Продолжаем обзор аналитики от Лаборатории Касперского по информационным угрозам во 2 квартале 2024 года с основными показателями по мобильной статистике и ПК.
Согласно телеметрии Kaspersky Security Network во втором квартале 2024 года:
- Предотвращено 7,7 млн атак с использованием вредоносного, рекламного или нежелательного мобильного ПО.
- Самой распространенной угрозой для мобильных устройств стали программы класса RiskTool — 41% от всех обнаруженных угроз.
- Было обнаружено 367 418 вредоносных установочных пакетов, из которых: 13 013 пакетов относились к мобильным банковским троянцам, 1392 пакета - к мобильным троянцам-вымогателям.
Из основных трендов по мобильным угрозам: число атак с использованием вредоносного, рекламного или нежелательного ПО на мобильные устройства выросло относительного аналогичного периода прошлого года.
В апреле этого года были обнаружены новые версии шпиона Mandrake. Также во втором квартале был найден нацеленный на пользователей в Корее банковский троянец IOBot.
Число образцов вредоносного ПО для Android снизилось по сравнению с предыдущим кварталом и достигло уровня аналогичного периода в 2023 году.
Статистика по ПК включала следующие основные цифры:
- решения Лаборатории Касперского отразили более 664 миллионов атак с различных интернет-ресурсов;
- веб-антивирус среагировал на 113,5 миллионов уникальных ссылок;
- файловый антивирус заблокировал более 27 миллионов вредоносных и нежелательных объектов;
- почти 86 тысяч пользователей столкнулись с атаками ransomware;
- почти 12% всех жертв шифровальщиков, данные которых опубликованы на DLS-сайтах группировок, пострадали от группы вымогателей Play;
- почти 340 тысяч пользователей столкнулись с майнерами.
Инфографика, рейтинги по наиболее распространенным угрозам и обзор основных тенденций и событий квартала - в отчетах по мобильной статистике и ПК.
Согласно телеметрии Kaspersky Security Network во втором квартале 2024 года:
- Предотвращено 7,7 млн атак с использованием вредоносного, рекламного или нежелательного мобильного ПО.
- Самой распространенной угрозой для мобильных устройств стали программы класса RiskTool — 41% от всех обнаруженных угроз.
- Было обнаружено 367 418 вредоносных установочных пакетов, из которых: 13 013 пакетов относились к мобильным банковским троянцам, 1392 пакета - к мобильным троянцам-вымогателям.
Из основных трендов по мобильным угрозам: число атак с использованием вредоносного, рекламного или нежелательного ПО на мобильные устройства выросло относительного аналогичного периода прошлого года.
В апреле этого года были обнаружены новые версии шпиона Mandrake. Также во втором квартале был найден нацеленный на пользователей в Корее банковский троянец IOBot.
Число образцов вредоносного ПО для Android снизилось по сравнению с предыдущим кварталом и достигло уровня аналогичного периода в 2023 году.
Статистика по ПК включала следующие основные цифры:
- решения Лаборатории Касперского отразили более 664 миллионов атак с различных интернет-ресурсов;
- веб-антивирус среагировал на 113,5 миллионов уникальных ссылок;
- файловый антивирус заблокировал более 27 миллионов вредоносных и нежелательных объектов;
- почти 86 тысяч пользователей столкнулись с атаками ransomware;
- почти 12% всех жертв шифровальщиков, данные которых опубликованы на DLS-сайтах группировок, пострадали от группы вымогателей Play;
- почти 340 тысяч пользователей столкнулись с майнерами.
Инфографика, рейтинги по наиболее распространенным угрозам и обзор основных тенденций и событий квартала - в отчетах по мобильной статистике и ПК.
Securelist
Статистика по вредоносному и нежелательному ПО для Android за второй квартал 2024 года
В отчете представлена статистика по мобильному вредоносному и нежелательному ПО за второй квартал 2024 года, включая данные по мобильным банковским троянцам и вымогателям.
В целом по уязвимостям на сегодня картина выглядит следующим образом.
Google выпустила два обновления Chrome 128 для устранения 8 серьезных уязвимостей, включая 6 шесть высокой степени серьезности, о которых сообщили внешние исследователи.
Причем по данным Microsoft, ранее исправленная в Chrome CVE-2024-7971 эксплуатировалась как нуль в рамках кампании, инициированной северокорейской Citrine Sleet, что для корейских хакеров стало уже традицией.
Кроме того, PixiePoint опубликовала анализ CVE-2024-38106, нуле в ядре Windows, которая также широко использовалась Citrine Sleet в атаках, нацеленных на криптосообщество.
SecureLayer7 выкатила описание CVE-2024-37084 в компоненте сервера Skipper Spring Cloud Data Flow, исправленную в июле.
RCE-уязвимость обусловлена использованием стандартного конструктора Yaml, который позволяет десериализовать произвольные объекты, что подвергает системы потенциальным атакам, если предоставляются вредоносные данные YAML.
VMware выпустила обновление безопасности для программного обеспечения Fusion, а для камер AVTech теперь появился новый PoC (старый здесь), нацеленный на неисправленную 0-day CVE-2024-7029, о которой сообщалось ранее.
Исследователь Fudgedotdotdot опубликовал обзор самых последних методов обхода песочницы, используемых в реальных условиях.
Порадовали исследователи СайберОК Александр Черненьков и Сергей Гордейчик, оказавшие помощь в обнаружении уязвимости в Webmin, которая могла быть использована для проведения атаки Loop DoS (CVE-2024-2169).
При этом Webmin - это достаточно популярная система управления серверами с более чем 1 000 000 установок по всему миру.
Webmin/Virtualmin используют обнаружение сервисов UDP, обычно работающее на порту UDP/10000.
Эта служба отвечает на любой запрос UDP IP-адресом и портом, на котором доступна панель управления.
Такое поведение может использоваться для реализации атаки Loop DoS путем отправки пакетов UDP с поддельным исходным ip-портом с использованием другого IP-адреса экземпляра Webmin, что может привести к бесконечному обмену трафиком между хостами, отказу в обслуживании (DOS) и/или злоупотреблению ресурсами.
Google выпустила два обновления Chrome 128 для устранения 8 серьезных уязвимостей, включая 6 шесть высокой степени серьезности, о которых сообщили внешние исследователи.
Причем по данным Microsoft, ранее исправленная в Chrome CVE-2024-7971 эксплуатировалась как нуль в рамках кампании, инициированной северокорейской Citrine Sleet, что для корейских хакеров стало уже традицией.
Кроме того, PixiePoint опубликовала анализ CVE-2024-38106, нуле в ядре Windows, которая также широко использовалась Citrine Sleet в атаках, нацеленных на криптосообщество.
SecureLayer7 выкатила описание CVE-2024-37084 в компоненте сервера Skipper Spring Cloud Data Flow, исправленную в июле.
RCE-уязвимость обусловлена использованием стандартного конструктора Yaml, который позволяет десериализовать произвольные объекты, что подвергает системы потенциальным атакам, если предоставляются вредоносные данные YAML.
VMware выпустила обновление безопасности для программного обеспечения Fusion, а для камер AVTech теперь появился новый PoC (старый здесь), нацеленный на неисправленную 0-day CVE-2024-7029, о которой сообщалось ранее.
Исследователь Fudgedotdotdot опубликовал обзор самых последних методов обхода песочницы, используемых в реальных условиях.
Порадовали исследователи СайберОК Александр Черненьков и Сергей Гордейчик, оказавшие помощь в обнаружении уязвимости в Webmin, которая могла быть использована для проведения атаки Loop DoS (CVE-2024-2169).
При этом Webmin - это достаточно популярная система управления серверами с более чем 1 000 000 установок по всему миру.
Webmin/Virtualmin используют обнаружение сервисов UDP, обычно работающее на порту UDP/10000.
Эта служба отвечает на любой запрос UDP IP-адресом и портом, на котором доступна панель управления.
Такое поведение может использоваться для реализации атаки Loop DoS путем отправки пакетов UDP с поддельным исходным ip-портом с использованием другого IP-адреса экземпляра Webmin, что может привести к бесконечному обмену трафиком между хостами, отказу в обслуживании (DOS) и/или злоупотреблению ресурсами.
Chrome Releases
Stable Channel Update for Desktop
The Stable channel has been updated to 128.0.6613.113/.114 for Windows, Mac and 128.0.6613.113 for Linux which will roll out over the com...
Forwarded from Social Engineering
• Он ни разу в жизни не видел телефона, потому что родился слепым. Обладая абсолютным музыкальным слухом, он мог насвистеть в телефонную трубку последовательность сигналов, которая позволяла ему бесплатно звонить в любую точку земного шара. Его звали Джозеф Энгрессия, но сам он предпочитал называть себя Джойбаблз.
• Считается, что именно Энгрессия был самым выдающимся фрикером, “технохиппи” эпохи 70-х и взломщиком телефонных сетей. Он наглядно доказал, что истинная магия технологий заключается не в машинах, а в людях, которые ими управляют. Джозеф вдохновил множество людей на исследование телекоммуникаций и поиск новых путей использования технологий, а главное, доказал, что даже представитель «киберподполья» может посвятить свою жизнь бескорыстной помощи другим. Вот его история:
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
Исследователи из JFrog раскрыли атака на цепочку поставок Revival Hijack, может быть использована для захвата 22 000 существующих пакетов PyPI и привести к сотням тысяч загрузок вредоносных пакетов.
Злоумышленники в ходе Revival Hijack регистрируют новые проекты PyPi, используя имена ранее удаленных пакетов для проведения атак на цепочку поставок и доставляя вредоносный код разработчикам, извлекающим обновления.
Разработчики, решившие удалить проект из PyPI, получают только предупреждение о возможных последствиях, включая сценарий атаки Revival Hijack, поскольку имя проекта после этого достаточно быстро станет доступным любому другому пользователю PyPI.
Захвативший имя пользователь сможет выпускать новые версии под прежним названием проекта, если имена файлов дистрибутива не будут совпадать с именами файлов из ранее выпущенного дистрибутива.
По данным исследователей JFrog, к настоящему времени на PyPI более 22 000 удаленных пакетов, уязвимых для атаки Revival Hijack, и некоторые из них довольно популярны.
Исследователи утверждают, что среднемесячное количество удаленных пакетов на PyPI в среднем составляет 309, что указывает на постоянный поток новых возможностей для злоумышленников.
В середине апреля JFrog обнаружили, обнаружили, что Revival Hijack уже использовался в реальных условиях, когда злоумышленник нацелился на pingdomv3 - реализацию службы мониторинга веб-сайтов Pingdom API.
Пакет был удален 30 марта, а новый разработчик перехватил имя и в тот же день опубликовал обновление, указав, что злоумышленники знали о проблеме.
В последующем обновлении пакет включал троян Python, который был замаскирован с помощью Base64 и нацелен на среды Jenkins CI/CD.
Исследователи JFrog приняли меры для снижения риска атак Revival Hijack, создав новые проекты Python с именами наиболее популярных уже удаленных пакетов.
JFrog поясняет, что PyPI ведет закрытый черный список, который реализует запрет на регистрацию определенных имен в новых проектах, однако большинство удаленных пакетов не попадают в этот список.
Это побудило исследователей предпринять меры для смягчения угрозы Revival Hijack, зарегистриров наиболее популярные из удаленных/уязвимых пакетов под учетной записью с именем security_holding и изменив номера версий на 0.0.0.1.
Примечательно, что три месяца спустя пакеты в репозитории имели около 200 000 загрузок из-за автоматизированных скриптов и пользовательских опечаток.
Злоумышленники в ходе Revival Hijack регистрируют новые проекты PyPi, используя имена ранее удаленных пакетов для проведения атак на цепочку поставок и доставляя вредоносный код разработчикам, извлекающим обновления.
Разработчики, решившие удалить проект из PyPI, получают только предупреждение о возможных последствиях, включая сценарий атаки Revival Hijack, поскольку имя проекта после этого достаточно быстро станет доступным любому другому пользователю PyPI.
Захвативший имя пользователь сможет выпускать новые версии под прежним названием проекта, если имена файлов дистрибутива не будут совпадать с именами файлов из ранее выпущенного дистрибутива.
По данным исследователей JFrog, к настоящему времени на PyPI более 22 000 удаленных пакетов, уязвимых для атаки Revival Hijack, и некоторые из них довольно популярны.
Исследователи утверждают, что среднемесячное количество удаленных пакетов на PyPI в среднем составляет 309, что указывает на постоянный поток новых возможностей для злоумышленников.
В середине апреля JFrog обнаружили, обнаружили, что Revival Hijack уже использовался в реальных условиях, когда злоумышленник нацелился на pingdomv3 - реализацию службы мониторинга веб-сайтов Pingdom API.
Пакет был удален 30 марта, а новый разработчик перехватил имя и в тот же день опубликовал обновление, указав, что злоумышленники знали о проблеме.
В последующем обновлении пакет включал троян Python, который был замаскирован с помощью Base64 и нацелен на среды Jenkins CI/CD.
Исследователи JFrog приняли меры для снижения риска атак Revival Hijack, создав новые проекты Python с именами наиболее популярных уже удаленных пакетов.
JFrog поясняет, что PyPI ведет закрытый черный список, который реализует запрет на регистрацию определенных имен в новых проектах, однако большинство удаленных пакетов не попадают в этот список.
Это побудило исследователей предпринять меры для смягчения угрозы Revival Hijack, зарегистриров наиболее популярные из удаленных/уязвимых пакетов под учетной записью с именем security_holding и изменив номера версий на 0.0.0.1.
Примечательно, что три месяца спустя пакеты в репозитории имели около 200 000 загрузок из-за автоматизированных скриптов и пользовательских опечаток.
JFrog
Revival Hijack - PyPI hijack technique exploited in the wild, puts 22K packages at risk
JFrog’s security research team continuously monitors open-source software registries, proactively identifying and addressing potential malware and vulnerability threats to foster a secure and reliable ecosystem for open-source software development and deployment.…
Исследователи Veriti предупреждают о вредоносной кампании, нацеленной на представителей киберподполья с помощью поддельного инфокрада OnlyFans, который якобы реализует кражу аккаунтов в одноименной сети, а по факту заражает его операторов Lumma Stealer.
Учитывая популярность OnlyFans и характерный контент, пользователи ресурса часто становятся целями атак, которые нацеленных на кражу кражу аккаунт с последующим вымогательством выкупа или сливом приватного содержимого.
Продвигаемый инструмент предназначены для чека больших наборов кредов, проверяя их актуальность и возможность использования для входа в учетную запись OnlyFans.
Veriti обнаружила, как подобная утилита для OnlyFans якобы предназначалась проверку регистрационных данных, остатков на счетах, способах оплаты и определяла привилегии создателей, но вместо доставляла Lumma, доступный с 2022 года за 250–1000 долл. в месяц в рамках MaaS.
Это достаточно продвинутый инфокрад с инновационными механизмами уклонения и функционалом загрузчика, способного внедрять дополнительные полезные данные в скомпрометированную систему и выполнять скрипты PowerShell.
Полезная нагрузка под названием brtjgjsefd.exe извлекается из репозитория GitHub и загружается на компьютер жертвы.
При запуске вредоносной нагрузки Lumma Stealer реализуется подключение к учетной записи GitHub под именем UserBesty, которую киберпреступник использует для размещения других вредоносных полезных нагрузок.
Изучив более подробно коммуникации вредоносного ПО, исследователи Veriti обнаружили набор доменов .shop, которые действовали как серверы C2, отправляя команды Lumma и получая извлеченные данные.
Обычно разрабатываемые киберпреступниками инструменты для киберподполья пользуются доверием со стороны заинтересантов, но, как показывает практика, в некоторых случаях это имеет обратный эффект.
Учитывая популярность OnlyFans и характерный контент, пользователи ресурса часто становятся целями атак, которые нацеленных на кражу кражу аккаунт с последующим вымогательством выкупа или сливом приватного содержимого.
Продвигаемый инструмент предназначены для чека больших наборов кредов, проверяя их актуальность и возможность использования для входа в учетную запись OnlyFans.
Veriti обнаружила, как подобная утилита для OnlyFans якобы предназначалась проверку регистрационных данных, остатков на счетах, способах оплаты и определяла привилегии создателей, но вместо доставляла Lumma, доступный с 2022 года за 250–1000 долл. в месяц в рамках MaaS.
Это достаточно продвинутый инфокрад с инновационными механизмами уклонения и функционалом загрузчика, способного внедрять дополнительные полезные данные в скомпрометированную систему и выполнять скрипты PowerShell.
Полезная нагрузка под названием brtjgjsefd.exe извлекается из репозитория GitHub и загружается на компьютер жертвы.
При запуске вредоносной нагрузки Lumma Stealer реализуется подключение к учетной записи GitHub под именем UserBesty, которую киберпреступник использует для размещения других вредоносных полезных нагрузок.
Изучив более подробно коммуникации вредоносного ПО, исследователи Veriti обнаружили набор доменов .shop, которые действовали как серверы C2, отправляя команды Lumma и получая извлеченные данные.
Обычно разрабатываемые киберпреступниками инструменты для киберподполья пользуются доверием со стороны заинтересантов, но, как показывает практика, в некоторых случаях это имеет обратный эффект.
VERITI
EXPOSED: OnlyFans Hack Gone Wrong - How Cyber Criminals Turn into Victims Overnight
Cyber criminals fall victim to their own game. OnlyFans hacking tool turns out to be Lummac stealer malware. Veriti reveals the ironic twist in cybercrime.
Продолжаем следить и делиться последними трендами по уязвимостям.
Исследователь Mistymntncop выпустил PoC для CVE-2024-5274, уязвимости нулевого дня в Chrome, которую Google исправила еще в мае.
QiAnXin представила отчет в отношении обнаруженной изначально Лабораторией Касперского и уже исправленной 0-day в Windows DWM Core, которая отслеживается как CVE-2024-30051 и задействовалась в атаках операторами ботнета Qakbot.
Исследователи Jamf опубликовали обзор последних методов обхода Gatekeeper macOS для развертывания вредоносного ПО.
Patchstack раскрыла подробности CVE-2024-44000, еще одной критической ошибки в плагине кэширования LiteSpeed WordPress, которая может использоваться для взлома учетных записей администратора.
Первой подобной ошибкой стала CVE-2024-28000, которая была исправлена еще две недели назад и использовала функцию идентификатора пользователя.
При этом новая уязвимость позволяет злоумышленникам извлекать файлы cookie администратора из функции отладки плагина.
Она была обнаружена 22 августа 2024 года, исправление выпущено вчера с выпуском LiteSpeed Cache версии 6.5.0.1.
Veeam выпустила обновления безопасности для 18 уязвимостей высокой и критической степени серьезности в Veeam Backup & Replication, Service Provider Console и One.
Наиболее серьезной из рассмотренных проблем является CVE-2024-40711 - критическая (CVSS v3.1: 9,8) уязвимость удаленного выполнения кода в Veeam Backup & Replication, которая может быть использована без аутентификации.
Apache выпустила обновления для исправления CVE-2024-45195 в своем ПО с открытым исходным кодом OFBiz (Open For Business), которая позволяет злоумышленникам выполнить произвольный код на уязвимых серверах Linux и Windows.
Проблема была обнаружена исследователями Rapid7 и вызвана уязвимостью принудительного просмотра, которая открывает ограниченные пути для атак с использованием неаутентифицированных прямых запросов.
Команда Apache исправила уязвимость в версии 18.12.16, добавив проверки авторизации.
Вероятность эксплуатации высока, поскольку это связано с другими RCE в OFBiz, которые активно используются в дикой природе.
Исследователь Mistymntncop выпустил PoC для CVE-2024-5274, уязвимости нулевого дня в Chrome, которую Google исправила еще в мае.
QiAnXin представила отчет в отношении обнаруженной изначально Лабораторией Касперского и уже исправленной 0-day в Windows DWM Core, которая отслеживается как CVE-2024-30051 и задействовалась в атаках операторами ботнета Qakbot.
Исследователи Jamf опубликовали обзор последних методов обхода Gatekeeper macOS для развертывания вредоносного ПО.
Patchstack раскрыла подробности CVE-2024-44000, еще одной критической ошибки в плагине кэширования LiteSpeed WordPress, которая может использоваться для взлома учетных записей администратора.
Первой подобной ошибкой стала CVE-2024-28000, которая была исправлена еще две недели назад и использовала функцию идентификатора пользователя.
При этом новая уязвимость позволяет злоумышленникам извлекать файлы cookie администратора из функции отладки плагина.
Она была обнаружена 22 августа 2024 года, исправление выпущено вчера с выпуском LiteSpeed Cache версии 6.5.0.1.
Veeam выпустила обновления безопасности для 18 уязвимостей высокой и критической степени серьезности в Veeam Backup & Replication, Service Provider Console и One.
Наиболее серьезной из рассмотренных проблем является CVE-2024-40711 - критическая (CVSS v3.1: 9,8) уязвимость удаленного выполнения кода в Veeam Backup & Replication, которая может быть использована без аутентификации.
Apache выпустила обновления для исправления CVE-2024-45195 в своем ПО с открытым исходным кодом OFBiz (Open For Business), которая позволяет злоумышленникам выполнить произвольный код на уязвимых серверах Linux и Windows.
Проблема была обнаружена исследователями Rapid7 и вызвана уязвимостью принудительного просмотра, которая открывает ограниченные пути для атак с использованием неаутентифицированных прямых запросов.
Команда Apache исправила уязвимость в версии 18.12.16, добавив проверки авторизации.
Вероятность эксплуатации высока, поскольку это связано с другими RCE в OFBiz, которые активно используются в дикой природе.
GitHub
GitHub - mistymntncop/CVE-2024-5274
Contribute to mistymntncop/CVE-2024-5274 development by creating an account on GitHub.
Лаборатория Касперского продолжает бомбить новыми отчетами.
В одном из последних исследователи подробно анализируют целевую атаку китайской APT-группы Tropic Trooper, нацеленную на исследования в области прав человека на Ближнем Востоке.
Действующая с 2011, Tropic Trooper, также известная как APT23, Earth Centaur, KeyBoy и Pirate Panda, известна своими атаками на правительственные, медицинские, транспортные и высокотехнологичные компании в Тайване, Гонконге и на Филиппинах.
Имеет тесные связи с другой группой группировкой, отслеживаемой как FamousSparrow.
Как сообщают исследователи, как минимум с июня 2023 года, Tropic Trooper реализует кампанию кибершпионажа, объектами которой являются неназванные государственные структуры на Ближнем Востоке и в Малайзии.
Лаборатория задетектила активность в июне 2024 года, обнаружив новую версию веб-оболочки China Chopper - излюбленного многими китайскоязычными APT инструмента для удаленного доступа к взломанным серверам, - на общедоступном веб-сервере с размещенной Umbraco CMS.
Цепочка атак предполагала внедрение вредоносного ПО под названием Crowdoor, варианта бэкдора SparrowDoor, задокументированного ESET еще в сентябре 2021 года.
Последующая эксплуатация приводит к развертыванию инструментов для сканирования сети, бокового перемещения и обхода защиты с использованием методов боковой загрузки DLL (Fscan, Swor, Neo-reGeorg, ByPassGodzilla).
При этом веб-оболочки доставляются путем эксплуатации известных уязвимостей в общедоступных веб-приложениях, таких как Adobe ColdFusion (CVE-2023-26360) и Microsoft Exchange Server (CVE-2021-34473, CVE-2021-34523 и CVE-2021-31207).
В свою очередь, Crowdoor, впервые обнаруженный в июне 2023 года, также выполняет функцию загрузчика для установки Cobalt Strike и поддержания устойчивости на зараженных хостах.
Кроме того, реализует функционал бэкдора для сбора конфиденциальной информации, запуска обратной оболочки, загрузки других файлов вредоносного ПО и завершения своей работы.
Касаемо инцидента исследователи ЛК заметили, что после того, как злоумышленники узнали об обнаружении бэкдоров ими предпринимались попытки загрузить более новые образцы, прилагая все усилия для сохранения доступа.
Помимо замеченного целевого вторжения в правительственный объект на Ближнем Востоке, исследователи увидели, что подмножество наблюдавшихся образцов использовалось для атаки на правительственный объект в Малайзии.
Анализ целевого вторжения показал, что платформа с публикациями по тематике прав человека на Ближнем Востоке была единственной целью, свидетельствуя об особой стратегической заинтересованности актора в отношении конфликта между Израилем и ХАМАС.
Индикаторы компрометации и подробный технический разбор - в отчете.
В одном из последних исследователи подробно анализируют целевую атаку китайской APT-группы Tropic Trooper, нацеленную на исследования в области прав человека на Ближнем Востоке.
Действующая с 2011, Tropic Trooper, также известная как APT23, Earth Centaur, KeyBoy и Pirate Panda, известна своими атаками на правительственные, медицинские, транспортные и высокотехнологичные компании в Тайване, Гонконге и на Филиппинах.
Имеет тесные связи с другой группой группировкой, отслеживаемой как FamousSparrow.
Как сообщают исследователи, как минимум с июня 2023 года, Tropic Trooper реализует кампанию кибершпионажа, объектами которой являются неназванные государственные структуры на Ближнем Востоке и в Малайзии.
Лаборатория задетектила активность в июне 2024 года, обнаружив новую версию веб-оболочки China Chopper - излюбленного многими китайскоязычными APT инструмента для удаленного доступа к взломанным серверам, - на общедоступном веб-сервере с размещенной Umbraco CMS.
Цепочка атак предполагала внедрение вредоносного ПО под названием Crowdoor, варианта бэкдора SparrowDoor, задокументированного ESET еще в сентябре 2021 года.
Последующая эксплуатация приводит к развертыванию инструментов для сканирования сети, бокового перемещения и обхода защиты с использованием методов боковой загрузки DLL (Fscan, Swor, Neo-reGeorg, ByPassGodzilla).
При этом веб-оболочки доставляются путем эксплуатации известных уязвимостей в общедоступных веб-приложениях, таких как Adobe ColdFusion (CVE-2023-26360) и Microsoft Exchange Server (CVE-2021-34473, CVE-2021-34523 и CVE-2021-31207).
В свою очередь, Crowdoor, впервые обнаруженный в июне 2023 года, также выполняет функцию загрузчика для установки Cobalt Strike и поддержания устойчивости на зараженных хостах.
Кроме того, реализует функционал бэкдора для сбора конфиденциальной информации, запуска обратной оболочки, загрузки других файлов вредоносного ПО и завершения своей работы.
Касаемо инцидента исследователи ЛК заметили, что после того, как злоумышленники узнали об обнаружении бэкдоров ими предпринимались попытки загрузить более новые образцы, прилагая все усилия для сохранения доступа.
Помимо замеченного целевого вторжения в правительственный объект на Ближнем Востоке, исследователи увидели, что подмножество наблюдавшихся образцов использовалось для атаки на правительственный объект в Малайзии.
Анализ целевого вторжения показал, что платформа с публикациями по тематике прав человека на Ближнем Востоке была единственной целью, свидетельствуя об особой стратегической заинтересованности актора в отношении конфликта между Израилем и ХАМАС.
Индикаторы компрометации и подробный технический разбор - в отчете.
Securelist
New malicious web shell from the Tropic Trooper group is found in the Middle East
Kaspersky experts found a new variant of the China Chopper web shell from the Tropic Trooper group that imitates an Umbraco CMS module and targets a government entity in the Middle East.
Исследователи McAfee обнаружили новый тип мобильного ПО SpyAgent для Android, реализующую технологию оптического распознавания символов OCR для кражи фраз мнемонических ключей из изображений на устройстве.
Мнемонический ключ — это, по сути, фраза из 12-24 слов, которая обеспечивает восстановление доступа к криптокошельку в качестве резервного ключа.
Такие секретные фразы являются крайне востребованной целью для злоумышленников, поскольку получение к ним доступа позволит им завладеть как кошельком, так и средствами на нем.
Поскольку такой ключ трудно запомнить, его часто скриншотят и хранят в изображениях на мобильном устройстве, нежели чем отдельно выписанную фразу на бумажке в безопасном месте.
Замеченная McAfee вредоносная кампания затронула как минимум 280 APK, распространяемых за пределами Google Play с помощью SMS или вредоносных сообщений в социальных сетях.
Некоторые из заряженных приложений для Android выдают себя за государственные сервисы, сайты знакомств и порноресурсы.
Основной таргет пришелся на Южную Корею, но McAfee заметила планвное расширение географии атака в сторону Великобритании.
При этом выявлены также и признаки того, что версия для iOS находится на стадии разработки.
После заражения нового устройства SpyAgent начинает отправлять на свой C2 следующую конфиденциальную информацию: список контактов (для дальнейшего распространения), входящие SMS с OTP, пригодные для OCR изображения, а также общую информацию об устройстве.
SpyAgent также способна получать команды с C2 для изменения настроек звука или отправки SMS-сообщений, которые, вероятно, используются для рассылки фишинговых текстов с целью распространения вредоносного ПО.
Как удалось выяснить McAfee, операторы SpyAgent особо не соблюдали надлежащие меры безопасности при настройке своих серверов, что позволило исследователям получить к ним доступ.
Изучив панель администратора, а также украшенные файлы и данные, McAfee смогли идентифицировать ряд жертв вредоносного ПО, одной из которых оказалось устройство Apple iPhone c iOS 15.8.2 с системным языком, установленным на упрощенный китайский («zh»).
При этом если изначально вредоносное ПО взаимодействовало со своим C2 посредством простых HTTP-запросов, то последняя версия использует соединения WebSocket.
Украденные изображения обрабатываются и сканируются с помощью OCR на стороне сервера, а затем соответствующим образом организуются на панели администратора, что обеспечивает оперативность использования в атаках.
Следует отметить, что технология OCR не нова в киберподполье, в июле 2023 Trend Micro находила два семейства вредоносных ПО для Android под названием CherryBlos и FakeTrade, распространявшихся через Google Play.
Так что можно смело констатировать, что такая тактика начинает набирать популярность.
Мнемонический ключ — это, по сути, фраза из 12-24 слов, которая обеспечивает восстановление доступа к криптокошельку в качестве резервного ключа.
Такие секретные фразы являются крайне востребованной целью для злоумышленников, поскольку получение к ним доступа позволит им завладеть как кошельком, так и средствами на нем.
Поскольку такой ключ трудно запомнить, его часто скриншотят и хранят в изображениях на мобильном устройстве, нежели чем отдельно выписанную фразу на бумажке в безопасном месте.
Замеченная McAfee вредоносная кампания затронула как минимум 280 APK, распространяемых за пределами Google Play с помощью SMS или вредоносных сообщений в социальных сетях.
Некоторые из заряженных приложений для Android выдают себя за государственные сервисы, сайты знакомств и порноресурсы.
Основной таргет пришелся на Южную Корею, но McAfee заметила планвное расширение географии атака в сторону Великобритании.
При этом выявлены также и признаки того, что версия для iOS находится на стадии разработки.
После заражения нового устройства SpyAgent начинает отправлять на свой C2 следующую конфиденциальную информацию: список контактов (для дальнейшего распространения), входящие SMS с OTP, пригодные для OCR изображения, а также общую информацию об устройстве.
SpyAgent также способна получать команды с C2 для изменения настроек звука или отправки SMS-сообщений, которые, вероятно, используются для рассылки фишинговых текстов с целью распространения вредоносного ПО.
Как удалось выяснить McAfee, операторы SpyAgent особо не соблюдали надлежащие меры безопасности при настройке своих серверов, что позволило исследователям получить к ним доступ.
Изучив панель администратора, а также украшенные файлы и данные, McAfee смогли идентифицировать ряд жертв вредоносного ПО, одной из которых оказалось устройство Apple iPhone c iOS 15.8.2 с системным языком, установленным на упрощенный китайский («zh»).
При этом если изначально вредоносное ПО взаимодействовало со своим C2 посредством простых HTTP-запросов, то последняя версия использует соединения WebSocket.
Украденные изображения обрабатываются и сканируются с помощью OCR на стороне сервера, а затем соответствующим образом организуются на панели администратора, что обеспечивает оперативность использования в атаках.
Следует отметить, что технология OCR не нова в киберподполье, в июле 2023 Trend Micro находила два семейства вредоносных ПО для Android под названием CherryBlos и FakeTrade, распространявшихся через Google Play.
Так что можно смело констатировать, что такая тактика начинает набирать популярность.
McAfee Blog
New Android SpyAgent Campaign Steals Crypto Credentials via Image Recognition | McAfee Blog
Authored by SangRyol Ryu Recently, McAfee’s Mobile Research Team uncovered a new type of mobile malware that targets mnemonic keys by scanning for images
Ученые из Университета имени Бен-Гуриона в Негеве в Израиле разработали новую атаку по сторонним каналам, получившую название RAMBO (Radiation of Air-gapped Memory Bus for Offense).
RAMBO генерирует электромагнитное излучение из оперативной памяти устройства и позволяет осуществлять кражу данных из изолированных сетей.
Для этих целей может использоваться вредоносное ПО (как в случае с Stuxnet, Fanny и PlugX) для кодирования конфиденциальных данных, которые можно перехватывать на расстоянии с помощью оборудования SDR и стандартной антенны.
Атака на практике позволяет злоумышленникам передавать закодированные файлы, ключи шифрования, изображения, нажатия клавиш и биометрическую информацию со скоростью 1000 бит в секунду. Тесты проводились на расстоянии до 7 метров.
Как поясняет исследователь Мордехай Гури, вредоносное ПО в системах с воздушным зазором позволяет манипулировать оперативной памятью для генерации измененных, закодированных радиосигналов на тактовых частотах, которые затем можно принимать на расстоянии.
Злоумышленник может использовать соответствующее оборудование для приема электромагнитных сигналов, декодирования данных и извлечения украденной информации.
Атака RAMBO начинается с развертывания вредоносного ПО в изолированной системе через зараженный USB-накопитель или с использованием инсайдера, а также путем компрометации цепочки поставок для его внедрения в аппаратные или программные компоненты.
Вторая фаза атаки включает сбор данных, их утечку через скрытый канал связи (в данном случае электромагнитное излучение от оперативной памяти) и извлечение на расстоянии.
Быстрые изменения напряжения и тока, происходящие при передаче данных через оперативную память, создают электромагнитные поля, которые могут излучать электромагнитную энергию с частотой, зависящей от тактовой частоты, ширины данных и общей архитектуры.
Исследователь поясняет, что передатчик может создать электромагнитный скрытый канал, модулируя шаблоны доступа к памяти таким образом, чтобы они соответствовали двоичным данным.
Точно контролируя инструкции, связанные с памятью, ученый смог использовать этот скрытый канал для передачи закодированных данных, а затем извлечения их на расстоянии с помощью оборудования SDR и простой антенны.
Таким образом, как полагает Гури, используя этот метод, злоумышленники могут передавать данные с изолированных, изолированных друг от друга компьютеров на ближайший приемник со скоростью в сотни бит в секунду.
RAMBO генерирует электромагнитное излучение из оперативной памяти устройства и позволяет осуществлять кражу данных из изолированных сетей.
Для этих целей может использоваться вредоносное ПО (как в случае с Stuxnet, Fanny и PlugX) для кодирования конфиденциальных данных, которые можно перехватывать на расстоянии с помощью оборудования SDR и стандартной антенны.
Атака на практике позволяет злоумышленникам передавать закодированные файлы, ключи шифрования, изображения, нажатия клавиш и биометрическую информацию со скоростью 1000 бит в секунду. Тесты проводились на расстоянии до 7 метров.
Как поясняет исследователь Мордехай Гури, вредоносное ПО в системах с воздушным зазором позволяет манипулировать оперативной памятью для генерации измененных, закодированных радиосигналов на тактовых частотах, которые затем можно принимать на расстоянии.
Злоумышленник может использовать соответствующее оборудование для приема электромагнитных сигналов, декодирования данных и извлечения украденной информации.
Атака RAMBO начинается с развертывания вредоносного ПО в изолированной системе через зараженный USB-накопитель или с использованием инсайдера, а также путем компрометации цепочки поставок для его внедрения в аппаратные или программные компоненты.
Вторая фаза атаки включает сбор данных, их утечку через скрытый канал связи (в данном случае электромагнитное излучение от оперативной памяти) и извлечение на расстоянии.
Быстрые изменения напряжения и тока, происходящие при передаче данных через оперативную память, создают электромагнитные поля, которые могут излучать электромагнитную энергию с частотой, зависящей от тактовой частоты, ширины данных и общей архитектуры.
Исследователь поясняет, что передатчик может создать электромагнитный скрытый канал, модулируя шаблоны доступа к памяти таким образом, чтобы они соответствовали двоичным данным.
Точно контролируя инструкции, связанные с памятью, ученый смог использовать этот скрытый канал для передачи закодированных данных, а затем извлечения их на расстоянии с помощью оборудования SDR и простой антенны.
Таким образом, как полагает Гури, используя этот метод, злоумышленники могут передавать данные с изолированных, изолированных друг от друга компьютеров на ближайший приемник со скоростью в сотни бит в секунду.
Исследователи Sophos X-Ops в новом отчете расчехлили новое вредоносное ПО Atomic MacOS Stealer (AMOS), которое буквально ломает парадигму безопасности macOS.
Исторически сложилось мнение, что macOS менее восприимчива к вредоносному ПО, чем Windows, возможно, потому, что эта ОС имеет меньшую долю рынка, чем Windows, и имеет собственный набор функций безопасности.
Однако ситуация изменилась.
С момента своего появления в апреле прошлого года AMOS фактически стал одним из самых распространенных среди инфокрадов, на который приходится более 50% всех атак в отношении macOS за последние шесть месяцев.
AMOS - это специализированный вредоносный инструмент для кражи различных конфиденциальных данных, будь то файлы cookie, аутентификационные данные, формы автозаполнения или содержимое криптокошельков.
Достаточно часто собранная посредством инфокрада информация реализуется другим киберпреступникам для последующей эксплуатации. Вообще же рынок логов переживает, можно сказать, рассвет, что, безусловно, повышает и стоимость AMOS.
За последний год стоимость AMOS выросла втрое до $3000 в месяц, что говорит как о заинтересованности киберподполья атаковать пользователей macOS, так и о ценности самого метода для киберпреступников.
Реализуя AMOS в Telegram, хакеры хвастаются, что инфокрад способен собирать информацию из Notes, Keychain и SystemInfo, получать пароль MacOS и атаковать популярные браузеры, а также криптокошельки и плагины Electrum, Binance, Exodus, Atomic и Coinomi.
Вредоносная программа, предположительно, запускается, когда консоль скрыта, а распространение реализуется различными методами: от традиционного фишинга до вредоносной рекламы и SEO-оптимизации.
В число легитимных приложений, которые имитирует AMOS вошли Notion, Trello, браузер Arc, Slack и Todoist, а в некоторых случаях - Clean My Mac X.
Для размещения двоичных файлов AMOS злоумышленники используют легитимную инфраструктуру, такую как GitHub. Чтобы избежать обнаружения, код AMOS запутан: вместо исполняемых файлов Mach-O, последние варианты включают скрипты Python.
Как отмечают Sophos, создатели Atomic Malware теперь заявляют о его таргетировании и на iOS.
Причем, со слов разработчиков, им удалось вскрыть iPhone и успешно протестировать новый продукт, который вскоре попадет в массы.
Исторически сложилось мнение, что macOS менее восприимчива к вредоносному ПО, чем Windows, возможно, потому, что эта ОС имеет меньшую долю рынка, чем Windows, и имеет собственный набор функций безопасности.
Однако ситуация изменилась.
С момента своего появления в апреле прошлого года AMOS фактически стал одним из самых распространенных среди инфокрадов, на который приходится более 50% всех атак в отношении macOS за последние шесть месяцев.
AMOS - это специализированный вредоносный инструмент для кражи различных конфиденциальных данных, будь то файлы cookie, аутентификационные данные, формы автозаполнения или содержимое криптокошельков.
Достаточно часто собранная посредством инфокрада информация реализуется другим киберпреступникам для последующей эксплуатации. Вообще же рынок логов переживает, можно сказать, рассвет, что, безусловно, повышает и стоимость AMOS.
За последний год стоимость AMOS выросла втрое до $3000 в месяц, что говорит как о заинтересованности киберподполья атаковать пользователей macOS, так и о ценности самого метода для киберпреступников.
Реализуя AMOS в Telegram, хакеры хвастаются, что инфокрад способен собирать информацию из Notes, Keychain и SystemInfo, получать пароль MacOS и атаковать популярные браузеры, а также криптокошельки и плагины Electrum, Binance, Exodus, Atomic и Coinomi.
Вредоносная программа, предположительно, запускается, когда консоль скрыта, а распространение реализуется различными методами: от традиционного фишинга до вредоносной рекламы и SEO-оптимизации.
В число легитимных приложений, которые имитирует AMOS вошли Notion, Trello, браузер Arc, Slack и Todoist, а в некоторых случаях - Clean My Mac X.
Для размещения двоичных файлов AMOS злоумышленники используют легитимную инфраструктуру, такую как GitHub. Чтобы избежать обнаружения, код AMOS запутан: вместо исполняемых файлов Mach-O, последние варианты включают скрипты Python.
Как отмечают Sophos, создатели Atomic Malware теперь заявляют о его таргетировании и на iOS.
Причем, со слов разработчиков, им удалось вскрыть iPhone и успешно протестировать новый продукт, который вскоре попадет в массы.
Sophos News
Atomic macOS Stealer leads sensitive data theft on macOS
Sophos X-Ops explores the distribution and capabilities of the Atomic macOS Stealer (AMOS)
На прошлой неделе стали известны подробности нововведений, которые Microsoft намерена внедрить в свои продукты для повышения безопасности.
Во-первых, Редмонд планирует в октябре отключить ActiveX в приложениях Office.
Во-вторых, усилить защиту службы ведения журнала Windows CFLS от логических ошибок в будущих версиях Windows 11.
Оба шага направлены на устранение некоторых из наиболее серьезных современных векторов атак в Windows.
ActiveX, который был добавлен в Windows в 90-х годах для поддержки интерактивного контента, часто становился целью 0-day атак как со стороны APT, так и киберпреступности.
Кроме того, элементы управления ActiveX, встроенные в документы Office (обычно доставляемые посредством фишинга), использовались для развертывания всех видов вредоносного ПО в течение последних десятилетий.
Теперь же, как сообщает Microsoft, с запуском Office 2024 элементы управления ActiveX будут отключены по умолчанию в Word, Excel, PowerPoint и Visio.
Новое изменение вступит в силу для четырех приложений Office в октябре, а версии Microsoft 365 получат поэтапное развертывание в апреле следующего года.
После этого пользователи Office не смогут создавать новые объекты ActiveX, а старые будут отображаться как статические изображения.
Кроме того, Microsoft также объявила об изменении принципа работы Common Log File System (CLFS) в Windows 11.
Теперь все журналы, созданные в системе Windows, будут иметь в конце хэш, также известный как код аутентификации сообщений на основе хэша (HMAC).
Идея этого изменения заключается в том, чтобы не допустить замены или редактирования злоумышленниками существующих журналов с целью создания логических ошибок в анализаторе журналов Windows CLFS.
Ведь 19 из 25 уязвимостей, связанных с CFLS, за последние пять лет были связаны именно с ошибками логики анализа журналов.
Разработчики надеются, что новая функция HMAC в файлах CFLS поможет устранить целый класс уязвимостей.
В настоящее время функция тестируется в Windows Insiders Canary и позднее будет включена в основные установки Windows 11.
Во всех новых установках драйвер CLFS будет переведен в режим принудительного применения, а в существующих установках драйвер CLFS сначала функционировать в «режиме обучения» на 90 дней, добавляя HMAC в журналы.
Во-первых, Редмонд планирует в октябре отключить ActiveX в приложениях Office.
Во-вторых, усилить защиту службы ведения журнала Windows CFLS от логических ошибок в будущих версиях Windows 11.
Оба шага направлены на устранение некоторых из наиболее серьезных современных векторов атак в Windows.
ActiveX, который был добавлен в Windows в 90-х годах для поддержки интерактивного контента, часто становился целью 0-day атак как со стороны APT, так и киберпреступности.
Кроме того, элементы управления ActiveX, встроенные в документы Office (обычно доставляемые посредством фишинга), использовались для развертывания всех видов вредоносного ПО в течение последних десятилетий.
Теперь же, как сообщает Microsoft, с запуском Office 2024 элементы управления ActiveX будут отключены по умолчанию в Word, Excel, PowerPoint и Visio.
Новое изменение вступит в силу для четырех приложений Office в октябре, а версии Microsoft 365 получат поэтапное развертывание в апреле следующего года.
После этого пользователи Office не смогут создавать новые объекты ActiveX, а старые будут отображаться как статические изображения.
Кроме того, Microsoft также объявила об изменении принципа работы Common Log File System (CLFS) в Windows 11.
Теперь все журналы, созданные в системе Windows, будут иметь в конце хэш, также известный как код аутентификации сообщений на основе хэша (HMAC).
Идея этого изменения заключается в том, чтобы не допустить замены или редактирования злоумышленниками существующих журналов с целью создания логических ошибок в анализаторе журналов Windows CLFS.
Ведь 19 из 25 уязвимостей, связанных с CFLS, за последние пять лет были связаны именно с ошибками логики анализа журналов.
Разработчики надеются, что новая функция HMAC в файлах CFLS поможет устранить целый класс уязвимостей.
В настоящее время функция тестируется в Windows Insiders Canary и позднее будет включена в основные установки Windows 11.
Во всех новых установках драйвер CLFS будет переведен в режим принудительного применения, а в существующих установках драйвер CLFS сначала функционировать в «режиме обучения» на 90 дней, добавляя HMAC в журналы.
cloudscout.one
MC884011 - (Updated) ActiveX will be disabled by default in Microsoft Office 2024 (archived)
Product: Microsoft 365 Apps, Visio Platform: Online, World tenant Status: Change type: Admin impact, Retirement, Updated message Links: Details: Summary: ActiveX will be disabled by default in Office…
Исследователи Palo Alto Networks сообщают о новой тактике китайской APT Mustang Panda, которая злоупотребляет Visual Studio Code в рамках шпионских операций, нацеленных на правительственные учреждения в Юго-Восточной Азии.
Злоумышленники злоупотребляют встроенной функцией обратной оболочки Visual Studio Code, чтобы закрепиться в целевых сетях.
Причем относительно новая техника впервые была задокументирована и продемонстрирована в сентябре 2023 года исследователем Трувисом Торнтоном.
Mustang Panda, также известная как BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta и Red Lich, действует с 2012 года и регулярно реализует кибершпионаж в отношении правительственных и религиозных организации по всей Европе и Азии, прежде всего, в странах Южно-Китайского моря.
Последняя наблюдаемая серия атак примечательна использованием обратной оболочки Visual Studio Code для выполнения произвольного кода и доставки дополнительных полезных данных.
При этом эксплуатация Visual Studio Code в вредоносных целях осуществляется либо посредством локально установленного приложения или же путем использования портативной версии code.exe (исполняемый файл для Visual Studio Code).
После завершения этого шага злоумышленник перенаправляется в веб-среду Visual Studio Code, подключенную к зараженному компьютеру, что позволяет ему выполнять команды или создавать новые файлы.
Причем ранее в этом году mnemonic также фиксировала вредоносное использование этой техники в контексте эксплуатации 0-day в продуктах безопасности Check Point (CVE-2024-24919, оценка CVSS: 8,6).
В свою очередь, Mustang Panda использовала механизм для доставки вредоносного ПО, проведения разведки и извлечения конфиденциальных данных.
Кроме того, злоумышленник, как сообщается, задействовал OpenSSH для выполнения команд, передачи файлов и распространения по сети.
Но и это еще не все: более детальный анализ зараженной среды выявил второй кластер активности, иногда даже на одних и тех же конечных точках, в котором использовался уже известный модульный бэкдор ShadowPad.
В настоящее время неясно, связаны ли эти два типа вторжений друг с другом. Исследователи полагают, что эти два кластера исходят все же от одного и того же субъекта - Stately Taurus.
Злоумышленники злоупотребляют встроенной функцией обратной оболочки Visual Studio Code, чтобы закрепиться в целевых сетях.
Причем относительно новая техника впервые была задокументирована и продемонстрирована в сентябре 2023 года исследователем Трувисом Торнтоном.
Mustang Panda, также известная как BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta и Red Lich, действует с 2012 года и регулярно реализует кибершпионаж в отношении правительственных и религиозных организации по всей Европе и Азии, прежде всего, в странах Южно-Китайского моря.
Последняя наблюдаемая серия атак примечательна использованием обратной оболочки Visual Studio Code для выполнения произвольного кода и доставки дополнительных полезных данных.
При этом эксплуатация Visual Studio Code в вредоносных целях осуществляется либо посредством локально установленного приложения или же путем использования портативной версии code.exe (исполняемый файл для Visual Studio Code).
После завершения этого шага злоумышленник перенаправляется в веб-среду Visual Studio Code, подключенную к зараженному компьютеру, что позволяет ему выполнять команды или создавать новые файлы.
Причем ранее в этом году mnemonic также фиксировала вредоносное использование этой техники в контексте эксплуатации 0-day в продуктах безопасности Check Point (CVE-2024-24919, оценка CVSS: 8,6).
В свою очередь, Mustang Panda использовала механизм для доставки вредоносного ПО, проведения разведки и извлечения конфиденциальных данных.
Кроме того, злоумышленник, как сообщается, задействовал OpenSSH для выполнения команд, передачи файлов и распространения по сети.
Но и это еще не все: более детальный анализ зараженной среды выявил второй кластер активности, иногда даже на одних и тех же конечных точках, в котором использовался уже известный модульный бэкдор ShadowPad.
В настоящее время неясно, связаны ли эти два типа вторжений друг с другом. Исследователи полагают, что эти два кластера исходят все же от одного и того же субъекта - Stately Taurus.
Unit 42
Chinese APT Abuses VSCode to Target Government in Asia
A first in our telemetry: Chinese APT Stately Taurus uses Visual Studio Code to maintain a reverse shell in victims' environments for Southeast Asian espionage. A first in our telemetry: Chinese APT Stately Taurus uses Visual Studio Code to maintain a reverse…
Исследователи из Лаборатории Касперского обнаружили сложную кампанию под общим названием Tusk, инициируемую русскоязычными киберпреступниками, попутно отследив множество ее подкампаний.
Каждая из них имитирует определенный легитимный проект: злоумышленники вносят незначительные изменения в названия и брендинг, а также используют многочисленные аккаунты в социальных сетях, дабы вызвать доверие у жертв.
В ходе анализа исследователи обнаружили, что первичные загрузчики всех активных подкампаний размещаются на Dropbox.
Через них образцы вредоносного ПО, включая стилеры Danabot, StealC и клипперы, попадают на устройство жертвы.
Помимо этого, злоумышленники используют техники фишинга, чтобы обманом получить у пользователей конфиденциальную информацию, например учетные данные.
Позже их реализуют в даркнете или используют для получения неправомерного доступа к игровым аккаунтам и криптокошелькам жертв, осуществляя кражу средств.
На момент проведения исследования ЛК удалось идентифицировать три активных и шестнадцать уже неактивных подкампаний. Причем неактивные подкампании, - это либо уже отработанные, либо еще не реализованные.
Все они в общей массе были названы в соответствии с обнаруженным в сообщениях логов загрузчиков упоминанием слова мамонт, которым злоумышленники обычно именуют свою жертву.
В рамках первой кампании TidyMe злоумышленники имитировали peerme.io - платформу для создания децентрализованных автономных организаций (DAO) в блокчейне MultiversX и управления ими.
На вредоносном сайте вместо кнопки Create your Team now присутствует кнопка Download.
При нажатии определяется подходящая версия вредоносного ПО для Windows или macOS, жертве направляется соответствующий файл.
Первичный загрузчик - TidyMe.exe, приложение на основе Electron, а полезная нагрузка - updateload.exe и bytes.exe (образец использует модульный загрузчик HijackLoader), финальная - вариант вредоносного ПО семейства стилеров StealC.
Вторая подкампания RuneOnlineWorld полагается на поддельный сайт MMO-игры, где расположена ссылка на первичный загрузчик.
Логика подбора версии ПО, соответствующей устройству жертвы, также идентична используемой в TidyMe. Название образца - RuneOnlineWorld.exe (приложение на основе Electron, его логика и структура почти идентичны загрузчику первой кампании).
В кампании RuneOnlineWorld две полезные нагрузки уже не собраны в один файл. Updateload.exe использует HijackLoader и внедряет код в легитимные программы. Финальный этап атаки реализует несколько стилеров семейств Danabot и StealC.
В рамках третьей кампании Voico злоумышленники имитировали переводчик на базе ИИ под названием YOUS.
Как и в двух предыдущих, на вредоносном веб-сайте расположена ссылка на первичный загрузчик, замаскированный под приложение, механизм заражения аналогичный, а образец вредоносного ПО носит название Voico.exe.
Оба выполняемых файла в этой кампании (updateload.exe и bytes.exe) по поведению очень напоминают файл updateload.exe из второй подкампании, но с одним различием: скачанное вредоносное ПО StealC связывается с другим С2.
Детальный разбор каждой из кампаний, цепочек заражений с индикаторами компрометации - в отчете.
Каждая из них имитирует определенный легитимный проект: злоумышленники вносят незначительные изменения в названия и брендинг, а также используют многочисленные аккаунты в социальных сетях, дабы вызвать доверие у жертв.
В ходе анализа исследователи обнаружили, что первичные загрузчики всех активных подкампаний размещаются на Dropbox.
Через них образцы вредоносного ПО, включая стилеры Danabot, StealC и клипперы, попадают на устройство жертвы.
Помимо этого, злоумышленники используют техники фишинга, чтобы обманом получить у пользователей конфиденциальную информацию, например учетные данные.
Позже их реализуют в даркнете или используют для получения неправомерного доступа к игровым аккаунтам и криптокошелькам жертв, осуществляя кражу средств.
На момент проведения исследования ЛК удалось идентифицировать три активных и шестнадцать уже неактивных подкампаний. Причем неактивные подкампании, - это либо уже отработанные, либо еще не реализованные.
Все они в общей массе были названы в соответствии с обнаруженным в сообщениях логов загрузчиков упоминанием слова мамонт, которым злоумышленники обычно именуют свою жертву.
В рамках первой кампании TidyMe злоумышленники имитировали peerme.io - платформу для создания децентрализованных автономных организаций (DAO) в блокчейне MultiversX и управления ими.
На вредоносном сайте вместо кнопки Create your Team now присутствует кнопка Download.
При нажатии определяется подходящая версия вредоносного ПО для Windows или macOS, жертве направляется соответствующий файл.
Первичный загрузчик - TidyMe.exe, приложение на основе Electron, а полезная нагрузка - updateload.exe и bytes.exe (образец использует модульный загрузчик HijackLoader), финальная - вариант вредоносного ПО семейства стилеров StealC.
Вторая подкампания RuneOnlineWorld полагается на поддельный сайт MMO-игры, где расположена ссылка на первичный загрузчик.
Логика подбора версии ПО, соответствующей устройству жертвы, также идентична используемой в TidyMe. Название образца - RuneOnlineWorld.exe (приложение на основе Electron, его логика и структура почти идентичны загрузчику первой кампании).
В кампании RuneOnlineWorld две полезные нагрузки уже не собраны в один файл. Updateload.exe использует HijackLoader и внедряет код в легитимные программы. Финальный этап атаки реализует несколько стилеров семейств Danabot и StealC.
В рамках третьей кампании Voico злоумышленники имитировали переводчик на базе ИИ под названием YOUS.
Как и в двух предыдущих, на вредоносном веб-сайте расположена ссылка на первичный загрузчик, замаскированный под приложение, механизм заражения аналогичный, а образец вредоносного ПО носит название Voico.exe.
Оба выполняемых файла в этой кампании (updateload.exe и bytes.exe) по поведению очень напоминают файл updateload.exe из второй подкампании, но с одним различием: скачанное вредоносное ПО StealC связывается с другим С2.
Детальный разбор каждой из кампаний, цепочек заражений с индикаторами компрометации - в отчете.
securelist.ru
Новая кампания злоумышленников Tusk использует стилеры и клипперы для кражи денег и данных
Эксперты «Лаборатории Касперского» обнаружили активную кампанию Tusk, использующую стилеры Danabot и StealC и клипперы для кражи данных с устройств и из криптокошельков.
Исследователи F.A.C.C.T. задетектили новые атаки группы PhantomCore, нацеленные на российские организации в сфере финтеха, конструкторских разработок, производства высокотехнологичного оборудования беспроводной связи.
Как известно, PhantomCore - кибершпионская группа, действующая с начала 2024 года в отношении российских организаций, была впервые раскрыта исследователями F.A.C.C.T.
Группировка получила своё название согласно имени их уникального PhantomRAT.
На протяжении весны и лета хакеры атаковали российские организации в различных отраслях, но большинство из них приходилось на промышленный сектор.
Отличительной особенностью деятельности злоумышленников является то, что они предварительно компрометируют сторонние организации и используют их для проведения атак через фишинговые письма.
На этот раз 5 сентября в поле зрения специалистов попало несколько рассылок со скомпрометированного адреса, принадлежащего компании, специализирующейся на строительстве и автоматизации объектов электроэнергетики и транспорта.
Злоумышленники отправляли фишинговые письма с темой «Договор на поставку обр №00694723 от 04.09.2024» и вложенным защищенным паролем архивом.
При этом злоумышленники усложнили пароль: если в прежних атаках в качестве пароля использовался год, даты рассылок, легкие цифровые комбинации, то в текущей рассылке использовался: He@k43M24v.
Традиционно архив содержал легитимную PDF-приманку и исполняемый вредоносный файл .pdf.exe. При открытии архива задействовалась уязвимость CVE-2023-38831 для автоматического запуска программы.
В качестве основного инструмента использовалась вредоносная программа PhantomCore.KscDL_trim, а в качестве C2 - ip: 185[.]130[.]251[.]55:80.
PhantomCore.KscDL_trim - это урезанная версия загрузчика PhantomCore.KscDL, написанная на языке C++ и упакованная инструментом UPX.
Загрузчик имеет следующие возможности: загрузка и запуск файлов с C2-адреса, выполнение произвольных команд в интерпретаторе команд Windows.
PhantomCore.KscDL_trim использует HTTP-протокол для взаимодействия с сервером и библиотеку Boost.Beast.
В ходе анализа исследователям удалось получить несколько команд от управляющего сервера и установить, что атакующие предварительно профилируют жертву и решают, интересна ли она для развития атаки.
Подробности новых атак PhantomCore с индикаторами компрометации в отчете.
Как известно, PhantomCore - кибершпионская группа, действующая с начала 2024 года в отношении российских организаций, была впервые раскрыта исследователями F.A.C.C.T.
Группировка получила своё название согласно имени их уникального PhantomRAT.
На протяжении весны и лета хакеры атаковали российские организации в различных отраслях, но большинство из них приходилось на промышленный сектор.
Отличительной особенностью деятельности злоумышленников является то, что они предварительно компрометируют сторонние организации и используют их для проведения атак через фишинговые письма.
На этот раз 5 сентября в поле зрения специалистов попало несколько рассылок со скомпрометированного адреса, принадлежащего компании, специализирующейся на строительстве и автоматизации объектов электроэнергетики и транспорта.
Злоумышленники отправляли фишинговые письма с темой «Договор на поставку обр №00694723 от 04.09.2024» и вложенным защищенным паролем архивом.
При этом злоумышленники усложнили пароль: если в прежних атаках в качестве пароля использовался год, даты рассылок, легкие цифровые комбинации, то в текущей рассылке использовался: He@k43M24v.
Традиционно архив содержал легитимную PDF-приманку и исполняемый вредоносный файл .pdf.exe. При открытии архива задействовалась уязвимость CVE-2023-38831 для автоматического запуска программы.
В качестве основного инструмента использовалась вредоносная программа PhantomCore.KscDL_trim, а в качестве C2 - ip: 185[.]130[.]251[.]55:80.
PhantomCore.KscDL_trim - это урезанная версия загрузчика PhantomCore.KscDL, написанная на языке C++ и упакованная инструментом UPX.
Загрузчик имеет следующие возможности: загрузка и запуск файлов с C2-адреса, выполнение произвольных команд в интерпретаторе команд Windows.
PhantomCore.KscDL_trim использует HTTP-протокол для взаимодействия с сервером и библиотеку Boost.Beast.
В ходе анализа исследователям удалось получить несколько команд от управляющего сервера и установить, что атакующие предварительно профилируют жертву и решают, интересна ли она для развития атаки.
Подробности новых атак PhantomCore с индикаторами компрометации в отчете.
Хабр
Призрачно всё: новые рассылки кибершпионов PhantomCore на российские компании с использованием PhantomCore.KscDL_trim
5 сентября специалистами F.A.C.C.T. было зафиксировано несколько рассылок группы PhantomCore, нацеленных в адрес: российской ИТ-компании, являющейся разработчиком ПО и онлайн-касс; компании,...
По уязвимостям на неделе - не менее интересно.
1. SonicWall обнаружила активные атаки на свои брандмауэры и системы VPN с использованием недавно исправленной CVE-2024-40766.
Уязвимость позволяет злоумышленникам обходить аутентификацию и получать доступ к управлению брандмауэром.
SonicWall выпустила исправление в конце августа.
Организациям, которые не могут оперативно установить исправление, рекомендовано ограничить доступ из Интернета к панели управления брандмауэром.
2. Fortinet изучила вредоносные нагрузки, реализованные в ходе атак на GeoServer.
Среди замеченных штаммов: ряд майнеров, Condi, Mirai, SideWalk и GoReverse.
3. Исследователи Sector7 сообщают об обнаружении бэкдора в зарядных устройствах для электромобилей Autel MaxiCharger, которая может предоставить злоумышленникам контроль над устройством.
Бэкдором в данном случае выступает жестко запрограммированный токен аутентификации в процессе сопряжения Bluetooth, который, по мнению исследователей, был создан преднамеренно.
4. Progress Software экстренно устранила серьезную уязвимость в устройствах балансировки нагрузки LoadMaster и LoadMaster Multi-Tenant (MT) Hypervisor, которая может позволить злоумышленникам запустить вредоносный код на устройстве.
Уязвимость отслеживается как CVE-2024-7591 и представляет собой ошибку проверки ввода на панели управления устройством, позволяющую запускать команды ОС.
Обновления выпущены на прошлой неделе, а сама уязвимость получила максимальную оценку 10 из 10 в виду простоты ее эксплуатации.
На момент публикации бюллетеня сообщений об активной эксплуатации уязвимости не поступало, но, вероятно, ожидаются.
5. Немецкая SySS обнаружила 11 уязвимостей в ПО видеонаблюдения C-MOR, среди которых SQL-инъекции, XSS и ошибки внедрения команд ОС, которые можно использовать для получения административного доступа.
В конце июля C-MOR выпустила исправления, но исправила только шесть обнаруженных ошибок.
6. Исследователи Theori представили подробности CVE-2024–27394, которую они обнаружили в ядре Linux в апреле этого года.
7. QNAP выпустила семь обновлений для устранения ряда серьезных проблем в своем ПО.
1. SonicWall обнаружила активные атаки на свои брандмауэры и системы VPN с использованием недавно исправленной CVE-2024-40766.
Уязвимость позволяет злоумышленникам обходить аутентификацию и получать доступ к управлению брандмауэром.
SonicWall выпустила исправление в конце августа.
Организациям, которые не могут оперативно установить исправление, рекомендовано ограничить доступ из Интернета к панели управления брандмауэром.
2. Fortinet изучила вредоносные нагрузки, реализованные в ходе атак на GeoServer.
Среди замеченных штаммов: ряд майнеров, Condi, Mirai, SideWalk и GoReverse.
3. Исследователи Sector7 сообщают об обнаружении бэкдора в зарядных устройствах для электромобилей Autel MaxiCharger, которая может предоставить злоумышленникам контроль над устройством.
Бэкдором в данном случае выступает жестко запрограммированный токен аутентификации в процессе сопряжения Bluetooth, который, по мнению исследователей, был создан преднамеренно.
4. Progress Software экстренно устранила серьезную уязвимость в устройствах балансировки нагрузки LoadMaster и LoadMaster Multi-Tenant (MT) Hypervisor, которая может позволить злоумышленникам запустить вредоносный код на устройстве.
Уязвимость отслеживается как CVE-2024-7591 и представляет собой ошибку проверки ввода на панели управления устройством, позволяющую запускать команды ОС.
Обновления выпущены на прошлой неделе, а сама уязвимость получила максимальную оценку 10 из 10 в виду простоты ее эксплуатации.
На момент публикации бюллетеня сообщений об активной эксплуатации уязвимости не поступало, но, вероятно, ожидаются.
5. Немецкая SySS обнаружила 11 уязвимостей в ПО видеонаблюдения C-MOR, среди которых SQL-инъекции, XSS и ошибки внедрения команд ОС, которые можно использовать для получения административного доступа.
В конце июля C-MOR выпустила исправления, но исправила только шесть обнаруженных ошибок.
6. Исследователи Theori представили подробности CVE-2024–27394, которую они обнаружили в ядре Linux в апреле этого года.
7. QNAP выпустила семь обновлений для устранения ряда серьезных проблем в своем ПО.
Fortinet Blog
Threat Actors Exploit GeoServer Vulnerability CVE-2024-36401
When the GeoServer vulnerability CVE-2024-36401 emerged, the FortiGuard Labs gathered related intelligence. This blog highlights the threat actors and how they exploit and use the vulnerability.…
Исследователи из Университета Бен-Гуриона в Негеве (Израиль) продолжают удивлять все новыми вариантами атак по сторонним каналам, представив новую под названием PIXHELL.
Как несложно догадаться по названию, PIXHELL задействует создаваемый пикселями шум экрана в качестве канала утечки информации из аудиозащищенных систем.
Как в случае с недавно продемонстрированной RAMBO, в PIXHELL также используется вредоносное ПО, развернутое на скомпрометированном хосте, для создания акустического шума в диапазоне частот от 0 до 22 кГц.
Вредоносный код использует звук, генерируемый катушками и конденсаторами, для управления частотами шума, исходящиего от экрана. Акустические сигналы могут кодировать и передавать конфиденциальную информацию.
Атака примечательна тем, что для ее проведения не требуется никакого специализированного аудиооборудования на взломанном компьютере. Вместо этого для генерации акустических сигналов используется ЖК-экран.
Внедрение вредного ПО может быть реализовано посредством инсайдера или компрометации цепочки поставок оборудования или программного обеспечения.
Другой сценарий подразумевает вовлечение ничего не подозревающего сотрудника, который подключает зараженный USB-накопитель для доставки вредоносного ПО, способного запустить скрытый канал эксфильтрации данных.
Атака стала возможной благодаря тому, что используемые ЖК-экранах в качестве компонентов и источника питания индукторы и конденсаторы при прохождении электричества через катушки способны издавать шум (т.н. свистом катушек).
В частности, изменения в энергопотреблении могут вызывать механические вибрации или пьезоэлектрические эффекты в конденсаторах, создавая слышимый шум.
Важнейшим аспектом, влияющим на модель потребления, является количество светящихся пикселей и их распределение по экрану, поскольку для отображения белых пикселей требуется больше энергии, чем для темных пикселей.
Тщательно контролируя пиксельные узоры на экране, технология позволяет генерировать определенные акустические волны на определенных частотах от ЖК-экранов.
Так что, злоумышленник может использовать эту технику для извлечения данных в виде акустических сигналов, которые затем модулируются и передаются на ближайшее устройство Windows или Android, где впоследствии они демодулируются.
При этом следует отметить, что мощность и качество излучаемого акустического сигнала зависят, помимо прочих факторов, от конкретной конструкции экрана, его внутреннего источника питания, расположения катушек и конденсаторов.
Еще один важный момент, который следует подчеркнуть, заключается в том, что атака PIXHELL по умолчанию визуально видна на ЖК-экране, поскольку подразумевает отображение растрового рисунка из чередующихся черных и белых строк.
Однако атаку можно трансформировать в скрытую, уменьшив цвета пикселей до очень низких значений перед передачей (используя уровни RGB (1,1,1), (3,3,3), (7,7,7) и (15,15,15), тем самым создавая у пользователя впечатление, что экран черный.
Как несложно догадаться по названию, PIXHELL задействует создаваемый пикселями шум экрана в качестве канала утечки информации из аудиозащищенных систем.
Как в случае с недавно продемонстрированной RAMBO, в PIXHELL также используется вредоносное ПО, развернутое на скомпрометированном хосте, для создания акустического шума в диапазоне частот от 0 до 22 кГц.
Вредоносный код использует звук, генерируемый катушками и конденсаторами, для управления частотами шума, исходящиего от экрана. Акустические сигналы могут кодировать и передавать конфиденциальную информацию.
Атака примечательна тем, что для ее проведения не требуется никакого специализированного аудиооборудования на взломанном компьютере. Вместо этого для генерации акустических сигналов используется ЖК-экран.
Внедрение вредного ПО может быть реализовано посредством инсайдера или компрометации цепочки поставок оборудования или программного обеспечения.
Другой сценарий подразумевает вовлечение ничего не подозревающего сотрудника, который подключает зараженный USB-накопитель для доставки вредоносного ПО, способного запустить скрытый канал эксфильтрации данных.
Атака стала возможной благодаря тому, что используемые ЖК-экранах в качестве компонентов и источника питания индукторы и конденсаторы при прохождении электричества через катушки способны издавать шум (т.н. свистом катушек).
В частности, изменения в энергопотреблении могут вызывать механические вибрации или пьезоэлектрические эффекты в конденсаторах, создавая слышимый шум.
Важнейшим аспектом, влияющим на модель потребления, является количество светящихся пикселей и их распределение по экрану, поскольку для отображения белых пикселей требуется больше энергии, чем для темных пикселей.
Тщательно контролируя пиксельные узоры на экране, технология позволяет генерировать определенные акустические волны на определенных частотах от ЖК-экранов.
Так что, злоумышленник может использовать эту технику для извлечения данных в виде акустических сигналов, которые затем модулируются и передаются на ближайшее устройство Windows или Android, где впоследствии они демодулируются.
При этом следует отметить, что мощность и качество излучаемого акустического сигнала зависят, помимо прочих факторов, от конкретной конструкции экрана, его внутреннего источника питания, расположения катушек и конденсаторов.
Еще один важный момент, который следует подчеркнуть, заключается в том, что атака PIXHELL по умолчанию визуально видна на ЖК-экране, поскольку подразумевает отображение растрового рисунка из чередующихся черных и белых строк.
Однако атаку можно трансформировать в скрытую, уменьшив цвета пикселей до очень низких значений перед передачей (используя уровни RGB (1,1,1), (3,3,3), (7,7,7) и (15,15,15), тем самым создавая у пользователя впечатление, что экран черный.
arXiv.org
PIXHELL Attack: Leaking Sensitive Information from Air-Gap...
Air-gapped systems are disconnected from the Internet and other networks because they contain or process sensitive data. However, it is known that attackers can use computer speakers to leak data...
This media is not supported in your browser
VIEW IN TELEGRAM
Как я ворвался в инфосек. Часть 6.
Подкатил сентябрьский PatchTuesday от Microsoft с исправлениями для 79 уязвимостей, включая четыре активно эксплуатируемых и одну публично раскрытую 0-day.
В целом устранено семь критических уязвимостей, связанных с RCE и EoP. Общее распределение: 30 - EoP, 4 - обход функций безопасности, 23 - RCE, 11 - раскрытие информации, 8 - DoS и 3 - спуфинг.
Среди четыре активно эксплуатируемых нулей:
- CVE-2024-38014: уязвимость в установщике Windows, которая позволяет получать привилегии SYSTEM в системах Windows.
Ошибка была обнаружена Майклом Бэром из SEC Consult Vulnerability Lab. Подробности эксплуатации не разглашаются.
- CVE-2024-38217: уязвимость обхода функции безопасности Windows Mark of the Web, раскрытая в прошлом месяце Джо Десимоном из Elastic Security и активно эксплуатировалась с 2018 года.
Реализует метод LNK-stomping, позволяющий специально созданным LNK-файлам с нестандартными целевыми путями или внутренними структурами вызывать открытие файла, обходя предупреждения безопасности Smart App Control и Mark of the Web.
- CVE-2024-38226: уязвимость обхода функции безопасности Microsoft Publisher, которая позволяет обходить средства защиты от встроенных макросов в Office. Microsoft не раскрыла, кто именно раскрыл уязвимость и как она была использована.
- CVE-2024-43491: RCE-уязвимость в Центре обновления Microsoft Windows. Ошибка Servicing Stack привела к отмене исправлений некоторых уязвимостей, влияющих на дополнительные компоненты в Windows 10 версии 1507.
Злоумышленник может воспользоваться ранее устраненными уязвимостями в системах Windows 10 версии 1507, на которых установлено мартовское обновление KB5035858 или другие, выпущенные до августа 2024 года. Все более поздние не уязвимы.
Уязвимость стека обслуживания устраняется путем установки сентябрьских обновлений стека обслуживания (SSU KB5043936) и безопасности Windows (KB5043083), именно в таком порядке.
Она затрагивает Windows 10 версии 1507 (поддержка завершилась в 2017 году) а также редакции Windows 10 Enterprise 2015 LTSB и Windows 10 IoT Enterprise 2015 LTSB (которые все еще находятся на стадии поддержки).
Проблема интересна тем, что она приводит к откату дополнительных компонентов, таких как Active Directory Lightweight Directory Services, XPS Viewer, Internet Explorer 11, LPD Print Service, IIS и Windows Media Player, к их исходным версиям RTM.
Это приводит к повторному внедрению в программу всех предыдущих CVE, которые затем могут быть использованы злоумышленниками.
Более подробная информация об уязвимостях и полный список затронутых компонентов - здесь.
В целом устранено семь критических уязвимостей, связанных с RCE и EoP. Общее распределение: 30 - EoP, 4 - обход функций безопасности, 23 - RCE, 11 - раскрытие информации, 8 - DoS и 3 - спуфинг.
Среди четыре активно эксплуатируемых нулей:
- CVE-2024-38014: уязвимость в установщике Windows, которая позволяет получать привилегии SYSTEM в системах Windows.
Ошибка была обнаружена Майклом Бэром из SEC Consult Vulnerability Lab. Подробности эксплуатации не разглашаются.
- CVE-2024-38217: уязвимость обхода функции безопасности Windows Mark of the Web, раскрытая в прошлом месяце Джо Десимоном из Elastic Security и активно эксплуатировалась с 2018 года.
Реализует метод LNK-stomping, позволяющий специально созданным LNK-файлам с нестандартными целевыми путями или внутренними структурами вызывать открытие файла, обходя предупреждения безопасности Smart App Control и Mark of the Web.
- CVE-2024-38226: уязвимость обхода функции безопасности Microsoft Publisher, которая позволяет обходить средства защиты от встроенных макросов в Office. Microsoft не раскрыла, кто именно раскрыл уязвимость и как она была использована.
- CVE-2024-43491: RCE-уязвимость в Центре обновления Microsoft Windows. Ошибка Servicing Stack привела к отмене исправлений некоторых уязвимостей, влияющих на дополнительные компоненты в Windows 10 версии 1507.
Злоумышленник может воспользоваться ранее устраненными уязвимостями в системах Windows 10 версии 1507, на которых установлено мартовское обновление KB5035858 или другие, выпущенные до августа 2024 года. Все более поздние не уязвимы.
Уязвимость стека обслуживания устраняется путем установки сентябрьских обновлений стека обслуживания (SSU KB5043936) и безопасности Windows (KB5043083), именно в таком порядке.
Она затрагивает Windows 10 версии 1507 (поддержка завершилась в 2017 году) а также редакции Windows 10 Enterprise 2015 LTSB и Windows 10 IoT Enterprise 2015 LTSB (которые все еще находятся на стадии поддержки).
Проблема интересна тем, что она приводит к откату дополнительных компонентов, таких как Active Directory Lightweight Directory Services, XPS Viewer, Internet Explorer 11, LPD Print Service, IIS и Windows Media Player, к их исходным версиям RTM.
Это приводит к повторному внедрению в программу всех предыдущих CVE, которые затем могут быть использованы злоумышленниками.
Более подробная информация об уязвимостях и полный список затронутых компонентов - здесь.
Исследователи из Лаборатории Касперского продолжают кучно бомбить все новыми исследованиями, сообщая об обнаружении ранее неизвестного бэкдора Loki, который использовался в серии целевых атак в июле.
Проанализировав вредоносный файл, исследователи смогли определить, что Loki - это, по всей видимости, модифицированная версия агента Mythic Agent, фреймворка Red Team с открытым исходным кодом.
Обнаруженный ЛК агент Loki - это совместимая с Mythic версия агента для другого фреймворка, Havoc.
Модификация Loki унаследовала различные методы от Havoc для усложнения анализа агента, такие как шифрование его образа памяти, косвенный вызов функций API системы, поиск функций API по хэшам и многое другое.
Однако, в отличие от агента для Havoc, Loki был разделен на загрузчик и DLL, где реализована основная функциональность вредоносного ПО.
Обе версии агента используют алгоритм хеширования djb2 для сокрытия функций и команд API с небольшими различиями.
После выполнения загрузчик Loki формирует пакет с информацией о зараженной системе (версия ОС, внутренний IP, имя пользователя, архитектура процессора, путь к текущему процессу и его идентификатор) и отправляет его в зашифрованном виде на С2 https://y[.]nsitelecom[.]ru/certcenter.
В ответ сервер отправляет DLL, которую загрузчик помещает в память зараженного устройства - обработка команд и дальнейшее общение с сервером С2 происходит внутри этой библиотеки.
Замеченные версии используют одинаковые алгоритмы шифрования данных: сначала собранная информация шифруется алгоритмом AES, затем кодируется с помощью base64.
Каждый экземпляр вредоносного ПО имеет уникальный UUID.
В результате первого запроса к C2 возвращается полезная нагрузка в виде DLL с двумя экспортированными функциями: стандартной точкой входа DllMain и функцией Start, которую загрузчик вызывает для передачи дальнейшего управления библиотеке.
Проведя детальный анализ, исследователям удалось обнаружить около 15 версий загрузчика и два активных C2, и в конечном итоге получить образец основного модуля из майской версии.
Основной модуль, как и загрузчик, основан на версии агента Havoc, но список поддерживаемых команд частично заимствован из других агентов Mythic.
Он не хранится в виде простого текста в DLL, вместо этого в коде библиотеки указывается ряд хэшей. Когда с сервера поступает команда, ее имя хэшируется и сравнивается с хэшем, хранящимся в DLL.
Сам агент не поддерживает туннелирование трафика, поэтому для доступа к частным сегментам сети злоумышленники используют сторонние общедоступные утилиты: ngrok и gTunnel.
Как отмечают в ЛК, с этой угрозой уже столкнулись более десятка российских компаний из разных отраслей, включая машиностроение и здравоохранение, однако число потенциальных жертв может быть больше.
В виду недостаточности данных отнести Loki к какой-либо группе не удалось, индикаторы компрометации - в отчете.
Проанализировав вредоносный файл, исследователи смогли определить, что Loki - это, по всей видимости, модифицированная версия агента Mythic Agent, фреймворка Red Team с открытым исходным кодом.
Обнаруженный ЛК агент Loki - это совместимая с Mythic версия агента для другого фреймворка, Havoc.
Модификация Loki унаследовала различные методы от Havoc для усложнения анализа агента, такие как шифрование его образа памяти, косвенный вызов функций API системы, поиск функций API по хэшам и многое другое.
Однако, в отличие от агента для Havoc, Loki был разделен на загрузчик и DLL, где реализована основная функциональность вредоносного ПО.
Обе версии агента используют алгоритм хеширования djb2 для сокрытия функций и команд API с небольшими различиями.
После выполнения загрузчик Loki формирует пакет с информацией о зараженной системе (версия ОС, внутренний IP, имя пользователя, архитектура процессора, путь к текущему процессу и его идентификатор) и отправляет его в зашифрованном виде на С2 https://y[.]nsitelecom[.]ru/certcenter.
В ответ сервер отправляет DLL, которую загрузчик помещает в память зараженного устройства - обработка команд и дальнейшее общение с сервером С2 происходит внутри этой библиотеки.
Замеченные версии используют одинаковые алгоритмы шифрования данных: сначала собранная информация шифруется алгоритмом AES, затем кодируется с помощью base64.
Каждый экземпляр вредоносного ПО имеет уникальный UUID.
В результате первого запроса к C2 возвращается полезная нагрузка в виде DLL с двумя экспортированными функциями: стандартной точкой входа DllMain и функцией Start, которую загрузчик вызывает для передачи дальнейшего управления библиотеке.
Проведя детальный анализ, исследователям удалось обнаружить около 15 версий загрузчика и два активных C2, и в конечном итоге получить образец основного модуля из майской версии.
Основной модуль, как и загрузчик, основан на версии агента Havoc, но список поддерживаемых команд частично заимствован из других агентов Mythic.
Он не хранится в виде простого текста в DLL, вместо этого в коде библиотеки указывается ряд хэшей. Когда с сервера поступает команда, ее имя хэшируется и сравнивается с хэшем, хранящимся в DLL.
Сам агент не поддерживает туннелирование трафика, поэтому для доступа к частным сегментам сети злоумышленники используют сторонние общедоступные утилиты: ngrok и gTunnel.
Как отмечают в ЛК, с этой угрозой уже столкнулись более десятка российских компаний из разных отраслей, включая машиностроение и здравоохранение, однако число потенциальных жертв может быть больше.
В виду недостаточности данных отнести Loki к какой-либо группе не удалось, индикаторы компрометации - в отчете.
Securelist
A new version of the Loki backdoor for the Mythic framework attacks Russian companies
Kaspersky experts have discovered a new version of the Loki agent for the open-source Mythic framework, which uses DLLs to attack Russian companies.
Исследователи Sophos отследили три связанных с КНР кластера угроз, нацеленных на правительственные организации в Юго-Восточной Азии в рамках операции кибершпионажа под названием Crimson Palace.
Наблюдаемое исследователями кибернаступление включает следующие security threat activity cluster (STAC): Cluster Alpha (STAC1248), Cluster Bravo (STAC1870) и Cluster Charlie (STAC1305).
Как отмечают в Sophos, злоумышленники постоянно использовали другие взломанные корпоративные и государственные сети в регионе в качестве ретрансляционной точки C2 для доставки вредоносного ПО и инструментов.
Crimson Palace была впервые задокументирована в начале июня 2024 года, а атаки происходили в период с марта 2023 года по апрель 2024 года.
Первоначальная активность, связанная с Bravo, который пересекается с группой угроз Unfading Sea Haze, была ограничена мартом 2023 года. Однако в период с января по июнь 2024 года была зафиксирована новая волна атак, нацеленная на 11 других организаций и агентств в том же регионе.
В период с сентября 2023 года по июнь 2024 года был также выявлен ряд атак, организованных кластером Cluster Charlie (или Earth Longzhi).
Некоторые из них также включали развертывание различных фреймворков C2, таких как Cobalt Strike, Havoc и XieBroC2, для реализации последующей эксплуатации и доставки дополнительных полезных нагрузок, в том числе SharpHound.
Основная цель осталась прежней - кибершпионаж. Однако большая часть усилий, по-видимому, была сосредоточена на расширении присутствия в целевой сети путем обхода EDR и быстрого восстановления доступа, когда их импланты C2 блокировались.
Другим важным аспектом является задействование Cluster Charlie метода перехвата DLL для выполнения вредоносного ПО, который ранее применялся злоумышленниками, стоящими за Cluster Alpha, что указывает на перекрестные TTPs.
Среди других задействуемых злоумышленниками ПО с открытым исходным кодом - RealBlindingEDR и Alcatraz, которые позволяют деактивировать антивирусные процессы и скрывать переносимые исполняемые файлы (exe, dll и sys).
Завершает арсенал вредоносного ПО кластера ранее неизвестный кейлоггер под названием TattleTale, который был первоначально обнаружен в августе 2023 года и способен собирать данные браузеров Google Chrome и Microsoft Edge.
Вредоносная ПО может фиксировать данные взломанной системы и проверять наличие подключенных физических и сетевых дисков, выдавая себя за вошедшего в систему пользователя.
TattleTale также осуществляет сбор сведений в отношении контроллера домена и крадет LSA, которая, как известно, содержит конфиденциальную информацию, связанную с политиками паролей и настройками безопасности.
Таким образом, установлено, что все три кластера работают сообща, одновременно сосредотачиваясь на конкретных задачах в цепочке атак: проникновение в целевые среды и проведение разведки (Alpha), глубокое проникновение в сети с использованием различных механизмов C2 (Bravo) и извлечение ценных данных (Charlie).
Наблюдаемое исследователями кибернаступление включает следующие security threat activity cluster (STAC): Cluster Alpha (STAC1248), Cluster Bravo (STAC1870) и Cluster Charlie (STAC1305).
Как отмечают в Sophos, злоумышленники постоянно использовали другие взломанные корпоративные и государственные сети в регионе в качестве ретрансляционной точки C2 для доставки вредоносного ПО и инструментов.
Crimson Palace была впервые задокументирована в начале июня 2024 года, а атаки происходили в период с марта 2023 года по апрель 2024 года.
Первоначальная активность, связанная с Bravo, который пересекается с группой угроз Unfading Sea Haze, была ограничена мартом 2023 года. Однако в период с января по июнь 2024 года была зафиксирована новая волна атак, нацеленная на 11 других организаций и агентств в том же регионе.
В период с сентября 2023 года по июнь 2024 года был также выявлен ряд атак, организованных кластером Cluster Charlie (или Earth Longzhi).
Некоторые из них также включали развертывание различных фреймворков C2, таких как Cobalt Strike, Havoc и XieBroC2, для реализации последующей эксплуатации и доставки дополнительных полезных нагрузок, в том числе SharpHound.
Основная цель осталась прежней - кибершпионаж. Однако большая часть усилий, по-видимому, была сосредоточена на расширении присутствия в целевой сети путем обхода EDR и быстрого восстановления доступа, когда их импланты C2 блокировались.
Другим важным аспектом является задействование Cluster Charlie метода перехвата DLL для выполнения вредоносного ПО, который ранее применялся злоумышленниками, стоящими за Cluster Alpha, что указывает на перекрестные TTPs.
Среди других задействуемых злоумышленниками ПО с открытым исходным кодом - RealBlindingEDR и Alcatraz, которые позволяют деактивировать антивирусные процессы и скрывать переносимые исполняемые файлы (exe, dll и sys).
Завершает арсенал вредоносного ПО кластера ранее неизвестный кейлоггер под названием TattleTale, который был первоначально обнаружен в августе 2023 года и способен собирать данные браузеров Google Chrome и Microsoft Edge.
Вредоносная ПО может фиксировать данные взломанной системы и проверять наличие подключенных физических и сетевых дисков, выдавая себя за вошедшего в систему пользователя.
TattleTale также осуществляет сбор сведений в отношении контроллера домена и крадет LSA, которая, как известно, содержит конфиденциальную информацию, связанную с политиками паролей и настройками безопасности.
Таким образом, установлено, что все три кластера работают сообща, одновременно сосредотачиваясь на конкретных задачах в цепочке атак: проникновение в целевые среды и проведение разведки (Alpha), глубокое проникновение в сети с использованием различных механизмов C2 (Bravo) и извлечение ценных данных (Charlie).
Sophos
Crimson Palace returns: New Tools, Tactics, and Targets
Chinese cyberespionage campaign renews efforts in multiple organizations in Southeast Asia, blending tactics and expanding efforts
Sekoia представила отчет в отношении ботнета Quad7, который активно эволюционирует, атакуя с помощью нового вредоносного ПО для VPN-устройств Zyxel, беспроводных маршрутизаторов Ruckus и медиасерверов Axentra.
Замеченные новшества в работе Quad7 показывает, что его разработчики учли имевшиеся ошибки, выявленные исседователями, и теперь реализуют переход в сторону более скрытных технологий.
Основная цель Quad7 остается до сих загадкой, есть лишь предположения о возможности его задействования в бруте паролей на VPN, Telnet, SSH и учетных записей Microsoft 365.
Ботнет Quad7 состоит из нескольких подкластеров, идентифицированных как варианты *login, каждый из которых нацелен на определенные устройства и отображает свой приветственный баннер при подключении к порту Telnet.
Полный список вредоносных кластеров состоит из:
- xlogin – Telnet, привязанный к TCP-порту 7777 на маршрутизаторах TP-Link
- alogin – Telnet привязан к TCP-порту 63256 на маршрутизаторах ASUS
- rlogin – Telnet, привязанный к TCP-порту 63210 на беспроводных устройствах Ruckus
- axlogin – баннер Telnet на устройствах Axentra NAS
- zylogin – Telnet, привязанный к TCP-порту 3256 на устройствах Zyxel VPN.
Некоторые из кластеров, такие как xlogin и alogin затрагивают до нескольких тысяч устройств. Другие, недавно появившиеся, такие как rlogin и zylogin, насчитывают значительно меньше - 298 и 2 заражения соответственно, а axlogin - вовсе по нулям.
Тем не менее, эти новые подкластеры в самое ближайшее время могут выйти из экспериментальной фазы или переключиться на новые уязвимости, нацеленные на более распространенные модели.
Последние результаты исследования Sekoia показывают, что ботнет Quad7 значительно усовершенствовал свои методы и тактику коммуникации, сосредоточившись на уклонении от обнаружения и повышении эффективности работы.
Во-первых, постепенно прекращается использование открытых прокси-серверов SOCKS, в которых ботнет активно использовал предыдущие версии для ретрансляции вредоносного трафика.
Вместо этого операторы Quad7 теперь используют протокол связи KCP для ретрансляции атак с помощью инструмента FsyNet, который осуществляет связь по протоколу UDP, что значительно затрудняет отслеживание.
Кроме того, злоумышленники теперь используют новый бэкдор под названием UPDTAE, который устанавливает обратные HTTP-оболочки для удаленного управления зараженными устройствами, позволяя операторам управлять устройствами, не раскрывая интерфейсы входа в систему и не оставляя открытыми порты.
Также разработчиками ведутся эксперименты с новым двоичным файлом netd, который использует протокол CJD route2, так что, скорее всего, на подходе еще более скрытый механизм связи.
Будем посмотреть.
Замеченные новшества в работе Quad7 показывает, что его разработчики учли имевшиеся ошибки, выявленные исседователями, и теперь реализуют переход в сторону более скрытных технологий.
Основная цель Quad7 остается до сих загадкой, есть лишь предположения о возможности его задействования в бруте паролей на VPN, Telnet, SSH и учетных записей Microsoft 365.
Ботнет Quad7 состоит из нескольких подкластеров, идентифицированных как варианты *login, каждый из которых нацелен на определенные устройства и отображает свой приветственный баннер при подключении к порту Telnet.
Полный список вредоносных кластеров состоит из:
- xlogin – Telnet, привязанный к TCP-порту 7777 на маршрутизаторах TP-Link
- alogin – Telnet привязан к TCP-порту 63256 на маршрутизаторах ASUS
- rlogin – Telnet, привязанный к TCP-порту 63210 на беспроводных устройствах Ruckus
- axlogin – баннер Telnet на устройствах Axentra NAS
- zylogin – Telnet, привязанный к TCP-порту 3256 на устройствах Zyxel VPN.
Некоторые из кластеров, такие как xlogin и alogin затрагивают до нескольких тысяч устройств. Другие, недавно появившиеся, такие как rlogin и zylogin, насчитывают значительно меньше - 298 и 2 заражения соответственно, а axlogin - вовсе по нулям.
Тем не менее, эти новые подкластеры в самое ближайшее время могут выйти из экспериментальной фазы или переключиться на новые уязвимости, нацеленные на более распространенные модели.
Последние результаты исследования Sekoia показывают, что ботнет Quad7 значительно усовершенствовал свои методы и тактику коммуникации, сосредоточившись на уклонении от обнаружения и повышении эффективности работы.
Во-первых, постепенно прекращается использование открытых прокси-серверов SOCKS, в которых ботнет активно использовал предыдущие версии для ретрансляции вредоносного трафика.
Вместо этого операторы Quad7 теперь используют протокол связи KCP для ретрансляции атак с помощью инструмента FsyNet, который осуществляет связь по протоколу UDP, что значительно затрудняет отслеживание.
Кроме того, злоумышленники теперь используют новый бэкдор под названием UPDTAE, который устанавливает обратные HTTP-оболочки для удаленного управления зараженными устройствами, позволяя операторам управлять устройствами, не раскрывая интерфейсы входа в систему и не оставляя открытыми порты.
Также разработчиками ведутся эксперименты с новым двоичным файлом netd, который использует протокол CJD route2, так что, скорее всего, на подходе еще более скрытый механизм связи.
Будем посмотреть.
Sekoia.io Blog
A glimpse into the Quad7 operators' next moves and associated botnets
Uncover the secrets of the Quad7 botnet and its ever-evolving toolset. Learn about the new backdoors and protocols used by these operators.