К недавней regreSSHion (CVE-2024-6387) присоединяется новая уязвимость в пакетах OpenSSH, потенциально позволяющая удаленное выполнение кода в системах Red Hat Enterprise Linux (RHEL) 9 и некоторых версиях Fedora.

CVE-2024-6409 имеет сходство со своей предшественницей, но считается менее опасной, поскольку проявляется после сброса привилегий в дочернем процессе, инициированном сервером SSH.

Эта уязвимость обнаружена в пакетах OpenSSH, включенных в RHEL 9, основанных на выпуске OpenSSH 8.7.

Проблема также затрагивает Fedora Linux 36 и 37, которые основаны на выпусках OpenSSH 8.7 и 8.8.

Уязвимость обусловлена состоянием гонки в обработчике прерываний SIGALRM, аналогичного предыдущей проблеме, но отличается своей причиной. Оно здесь инициируется вызовом cleanup_exit() в grace_alarm_handler() обработчике сигналов.

Хотя cleanup_exit() может использоваться в асинхронно выполняемом коде в основной кодовой базе OpenSSH, исправление, примененное к пакетам RHEL 9 и Fedora, реализует вызов cleanup_exit() для генерации событий аудита, что небезопасно для обработчиков сигналов.

Согласно заявлению Solar Designer на Openwall, главное отличие от CVE-2024-6387 заключается в том, что состояние гонки и потенциал RCE запускаются в дочернем процессе privsep, который работает с пониженными привилегиями, что смягчает потенциальный ущерб.

Однако потенциал для эксплуатации остается значительным. Если только одна из этих уязвимостей будет исправлена или смягчена, другая станет более значимой.

Как объясняет Designer, может появиться эксплойт, который будет работать против любой уязвимости вероятностно, что может уменьшить продолжительность атаки или увеличить вероятность успеха.

Уязвимость не затрагивает текущие выпуски Fedora, начиная с Fedora 38, которая использует более новые версии OpenSSH без проблемного вызова cleanup_exit().

К сожалению, предыдущий обходной путь для CVE-2024-6387, включающий опцию -e в sshd для отключения ведения журнала syslog, не решает эту новую проблему.

Вместо этого рекомендуется установить параметр LoginGraceTime=0 в sshd_config для блокировки уязвимости.

Исследователи F.A.C.C.T. проследили активность группировки VasyGrek (она же Fluffy Wolf по метрике BI.ZONE), нацеленной на российские компании как минимум с 2016 года, обнаружив тесную связь с разработчиком вредоносного ПО Mr.Burns.

Как выяснили исследователи, в погоне за аккаунтами ДБО злоумышленники задействуют коммерческие инфостилеры и RAT, в том числе и шедевры вирусописателя Mr.Burns.

Новое исследование раскрывают «деловые» контакты VasyGrek с продавцом вредоносных версий инструментов удаленного администрирования TeamViewer и RMS (Remote Utilities), которым F.A.C.C.T. присвоили общее наименование BurnsRAT.

Кроме того, также была установлена личность того самого Mr.Burns., русскоязычного завсегдатая даркнета, которым оказался некий Андрей Р. 1986 года из Тернополя.

Помимо прочего в арсенале VasyGrek обнаружены и другие вредоносные инструменты с черного рынка: программы разработки PureCoder (PureCrypter, PureLogs и т.д.s), MetaStealer, WarzoneRAT (AveMaria), а также стилер RedLine.

Все атаки злоумышленников начинаются с фишингового письма от имени бухгалтерии сторонней компании с просьбой завизировать акт сверки, платежное поручение, документ 1C.

К сообщению прилагается вредоносный архивный файл (или же указывается ссылкой), который содержит является загрузчик PureCrypter.

Цепочки заражения могут различаться и для каждого модуля предусмотрен свой PureCrypter.

На финальном этапе в систему доставляется BurnsRAT, который реализует по методу подмены DLL.

Примечательно, что все дополнительные модули используют один и тот же C2, но каждый инструмент подключается по своему порту.

После установки BurnsRAT на зараженное устройство отправляются команды вида cmdv start {URL} - для отображения в браузере поддельных страниц входа в банковские сервисы.

Технические и не только подробности, включая IoC — в отчете.

Правда, одному из первых его читателей, Каталину Чимпану, совсем не зашло про Андрея из Тернополя.

По всей видимости, этот румын порвался, так что несите следующего.

Подкатил июльский PatchTuesday от Microsoft с исправлениями для 142 уязвимостей, включая 2 активно эксплуатируемых и 2 публично раскрытых нуля.

В целом исправлено пять критических уязвимостей, все из которых связаны с RCE (в этой категории всего 59), а также 26, связанных с EoP, 24 - обходом функций безопасности, 9 - раскрытием информации, 17 - DoS и 7 - спуфингом.

Одна из активно эксплуатируемых 0-day CVE-2024-38080 затрагивает Windows Hyper-V и приводит к повышению привилегий до SYSTEM.

Несмотря на сообщения об эксплуатации, Microsoft не разглашает никаких дополнительных подробностей об уязвимости, включая информацию о том, кто ее обнаружил.

Другая используемая CVE-2024-38112 представляет собой уязвимость спуфинга в Windows MSHTML Platform.

Для успешной эксплуатации злоумышленнику придется отправить жертве вредоносный файл, который жертва должна будет выполнить.

Microsoft также не предоставила дополнительных подробностей о том, как была использована уязвимость, но поделилась, что обнаружил ее Хайфэем Ли из Check Point Research.

Среди публично раскрытых нулей: CVE-2024-35264 и CVE-2024-37985. Первая связана с RCE в NET и Visual Studio.

Злоумышленник может воспользоваться ей, закрыв поток http/3 во время обработки тела запроса, что приведет к состоянию гонки и удаленному выполнению кода.

Microsoft не разглашает, как именно была раскрыта эта информация, и утверждает, что она была обнаружена внутри компании.

CVE-2024-37985 связана с атакой по побочному каналу на ARM-процессорах, получившая название FetchBench.

Злоумышленник, успешно воспользовавшийся этой уязвимостью, может просматривать динамическую память из привилегированного процесса, запущенного на сервере.

Полный перечень с описанием каждой уязвимости и систем, которые она затрагивает, - здесь.

Ошибка возрастом 30 лет обнаружена исследователями из Бостонского университета, Cloudflare, BastionZero, Microsoft, Centrum Wiskunde&Informatica и Калифорнийского университета в Сан-Диего в популярном протоколе RADIUS, которая приводит к атаке BlastRADIUS.

Отсдеживаемая как CVE-2024-3596 (и VU#456537) позволяет опытному злоумышленнику реализовать эксплойты для аутентификации любого пользователя в локальной сети, обходя любые средства MFA.

InkBridge Networks уже выкатила техническое описание атаки BlastRADIUS, предупредив о серьезных рисках для корпоративных сетей, включая внутренние сети предприятий, сети интернет-провайдеров (ISP) и телекоммуникационных компаний.

Основная причина атаки заключается в том, что в протоколе RADIUS некоторые пакеты Access-Request не аутентифицированы и не имеют проверки целостности.

Затем злоумышленник может выполнить атаку с выбранным префиксом, которая позволяет изменить Access-Request, чтобы заменить допустимый ответ на тот, который выбрал злоумышленник.

Несмотря на то, что ответ аутентифицирован и проверен целостность, уязвимость выбранного префикса позволяет злоумышленнику изменить пакет ответа практически по своему желанию.

Протокол RADIUS, впервые стандартизированный в конце 1990-х годов, используется для управления доступом к сети посредством аутентификации, авторизации и учета и до сих пор широко применяется в коммутаторах, маршрутизаторах, точках доступа и продуктах VPN.

InkBridge Networks описала проблему как фундаментальный недостаток конструкции протокола и отметила, что все соответствующие стандартам клиенты и серверы RADIUS, вероятно, уязвимы для этой атаки.

Поскольку вся безопасность протокола RADIUS для транспортов UDP и TCP основана на общем секрете, эта атака, возможно, является самой серьезной атакой на протокол.

InkBridge Networks рекомендует как минимум обновить каждый сервер RADIUS по всему миру, чтобы устранить эту уязвимость.

Компания смогла разработать эксплойт, однако заверяет об отсутствии признаков того, что эта уязвимость активно эксплуатируется в реальных условиях.

И даже если кому-то это удастся воссоздать эксплойт, исследователи отмечают, что успешная атака будет дорогостоящей.

Правда, добавили, что такое вполне под силу, например, отдельно взятому государству.

Хуситы, оказывается, не только в войну могут, но и в киберпространстве неплохо ориентируются.

Исследователи Lookout раскрыли продолжающуюся операцию с использованием шпионского ПО под названием GuardZoo, нацеленную на военных по всему Ближнему Востоку.

По данным ресерчеров, кампания, предположительно начавшаяся еще в октябре 2019 года, приписывается группировке, связанной с хуситами. В основе атрибуции анализ приманок, журналы С2, спектр целей и расположение инфраструктуры атак.

Вредоносная активность охватила более 450 жертв из Египта, Омана, Катара, Саудовской Аравии, Турции, ОАЭ и Йемена, где по данным телеметрии, зафиксировано наибольшее число заражений.

GuardZoo - это модифицированная версия RAT для Android под названием Dendroid RAT, который был впервые обнаружен компанией Symantec в марте 2014 года. Весь исходный код, связанный с этим вредоносным ПО, был опубликован позднее в августе.

Изначально продававшийся как вредоносное ПО за 300 долларов США GuardZoo обладает возможностями совершать звонки, удалять журналы вызовов, открывать веб-страницы, записывать аудио переговоры, получать доступ к SMS, делать и загружать фотографии и видео и даже инициировать HTTP-флуд.

Однако в кодовую базу было внесено много изменений в плане добавления нового функционала.

При этом GuardZoo не задействует утекшую веб-панель PHP из Dendroid RAT для C2, а использует новый бэкэнд C2, созданный с помощью ASP.NET.

Цепочки атак включают личные сообщения WhatsApp для распространения GuardZoo в виде APK-файлов или же прямые загрузки троянизированных приложений Android из браузера по ссылке.

Обновленная версия вредоносного ПО поддерживает более 60 команд, которые позволяют ему извлекать дополнительные полезные данные, доставлять файлы и APK, красть данные, изображения и картографические файлы с устройств жертвы, менять C2, завершать работу, обновляться или удаляться с устройства.

GuardZoo использует одни и те же динамические домены DNS для операций C2 с октября 2019 года с различными IP из YemenNet.

Исследователи полагают, что GuardZoo используется для сбора как тактических, так и стратегических военных разведданных, которые могут быть использованы в интересах операций, проводимых хуситами.

Китайская KnownSec404 представила отчет в отношении SilverFox, которая, по всей видимости, переориентировалась с финсектора на кибершпионаж.

Начиная с 2022 года, как отмечают исследователи, Silver Fox стала более активной в Китае, задействуя различные каналы (почту, фишинговый сайты и мессенджеры) для распространения троянов.

На этот раз их внимание сместилось на учреждения и компании в сфере кибербезопасности, что заставляет пересмотреть цели атак этой группы.

Раскрытие недавней атаки Silver Fox началось с отслеживания фишинговых сайтов и связанных с ними вредоносных файлов.

В арсенале группы удалось заметить троян Winos, не известный загрузчик UpdateDll и инструмент обфускации PowerShell Out-EncodedSpecialCharOnlyCommand.

Причем Winos ранее уже неоднократно использовался Silver Fox в предыдущих атаках, нацеленных на налоговых и финансовых сотрудников.

Все текущие образцы Winos реализуют VMP (Virtual Machine Protect) для защиты кода. Запись реестра, в которой в данном случае хранится шелл-код, — «HKCU\Console\huorongniubi».

Функциональность и поток кода в других частях практически такие же, как и в ранее представленных версиях.

Первоначальный образец загрузчика, изначально названный Simple_ATL.DLL, в основном функционирует путем записи жестко закодированных данных в C:\Windows\system32\UpdateDll.dll и последующего их выполнения с помощью rundll32. 

Основная функция, экспортируемая UpdateMyDll, - это загрузка DLL с указанного адреса и ее выполнение. 

Out-EncodedSpecialCharOnlyCommand — это инструмент, который преобразует код скрипта PowerShell в чистый символьный код, который может использоваться злоумышленниками для улучшения обфускации вредоносных полезных нагрузок.

Принцип инструмента заключается в преобразовании кода PowerShell в непонятный символьный код с помощью настраиваемой таблицы сопоставления символов.

Новые образцы Winos свидетельствуют о том, что SilverFox предпринимает дополнительные усилия для противодействия анализу и активному расширению своего арсенала, но может быть частью маскировки другой APT.

͏В то время, как Microsoft анонсирует свой PatchTuesday, в даркнете выкатывают новую Windows LPE 0-day.

Некто Cvsp предлагает приблуду за 150 000 долларов США и заверяет, что вероятность успеха составляет 98%.

GitLab предупреждает о критической уязвимости в GitLab Community и Enterprise, которая влияет на функционал непрерывной интеграции/непрерывного развертывания (CI/CD).

CVE-2024-6385 получила оценку серьезности CVSS 9,6 из 10 и затрагивает все версии GitLab CE/EE от 15.8 до 16.11.6, от 17.0 до 17.0.4 и от 17.1 до 17.1.2.

При определенных обстоятельствах, которые GitLab еще не раскрыл, злоумышленники могут использовать ошибку, чтобы запустить новый конвейер от имени другого пользователя.

Причем в конце прошлого месяца компания исправила похожую ошибку (CVE-2024-5655, оценка CVSS: 9,6), которую можно было использовать аналогичным образом.

Компания выпустила GitLab Community и Enterprise 17.1.2, 17.0.4 и 16.11.6 для устранения критической уязвимости безопасности и рекомендует администраторам немедленно обновить все свои установки.

При этом GitLab.com и GitLab Dedicated уже используют исправленную версию.

В этих же версиях закрыта другая проблема средней серьезности (CVE-2024-5257, оценка CVSS: 4,9), которая позволяет пользователю-разработчику с правами admin_compliance_framework изменять URL-адрес для пространства имен группы.

Ведущие поставщики ICS выкатили свои бюллетени с исправлениями в рамках PatchTuesday.

Siemens представила 17 новых рекомендаций с описанием более 50 уязвимостей, выпустив соответствующие исправления и меры по их устранению, а также обновила 21 ранее выпущенную рекомендацию.

Наиболее серьезным из дефектов является критическая ошибка в сервере удаленного подключения SINEMA, которая может позволить аутентифицированному злоумышленнику повысить свои привилегии в базовой ОС.

Отдельная рекомендация посвящена CVE-2024-3596, уязвимости BlastRADIUS, обнаруженной в одноименном протоколе, которая позволяет злоумышленникам обойти защиту MFA.

Компания выпустила исправления для некоторых из продуктов и планирует обновления для целого ряда семейств продуктов, рекомендуя при этом ограничить доступ к сетям с RADIUS и настроить сервера с требованием Message-Authenticator во всех пакетах Access-Request.

Schneider Electric выпустила четыре новых бюллетеня, описывающих 6 уязвимостей, влияющих на контроллеры Wiser Home Controller WHC-5918A, EcoStruxure Foxboro DCS, EcoStruxure Foxboro SCADA FoxRTU Station и Modicon.

Наиболее важной из этих проблем является критическая уязвимость в контроллере Wiser Home Controller WHC-5918A, контроллере домашней автоматизации на базе C-Bus, выпуск которого был прекращен девять лет.

Клиентам следует рассмотреть возможность обновления до новейший решений и прекратить эксплуатацию уязвимого контроллера.

Schneider выпустила исправления для уязвимостей высокой степени серьезности в EcoStruxure Foxboro DCS и EcoStruxure Foxboro SCADA FoxRTU Station, но еще не разработала план устранения ошибки средней степени серьезности в контроллерах Modicon.

Немецкий производитель промышленных контроллеров Ifm Electronic GmbH в рамках PatchTuesday выпустил исправления для 5 уязвимостей в прошивке Smart PLC, включая две критически важные проблемы.

Они позволяют получить доступ к устройствам с высокими привилегиями или внедрить команды ОС для включения доступа по протоколу Telnet, который принимает жестко запрограммированные учетные данные.

Исследователи Group-IB задетектили и подробно разобрали атаки новой ransomware, известной как EstateRansomware.

Сингапурская компания обнаружила злоумышленника еще в начале апреля 2024 года.

Вредоносная активность включала эксплуатацию уязвимости CVE-2023-27532 (оценка CVSS: 7,5) программном обеспечении Veeam Backup & Replication.

Первоначальный доступ к целевой среде был осуществлен с помощью устройства SSL VPN брандмауэра Fortinet FortiGate с использованием неактивной учетной записи, идентифицированной как «Acc1».

Злоумышленник перешел от межсетевого экрана FortiGate к сервису SSL VPN, получив доступ к отказоустойчивому серверу. Несколько дней спустя успешный вход в VPN с использованием «Acc1» был отслежен до удаленного IP-адреса 149.28.106[.]252.

Затем злоумышленники приступили к установке RDP-подключений от брандмауэра к отказоустойчивому серверу, после чего развернули постоянный бэкдор «svchost.exe», который ежедневно выполнялся в рамках запланированной задачи.

Последующий доступ к сети был осуществлен с помощью бэкдора для избежания обнаружения. Его основная задача - подключиться к C2 по протоколу HTTP и выполнить произвольные команды, выданные злоумышленником.

При этом ресерчеры Group-IB заметили, как злоумышленник эксплуатировал уязвимость Veeam CVE-2023-27532 с целью включения xp_cmdshell на сервере резервного копирования и создания подконтрольной учетной записи пользователя с именем «VeeamBkp».

Кроме того, актор также реализовал сканирование сети, сбор учетных данных с использованием таких инструментов, как NetScan, AdFind и NitSoft, посредством вновь созданной учетной записи.

Эксплуатация потенциально включала атаку, исходящую из папки VeeamHax на файловом сервере, в отношении уязвимой версии Veeam Backup & Replication, установленной на сервере резервного копирования.

Атака завершилась развертыванием вируса-вымогателя, однако перед этим были предприняты меры по ослаблению защиты и горизонтальному перемещению с сервера AD на все другие сервера и рабочие станции с использованием скомпрометированных учетных записей домена.

Защитник Windows был окончательно отключен с помощью DC.exe (Defender Control), после чего была осуществлена загрузка и выполнение программы-вымогателя с помощью PsExec.exe.

Как заключили специалисты, задержка обновлений безопасности и пренебрежение регулярными проверками создали уязвимости, которыми воспользовались злоумышленники, что привело к серьезным последствиям для программ-вымогателей.

IoC и подробный технический разбор в материале Group-IB.

Следуя вышеизложенным умозаключениям Грибов, Позитивы прошерстили информацию об уязвимостях из бюллетеней вендоров, соцсетей, блогов, ТГ-каналов, баз эксплойтов, публичных репозиториев кода, выделив наиболее трендовые уязвимости июня.

По сути это самые опасные уязвимости, которые либо уже эксплуатируются вживую, либо могут эксплуатироваться в ближайшее время.

В этом месяце таких уязвимостей оказалось достаточно много — девять:

- Уязвимости в Microsoft Windows, связанные с повышением привилегий: в службе CSC (CVE-2024-26229), службе Error Reporting (CVE-2024-26169) и ядре ОС (CVE-2024-30088);

- Уязвимость, приводящая к выполнению произвольного кода, в скриптовом языке PHP на узлах под управлением Windows (CVE-2024-4577);

- Уязвимость, приводящая к повышению привилегий, в ядре Linux (CVE-2024-1086);

- Уязвимость, связанная с раскрытием информации, в Check Point Quantum Security Gateways (CVE-2024-24919);

- Уязвимость в VMware vCenter, позволяющие выполнить произвольный код (CVE-2024-37079, CVE-2024-37080);

- Уязвимость в Veeam Backup & Replication, приводящая к обходу аутентификации (CVE-2024-29849).

Подробно по каждой с указанием признаков эксплуатации, количеству потенциальных жертв, наличия публично доступных эксплойтов, а также способов устранения и компенсирующих мер - в блоге Positive Technologies.

VMware исправила критическую уязвимость SQL-инъекции CVE-2024-22280 (CVSS 8,5) в Aria Automation.

VMware Aria Automation - это современная платформа облачной автоматизации, которая упрощает и оптимизирует развертывание, управление и руководство облачной инфраструктурой и приложениями.

Она предоставляет унифицированную платформу для автоматизации задач в нескольких облачных средах, включая VMware Cloud on AWS, VMware Cloud on Azure и VMware Cloud Foundation.

Аутентифицированный злоумышленник может воспользоваться уязвимостью, введя специально созданные SQL-запросы и выполнив несанкционированные операции чтения/записи в базе данных.

Обнаруженная исследователями Канадского правительственного центра киберзащиты (CGCD) уязвимость затрагивает VMware Aria Automation версии 8.x и Cloud Foundation версий 5.x и 4.x.

VMware заявляет, что обходные пути для этой проблемы отсутствуют, для устранения CVE-2024-22280 рекомендуется применить исправления.

Разработчики Exim выпустили обновления безопасности для исправления серьезной уязвимости в своем почтовом сервере.

Уязвимость отслеживается как CVE-2024-39929 и затрагивает Exim до версии 4.97.1.

Ошибка обусловлена неправильным анализом многострочного имени файла заголовка RFC 2231.

Воспользовавшись этим, удаленные злоумышленники могут обойти механизм защиты от блокировки расширения $mime_filename и потенциально доставлять исполняемые вложения в почтовые ящики конечных пользователей.

Данных об эксплуатации уязвимости в реальных условиях не получено.

Однако по данным Censys, количество серверов Exim, на которых запущены уязвимые версии, составляет около 1,5 миллиона. Так что все еще впереди.

Будем посмотреть.

В перерывах между пусками ракет и отправкой с конвейера очередного кибертрака Илон Макс успевает подпортить жизнь спецслужбам, буквально одним твитом в X.

На сей раз отгребли в Signal после того, как миллиардер подметил, что почти шесть лет известные уязвимости в мессенджеры не устраняются и это кажется странным.

Многие, конечно, сразу упрекнули твит Маска как часть информационной кампании Telegram в отношении Signal и не сразу поняли, о каких именно уязвимостях идет речь.

Однако на прошлой неделе исследователи Талал Хадж Бакри и Томми Майск из Mysk Inc сообщили в X, что использовать Signal Desktop небезопасно из-за той же уязвимости, о которой они сообщали еще в 2018 году, которая так и не была решена.

В серии твитов Mysk Inc продемонстрировала, что фотографии и вложения, отправляемые в Signal, не хранятся в безопасном или зашифрованном месте.

Поддержав Илона Маска, исследователи предупредили, что Signal шифруют локальную историю чата в базе данных SQLite с помощью ключа, сгенерированного программой без ввода данных пользователем, который хранится в виде обычного текста и доступен любому процессу, что делает пользователей уязвимыми к утечке данных.

В случае Signal ключ сохраняется в виде обычного текста в локальном файле с именем %AppData%\Signal\config.json в Windows и ~/Library/Application Support/Signal/config.json на Mac.

Доступ к нему имеет любой пользователь или ПО, работающая на компьютере, что делает зашифрованную базу данных бесполезной и не обеспечивает никакой дополнительной безопасности.

Тогда еще в 2018 году в ответ на сообщение об уязвимости служба поддержки Signal заявила, что не гарантировала и не обещала обеспечивать безопасность базы данных. Ключ базы данных никогда не предназначался для хранения в секрете.

Тем не менее, все это время администрация Signal сама говорила о том, что шифрование локальных баз данных без введенного пользователем пароля представляет собой проблему для всех приложений и требует дополнительных мер по усилению безопасности.

Более того, президент Signal Мередит Уиттакер выступала даже с критикой микромягкой ReCall, которая не обеспечивала безопасности данных пользователей.

При этом почему-то сама все это время игнорировала проблему и не попыталась предложить решение. Конечно ответ, очевиден, а после нового наката общественности вдруг решила поправить.

Видимо, кураторы в погонах согласовали новую дырку, а то уж совсем зашквар получается.

Sysdig сообщает об активизации атак новой группы CRYSTALRAY, нацеленной на облачные среды, число жертв которой возросло со 100 до 1500.

Sysdig отслеживают злоумышленника с февраля, когда они впервые сообщили об использовании ими червя с открытым исходным кодом SSH-Snake для запуска своих атак и горизонтального перемещения по облачным средам.

SSH-snake - это червь с открытым исходным кодом, который крадет закрытые ключи SSH со взломанных серверов и использует их для латерального перемещения на другие сервера, одновременно сбрасывая дополнительную полезную нагрузку.

Согласно наблюдениям Sysdig, в последние недели CRYSTALRAY значительно расширил масштабы своей деятельности в 10 раз, на данный момент жертвами стали 1500 человек, чьи учетные данные были украдены, а также заполучившие в итоге криптомайнеры.

Новая тактика включает массовое сканирование, эксплуатацию множественных уязвимостей и размещение бэкдоров с использованием нескольких инструментов безопасности OSS, в числе которых zmap, asn, httpx, nuclei, platypus.

Цель CRYSTALRAY - сбор и возмездия реализация учетных данных, развертывание криптомайнеров и поддержка устойчивости в среде жертвы.

Sysdig полагает, что CRYSTALRAY использует модифицированные PoC, доставляемые целям с помощью инструментария пост-эксплуатации Sliver.

Среди уязвимостей, на которые CRYSTALRAY нацеливается в своей текущей деятельности: CVE-2022-44877 (ошибка выполнения команд в Control Web Panel (CWP), CVE-2021-3129 (RCE-ошибка d Ignition (Laravel) и CVE-2019-18394 (SSRF-уязвимость в Ignite Realtime Openfire).

Sysdig заметила, что решения Atlassian Confluence, вероятно, также подвергаются атакам, основываясь на наблюдаемых моделях эксплуатации, выявленных в ходе попыток атак против 1800 IP-адресов, треть из которых находятся в США.

CRYSTALRAY задействует веб-менеджер Platypus для обработки нескольких сеансов обратной оболочки на взломанных системах.

При этом SSH-Snake продолжает оставаться основным инструментом, с помощью которого осуществляется распространение через скомпрометированные сети. После получения ключей SSH червь использует их для входа в новые системы, копирует себя и повторяет процесс на новых хостах.

SSH-Snake не только распространяет заражение, но и отправляет захваченные ключи и историю bash обратно на C2 CRYSTALRAY, предоставляя возможности для большей универсальности атак.

Все краденное затем с облачных сервисов, почтовых платформ или других SaaS-инструментов распродается в даркнете или Telegram, принося хорошую прибыль. Кроме того, для монетазиции применяются криптомайнеры.

По мере роста угрозы CRYSTALRAY лучшей стратегией ее предотвращения является минимизация поверхности атаки посредством своевременных обновлений безопасности для устранения уязвимостей по мере их обнаружения.

Исследователи Zscaler заметили обновления в арсенале активной как минимум с 2007 года китайской APT41 (aka Axiom, Blackfly, Brass Typhoon, Barium, Bronze Atlas, Earth Baku, HOODOO, Red Kelpie, TA415, Wicked Panda и Winnti).

Хакеры задействовали вредоносный загрузчик под названием DodgeBox, который используется для развертывания бэкдора MoonWalk на скомпрометированных системах.

Ресерчеры полагают, что APT, предположительно, использует усовершенствованную и модернизированную версию известного вредоносного ПО StealthVector для внедрения ранее не документированного бэкдора, получившего название MoonWalk.

Новый вариант StealthVector, также известный как DUSTPAN, получил обозначение DodgeBox от Zscaler ThreatLabz, которая обнаружила этот штамм в апреле 2024 года.

В свою очередь, MoonWalk реализует многие методы уклонения, реализованные в DodgeBox, и использует Google Drive для связи команд и управления (C2).

Использование StealthVector группой было впервые задокументировано Trend Micro в августе 2021 года, описавшей его как загрузчик шелл-кода, написанный на C/C++, который используется для доставки Cobalt Strike Beacon и импланта ScrambleCross (SideWalk).

DodgeBox представляет собой улучшенную версию StealthVector и поддерживает различные методы, такие как подмена стека вызовов, сторонняя загрузка DLL и очистка DLL для избежания обнаружения. Точный метод, с помощью которого распространяется вредоносное ПО, в настоящее время неизвестен.

APT41 использует стороннюю загрузку DLL как средство выполнения DodgeBox. Задействуется легитимный исполняемый файл (taskhost.exe), подписанный Sandboxie, для сторонней загрузки вредоносной DLL (sbiedll.dll).

Мошенническая DLL (то есть DodgeBox) - это загрузчик DLL, написанный на языке C, который действует как канал для расшифровки и запуска полезной нагрузки второго этапа — бэкдора MoonWalk.

Принадлежность DodgeBox к APT41 обусловлена его сходством и StealthVector, использованием боковой загрузки DLL (широко применяемого китайскими APT для доставки PlugX).

Кроме того, примечателен и тот факт, что образцы DodgeBox были отправлены на VirusTotal из Таиланда и Тайваня, представляющих стратегический интерес для Китая.

Американский оператор связи AT&T раскрыл, пожалуй, одну из самых серьезных утечек, которая затронула почти всех его клиентов сотовой связи.

Взлом произошел в период с 14 по 25 апреля 2024 года, и AT&T подтвердила TechCrunch, что инцидент был связан с масштабной хакерской атакой Snowflake.

Причем, как сообщает Wired, AT&T заплатила хакеру выкуп в размере 370 000 долларов за удаление украденных данных. И, не зря.

Ведь хакер украл из одного из ее аккаунтов облачного хранилища журналы вызовов и текстовых сообщений 109 миллионов клиентов, в том числе MVNO, за период с 1 мая по 31 октября 2022 года и 2 января 2023 года, а это почти все клиенты мобильной связи.

Утечка включает в себя: номера телефонов клиентов фиксированной связи AT&T и клиентов других операторов, телефонные номера, с которыми взаимодействовали номера AT&T или MVNO, билинги с указанием идентификационных номеров сотовых станций.

Несмотря на то, что скомпрометированные записи не содержали содержания звонков и сообщений, имен клиентов или какой-либо другой личной информации, метаданные коммуникаций можно использовать для их соотнесения с другой идентифицирующей информацией.

Компания оперативно привлекла к расследованию экспертов по кибербезопасности и правоохранительные органы, уведомив Миниюст США дважды, 9 мая 2024 года и 5 июня 2024 года.

В результате начатого расследования к настоящему времени удалось задержать одного из подозреваемых. Источник 404 Media сообщил, что, предположительно, им оказался американец по имени Джон Биннс.

Ранее Биннс также взламывал T-Mobile в 2021 году. Он был задержан турецкими властями в конце мая и в настоящее время ему грозит экстрадиция в США.

На сегодняшний день AT&T заявляет, что у нее нет доказательств того, что полученные данные были где-то опубликованы, а сам инцидент не связан с утечкой данных 2021 года, затронувшую 51 млн. клиентов, которую AT&T подтвердила ранее в этом году.

Так что теперь к список известных жертв инцилента Snowflake присоединилась AT&T, встав в одну шеренгу с Advance Auto Parts, Pure Storage, Los Angeles Unified, Neiman Marcus, Ticketmaster и Banco Santander.

Кто следующий, будем посмотреть.

Исследователи Cloudflare выкатили отчет по безопасности приложений за 2024 год, отражающий современные тренды инфосека, которые определенно заставят серьезно призадуматься.

Проанализировав вредоносную активность с мая 2023 года по март 2024 года специалисты пришли к выводу, что хакеры способны задействовать PoC-эксплойты в атаках уже через 22 минуты после их релиза.

Обрабатывая в среднем 57 миллионов HTTP-запросов в секунду, Cloudflare фиксирует повышенную активность сканирования на предмет раскрытых CVE, за которыми следуют инъекции команд и попытки использовать доступные PoC для нацеливания.

В течение рассматриваемого периода наиболее тресковыми уязвимостями оказались CVE-2023-50164 и CVE-2022-33891 в продуктах Apache, CVE-2023-29298, CVE-2023-38203 и CVE-2023-26360 в Coldfusion и CVE-2023-35082 в MobileIron.

Характерным примером роста скорости использования уязвимостей в реальных атаках является CVE-2024-27198, позволяющая обойти аутентификацию в JetBrains TeamCity.

Cloudflare зафиксировала случай, когда злоумышленник применил эксплойт на основе PoC всего через 22 минуты после его публикации, что фактически не оставило защитникам возможности для исправления ситуации.

Cloudflare утверждает, что это обусловлено отчасти тем, что некоторые субъекты угроз специализируются на определенных категориях CVE, имея при этом глубокое понимание того, как быстро воспользоваться раскрытием новых уязвимостей.

По мнению исследователей, единственный способ противодействия такой динамике - внедрение ИИ для ускорения разработки эффективных правил WAF с условием баланса между низким уровнем ложных срабатываний и скоростью реагирования.

Другим ошеломляющим выводом из отчета Cloudflare является то, что 6,8% всего ежедневного Интернет-трафика — это трафик типа DDoS, нацеленный на онлайн-приложения и сервисы.

Это заметный рост по сравнению с 6%, зафиксированным за предыдущий период (2022–2023 гг.), что свидетельствует об увеличении общего объема DDoS-атак.

По данным Cloudflare, во время крупных глобальных атак вредоносный трафик может достигать до 12% всего HTTP-трафика.

Отчет в формате PDF доступен здесь и включает рекомендации, а также более глубокий анализ собранной статистики.

Как мы и предполагали, CosmicSting, имеющая высокую серьезность и низкую сложность, можно с уверенностью считать одной из самых разрушительных в истории электронной коммерции, наряду с Shoplift, Ambionics и Trojan Order.

Критическая уязвимость с CVSS: 9,8 была исправлена в начале июня и затрагивает примерно три четверти всех магазинов Magento и Adobe Commerce.

Поскольку CosmicSting позволяет злоумышленникам считать любой файл, злоумышленники могут выкрасть секретный ключ шифрования Magento, который позволяет генерировать JSON Web Tokens с полным административным доступом к API.

Несмотря на отсутствие технического описания CosmicSting (CVE-2024-34102) в бюллетене Adobe, злоумышленники смогли разработать эффективные методы для атак и теперь пачками взламывают Интернет-магазины.

Исследователи SanSec сообщают, что атаки с использованием этой ошибки начались в конце июня и теперь перешли в фазе массовой эксплуатации.

Так, каждый час взламывается от трех до пяти магазинов, включая и крупные бренды.

Как и сообщалось ранее, клиентам крайне важно обновиться или применить официальное изолированное исправление.

Однако на данном этапе простого исправления CosmicSting, скорее всего, будет недостаточно.

Украденный ключ шифрования по-прежнему позволяет злоумышленникам генерировать веб-токены даже после обновления, так что ключ шифрования следует по умолчанию считать скомпрометированным.

При этом генерация нового ключа шифрования не делает старый ключ недействительным, рекомендуется вручную обновить старый ключ в app/etc/env.php до нового значения, а не удалять его.

Индикаторы компрометации и дополнительные меры по защите - в блоге SanSec.

Весьма ожидаемым образом завершилась эпопея с инцидентом в CDK Global, которую в июне этого настигла банда вымогателей BlackSuit.

Атака с использованием ransomware тогда нарушила работу тысяч автосалонов, которые используют разрабатываемое компанией ПО для управления продажами. Сервисы были недоступны почти три недели.

Однако на прошлой неделе CDK Global уже отрапортовала, что практически все из почти 15 000 автосалонов, использующих ее ПО по всей Северной Америке, вернулись к работе с ее основной системой управления.

Безусловно, этому предшествовали переговоры с BlackSuit и, по всей видимости, результативные.

Руководство CDK Global этого никогда не признает и будет отрицать.

Тем не менее, об этом точно может сказать Крис Янчевски из TRM Labs.

Ему удалось отследить 387 биткоинов (на тот момент - 25 миллионам долларов), которые поступили 21 июня на адрес, подконтрольный BlackSuit, а спустя неделю поставщик ПО начал возвращаться к работе.

Причем криптовалютный счет, с которого был отправлен выкуп, был связан с неназванной фирмой, которая специализируется на помощи жертвам программ-вымогателей.

Кстати, аналогичным образом поступила UnitedHealth Group, выплатив выкуп в размере 22 миллионов долларов другой хакерской группировке.

Собственно, ничего нового, реальные показатели экономики ransomware в разы превышают официальную статистику, а нападения, как и ожидалось, становятся все более резонансными и разрушительными, придавая все более мощные ускорения «маятнику» вымогательства.