Радовавший киберподполье серьезными инцидентами с многомиллионной утечкой National Public Data и взломом портала по обмену информации InfraGard ФБР США хакер USDoD (aka EquationCorp) кончился, его арестовали в Бразилии.

Новость, конечно, не новость, ведь ранее мы уже сообщали, что тяга к самопиару и тщеславие в совокупности с дырявой OpSec вывели исследователей на след хакера.

Найти его физически, как видно, не составило особого труда.

Напоследок USDoD успел копнуть в CrowdStrike и слил их списки МОК в сеть, что стало роковым событием, после которого бразильское издательство Techmundo получило анонимный отчет от исследователей с данными о личности злоумышленника.

При этом как ни странно, USDoD в интервью HackRead подтвердил информацию CrowdStrike и сообщил, что он реально проживает в Бразилии.

Вероятно, воспользовавшись этой информацией, Федеральная полиция Бразилии (PF) реализовала поимку хакера, после чего отрапортовала о его аресте в Белу-Оризонти.

Официально поводом для задержания и проведения обыска по месту жительства стали инциденты от 22 мая 2020 года и 22 февраля 2022 года, когда USDoD слил данные местных полицейских.

В ответ силовики инициировали Operation Data Breach, так что теперь USDoD грозит до 7 лет тюрьмы, но почему-то кажется, что сидеть он будет все же не будет, возможно только на бумаге.

Но будем посмотреть.

Немного об атрибуции в западном инфосеке.

Много раз наблюдали как «уважаемые» представители ИБ-сообщества приписывали те или иные угрозы, основываясь на передовых принципах атрибуции, разработанные нашим каналом.

Так, исследователи TrueSec или CyberCX (и не только они) били себя в грудь и утверждали, что о принадлежности Anonymous Sudan к России.

В свою очередь, мы всегда твердо стояли на позиции, что Anonymous Sudan - это верные сыны суданского народа, вставшие на путь праведной кибервойны с мировым колониализмом, и даже тогда, когда хактивисты вместе с KILLNET параллизовали инфраструктуру ЕЦБ.

И, cобственно, не ошиблись, Минюст США не дал соврать, обнародовав обвинительное заключение в отношении двух братьев из Судана, которые подозреваются в причастности к деятельности группы и более 35 000 DDoS-атакам, реализованным с момента запуска в 2023 году.

Многие из их атак были политически мотивированы, затронув известные компании и сервисы, включая таких технологических гигантов, как Cloudflare, Microsoft и OpenAI, а также правительственные учреждения и организаций здравоохранения по всему миру.

Под силовой пресс попали два гражданина Судана по имени Ахмед Салах Юсиф Омер, 22 года, и Алаа Салах Юсуф Омер, 27 лет, которым вменяют управление и контроль над Anonymous Sudan.

Гособвинитель, прокурор США, Мартин Эстрада сообщил на пресс-конференции, что Anonymous Sudan классифицируется как «самая опасная кибергруппа с точки зрения DDoS-атак».

Суданцы были задержаны еще в марте, когда спецслужбам удалось захватить инфраструктуру Anonymous Sudan.

Правда, выдавшая хакеров страна не называется, при этом они не находятся под стражей в США, но допрашивало их ФБР.

В отличие от других, Anonymous Sudan не компрометировали устройства для задействования их в атаках.

Вместо этого они использовали инструменты Skynet Botnet или DCAT, которые полагались на открытые прокси-серверы для подавления целевых серверов.

Оба подозреваемых теперь обвиняются в сговоре с целью повреждения защищенных компьютеров, а Ахмед Омер также обвиняется по трем пунктам в повреждении защищенных компьютеров.

Ему грозит максимальное пожизненное заключение «за безрассудное создание угрозы жизни» в результате нападения на больницу Cedars-Sinai, что может стать первым случаем использования такого закона в практике по киберпреступлениям в США.

Уверены, Anonymous Sudan еще вернется. No pasaran ✊

Критическая уязвимость в Kubernetes может привести к несанкционированному доступу по SSH к виртуальной машине, на которой запущен образ, созданный с помощью Kubernetes Image Builder.

Согласно рекомендациям по безопасности, критическая уязвимость затрагивает образы виртуальных машин, созданные с помощью поставщика Proxmox в Image Builder версии 0.1.37 или более ранней.

Проблема отслеживается как CVE-2024-9486 и обусловлена использованием учетных данных по умолчанию, которые включены в процессе создания образа и не отключаются впоследствии.

Злоумышленник, зная об этом, может подключиться по SSH-соединению и использовать эти учетные данные для получения доступа с привилегиями root к уязвимым виртуальным машинам.

Решением является пересборка затронутых образов виртуальных машин с помощью Kubernetes Image Builder версии v0.1.38 или более поздней, который устанавливает случайно сгенерированный пароль во время процесса сборки, а также отключает учетную запись сборщика по умолчанию.

Если в данный момент обновление невозможно, временным решением является отключение учетной записи сборщика с помощью команды: usermod -L builder.

Более подробную информацию о мерах по смягчению последствий и о том, как проверить, затронута ли ваша система, можно найти на GitHub.

Причем та же проблема характерна и для образов, созданных с помощью Nutanix, OVA, QEMU или raw, но она имеет средний уровень серьезности из-за дополнительных требований для успешной эксплуатации.

Уязвимость также идентифицирована как CVE-2024-9594.

В частности, она может быть использована только в процессе сборки и требует, чтобы злоумышленник получил доступ к виртуальной машине, создающей образ, и выполнил определенные действия для сохранения учетных данных по умолчанию, что позволит получить доступ в будущем.

Те же самые рекомендации по исправлению и смягчению последствий применимы и к CVE-2024-9594.

Аналитики принадлежащей Google Mandiant сообщают о новой тревожной тенденции, связанной с тем, что злоумышленники демонстрируют более высокий уровень возможностей по обнаружению и использованию 0-day в программном обеспечении.

По данным Mandiant, из 138 уязвимостей, которые были раскрыты как активно эксплуатируемые в 2023 году, 97 (70,3%) были использованы как нули в атаках еще до того, как затронутые поставщики узнали о существовании ошибок или смогли бы их исправить.

С 2020 по 2022 год соотношение между n-днями (исправленные уязвимости) и нулевыми днями (отсутствие исправления) оставалось относительно стабильным и составляло 4:6, но в 2023 году соотношение изменилось до 3:7.

Причем это связано не с уменьшением количества эксплуатируемых n-day, а с ростом числа эксплуатируемых нулей и улучшением возможностей поставщиков средств безопасности по их обнаружению.

Рост вредоносной активности и диверсификация целевых продуктов также отражаются в количестве поставщиков, затронутых активно эксплуатируемыми уязвимостями, которое возросло в 2023 году до рекордных 56 по сравнению с 44 в 2022 году.

Другим важным трендом стало сокращение времени, необходимого для эксплуатации TTE недавно обнаруженной уязвимости (n-day или 0-day), - до пяти дней!

Для сравнения, в 2018-2019 годах TTE составлял 63 дня, а в 2021-2022 годах - 32 дня, что давало достаточно времени для планирования и применения исправлений или внедрения мер по смягчению последствий для защиты затронутых систем.

Однако теперь, когда TTE сократилось до 5 дней, такие стратегии, как сегментация сети, обнаружение в реальном времени и оперативное определение приоритетов исправлений, выходят на первый план.

В связи с этим Google больше не видит корреляции между раскрытием эксплойтов и TTE.

В 2023 году 75% эксплойтов были обнародованы до начала их эксплуатации в реальных условиях, а 25% были выпущены после того, как хакеры уже начали использовать уязвимости.

В отчете приведены два примера, демонстрирующие отсутствие взаимосвязи между доступностью эксплойтов и вредоносной активностью: CVE-2023-28121 (плагин WordPress) и CVE-2023-27997 (Fortinet FortiOS).

В первом случае эксплуатация началась через три месяца после раскрытия информации и через десять дней после публикации PoC, а в случае FortiOS - практически сразу была использована в PoC, но первый случай вредоносной эксплуатации был зафиксирован четыре месяца спустя.

Сложность эксплуатации, мотивация субъекта угрозы, целевая ценность и общая сложность атаки - все это продолжает играть роль в TTE, однако какую-либо корреляцию с доступностью PoC теперь можно не учитывать вовсе.

Исследователи Trend Micro сообщают об обнаружении злоумышленников, предпринимающих попытки интегрировать инструмент с открытым исходным кодом EDRSilencer в свои атаки, используя его как средство уклонения от обнаружения.

EDRSilencer, созданный по образцу инструмента NightHawk FireBlock от MDSec, предназначен для блокировки исходящего трафика запущенных процессов EDR с использованием платформы фильтрации Windows (WFP).

Он поддерживает завершение различных процессов, связанных с продуктами EDR от Microsoft, Elastic, Trellix, Qualys, SentinelOne, Cybereason, Broadcom Carbon Black, Tanium, Palo Alto Networks, Fortinet, Cisco, ESET, HarfangLab и Trend Micro.

Основной целью задействования таких легальных инструментов Red Teaming в арсенал является необходимость нейтрализации программного обеспечения EDR и значительно усложнения выявление вредоносного ПО.

Как отмечают в Trend Micro, WFP - это довольно мощная структура, встроенная в Windows для создания сетевых фильтров и приложений безопасности, используемая в брандмауэрах, антивирусном ПО и других решениях безопасности для защиты систем и сетей.

Она предоставляет API-интерфейсы разработчикам для определения пользовательских правил мониторинга, блокировки или изменения сетевого трафика на основе различных критериев, таких как IP-адреса, порты, протоколы и приложения.

EDRSilencer использует все преимущества WFP, динамически определяя запущенные процессы EDR и создавая постоянные фильтры для блокировки их исходящих сетевых соединений как по IPv4, так и по IPv6, тем самым не позволяя ПО безопасности отправлять телеметрию на их консоли управления.

Атака по сути работает путем сканирования системы для сбора списка запущенных процессов, связанных с распространенными продуктами EDR, с последующим запуском EDRSilencer с аргументом «blockedr» (например, EDRSilencer.exe blockedr) для блокирования исходящего трафика от этих процессов путем настройки фильтров WFP.

Тесты TrendMicro с EDRSilencer показали, что некоторые из затронутых инструментов EDR все равно могут отправлять отчеты, поскольку один или несколько их исполняемых файлов не включены в жестко заданный список инструмента Red Team.

Однако EDRSilencer реализует возможность добавлять фильтры для определенных процессов, предоставляя пути к файлам, поэтому можно расширить список целевых процессов, чтобы охватить различные инструменты безопасности.

Это позволяет вредоносному ПО или другой активности оставаться незамеченными, увеличивая вероятность успешных атак без обнаружения или вмешательства, что подчеркивает наметившуюся тенденцию к поиску киберподпольем наболее эффективных инструментов для своих атак, особенно по части отключения антивирусных и EDR-решений.

Исследователи сингапурской Group-IB расчехлили зарождающуюся RaaS под названием Cicada3301 после успешного получения доступа к партнерской панели группы в даркнете.

Group-IB удалось выйти на связь с хакером под псевдонимом Cicada3301 на форуме RAMP через службу обмена сообщениями Tox после того, как банда разместила рекламу с предложением к новым партнерам присоединиться к в своей партнерской программе.

Cicada3301 запустила партнерскую программу по набору тестировщиков на проникновение (пентестеров) и брокеров доступа, предлагая комиссию в размере 20% и предоставляя веб-панель с обширными функциями.

В панели инструментов операторов банды вымогателей Cicada3301 содержались такие разделы, как панель инструментов, новости, компании, чат компаний, чат поддержки, учетная запись, раздел FAQ и выход из системы.

Cicada3301 впервые засветилась в июне 2024 года, когда инфосек-сообщество обнаружило сильное сходство исходного кода с ныне несуществующей группой вымогателей BlackCat

По оценкам, схема RaaS привела к компрометации не менее 30 организаций в критически важных секторах, большинство из которых находятся в США и Великобритании.

Программа-вымогатель на основе Rust является кроссплатформенной и позволяет ее операторам атаковать устройства под управлением Windows, Linux Ubuntu, Debian, CentOS, Rocky Linux, Scientific Linux, SUSE, Fedora, ESXi, NAS, PowerPC, PowerPC64 и PowerPC64LE.

Как и другие штаммы ransomware, атаки с участием Cicada3301 способны полностью или частично шифровать файлы, но не раньше, чем выключаются виртуальные машины, блокируется восстановление системы, завершаются процессы и службы, удаляются теневые копии.

Штамм также способен шифровать сетевые ресурсы для максимального воздействия. Все это позволило Cicada3301 быстро зарекомендовать себя как серьезную угрозу в сфере программ-вымогателей благодаря своим сложным операциям и передовым инструментам.

Используя шифрование ChaCha20 + RSA с настраиваемыми режимами и предлагая настраиваемую партнерскую панель, Cicada3301 обеспечивает своим операторам осуществлять эффективные таргетированные атаки.

При этом схема двойного вымогательства с извлечениюем данных перед шифрованием добавляет дополнительный уровень давления на жертв, в то время как возможность блокировать работу виртуальных машин увеличивает воздействие их атак.

Технические подробности, IOC и рекомендации - в отчете.

Microsoft раскрыла новую уязвимость macOS, которую злоумышленники могут использовать для получения несанкционированного доступа к защищенным данным.

На компьютерах Mac используется технология прозрачности, согласия и контроля TCC, которая не позволяет приложениям получать доступ к личной информации пользователей, такой как местоположение, история просмотров, камера, микрофон и тд., без их согласия.

Исследователи из Microsoft Threat Intelligence обнаружили обход, который снимает защиту TCC для каталога браузера Safari.

Недостаток, получивший кодовое название HM Surf, отслеживается как CVE-2024-44133.

Он после ответственного раскрытия информации был устранен Apple в рамках macOS Sequoia 15 путем удаления уязвимого кода.

При этом Microsoft уже обнаружила вредоносную активность, связанную с Adload, распространенным семейством угроз macOS, потенциально эксплуатирующим эту уязвимость

Обычно любое приложение на macOS запрашивает у пользователя разрешение на доступ к конфиденциальным сервисам или данным.

Однако Safari может свободно получать доступ к адресной книге, камере, микрофону и многому другому, используя com.apple.private.tcc.allow.

По умолчанию Safari по-прежнему отображает всплывающее окно при попытке доступа к этим функциям, но злоумышленники могут удалить защиту TCC для каталога Safari, изменив файлы конфигурации.

Если пользователь затем откроет вредоносную веб-страницу, злоумышленники смогут сделать снимки камеры или отследить местоположение устройства.

В реальном сценарии злоумышленник может действовать скрытно, например, запустить Safari в очень маленьком окне, чтобы не привлекать внимания, и затем выкрасть конфиденциальные данные.

Исследователи Microsoft наблюдали, как злоумышленники использовали Adload для обнаружения текущей версии macOS, получения идентификаторов пользователей, проверки паролей, добавления обходов для доступа к микрофону и камере и запуска загрузчиков.

Правда пока неясно, использовалась ли в этой кампании уязвимость напрямую.

Тем не менее Apple реализовала дополнительные меры защиты файлов конфигурации от изменения внешними злоумышленниками, устранив класс уязвимости.

Исследователи из Лаборатории Касперского раскрывают подробности связанной с группой TA569 продолжительной кампании под названием Horns&Hooves, разбирая различные варианты доставки и использования легитимного ПО для вредоносных целей.

В последние месяцы фиксировался значительный рост рассылок с достаточно однотипными вложениями в письмах, представляющими собой ZIP-архивы со скриптами JScript.

Файлы скриптов маскируются под запросы и заявки от потенциальных клиентов или партнеров.

По данным телеметрии, кампания началась в марте 2023 года и затронула больше тысячи частных пользователей, торговых предприятий и предприятий в сфере услуг, расположенных преимущественно в России.

Причем в ходе кампании злоумышленники меняли некоторые свои TTPs, активно экспериментируя с новыми инструментами.

За время существования кампании злоумышленники несколько раз значительно изменили вредоносный скрипт, сохранив при этом метод распространения.

В самых ранних версиях, вместо JS-скриптов использовались скрипты с расширением HTA.

Кроме того, они постепенно уходили от использования дополнительных серверов для доставки полезной нагрузки, в итоге оставив только два, которые используются самим ПО для удаленного администрирования.

Сначала атакующие добавили в свой арсенал BurnsRAT, а затем отказались от него, а весь необходимый программный код для установки и запуска NetSupport RAT перенесли в один единственный скрипт.

Вероятно, злоумышленники рассматривают такой подход более эффективным как с точки зрения разработки, так и в плане сложности обнаружения.

Установка BurnsRAT или NetSupport RAT является лишь промежуточным звеном в атаке, предоставляющим злоумышленникам удаленный доступ к компьютеру.

В ряде наблюдаемых случаев были замечены попытки использовать NetSupport RAT для установки таких стилеров, как Rhadamanthys и Meduza.

При этом, как правило, причастная к атакам TA569 получает доступ к организациям, чтобы в дальнейшем реализовать его в киберподполье другим злоумышленникам, действия которых могут варьироваться от кражи данных до шифрования систем.

Вместе с тем, допускается также и то, что злоумышленники могут собирать различные документы и электронные адреса для дальнейшего развития кампании, поскольку самые ранние скрипты вместо NetSupport RAT распространяли Rhadamanthys.

Индикаторы компрометации и подробный технический разбор всех вариантов рассылок - в отчете.

Пекин продолжает прессинг, выступив с новыми публичными разоблачениями в адрес АНБ США и требованиями проведения прозрачного расследования.

Китайская ассоциация кибербезопасности (CSAC) обвинила компанию Intel во внедрении бэкдоров в процессоры по указанию АНБ США (NSA).

Документ CSAC повествует об участившихся уязвимостях в процессорах Intel (Downfall, Reptar, GhostRace, NativeBHI и Indirector) и указывает на низкую надежность продукции, разработчики которой предпочитают игнорировать какие-либо жалобы со стороны пользователей по поводу сбоев.

Как считает китайский регулятор, выявленные преднамереные уязвимости в процессорах Intel представляют собой серьёзную угрозу для безопасности национальная критической информационной инфраструктуры.

CSAC отмечает, что в процессорах Intel, начиная с 2008 года, реализована технология Management Engine (ME), которая является частью широко разрекламированной технологии Active Management Technology и позволяет удалённо выполнять различные команды на компьютере.

Причем в случае активации ME при наличии доступа в сеть к хосту может быть получен удаленный доступ вне зависимости от установки на нем ОС.

Фактически ME - это бэкдор, который позволяет получить полный доступ к памяти, обходить брандмауэры операционной системы, отправлять и получать сетевые пакеты без ведома пользователя, который, в свою очередь, не может отключить функцию.

При этом в самой AMT, реализованной на основе технологии ME, в 2017 году была вскрыта высокосерьезная уязвимость (CVE-2017-5689), позволявшая обойти механизм аутентификации и войти в систему напрямую, получая наивысшие привилегии.

Кроме того, в отчете CSAC упоминается работа Позитивов, которые в 2017 году обнаружили скрытый Kill Switch, предположительно, созданный по инициативе АНБ и находившийся в HAP (High Assurance Platform), о чем в официальной документации ни слова.

Переключатель позволяет NSA отключать ME на устройствах в США, в то время как во всём остальном мире ME продолжает функционировать, оставляя другие системы потенциально уязвимыми.

В общем, баталии между США и Китаем не утихают, а Intel, чья значительная часть выручки приходится на Поднебесную, рискует стать сакральной жертвой этого противостояния в случае расследования кейса с бэкдорами.

Так что будем следить.

Эксклюзивного партнера ESET в Израиле взломали для реализации рассылки фишинговых писем в адрес израильских компаний, распространяя вайпер, замаскированный под антивирусное ПО.

Фишинговая кампания началась 8 октября с использованием легитимного домена eset.co.il и включала электронные письма с официальным логотипом ESET.

При этом омен eset.co.il маркирован контентом и логотипами ESET, однако, по заявлениям компании, им управляет Comsecure, ее дистрибьютор в Израиле.

Письма от якобы ESET's Advanced Threat Defense Team, предупреждающие клиентов о попытках атак устройства получателя со стороны APT, а для защиты предлагался более продвинутый антивирусный инструмент под названием ESET Unleashed для установки на любых 5 устройствах.

Заголовки фишинговых писем указывали на то, что письмо было отправлено с легитимных почтовых серверов eset.co.il, прошедших аутентификацию SPF, DKIM и DMARC.

Для большей легитимности ссылка на загрузку была размещена на домене eset.co.il по следующим UR: https://backend.store.eset.co[.]il/pub/2eb524d79ce77d5857abe1fe4399a58d/ESETUnleashed_081024.zip (в настоящее время отключены).

ZIP-архив (VirusTotal) содержит четыре файла DLL, подписанных цифровой подписью легитимного сертификата подписи кода ESET, включая и файл Setup.exe, который не подписан.

Четыре DLL являются легитимными файлами, распространяемыми как часть антивирусного ПО ESET, а Setup.exe (VirusTotal) является вредоносным вайпером.

Исследователю Кевину Бомонту удалось добиться его запуска на физическом ПК и изучить поведение, заметив множество очевидных приемов для уклонения от обнаружения.

На данный момент неизвестно, сколько компаний подверглось атаке этой фишинговой кампании и каким образом была взломана Comsecure, а равно не удалось и приписать ее какому-либо субъекту угроз.

Будем следить.

Журналисты The Intercept сообщают о намерениях Министерства обороны США привлечь на подряд разработчика, способного создавать правдоподобные Интернет-личности посредством технологии deepfake в фото, видео и аудио форматах.

Об этом стало известно в результате анализа документации по объявленым госзакупкам.

Причем главное требование - умение создавать фейковые интернет-пользователей, настолько убедительных, чтобы раскрыть подделку не смогли ни специалисты, ни программные средства.

Главный бенефициар технологии - объединенное командования специальных операций Министерства обороны (JSOC), который «заинтересован в технологиях, способных генерировать убедительные онлайн-персоны для использования на платформах соцсетей, социальных медиа и другом онлайн-контенте.

При этом каждый из фейков должен иметь «множество выражений» и «фотографии, соответствующих требованиям государственного удостоверения личности».

В дополнение к статичным фото в документе отмечается, что «решение должно включать изображения лица и фона, видео лица и фона, аудиослои» и возможность генерации «селфи-видео», а реализующий виртуальную среду фон не должен детектироваться алгоритмами социальных сетей.

В общем, пока одной рукой штаты пытаются координировать борьбу с синтетическими медиа в формате deepfake, другой - подтягивают наиболее передовые разработки в этой сфере.

Так что все байки про операции влияния и дезинформацию - лишь мишура, в реальности - дядя Сэм давно умеет и в spyware, и в deepfake, и в бэкдоры от поставщика.

Путешествуете по Европе и не знаете, что за вами следят - ошибка, теперь даже по походке - фатальная ошибка.

Стартовала финансируемая Европейской комиссией пилотная программа по распознаванию походки для идентификации и отслеживания лиц, пересекающих границы Европейского Союза.

Инициатива под названием PopEye Project получила поддержку в виде гранта в размере 3,2 млн евро (3,5 млн долларов США), который обеспечит тестирование технологии изучения уникального стиля ходьбы на протяжении трех последующих лет.

По данным TechTransfer и швейцарского исследовательского института Idiap грант реализован через Horizon Europe, структуру для финансирования исследований и инноваций в рамках ЕС.

Эксперимент с внедрением PopEye на внешних границах ЕС призван на практике обкатать разработанные биометрические технологии для проверки и идентификации в сочетании с распознаванием походки.

Технология позволит правоохранительным органам и пограничным службам контролировать поток людей в движении, не останавливая их, на расстоянии до 200 метров в различных условиях окружающей среды, в том числе на открытой местности и транспорте.

Как отмечает издание Biometric Update, в основу PopEye легло исследование Frontex от 2021 года, в котором признается, что технология распознавания походки сама по себе может быть менее точной, но в сочетании с 3D-распознаванием лиц может обеспечить проверку «на ходу».

При этом проект PopEye позиционируется как сохраняющий конфиденциальность и несет для путешественников одни только плюсы, полностью соответствуя Закону ЕС об ИИ и Общему регламенту по защите данных (можно выдохнуть).

В общем, киберпанк, который мы заслужили.

Исследователи из Лаборатории Касперского отследили еще одну группу, известную как Crypt Ghouls, которая связана с серией кибератак, нацеленных на российские предприятия и государственные учреждения с использованием ransomware.

Жертвами замеченных атак стали госучреждения, а также горнодобывающие, энергетические, финансовые и розничные компании на территории России.

Причем расследование указывает на ее взаимосвязь с другими активными на текущий момент проукраинскими группами, нацеленными на Россию, включая MorLock, BlackJack, Twelve и Shedding Zmiy (он же ExCobalt).

Пересечения наблюдаются не только в индикаторах компрометации и инструментарии, но и в TTPs. Более того, в атаках частично совпадает инфраструктура.

Все это говорит о том, что действующие группировки делятся не только знаниями, но и инструментарием. 

В арсенале группы имеются такие инструменты, как Mimikatz, XenAllPasswordPro, PingCastle, Localtonet, resocks, AnyDesk, PsExec, dumper.ps1, MiniDump, бэкдор CobInt и др., а в качестве конечной нагрузки были использованы уже всем известные LockBit 3.0 и Babuk.

Исследователям удалось определить первоначальный вектор вторжения только в двух случаях, когда злоумышленники использовали учетные данные подрядчика для подключения к внутренним системам через VPN.

При этом VPN-подключения исходили с IP, связанных с сетью российского хостинг-провайдера и сетью подрядчика, что указывает на попытку остаться незамеченным.

Вероятно, сети подрядчиков были взломаны через VPN либо через неисправленные уязвимости.

Для сохранения доступа к системе атакующие применяли утилиты NSSM и Localtonet, а последующая эксплуатация реализуется с помощью уже названных инструментов.

Атаки завершаются шифрованием системных данных с использованием общедоступных версий LockBit 3.0 для Windows и Babuk для Linux/ESXi.

Но привлекла внимание необычная схема шифрования файлов жертвы.

Сначала шифруются файлы с конкретными расширениями, заданными в конфигурации образца LockBit, а помимо них - файлы в корзине для предотвращения их восстановления.

Злоумышленники оставляют записку с требованием выкупа со ссылкой, содержащей их идентификатор пользователя в излюбленном украинскими спецслужбами мессенджере Session для дальнейших коммуникаций.

Индикаторы компрометации и технический разбор арсенала Crypt Ghouls - в отчете.

Корпоративные пользователи, не изучившие политику информационной безопасности

ЧТД: загрузчик Bumblebee снова вернулся к делам вопреки усилиям силовиков Европола, провернувших в мае операцию Endgame по захвату его инфраструктуры.

Вредоносная ПО была создана разработчиками TrickBot и впервые засветилась в 2022 году в качестве замены бэкдору BazarLoader для реализации доступа киберподполью к сетям потенциальных жертв.

Bumblebee обычно доставляется через фишинг, вредоносную рекламу и SEO, продвигающее его под видом различного пиратского или легитимного ПО (в том числе, Zooom, Cisco AnyConnect, ChatGPT и Citrix Workspace).

Среди полезных нагрузок, доставляемых Bumblebee, чаще всего выступают маяки Cobalt Strike, инфостиллеры, а также различные штаммы ransomware.

Как уже упоминалось, под раздачу правоохранительных органов в ходе международной операции попали сотни серверов, обеспечивающих работу загрузчиков вредоносного ПО, включая IcedID, Pikabot, Trickbot, Bumblebee, Smokeloader и SystemBC.

С тех пор Bumblebee ушел в оффлайн на несколько месяцев, однако исследователи Netskope задетектили новую активность, связанную с загрузчиком, что указывает на его возвращение.

Последняя цепочка атак Bumblebee начинается с фишингового письма, которое побуждает жертву загрузить вредоносный ZIP-архив.

Сжатый файл содержит ярлык LNK с именем Report-41952.lnk, который запускает PowerShell для загрузки вредоносного файла .MSI (y.msi), замаскированного под легитимное обновление драйвера NVIDIA или установщик Midjourney с удаленного сервера.

Затем файл MSI выполняется в фоновом режиме с помощью msiexec.exe с параметром /qn , что гарантирует выполнение процесса без какого-либо взаимодействия с пользователем.

Чтобы избежать создания новых процессов вредоносная ПО использует таблицу SelfReg в структуре MSI, которая предписывает msiexec.exe загрузить DLL в свое собственное адресное пространство и вызвать его функцию DllRegisterServer.

После загрузки и запуска DLL начинается процесс распаковки вредоносной программы, что приводит к развертыванию Bumblebee в памяти.

Netskope отмечает, что полезная нагрузка Bumblebee несет в себе внутреннюю DLL-библиотеку и схему именования экспортируемых функций, а также механизмы извлечения конфигурации, которые можно было увидеть в предыдущих версиях.

Ключ RC4, который расшифровывает его конфигурацию в последних атаках, использует строку NEW_BLACK. При этом существуют два идентификатора кампании, а именно msi и lnk001.

К настоящему времени исследователи Netskope не раскрывают никакой информации о реальных масштабах наблюдаемой кампании, но отчет свидетельствует о признаках возможного возобновления активности его операторов.

Перечень IoC доступен на GitHub.

Исследователи из Positive Technologies раскрывают подробности эксплуатации уязвимости в Roundcube Webmail, почтовом решении с открытым исходным кодом на базе PHP, для атак на правительственные организации одной из стран СНГ.

Обнаружить атаку удалось в сентябре, однако вредоносная активность началась еще в июне, через месяц после исправления CVE-2024-37383.

Уязвимость представляет собой проблему межсайтового скриптинга средней степени опасности, которая позволяет выполнить вредоносный код JavaScript на странице Roundcube при открытии специально созданного электронного письма.

Ошибка обусловлена неправильной обработкой элементов SVG в электронном письме, что обходит проверки синтаксиса и позволяет выполнить вредоносный код на странице пользователя.

Positive Technologies сообщают, что в атаках задействовались электронные письма без видимого содержимого, но с вложением .DOC.

Злоумышленник встроил скрытую полезную нагрузку в код, который клиент обрабатывал, но не отображал в теле сообщения на основе определенных тегов, в данном случае <animate>.

Полезная нагрузка представляет собой фрагмент кода JavaScript в кодировке base64, замаскированный под href.

Он загружает с почтового сервера документ-обманку (Road map.doc), чтобы отвлечь жертву, попутно внедряя в HTML-страницу форму входа для запроса сообщений с почтового сервера.

На HTML-страницу, отображаемую пользователю, добавляется форма авторизации с полями rcmloginuser и rcmloginpwd (логин и пароль пользователя для клиента Roundcube).

По словам исследователей, злоумышленник рассчитывает на то, что оба поля будут заполнены вручную или автоматически, заполучив таким образом целевые учетные данные.

Данные отправляются на удаленный сервер libcdn[.]org, зарегистрированный и размещенный в инфраструктуре Cloudflare.

Кроме того, злоумышленники используют плагин ManageSieve для кражи сообщений с почтового сервера.

CVE-2024-37383 затрагивает Roundcube в версиях ниже 1.5.6 и версии с 1.6 по 1.6.6, устранена с выпуском 1.5.7 и 1.6.7 19 мая.

Последняя доступная версия, которая является рекомендуемым обновлением, - 1.6.9, выпущена 1 сентября.

Позитивы отмечают, что хотя и Roundcube Webmail, возможно, не является самым популярным почтовым клиентом, но продолжает оставаться серьезной целью для киберподполья в виду широкого использования в государственном и корпоративном секторах, подчеркивая важность своевременного обновления.

Samsung выпустила обновления для исправления CVE-2024-44068, которая затрагивает устройства на процессорах Exynos и связана с use-after-free в драйвере m2m1shot_scaler0 для обработки изображений и видео.

CVE-2024-44068 была обнаружена исследователями Google, имеет оценку CVSS 8.1 и затрагивает устройства с процессорами Exynos 9820, 9825, 980, 990, 850 и W920.

При этом Google утверждает, что эксплуатируемая в дикой природе zero-day была частью более крупной цепочки эксплойтов.

Она обусловлена некорректной работой памяти и позволяла получить доступ к освобожденным участкам памяти и выполнить вредоносный код.

Потенциальная эксплуатация уязвимости реализует использование освобожденных страниц PFNMAP в привязке к виртуальным I/O-страницам.

Злоумышленники могли манипулировать драйвером через IOCTL-вызовы, добиваясь выполнения атак типа Kernel Space Mirroring Attack с возможностью перезаписи таблиц страниц ядра и выполнения произвольных операций с системными привилегиями.

Для проведения атаки могут применяться системные вызовы mmap и mincore, которые отслеживают момент, когда память была связана с I/O-страницами.

В ходе этого процесса освобождается память, оставляя драйвер в состоянии, когда он использовал уже недействительные страницы.

Проблема была устранена Samsung посредством пересмотра управления объектными ссылками для страниц PFNMAP, предотвращая повторное использование освобожденной памяти.

Обновление безопасности SMR-Oct-2024 доступно для всех затронутых устройств.

Пользователям настоятельно рекомендуется его установить и нивелировать риск возможной эксплуатации.

Продолжаем отслеживать наиболее трендовые уязвимости и начнем с «трендовой».

1. Trend Micro выпустила обновление для исправления RCE-уязвимости в своем устройстве безопасности Cloud Edge с CVSS 9,8/10.

CVE-2024-48904 может быть использована неаутентифицированными злоумышленниками для внедрения и запуска команд на устройстве, в связи с чем поставщик попросил клиентов исправить ее как можно скорее.

2. VMware предпринимает вторую попытку для исправления RCE-уязвимости в vCenter Server, обнаруженной еще в июне на Matrix Cup 2024 в КНР.

Как оказалось, исправления vCenter, выпущенные 17 сентября 2024 года, не полной мере устраняли CVE-2024-38812 с CVSS 9,8/10, подробностей по этому поводу поставщик не предоставил.

Уязвимость связана с переполнением кучи в реализации протокола распределенной вычислительной среды/удалённого вызова процедур (DCERPC) в vCenter Server.

Злоумышленник, имеющий сетевой доступ к vCenter Server, может активировать эту уязвимость, отправив специально созданный сетевой пакет, потенциально приводящий к удаленному выполнению кода.

При этом новый патч VCenter Server также устраняет уязвимость CVE-2024-38813 (CVSS 7,5/10), связанную с EoP и также вызываемую отправкой специально созданного сетевого пакета.

3. Разработчики античит-системы BattlEye сообщают о нейтрализации эксплойта, который позволял злоумышленникам банить аккаунты других игроков.

Уязвимость затронула сразу несколько игр, включая PvP-игры, такие как PUBG, Rainbow Six Siege и Escape from Tarkov.

Команда проекта сейчас работает совместно с производителями игр над аннулированием «кривых» банов.

При этом ошибка BattlEye была раскрыта на следующий день после того, как Activision исправила аналогичный баг в античите Call of Duty.

4. Atlassian выпустила исправления для уязвимостей высокой степени серьезности в Bitbucket, Confluence и Jira Service Management.

Обновления Bitbucket Data Center и Server устраняют уязвимость серьезную CVE-2024-21147 в Java Runtime Environment (JRE), которая может привести к несанкционированному доступу к критически важным данным и их изменению.

Обновления Confluence Data Center и Server затрагивают четыре серьезные проблемы, в том числе две в библиотеке дат JavaScript Moment.js, которые были публично раскрыты в 2022 году.

CVE-2022-24785 и CVE-2022-31129 описываются как уязвимости обхода пути и ReDoS, которые можно эксплуатировать без аутентификации.

Компания также анонсировала исправления для CVE-2024-4367, ошибки XSS, которая может позволить аутентифицированным злоумышленникам выполнить произвольный код HTML или JavaScript в браузере пользователя, а также для CVE-2024-29131, уязвимости Apache Commons Configuration, которая может привести к DoS.

Обновления для Jira Service Management Data Center и Server устраняют CVE-2024-7254 - проблему переполнения буфера Protobuf, которая может позволить злоумышленникам повлиять на доступность сервиса.

Данных об эксплуатации в реальных условиях не получено, во всяком случае пока.

Тревожный инцидент! Новый троян удаленного доступа проник в систему освещения воздушного судна.

Стартовал очередной этап Pwn2Own Ireland 2024, ежегодного конкурса Trend Micro's Zero Day Initiative (ZDI).

В первый день участники Pwn2Own Ireland 2024 смогли сорвать куш в полмиллиона долларов за демонстарцию успешных эксплойтов, нацеленных на устройства NAS, камеры, принтеры и смарт-колонки.

Главный приз этого дня в размере 100 000 долларов США получил Сина Хейрка из Summoning Team, который объединил в общей сложности девять уязвимостей для атаки, которая перешла с маршрутизатора QNAP QHora-322 на устройство хранения данных TrueNAS Mini X.

Еще одну цепочку эксплойтов под QNAP QHora-322 и TrueNAS Mini X продемонстрировала Viettel Cyber Security, что принесло команде 50 000 долларов.

Неплохой гонорар получил Джек Дейтс из RET2 Systems, который смог забрать 60 000 долларов за взлом смарт-колонки Sonos Era 300.

Эксплойты для устройств NAS QNAP TS-464 и Synology DiskStation DS1823XS+ также принесли двум разным командам по 40 000 долларов США.

Кроме того, участники также успешно обкатали эксплойты в отношении камер Lorex 2K WiFi, Ubiquity AI Bullet и Synology TC500, а также принтеров HP Color LaserJet Pro MFP 3301fdw и Canon imageCLASS MF656Cdw.

За свои труды хакеры заработали от 11 000 до 30 000 долларов. 

По данным ZDI, в первый день Pwn2Own Ireland было выплачено в общей сложности 516 250 долларов за более чем 50 уникальных уязвимостей.

В течение следующих дней, помимо камер, устройств NAS, интеллектуальных колонок и принтеров, участники попытаются реализовать уязвимости, нацеленные на Samsung Galaxy S24 и AeoTec Smart Home Hub.

Регламент турнира Pwn2Own Ireland 2024 также включает категорию мессенджеров, где за 0-click эксплойт для WhatsApp предлагается до $300 000, а также до $250 000 - за эксплойты Pixel 8 и iPhone 15.

Правда, пока ни один из участников не заявился на эти категории. Но будем посмотреть.