Ученые из Университета имени Бен-Гуриона в Негеве в Израиле разработали новую атаку по сторонним каналам, получившую название RAMBO (Radiation of Air-gapped Memory Bus for Offense).

RAMBO генерирует электромагнитное излучение из оперативной памяти устройства и позволяет осуществлять кражу данных из изолированных сетей.

Для этих целей может использоваться вредоносное ПО (как в случае с Stuxnet, Fanny и PlugX) для кодирования конфиденциальных данных, которые можно перехватывать на расстоянии с помощью оборудования SDR и стандартной антенны.

Атака на практике позволяет злоумышленникам передавать закодированные файлы, ключи шифрования, изображения, нажатия клавиш и биометрическую информацию со скоростью 1000 бит в секунду. Тесты проводились на расстоянии до 7 метров.

Как поясняет исследователь Мордехай Гури, вредоносное ПО в системах с воздушным зазором позволяет манипулировать оперативной памятью для генерации измененных, закодированных радиосигналов на тактовых частотах, которые затем можно принимать на расстоянии.

Злоумышленник может использовать соответствующее оборудование для приема электромагнитных сигналов, декодирования данных и извлечения украденной информации.

Атака RAMBO начинается с развертывания вредоносного ПО в изолированной системе через зараженный USB-накопитель или с использованием инсайдера, а также путем компрометации цепочки поставок для его внедрения в аппаратные или программные компоненты.

Вторая фаза атаки включает сбор данных, их утечку через скрытый канал связи (в данном случае электромагнитное излучение от оперативной памяти) и извлечение на расстоянии.

Быстрые изменения напряжения и тока, происходящие при передаче данных через оперативную память, создают электромагнитные поля, которые могут излучать электромагнитную энергию с частотой, зависящей от тактовой частоты, ширины данных и общей архитектуры.

Исследователь поясняет, что передатчик может создать электромагнитный скрытый канал, модулируя шаблоны доступа к памяти таким образом, чтобы они соответствовали двоичным данным.

Точно контролируя инструкции, связанные с памятью, ученый смог использовать этот скрытый канал для передачи закодированных данных, а затем извлечения их на расстоянии с помощью оборудования SDR и простой антенны. 

Таким образом, как полагает Гури, используя этот метод, злоумышленники могут передавать данные с изолированных, изолированных друг от друга компьютеров на ближайший приемник со скоростью в сотни бит в секунду.

Исследователи Sophos X-Ops в новом отчете расчехлили новое вредоносное ПО Atomic MacOS Stealer (AMOS), которое буквально ломает парадигму безопасности macOS.

Исторически сложилось мнение, что macOS менее восприимчива к вредоносному ПО, чем Windows, возможно, потому, что эта ОС имеет меньшую долю рынка, чем Windows, и имеет собственный набор функций безопасности.

Однако ситуация изменилась.

С момента своего появления в апреле прошлого года AMOS фактически стал одним из самых распространенных среди инфокрадов, на который приходится более 50% всех атак в отношении macOS за последние шесть месяцев.

AMOS - это специализированный вредоносный инструмент для кражи различных конфиденциальных данных, будь то файлы cookie, аутентификационные данные, формы автозаполнения или содержимое криптокошельков.

Достаточно часто собранная посредством инфокрада информация реализуется другим киберпреступникам для последующей эксплуатации. Вообще же рынок логов переживает, можно сказать, рассвет, что, безусловно, повышает и стоимость AMOS.

За последний год стоимость AMOS выросла втрое до $3000 в месяц, что говорит как о заинтересованности киберподполья атаковать пользователей macOS, так и о ценности самого метода для киберпреступников.

Реализуя AMOS в Telegram, хакеры хвастаются, что инфокрад способен собирать информацию из Notes, Keychain и SystemInfo, получать пароль MacOS и атаковать популярные браузеры, а также криптокошельки и плагины Electrum, Binance, Exodus, Atomic и Coinomi.

Вредоносная программа, предположительно, запускается, когда консоль скрыта, а распространение реализуется различными методами: от традиционного фишинга до вредоносной рекламы и SEO-оптимизации.

В число легитимных приложений, которые имитирует AMOS вошли Notion, Trello, браузер Arc, Slack и Todoist, а в некоторых случаях - Clean My Mac X.

Для размещения двоичных файлов AMOS злоумышленники используют легитимную инфраструктуру, такую как GitHub. Чтобы избежать обнаружения, код AMOS запутан: вместо исполняемых файлов Mach-O, последние варианты включают скрипты Python.

Как отмечают Sophos, создатели Atomic Malware теперь заявляют о его таргетировании и на iOS.

Причем, со слов разработчиков, им удалось вскрыть iPhone и успешно протестировать новый продукт, который вскоре попадет в массы.

На прошлой неделе стали известны подробности нововведений, которые Microsoft намерена внедрить в свои продукты для повышения безопасности.

Во-первых, Редмонд планирует в октябре отключить ActiveX в приложениях Office.

Во-вторых, усилить защиту службы ведения журнала Windows CFLS от логических ошибок в будущих версиях Windows 11.

Оба шага направлены на устранение некоторых из наиболее серьезных современных векторов атак в Windows.

ActiveX, который был добавлен в Windows в 90-х годах для поддержки интерактивного контента, часто становился целью 0-day атак как со стороны APT, так и киберпреступности.

Кроме того, элементы управления ActiveX, встроенные в документы Office (обычно доставляемые посредством фишинга), использовались для развертывания всех видов вредоносного ПО в течение последних десятилетий.

Теперь же, как сообщает Microsoft, с запуском Office 2024 элементы управления ActiveX будут отключены по умолчанию в Word, Excel, PowerPoint и Visio.

Новое изменение вступит в силу для четырех приложений Office в октябре, а версии Microsoft 365 получат поэтапное развертывание в апреле следующего года.

После этого пользователи Office не смогут создавать новые объекты ActiveX, а старые будут отображаться как статические изображения.

Кроме того, Microsoft также объявила об изменении принципа работы Common Log File System (CLFS) в Windows 11.

Теперь все журналы, созданные в системе Windows, будут иметь в конце хэш, также известный как код аутентификации сообщений на основе хэша (HMAC).

Идея этого изменения заключается в том, чтобы не допустить замены или редактирования злоумышленниками существующих журналов с целью создания логических ошибок в анализаторе журналов Windows CLFS.

Ведь 19 из 25 уязвимостей, связанных с CFLS, за последние пять лет были связаны именно с ошибками логики анализа журналов.

Разработчики надеются, что новая функция HMAC в файлах CFLS поможет устранить целый класс уязвимостей.

В настоящее время функция тестируется в Windows Insiders Canary и позднее будет включена в основные установки Windows 11.

Во всех новых установках драйвер CLFS будет переведен в режим принудительного применения, а в существующих установках драйвер CLFS сначала функционировать в «режиме обучения» на 90 дней, добавляя HMAC в журналы.

Исследователи Palo Alto Networks сообщают о новой тактике китайской APT Mustang Panda, которая злоупотребляет Visual Studio Code в рамках шпионских операций, нацеленных на правительственные учреждения в Юго-Восточной Азии.

Злоумышленники злоупотребляют встроенной функцией обратной оболочки Visual Studio Code, чтобы закрепиться в целевых сетях.

Причем относительно новая техника впервые была задокументирована и продемонстрирована в сентябре 2023 года исследователем Трувисом Торнтоном.

Mustang Panda, также известная как BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta и Red Lich, действует с 2012 года и регулярно реализует кибершпионаж в отношении правительственных и религиозных организации по всей Европе и Азии, прежде всего, в странах Южно-Китайского моря.

Последняя наблюдаемая серия атак примечательна использованием обратной оболочки Visual Studio Code для выполнения произвольного кода и доставки дополнительных полезных данных.

При этом эксплуатация Visual Studio Code в вредоносных целях осуществляется либо посредством локально установленного приложения или же путем использования портативной версии code.exe (исполняемый файл для Visual Studio Code).

После завершения этого шага злоумышленник перенаправляется в веб-среду Visual Studio Code, подключенную к зараженному компьютеру, что позволяет ему выполнять команды или создавать новые файлы.

Причем ранее в этом году mnemonic также фиксировала вредоносное использование этой техники в контексте эксплуатации 0-day в продуктах безопасности Check Point (CVE-2024-24919, оценка CVSS: 8,6).

В свою очередь, Mustang Panda использовала механизм для доставки вредоносного ПО, проведения разведки и извлечения конфиденциальных данных.

Кроме того, злоумышленник, как сообщается, задействовал OpenSSH для выполнения команд, передачи файлов и распространения по сети.

Но и это еще не все: более детальный анализ зараженной среды выявил второй кластер активности, иногда даже на одних и тех же конечных точках, в котором использовался уже известный модульный бэкдор ShadowPad.

В настоящее время неясно, связаны ли эти два типа вторжений друг с другом. Исследователи полагают, что эти два кластера исходят все же от одного и того же субъекта - Stately Taurus.

Исследователи из Лаборатории Касперского обнаружили сложную кампанию под общим названием Tusk, инициируемую русскоязычными киберпреступниками, попутно отследив множество ее подкампаний.

Каждая из них имитирует определенный легитимный проект: злоумышленники вносят незначительные изменения в названия и брендинг, а также используют многочисленные аккаунты в социальных сетях, дабы вызвать доверие у жертв.

В ходе анализа исследователи обнаружили, что первичные загрузчики всех активных подкампаний размещаются на Dropbox.

Через них образцы вредоносного ПО, включая стилеры Danabot, StealC и клипперы, попадают на устройство жертвы.

Помимо этого, злоумышленники используют техники фишинга, чтобы обманом получить у пользователей конфиденциальную информацию, например учетные данные.

Позже их реализуют в даркнете или используют для получения неправомерного доступа к игровым аккаунтам и криптокошелькам жертв, осуществляя кражу средств.

На момент проведения исследования ЛК удалось идентифицировать три активных и шестнадцать уже неактивных подкампаний. Причем неактивные подкампании, - это либо уже отработанные, либо еще не реализованные.

Все они в общей массе были названы в соответствии с обнаруженным в сообщениях логов загрузчиков упоминанием слова мамонт, которым злоумышленники обычно именуют свою жертву.

В рамках первой кампании TidyMe злоумышленники имитировали peerme.io - платформу для создания децентрализованных автономных организаций (DAO) в блокчейне MultiversX и управления ими. 

На вредоносном сайте вместо кнопки Create your Team now присутствует кнопка Download.

При нажатии определяется подходящая версия вредоносного ПО для Windows или macOS, жертве направляется соответствующий файл.

Первичный загрузчик - TidyMe.exe, приложение на основе Electron, а полезная нагрузка - updateload.exe и bytes.exe (образец использует модульный загрузчик HijackLoader), финальная - вариант вредоносного ПО семейства стилеров StealC.

Вторая подкампания RuneOnlineWorld полагается на поддельный сайт MMO-игры, где расположена ссылка на первичный загрузчик.

Логика подбора версии ПО, соответствующей устройству жертвы, также идентична используемой в TidyMe. Название образца - RuneOnlineWorld.exe (приложение на основе Electron, его логика и структура почти идентичны загрузчику первой кампании).

В кампании RuneOnlineWorld две полезные нагрузки уже не собраны в один файл. Updateload.exe использует HijackLoader и внедряет код в легитимные программы. Финальный этап атаки реализует несколько стилеров семейств Danabot и StealC.

В рамках третьей кампании Voico злоумышленники имитировали переводчик на базе ИИ под названием YOUS.

Как и в двух предыдущих, на вредоносном веб-сайте расположена ссылка на первичный загрузчик, замаскированный под приложение, механизм заражения аналогичный, а образец вредоносного ПО носит название Voico.exe.

Оба выполняемых файла в этой кампании (updateload.exe и bytes.exe) по поведению очень напоминают файл updateload.exe из второй подкампании, но с одним различием: скачанное вредоносное ПО StealC связывается с другим С2.

Детальный разбор каждой из кампаний, цепочек заражений с индикаторами компрометации - в отчете.

Исследователи F.A.C.C.T. задетектили новые атаки группы PhantomCore, нацеленные на российские организации в сфере финтеха, конструкторских разработок, производства высокотехнологичного оборудования беспроводной связи.

Как известно, PhantomCore - кибершпионская группа, действующая с начала 2024 года в отношении российских организаций, была впервые раскрыта исследователями F.A.C.C.T.

Группировка получила своё название согласно имени их уникального PhantomRAT.

На протяжении весны и лета хакеры атаковали российские организации в различных отраслях, но большинство из них приходилось на промышленный сектор.

Отличительной особенностью деятельности злоумышленников является то, что они предварительно компрометируют сторонние организации и используют их для проведения атак через фишинговые письма.

На этот раз 5 сентября в поле зрения специалистов попало несколько рассылок со скомпрометированного адреса, принадлежащего компании, специализирующейся на строительстве и автоматизации объектов электроэнергетики и транспорта.

Злоумышленники отправляли фишинговые письма с темой «Договор на поставку обр №00694723 от 04.09.2024» и вложенным защищенным паролем архивом.

При этом злоумышленники усложнили пароль: если в прежних атаках в качестве пароля использовался год, даты рассылок, легкие цифровые комбинации, то в текущей рассылке использовался: He@k43M24v.

Традиционно архив содержал легитимную PDF-приманку и исполняемый вредоносный файл .pdf.exe. При открытии архива задействовалась уязвимость CVE-2023-38831 для автоматического запуска программы.

В качестве основного инструмента использовалась вредоносная программа PhantomCore.KscDL_trim, а в качестве C2 - ip: 185[.]130[.]251[.]55:80.

PhantomCore.KscDL_trim - это урезанная версия загрузчика PhantomCore.KscDL, написанная на языке C++ и упакованная инструментом UPX.

Загрузчик имеет следующие возможности: загрузка и запуск файлов с C2-адреса, выполнение произвольных команд в интерпретаторе команд Windows.

PhantomCore.KscDL_trim использует HTTP-протокол для взаимодействия с сервером и библиотеку Boost.Beast.

В ходе анализа исследователям удалось получить несколько команд от управляющего сервера и установить, что атакующие предварительно профилируют жертву и решают, интересна ли она для развития атаки.

Подробности новых атак PhantomCore с индикаторами компрометации в отчете.

По уязвимостям на неделе - не менее интересно.

1. SonicWall обнаружила активные атаки на свои брандмауэры и системы VPN с использованием недавно исправленной CVE-2024-40766.

Уязвимость позволяет злоумышленникам обходить аутентификацию и получать доступ к управлению брандмауэром.

SonicWall выпустила исправление в конце августа.

Организациям, которые не могут оперативно установить исправление, рекомендовано ограничить доступ из Интернета к панели управления брандмауэром.

2. Fortinet изучила вредоносные нагрузки, реализованные в ходе атак на GeoServer.

Среди замеченных штаммов: ряд майнеров, Condi, Mirai, SideWalk и GoReverse.

3. Исследователи Sector7 сообщают об обнаружении бэкдора в зарядных устройствах для электромобилей Autel MaxiCharger, которая может предоставить злоумышленникам контроль над устройством.

Бэкдором в данном случае выступает жестко запрограммированный токен аутентификации в процессе сопряжения Bluetooth, который, по мнению исследователей, был создан преднамеренно.

4. Progress Software экстренно устранила серьезную уязвимость в устройствах балансировки нагрузки LoadMaster и LoadMaster Multi-Tenant (MT) Hypervisor, которая может позволить злоумышленникам запустить вредоносный код на устройстве.

Уязвимость отслеживается как CVE-2024-7591 и представляет собой ошибку проверки ввода на панели управления устройством, позволяющую запускать команды ОС.

Обновления выпущены на прошлой неделе, а сама уязвимость получила максимальную оценку 10 из 10 в виду простоты ее эксплуатации.

На момент публикации бюллетеня сообщений об активной эксплуатации уязвимости не поступало, но, вероятно, ожидаются.

5. Немецкая SySS обнаружила 11 уязвимостей в ПО видеонаблюдения C-MOR, среди которых SQL-инъекции, XSS и ошибки внедрения команд ОС, которые можно использовать для получения административного доступа.

В конце июля C-MOR выпустила исправления, но исправила только шесть обнаруженных ошибок.

6. Исследователи Theori представили подробности CVE-2024–27394, которую они обнаружили в ядре Linux в апреле этого года.

7. QNAP выпустила семь обновлений для устранения ряда серьезных проблем в своем ПО.

Исследователи из Университета Бен-Гуриона в Негеве (Израиль) продолжают удивлять все новыми вариантами атак по сторонним каналам, представив новую под названием PIXHELL.

Как несложно догадаться по названию, PIXHELL задействует создаваемый пикселями шум экрана в качестве канала утечки информации из аудиозащищенных систем.

Как в случае с недавно продемонстрированной RAMBO, в PIXHELL также используется вредоносное ПО, развернутое на скомпрометированном хосте, для создания акустического шума в диапазоне частот от 0 до 22 кГц.

Вредоносный код использует звук, генерируемый катушками и конденсаторами, для управления частотами шума, исходящиего от экрана. Акустические сигналы могут кодировать и передавать конфиденциальную информацию.

Атака примечательна тем, что для ее проведения не требуется никакого специализированного аудиооборудования на взломанном компьютере. Вместо этого для генерации акустических сигналов используется ЖК-экран.

Внедрение вредного ПО может быть реализовано посредством инсайдера или компрометации цепочки поставок оборудования или программного обеспечения.

Другой сценарий подразумевает вовлечение ничего не подозревающего сотрудника, который подключает зараженный USB-накопитель для доставки вредоносного ПО, способного запустить скрытый канал эксфильтрации данных.

Атака стала возможной благодаря тому, что используемые ЖК-экранах в качестве компонентов и источника питания индукторы и конденсаторы при прохождении электричества через катушки способны издавать шум (т.н. свистом катушек).

В частности, изменения в энергопотреблении могут вызывать механические вибрации или пьезоэлектрические эффекты в конденсаторах, создавая слышимый шум.

Важнейшим аспектом, влияющим на модель потребления, является количество светящихся пикселей и их распределение по экрану, поскольку для отображения белых пикселей требуется больше энергии, чем для темных пикселей.

Тщательно контролируя пиксельные узоры на экране, технология позволяет генерировать определенные акустические волны на определенных частотах от ЖК-экранов.

Так что, злоумышленник может использовать эту технику для извлечения данных в виде акустических сигналов, которые затем модулируются и передаются на ближайшее устройство Windows или Android, где впоследствии они демодулируются.

При этом следует отметить, что мощность и качество излучаемого акустического сигнала зависят, помимо прочих факторов, от конкретной конструкции экрана, его внутреннего источника питания, расположения катушек и конденсаторов.

Еще один важный момент, который следует подчеркнуть, заключается в том, что атака PIXHELL по умолчанию визуально видна на ЖК-экране, поскольку подразумевает отображение растрового рисунка из чередующихся черных и белых строк.

Однако атаку можно трансформировать в скрытую, уменьшив цвета пикселей до очень низких значений перед передачей (используя уровни RGB (1,1,1), (3,3,3), (7,7,7) и (15,15,15), тем самым создавая у пользователя впечатление, что экран черный.

Как я ворвался в инфосек. Часть 6.

Подкатил сентябрьский PatchTuesday от Microsoft с исправлениями для 79 уязвимостей, включая четыре активно эксплуатируемых и одну публично раскрытую 0-day.

В целом устранено семь критических уязвимостей, связанных с RCE и EoP. Общее распределение: 30 - EoP, 4 - обход функций безопасности, 23 - RCE, 11 - раскрытие информации, 8 - DoS и 3 - спуфинг.

Среди четыре активно эксплуатируемых нулей:

- CVE-2024-38014: уязвимость в установщике Windows, которая позволяет получать привилегии SYSTEM в системах Windows.

Ошибка была обнаружена Майклом Бэром из SEC Consult Vulnerability Lab. Подробности эксплуатации не разглашаются.

- CVE-2024-38217: уязвимость обхода функции безопасности Windows Mark of the Web, раскрытая в прошлом месяце Джо Десимоном из Elastic Security и активно эксплуатировалась с 2018 года.

Реализует метод LNK-stomping, позволяющий специально созданным LNK-файлам с нестандартными целевыми путями или внутренними структурами вызывать открытие файла, обходя предупреждения безопасности Smart App Control и Mark of the Web.

- CVE-2024-38226: уязвимость обхода функции безопасности Microsoft Publisher, которая позволяет обходить средства защиты от встроенных макросов в Office. Microsoft не раскрыла, кто именно раскрыл уязвимость и как она была использована.

- CVE-2024-43491: RCE-уязвимость в Центре обновления Microsoft Windows. Ошибка Servicing Stack привела к отмене исправлений некоторых уязвимостей, влияющих на дополнительные компоненты в Windows 10 версии 1507.

Злоумышленник может воспользоваться ранее устраненными уязвимостями в системах Windows 10 версии 1507, на которых установлено мартовское обновление KB5035858 или другие, выпущенные до августа 2024 года. Все более поздние не уязвимы.

Уязвимость стека обслуживания устраняется путем установки сентябрьских обновлений стека обслуживания (SSU KB5043936) и безопасности Windows (KB5043083), именно в таком порядке.

Она затрагивает Windows 10 версии 1507 (поддержка завершилась в 2017 году) а также редакции Windows 10 Enterprise 2015 LTSB и Windows 10 IoT Enterprise 2015 LTSB (которые все еще находятся на стадии поддержки).

Проблема интересна тем, что она приводит к откату дополнительных компонентов, таких как Active Directory Lightweight Directory Services, XPS Viewer, Internet Explorer 11, LPD Print Service, IIS и Windows Media Player, к их исходным версиям RTM.

Это приводит к повторному внедрению в программу всех предыдущих CVE, которые затем могут быть использованы злоумышленниками.

Более подробная информация об уязвимостях и полный список затронутых компонентов - здесь.

Исследователи из Лаборатории Касперского продолжают кучно бомбить все новыми исследованиями, сообщая об обнаружении ранее неизвестного бэкдора Loki, который использовался в серии целевых атак в июле.

Проанализировав вредоносный файл, исследователи смогли определить, что Loki - это, по всей видимости, модифицированная версия агента Mythic Agent, фреймворка Red Team с открытым исходным кодом.

Обнаруженный ЛК агент Loki - это совместимая с Mythic версия агента для другого фреймворка, Havoc.

Модификация Loki унаследовала различные методы от Havoc для усложнения анализа агента, такие как шифрование его образа памяти, косвенный вызов функций API системы, поиск функций API по хэшам и многое другое.

Однако, в отличие от агента для Havoc, Loki был разделен на загрузчик и DLL, где реализована основная функциональность вредоносного ПО.

Обе версии агента используют алгоритм хеширования djb2 для сокрытия функций и команд API с небольшими различиями.

После выполнения загрузчик Loki формирует пакет с информацией о зараженной системе (версия ОС, внутренний IP, имя пользователя, архитектура процессора, путь к текущему процессу и его идентификатор) и отправляет его в зашифрованном виде на С2 https://y[.]nsitelecom[.]ru/certcenter.

В ответ сервер отправляет DLL, которую загрузчик помещает в память зараженного устройства - обработка команд и дальнейшее общение с сервером С2 происходит внутри этой библиотеки.

Замеченные версии используют одинаковые алгоритмы шифрования данных: сначала собранная информация шифруется алгоритмом AES, затем кодируется с помощью base64.

Каждый экземпляр вредоносного ПО имеет уникальный UUID.

В результате первого запроса к C2 возвращается полезная нагрузка в виде DLL с двумя экспортированными функциями: стандартной точкой входа DllMain и функцией Start, которую загрузчик вызывает для передачи дальнейшего управления библиотеке.

Проведя детальный анализ, исследователям удалось обнаружить около 15 версий загрузчика и два активных C2, и в конечном итоге получить образец основного модуля из майской версии.

Основной модуль, как и загрузчик, основан на версии агента Havoc, но список поддерживаемых команд частично заимствован из других агентов Mythic.

Он не хранится в виде простого текста в DLL, вместо этого в коде библиотеки указывается ряд хэшей. Когда с сервера поступает команда, ее имя хэшируется и сравнивается с хэшем, хранящимся в DLL.

Сам агент не поддерживает туннелирование трафика, поэтому для доступа к частным сегментам сети злоумышленники используют сторонние общедоступные утилиты: ngrok и gTunnel.

Как отмечают в ЛК, с этой угрозой уже столкнулись более десятка российских компаний из разных отраслей, включая машиностроение и здравоохранение, однако число потенциальных жертв может быть больше.

В виду недостаточности данных отнести Loki к какой-либо группе не удалось, индикаторы компрометации - в отчете.

Исследователи Sophos отследили три связанных с КНР кластера угроз, нацеленных на правительственные организации в Юго-Восточной Азии в рамках операции кибершпионажа под названием Crimson Palace.

Наблюдаемое исследователями кибернаступление включает следующие security threat activity cluster (STAC): Cluster Alpha (STAC1248), Cluster Bravo (STAC1870) и Cluster Charlie (STAC1305).

Как отмечают в Sophos, злоумышленники постоянно использовали другие взломанные корпоративные и государственные сети в регионе в качестве ретрансляционной точки C2 для доставки вредоносного ПО и инструментов.

Crimson Palace была впервые задокументирована в начале июня 2024 года, а атаки происходили в период с марта 2023 года по апрель 2024 года.

Первоначальная активность, связанная с Bravo, который пересекается с группой угроз Unfading Sea Haze, была ограничена мартом 2023 года. Однако в период с января по июнь 2024 года была зафиксирована новая волна атак, нацеленная на 11 других организаций и агентств в том же регионе.

В период с сентября 2023 года по июнь 2024 года был также выявлен ряд атак, организованных кластером Cluster Charlie (или Earth Longzhi).

Некоторые из них также включали развертывание различных фреймворков C2, таких как Cobalt Strike, Havoc и XieBroC2, для реализации последующей эксплуатации и доставки дополнительных полезных нагрузок, в том числе SharpHound.

Основная цель осталась прежней - кибершпионаж. Однако большая часть усилий, по-видимому, была сосредоточена на расширении присутствия в целевой сети путем обхода EDR и быстрого восстановления доступа, когда их импланты C2 блокировались.

Другим важным аспектом является задействование Cluster Charlie метода перехвата DLL для выполнения вредоносного ПО, который ранее применялся злоумышленниками, стоящими за Cluster Alpha, что указывает на перекрестные TTPs.

Среди других задействуемых злоумышленниками ПО с открытым исходным кодом - RealBlindingEDR и Alcatraz, которые позволяют деактивировать антивирусные процессы и скрывать переносимые исполняемые файлы (exe, dll и sys).

Завершает арсенал вредоносного ПО кластера ранее неизвестный кейлоггер под названием TattleTale, который был первоначально обнаружен в августе 2023 года и способен собирать данные браузеров Google Chrome и Microsoft Edge.

Вредоносная ПО может фиксировать данные взломанной системы и проверять наличие подключенных физических и сетевых дисков, выдавая себя за вошедшего в систему пользователя.

TattleTale также осуществляет сбор сведений в отношении контроллера домена и крадет LSA, которая, как известно, содержит конфиденциальную информацию, связанную с политиками паролей и настройками безопасности.

Таким образом, установлено, что все три кластера работают сообща, одновременно сосредотачиваясь на конкретных задачах в цепочке атак: проникновение в целевые среды и проведение разведки (Alpha), глубокое проникновение в сети с использованием различных механизмов C2 (Bravo) и извлечение ценных данных (Charlie).

Sekoia представила отчет в отношении ботнета Quad7, который активно эволюционирует, атакуя с помощью нового вредоносного ПО для VPN-устройств Zyxel, беспроводных маршрутизаторов Ruckus и медиасерверов Axentra.

Замеченные новшества в работе Quad7 показывает, что его разработчики учли имевшиеся ошибки, выявленные исседователями, и теперь реализуют переход в сторону более скрытных технологий.

Основная цель Quad7 остается до сих загадкой, есть лишь предположения о возможности его задействования в бруте паролей на VPN, Telnet, SSH и учетных записей Microsoft 365.

Ботнет Quad7 состоит из нескольких подкластеров, идентифицированных как варианты *login, каждый из которых нацелен на определенные устройства и отображает свой приветственный баннер при подключении к порту Telnet.

Полный список вредоносных кластеров состоит из:
- xlogin – Telnet, привязанный к TCP-порту 7777 на маршрутизаторах TP-Link
- alogin – Telnet привязан к TCP-порту 63256 на маршрутизаторах ASUS
- rlogin – Telnet, привязанный к TCP-порту 63210 на беспроводных устройствах Ruckus
- axlogin – баннер Telnet на устройствах Axentra NAS
- zylogin – Telnet, привязанный к TCP-порту 3256 на устройствах Zyxel VPN.

Некоторые из кластеров, такие как xlogin и alogin затрагивают до нескольких тысяч устройств. Другие, недавно появившиеся, такие как rlogin и zylogin, насчитывают значительно меньше - 298 и 2 заражения соответственно, а axlogin - вовсе по нулям.

Тем не менее, эти новые подкластеры в самое ближайшее время могут выйти из экспериментальной фазы или переключиться на новые уязвимости, нацеленные на более распространенные модели.

Последние результаты исследования Sekoia показывают, что ботнет Quad7 значительно усовершенствовал свои методы и тактику коммуникации, сосредоточившись на уклонении от обнаружения и повышении эффективности работы.

Во-первых, постепенно прекращается использование открытых прокси-серверов SOCKS, в которых ботнет активно использовал предыдущие версии для ретрансляции вредоносного трафика.

Вместо этого операторы Quad7 теперь используют протокол связи KCP для ретрансляции атак с помощью инструмента FsyNet, который осуществляет связь по протоколу UDP, что значительно затрудняет отслеживание.

Кроме того, злоумышленники теперь используют новый бэкдор под названием UPDTAE, который устанавливает обратные HTTP-оболочки для удаленного управления зараженными устройствами, позволяя операторам управлять устройствами, не раскрывая интерфейсы входа в систему и не оставляя открытыми порты.

Также разработчиками ведутся эксперименты с новым двоичным файлом netd, который использует протокол CJD route2, так что, скорее всего, на подходе еще более скрытый механизм связи.

Будем посмотреть.

Однажды Генри Форд раскрыл свой секрет успеха, отметив, что он заключается в умении понять точку зрения другого человека и смотреть на вещи и с его, и со своей точек зрения.

По все видимости, в Ford решили буквально проследовать совету своего основателя и намерены запатентовать рекламно-ориентированную систему, которая будет прослушивать все разговоры в автомобиле для последующей выдачи персонализированной рекламы.

Так что можно смело констатировать, что ситуация с прослушиванием, похоже, выходит на новый уровень после недавней публикации патента Ford Global Technologies, в котором описаны системы и методы, помогающие показывать более целевую рекламу.

В документе также четко раскрывается, что для достижения этой цели новая технология будет прослушивать разговоры водителя и пассажиров в транспортном средстве.

Также будут анализироваться такие данные, как местонахождение транспортного средства, его скорость, по какой дороге оно движется и находится ли автомобиль в пробке.

Система будет использовать информацию о пункте назначения и истории передвижения авто, чтобы более эффективно определять, какие рекламные объявления и какой продолжительности отображать для водителя.

Прослушивание разговоров пассажиров также поможет компании узнать, как они реагируют на рекламу, и в какое время лучше всего показывать ее через мультимедиа и системы HMI, установленные в автомобиле.

Например, система сможет сокращать количество рекламных объявлений, когда люди в машине разговаривают, или показывать их, когда в салоне автомобиля тихо.

При этом в патенте не указано, каким образом собранные данные будут защищены. Пока еще рано говорить о том, будет ли вообще такая система реализована в будущем, на данном этапе речь идет лишь про патент.

Но будем, конечно, посмотреть.

Подкатили обновления ведущих поставщиков промышленных систем управления (ICS).

Siemens опубликовала 17 новых рекомендаций, некоторые из которых теперь включают оценки CVSS 4.0.

Наиболее серьезной из уязвимостей с оценкой 10 из 10 является критическая проблема обхода аутентификации в продукте Industrial Edge Management (все версии < V1.9.5).

Эта уязвимость может позволить неаутентифицированному удаленному злоумышленнику выдавать себя за другие устройства, подключенные к системе.

В список критических уязвимостей также вошли уязвимости неаутентифицированного удаленного выполнения кода в продуктах Simatic и уязвимость внедрения кода в продуктах Scalance W.

Другие потенциально серьезные недостатки с рейтингом критическим и высоким уровнем серьезности включают ошибки DoS в Automation License Manager и Sicam, проблему EoP в Sinumerik, проблему RCE в Sinema Remote Connect Client, а также RCE и DoS - в Tecnomatix Plant Simulation.

В различных продуктах Simatic были обнаружены DoS-ошибки высокой степени серьезности. Проблемы средней степени серьезности были устранены в продуктах Sinumerik, Sinema и Mendix.

Компания Siemens еще не выпустила исправления для некоторых из этих уязвимостей, но доступны способы их устранения и обходные пути.

Schneider Electric выпустила два новых бюллетеня для двух уязвимостей, одна из которых — это EoP высокой степени серьезности в Vijeo Designer.

Вторая уязвимость - это ошибка XSS средней степени серьезности, которую может использовать аутентифицированный злоумышленник.

Компания ABB представила один информационный бюллетень, информирующий о двух проблемах DoS средней степени серьезности в защитных реле Relion.

Кроме того, следует обратить внимание на три критические и высокосерьёзные уязвимости в Viessmann Climate Solutions SE.

Уязвимости связаны с жёстко закодированными учётными данными, принудительным просмотром и внедрением команд, а PoC находится в открытом доступе.

И, наконец, еще три: серьезная уязвимость загрузки файлов в веб-сервере SpiderControl SCADA, серьезная ошибка DoS в Rockwell Automation SequenceManager и проблема раскрытия информации средней степени серьезности в приложениях BPL Medical Technologies для Android.

Продолжаем отслеживать наиболее серьезные уязвимости:

1. CVE-2024-43102 с CVSS Sore 10: уязвимость Use-After-Free в FreeBSD во всех поддерживаемых версиях может привести к полной компрометации системы.

Параллельное удаление определенных анонимных сопоставлений разделяемой памяти с помощью подзапроса UMTX_SHM_DESTRUCTION UMTX_OP_SHM приводит к слишком частому уменьшению количества ссылок объекта, представляющего сопоставление, что приведет к его слишком раннему освобождению.

Вредоносный код, выполняющий подзапрос UMTX_SHM_DESTRUCTION параллельно, может вызвать панику в ядре или разрешить дальнейшие атаки Use-After-Free, потенциально включая выполнение кода или выход из песочницы Capsicum.

Обходного пути не существует, следует обновить уязвимую систему до поддерживаемой стабильной версии FreeBSD.

2. Adobe Patch Tuesday устраняет многочисленные уязвимости в продуктах компании, включая критические недостатки, которые могут позволить злоумышленникам выполнить произвольный код в системах Windows и macOS.

Наиболее серьезными являются две критические ошибки повреждения памяти в Acrobat и PDF Reader: нуль CVE-2024-41869 (CVSS 7,8) и CVE-2024-45112 (CVSS 8,6).

CVE-2024-41869 - это проблема Use After Free, а недостаток CVE-2024-45112 - ошибка Type Confusion.

Злоумышленник может использовать эти уязвимости для выполнения произвольного кода. В последних версиях ПО эти недостатки уже исправлены.

0-day в Acrobat Reader была обнаружена в июне с помощью платформы EXPMON исследователем Хайфэем Ли.

Как удалось выяснить исследователю, PoC-эксплойт для нее в наличии, но находится в стадии разработки.

Ли намерен опубликовать подробности обнаружения ошибки в блоге EXPMON, а также дополнительную техническую информацию в предстоящем отчете Check Point Research.

3. Ivanti исправила уязвимость максимальной степени серьезности в своем ПО для управления конечными точками EPM, которая позволяет неавторизованным злоумышленникам удаленно выполнять код на основном сервере.

Уязвимость (CVE-2024-29847) вызвана проблемой десериализации ненадежных данных в портале агента, которая была устранена в исправлениях Ivanti EPM 2024 и обновлении службы Ivanti EPM 2022 6 (SU6).

На данный момент Ivanti не известно о каких-либо случаях эксплуатации уязвимостей, но учитывая репутацию вендора по этой части - не следует этого исключать.