Интересная короткая заметка как обнаружить своими силами один из возможных векторов атак от злоумышленников

Обращаем внимание на ссылки в посте! Они ведут на полезную информацию, которая раскрывает тему в полном объеме :)

В прошлом посте описывали пробив через уязвимость WinRAR, который используется многими атакующими в этом году. Например, хакерская группировка Head Mare часто применяет такую технику для компрометации своих жертв.

С деталями работы этой группировки, атакующей компании в России и Беларуси, можно ознакомиться в отдельном отчёте наших коллег. А здесь мы сконцентрируемся на таком интересном вопросе: какой самый дешёвый способ обнаружить атаку Head Mare до этапа влияния?

На этапе разведки (при включённом журналировании командных строк или EDRе) мы увидим вот такие команды:

cmd /c “echo %USERDOMAIN%”
arp -a
cmd /c “cd /d $selfpath && whoami”
cmd /c “cd /d $appdata && powershell Get-ScheduledTask -TaskName “WindowsCore””

Чтобы установить, насколько критичны подобные события и как далеко продвинулся атакующий в инциденте, необходимо посмотреть:
– привилегии пользователя, от которого запускали команды,
– что потенциально могло утечь из памяти (lsass) и/или hive-ов реестра с кредами.

Если есть привилегированные пользователи домена, то оперативность и размах реагирования должны быть масштабными: например, не просто саспенды и смена паролей пользователям, а отключение сетевой связности. И самое главное – необходимо сразу начинать восстанавливать хронологию атаки до первоначального пробива.

Безусловно, это не весь арсенал команд из разведки – пример большого списка смотрите здесь. Но мы отметили самые распространённые команды, которые будут использованы для первого получения доступа.

🤕 Белый хакер Алон Левиев представил на конференции Black Hat инструмент под названием Windows Downdate, позволяющий откатить систему Windows до ранних версий с серьезными уязвимостями.

Этот инструмент использует технические уловки для отката ключевых компонентов операционной системы, включая виртуализацию Hyper-V, ядро системы и драйверы NTFS. Таким образом, он возвращает системе уязвимости, уже исправленные в более новых версиях, что позволяет злоумышленникам использовать известные эксплойты для получения полного контроля над компьютером.

Левиев выложил Windows Downdate в открытый доступ на GitHub, заявив, что его цель - привлечь внимание к проблеме безопасности и побудить разработчиков к действию.

Новость: https://extrim-security.ru/news-ib/tpost/k393l72dt1-teper-lyuboi-mozhet-vzlomat-kompyuter-da

🕹 Злоумышленники используют поддельные пакеты npm для атаки на разработчиков. Один из примеров - кампания с использованием поддельных пакетов "noblox.js". Создаются десятки пакетов, имитирующих легитимные библиотеки.

Они получают видимость легитимности, используя такие названия, как "noblox.js-async", "noblox.js-thread", "noblox.js-threads" и "noblox.js-api". Разработчики, не подозревая о подделке, устанавливают вредоносные пакеты, что приводит к компрометации их систем.

Злоумышленники могут использовать эти пакеты для кражи токенов доступа, паролей и другой ценной информации. Поддельные пакеты также могут использоваться для установки вредоносного ПО, которое может повредить систему или получить полный контроль над компьютером.

Подробнее: https://extrim-security.ru/news-ib/tpost/katmy1p191-nobloxjs-lovushka-dlya-razrabotchikov-ro

🖇 Вредоносная кампания "Волдеморт" использует Google Таблицы для заманивания жертв. Злоумышленники, маскирующиеся под налоговые органы, рассылают фишинговые письма с информацией о налогах. Кампания началась 5 августа 2024 года и атаковала более 70 организаций.

При переходе по ссылке из письма, получатель попадает на лендинг, который проверяет User Agent браузера. Если это Windows, то он перенаправляется на URI TryCloudflare, что является признаком бэкдора "Волдеморт".

Этот бэкдор предназначен для сбора информации и доставки дополнительных полезных нагрузок, что позволяет атакующим получить доступ к данным с устройства жертвы и даже получить полный контроль над системой.

Подробнее: https://extrim-security.ru/news-ib/tpost/oc2uttkjy1-novaya-vredonosnaya-kampaniya-voldemort

🐉 Традиционные антивирусы оказываются бессильными перед новыми, изощренными атаками, такими как использование уязвимости CVE-2023-22527 в продуктах Atlassian Confluence Data Center и Confluence Server для внедрения бэкдора Godzilla.

Ошибка CVE-2023-22527 позволяет злоумышленникам выполнять произвольный код на уязвимых серверах Atlassian, получая полный контроль над системой. Godzilla - это веб-шелл, разработанный китайским хакером «BeichenDream», который использует AES-шифрование для маскировки своих действий.

Атака начинается с внедрения вредоносного кода через уязвимость CVE-2023-22527, затем хакеры используют сложные многоэтапные действия, включая инъекцию кода в оперативную память сервера. Godzilla работает в оперативной памяти, не оставляя следов на жестком диске, делая его практически невидимым для традиционных антивирусных программ.

Подробнее: https://extrim-security.ru/news-ib/tpost/zvrc4fi6c1-godzilla-nanosit-udar

Надеемся, не жиза 🤪

🌐 ФСТЭК России предупредила о критической уязвимости в веб-сервере Apache, получившей идентификатор CVE-2024-38474 и оценку CVSS 9.8.

Уязвимость затрагивает версии 2.4.60 и 2.4.61 и позволяет удаленному злоумышленнику выполнять произвольный код на сервере. Проблема связана с функцией mod_rewrite веб-сервера Apache HTTP Server.

Уязвимость касается только Apache HTTP Server под Windows. Злоумышленник может использовать уязвимость для утечки NTLM-хэшей и компрометации учетных записей пользователей, что приводит к захвату контроля над сервером.

Подробнее: https://extrim-security.ru/news-ib/tpost/xclhddvf61-apache-pod-ugrozoi-sereznaya-uyazvimost

Аналитики компании McAfee выявили наличие вредоносного ПО SpyAgent в 280 различных приложениях для платформы Android.

Это вредоносное ПО использует технологию оптического распознавания символов (OCR) для похищения seed-фраз, то есть фраз восстановления, которые служат резервным ключом для криптовалютных кошельков. Фразы восстановления обычно представляют собой последовательность из 12-24 слов и используются для восстановления доступа к криптокошелькам.

Подробнее: https://extrim-security.ru/news-ib/tpost/f8j23ojm91-280-android-prilozhenii-zarazheni-spyage

☁️ Атака по побочному каналу под названием РЭМБО использует радиосигналы, исходящие от оперативной памяти устройств, для кражи данных.

Это представляет серьезную угрозу для сетей с воздушным зазором, которые считаются наиболее защищенными от кибератак. Вредоносное ПО, внедренное в систему, кодирует конфиденциальную информацию в радиосигналы, которые затем излучаются RAM. Сигналы могут быть перехвачены с помощью SDR-оборудования и обычной антенны на расстоянии.

Подробнее: https://extrim-security.ru/news-ib/tpost/mbzo7kua81-novaya-ataka-po-pobochnomu-kanalu-ugrozh

Атака PIXHELL: похищение данных с помощью шума экрана

Известно, что злоумышленники могут использовать компьютерные динамики для утечки данных через звук, обходя защиту воздушного зазора. Чтобы противостоять этой угрозе, при работе с особо чувствительными данными может быть введено ограничение на использование громкоговорителей или аудиооборудования.

PIXHELL — новый тип атаки скрытого канала, позволяющей хакерам передавать информацию через шум, создаваемый пикселями экрана. Как написал в своей статье руководитель Лаборатории исследований наступательной кибербезопасности на кафедре разработки программного обеспечения и информационных систем в Университете имени Бен-Гуриона в Негеве, для этого не требуется аудиооборудование или динамики. Вредоносный код создаёт специальные шаблоны пикселей, которые генерируют шум в диапазоне частот от 0 до 22 кГц.

Подробнее: https://extrim-security.ru/news-ib/tpost/7zsfdzzb71-ataka-pixhell-pohischenie-dannih-s-pomos

🖥 Компания Microsoft выпустила обновление безопасности, Patch Tuesday, в сентябре 2024 года, которое устраняет 79 уязвимостей в операционной системе Windows. Среди этих уязвимостей есть три, которые уже активно используются злоумышленниками, а также одна ошибка, которая, по мнению Microsoft, является "эксплуатируемой".

Одна из наиболее серьезных уязвимостей, CVE-2024-43491, позволяет злоумышленникам выполнять произвольный код на компьютере жертвы, получая полный контроль над системой. Еще две важные уязвимости, CVE-2024-38226 и CVE-2024-38217, позволяют обходить функции безопасности, блокирующие запуск макросов Microsoft Office. Эти уязвимости требуют от злоумышленника создания специального файла и убеждения цели открыть его. Для использования CVE-2024-38226 злоумышленнику требуется прохождение аутентификации и наличие локального доступа к системе.

Подробнее: https://extrim-security.ru/news-ib/tpost/4fcobfxor1-microsoft-vipustil-ispravleniya-dlya-79

🤖 Исследователи кибербезопасности обнаружили новую вредоносную кампанию, использующую уязвимости в Linux-системах для майнинга криптовалют и DDoS-атак. Основой кампании является вредоносное ПО Hadooken, которое разработано для заражения серверов Oracle Weblogic.

Hadooken использует цепочку атак, начиная с эксплуатации известных уязвимостей и заканчивая извлечением самого ПО с удаленных серверов. После проникновения Hadooken удаляет другое вредоносное ПО Tsunami и запускает майнер криптовалюты, используя вычислительные ресурсы зараженного сервера. Затем скрипт оболочки Hadooken анализирует данные SSH для распространения на другие серверы в сети.

Таким образом, Hadooken создает ботнет для DDoS-атак и майнинга. Зараженные серверы используются для майнинга без ведома владельцев, что приводит к значительным затратам на электроэнергию и снижению производительности.

Подробнее: https://extrim-security.ru/news-ib/tpost/mjjby7ohz1-novaya-ugroza-dlya-linux-sistem-sochetay

🕸 Специалисты "Доктор Веб" обнаружили новый бэкдор, получивший название Android.Vo1d, который заразил почти 1 300 000 ТВ-приставок на базе Android в 197 странах мира.

Android.Vo1d способен скрытно загружать и устанавливать на устройства стороннее ПО, представляя серьезную угрозу для пользователей. Он внедряет свои компоненты в системную область устройства, оставаясь незаметным для стандартных антивирусных средств.

На одной из затронутых приставок были изменены объекты install-recoverysh и daemonsu, а также появились новые файлы: /system/xbin/vo1d, /system/xbin/wd, /system/bin/debuggerd, /system/bin/debuggerd_real.

Подробнее: https://extrim-security.ru/news-ib/tpost/eyj3a5omv1-novii-bekdor-androidvo1d

🪐 15 сентября 2024 года научный сотрудник НАСА Кайл Кабасарес потряс мир науки своим сообщением. Он рассказал о том, как нейросеть OpenAI ChatGPT o1 за час создала рабочий код для его докторской диссертации, над которым он самостоятельно работал 10 месяцев.

Нейросеть сгенерировала код, способный обрабатывать данные и выполнять необходимые вычисления, используя всего шесть запросов.

Важно отметить, что этот код был создан для работы с синтетическими данными, а не с реальными астрономическими данными. Для полноценной работы программы потребуется дополнительная информация и использование специализированного программного обеспечения.

Подробнее: https://extrim-security.ru/news-ib/tpost/lkbovink31-iskusstvennii-intellekt-v-nauke-chatgpt

58% компаний сталкиваются с атаками на свою инфраструктуру два раза в год и более

Компания Гарда выпустила итоги опроса, в котором приводится статистика взаимодействия компаний с кибератаками

Самые распространенные атаки за прошедший год: фишинг, DDoS-атака, социальная инженерия

- 79% компаний столкнулись с фишингом🎏

- половина была подвержена DDoS-атаке🤖

- у 67% опрошенных стоят файерволы, на втором месте по популярности SIEM системы, третье место занимает WAF🛡

- 6% готовы полностью перейти на автоматическое реагирование, без участия специалистов ИБ⚙️

- 41% готовы или уже внедрили систему автоматического оповещения о возникновении инцидента💡

NetCase Day - это новый формат мероприятия.

Митап честных кейсов по сетевой безопасности от наших партнеров Positive Technologies. Уже завтра, 24 сентября в 16:00 по мск, пользователи будут делиться своим опытом работы с PT NAD и PT Sandbox.

Рассматривать будем с трех сторон: разработчики, интеграторы и заказчики.

Взгляд интегратора на PT NAD будет представлять наш эксперт по сетевой безопасности!

Регистрируйтесь и слушайте профессионалов! 😎

🔨 Исследователи кибербезопасности из голландской компании ThreatFabric обнаружили новую версию банковского трояна для Android, получившего название Octo2.

Эта версия представляет собой серьёзную угрозу для пользователей, так как обладает улучшенными возможностями для захвата устройств (DTO) и осуществления мошеннических транзакций. Octo2 является эволюцией трояна Octo, замеченного в начале 2022 года. Разработчики уделили особое внимание стабильности функций DTO, что повышает эффективность атак.

Octo2 распространяется через вредоносные приложения, маскирующиеся под популярные программы. Основные цели злоумышленников – пользователи в Италии, Польше, Молдове и Венгрии.

Подробнее: https://extrim-security.ru/news-ib/tpost/950dlndcp1-octo2-evolyutsiya-bankovskogo-troyana-dl

💀 Уязвимость CVE-2024-7593, которая затрагивает Ivanti Virtual Traffic Manager (vTM). Она получила высокую оценку опасности CVSS 9,8 и может позволить злоумышленнику обойти систему защиты и получить доступ к панели администратора без прохождения аутентификации. Это дает возможность создать фиктивные учетные записи с правами администратора и полностью контролировать устройство.

Незаконное проникновение в систему vTM может привести к хищению данных, перехвату трафика, несанкционированному доступу к чувствительной информации и даже к полной потере контроля над сетью. Злоумышленники могут использовать доступ к vTM для запуска вредоносных программ, дискредитации сети и проведения DDoS-атак.

Подробнее: https://extrim-security.ru/news-ib/tpost/dl5tbxoag1-kriticheskaya-uyazvimost-ivanti-vtm-i-pr

🦊 Некоммерческая организация по защите персональных данных noyb, базирующаяся в Вене, подала жалобу на разработчика браузера Firefox, компанию Mozilla. Причиной стал спор вокруг новой функции браузера под названием Privacy-Conservating Attribution (PPA).

По мнению noyb, данная функция нарушает право пользователей на неприкосновенность частной жизни, так как была включена по умолчанию без явного согласия пользователей. noyb также утверждает, что PPA позволяет Firefox тайно отслеживать поведение пользователей на веб-сайтах, перекладывая ответственность за отслеживание с веб-сайтов на браузер.

Mozilla, в свою очередь, заявляет, что PPA - это неинвазивный способ для сайтов понять, как работает их реклама, без сбора данных об отдельных людях. Компания позиционирует PPA как альтернативу межсайтовому отслеживанию, которое считается нарушением конфиденциальности.

Однако, существует спор о том, насколько PPA действительно защищает конфиденциальность пользователей. noyb считает, что технология создает новый уровень отслеживания, скрытый от пользователей. Mozilla же утверждает, что это шаг в направлении более конфиденциального интернета.

Подробнее: https://extrim-security.ru/news-ib/tpost/z878a8n9b1-noyb-obvinyaet-firefox-v-skritom-otslezh

🌚🚘 Специалисты по кибербезопасности выявили уязвимости в автомобилях Kia, позволяющие злоумышленникам удаленно управлять функциями транспортного средства через его номерной знак.

Атаки могут быть выполнены за 30 секунд на любом автомобиле, выпущенном после 2013 года, независимо от подписки Kia Connect. Уязвимости затрагивают конфиденциальную информацию владельца, включая имя, номер телефона, адрес электронной почты и физический адрес.

Злоумышленник может добавить себя в качестве второго пользователя автомобиля, используя инфраструктуру дилерского центра Kia для регистрации поддельных учетных записей. Жертва не получает уведомлений и её права доступа не изменяются, что позволяет злоумышленнику отслеживать владельца и отправлять команды, такие как разблокировка или гудок.

Подробнее: https://extrim-security.ru/news-ib/tpost/uppta6isl1-kia-stali-uyazvimi-dlya-atak-na-rasstoya