuoteWizard и др.

Причем, как выяснили исследователи, в основу новой RockYou2024 легла трехгодичная подборка RockYou2021, которая в свое время также была крупнейшей, включала 8,4 млрд. паролей в виде обычного текста и являлась расширением аналогичной от 2009 года.

Автор RockYou2024 по факту обогатил предыдущую, добавив еще 1,5 миллиарда паролей с 2021 по 2024 год из новых утечек и увеличив тем самым набор данных на 15 процентов.

Таким образом, последняя версия RockYou содержит информацию, собранную из более чем 4000 баз данных за более чем два десятилетия.

Cybernews полагает, что в сочетании с наводнившими даркнет утечками, которые, например, содержат адреса электронной почты и другие учетные данные, RockYou2024 может способствовать каскаду таких утечек и сопутствующих целевых атак.

Исследователи Dr.Web расчехлили Linux-версию известного трояна TgRat.

Вредоносное ПО принадлежит к типу троянов удалённого доступа, более известному под довольно неблагозвучной, но очень меткой аббревиатурой RAT.

Изначально TgRat, написанный для ОС Windows, был найден в 2022 году и представлял собой небольшую вредоносную ПО, предназначенную для выгрузки данных с конкретной скомпрометированной машины.

Не так давно вирусные аналитики Dr.Web обнаружили его собрата, адаптированного для работы в ОС Linux.

Запрос на расследование инцидента поступил в вирусную лабораторию от компании, предоставляющей услуги хостинга.

Как выяснилось был обнаружен подозрительный файл на сервере одного из клиентов, который дроппером трояна.

Он распаковывал в систему троян  Linux.BackDoor.TgRat.2.

Этот троян также создавался для атаки на конкретные компьютеры: при запуске он сверяет хеш имени машины со строкой, вшитой в тело трояна.

Если значения не совпадают, TgRat завершает свой процесс. А в случае успешного запуска подключается к сети и реализует довольно необычную схему взаимодействия со своим С2, в качестве которого выступает Telegram-бот.

Как отмечают специалисты, популярность мессенджера и рутинность трафика к серверам Telegram способствуют маскировке вредоносного ПО в скомпрометированной сети.

Управление трояном осуществляется через закрытую группу в Telegram, к которой подключен бот.

В отличие от своего собрата для Windows, код трояна был зашифрован RSA, а для выполнения команд использовался интерпретатор bash, что позволяло выполнять целые скрипты в рамках одного сообщения.

Каждый экземпляр трояна имеет свой собственный идентификатор — таким образом злоумышленники могли отправлять команды нескольким ботам, подключив их все к одному чату.

Данная атака, несмотря на её необычность в плане выбора схемы взаимодействия между трояном и управляющим сервером, может быть выявлена при внимательном анализе сетевого трафика: обмен данными с серверами Telegram может быть характерным для пользовательских компьютеров, но никак не для сервера в локальной сети.

По результатам исследования ресерчеры Dr.Web также представили индикаторы компрометации.

Исследователи Cybereason проследили за эволюцией вредоносного ПО GootLoader, который продолжает активно использоваться для доставки дополнительной полезной нагрузки в скомпрометированные хосты.

Обновления полезной нагрузки GootLoader привели к появлению нескольких версий, в настоящее время активно задействуется GootLoader 3.

Несмотря на то, что вредоносное ПО GootLoader со временем претерпело изменения, стратегии заражения и общая функциональность остаются прежними, как и при возрождении вредоносного ПО в 2020 году.

GootLoader, вредоносный загрузчик, часть банковского трояна Gootkit, связан с субъектом угрозы Hive0127 (он же UNC2565).

Он реализует JavaScript для загрузки инструментов пост-эксплуатации, распространяется с помощью вредоносного SEO.

Обычно служит каналом для доставки различных полезных нагрузок, таких как Cobalt Strike, Gootkit, IcedID, Kronos, REvil и SystemBC.

В последние месяцы разработчики GootLoader также запустили собственный инструмент C2 и горизонтального перемещения под названием GootBot, что свидетельствует о том, что группа расширяет свой рынок, завоевывая более широкую клиентскую базу

Цепочки атак включают взлом сайтов для размещения полезной нагрузки JavaScript GootLoader, выдавая ее за юридические документы и соглашения, которая при запуске устанавливает сохранение с помощью запланированной задачи.

Затем и выполняет дополнительный JavaScript, активируя скрипт PowerShell для сбора системной информации и ожидания дальнейших инструкций.

Атаки также примечательны использованием кодирования исходного кода, обфускации потока управления и размера полезной нагрузки для противодействия анализу и обнаружению.

Другая техника подразумевает внедрение вредоносного ПО в легитимные файлы библиотеки JavaScript, такие как jQuery, Lodash, Maplace.js и tui-chart.

Технический и сравнительный анализ всех версий - в отчете.

В git-сервисе китайских разработчиков Gogs обнаружены четыре неисправленных уязвимости, в том числе три критических с оценкой CVSS: 9,9.

Среди них:
- CVE-2024-39930 (CVSS: 9,9, внедрение аргумента во встроенный SSH-сервер),
- CVE-2024-39931 (CVSS: 9,9, удаление внутренних файлов), - CVE-2024-39932 (CVSS: 9,9, внедрение аргумента во время предварительного просмотра изменений),
- CVE-2024-39933 (CVSS: 7,7, внедрение аргумента при маркировке новых релизов).

По данным SonarSource, успешная эксплуатация первых трех недостатков может позволить злоумышленнику выполнять произвольные команды на сервере Gogs, в то время как четвертая уязвимость позволяет злоумышленникам читать произвольные файлы, включая исходный код и конфигурацию.

Другими словами, злоумышленник, злоупотребляя уязвимостями, может просмотреть, изменить или удалить любой код, нацелиться на внутренние хосты, доступные с сервера Gogs, а также выдать себя за других пользователей или получить больше привилегий.

При этом все четыре уязвимости требуют аутентификации.

Кроме того, для активации CVE-2024-39930 необходимо, чтобы был включен встроенный сервер SSH, использовался исполняемый файл env, а у злоумышленника был действительный закрытый ключ SSH.

Если в экземпляре Gogs включена регистрация, злоумышленник может просто создать учетную запись и зарегистрировать свой ключ SSH.

В противном случае придется взломать другую учетную запись или украсть закрытый ключ SSH пользователя.

Экземпляры Gogs на Windows не поддаются эксплуатации, как и образ Docker.

Однако те, которые работают на Debian и Ubuntu, уязвимы из-за того, что двоичный файл env поддерживает опцию "--split-string".

По данным Shodan, в Интернете доступно около 7300 экземпляров Gogs, причем почти 60% из них находятся в Китае, за которым следуют США, Германия, Россия и Гонконг.

В настоящее время неясно, сколько из этих открытых серверов уязвимы к вышеупомянутым недостаткам.

При этом SonarSource также пока не имеет никакой информацией о том, эксплуатируются ли эти проблемы в дикой природе.

Тем не менее, весьма удивила исследователей реакция разработчиков проекта, которые так и не внесли исправления, прекратив какой-либо диалог, после получения первоначального отчета 28 апреля 2023 года.

При отсутствии обновления пользователям рекомендуется отключить встроенный SSH-сервер, отключить регистрацию пользователей для предотвращения массовой эксплуатации и рассмотреть возможность перехода на Gitea.

SonarSource также выпустила патч, который, правда, по их признанию, еще не был тщательно протестирован. Но хотя бы.

На одной известной площадке выкатили на продажу достаточно необычный экспонат.

Речь идет об уязвимости в платформе HackerOne bug bounty, которая позволяет злоумышленнику с действительными учетными данными обходить 2FA для доступа к аккаунтам и, что самое замечательное, к сообщениям об ошибках.

Кроме того, обладатель волшебной палочки сможет заполучить причитающееся исследователям вознаграждение, подменив платежные реквизиты.

Исследователи из Лаборатории Касперского расчехлили новую APT, нацеленная на российские госструктуры с целью кибершпионажа.

Злоумышленник, получивший название CloudSorcerer, задействует сложное средство кибершпионажа, предназначенное для скрытого мониторинга, сбора и эксфильтрации данных через облачные службы Microsoft Graph, Yandex Cloud и Dropbox.

При этом использует общедоступные облачные сервисы для инфраструктуры C2, взаимодействуя с ними через API с помощью токенов аутентификации.

Согласно отчету, APT вручную запускает CloudSorcerer на скомпрометированных машинах, работает как отдельные модули в зависимости от запущенного процесса, в котором он выполняется, но запускается из одного исполняемого файла.

Вредоносное ПО способно функционировать как бэкдор, инициировать модуль связи C2, а также внедрять шелл-код в explorer.exe, msiexec.exe или mspaint.exe.

Модуль бэкдора реализует сбор различной системной информации о компьютере. Данные хранятся в специально созданной структуре и записываются в именованный канал, подключенный к модулю связи.

Ввесь обмен данными организован с использованием четко определенных структур с различными целями, таких как структуры команд бэкдора и структуры сбора информации.

На основе команд, полученных через тот же канал, вредоносная ПО может собирать дополнительную информацию, выполнять команды оболочки, операции с файлами и внедрять шелл-код в процессы.

Широкий диапазон дополнительных функций реализуются при получении определенного идентификатора команды.

Примечательно, что модуль связи C2 организует первоначальное подключение к странице GitHub с форками трех публичных проектов или mail[.]ru. Обе страницы содержат одну и ту же закодированную шестнадцатеричную строку.

Первый расшифрованный байт шестнадцатеричной строки указывает вредоносной ПО, какую облачную службу использовать.

Следующие байты представляют собой строку токена авторизации, который использует облачный API для аутентификации.

Модуль C2 взаимодействует с облачными сервисами, считывая данные, получая закодированные команды, декодируя их с помощью таблицы кодов символов и отправляя их через именованный канал в модуль бэкдора. И наоборот.

По принципу действия CloudSorcerer напоминает APT CloudWizard, однако код новой вредоносной ПО совершенно иной.

Ресечреры полагают, что за CloudSorcerer стоит новая APT, применившая аналогичный метод взаимодействия с публичными облачными службами.

IoC, MITRE ATT&CK и правила YARA - в отчете.

͏ИБшник растет...🤗

Avast выпустила дешифратор для DoNex ransomware, в том числе и для всех его прошлых версий.

DoNex ransomware - это ребрендинг DarkRace 2024 года, который, в свою очередь, был ребрендингом вируса-вымогателя Muse 2023 года, впервые разработанного в апреле 2022 года.

DoNex реализует прерывистое шифрование для файлов размером более 1 МБ.

С помощью функции CryptGenRandom() генерируется ключ шифрования, который инициализирует симметричный ключ ChaCha20, используемый для шифрования файлов жертвы, после чего ключ ChaCha20 шифруется с помощью RSA-4096 и добавляется в конец каждого файла.

Такая тактика увеличивает скорость шифрования файлов, но допускает ошибки, которые можно использовать для восстановления зашифрованных данных без выплаты выкупа.

При этом Avast не уточнила конкретно, в чем заключается уязвимость. Вероятно, может быть связана с повторным использованием ключей, предсказуемой генерацией ключей, неправильным заполнением или другими проблемами.

Как отмечают исследователи, уязвимость затрагивает все версии вымогателя семейства DoNex, включая замаскированный под Lockbit 3.0 вариант, использовавшийся под названием Muse в ноябре 2022 года.

По данным Avast, в последнее время DoNex была нацелен на компании в США, Италии и Бельгии, но в целом имела более широкий географический охват, включая и Россию.

Уязвимость в криптографической схеме программы-вымогателя при этом была найдена еще в марте 2024 года, но не придавалась огласке.

Компания оказывала помощь жертвам по восстановлению зашифрованных данных в частном порядке.

После того, как она была публично раскрыта на конференции Recon 2024 в прошлом месяце, Avast решила выпустить дешифратор.

Дешифратор Avast для DoNex и предыдущих вариантов доступен здесь.

Пользователям рекомендуется выбирать 64-битную версию, так как этап взлома пароля требует большого объема памяти.

Инструмент дешифратора должен запускаться пользователем с правами администратора и потребует пару зашифрованных и исходных файлов.

Avast рекомендует пользователям предоставить в качестве образца файл максимально возможного размера и обязательно создать перед этим резервную копию зашифрованных файлов.

Исследователи Cyberthint профилировали APT Sea Turtle, также известную как Sea Turtle, Teal Kurma, Marbled Dust, SILICON и Cosmic Wolf, которая базируется в Турции.

Хакеры действуют с 2017 года и изначально засветили на перехвате DNS.

В 2021 году связать их с турецкой стороной смогли исследователи Microsoft, которые присвоили группе наименование SILICON.

Несмотря на то, что активность APT фиксировалась многими, до настоящего времени сведения по группе имеются лишь в ограниченном числе источников.

Группа реализует сбор политической и экономической разведывательной информации.

Основные цели Sea Turtle, преимущественно, включают организации в Европе, на Ближнем Востоке и в Северной Африке, прежде всего, представляющие интерес для Турецкой республики: провайдеры, IT-вендоры, медиа и политические структуры (например, РПК).

В своем отчете Cyberthint упомянули некоторые приемы и подробности деятельности группы, связанные с нарушением доступа cPanel, задействованием инструментов Adminer и SnappyTCP, а также SSH для уклонения от обнаружения.

Структурированные TTPs и IoC - в отчете.

К недавней regreSSHion (CVE-2024-6387) присоединяется новая уязвимость в пакетах OpenSSH, потенциально позволяющая удаленное выполнение кода в системах Red Hat Enterprise Linux (RHEL) 9 и некоторых версиях Fedora.

CVE-2024-6409 имеет сходство со своей предшественницей, но считается менее опасной, поскольку проявляется после сброса привилегий в дочернем процессе, инициированном сервером SSH.

Эта уязвимость обнаружена в пакетах OpenSSH, включенных в RHEL 9, основанных на выпуске OpenSSH 8.7.

Проблема также затрагивает Fedora Linux 36 и 37, которые основаны на выпусках OpenSSH 8.7 и 8.8.

Уязвимость обусловлена состоянием гонки в обработчике прерываний SIGALRM, аналогичного предыдущей проблеме, но отличается своей причиной. Оно здесь инициируется вызовом cleanup_exit() в grace_alarm_handler() обработчике сигналов.

Хотя cleanup_exit() может использоваться в асинхронно выполняемом коде в основной кодовой базе OpenSSH, исправление, примененное к пакетам RHEL 9 и Fedora, реализует вызов cleanup_exit() для генерации событий аудита, что небезопасно для обработчиков сигналов.

Согласно заявлению Solar Designer на Openwall, главное отличие от CVE-2024-6387 заключается в том, что состояние гонки и потенциал RCE запускаются в дочернем процессе privsep, который работает с пониженными привилегиями, что смягчает потенциальный ущерб.

Однако потенциал для эксплуатации остается значительным. Если только одна из этих уязвимостей будет исправлена или смягчена, другая станет более значимой.

Как объясняет Designer, может появиться эксплойт, который будет работать против любой уязвимости вероятностно, что может уменьшить продолжительность атаки или увеличить вероятность успеха.

Уязвимость не затрагивает текущие выпуски Fedora, начиная с Fedora 38, которая использует более новые версии OpenSSH без проблемного вызова cleanup_exit().

К сожалению, предыдущий обходной путь для CVE-2024-6387, включающий опцию -e в sshd для отключения ведения журнала syslog, не решает эту новую проблему.

Вместо этого рекомендуется установить параметр LoginGraceTime=0 в sshd_config для блокировки уязвимости.

Исследователи F.A.C.C.T. проследили активность группировки VasyGrek (она же Fluffy Wolf по метрике BI.ZONE), нацеленной на российские компании как минимум с 2016 года, обнаружив тесную связь с разработчиком вредоносного ПО Mr.Burns.

Как выяснили исследователи, в погоне за аккаунтами ДБО злоумышленники задействуют коммерческие инфостилеры и RAT, в том числе и шедевры вирусописателя Mr.Burns.

Новое исследование раскрывают «деловые» контакты VasyGrek с продавцом вредоносных версий инструментов удаленного администрирования TeamViewer и RMS (Remote Utilities), которым F.A.C.C.T. присвоили общее наименование BurnsRAT.

Кроме того, также была установлена личность того самого Mr.Burns., русскоязычного завсегдатая даркнета, которым оказался некий Андрей Р. 1986 года из Тернополя.

Помимо прочего в арсенале VasyGrek обнаружены и другие вредоносные инструменты с черного рынка: программы разработки PureCoder (PureCrypter, PureLogs и т.д.s), MetaStealer, WarzoneRAT (AveMaria), а также стилер RedLine.

Все атаки злоумышленников начинаются с фишингового письма от имени бухгалтерии сторонней компании с просьбой завизировать акт сверки, платежное поручение, документ 1C.

К сообщению прилагается вредоносный архивный файл (или же указывается ссылкой), который содержит является загрузчик PureCrypter.

Цепочки заражения могут различаться и для каждого модуля предусмотрен свой PureCrypter.

На финальном этапе в систему доставляется BurnsRAT, который реализует по методу подмены DLL.

Примечательно, что все дополнительные модули используют один и тот же C2, но каждый инструмент подключается по своему порту.

После установки BurnsRAT на зараженное устройство отправляются команды вида cmdv start {URL} - для отображения в браузере поддельных страниц входа в банковские сервисы.

Технические и не только подробности, включая IoC — в отчете.

Правда, одному из первых его читателей, Каталину Чимпану, совсем не зашло про Андрея из Тернополя.

По всей видимости, этот румын порвался, так что несите следующего.

Подкатил июльский PatchTuesday от Microsoft с исправлениями для 142 уязвимостей, включая 2 активно эксплуатируемых и 2 публично раскрытых нуля.

В целом исправлено пять критических уязвимостей, все из которых связаны с RCE (в этой категории всего 59), а также 26, связанных с EoP, 24 - обходом функций безопасности, 9 - раскрытием информации, 17 - DoS и 7 - спуфингом.

Одна из активно эксплуатируемых 0-day CVE-2024-38080 затрагивает Windows Hyper-V и приводит к повышению привилегий до SYSTEM.

Несмотря на сообщения об эксплуатации, Microsoft не разглашает никаких дополнительных подробностей об уязвимости, включая информацию о том, кто ее обнаружил.

Другая используемая CVE-2024-38112 представляет собой уязвимость спуфинга в Windows MSHTML Platform.

Для успешной эксплуатации злоумышленнику придется отправить жертве вредоносный файл, который жертва должна будет выполнить.

Microsoft также не предоставила дополнительных подробностей о том, как была использована уязвимость, но поделилась, что обнаружил ее Хайфэем Ли из Check Point Research.

Среди публично раскрытых нулей: CVE-2024-35264 и CVE-2024-37985. Первая связана с RCE в NET и Visual Studio.

Злоумышленник может воспользоваться ей, закрыв поток http/3 во время обработки тела запроса, что приведет к состоянию гонки и удаленному выполнению кода.

Microsoft не разглашает, как именно была раскрыта эта информация, и утверждает, что она была обнаружена внутри компании.

CVE-2024-37985 связана с атакой по побочному каналу на ARM-процессорах, получившая название FetchBench.

Злоумышленник, успешно воспользовавшийся этой уязвимостью, может просматривать динамическую память из привилегированного процесса, запущенного на сервере.

Полный перечень с описанием каждой уязвимости и систем, которые она затрагивает, - здесь.

Ошибка возрастом 30 лет обнаружена исследователями из Бостонского университета, Cloudflare, BastionZero, Microsoft, Centrum Wiskunde&Informatica и Калифорнийского университета в Сан-Диего в популярном протоколе RADIUS, которая приводит к атаке BlastRADIUS.

Отсдеживаемая как CVE-2024-3596 (и VU#456537) позволяет опытному злоумышленнику реализовать эксплойты для аутентификации любого пользователя в локальной сети, обходя любые средства MFA.

InkBridge Networks уже выкатила техническое описание атаки BlastRADIUS, предупредив о серьезных рисках для корпоративных сетей, включая внутренние сети предприятий, сети интернет-провайдеров (ISP) и телекоммуникационных компаний.

Основная причина атаки заключается в том, что в протоколе RADIUS некоторые пакеты Access-Request не аутентифицированы и не имеют проверки целостности.

Затем злоумышленник может выполнить атаку с выбранным префиксом, которая позволяет изменить Access-Request, чтобы заменить допустимый ответ на тот, который выбрал злоумышленник.

Несмотря на то, что ответ аутентифицирован и проверен целостность, уязвимость выбранного префикса позволяет злоумышленнику изменить пакет ответа практически по своему желанию.

Протокол RADIUS, впервые стандартизированный в конце 1990-х годов, используется для управления доступом к сети посредством аутентификации, авторизации и учета и до сих пор широко применяется в коммутаторах, маршрутизаторах, точках доступа и продуктах VPN.

InkBridge Networks описала проблему как фундаментальный недостаток конструкции протокола и отметила, что все соответствующие стандартам клиенты и серверы RADIUS, вероятно, уязвимы для этой атаки.

Поскольку вся безопасность протокола RADIUS для транспортов UDP и TCP основана на общем секрете, эта атака, возможно, является самой серьезной атакой на протокол.

InkBridge Networks рекомендует как минимум обновить каждый сервер RADIUS по всему миру, чтобы устранить эту уязвимость.

Компания смогла разработать эксплойт, однако заверяет об отсутствии признаков того, что эта уязвимость активно эксплуатируется в реальных условиях.

И даже если кому-то это удастся воссоздать эксплойт, исследователи отмечают, что успешная атака будет дорогостоящей.

Правда, добавили, что такое вполне под силу, например, отдельно взятому государству.

Хуситы, оказывается, не только в войну могут, но и в киберпространстве неплохо ориентируются.

Исследователи Lookout раскрыли продолжающуюся операцию с использованием шпионского ПО под названием GuardZoo, нацеленную на военных по всему Ближнему Востоку.

По данным ресерчеров, кампания, предположительно начавшаяся еще в октябре 2019 года, приписывается группировке, связанной с хуситами. В основе атрибуции анализ приманок, журналы С2, спектр целей и расположение инфраструктуры атак.

Вредоносная активность охватила более 450 жертв из Египта, Омана, Катара, Саудовской Аравии, Турции, ОАЭ и Йемена, где по данным телеметрии, зафиксировано наибольшее число заражений.

GuardZoo - это модифицированная версия RAT для Android под названием Dendroid RAT, который был впервые обнаружен компанией Symantec в марте 2014 года. Весь исходный код, связанный с этим вредоносным ПО, был опубликован позднее в августе.

Изначально продававшийся как вредоносное ПО за 300 долларов США GuardZoo обладает возможностями совершать звонки, удалять журналы вызовов, открывать веб-страницы, записывать аудио переговоры, получать доступ к SMS, делать и загружать фотографии и видео и даже инициировать HTTP-флуд.

Однако в кодовую базу было внесено много изменений в плане добавления нового функционала.

При этом GuardZoo не задействует утекшую веб-панель PHP из Dendroid RAT для C2, а использует новый бэкэнд C2, созданный с помощью ASP.NET.

Цепочки атак включают личные сообщения WhatsApp для распространения GuardZoo в виде APK-файлов или же прямые загрузки троянизированных приложений Android из браузера по ссылке.

Обновленная версия вредоносного ПО поддерживает более 60 команд, которые позволяют ему извлекать дополнительные полезные данные, доставлять файлы и APK, красть данные, изображения и картографические файлы с устройств жертвы, менять C2, завершать работу, обновляться или удаляться с устройства.

GuardZoo использует одни и те же динамические домены DNS для операций C2 с октября 2019 года с различными IP из YemenNet.

Исследователи полагают, что GuardZoo используется для сбора как тактических, так и стратегических военных разведданных, которые могут быть использованы в интересах операций, проводимых хуситами.