Киберпреступники атакуют пользователей Mac с помощью нового троянского вредоносного ПО, которое поставляется вместе с популярным авторским софтом для macOS.

Вредонос превращает девайс в терминал для перенаправления трафика, используемого для анонимизации злонамеренных воздействий, взлома, фишинга и т.п.

Новую кампанию обнаружили спецы из Kaspersky как минимум в 35 программах для редактирования изображений, сжатия и редактирования видео, восстановления данных и сканирования сети.

Среди наиболее популярных программ, инфицированных трояном, были: 4K Video Downloader Pro, Aissessoft Mac Data Recovery, Aiseesoft Mac Video Converter Ultimate, AnyMP4 Android Data Recovery for Mac, Downie 4, FonePaw Data Recovery, Sketch, Wondershare UniConverter 13, SQLPro Studio, Artstudio Pro.

В отличие от легитимного ПО, которое распространяется в виде образов диска, вредоносные версии загружаются в виде PKG-файлов, которые обрабатываются специальной утилитой Installer в macOS.

Установщики PKG могут выполнять скрипты до и после установки приложения, но в обнаруженном случае встроенные вредоносные скрипты активируются после установки программы для выполнения вредносного файла WindowServer и файла конфигурации p.plist, делая активность похожую на системный процесс.

После запуска, троянец создает файлы логов и пытается получить IP-адрес C2-сервера через сервис DNS-over-HTTPS (DoH), скрывая DNS-запрос от средств мониторинга трафика.

Затем он создает соединение с C2 и отправляет ему свою версию, ожидая в ответ команду и соответствующее ей сообщение.

Лаборатория не смогла обнаружить команды в действии, но посредством анализа выяснила, что клиент поддерживает создание TCP или UDP-соединений для обеспечения проксирования.

Кстати, помимо приложений для macOS исследователи также обнаружили несколько образцов, выполняющих подключение к тому же C2-серверу и созданных под Android и Windows. Они также являются прокси-троянцами и скрытно поставляются вместе со взломанным ПО.

Как отмечают в Positive Technologies, в последние годы Азиатский регион ассоциируется не только с инновациями и технологическим прогрессом, а настоящим райским для хакеров.

В 2022 году около трети всех успешных атак в мире пришлись на Азиатско-Тихоокеанский регион - больше, чем на какой-либо другой. Ведь стремительное цифровое развитие повышает привлекательность региона для проведения хакерских атак.

В своем исследовании Позитивы сконцентрировались на шести странах: Китай, Индия, Таиланд, Индонезия, Малайзия и Вьетнам, и выяснили, что хакеры чаще всего атаковали госучреждения, IT, финсектор и промышленность.

При этом каждая пятая успешная атака приходилась именно на правительственный сегмент.

При этом злоумышленники не только нарушали их деятельность и похищали конфиденциальную информацию жителей Азии (как в случае с утечкой данных 105 млн граждан Индонезии и более 300 миллионов пользователей Dukcapil, местного аналога Госуслуг), но и наносили ущерб интересам государств.

Высокий уровень технологического развития региона требует такого же высокого уровня компетенций хакеров. Киберпреступники, орудующие в Азии, хорошо организованы, имеют большой опыт и незаурядный технический бэкграунд.

BlueHornet (AgainstTheWest, APT49) была замечена в атаках на госучреждения Китая, Северной Кореи, Ирана и России.

Более того, их жертвами становились Kryptonite Panda и даже знаменитая Lazarus Group. Где базируются сами представители АРТ - неизвестно.

Еще одна продвинутая группа киберзлодеев известна как Transparent Tribe (она же APT36, Copper Fieldstone, Mythic Leopard, ProjectM) и уже десять лет атакуют государственные, военные и исследовательские организации Индии.

Больше всего хакеров, атакующих страны Азии, интересуют персданные и коммерческая тайна, а добываемая информация зачастую служит плацдармом для проведения более сложных атак. Иногда хакерские группировки скрываются в инфраструктуре жертв годами.

Быстрое цифровое развитие в странах Азии не всегда сопровождалось укреплением кибербезопасности.

В регионе недостаточно развито международное взаимодействие, отсутствуют единые стандарты в области ИБ, за исключением отдельных инициатив стран ASEAN, однако в этой ассоциации нет ни Индии, ни Китая, ни других технологических гигантов Азии.

В ряде стран законодательная база не успевает обновляться в соответствии с трендовыми киберугрозами. Не налажен диалог регуляторов и местных организаций: компании не всегда понимают, как внедрять необходимые меры безопасности, а потому сталкиваются с санкциями.

Несмотря на то, что страны Азии вкладываются в развитие кибербезопасности, есть дефицит квалифицированных специалистов, и большая часть экспертов в регионе считает, что такой разрыв делает их организации мишенями кибератак.

Дальнейшее развитие технологий в Азии и увеличение количества интернет-пользователей будет и дальше провоцировать прогрессивный рост кибератак и притягивать все больше внимания со стороны киберподполья.

Как действуют злоумышленники в Азии, что им нужно и как с ними бороться — в полной версии отчета.

Atlassian выпускает исправления для исправления четырех критических уязвимостей в своем ПО, которые в случае успешной эксплуатации могут привести к RCE.

Среди них следующие:

- CVE-2022-1471 (оценка CVSS: 9,8): уязвимость десериализации в библиотеке SnakeYAML, которая может привести к удаленному выполнению кода в нескольких продуктах;

- CVE-2023-22522 (оценка CVSS: 9,0): уязвимость в Confluence Data Center and Confluence Server (затрагивает все версии, включая 4.0.0 и последующие);

- CVE-2023-22523 (оценка CVSS: 9,8): уязвимость в Assets Discovery для Jira Service Management Cloud, Server и Data Center (затрагивает все версии до 3.2.0-cloud/6.2.0 data center, но не включая их);

- CVE-2023-22524 (оценка CVSS: 9,6): уязвимость в приложении Atlassian Companion для macOS (затрагивает все версии до 2.0.0, кроме 2.0.0).

Atlassian описала CVE-2023-22522 как уязвимость внедрения шаблона, которая позволяет аутентифицированному злоумышленнику, в том числе имеющему анонимный доступ, реализовать небезопасный пользовательский ввод на страницу Confluence, что приводит к выполнению кода.

Уязвимость Assets Discovery позволяет злоумышленнику выполнять привилегированное удаленное выполнение кода на компьютерах с установленным агентом Assets Discovery.

CVE-2023-22524 может позволить злоумышленнику выполнить код, используя WebSockets для обхода черного списка Atlassian Companion и защиты macOS Gatekeeper.

Поскольку в последнее время решения Atlassian становятся эффективными векторами атак, пользователям настоятельно рекомендуется как можно скорее обновить уязвимые установки до исправленной версии.

Специалисты Group-IB обнаружили новый вредонос Krasue, который нацелен на Linux-системы телекоммуникационных компаний Таиланда с 2021 года.

Название малвари взято из восточноазиатской мифологии в честь ночного женского духа, поскольку троян способен скрывать свое присутствие во время инициализации, что делает его весьма не простым для обнаружения и удаления.

Точный вектор первоначального доступа, используемый для развертывания Krasue, в настоящее время неизвестен, хотя предполагается, что это может быть через эксплуатацию уязвимостей, атаки с использованием перебора учетных данных или загрузки заряженного программного пакета или двоичного файла.

Основные функции трояна реализуются через руткит, который позволяет ему поддерживать постоянство на хосте, не привлекая внимания.

Этот руткит может скрывать или показывать порты, делать процессы невидимыми, предоставлять права суперпользователя и запускать команду kill для любого идентификатора процесса.

Примечательно, что Krasue может быть развернут в качестве части ботнета и использоваться для продажи брокерам начального доступа другим злоумышленникам.

Специалистами были замечены интересные аналогии в коде Krasue с другим вредоносом под Linux XorDdos, что дает основания полагать о разработке зловредов одним автором.

По данным Group-IB, распространение малвари не носит массовый характер и на данный момент ими выявлен один подтвержденный случай использования Krasue, но предполагается, что число атакованных компаний может быть больше.

͏Исследователи SonarCloud обнаружили уязвимости в pfSense, которые в случае объединения в цепочку позволяют злоумышленникам выполнять RCE на устройстве.

pfSense — это популярное ПО с открытым исходным кодом, реализующее функционал брандмауэра/маршрутизатора с поддержкой широого спектра возможностей, доступных коммерческим аналогам.

Уязвимости отслеживаются как CVE-2023-42325 (XSS), CVE-2023-42327 (XSS) и CVE-2023-42326 (внедрение команд) и затрагивают pfSense 2.7.0, pfSense Plus 23.05.01 (и старше). 

Если для эксплуатации XSS-ошибок требуются действия пользователя на стороне жертвы, то недостаток внедрения команд в этом плане является более серьезной проблемой (оценка CVSS: 8,8).

Уязвимости в веб-интерфейсе pfSense обусловлены созданием команд оболочки на основе предоставленных пользователем данных для настройки сетевых интерфейсов без надлежащей проверки.

В частности, параметр сетевого интерфейса «gifif» не проверяется на наличие безопасных значений, что позволяет злоумышленникам вводить в него допкоманды, приводя к их выполнению с привилегиями root.

Для полноценной работы эксплойта злоумышленнику необходим доступ к учетной записи с разрешениями на редактирование интерфейса, что достигается за счет эксплуатации других уязвимостей.

При этом CVE-2023-42325 или CVE-2023-42327 позволяют обеспечить выполнение вредоносного JavaScript в браузере аутентифицированного пользователя и получить контроль над сеансом pfSense.

Netgate была уведомлена о проблемах 3 июля 2023 года и представила исправления в рамках pfSense Plus 23.09 и pfSense CE 2.7.1 еще ноябре.

Однако даже спустя месяц после этого, почти 1450 серверов pfSense (92,4% всех доступных в сети) остаются уязвимыми для атак, о чем предупреждают исследователи, основываясь на статистике Shodan.

Причем, согласно данным сканирования, Россия по этому показателю занимает третье место с почти сотней дырявых pfSense.

Безусловно, для компрометации злоумышленнику необходимо для начала будет успешно отработать XSS-уязвимости, но столь значительное число уязвимых конечных точек создает значительную поверхность атаки.

📦 HackTheBox CTF Cheatsheet. RU.

• Собрал хорошую и большую подборку прохождений HTB, которая поможет прокачать твой скилл и получить новые знания в различных аспектах пентеста. Подборку разделил по уровням сложности, надеюсь будет полезно:

Hack The Box. Уровень Easy:
• Прохождение Traceback. Бэкдор, LUA, SSH.
• Прохождение Omni. Ломаем легенький Windows IoT.
• Прохождение Buff. RCE в CMS Gym и в CloudMe.
• Прохождение Tabby. RCE в Tomcat, и повышаем привилегии через LXD.
• Прохождение Blunder. Ломаем Bludit CMS.
• Прохождение Remote. NFS, RCE в CMS Umbraco и LPE через UsoSvc.
• Прохождение Sauna. LDAP, AS-REP Roasting, AutoLogon, DCSync атака.
• Прохождение Nest. NTFS потоки, реверс C# и бродилка по SMB.
• Прохождение Traverxec. RCE в веб-сервере nostromo, техника GTFOBins.
• Прохождение Forest. AS-REP Roasting, атаки DCSync и Pass-The-Hash.
• Прохождение Postman. Redis и WebMin.

Hack The Box. Уровень Medium:
• Прохождение лаборатории Professional Offensive Operations. Пентест Active Directory.
• Прохождение Monteverde. Брут SMB и LPE через Azure Admins.
• Прохождение OpenKeys. Ломаем виртуалку OpenBSD.
• Прохождение SneakyMailer. Фишинговая рассылка, LPE через PyPI и GTFOBins pip3.
• Прохождение Fuse. RPC, принтеры и опасная привилегия SeLoadDriverPrivilege.
• Прохождение Cache. RCE в OpenEMR, memcached и docker.
• Прохождение Admirer. Уязвимость в Admirer и RCE через подмену переменной среды.
• Прохождение Magic. Password spraying. Mysqldump и LPE через sysinfo.
• Прохождение Cascade. LDAP и удаленные объекты Active Directory.
• Прохождение Book. XSS to LFI через PDF и LPE через Logrotate.
• Прохождение Resolute. Password spraying. От DnsAdmin до SYSTEM.
• Прохождение Obscurity. OS Command Injection и Race Condition.
• Прохождение Mango. NoSQL инъекция и LPE через JJS.
• Прохождение Sniper. RFI и вредоносный CHM документ.
• Прохождение Bitlab. Слабая JS обфускация, GIT и реверс Windows приложения.

Hack The Box. Уровень Hard:
• Прохождение Compromised. RCE LiteCart и бэкдор pam_unix.
• Прохождение Unbalanced. Rsync, EncFS, Squid, XPath инъекция и RCE в Pi-hole.
• Прохождение Intanse. Flask, атака HLE, SQL инъекция, SNMP to RCE, Ret2Libc.
• Прохождение Blackfield. Захват контроллера домена через SMB и RPC, LPE через теневую копию.
• Прохождение Travel. Memcache+SSRF=RCE, LPE через LDAP.
• Прохождение Quick. QUIC HTTP/3, XSLT инъекция, Race condition.
• Прохождение Oouch. OAuth2, RCE в uWSGI и LPE через DBUS.
• Прохождение Forwardslash. LFI, backup и шифрованный том.
• Прохождение Control. SQL инъекция и LPE через права на службу.
• Прохождение Registry. Docker, RCE в CMS Bolt и Restic.
• Прохождение Scavenger. DNS, FTP и следы другого взлома.
• Прохождение Zetta. FXP, IPv6, rsync, Postgres и SQLi.
• Прохождение RE. Metasploit, нагрузка в офисном документе, Zip Slip атака, немного о PowerSploit и токенах.

Hack The Box. Уровень Insane:
• Прохождение Laser. Jetdirect, RPC и кража SSH.
• Прохождение Dyplesher. Memcached, Gogs, RCE через создание плагина и LPE через AMQP.
• Прохождение Multimaster. Burp+Sqlmap. AD users from MSSQL. Уязвимость в VSCode. AMSI bypass и CVE ZeroLogon.
• Прохождение Fatty. Реверс и рекомпиляция клиент-серверного приложения. Java десериализация.
• Прохождение PlayerTwo. Twirp, 2FA bypass, Off-By-One атака.
• Прохождение Rope. PWN. Форматные строки и ROP используя pwntools.
• Прохождение Bankrobber. XSS, SQL инъекция, CSRF, port forwarding.

Дополнительная информация:
• https://github.com/Ignitetechnologies/HackTheBox-CTF-Writeups
• https://github.com/Ignitetechnologies/Privilege-Escalation
• https://github.com/Ignitetechnologies/Vulnhub-CTF-Writeups
• https://github.com/Ignitetechnologies/TryHackMe-CTF-Writeups

#Пентест #CTF

❔ Cicada 3301: кого и куда должны были отобрать загадки таинственной «Цикады»?.

• Белые буквы на черном фоне гласили: «Мы ищем очень умных людей. Чтобы найти их, мы разработали тест. В этой картинке спрятано сообщение. Найди его, и оно укажет дорогу, ведущую к нам. Мы будем рады встретить тех немногих, что дойдут до конца. Удачи!» В конце стоит подпись: 3301.

• Cicada 3301 — знаменитый и широкомасштабный хакерский квест, организаторы которого так и остались неизвестными.

• Как подсчитали энтузиасты, в загадках «Цикады» содержалось около 20 отсылок к литературным, художественным и музыкальным произведениям. Загадки требовали владения основами криптографии, программирования, стеганографии и математических теорий.

• «Cicada 3301» отсылала к разнообразным философским и мистическим учениям, от Юнга и Ницше до Дзен-буддизма и Каббалы. А в итоге всё упёрлось в книгу, написанную северными рунами по кабалистической методике.

• В чем заключалась суть самой масштабной, интересной и странной игры? Как были найдены ответы на самые сложные вопросы и кто смог дойти до самого конца? Читайте в статье:

➖ Часть 1.
➖ Часть 2.

#Разное

📦 IntroLabs. Практические задания и руководства для ИБ специалистов.

• Как уже стало понятно из названия, ниже представлена подборка практических лабораторных заданий для изучения различных аспектов информационной безопасности и пентеста, включая инструменты, работу с логами, журналами и т.д. Описание каждой лабы доступно по ссылкам ниже:

Intro To SOC:
- Linux CLI;
- Memory Analysis;
- TCPDump;
- Web Log Review;
- WindowsCLI;
- Wireshark;
- RITA;
- Nessus;
- DeepBlueCLI;
- Domain Log Review;
- Velociraptor;
- Elk In The Cloud;
- Elastic Agent;
- Sysmon in ELK;

Intro To Security:
- Applocker;
- Bluespawn;
- DeepBlueCLI;
- Nessus;
- Nmap;
- Password Cracking;
- Password Spraying;
- Responder;
- RITA;
- Sysmon;
- Web Testing;

Cyber Deception/Active Defense:
- Spidertrap;
- Cowrie;
- Canarytokens;
- RITA;
- Bluespawn;
- Portspoof;
- HoneyBadger;
- HoneyShare;
- HoneyUser;
- AdvancedC2;
- WebHoneypot;
- File Audit.

• Материал будет полезен не только начинающим, но и опытным ИБ специалистам.

#ИБ

🔖 MindMaps на любой вкус.

• Коллекция различных MindMaps для пентестеров, специалистов в области информационной безопасности и Bug Bounty Hunters. Карты помогут в изучении нового материала или при выполнении определенной работы \ задачи. Добавляйте в закладки:

🧷 https://github.com/imran-parray/Mind-Maps

#ИБ