Исследователи из Лаборатории Касперского расчехлили новую APT, нацеленная на российские госструктуры с целью кибершпионажа.

Злоумышленник, получивший название CloudSorcerer, задействует сложное средство кибершпионажа, предназначенное для скрытого мониторинга, сбора и эксфильтрации данных через облачные службы Microsoft Graph, Yandex Cloud и Dropbox.

При этом использует общедоступные облачные сервисы для инфраструктуры C2, взаимодействуя с ними через API с помощью токенов аутентификации.

Согласно отчету, APT вручную запускает CloudSorcerer на скомпрометированных машинах, работает как отдельные модули в зависимости от запущенного процесса, в котором он выполняется, но запускается из одного исполняемого файла.

Вредоносное ПО способно функционировать как бэкдор, инициировать модуль связи C2, а также внедрять шелл-код в explorer.exe, msiexec.exe или mspaint.exe.

Модуль бэкдора реализует сбор различной системной информации о компьютере. Данные хранятся в специально созданной структуре и записываются в именованный канал, подключенный к модулю связи.

Ввесь обмен данными организован с использованием четко определенных структур с различными целями, таких как структуры команд бэкдора и структуры сбора информации.

На основе команд, полученных через тот же канал, вредоносная ПО может собирать дополнительную информацию, выполнять команды оболочки, операции с файлами и внедрять шелл-код в процессы.

Широкий диапазон дополнительных функций реализуются при получении определенного идентификатора команды.

Примечательно, что модуль связи C2 организует первоначальное подключение к странице GitHub с форками трех публичных проектов или mail[.]ru. Обе страницы содержат одну и ту же закодированную шестнадцатеричную строку.

Первый расшифрованный байт шестнадцатеричной строки указывает вредоносной ПО, какую облачную службу использовать.

Следующие байты представляют собой строку токена авторизации, который использует облачный API для аутентификации.

Модуль C2 взаимодействует с облачными сервисами, считывая данные, получая закодированные команды, декодируя их с помощью таблицы кодов символов и отправляя их через именованный канал в модуль бэкдора. И наоборот.

По принципу действия CloudSorcerer напоминает APT CloudWizard, однако код новой вредоносной ПО совершенно иной.

Ресечреры полагают, что за CloudSorcerer стоит новая APT, применившая аналогичный метод взаимодействия с публичными облачными службами.

IoC, MITRE ATT&CK и правила YARA - в отчете.

͏ИБшник растет...🤗

Avast выпустила дешифратор для DoNex ransomware, в том числе и для всех его прошлых версий.

DoNex ransomware - это ребрендинг DarkRace 2024 года, который, в свою очередь, был ребрендингом вируса-вымогателя Muse 2023 года, впервые разработанного в апреле 2022 года.

DoNex реализует прерывистое шифрование для файлов размером более 1 МБ.

С помощью функции CryptGenRandom() генерируется ключ шифрования, который инициализирует симметричный ключ ChaCha20, используемый для шифрования файлов жертвы, после чего ключ ChaCha20 шифруется с помощью RSA-4096 и добавляется в конец каждого файла.

Такая тактика увеличивает скорость шифрования файлов, но допускает ошибки, которые можно использовать для восстановления зашифрованных данных без выплаты выкупа.

При этом Avast не уточнила конкретно, в чем заключается уязвимость. Вероятно, может быть связана с повторным использованием ключей, предсказуемой генерацией ключей, неправильным заполнением или другими проблемами.

Как отмечают исследователи, уязвимость затрагивает все версии вымогателя семейства DoNex, включая замаскированный под Lockbit 3.0 вариант, использовавшийся под названием Muse в ноябре 2022 года.

По данным Avast, в последнее время DoNex была нацелен на компании в США, Италии и Бельгии, но в целом имела более широкий географический охват, включая и Россию.

Уязвимость в криптографической схеме программы-вымогателя при этом была найдена еще в марте 2024 года, но не придавалась огласке.

Компания оказывала помощь жертвам по восстановлению зашифрованных данных в частном порядке.

После того, как она была публично раскрыта на конференции Recon 2024 в прошлом месяце, Avast решила выпустить дешифратор.

Дешифратор Avast для DoNex и предыдущих вариантов доступен здесь.

Пользователям рекомендуется выбирать 64-битную версию, так как этап взлома пароля требует большого объема памяти.

Инструмент дешифратора должен запускаться пользователем с правами администратора и потребует пару зашифрованных и исходных файлов.

Avast рекомендует пользователям предоставить в качестве образца файл максимально возможного размера и обязательно создать перед этим резервную копию зашифрованных файлов.

Исследователи Cyberthint профилировали APT Sea Turtle, также известную как Sea Turtle, Teal Kurma, Marbled Dust, SILICON и Cosmic Wolf, которая базируется в Турции.

Хакеры действуют с 2017 года и изначально засветили на перехвате DNS.

В 2021 году связать их с турецкой стороной смогли исследователи Microsoft, которые присвоили группе наименование SILICON.

Несмотря на то, что активность APT фиксировалась многими, до настоящего времени сведения по группе имеются лишь в ограниченном числе источников.

Группа реализует сбор политической и экономической разведывательной информации.

Основные цели Sea Turtle, преимущественно, включают организации в Европе, на Ближнем Востоке и в Северной Африке, прежде всего, представляющие интерес для Турецкой республики: провайдеры, IT-вендоры, медиа и политические структуры (например, РПК).

В своем отчете Cyberthint упомянули некоторые приемы и подробности деятельности группы, связанные с нарушением доступа cPanel, задействованием инструментов Adminer и SnappyTCP, а также SSH для уклонения от обнаружения.

Структурированные TTPs и IoC - в отчете.

К недавней regreSSHion (CVE-2024-6387) присоединяется новая уязвимость в пакетах OpenSSH, потенциально позволяющая удаленное выполнение кода в системах Red Hat Enterprise Linux (RHEL) 9 и некоторых версиях Fedora.

CVE-2024-6409 имеет сходство со своей предшественницей, но считается менее опасной, поскольку проявляется после сброса привилегий в дочернем процессе, инициированном сервером SSH.

Эта уязвимость обнаружена в пакетах OpenSSH, включенных в RHEL 9, основанных на выпуске OpenSSH 8.7.

Проблема также затрагивает Fedora Linux 36 и 37, которые основаны на выпусках OpenSSH 8.7 и 8.8.

Уязвимость обусловлена состоянием гонки в обработчике прерываний SIGALRM, аналогичного предыдущей проблеме, но отличается своей причиной. Оно здесь инициируется вызовом cleanup_exit() в grace_alarm_handler() обработчике сигналов.

Хотя cleanup_exit() может использоваться в асинхронно выполняемом коде в основной кодовой базе OpenSSH, исправление, примененное к пакетам RHEL 9 и Fedora, реализует вызов cleanup_exit() для генерации событий аудита, что небезопасно для обработчиков сигналов.

Согласно заявлению Solar Designer на Openwall, главное отличие от CVE-2024-6387 заключается в том, что состояние гонки и потенциал RCE запускаются в дочернем процессе privsep, который работает с пониженными привилегиями, что смягчает потенциальный ущерб.

Однако потенциал для эксплуатации остается значительным. Если только одна из этих уязвимостей будет исправлена или смягчена, другая станет более значимой.

Как объясняет Designer, может появиться эксплойт, который будет работать против любой уязвимости вероятностно, что может уменьшить продолжительность атаки или увеличить вероятность успеха.

Уязвимость не затрагивает текущие выпуски Fedora, начиная с Fedora 38, которая использует более новые версии OpenSSH без проблемного вызова cleanup_exit().

К сожалению, предыдущий обходной путь для CVE-2024-6387, включающий опцию -e в sshd для отключения ведения журнала syslog, не решает эту новую проблему.

Вместо этого рекомендуется установить параметр LoginGraceTime=0 в sshd_config для блокировки уязвимости.

Исследователи F.A.C.C.T. проследили активность группировки VasyGrek (она же Fluffy Wolf по метрике BI.ZONE), нацеленной на российские компании как минимум с 2016 года, обнаружив тесную связь с разработчиком вредоносного ПО Mr.Burns.

Как выяснили исследователи, в погоне за аккаунтами ДБО злоумышленники задействуют коммерческие инфостилеры и RAT, в том числе и шедевры вирусописателя Mr.Burns.

Новое исследование раскрывают «деловые» контакты VasyGrek с продавцом вредоносных версий инструментов удаленного администрирования TeamViewer и RMS (Remote Utilities), которым F.A.C.C.T. присвоили общее наименование BurnsRAT.

Кроме того, также была установлена личность того самого Mr.Burns., русскоязычного завсегдатая даркнета, которым оказался некий Андрей Р. 1986 года из Тернополя.

Помимо прочего в арсенале VasyGrek обнаружены и другие вредоносные инструменты с черного рынка: программы разработки PureCoder (PureCrypter, PureLogs и т.д.s), MetaStealer, WarzoneRAT (AveMaria), а также стилер RedLine.

Все атаки злоумышленников начинаются с фишингового письма от имени бухгалтерии сторонней компании с просьбой завизировать акт сверки, платежное поручение, документ 1C.

К сообщению прилагается вредоносный архивный файл (или же указывается ссылкой), который содержит является загрузчик PureCrypter.

Цепочки заражения могут различаться и для каждого модуля предусмотрен свой PureCrypter.

На финальном этапе в систему доставляется BurnsRAT, который реализует по методу подмены DLL.

Примечательно, что все дополнительные модули используют один и тот же C2, но каждый инструмент подключается по своему порту.

После установки BurnsRAT на зараженное устройство отправляются команды вида cmdv start {URL} - для отображения в браузере поддельных страниц входа в банковские сервисы.

Технические и не только подробности, включая IoC — в отчете.

Правда, одному из первых его читателей, Каталину Чимпану, совсем не зашло про Андрея из Тернополя.

По всей видимости, этот румын порвался, так что несите следующего.

Подкатил июльский PatchTuesday от Microsoft с исправлениями для 142 уязвимостей, включая 2 активно эксплуатируемых и 2 публично раскрытых нуля.

В целом исправлено пять критических уязвимостей, все из которых связаны с RCE (в этой категории всего 59), а также 26, связанных с EoP, 24 - обходом функций безопасности, 9 - раскрытием информации, 17 - DoS и 7 - спуфингом.

Одна из активно эксплуатируемых 0-day CVE-2024-38080 затрагивает Windows Hyper-V и приводит к повышению привилегий до SYSTEM.

Несмотря на сообщения об эксплуатации, Microsoft не разглашает никаких дополнительных подробностей об уязвимости, включая информацию о том, кто ее обнаружил.

Другая используемая CVE-2024-38112 представляет собой уязвимость спуфинга в Windows MSHTML Platform.

Для успешной эксплуатации злоумышленнику придется отправить жертве вредоносный файл, который жертва должна будет выполнить.

Microsoft также не предоставила дополнительных подробностей о том, как была использована уязвимость, но поделилась, что обнаружил ее Хайфэем Ли из Check Point Research.

Среди публично раскрытых нулей: CVE-2024-35264 и CVE-2024-37985. Первая связана с RCE в NET и Visual Studio.

Злоумышленник может воспользоваться ей, закрыв поток http/3 во время обработки тела запроса, что приведет к состоянию гонки и удаленному выполнению кода.

Microsoft не разглашает, как именно была раскрыта эта информация, и утверждает, что она была обнаружена внутри компании.

CVE-2024-37985 связана с атакой по побочному каналу на ARM-процессорах, получившая название FetchBench.

Злоумышленник, успешно воспользовавшийся этой уязвимостью, может просматривать динамическую память из привилегированного процесса, запущенного на сервере.

Полный перечень с описанием каждой уязвимости и систем, которые она затрагивает, - здесь.

Ошибка возрастом 30 лет обнаружена исследователями из Бостонского университета, Cloudflare, BastionZero, Microsoft, Centrum Wiskunde&Informatica и Калифорнийского университета в Сан-Диего в популярном протоколе RADIUS, которая приводит к атаке BlastRADIUS.

Отсдеживаемая как CVE-2024-3596 (и VU#456537) позволяет опытному злоумышленнику реализовать эксплойты для аутентификации любого пользователя в локальной сети, обходя любые средства MFA.

InkBridge Networks уже выкатила техническое описание атаки BlastRADIUS, предупредив о серьезных рисках для корпоративных сетей, включая внутренние сети предприятий, сети интернет-провайдеров (ISP) и телекоммуникационных компаний.

Основная причина атаки заключается в том, что в протоколе RADIUS некоторые пакеты Access-Request не аутентифицированы и не имеют проверки целостности.

Затем злоумышленник может выполнить атаку с выбранным префиксом, которая позволяет изменить Access-Request, чтобы заменить допустимый ответ на тот, который выбрал злоумышленник.

Несмотря на то, что ответ аутентифицирован и проверен целостность, уязвимость выбранного префикса позволяет злоумышленнику изменить пакет ответа практически по своему желанию.

Протокол RADIUS, впервые стандартизированный в конце 1990-х годов, используется для управления доступом к сети посредством аутентификации, авторизации и учета и до сих пор широко применяется в коммутаторах, маршрутизаторах, точках доступа и продуктах VPN.

InkBridge Networks описала проблему как фундаментальный недостаток конструкции протокола и отметила, что все соответствующие стандартам клиенты и серверы RADIUS, вероятно, уязвимы для этой атаки.

Поскольку вся безопасность протокола RADIUS для транспортов UDP и TCP основана на общем секрете, эта атака, возможно, является самой серьезной атакой на протокол.

InkBridge Networks рекомендует как минимум обновить каждый сервер RADIUS по всему миру, чтобы устранить эту уязвимость.

Компания смогла разработать эксплойт, однако заверяет об отсутствии признаков того, что эта уязвимость активно эксплуатируется в реальных условиях.

И даже если кому-то это удастся воссоздать эксплойт, исследователи отмечают, что успешная атака будет дорогостоящей.

Правда, добавили, что такое вполне под силу, например, отдельно взятому государству.

Хуситы, оказывается, не только в войну могут, но и в киберпространстве неплохо ориентируются.

Исследователи Lookout раскрыли продолжающуюся операцию с использованием шпионского ПО под названием GuardZoo, нацеленную на военных по всему Ближнему Востоку.

По данным ресерчеров, кампания, предположительно начавшаяся еще в октябре 2019 года, приписывается группировке, связанной с хуситами. В основе атрибуции анализ приманок, журналы С2, спектр целей и расположение инфраструктуры атак.

Вредоносная активность охватила более 450 жертв из Египта, Омана, Катара, Саудовской Аравии, Турции, ОАЭ и Йемена, где по данным телеметрии, зафиксировано наибольшее число заражений.

GuardZoo - это модифицированная версия RAT для Android под названием Dendroid RAT, который был впервые обнаружен компанией Symantec в марте 2014 года. Весь исходный код, связанный с этим вредоносным ПО, был опубликован позднее в августе.

Изначально продававшийся как вредоносное ПО за 300 долларов США GuardZoo обладает возможностями совершать звонки, удалять журналы вызовов, открывать веб-страницы, записывать аудио переговоры, получать доступ к SMS, делать и загружать фотографии и видео и даже инициировать HTTP-флуд.

Однако в кодовую базу было внесено много изменений в плане добавления нового функционала.

При этом GuardZoo не задействует утекшую веб-панель PHP из Dendroid RAT для C2, а использует новый бэкэнд C2, созданный с помощью ASP.NET.

Цепочки атак включают личные сообщения WhatsApp для распространения GuardZoo в виде APK-файлов или же прямые загрузки троянизированных приложений Android из браузера по ссылке.

Обновленная версия вредоносного ПО поддерживает более 60 команд, которые позволяют ему извлекать дополнительные полезные данные, доставлять файлы и APK, красть данные, изображения и картографические файлы с устройств жертвы, менять C2, завершать работу, обновляться или удаляться с устройства.

GuardZoo использует одни и те же динамические домены DNS для операций C2 с октября 2019 года с различными IP из YemenNet.

Исследователи полагают, что GuardZoo используется для сбора как тактических, так и стратегических военных разведданных, которые могут быть использованы в интересах операций, проводимых хуситами.

Китайская KnownSec404 представила отчет в отношении SilverFox, которая, по всей видимости, переориентировалась с финсектора на кибершпионаж.

Начиная с 2022 года, как отмечают исследователи, Silver Fox стала более активной в Китае, задействуя различные каналы (почту, фишинговый сайты и мессенджеры) для распространения троянов.

На этот раз их внимание сместилось на учреждения и компании в сфере кибербезопасности, что заставляет пересмотреть цели атак этой группы.

Раскрытие недавней атаки Silver Fox началось с отслеживания фишинговых сайтов и связанных с ними вредоносных файлов.

В арсенале группы удалось заметить троян Winos, не известный загрузчик UpdateDll и инструмент обфускации PowerShell Out-EncodedSpecialCharOnlyCommand.

Причем Winos ранее уже неоднократно использовался Silver Fox в предыдущих атаках, нацеленных на налоговых и финансовых сотрудников.

Все текущие образцы Winos реализуют VMP (Virtual Machine Protect) для защиты кода. Запись реестра, в которой в данном случае хранится шелл-код, — «HKCU\Console\huorongniubi».

Функциональность и поток кода в других частях практически такие же, как и в ранее представленных версиях.

Первоначальный образец загрузчика, изначально названный Simple_ATL.DLL, в основном функционирует путем записи жестко закодированных данных в C:\Windows\system32\UpdateDll.dll и последующего их выполнения с помощью rundll32. 

Основная функция, экспортируемая UpdateMyDll, - это загрузка DLL с указанного адреса и ее выполнение. 

Out-EncodedSpecialCharOnlyCommand — это инструмент, который преобразует код скрипта PowerShell в чистый символьный код, который может использоваться злоумышленниками для улучшения обфускации вредоносных полезных нагрузок.

Принцип инструмента заключается в преобразовании кода PowerShell в непонятный символьный код с помощью настраиваемой таблицы сопоставления символов.

Новые образцы Winos свидетельствуют о том, что SilverFox предпринимает дополнительные усилия для противодействия анализу и активному расширению своего арсенала, но может быть частью маскировки другой APT.

͏В то время, как Microsoft анонсирует свой PatchTuesday, в даркнете выкатывают новую Windows LPE 0-day.

Некто Cvsp предлагает приблуду за 150 000 долларов США и заверяет, что вероятность успеха составляет 98%.

GitLab предупреждает о критической уязвимости в GitLab Community и Enterprise, которая влияет на функционал непрерывной интеграции/непрерывного развертывания (CI/CD).

CVE-2024-6385 получила оценку серьезности CVSS 9,6 из 10 и затрагивает все версии GitLab CE/EE от 15.8 до 16.11.6, от 17.0 до 17.0.4 и от 17.1 до 17.1.2.

При определенных обстоятельствах, которые GitLab еще не раскрыл, злоумышленники могут использовать ошибку, чтобы запустить новый конвейер от имени другого пользователя.

Причем в конце прошлого месяца компания исправила похожую ошибку (CVE-2024-5655, оценка CVSS: 9,6), которую можно было использовать аналогичным образом.

Компания выпустила GitLab Community и Enterprise 17.1.2, 17.0.4 и 16.11.6 для устранения критической уязвимости безопасности и рекомендует администраторам немедленно обновить все свои установки.

При этом GitLab.com и GitLab Dedicated уже используют исправленную версию.

В этих же версиях закрыта другая проблема средней серьезности (CVE-2024-5257, оценка CVSS: 4,9), которая позволяет пользователю-разработчику с правами admin_compliance_framework изменять URL-адрес для пространства имен группы.

Ведущие поставщики ICS выкатили свои бюллетени с исправлениями в рамках PatchTuesday.

Siemens представила 17 новых рекомендаций с описанием более 50 уязвимостей, выпустив соответствующие исправления и меры по их устранению, а также обновила 21 ранее выпущенную рекомендацию.

Наиболее серьезным из дефектов является критическая ошибка в сервере удаленного подключения SINEMA, которая может позволить аутентифицированному злоумышленнику повысить свои привилегии в базовой ОС.

Отдельная рекомендация посвящена CVE-2024-3596, уязвимости BlastRADIUS, обнаруженной в одноименном протоколе, которая позволяет злоумышленникам обойти защиту MFA.

Компания выпустила исправления для некоторых из продуктов и планирует обновления для целого ряда семейств продуктов, рекомендуя при этом ограничить доступ к сетям с RADIUS и настроить сервера с требованием Message-Authenticator во всех пакетах Access-Request.

Schneider Electric выпустила четыре новых бюллетеня, описывающих 6 уязвимостей, влияющих на контроллеры Wiser Home Controller WHC-5918A, EcoStruxure Foxboro DCS, EcoStruxure Foxboro SCADA FoxRTU Station и Modicon.

Наиболее важной из этих проблем является критическая уязвимость в контроллере Wiser Home Controller WHC-5918A, контроллере домашней автоматизации на базе C-Bus, выпуск которого был прекращен девять лет.

Клиентам следует рассмотреть возможность обновления до новейший решений и прекратить эксплуатацию уязвимого контроллера.

Schneider выпустила исправления для уязвимостей высокой степени серьезности в EcoStruxure Foxboro DCS и EcoStruxure Foxboro SCADA FoxRTU Station, но еще не разработала план устранения ошибки средней степени серьезности в контроллерах Modicon.

Немецкий производитель промышленных контроллеров Ifm Electronic GmbH в рамках PatchTuesday выпустил исправления для 5 уязвимостей в прошивке Smart PLC, включая две критически важные проблемы.

Они позволяют получить доступ к устройствам с высокими привилегиями или внедрить команды ОС для включения доступа по протоколу Telnet, который принимает жестко запрограммированные учетные данные.

Исследователи Group-IB задетектили и подробно разобрали атаки новой ransomware, известной как EstateRansomware.

Сингапурская компания обнаружила злоумышленника еще в начале апреля 2024 года.

Вредоносная активность включала эксплуатацию уязвимости CVE-2023-27532 (оценка CVSS: 7,5) программном обеспечении Veeam Backup & Replication.

Первоначальный доступ к целевой среде был осуществлен с помощью устройства SSL VPN брандмауэра Fortinet FortiGate с использованием неактивной учетной записи, идентифицированной как «Acc1».

Злоумышленник перешел от межсетевого экрана FortiGate к сервису SSL VPN, получив доступ к отказоустойчивому серверу. Несколько дней спустя успешный вход в VPN с использованием «Acc1» был отслежен до удаленного IP-адреса 149.28.106[.]252.

Затем злоумышленники приступили к установке RDP-подключений от брандмауэра к отказоустойчивому серверу, после чего развернули постоянный бэкдор «svchost.exe», который ежедневно выполнялся в рамках запланированной задачи.

Последующий доступ к сети был осуществлен с помощью бэкдора для избежания обнаружения. Его основная задача - подключиться к C2 по протоколу HTTP и выполнить произвольные команды, выданные злоумышленником.

При этом ресерчеры Group-IB заметили, как злоумышленник эксплуатировал уязвимость Veeam CVE-2023-27532 с целью включения xp_cmdshell на сервере резервного копирования и создания подконтрольной учетной записи пользователя с именем «VeeamBkp».

Кроме того, актор также реализовал сканирование сети, сбор учетных данных с использованием таких инструментов, как NetScan, AdFind и NitSoft, посредством вновь созданной учетной записи.

Эксплуатация потенциально включала атаку, исходящую из папки VeeamHax на файловом сервере, в отношении уязвимой версии Veeam Backup & Replication, установленной на сервере резервного копирования.

Атака завершилась развертыванием вируса-вымогателя, однако перед этим были предприняты меры по ослаблению защиты и горизонтальному перемещению с сервера AD на все другие сервера и рабочие станции с использованием скомпрометированных учетных записей домена.

Защитник Windows был окончательно отключен с помощью DC.exe (Defender Control), после чего была осуществлена загрузка и выполнение программы-вымогателя с помощью PsExec.exe.

Как заключили специалисты, задержка обновлений безопасности и пренебрежение регулярными проверками создали уязвимости, которыми воспользовались злоумышленники, что привело к серьезным последствиям для программ-вымогателей.

IoC и подробный технический разбор в материале Group-IB.

Следуя вышеизложенным умозаключениям Грибов, Позитивы прошерстили информацию об уязвимостях из бюллетеней вендоров, соцсетей, блогов, ТГ-каналов, баз эксплойтов, публичных репозиториев кода, выделив наиболее трендовые уязвимости июня.

По сути это самые опасные уязвимости, которые либо уже эксплуатируются вживую, либо могут эксплуатироваться в ближайшее время.

В этом месяце таких уязвимостей оказалось достаточно много — девять:

- Уязвимости в Microsoft Windows, связанные с повышением привилегий: в службе CSC (CVE-2024-26229), службе Error Reporting (CVE-2024-26169) и ядре ОС (CVE-2024-30088);

- Уязвимость, приводящая к выполнению произвольного кода, в скриптовом языке PHP на узлах под управлением Windows (CVE-2024-4577);

- Уязвимость, приводящая к повышению привилегий, в ядре Linux (CVE-2024-1086);

- Уязвимость, связанная с раскрытием информации, в Check Point Quantum Security Gateways (CVE-2024-24919);

- Уязвимость в VMware vCenter, позволяющие выполнить произвольный код (CVE-2024-37079, CVE-2024-37080);

- Уязвимость в Veeam Backup & Replication, приводящая к обходу аутентификации (CVE-2024-29849).

Подробно по каждой с указанием признаков эксплуатации, количеству потенциальных жертв, наличия публично доступных эксплойтов, а также способов устранения и компенсирующих мер - в блоге Positive Technologies.

VMware исправила критическую уязвимость SQL-инъекции CVE-2024-22280 (CVSS 8,5) в Aria Automation.

VMware Aria Automation - это современная платформа облачной автоматизации, которая упрощает и оптимизирует развертывание, управление и руководство облачной инфраструктурой и приложениями.

Она предоставляет унифицированную платформу для автоматизации задач в нескольких облачных средах, включая VMware Cloud on AWS, VMware Cloud on Azure и VMware Cloud Foundation.

Аутентифицированный злоумышленник может воспользоваться уязвимостью, введя специально созданные SQL-запросы и выполнив несанкционированные операции чтения/записи в базе данных.

Обнаруженная исследователями Канадского правительственного центра киберзащиты (CGCD) уязвимость затрагивает VMware Aria Automation версии 8.x и Cloud Foundation версий 5.x и 4.x.

VMware заявляет, что обходные пути для этой проблемы отсутствуют, для устранения CVE-2024-22280 рекомендуется применить исправления.

Разработчики Exim выпустили обновления безопасности для исправления серьезной уязвимости в своем почтовом сервере.

Уязвимость отслеживается как CVE-2024-39929 и затрагивает Exim до версии 4.97.1.

Ошибка обусловлена неправильным анализом многострочного имени файла заголовка RFC 2231.

Воспользовавшись этим, удаленные злоумышленники могут обойти механизм защиты от блокировки расширения $mime_filename и потенциально доставлять исполняемые вложения в почтовые ящики конечных пользователей.

Данных об эксплуатации уязвимости в реальных условиях не получено.

Однако по данным Censys, количество серверов Exim, на которых запущены уязвимые версии, составляет около 1,5 миллиона. Так что все еще впереди.

Будем посмотреть.

В перерывах между пусками ракет и отправкой с конвейера очередного кибертрака Илон Макс успевает подпортить жизнь спецслужбам, буквально одним твитом в X.

На сей раз отгребли в Signal после того, как миллиардер подметил, что почти шесть лет известные уязвимости в мессенджеры не устраняются и это кажется странным.

Многие, конечно, сразу упрекнули твит Маска как часть информационной кампании Telegram в отношении Signal и не сразу поняли, о каких именно уязвимостях идет речь.

Однако на прошлой неделе исследователи Талал Хадж Бакри и Томми Майск из Mysk Inc сообщили в X, что использовать Signal Desktop небезопасно из-за той же уязвимости, о которой они сообщали еще в 2018 году, которая так и не была решена.

В серии твитов Mysk Inc продемонстрировала, что фотографии и вложения, отправляемые в Signal, не хранятся в безопасном или зашифрованном месте.

Поддержав Илона Маска, исследователи предупредили, что Signal шифруют локальную историю чата в базе данных SQLite с помощью ключа, сгенерированного программой без ввода данных пользователем, который хранится в виде обычного текста и доступен любому процессу, что делает пользователей уязвимыми к утечке данных.

В случае Signal ключ сохраняется в виде обычного текста в локальном файле с именем %AppData%\Signal\config.json в Windows и ~/Library/Application Support/Signal/config.json на Mac.

Доступ к нему имеет любой пользователь или ПО, работающая на компьютере, что делает зашифрованную базу данных бесполезной и не обеспечивает никакой дополнительной безопасности.

Тогда еще в 2018 году в ответ на сообщение об уязвимости служба поддержки Signal заявила, что не гарантировала и не обещала обеспечивать безопасность базы данных. Ключ базы данных никогда не предназначался для хранения в секрете.

Тем не менее, все это время администрация Signal сама говорила о том, что шифрование локальных баз данных без введенного пользователем пароля представляет собой проблему для всех приложений и требует дополнительных мер по усилению безопасности.

Более того, президент Signal Мередит Уиттакер выступала даже с критикой микромягкой ReCall, которая не обеспечивала безопасности данных пользователей.

При этом почему-то сама все это время игнорировала проблему и не попыталась предложить решение. Конечно ответ, очевиден, а после нового наката общественности вдруг решила поправить.

Видимо, кураторы в погонах согласовали новую дырку, а то уж совсем зашквар получается.

Sysdig сообщает об активизации атак новой группы CRYSTALRAY, нацеленной на облачные среды, число жертв которой возросло со 100 до 1500.

Sysdig отслеживают злоумышленника с февраля, когда они впервые сообщили об использовании ими червя с открытым исходным кодом SSH-Snake для запуска своих атак и горизонтального перемещения по облачным средам.

SSH-snake - это червь с открытым исходным кодом, который крадет закрытые ключи SSH со взломанных серверов и использует их для латерального перемещения на другие сервера, одновременно сбрасывая дополнительную полезную нагрузку.

Согласно наблюдениям Sysdig, в последние недели CRYSTALRAY значительно расширил масштабы своей деятельности в 10 раз, на данный момент жертвами стали 1500 человек, чьи учетные данные были украдены, а также заполучившие в итоге криптомайнеры.

Новая тактика включает массовое сканирование, эксплуатацию множественных уязвимостей и размещение бэкдоров с использованием нескольких инструментов безопасности OSS, в числе которых zmap, asn, httpx, nuclei, platypus.

Цель CRYSTALRAY - сбор и возмездия реализация учетных данных, развертывание криптомайнеров и поддержка устойчивости в среде жертвы.

Sysdig полагает, что CRYSTALRAY использует модифицированные PoC, доставляемые целям с помощью инструментария пост-эксплуатации Sliver.

Среди уязвимостей, на которые CRYSTALRAY нацеливается в своей текущей деятельности: CVE-2022-44877 (ошибка выполнения команд в Control Web Panel (CWP), CVE-2021-3129 (RCE-ошибка d Ignition (Laravel) и CVE-2019-18394 (SSRF-уязвимость в Ignite Realtime Openfire).

Sysdig заметила, что решения Atlassian Confluence, вероятно, также подвергаются атакам, основываясь на наблюдаемых моделях эксплуатации, выявленных в ходе попыток атак против 1800 IP-адресов, треть из которых находятся в США.

CRYSTALRAY задействует веб-менеджер Platypus для обработки нескольких сеансов обратной оболочки на взломанных системах.

При этом SSH-Snake продолжает оставаться основным инструментом, с помощью которого осуществляется распространение через скомпрометированные сети. После получения ключей SSH червь использует их для входа в новые системы, копирует себя и повторяет процесс на новых хостах.

SSH-Snake не только распространяет заражение, но и отправляет захваченные ключи и историю bash обратно на C2 CRYSTALRAY, предоставляя возможности для большей универсальности атак.

Все краденное затем с облачных сервисов, почтовых платформ или других SaaS-инструментов распродается в даркнете или Telegram, принося хорошую прибыль. Кроме того, для монетазиции применяются криптомайнеры.

По мере роста угрозы CRYSTALRAY лучшей стратегией ее предотвращения является минимизация поверхности атаки посредством своевременных обновлений безопасности для устранения уязвимостей по мере их обнаружения.