Можно вечно смотреть на три вещи, как горит огонь, как течет вода и как из года в год пользователям втирают, что микрофоны устройств втайне никогда не записывают звук, приговаривая при этом: бл… буду.

Однако бережно выстраиваемая последнее десятилетие легенда была в одночасье разрушена сливом презентации Cox Media Group (CMG) с описанием разработанного компанией сервиса Active Listening.

Новый продукт CMG позволяет реализовать таргетированную рекламу потенциальным клиентам, основываясь на данных, полученных с микрофонов устройств, расположенных в их непосредственном окружении.

Журналисты впервые узнали о существовании Active Listening еще в декабре прошлого года непосредственно с сайта CMG, откуда вся информации в отношении новой технологии была сразу удалена.

Полученная через источников презентация указывает на то, что для работы Active Listening задействуется ИИ и умные устройства, позволяющие фиксировать Voice Data в режиме реального времени из более чем 470 источников (не раскрываются).

Полученные сведения пользователи системы смогут сочетать с поведенческими данными, что позволит значительно улучшить таргетинг и эффективность рекламной кампании.

Заявленные разработчиками ТТХ: за 100 долларов в день CMG может нацелиться на людей в радиусе 10 миль или 200 долларов в день на радиусе 20 миль.

Но интереснее другое - в презентации утверждается о сотрудничестве CMG с Google, Amazon и Facebook. Причем некоторые слайды прямо отсылают на интеграцию Active Listening с продуктами трио.

При этом CMG является партнером Google Premier, была первым медиа-партнером Amazon Advertising и одной из первых медиакомпаний, которая стала маркетинговым партнером Facebook.

После выхода публикации, Google была вынуждена официально изгнать CMG из своей партнерской программы, аналогичным образом поступила Amazon, утверждающая, что вообще не имела дел с разработчиком.

Meta (признана в России экстремистской) же инициировала расследование и пытается выяснить, нарушила ли CMG какие-либо условия сотрудничества.

Так что, никаких нарушений, можно выдохнуть.

Исследователи из Лаборатории Касперского сообщают об обнаружении macOS-версии бэкдора HZ Rat, нацеленного на пользователей китайских приложений DingTalk и WeChat.

При этом замеченный артефакты практически в точности повторяют функционал Windows-версии бэкдора и различаются лишь полезной нагрузкой, которая доставляется в виде shell-скриптов с сервера злоумышленников

HZ RAT был впервые задокументирован немецкой DCSO в ноябре 2022 года и распространялся через zip-архивы или вредоносные RTF, предположительно созданные с использованием Royal Road RTF Weaponizer.

Цепочки атак с использованием RTF-документов разработаны для развертывания версии вредоносного ПО для Windows, которая выполняется на скомпрометированном хосте благодаря давней CVE-2017-11882 в Microsoft Office.

Другой метод распространения задействует установщик легального ПО OpenVPN, PuTTYgen или EasyConnect, который, помимо фактической установки программы-приманки, также выполняет сценарий Visual Basic (VBS), отвечающий за запуск RAT.

Функциональность HZ RAT довольно проста.

После подключения к C2 реализуются дальнейшие инструкции, включая выполнение команд и скриптов PowerShell, запись и отправка файлов, проверка доступности жертвы.

Учитывая ограниченную функциональность инструмента, есть предположение, что вредоносное ПО в основном используется для сбора учетных данных и разведки систем.

Факты свидетельствуют о том, что первые версии вредоносного ПО были обнаружены еще в июне 2020 года.

По данным DCSO, сама кампания активизировалась как минимум с октября 2020 года.

Последний образец, обнаруженный Лабораторией Касперского, был загружен на VirusTotal в июле 2023 года, выдавая себя за OpenVPN Connect (OpenVPNConnect.pkg), который при запуске устанавливает связь с C2 в соответствии со списком из указанных в бэкдоре IP-адресов.

Для общения с C2 используется XOR-шифрование с ключом 0x42.

Бэкдор поддерживает всего четыре основные команды, как в версии для Windows.

В рамках исследования удалось получить с управляющего сервера shell-команды, направленные на сбор следующих данных о жертве: статус System Integrity Protection (SIP), информации о системе и устройстве, список приложений, информация по WeChat и DingTalk, а также креды из менеджера паролей Google.

Дальнейший анализ инфраструктуры атаки показал, что почти все C2 расположены в Китае, за исключением двух, которые находятся в США и Нидерландах.

Кроме того, сообщается, что ZIP-архив, содержащий установочный пакет OpenVPNConnect.zip, ранее был загружен с домена, принадлежащего китайскому разработчику видеоигр miHoYo, известному по Genshin Impact и Honkai.

В настоящее время неясно, как файл был загружен на домен, о котором идет речь ("vpn.mihoyo[.]com"), и был ли сервер скомпрометирован в какой-то момент в прошлом.

Также неясно, насколько широко распространена кампания, но последняя найденная версия HZ Rat для macOS показывает, что злоумышленники, стоявшие за предыдущими атаками, все еще активны.

Исследователи Solar 4RAYS связывают недавние расследованные инциденты с проукраинскими группировками, которые продолжают оставаться основным источником угроз для российских организаций.

При этом, как отмечают ресерчеры, активно реализуются три ключевые уязвимости в практиках защиты ИТ-инфраструктур, а именно:

- несвоевременное устранение брешей, связанных с уязвимостями в распространенном корпоративном ПО;
- недостаточный контроль над уровнем доступа подрядчиков в инфраструктуры организаций;
- продолжающиеся практики хранения аутентификационных данных в открытом виде.

При этом за целевыми кибератаками не всегда стоят профессиональные атакующие, но даже они из-за недостатков в защите способны добиться результата.

Кроме того, атакующие продолжают исследовать проблемные аспекты в распространенном корпоративном ПО, задействуя особенности взаимодействия Windows с сертификатами драйверов, от которой еще предстоит найти надежный способ защиты.

В первом случае атакующие зашифровали инфраструктуру промышленной компании и повредили серверы виртуализации ESXI.

Финал атаки пришелся на май, в инфраструктуру злоумышленники проникли еще в начале марта.

Первоначальной точкой входа послужила система с установленной TeamCity с CVE-2024-27198, позволившая создать учетные записи с правами администратора без предварительной аутентификации и установить вредоносный плагин.

Развивая атаку, злоумышленники продолжили использовать функциональные возможности Team City, переместившись на следующую систему, которая предназначалась для диспетчеризации.

Она обеспечила им разведку сети и сбор данных, включая логины и пароли в открытом виде.

Также с системы осуществлялось множество доступов на другие системы жертвы по протоколу RDP, включая и ключевую систему, которая принадлежала администратору домена.

В конечном счете атакующие зашифровали инфраструктуру.

Во второй атаке, начавшейся в конце апреля, атакующие также повредили виртуализацию и зашифровали множество различных систем. 

Артефакты, обнаруженные в ходе первого инцидента, напомнили поведение Morbid Trickster (также известной как Morlock), а по итогам расследования второй атаки всё ещё недостаточно данных, чтобы отнести ее к какой-то известной нам группировке.

Основываясь на комбинации использованных утилит, таких как Lockbit, Anydesk, gs-netcat, chisel, а также характерному наименованию утилит (kis.exe, kas.exe, mim.exe) можно предположить, что за двумя инцидентами стоят проукраинские группы.

Подробный технический разбор двух инцидентов с хронологией, аналитикой по ВПО, IOCs и MITRE - в отчете.

Исследователь SafeBreach Алон Левиев выкатил Windows Downdate, который можно использовать для атак с понижением версии на современные системы Windows 10, Windows 11 и Windows Server.

Как мы ранее сообщали, в ходе таких атак злоумышленники могут заставить целевые полностью обновленные устройства откатиться к старым версиям ПО, тем самым вновь создавая уязвимости, которые можно использовать для взлома системы.

Windows Downdate доступен в виде программы с открытым исходным кодом на основе Python и предварительно скомпилированного исполняемого файла Windows.

Ресерчер также поделился примерами использования инструмента, которые позволяют понизить версию гипервизора Hyper-V (до двухлетней версии), ядра Windows, драйвера NTFS и драйвера Filter Manager (до их базовых версий), а также других компонентов Windows, а также ранее примененных исправлений безопасности.

Помимо пользовательских понижений, Windows Downdate реализует простые в использовании примеры отката исправлений для CVE-2021-27090, CVE-2022-34709, CVE-2023-21768 и PPLFault, а также примеры понижения версии гипервизора, ядра и обхода блокировок UEFI VBS.

Ранее Левиев презентовал атаку понижения версии Windows Downdate с использованием CVE-2024-21302 и CVE-2024-38202 на конференции Black Hat 2024.

Причем использование инструмента невозможно обнаружить, поскольку его невозможно заблокировать с помощью EDR, а Центр обновления Windows будет сообщать, что целевая система обновлена (несмотря на понижение версии).

Несмотря на то, что 7 августа Microsoft выпустила обновление (KB5041773) для исправления уязвимости повышения привилегий Windows Secure Kernel Mode CVE-2024-21302, до сих пор нет исправления для CVE-2024-38202 - уязвимости повышения привилегий в стеке обновлений Windows.

До тех пор, пока не будет выпущено обновление, Редмонд советует клиентам следовать рекомендациям по защите от атак с понижением версии Windows.

Fortra предупреждает о критической уязвимости жестко запрограммированного пароля в FileCatalyst Workflow, которая позволяет получить несанкционированный доступ к внутренней базе Workflow HyperSQL (HSQLDB), выкрасть данные и получить привилегии администратора.

Кроме того, учетные данные базы данных могут быть использованы для создания новых пользователей-администраторов, открывая доступ на уровне администратора к приложению FileCatalyst Workflow и по факту полный контроль над системой.

Проблема отслеживается как CVE-2024-6633 (CVSS v3.1: 9.8) и затрагивает FileCatalyst Workflow 5.1.6 Build 139 и более ранние выпуски.

Пользователям рекомендуется обновиться до версии 5.1.7 или более поздней.

Fortra отметила в своем бюллетене, что HSQLDB включен только для реализации процесса установки и не предназначен для производственного использования, рекомендуя пользователям настроить альтернативные решения после установки.

Однако пользователи, которые не настроили FileCatalyst Workflow для использования альтернативной базы данных в соответствии с рекомендациями, уязвимы для атак из любого источника, который может достичь HSQLDB.

Методов смягчения или обходных путей не существует, поэтому системным администраторам рекомендуется как можно скорее применить доступные обновления безопасности.

CVE-2024-6633 была обнаружена исследователями Tenable 1 июля 2024 года, когда был найден один и тот же статический пароль GOSENSGO613 во всех развертываниях FileCatalyst Workflow.

Tenable пояснила, что внутренний рабочий процесс HSQLDB доступен удаленно через порт TCP 4406 при настройках продукта по умолчанию, что свидетельствует о критичности уязвимости.

Следует отметить, что конечные пользователи не могут изменить этот пароль обычными способами, поэтому единственным решением является обновление до версии 5.1.7 или более поздней.

Высокий уровень доступа, простота эксплуатации и потенциально значимая эффективность для киберпреступников, использующих CVE-2024-6633, делают эту уязвимость чрезвычайно опасной для пользователей FileCatalyst Workflow.

Ведь как известно, решения Fortra традиционно находятся под прицелом злоумышленников, поскольку критические проблемы в них могут привести к массовым взломам одновременно нескольких важных корпоративных сетей.

Что, по всей видимости, и произойдет в ближайшее время, но будем посмотреть.

Вкратце по другим уязвимостям картина следующая.

Критическая уязвимость CVE-2024-6386 (CVSS: 9,9) в плагине WPML делает сайты WordPress уязвимыми, затрагивая все версии плагина до 4.6.13, выпущенной 20 августа 2024 года.

WPML - популярный плагин, используемый для создания многоязычных сайтов WordPress c миллионом активных установок.

Обнаруживший уязвимость исследователь Stealthcopter отмечает, что проблема заключается в обработке плагином коротких кодов, которые используются для вставки контента постов: аудио, изображения и видео.

Проблема, возникающая из-за отсутствия проверки и очистки входных данных, позволяет аутентифицированным злоумышленникам с доступом уровня Contributor и выше выполнять код на сервере.

Исследователи нашли способ дампа корневого ключа обеспечения (или Fuse Key0) для Intel SGX.

Метод работает только на некоторых сериях процессоров, поддержка которых уже прекращена.

Этот ключ теперь можно использовать для извлечения и расшифровки данных из защищенного режима SGX с помощью собственных ключей Intel - или для размещения данных внутри.

Проблема обусловлена ошибкой в микрокоде Intel. В частности, с невозможностью очистить внутренний буфер, содержащий все значения предохранителей, включая FK0.

Исследователь Маркус Хатчинс представил статью в отношении CVE-2024-38063 (CVSS 9,8), в которой пришел к выводу, что надежных PoC (на данный момент) нет, за исключением этого, который вызывает DoS.

Mobile Security Framework (MobSF) исправила уязвимость в мобильном продукте для пентестинга, которая может быть использована с помощью атак ZIP Slip для удаленного выполнения кода на сервере MobSF.

Ошибка получила оценку CVSS 9,8 и проста в эксплуатации.

RedTeam Pentensting опубликовала отчет по CVE-2024-43425 - уязвимости удаленного выполнения кода, которая была исправлена в системе управления доступом Moodle.

Стал доступен PoC для CVE-2024-38856, RCE до аутентификации в Apache OFBiz, исправленный в начале этого месяца.

Ошибка добавлена в базу активно эксплуатируемых ошибок CISA KEV.

Microsoft исправила возможность атаки, в которой задействовались символы ASCII для кражи данных клиентов из Copilot AI.

Исследовательская группа Trend Micro раскрывает подробности CVE-2024-37079 в VMware vCenter Server, описывая основную причину этой ошибки и показывая, как ее можно использовать для RCE.

Пока не было обнаружено ни одной атаки в дикой природе, при этом эксплуатация не тривиальна.

Исследователи Sophos в своем отчете констатируют, что вредоносный драйвер режима ядра Windows PoorTry теперь активно задействуется в атаках по нейтрализации EDR в реальных условиях, о чем предупрежадала Trend Micro еще в мае 2023.

В последнем отчете Sophos изучается июльская атака RansomHub, в ходе которой Poortry был использован для удаления критически важных исполняемых файлов (EXE), динамически подключаемых библиотек (DLL) и других важных компонентов EDR.

Вообще же, PoorTry используется сразу несколькими бандами вымогателей, включая BlackCat, Cuba и LockBit, для отключения EDR, превратившись в полнофункциональный очиститель решений безопасности.

При этом замечены также и другие преступные группы, такие как Scattered Spider, аналогичным образом оперирующие инструментом в своих атаках, нацеленных на кражу учетных данных и подмену SIM-карт.

Эта эволюция PoorTry из деактиватора EDR в очиститель представляет собой очень агрессивную смену тактики со стороны злоумышленников, которые теперь отдают приоритет более глубокой фазе настройки, чтобы обеспечить лучшие результаты на этапе шифрования.

PoorTry, также известный как BurntCigar, был разработан в 2021 году как драйвер режима ядра для отключения EDR и другого ПО безопасности.

Он впервые привлек внимание, когда его разработчики нашли способы подписывать свои вредоносные драйверы с помощью процесса подтверждения подписи Microsoft.

В течение 2022-2023 гг. Poortry продолжал развиваться, оптимизируя свой код и используя инструменты обфускации, такие как VMProtect, Themida и ASMGuard, для упаковки драйвера и загрузчика Stonestop.

В случае наблюдаемой Sophos атаки процесс начинался с компонента пользовательского режима PoorTry, который определял каталоги установки ПО безопасности и критические файлы в них.

Затем он отправлял запросы компоненту режима ядра для систематического завершения процессов, связанных с безопасностью, а затем удалял их важные файлы.

Пути к этим файлам жестко запрограммированы в PoorTry, в то время как компонент пользовательского режима поддерживает удаление как по имени файла, так и по типу, что обеспечивает ему некоторую эксплуатационную гибкость для охвата более широкого спектра EDR.

Вредоносное ПО можно настроить только на удаление файлов, имеющих решающее значение для работы EDR, избегая излишней активности на первых этапах атаки.

Sophos также отмечает, что последние варианты Poortry используют манипуляцию временными метками подписей, чтобы обойти проверки безопасности в Windows, и метаданные из другого ПО, в том числе Internet Download Manager от Tonec Inc.

Злоумышленники, как было замечено, использовали тактику, известную как certificate roullete, развертывая несколько вариантов одной и той же полезной нагрузки, подписанных разными сертификатами, чтобы увеличить свои шансы на успешное выполнение хотя бы одного из них.

Несмотря на попытки отследить эволюцию PoorTry и противодействовать его работе, разработчики инструмента продемонстрировали замечательную способность адаптации к новым мерам защиты.

Функция очистки EDR дает инструменту преимущество перед защитниками, реагирующими на атаки, но также открывает и новые возможности для обнаружения атак на этапе, предшествующем шифрованию.

BI.ZONE раскрывает новую хакерскую группу Stone Wolf, которая использует коммерческий инфостиллер Meduza для атак на российские организации.

Злоумышленники рассылают фишинговые письма от лица легитимной организации, занимающейся промышленной автоматизацией с целью доставки в корпоративные инфраструктуры Meduza.

Использование известных брендов для фишинговых рассылок - это широко распространенный ход со стороны атакующих.

Причем чем известнее и успешнее компания, тем охотнее злоумышленники используют ее айдентику, ведь это значимо повышает доверие со стороны жертвы, подталкивая открыть письмо.

Бизоны также отмечают, что атакующие продолжают расширять арсенал коммерческим ВПО, что в очередной раз подчеркивает важность регулярного мониторинга теневых ресурсов.

В рамках обнаруженной кампании Stone Wolf распространял архив с именем Dostavka_Promautomatic.zip с тремя файлами под капотом: цифровая подпись (p7s), легитимный документ-приманка (docx), и вредоносная ссылка, замаскированная под PDF-документ (Scan_127-05_24_dostavka_13.05.2024.pdf.url).

После активации вредоносной ссылки происходило обращение к находящемуся на удаленном SMB-сервере файлу для загрузки и запуска, доставляя в конечном итоге - Meduza Stealer.

Стиллер был замечен в киберпольполье в июне 2023 года по цене 199 долларов за месячную подписку (399 долларов - за три месяца) и 1199 долларов - за бессрочную лицензию.

В марте 2024 года стали доступны дополнительные возможности: приобретение загрузчика (вероятно, In2al5d P3in4er), а также выделенного сервера с выбором параметров количества ядер, оперативной памяти и места на диске.

При покупке предоставляется билдер, а также веб‑панель, в которой можно отслеживать собранные данные с устройств жертв.

В исполняемый файл, по заверениям разработчиков, встроен модуль, ограничивающий возможность реализации атак на территории СНГ. В исследуемом образце такая проверка отсутствует.

Стилер собирает системную информацию: версию ОС, имя устройства, время, информацию о процессоре, оперативной памяти и графическом адаптере, разрешении экрана и внешнем IP устройства через обращение к https://api.ipify[.]org.

Кроме того, обладает функционалом для кражи учетных данных из Outlook, браузеров, криптокошельков, сессии Telegram и Steam, токенов Discord, менеджеров паролей, данных из Windows Credential Manager и Windows Vault, а также считывания список активных процессов и установленных приложений.

Собранные данные отправляются на управляющий сервер по протоколу TCP. Если ВПО не может подключиться к С2, работа программы завершается.

Подробности атак, IOCs и MITRE ATT&CK - в отчете.

Beckhoff Automation сообщает об исправлении уязвимостей в своей операционной системе TwinCAT/BSD для промышленных ПК, которые были найдены исследователями Nozomi Networks.

TwinCAT/BSD объединяет среду выполнения TwinCAT с операционной системой FreeBSD с открытым исходным кодом.

TwinCAT позволяет пользователям преобразовать практически любую систему на базе ПК в контроллер реального времени с возможностями полноценной ПЛК-системы.

По данным Nozomi Networks, веб-компонент управления Device Manager, поставляемый с операционной системой и обеспечивающий удаленный мониторинг и настройку устройств Beckhoff, подвержен четырем уязвимостям.

Две из них, CVE-2024-41173 и CVE-2024-41174, были отнесены к категории высокой степени серьезности и могут быть использованы для обхода аутентификации и проведения XSS-атак соответственно.

По данным Nozomi, злоумышленник с ограниченными полномочиями может использовать уязвимость CVE-2024-41173 для того, чтобы сбросить пароль администратора ПЛК без необходимости в исходном пароле.

Это позволит ему подключиться к ПЛК с административным доступом через стандартные инженерные инструменты и перепрограммировать устройство по своему усмотрению, потенциально нарушая контролируемый промышленный процесс.

Две другие уязвимости, которым присвоен уровень средней степени серьезности, позволяют локальным злоумышленникам вызывать DoS ПЛК.

Злоумышленник с ограниченными полномочиями может сделать так, что устройства перестанут отвечать на запросы (в том числе удаленно через сеть), пока не будет выполнен сброс питания.

Возможности этой уязвимости можно комбинировать с другими атаками на устройство: злоумышленник может выполнить ранее упомянутую манипуляцию программированием ПЛК, чтобы инициировать нарушение производственного процесса.

Впоследствии реализовать сценарий DoS, чтобы предотвратить доступ к устройству, блокируя любую попытку восстановить контроль.

Beckhoff выпустила исправления и меры по устранению уязвимостей, а также рекомендации по каждой уязвимости.

Используете IP-камеры AVTECH - ошибка, не слышали про вредоносный IoT-ботнет Corona - фатальная ошибка.

Исследователи Akamai сообщают о начавшейся с декабря 2023 активной эксплуатации IoT-ботнетами нуля в камерах видеонаблюдения AVTECH, который позволяет захватывать устройства и запускать DDoS-атаки.

0-day связан с внедрением команд (CVE-2024-7029, оценка CVSS v4: 8,7) в функции, которая предназначена для удаленной регулировки яркости камеры AVTECH.

Уязвимость позволяет неавторизованным злоумышленникам вводить команды по сети с помощью специально созданных запросов.

Она затрагивает все IP-камеры AVTECH AVM1203, работающие на версиях прошивки до Fullmg-1023-1007-1011-1009.

Поскольку затронутые модели больше не поддерживаются тайваньским поставщиком уже с 2019 года, исправлений для устранения уязвимости CVE-2024-7029 нет, и их выпуск не ожидается.

При этом PoC для данной уязвимости был доступен по крайней мере с февраля 2019 года, но CVE был присвоен только в этом месяце, ведь ранее активных эксплуатаций не наблюдалось.

В свою очередь, ботнет Corona, вариант Mirai, теперь реализует распространение через RCE-уязвимость нулевого дня пятилетней давности в IP-камерах, которые которые все еще находятся в эксплуатации, несмотря на EoL.

Первая активная кампания началась 18 марта 2024 года, но анализ показал возможную активность, начавшуюся еще в декабре 2023 года.

Атаки Corona задействуют уязвимость CVE-2024-7029 для загрузки и выполнения файла JavaScript, который, в свою очередь, доставляет основную полезную нагрузку ботнета на устройство.

После внедрения на устройство вредоносная ПО подключается к своим C2 и ожидает инструкций по выполнению распределенных атак типа DDoS.

Среди других уязвимостей, на которые нацеливается Corona:

- CVE-2017-17215: уязвимость в маршрутизаторах Huawei, которая позволяет удаленным злоумышленникам выполнять произвольные команды на уязвимых устройствах посредством эксплуатации ненадлежащей проверки в службе UPnP.

- CVE-2014-8361: RCE в Realtek SDK, которая распространена в маршрутизаторах. Эксплуатация возможна через службу HTTP.

- Hadoop YARN RCE: уязвимости в системе управления ресурсами Hadoop YARN (Yet Another Resource Negotiator), которые могут быть использованы для удаленного выполнения кода в кластерах Hadoop.

Akamai уведомила AVTECH о нуле и замеченных атаках в начале этого года, но разработчик не отреагировал и не выпустил исправления.

Пользователям IP-камер AVTECH AVM1203 рекомендуется немедленно отключить их и заменить более новыми и активно поддерживаемыми моделями.

Исследователи из ESET сообщают об обнаружении кибершпионской кампании южнокорейской APT-C-60, которая использовала 0-day в WPS Office для Windows для развертывания бэкдора SpyGlace на объекты в Восточной Азии.

WPS Office - это пакет офисных приложений, разработанный китайской фирмой Kingsoft, который широко распространен в Азии и насчитывает более 500 миллионов активных пользователей по всему миру.

Обозначенная CVE-2024-7262 использовалась в атаках по крайней мере с конца февраля 2024, но затрагивает лишь версии с 12.2.0.13110 (август 2023) по 12.1.0.16412 (март 2024).

Kingsoft без официальных уведомлений исправила проблему в марте этого года, не сообщая клиентам, что уязвимость активно эксплуатировалась, что вместо нее сделали ESET, обнаружившую как кампанию, так и уязвимость.

Помимо CVE-2024-7262 ESET отыскали и вторую серьезную уязвимость - CVE-2024-7263, которую Kingsoft исправила в конце мая 2024 года в версии 12.2.0.17119.

CVE-2024-7262 связана с тем, как ПО обрабатывает пользовательские обработчики протоколов, в частности «ksoqing://», который позволяет выполнять внешние приложения через специально созданные URL-адреса в документах.

В виду неправильной проверки и очистки этих URL-адресов уязвимость позволяет злоумышленникам создавать вредоносные гиперссылки, которые приводят к выполнению произвольного кода.

Так, APT-C-60 создавала электронные таблицы (файлы MHTML), в которые встраивала вредоносные гиперссылки, скрытые под изображением-приманкой, чтобы заставить жертву щелкнуть по ним и активировать эксплойт.

Обработанные параметры URL включают в себя закодированную в base64 команду для запуска определенного плагина (promecefpluginhost.exe), который пытается загрузить вредоносную DLL (ksojscore.dll), содержащую код злоумышленника.

Эта DLL представляет собой компонент загрузчика APT-C-60, предназначенный для извлечения конечной полезной нагрузки (TaskControler.dll) с сервера злоумышленника, специального бэкдора под названием SpyGlace.

В ходе расследования атак APT-C-60 была установлена вторая упоминавшаяся уязвимость WPS Office, которая явилась следствием недостаточно эффективного исправления CVE-2024-7262.

Первоначальное решение проблемы включало добавление проверки определенных параметров, часть из которых, например, CefPluginPathU8, все еще не были достаточно защищены, что позволило снова указать пути вредоносных DLL через promecefpluginhost.exe.

ESET поясняет, что данную уязвимость можно эксплуатировать локально или через сетевой ресурс с вредоносной DLL, но в реальных условиях эксплуатации не наблюдали.

Полный перечень IoC, связанных с активностью APT-C-60, - в репозитории на GitHub.

͏Тем временем, в киберподполье подкатили новинки в категории iOS RCE.

KeeperZed предлагает приобрести iOS 0-day RCE эксплойт, который не требует взаимодействия с пользователем (ZeroClick) и обеспечивает полный контроль над устройствами под управлением iOS 17.xx и iOS 18.xx

Исследователи Ян Кэрролл и Сэм Карри обнаружили SQL-уязвимость в FlyCASS, веб-сервисе, который авиакомпании используют для управления программой Known Crewmember (KCM) и системой безопасности доступа в кабину (CASS).

Уязвимость в ключевой системе безопасности воздушного транспорта фактически позволяла неавторизованным злоумышленникам потенциально обходить досмотр в аэропорту и получать доступ к кабинам самолетов.

KCM — это программа Администрации транспортной безопасности (TSA), которая позволяет пилотам и бортпроводникам обходить проверку безопасности, а CASS позволяет уполномоченным пилотам использовать откидные сиденья в кабинах.

Система KCM, которой управляет ARINC (дочерняя компания Collins Aerospace), обеспечивает проверку учетных данных сотрудников авиакомпаний через онлайн-платформу.

Процесс включает сканирование штрихкода KCM или ввод номера сотрудника, а затем перекрестную проверку с базой данных авиакомпании для предоставления доступа без необходимости прохождения проверки безопасности.

Аналогичным образом система CASS проверяет пилотов на предмет доступа к откидному сиденью в кабине, если им нужно добираться на работу или в ходе частных поездок.

Используя найденную уязвимость, исследователи смогли войти в FlyCASS в качестве администратора участвующей авиакомпании Air Transport International и манипулировать данными сотрудников в системе.

В рамках исследования был добавлен фиктивный сотрудник Test TestOnly с предоставлением ему доступа к KCM и CASS, что фактически позволило обойти проверку безопасности и получить доступ в кабины коммерческих авиалайнеров.

Исследователи немедленно приступили к раскрытию информации, связавшись с Министерством внутренней безопасности (DHS) 23 апреля 2024 года, минуя прямой контакт с FlyCASS.

DHS признала серьезность уязвимости, отключив FlyCASS от системы KCM/CASS 7 мая 2024 года в качестве меры предосторожности. Вскоре после этого уязвимость была исправлена.

После чего DHS прекратила контакты с исследователями и попытки дальнейшей координации безопасного раскрытия провалились. Не задался и диалог с TSA.

В новом отчете исследователи Proofpoint раскрывают вредоносную кампанию по распространению ранее не документированного бэкдора Voldemort среди организаций по всему миру, действуя под видом налоговых органов США, Европы и Азии.

Кампания активна как минимум с 5 августа 2024 года и насчитывает более 20 000 писем в более чем 70 целевых организаций, а на пике активности число таких писем достигало 6 000 за день.

Более половины всех целевых организаций относятся к страховому, аэрокосмическому, транспортному и образовательному секторам. Как полагают в Proofpoint, наиболее вероятной целью является кибершпионаж.

В рассылаемых письмах утверждается, что имеется обновленная налоговая информация и содержатся ссылки на соответствующие документы.

При нажатии на нее получатели переходят на целевую страницу, размещенную на InfinityFree, которая использует URL-адреса кэша Google AMP для перенаправления жертвы на страницу с кнопкой «нажмите, чтобы просмотреть документ».

При нажатии кнопки страница проверит User Agent браузера и, если он для Windows, перенаправит цель на search-ms URI (протокол поиска Windows), который указывает на туннелируемый TryCloudflare URI.

Пользователи, не являющиеся пользователями Windows, перенаправляются на пустой URL-адрес Google Drive, который не содержит вредоносного контента.

В случае взаимодействия с файлом search-ms, проводник Windows отображает файл LNK или ZIP, замаскированный под PDF. 

Такой прием в последнее время стал популярным в фишинге, поскольку файл размещен на внешнем ресурсе WebDAV/SMB, но создает впечатление, что находится локально в папке «Загрузки», чтобы обманом заставить жертву открыть его.

При этом выполняется скрипт Python из другого общего ресурса WebDAV без его загрузки на хост, который собирает системную информацию для профилирования жертвы. Одновременно отображается поддельный PDF-файл.

Скрипт также загружает легитимный исполняемый файл Cisco WebEx (CiscoCollabHost.exe) и вредоносную DLL (CiscoSparkLauncher.dll) для доставки Voldemort с помощью боковой загрузки DLL.

Сам Voldemort - это бэкдор на языке C, который поддерживает широкий спектр команд и действий по управлению файлами, включая эксфильтрацию, внедрение новых полезных нагрузок в систему и удаление файлов.

Примечательной особенностью Voldemort является то, что он использует Google Sheets в качестве C2, отправляя ему запросы на получение новых команд для выполнения на зараженном устройстве, а также в качестве хранилища украденных данных.

Каждая зараженная машина записывает свои данные в определенные ячейки в Google Sheet, которые могут быть обозначены уникальными идентификаторами, такими как UUID, что обеспечивает изоляцию и более четкое управление взломанными системами.

Voldemort использует API Google со встроенным идентификатором клиента, секретом и токеном обновления для взаимодействия с Google Sheets, которые хранятся в его зашифрованной конфигурации.

Такой подход обеспечивает вредоносному ПО надежный и высокодоступный канал C2, а также снижает вероятность того, что сетевое взаимодействие будет отмечено средствами безопасности.

Исследователи Securonix сообщают о тщательно организованной и сложной атаке SLOW#TEMPEST с задействованием фишинга и Cobalt Strike, нацеленной на китаеязычных пользователей.

В ходе скрытой кампании неустановленным злоумышленникам посредством вредоносных ZIP-файлов удалось реализовать цепочку заражения, которая привела к развертыванию набора инструментов для постэксплуатации.

Затем - осуществить горизонтальное перемещение, закрепиться и оставаться незамеченными в системах более двух недель.

ZIP-архив включал файл ярлыка Windows (LNK), замаскированный под файл Microsoft Word (违规远程控制软件人员名单.docx.lnk), мимикрирующий под официальный документ с указанием списка нарушивших регламент в отношении работы программного обеспечения для дистанционного управления.

В совокупности, задействуемый китайский язык и содержание приманки, указывают на вероятные цели атаки, в числе которых выступают по всей видимости китайские предприятия или госучреждения.

Файл LNK выступает в качестве канала для запуска легитимного двоичного файла Microsoft (LicensingUI.exe), который использует боковую загрузку DLL для выполнения мошеннической dui70.dll.

Оба файла являются частью архива ZIP в каталоге с именем «\其他信息\.__MACOS__\._MACOS_\__MACOSX\_MACOS_».

Эта атака является первым случаем, когда была зарегистрирована сторонняя загрузка DLL через LicensingUI.exe.

Файл DLL представляет собой имплант Cobalt Strike, который обеспечивает постоянный и скрытый доступ к зараженному хосту, одновременно устанавливая связь с удаленным сервером (123.207.74[.]22).

Сообщается, что удаленный доступ позволил злоумышленникам провести ряд действий, включая развертывание дополнительных полезных нагрузок для разведки и настройку прокси-соединений.

Цепочка заражения также примечательна тем, что создает запланированную задачу для периодического запуска вредоносного исполняемого файла lld.exe, который может запускать произвольный шелл-код непосредственно в памяти, тем самым оставляя минимальные следы на диске.

Кроме того, задействуемая гостевая учетная запись, обычно отключенная и имеющая минимальные привилегии, преобразуется злоумышленниками в мощную точку доступа путем добавления ее в критическую административную группу.

Это позволяет сохранять доступ к системе с минимальным обнаружением, поскольку задействуемая гостевая учетная запись часто не отслеживается так же пристально, как другие учетные записи пользователей

Горизонтальное перемещение по сети реализуется с использованием RDP и учетных данных, полученных с помощью инструмента Mimikatz, после чего устанавливается удаленные подключения к своему C2 на каждой из машин.

Фаза постэксплуатации характеризуется выполнением нескольких команд сканирования и использования инструмента BloodHound для разведки Active Directory (AD), результаты которой затем извлекаются в виде ZIP-архива.

Связи с Китаем подкрепляются тем фактом, что все C2 размещены в Shenzhen Tencent Computer Systems Company Limited.

Кроме того, большинство артефактов, связанных с кампанией, происходят из Китая.

Каких-либо убедительных доказательств, связывающих эту атаку с какой-либо известной APT-группировкой, не найдено.

Однако можно точно считать, что организована она продвинутым злоумышленником с опытом использования передовых фреймворков и широкого спектра других инструментов постэксплуатации.

Минутка объективной инфосек журналистики на канале SecAtor.

Расовый румынский инфосек журналист Каталин Чимпану докладывает, что российская проправительственная хакерская группа APT 28 aka Fancy Bear яростно напала на Управление воздушным движением Германии (DFS). Затронута административная IT-инфрастуктура, безопасность полетов не затронута.

В качестве пруфа приводятся не данные расследования, не выявленные сходства в TTPs и даже не мнение конкретной инфосек компании или исследователя. Основанием служит публикация в баварском региональном новостном издании BR24. Там прямо так и написано - "по информации BR24, в атаке участвовала группа APT 28" (это законченная сентенция).

В принципе это все, что нужно знать о современной объективной инфосек журналистике.

Намедни газета Ревдинский гудок рассказала, что инфосек журналист Каталин Чимпану подрезал у одинокой пенсионерки Клавдии Федосовны три курицы и одного серого гуся. К ответу негодяя!

А теперь минутка демократии на канале SecAtor.

Власти города Колумбус с населением 2 140 000 (штат Огайо) подали иск к исследователю Дэвиду Лерою Россу (aka Connor Goodwolf), обвиняя его в незаконном распространении данных, украденных 18 июля из муниципальной сети бандой вымогателей Rhysida.

Тогда администрация города опровергла шифрование систем, но признала кражу, а ответственность за инцидент спустя день взяла на себя банда Rhysida.

Хакеры заявили о краже 6,5 ТБ баз данных, включая данные сотрудников, дампы серверов, записи с городских видеокамер и другую конфиденциальную информацию.

Так и не договорившись относительно выкупа, они опубликовали 45% украденных данных, включающих 260 000 файлов (3,1 ТБ), раскрыв большую часть заявленной утечки.

Среди них оказались две резервные базы, содержащие большой объем информации местной прокуратуры и полиции, начиная как минимум с 2015 года, включая, среди прочего, личную информацию агентуры правоохранителей среди местного населения.

Вместе с тем, мэр Колумбуса Эндрю Гинтер отрапортовал в СМИ, что раскрытая информация не представляет никакой ценности, а атака была успешно отражена.

В свою очередь, Goodwolf решил все же поспорить и поделился со СМИ информацией о том, что реально содержалось в названной утечке.

Гинтер решил также не отступать и заявил, что раскрытые в утечке данные были зашифрованы или повреждены, и поэтому не должны вызывать особого беспокойства у общественности.

Исследователь же продолжил свою линию и в качестве аргумента своей критики выкатил образцы данных в СМИ, дабы наглядно проиллюстрировать, что среди них имеются незашифрованные и вполне читабельные персданные жителей Колумбуса, в том числе сотрудников полиции, жертв преступлений и пр.

Вместо справедливости исследователь получил иск от властей Колумбуса с требованием запрета на дальнейшее размещение слитых данных и возмещение ущерба в размере 25 000 долл.

Как сообщает NBC4, судья округа Франклин выдал временный приказ, запрещающий распространять украденные данные, а городской прокурор Зак Кляйн заверил об отсутствии основании считать иск посягательством на свободу слова.

Без комментариев.

Docker-OSX был удален из Docker Hub после того, как Apple подала запрос на удаление в соответствии с DMCA (Законом об авторском праве в цифровую эпоху), утверждая о нарушении ее авторских прав.

Docker-OSX - проект с открытым исходным кодом, созданный исследователем Sick.Codes, который позволяет виртуализировать macOS на оборудовании, отличном от Apple, размещая на любой системе, поддерживающей Docker, включая Linux и Windows.

Проект широко востребован среди разработчиков, которые задействуют его для тестирования ПО на macOS, или исследователей, которые пробуют различные конфигурации для выявления ошибок или аналитики вредоносного ПО.

К настоящему времени Docker-OSX имел 750 000 загрузок и 500 звезд на Docker Hub, а также 40 000 звезд на GitHub.

Однако начиная со среды прошлой недели пользователи Docker-OSX сообщают, что им не удалось загрузить последние образы macOS из репозитория Docker Hub, получая ошибку 404.

Позже после публикации информации об удалении в X компания Docker подтвердила удаление в ответ на получение запроса в соответствии с DMCA от Apple.

В запросе DMCA представляющая интересы Apple юридическая фирма Kilpatrick, Townsend and Stockton LLP, сообщила, что репозиторий docker-osx содержал образы установщика macOS от Apple, которые защищены авторским правом.

В уведомлении указывается, что Docker-OSX воспроизводит контент Apple без разрешения, что является нарушением авторских прав в соответствии с законодательством США, и включает требование к Docker незамедлительно закрыть репозитории.

Дело в том, что Apple обладает исключительными правами на свой установщик и установку macOS. Docker-OSX воспроизводит этот контент без разрешения, а несанкционированное воспроизведение контента Apple является нарушением DMCA.

С юридической точки зрения у Apple в данном случае все ровно, поскольку ее лицензионное соглашение EULA для macOS ограничивает использование ОС только оборудованием под брендом Apple, и компания имеет право обеспечивать соблюдение этих условий лицензирования.

Как отмечают разработчики, Apple, в первую очередь, сама себе противоречит и подрывают интересы исследователей, использующих Docker-OSX для повышения безопасности macOS, в том числе действующих в рамках Apple Bug Bounty.

Сама же Apple никак не комментирует возникшую ситуацию.