#ParsedReport
28-03-2023

Dridex malware, the banking trojan

https://cybersecurity.att.com/blogs/security-essentials/dridex-malware-the-banking-trojan

Threats:
Dridex
Cridex
Process_hollowing_technique
Heavens_gate_technique

Industry:
Education, Financial

Softs:
macos

Languages:
javascript

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Dridex - это банковский троянец, который активен с 2011 года, распространяется через вредоносные электронные письма, его трудно обнаружить и удалить. Недавно был разработан вариант, нацеленный на системы MacOS, и он продолжает развиваться. Усилия по устранению последствий должны включать мониторинг подозрительной активности, блокировку вредоносных IP-адресов и доменов, обновление программного обеспечения и обучение пользователей. Кроме того, мониторинг известных индикаторов компрометации может помочь обнаружить и предотвратить заражение Dridex.
-----

Dridex - это банковский троянец, активный с 2011 года и используемый в основном для кражи конфиденциальной информации. Вредоносная программа распространяется через вредоносные электронные письма, используя вложения или ссылки, которые ведут к загрузке вредоносной программы. Dridex использует такие передовые методы, как заражение без файлов, "пустота" процессов, антиотладка и антивиртуализация, чтобы избежать обнаружения и сохранить устойчивость в зараженной системе. В результате пользователям может быть сложно обнаружить и удалить Dridex из своих систем.

Злоумышленники, стоящие за Dridex, постоянно совершенствуют свою тактику и недавно разработали вариант вредоносной программы, нацеленный на системы MacOS. Этот вариант перезаписывает файлы документов вредоносными макросами для доставки вредоносного кода, что затрудняет обнаружение вредоносного файла пользователями. Кроме того, вредоносная программа использует базовое шифрование строк, чтобы скрыть свой вредоносный URL.

Dridex нацелен на финансовые учреждения, предприятия и частных лиц. Хотя администратор вредоносной программы был арестован в 2015 году, Dridex смог сохранить активность и продолжает развиваться. Усилия по устранению последствий должны включать мониторинг подозрительной активности, блокировку известных вредоносных IP-адресов и доменов, обновление программного обеспечения и обучение пользователей тому, как выявлять и избегать попыток фишинга. Кроме того, мониторинг известных индикаторов компрометации и проверка процессов и dll-файлов, которые, как известно, являются целью Dridex, может помочь обнаружить и предотвратить заражение Dridex.

#ParsedReport
27-03-2023

Supply Chain Attack via New Malicious Python Packages

https://www.fortinet.com/blog/threat-research/supply-chain-attack-via-new-malicious-python-packages

IOCs:
Hash: 64
File: 1
Url: 3

Softs:
discord

Algorithms:
base64, zip

Languages:
python

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания FortiGuard Labs обнаружила более 60 атак нулевого дня, встроенных в пакеты PyPI, и призвала пользователей проявлять осторожность при загрузке пакетов. Разработчикам также следует принять дополнительные меры безопасности, чтобы защитить свое программное обеспечение от злоумышленников.
-----

Компания FortiGuard Labs обнаружила более 60 атак нулевого дня, встроенных в пакеты PyPI в период с февраля по середину марта 2023 года. Эти вредоносные пакеты предназначены для выполнения команды PowerShell, закодированной в Base64, подключения к URL-адресу, который может содержать вредоносный код, выполнения кода Empyrean stealer, сильно обфусцированного кода и загрузки zip-файла, содержащего вредоносный код. Метаданные и файлы setup.py указывают на то, что пакет, скорее всего, является кражей пароля через веб-крючок Discord.

Злоумышленники используют различные методы атаки, чтобы скрыть свою вредоносную деятельность. Например, они пытаются запустить потенциально вредоносный скрипт python, а затем удалить его. Они также используют сильную обфускацию, чтобы затруднить обнаружение и анализ кода.

Учитывая большое количество найденных вредоносных пакетов, FortiGuard Labs призывает пользователей Python быть бдительными при загрузке пакетов и перепроверять их перед использованием. Команда будет продолжать отслеживать новые пакеты с открытым исходным кодом и сообщать о любых найденных вредоносных пакетах, чтобы помочь защитить пользователей от атак на цепочки поставок.

#ParsedReport
28-03-2023

New Infostealer LummaC2 Being Distributed Disguised As Illegal Cracks

https://asec.ahnlab.com/en/50594

Threats:
Lumma_stealer
Raccoon_stealer
Cryptbot_stealer
Redline_stealer
Vidar_stealer
Record_breaker_stealer
Clipbanker
Saturn
Chrysaor
Anydesk_tool
Trojan/win.generic.c5397321

IOCs:
File: 7
Hash: 7
Url: 1

Softs:
windows defender, chrome, chromium, kometa, opera, brave-browser, comodo dragon, coccoc, tronlink, roninwallet, have more...

Algorithms:
zip

Functions:
Sleep

Win API:
GetProcAddress, GetSystemTimeAsFileTime, GetUserNameW, GetComputerNameW

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: LummaC2 - это вредоносная программа, замаскированная под крэки и кейгены популярных программ, которая может собирать различную информацию и отправлять ее на сервер C2, что делает ее серьезной угрозой безопасности в Интернете. Пользователям следует соблюдать особую осторожность при загрузке любого типа крэков или серийных ключей.
-----

Infostealer LummaC2 - это новая вредоносная программа, которая распространяется в Интернете с начала 2021 года. Она маскируется под крэки и кейгены популярных программ, которые соблазняют пользователей скачать ее вместо искомой легитимной программы. Вредоносная программа распространяется в сжатом файле под названием NewSetupV4-Pass-55551.rar, который содержит другой сжатый файл под названием setup.rar. Setup.rar создает LummaC2, замаскированный под setupfile.exe. Он выполняет обфускацию строк, встраивая несколько строк edx765 между строками, используемыми для вредоносного поведения. Изменяя значения и используя условные операторы и операторы перехода, вредоносная программа может управлять потоком выполнения. Она также рассчитана на аварийное завершение работы при выполнении определенных условий, например, при совпадении имени пользователя или имени компьютера с заранее определенными значениями.

Целью Infostealer является разнообразная информация, включая данные браузера, программы криптовалютных кошельков, скриншоты, системную информацию, информацию об установленных программах, почтовых клиентах и других приложениях. После сбора информации она сжимается в ZIP-файл и отправляется на сервер C2 методом HTTP POST с путем /c2sock и User-Agent TeslaBrowser/5.5. Каждая передача идентифицируется уникальным идентификатором зараженного ПК, числом от 1 до 3, указывающим на тип похищенной информации, и идентификатором Lumma ID, который считается идентификатором кампании распространяемой вредоносной программы.

LummaC2 - последняя из серии вредоносных программ, распространяемых подобным образом. CryptBot, RedLine, Vidar и RecordBreaker (Raccoon V2) распространялись подобным образом, однако LummaC2 выделяется своими дополнительными функциями и возможностями. Благодаря своим передовым методам обфускации и способности поражать широкий спектр информации, LummaC2 представляет собой серьезную угрозу для безопасности в Интернете. Поэтому пользователям следует проявлять особую осторожность при загрузке любого типа кряков или серийных ключей, поскольку они могут неосознанно установить на свой компьютер вредоносное программное обеспечение.

#ParsedReport
28-03-2023

Dissecting and Detecting Babuk ransomware Cryptography. Conclusion

https://research.kudelskisecurity.com/2023/03/28/dissecting-and-detecting-babuk-ransomware-cryptography

Threats:
Babuk
Rook
Pridelocker

CVEs:
CVE-2021-34473 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2019, 2016)

CVE-2021-34523 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: 9
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2019, 2016)

CVE-2021-31207 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: 6.6
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2019, 2016)


IOCs:
File: 2
Hash: 1

Softs:
esxi, microsoft exchange

Algorithms:
ecdh, chacha20, curve25519, curve25519-donna, aes, salsa20, hc-128, sosemanuk

Languages:
c_language, python

Platforms:
x86, intel, arm

YARA: Found

Links:
https://github.com/kudelskisecurity/cryptography-yara-rules
https://github.com/agl/curve25519-donna
https://github.com/Yara-Rules/rules/blob/master/crypto/crypto\_signatures.yar
https://github.com/synacktiv/pridelocker-analysis

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: В этой статье рассматривается выбор криптографических алгоритмов, используемых для создания программы Babuk ransomware, которая способна распространяться через фишинг электронной почты, незащищенные развертывания RDP и непропатченные уязвимости. В статье рассказывается о трех различных версиях программы-вымогателя и выборе криптографических алгоритмов для согласования ключей, симметричного шифрования и обнаружения.
-----

Впервые программа Babuk ransomware была обнаружена два года назад и недавно была использована в дикой природе на некоторых системах VMware ESXi. Исходный код этой программы-вымогателя был опубликован в 2021 году, что позволило другим группам создать ее копии, такие как Rook и PrideLocker. Благодаря своей портативности, она способна распространяться через фишинг электронной почты, незащищенные развертывания RDP и непропатченные уязвимости, в частности, используя 3 ошибки в Microsoft Exchange.

В этой статье рассматривается выбор криптографических алгоритмов, используемых для создания программы-вымогателя Babuk. Существует три различных версии этой программы, одна для Windows, одна для ESXi и одна для устройств NAS. Версии для Windows и ESXi написаны на языке C++, а версия для NAS - на языке Go.

Для согласования ключей между двумя сторонами алгоритм ECDH реализован на кривой Curve25519. Он повторно использует код от Адама Лэнгли для реализации кривой в версиях для Windows и ESXi, и использует пакет Go Cryptography для версии NAS. Это разумный выбор, поскольку Curve25519 является одним из самых быстрых алгоритмов и был разработан для того, чтобы быть менее подверженным ошибкам.

Для симметричного шифрования изначально используется потоковый шифр Chacha8, но из исходного кода становится ясно, что в версии для ESXi используется Sosemanuk, в версии для Windows - HC-128, а в версии для NAS - Chacha20. Эти три шифра были выбраны проектом eSTREAM как эффективные и безопасные потоковые шифры. Они являются чисто программными реализациями и отличаются высокой скоростью, причем скорость Sosemanuk составляет 388 Мбит/с.

Выбор Sosemanuk и HC-128 может быть обусловлен тем, что они не очень известны и для них нет правил Yara для обнаружения. В связи с этим мы выпустили правило Yara для обнаружения Curve25519 и улучшили правило обнаружения Chacha20. Мы также внедрили правила Yara для обнаружения потокового шифра Sosemanuk. Все это помогает исследователям быстрее выявлять криптографические алгоритмы, используемые в программах-вымогателях.

#ParsedReport
29-03-2023

ASEC weekly malware statistics (20230320 \~ 20230326)

https://asec.ahnlab.com/ko/50552

Actors/Campaigns:
Ta505

Threats:
Redline_stealer
Beamwinhttp_loader
Amadey
Smokeloader
Lockbit
Gandcrab
Flawedammyy
Clop
Agent_tesla
Azorult
Garbage_cleaner
Cloudeye
Formbook
Remcos_rat
Nanocore_rat

Industry:
Transport, Financial

Geo:
Korea

IOCs:
IP: 8
Domain: 3
Url: 6
Email: 2
File: 11

Softs:
telegram, nsis installer, discord

Languages:
visual_basic, php

#ParsedReport
29-03-2023

BianLian Ransomware Changes Faces

https://www.avertium.com/resources/threat-reports/bianlian-ransomware-changes-faces

Threats:
Hydra
Havoc

Industry:
Government, Entertainment, Healthcare, Financial

Geo:
California, China

IOCs:
Hash: 46

Algorithms:
aes, aes-256

Languages:
golang

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Выпуск расшифровщика для BianLian позволил жертвам получить доступ к своим данным без уплаты выкупа, однако организациям необходимо принять меры по обеспечению безопасности своих данных для предотвращения подобных атак в будущем.
-----

Появление BianLian в августе 2022 года быстро сделало его известным как программу-вымогатель, которая шифровала файлы в течение нескольких минут. Эта вредоносная программа была написана на языке Golang и скомпилирована как 64-битный исполняемый файл для Windows, что затрудняло ее обнаружение и анализ. В качестве дополнительной меры BianLian использовал методы уклонения от анализа, делая вызовы API, которые могли вызвать сбои в песочницах или автоматизированных системах анализа. На сайте вымогателя было указано 118 жертв, 71% из которых находились в США. BianLian нацелился на такие организации, как больница Святой Розы в Калифорнии и город Уэйнсборо, штат Вирджиния.

В марте 2023 года команда исследователей и аналитиков компании Avast разработала дешифратор для BianLian, позволяющий жертвам получить доступ к своим данным без уплаты выкупа. Дешифратор работал на основе симметричного алгоритма AES256, используемого BianLian для шифрования файлов, что позволило Avast восстановить ключ шифрования и написать новый дешифратор. Несмотря на успешный выпуск дешифровщика, это, скорее всего, лишь временная неудача для BianLian, которая теперь работает как группа вымогателей, а не как группа по борьбе с вымогательством. Изучая жертв и адаптируя угрозы, BianLian, вероятно, разработает новый шифровальщик, использующий шифрование с открытым ключом, что означает, что один и тот же ключ не может быть использован как для шифрования, так и для дешифрования.

Влияние выпущенного расшифровщика было огромным, поскольку он дал жертвам возможность получить доступ к своим данным без необходимости платить выкуп. Однако появление BianLian подчеркнуло необходимость более надежных программ кибербезопасности и более эффективных планов реагирования на инциденты для предотвращения подобных атак в будущем. Организациям также следует помнить об опасности программ-вымогателей и групп вымогателей и принимать необходимые меры для обеспечения безопасности своих данных.

#ParsedReport
29-03-2023

Kimsuky Group Uses ADS to Conceal Malware

https://asec.ahnlab.com/en/50625

Actors/Campaigns:
Kimsuky

Threats:
Netstat_tool
Magniber
Appleseed

Geo:
Northkorea

IOCs:
Command: 1
Path: 3
Hash: 2
Domain: 1

Platforms:
x86

#ParsedReport
29-03-2023

Kimsuky Group Distributes Malware Disguised as Profile Template (GitHub)

https://asec.ahnlab.com/en/50621

Actors/Campaigns:
Kimsuky
Apt37

Geo:
Northkorea

IOCs:
File: 1
Hash: 2
Url: 1

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Центр реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) недавно обнаружил вредоносный файл Word, отправленный по электронной почте, который, как полагают, является частью более крупной кампании, проводимой группой угроз Red Eyes. Для защиты от подобных атак ASEC рекомендует организациям регулярно обновлять антивирусное программное обеспечение и использовать стратегию "защита в глубину". Кроме того, пользователи должны знать о потенциальных фишинговых письмах и никогда не открывать вложения или ссылки, содержащиеся в подозрительно выглядящих письмах.
-----

Центр реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) выявил вредоносный файл Word, отправленный по электронной почте под видом профессора. Файл содержит макрос VBA, который после активации подключается к командно-контрольному серверу (C2) с помощью PowerShell, после чего загружает и выполняет дополнительный скрипт. Этот вредоносный код относится к тому же типу вредоносных программ, которые ранее были идентифицированы ASEC как собирающие информацию, сохраненную в браузерах.

Предполагается, что вредоносные электронные письма являются частью более масштабной кампании, проводимой угрожающей группой Red Eyes, также известной как APT37 или ScarCruft. ASEC установила, что эти киберпреступники используют GitHub в качестве сайта распространения вредоносных программ. Это означает, что вредоносные файлы могут легко распространяться по множеству компьютеров, сетей и устройств, что значительно затрудняет их блокировку группами безопасности.

Сама атака направлена на получение доступа к конфиденциальной информации, хранящейся в веб-браузерах. Для этого запускается вредоносный код, который собирает пароли, cookies, идентификаторы сессий и другие конфиденциальные данные из браузеров пользователей. Собранные данные отправляются на сервер C2, где они анализируются и используются для получения дальнейшего доступа к целевой системе.

Для защиты от таких атак ASEC рекомендует организациям регулярно обновлять антивирусное программное обеспечение и использовать стратегию "защита в глубину". Кроме того, пользователи должны знать о потенциальных фишинговых письмах и никогда не открывать вложения или ссылки, содержащиеся в подозрительно выглядящих письмах.

#ParsedReport
29-03-2023

New OpcJacker Malware Distributed via Fake VPN Malvertising. Delivery

https://www.trendmicro.com/en_us/research/23/c/new-opcjacker-malware-distributed-via-fake-vpn-malvertising.html

Threats:
Opcjacker
Babadeda
Netsupportmanager_rat
Hvnc_tool
Phobos
Motw_bypass_technique
Sandbox_evasion_technique

Geo:
Iran

IOCs:
File: 13
Hash: 104
Coin: 2
Email: 2
IP: 3

Softs:
chromium, (task scheduler), task scheduler, google chrome, microsoft edge, mozilla firefox, tronlink, nifty wallet, math wallet, coinbase, have more...

Algorithms:
zip

Win API:
GetModuleFileNameW

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: OpcJacker - это новый тип вредоносного ПО, которое в основном используется для перехвата криптовалюты и распространяется через вредоносные рекламные объявления, нацеленные на пользователей из Ирана. Он закрпляется, отслеживает буфер обмена на предмет криптовалютных адресов и запускает исполняемый файл, который может быть RAT, загрузчиком или hVNC. Он находится на стадии разработки и тестирования и является потенциальной угрозой, поэтому следует принять превентивные меры.
-----

OpcJacker - это новый тип вредоносного ПО, который распространяется в дикой природе со второй половины 2022 года. Он в основном используется для перехвата криптовалюты, кейлоггинга, создания скриншотов и кражи конфиденциальных данных из браузеров. Угрожающие субъекты, стоящие за этой кампанией, предпочитают использовать для распространения OpcJacker ISO-образы и RAR/ZIP-архивы, содержащие модифицированные инсталляторы различных программ. Эти ISO-образы и архивы распространяются через вредоносные программы, ориентированные на пользователей в Иране, через поддельные веб-сайты, замаскированные под криптовалютные приложения.

Вредоносный код загружается с помощью загрузчика под названием Babadeda crypter. Этот криптер также используется для загрузки программы Phobos ransomware. Кроме того, новые версии этого криптера содержат еще одну библиотеку DLL (mdb.dll), которая загружается в память и перезаписывает случайно выбранный блок памяти шеллкодом первой стадии. Этот шеллкод первой стадии расшифровывается и объединяет все фрагменты для формирования шеллкода второй стадии, который является загрузчиком и основной вредоносной программой.

Основной компонент вредоносной программы (OpcJacker) представляет собой интересный стиллер, который устанавливает постоянство с помощью методов запуска реестра и планировщика задач. Затем он запускает функцию clipper, которая отслеживает буфер обмена на предмет криптовалютных адресов и заменяет их на собственные криптовалютные адреса, контролируемые злоумышленниками. Наконец, virtual_launch_exe запускает исполняемый файл, который, по нашим наблюдениям, является либо NetSupport RAT, либо загрузчиком NetSupport RAT, либо hVNC.

Атакующие, стоящие за этой кампанией, по-видимому, преследуют финансовые цели, поскольку основная задача вредоносной программы - кража криптовалютных средств с кошельков. Кроме того, универсальные функции OpcJacker позволяют ему выступать в качестве похитителя информации или загрузчика вредоносного ПО, что означает возможность его использования не по назначению.

Анализ образцов показывает, что вредоносный код может находиться на стадии разработки и тестирования. Учитывая его уникальный дизайн в сочетании с различными функциями, подобными VM, не исключено, что вредоносная программа может оказаться популярной среди угрожающих субъектов и, следовательно, может быть использована в будущих угрожающих кампаниях. Поэтому важно сохранять бдительность и принимать превентивные меры против этой вредоносной программы, например, избегать непроверенных веб-сайтов, устанавливать антивирусное программное обеспечение и поддерживать его в актуальном состоянии.

#ParsedReport
29-03-2023

ASEC Weekly Phishing Email Threat Trends (March 12th, 2023 March 18th, 2023)

https://asec.ahnlab.com/en/50470

Threats:
Smokeloader
Cloudeye
Agent_tesla
Formbook
Variantcrypter

Industry:
Financial, Healthcare, Transport, Logistic

Geo:
Korean

TTPs:

IOCs:
File: 68
Url: 19

Algorithms:
zip

Languages:
php

#ParsedReport
29-03-2023

How Threat Actors are Exploiting ChatGPT's Popularity to Spread Malware via Compromised Facebook Accounts Putting Over 500,000 People at Risk

https://cloudsek.com/blog/how-threat-actors-are-exploiting-chatgpts-popularity-to-spread-malware-via-compromised-facebook-accounts-putting-over-500-000-people-at-risk

Industry:
Financial

Geo:
Pakistan, Philippines, Mexico, Vietnamese, Brazil, Vietnam

IOCs:
Url: 17

Softs:
chatgpt', chatgpt, "chatgpt

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Вредоносные программы распространяются через аккаунты и страницы Facebook и способны похищать личную информацию, системные данные и данные кредитных карт. Компании должны убедиться, что их меры безопасности соответствуют современным требованиям, а пользователи должны с осторожностью относиться к любым ссылкам, отправляемым через рекламу Facebook.
-----

Недавнее исследование CloudSEK выявило тревожную распространенность вредоносного ПО, распространяемого через аккаунты и страницы Facebook. Наше расследование показало, что 13 страниц/аккаунтов Facebook общей численностью более 500 000 подписчиков были взломаны и использованы для распространения вредоносного ПО. Самый старый случай был выявлен 13 февраля 2023 года, а возраст некоторых аккаунтов составляет всего 0 дней.

Вредоносная программа способна похищать личную информацию, системные данные и данные кредитных карт своих жертв. После проверки вредоносной программы через VirusTotal она была отмечена как вредоносная 9 из 61 поставщика средств безопасности. Она обладает возможностями репликации, может повышать привилегии и имеет постоянные механизмы, которые затрудняют ее удаление из системы. Мало того, для размещения вредоносной программы злоумышленники также используют законные веб-сайты, такие как Google Drive, Trello и другие отдельные веб-сайты.

Анализ этих взломанных аккаунтов и страниц в Facebook показал, что ими управляли люди из Вьетнама, Филиппин, Бразилии, Пакистана и Мексики. Кроме того, на многих страницах неоднократно использовалось одно и то же видео, что наводит на мысль о единой группе или отдельном человеке, ответственном за атаки. Кроме того, была обнаружена доска Trello, содержащая карточки, написанные на вьетнамском языке, которые могут дать дополнительные подсказки о происхождении и мотивах угроз.

Помимо вредоносной программы ChatGPT, в ходе нашего исследования были обнаружены поддельные приложения, которые в настоящее время могут использоваться для мошеннических действий. Хотя все компании, против которых направлены эти угрозы, являются законными и не несут ответственности за взломы, некоторые из них предприняли шаги, чтобы предупредить пользователей об обмене конфиденциальной информацией.

Эти результаты показывают, насколько серьезной является проблема распространения вредоносных программ через социальные сети и насколько важно, чтобы пользователи сохраняли бдительность при работе в Интернете. Компании должны убедиться, что их меры безопасности актуальны, а также расследовать любую подозрительную активность в своих сетях. Между тем, пользователи должны всегда остерегаться любых ссылок, отправленных через рекламу Facebook, независимо от того, насколько законными они кажутся, и никогда не делиться своей конфиденциальной информацией.

#ParsedReport
29-03-2023

Spyware vendors use 0-days and n-days against popular platforms

https://blog.google/threat-analysis-group/spyware-vendors-use-0-days-and-n-days-against-popular-platforms

Threats:
Cytrox
Predator
Heliconia_noise_tool

Industry:
Government, Logistic

Geo:
Malaysia, Kazakhstan, Emirates, Mali, Italian, Malaysian, Italy

CVEs:
CVE-2020-3837 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- apple iphone os (<13.3.1)
- apple ipados (<13.3.1)
- apple tvos (<13.3.1)
- apple watchos (<6.1.2)
- apple mac os x (<10.15.3)
have more...
CVE-2022-1134 [Vulners]
CVSS V3.1: 0.0,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- google chrome (<100.0.4896.60)

CVE-2021-30900 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- apple iphone os (15.0, <14.8.1)
- apple ipad os (<14.8.1)
- apple macos (<11.6.1)
- apple ipados (15.0)

CVE-2022-3723 [Vulners]
CVSS V3.1: 0.0,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- google chrome (<107.0.5304.87)

CVE-2023-0266 [Vulners]
CVSS V3.1: 0.0,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.9
X-Force: Patch: Official fix
Soft:
- linux linux kernel (<6.2)

CVE-2022-3038 [Vulners]
CVSS V3.1: 0.0,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- google chrome (<105.0.5195.52)
- fedoraproject fedora (37)

CVE-2023-26083 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2022-22706 [Vulners]
CVSS V3.1: 4.6,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- arm bifrost (<r36p0)
- arm valhall (<r36p0)
- arm midgard (ler31p0)

CVE-2022-42856 [Vulners]
CVSS V3.1: 0.0,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- apple tvos (<16.2)
- apple ipados (<15.7.2)
- apple iphone os (<15.7.2, <16.1.2)
- apple macos (<13.1)
- apple safari (<16.2)
have more...
CVE-2022-2856 [Vulners]
CVSS V3.1: 0.0,
Vulners: Exploitation: True
X-Force: Risk: 6.5
X-Force: Patch: Official fix
Soft:
- google chrome (<104.0.5112.101)
- fedoraproject fedora (37)

CVE-2022-38181 [Vulners]
CVSS V3.1: 0.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- arm midguard gpu kernel driver (ler31p0)
- arm valhall gpu kernel driver (r39p0, ler38p1)
- arm bifrost gpu kernel driver (r39p0, ler38p1)

CVE-2022-4135 [Vulners]
CVSS V3.1: 0.0,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- google chrome (<107.0.5304.121)
- microsoft edge (<107.0.1418.62)
- microsoft edge chromium (<107.0.5304.150)

CVE-2022-4262 [Vulners]
CVSS V3.1: 0.0,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- google chrome (<108.0.5359.94)


IOCs:
Url: 4
Domain: 2
File: 3

Softs:
android, chrome, chromium

Platforms:
arm, apple

Links:
https://github.com/singi/oob\_timestamp

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа анализа угроз Google (TAG) недавно обнаружила две кампании, использующие эксплойты 0-дня для атак на пользователей Android, iOS и Chrome. Эти кампании демонстрируют, как коммерческие поставщики средств наблюдения распространили возможности, которые раньше использовались только правительствами, и как существует серьезный риск для интернета из-за использования этих уязвимостей 0-дня. Google обязуется информировать сообщество и предпринимать шаги для защиты пользователей.
-----

Группа анализа угроз (Threat Analysis Group, TAG) компании Google занимается отслеживанием участников различных информационных операций, атак, поддерживаемых правительством, и злоупотреблений, мотивированных финансовыми соображениями. На протяжении многих лет TAG активно отслеживает деятельность коммерческих поставщиков шпионского ПО, которые предоставляют опасные инструменты взлома правительствам, не способным самостоятельно разработать такие возможности. В этом сообщении в блоге приводятся подробности двух недавно обнаруженных ими целевых кампаний, обе из которых используют 0-день для эксплуатации Android, iOS и Chrome.

В первой кампании использовались 0-day эксплойты, доставленные через ссылки bit.ly, отправленные по SMS пользователям, находящимся в Италии, Малайзии и Казахстане. CVE-2022-42856 - удаленное выполнение кода, использующее проблему путаницы типов в JIT-компиляторе. CVE-2021-30900 - ошибка выхода из песочницы и повышения привилегий в AGXAccelerator, исправленная Apple в версии 15.1. CVE-2022-3723 - уязвимость путаницы типов в Chrome, обнаруженная компанией Avast в дикой природе и исправленная в октябре 2022 года. CVE-2022-4135 - обход GPU-песочницы в Chrome, затрагивающий только Android (0-день на момент эксплуатации), исправлен в ноябре 2022 года. CVE-2022-38181 - ошибка повышения привилегий, исправленная ARM в августе 2022 года. Устройства Pixel с обновлением безопасности 2023-01-05 защищены от обеих цепочек эксплойтов, а также пользователи Chrome, обновленные как минимум до версии 108.0.5359.

Вторая кампания представляла собой цепочку эксплойтов, состоящую из нескольких 0- и n-day эксплойтов, нацеленных на Samsung Internet Browser, которые были доставлены в виде одноразовых ссылок, отправленных через SMS пользователям в Объединенных Арабских Эмиратах (ОАЭ). Цепочка эксплойтов поставляла полнофункциональный шпионский набор для Android, написанный на C++. CVE-2022-4262 и CVE-2023-0266 были 0-днями на момент эксплуатации. CVE-2022-3038 представлял собой выход из песочницы в Chrome, исправленный в августе 2022 года. CVE-2022-22706 - уязвимость в драйвере ядра GPU Mali, исправленная ARM в январе 2022 года и отмеченная как используемая в дикой природе. Цепочка эксплойтов использовала преимущества многочисленных 0-дневных утечек информации ядра. Google сообщил об этих уязвимостях ARM и Samsung, которые были устранены после выхода версии 19.0.6 в конце декабря 2022 года.

Эти кампании демонстрируют степень распространения коммерческими поставщиками средств наблюдения возможностей, которые исторически использовались только правительствами, обладающими техническими знаниями для разработки и внедрения эксплойтов. Индустрия коммерческого шпионского ПО продолжает процветать, и даже мелкие поставщики систем наблюдения имеют доступ к 0-дням. Поскольку использование этих уязвимостей 0-дня часто держится в секрете, существует серьезный риск для Интернета. Также возможно, что эксплойты и методы используются поставщиками средств наблюдения, что способствует распространению опасных инструментов взлома. Google продолжает информировать сообщество и принимать меры по защите пользователей по мере выявления подобных кампаний.