Хакеры вербуют сотрудников банков с помощью заманчивых предложений

Фишеры рассылают сотрудникам электронные письма и сообщения якобы с предложением работы от банка-конкурента. Однако на самом деле предложение является фиктивным, а сообщение содержит вредоносный «сюрприз», сообщает исследовательская команда HP Wolf Security.

Для рассылки фишинговых писем злоумышленники используют электронные адреса, очень похожие на настоящие, но с отличием в один-два символа (так называемый тайпсквоттинг – атака, при которой мошенники используют имена доменов, похожие на настоящие, но с «опечаткой», в надежде, что жертва не заметит разницы).

Если жертва попадается на удочку, ей приходит второе письмо с HTML-вложением. После открытия файла его содержимое декодируется и отображается в виде окна web-загрузчика. Жертве предлагается загрузить файл, который уже хранится на компьютере. Злоумышленники используют данную технику, известную как HTML smuggling, для эффективного обхода механизмов безопасности, блокирующих трафик вредоносных сайтов.

Файл содержит VBS-скрипт, который после двойного нажатия на него мышью инициирует создание ключа реестра для обеспечения постоянства на системе, выполнение скриптов PowerShell и развертывание GuLoader.

GuLoader – загрузчик для доставки на атакуемую систему вредоносного ПО RemcosRAT. Вредонос представляет собой коммерческий троян для удаленного доступа (RAT), предлагаемый на киберпреступных форумах по подписке за невысокую плату.

Предназначенный для атак на Windows-ПК троян оснащен функцией кейлоггера, а также способен делать снимки экрана, следить за жертвой через камеру и микрофон компьютера, похищать данные ОС и персональные файлы, фиксировать активность жертвы в браузере и загружать дополнительное вредоносное ПО.

Атакуя сотрудников банков, злоумышленники, вероятнее всего, пытались получить доступ ко внутренним системам банков либо через корпоративные машины, либо через личные устройства персонала, работающего удаленно.

͏Apache допилили исправления для критической уязвимости RCE в своем популярном проекте Struts, которая ранее считалась устраненной, но, как оказалось, не до конца.

Критическая уязвимость CVE-2021-31805 присутствует версиях Struts 2 от 2.0.0 до 2.5.29 включительно и является результатом неполного исправления, которое было применено для CVE-2020-17530, а также ошибки OGNL Injection с рейтингом 9,8.

Struts - представляет собой среду разработки приложений с открытым исходным кодом, используемую веб-разработчиками Java для создания приложений модель-представление-контроллер (MVC), в свою очередь, язык навигации по объектным графам (OGNL) представляет собой язык выражений (EL) с открытым исходным кодом для Java.

Еще в 2020 году исследователи Альваро Муньос из GitHub и Масато Анзай из Aeye Security Lab сообщали об уязвимости в Struts2 версий 2.0.0–2.5.25, реализуемой при определенных обстоятельствах, которую Apache устранили в Struts версии 2.5.26. Однако чуть позже исследователь Крис МакКаун обнаружил, что исправление оказалось неполным, о чем и уведомил разработчика.

Пользователям рекомендуется обновиться до Struts 2.5.30 или более поздней версии, избегая при этом использования принудительной оценки OGNL в атрибутах тега на основе ненадежного пользовательского ввода.

Кроме того, Apache рекомендует следовать руководству по безопасности. Ведь как помнится, CVE-2017-5638 в Struts 2 OGNL Injection ранее использовалась злоумышленниками, в том числе для доставки ransomware. Именно эта бага привела в 2017 году в серьезному инциденту с печальными последствиями в Equifax.

Новая атака вымогателей Quantum произошла после того, как хакеры признали публично, что ситуация на Украине повлияля на их работу, но они вновь возвращаются к ransomware.
 
За последние 12 часов группа добавила 5 жертв на свой DLS, одна  из них с выручкой в 2 миллиарда долларов - Jetstar. На кону оказалось 43 ГБ похищенных у компании данных, включая финансовую информацию, сведения о сотрудниках и клиентах.
 
Jetstar Airways является дочерней компанией крупнейшего авиаперевозчика Qantas и третьей по величине авиакомпанией Австралии. Компания обслуживает широкую сеть внутренних австралийских авиалиний, а также обеспечивает сервис на некоторых международных линиях. Основной базой авиакомпании является аэропорт города Мельбурн.
 
А их коллеги из Everest, обещавшие слить USA GOV, тем временем прихлопнули зарубежного поставщика из Канады, попутно выкрав 96 ГБ, в том числе более 10 000 личных данных на граждан Канады.

​😵‍💫 Тайпсквоттинг. Социальная инженерия.

Тайпсквоттинг — регистрация доменных имен, близких по написанию к доменным именам различных интернет-ресурсов, но содержащих ошибки в последовательности написания символов, входящих в доменное имя.

🖖🏻 Приветствую тебя user_name.

• В далеком 2015 году, в Великобритании был осужден Нил Мур — мошенник, который занимался обманом сотрудников различных организаций, посредством социальной инженерии. Если совсем коротко, то Нил звонил в различные компании, вёл разговор от лица банка и убеждал наивных сотрудников перевести деньги на его счёт. Таким образом он смог заработать более 1.8 миллиона фунтов стерлингов.

• После того как Нила поймали и заключили под стражу, ему удалось обвести вокруг пальца и персонал тюрьмы, причем очень неожиданным способом: при помощи мобильного телефона, тайно пронесенного в камеру другими заключенными, он зарегистрировал домен hmcts-gsi-gov.org.uk — тайпсквоттинг от hmcts.gsi.gov.uk (в прошлом, этот домен использовался правоохранительными органами Великобритании). Домен был зарегистрирован на имя следователя, рассматривавшего его дело, а в качестве адреса владельца домена был указан Королевский судный двор.

• Затем Нил Мур с этого домена отправил на адрес тюрьмы поддельное письмо с указанием отпустить его на свободу. Персонал тюрьмы ничего не заподозрил и отпустил мошенника. Обман оставался незамеченным целых три дня, прежде чем мошенник снова оказался в руках полиции.

• По итогу, Тайпсквоттинг — это очень крутая штука, которая эксплуатирует опечатки в написании доменных имен и является одним из основных методов фишинга по сей день. Ошибки в написании доменного имени могут быть как механические (например, рядом стоящие клавиши на клавиатуре), так и орфографические.

• Помощником в применении этого метода, выступает крутая тулза — Urlcrazy. С ее помощью ты не только сгенерируешь множество фейковых доменных имен по предоставленному оригинальному домену, но и проверишь часть из них на занятость. Битфлип, тайпсквоттинг, ошибки произношения, записи по телефону, опечатки — все это генератор urlcrazy учитывает и выдает тебе целый список доменов, которые можно использовать в фишинге. Каждая мутация снабжена отдельным пояснением, а также информацией о занятости доменного имени: https://github.com/urbanadventurer/urlcrazy

‼️ Прокачать навыки Социальной Инженерии и получить ценную информацию, ты всегда можешь по хештегу #СИ, #Профайлинг #Пентест и #Фишинг. Твой S.E.

Вслед за стабильным Google выпустила экстренное обновление Chrome 100.0.4896.127 для Windows, Mac и Linux, чтобы исправить серьезную 0-day, активно используемую злоумышленниками в атаках. Это уже третья 0-day в Chrome с начала года (14 февраля - CVE-2022-0609, 25 марта - CVE-2022-1096)

Компания заявляет, что ей известно об эксплойте для CVE-2022-1364 в дикой природе. Более того, компания фиксировала и атаки с использованиям новой CVE, однако технические детали не приводит.
 
Уязвимость была обнаружена Клементом Лесинем из группы анализа угроз Google, который  сообщил о команде Google Chrome. Ошибка представляет собой серьезную уязвимость, связанную с путаницей типов в движке JavaScript Chrome V8.

Такие недостатки обычно приводят к сбоям браузера после успешного использования путем чтения или записи памяти за пределы буфера, злоумышленники также могут использовать их для выполнения произвольного кода.

Несмотря на то, что обновление Chrome будет выпущено в ближайшие несколько недель, пользователи могут получить его уже сейчас, подгрузив патч через настройки. Учитывая активную эксплуатацию, настоятельно рекомендуем сделать это как можно скорее.

Пользователи Windows попали под прицелы хакеров.

Все дело в том, что после исправления Microsoft критической уязвимости Windows RPC CVE-2022-26809 в паблике просочились технические подробности, которые могут лечь в основу работающего эксплойта.

Протокол удаленного вызова процедур Microsoft (RPC) — это протокол связи, который позволяет процессам взаимодействовать друг с другом, даже если эти программы выполняются на другом устройстве, реализуя удаленные подключения через порты TCP, чаще всего 445 и 135.

По оценкам исследователей, новая уязвимость несет в себе серьезную угрозу в силу ее потенциальной возможности широкомасштабных и серьезных кибератак после разработки эксплойта, подобных инцидентам с Blaster 2003 года, Wannacry 2017 года и Eternal Blue.

Ведь в случае взлома любые команды будут выполняться с тем же уровнем привилегий, что и RPC-сервер, который во многих случаях имеет повышенные или системные разрешения, предоставляя полный административный доступ к эксплуатируемому устройству. Уязвимость идеальна для бокового распространения в сети.

К этому времени исследователям из Akamai удалось разобрать ошибку до переполнения буфера кучи в rpcrt4.dll. При этом они выяснили, что ошибка целочисленного переполнения может привести к переполнению буфера кучи, когда данные копируются в буфер, который слишком мал для его заполнения. Это, в свою очередь, позволяет записывать данные за пределы буфера в кучу. При правильном использовании этот примитив может привести к удаленному выполнению кода.

Проэксплуатировать уязвимость смог и Антонио Кокомаци из Sentinel One на собственном RPC-сервере, а не на встроенной службе Windows, определив, что для уязвимости требуется определенная конфигурация RPC.

Вместе с тем, как заключил Мэтью Хики из Hacker House, уязвимая rpcrt4.dll используется не только службами Microsoft, но и другими приложениями, которые будут также уязвимы в режиме клиент/сервер, включая агентов резервного копирования, антивирусы, программное обеспечение для конечных точек и даже инструменты пентеста, использующие RPC.

Пока исследователи все еще работают над выяснением всех технических деталей ошибки, а умельцы пилят эксплойты администраторам рекомендуется в приоритетном порядке инициировать исправление устройств, используя апрельский PatchTuesday, что еще более актуально для корпоративных систем Windows. Ресерчеры ожидают атак с использованием уязвимости уже в ближайшие недели.

Прозвучит смешно, но снова компания по информационной безопасности исправляет ошибки безопасности своих продуктов по обеспечению безопасности.

В этот раз Palo Alto Networks проинформировала клиентов об уязвимостях, которые могут позволить злоумышленнику отключить ее продукты, а именно Cortex XDR – свою топовую платформу по обнаружению и реагированию на компьютерные угрозы с обширным покрытием – от защиты конечных точек до сетевой и облачной защиты.

О проблемах стало известно от энтузиаста с ником mr.d0x, который сообщил, что ее агент Cortex XDR может быть обойден злоумышленником с повышенными привилегиями.

Исследователь обнаружил, что агент может быть отключен локальным злоумышленником с правами администратора, просто изменив ключ реестра и оставив конечную точку уязвимой для атак. Причем функция защиты от несанкционированного доступа не поможет предотвратить использование этого метода.

Еще Mr.d0x выявил, что по умолчанию существует «пароль для удаления», который — если он не был изменен администратором — также может использоваться для отключения агента XDR. А если пароль по умолчанию все же был изменен, хэш нового пароля можно получить из файла, что дает возможность злоумышленнику попытаться взломать пароль. Кроме того, злоумышленник, не имеющий прав администратора, тоже может получить этот хэш.

Специалист рассказал, что обнаружил эти уязвимости еще летом 2021 года, но только сейчас опубликовал сообщение в блоге с подробным описанием результатов, чтобы дать поставщику достаточно времени для принятия соответствующих мер. Однако Palo Alto Networks все еще работает над исправлениями и средствами защиты от этих проблем.

Помимо прочего, компания по кибербезопасности проинформировала клиентов об уязвимости отказа в обслуживании (DoS), затрагивающей функцию DNS-прокси в ее программном обеспечении PAN-OS. При реализации сценария MitM-атаки (человек посередине), злоумышленник может использовать специально созданный трафик для нарушения работы уязвимых брандмауэров. Патчи обновлений доступны для всех поддерживаемых версий PAN-OS.

Также при реализации MitM злоумышленник может запустить DoS-атаку на PAN-OS, приложение GlobalProtect и агент Cortex XDR, используя недавно исправленную уязвимость OpenSSL, отслеживаемую как CVE-2022-0778.

В Palo Alto Networks заявили, что ей неизвестны атаки с использованием этих уязвимостей в дикой природе и по мнению компании эти ошибки имеют рейтинг серьезности «средний», «низкий» или «информационный».

В плагине конструктора сайтов Elementor для WordPress обнаружена критическая ошибка RCE.

Плагин для создания веб-сайтов Elementor насчитывает более чем пять миллионов активных установок. Выявленная уязвимость связана с аутентифицированной ошибкой удаленного выполнения кода, которая может быть использована для захвата уязвимых веб-сайтов.

Почти 37 % пользователей плагина используют уязвимую версию плагина 3.6.x., ведь обнаруженная на прошлой неделе бага появилась, начиная версии 3.6.0. Вкратце, проблема связана со случаем произвольной загрузки файлов на уязвимые веб-сайты, что может привести к выполнению кода.

Patchstack отмечает, что эта уязвимость может позволить любому аутентифицированному пользователю, независимо от его авторизации, изменить название сайта, логотип сайта, изменить тему на тему Elementor и более того загружать произвольные файлы на сайт.

Ошибка уже устранена в последней версии Elementor. Пользователям плагина рекомендуется обновиться, PoC уже доступен.

И как обычно ни дня без ransomware
 
Новые жертвы появились на DLS вымогателей Conti (Ryuk), среди которых засветилось Министерство финансов Коста-Рики, а также  крупный ритейлер одежды и аксессуаров из США. Правда через какое-то время их данные с сайта были удалены. Неужели договорились?
 
PYSA ransomware group удивила своими инструментами, среди которых достаточно интересна утилита полнотекстового поиска, которая позволяет группе идентифицировать определенные файлы из эксфильтрованных данных. Но интереснее другое - избранные поисковые слова в панели управления.
 
Исследователи отметили особенность в работе Hive, участники которой внимательно отслеживают признаки детектирования ransomware в AV и следят за YARA правилами. Одни из тестовых наборов образцов ПО был загружен самим автором на VT.
 
Пока немецкий производитель ветряных турбин Nordex SE пытается восстановить пошифрованные системы после атаки вымогателей Conti.
 
А вот их коллеги из ветротехнической компании Windtechnik AG из Бремена испытали перехватили эстафету, испытав на себе ransomware во всей красе. Организация со штатом около 2000 сотрудников специализируется на техническом обслуживании и эксплуатации ветряных турбин на суше и на море.

В результате атаки работа ветряных турбин не остановилась, чего не скажешь о штаб-квартире и серверном комплексе компании в Рендсбурге. Еще начав расследование, эксперты пришли к выводу о связи инцидента с событиями на Украине и обвинениям понятно в чей адрес.

͏Американская компания Juniper Networks объявила о выпуске исправлений для более чем 30 уязвимостей, включая критические недостатки в Contrail Networking и Junos OS.

В общей сложности были опубликованы два бюллетеня, описывающие 13 уязвимостей в безопасности решений для Contrail Networking, причем семь ошибок имеют оценку CVSS выше 9,0.

Первая из рекомендаций охватывает десять проблем, влияющих на версии Contrail Networking до 2011.L4, пять из которых оцениваются как критические и все они были обнаружены в прошлом году. Наиболее серьезными из них являются две баги связанные с переполнением буфера в Pillow (CVE-2021-25289 и CVE-2021-34552) и одна с переполнением динамической памяти в HTTP-сервере Apache (CVE-2021-26691). Все трое имеют оценку CVSS 9,8. Две других ошибки с оценкой CVSS 9,4 влияют на преобразователь nginx (CVE-2021-23017) и пакет xmlhttprequest-ssl (CVE-2021-31597).

Второй бюллетень описывает две критические проблемы в Contrail Networking до версии 21.3. К ним относятся ошибка удаленного выполнения кода в Git для Visual Studio (CVE-2019-1349) и отказ в обслуживании (DoS) в функции pcre_compile в pcre_compile.c в PCRE (CVE-2015-8391).

Также Juniper Networks объявила об исправлениях 14 уязвимостей в Junos OS и Junos OS Evolved, десять из которых снова с высоким рейтингом серьезность, так как в определенных условиях могут привести к выполнению кода или отказу в обслуживании.

В компании заявили, что ей неизвестно ни об одной из этих уязвимостей ОС Junos, которые используются в атаках, но тем не менее призвала клиентов как можно скорее обновиться до актуальной версии.

Пользователям и администраторам необходимо ознакомиться с рекомендациями и немедленно применить необходимые исправления, значит обоснованные опасения все же имеются. И несмотря на санкции заокеанских "товарищей" доступ к рекомендациям и обновлениям пока доступен.

Американские власти всерьез решили по-серьезному взяться за северокорейской APT Lazarus, обвинив во второй по величине краже криптовалюты Ronin Network на 600 миллионов долларов и наложив санкции на в отношении адреса Ethereum, куда переводились украденные 173 600 эфиров (ETH).
 
По данным Elliptic, общая стоимость украденных криптоактивов на момент кражи могла составлять 540 миллионов долларов. 
 
Несмотря на то, что обвинения американских правоохранителей конечно коррелируют с известными случаями участия северокорейских хакерских групп в атаках на криптобанки и криптовалютные биржи, какой-либо атрибуции в официальном сообщении МинфинаСША помимо блокнутого реквизита ETH попросту нет.
 
Вслед за Минфином обвинения в атаках на южнокорейских компании химического и IT секторов выкатили Symantec, которые обнаружили продолжение кампании кибершпионажа, получившей название Operation Dream Job (впервые наблюдалась в августе 2020 года), включающей хитроумные приманки и и умную социальную инженерию. Symantec отслеживает эту часть активности Lazarus как Pompilus.
 
Целью кампании является кража объектов интеллектуальной собственности для использования в собственных разработках КНДР. И по мнению исследователей, работа АРТ в этом направлении проходит достаточно успешно.
 
Dream Job реализует фишинговые предложения о работе с вредоносными ссылками или вложениями, которые в конечном итоге приводят к установке вредоносного ПО для шпионажа. Атрибуция новой волны включает хэши файлов, имена файлов и инструменты, которые наблюдались в предыдущих кампаниях Dream Job.
 
Типичная атака начиналась с получения вредоносного HTM-файла, который копировался в файл DLL с именем scskapplink.dll и внедрялся в INISAFE Web EX Client. В свою очередь, scskapplink.dll обычно представляет собой подписанный троянский инструмент. При этом злоумышленники были замечены с использованием следующих подписей: DOCTER USA, INC и "A" MEDICAL OFFICE, PLLC.
 
Позже scskapplink.dll выполнял дополнительную полезную нагрузку с С2, запуская цепочку загрузчиков шелл-кода, которые реализовывали произвольные команды злоумышленников, а также дополнительные вредоносные программы.
 
Перемещения по сети осуществлялись с помощью Windows (WMI), внедряясь в MagicLine посредством DreamSecurity. Также злоумышленники развертывали посткомпрометирующие инструменты: SiteShoter, IP Logger, WakeOnLAN, FastCopy.
 
Примечательно, что отчет ресерчеров Symantec вышел в тот же день, когда правительством США была назначена «Награда за правосудие» (RFJ) в размере 5 миллионов долларов за информацию в отношении попыток Северной Кореи обойти финансовые санкции, включая и оборот криптоактивов и кибердеятельность. По срокам, вероятно, кураторы из спецслужб сориентировали, а может и с отчетом подсобили.

Исследователи из турецкой Infinitum окончательно расчехлили хакеров Karakurt, которые тесно связаны с деятельностью синдиката Conti Ransomware.
 
Результаты работы исследователей подтвердили предположения Advanced Intelligence о том, что Karakurt является побочным бизнесом Conti с целью для монетизации неудачных атак с шифрованием.
 
Ранее Arctic Wolf также фиксировали повторную компрометацию жертвы Conti уже после выплаты выкупа, которую проводили Karakurt через заранее оставленный бэкдор Cobalt Strike.

Chainalysis также выявили несколько используемых Karakurt кошельков, с которых криптовалюта пересылалась на кошельки, контролируемые Conti, а в некоторых слуяаях и вовсе их жертвы рассчитывались сразу на адреса Conti.

Karakurt действуют как минимум с июня 2021 года, специализируясь на краже корпоративных данных и вымогая у ее владельцев выкуп под угрозой публикации сведений. С сентября по ноябрь 2021 года жертвами Каракурта стали более 40 организаций.

Атрибутировать группу удалось после перехвата VPS-сервера Conti. Для этого исследователям пришлось хакнуть учетную запись ProtonMail и Mega Upload одного из участников группы, на котором и обнаружились данные для доступа. Сервер располагался на Inferno Solutions и размещал более 20 ТБ файлов, пострадавших от Conti жертв, некоторые из которых еще не были опубликованы. Все манипуляции стали возможны благодаря утечке, устроенной недоброжелателями Conti еще 27 февраля 2022 года.

Исследователи заметили, что скомпрометированный хакер использовал FTP-клиент FileZilla для подключения к нескольким серверам для загрузки и скачивания украденных данных. Кроме того, он же обращался и к 209.222.98.19, на котором участники Karakurt размещали свой DLS.

Воспользовавшись непропатченной уязвимостью в FileZilla, Infinitum смогли получить учетные данные SSH для C2 Karakurt. Закрытый ключ SSH позволил им подключиться к веб-серверу банды в TOR.

Кроме того, исследователи вскрыли используемые в атаках инструменты, среди которых оказались: Ligolo-ng (инструмент для туннелирования), Metasploit (используется в качестве C2-сервера на этапе пост-эксплуатации для получения обратного шелла и для перебора SMB-ресурсов и RDP-соединений), Impacket (используется для атак NTLM-relay для бокового перемещения после получения начального доступа), Dated (сценарий автоматической установки и управления прокси-сервером Dated-Socks5 для обратного туннелирования).

Отчет Infinitum IT только подтверждает наши доводы о том, что вымогатели в условиях активного противодействия со стороны властей и спецслужб будут переходить к более агрессивным атакам, преследуя цель максимализации прибыли.

Минутка политинформации.

На фоне происходящих событий скандалы со слежкой за пользователями через взломанные устройства со стороны властей "демократических" стран и подчиненных им спецслужб как-то отошли на второй план. И действительно - когда кибератаки официально поддерживаются рядом ранее уважаемых инфосек экспертов, а деньги блокируются банками только на основании наличия у клиента российского паспорта, про приватность как-то не особо вспоминается.

Но у значительной части западного плебса еще остается хрупкая надежда, что подобные кунштюки можно проделывать только в отношении "людей второго сорта" - русских, иранцев, сирийцев и прочего народонаселения, живущего преимущественно южнее Танжера и восточнее Алеппо (бгггг, наивные).

Поэтому очередная история про то, что власти ядрового европейского государства позволяют себе повальный взлом внутренних оппозиционеров, пока что имеет шанс попасть на первые страницы профильных изданий. Но, по секрету, это тоже не надолго. Ибо уверенное движение политбюро ЕС к введению эмбарго на российские энергоносители кагбе намекает, что возможность зарядить свои смартфоны будет вскоре не только лишь у всех.

Citizen Lab, пристально следящая за израильской NSO Group с ее кибершпионскими вредоносами, поставляемыми во многие страны мира, выпустила очередное разоблачение, в котором засветились власти Испании. Выяснилось, что в период с 2017 по 2020 годы испанцы с помощью Pegasus следили за каталонскими членами Европарламента, действующими и бывшими президентами Каталонии, а также кучей других товарищей и членами их семей, так или иначе связанных с каталонской общественно-политической жизнью.

Напомним, что Каталония - это автономия в составе Испании, жители которой периодически пытаются провести референдум о выходе из состава Королевства.

В числе прочих интересностей исследователи Citizen Lab обнаружили 0-click эксплойт ранее не выявленной уязвимости в iOS, который они назвали HOMAGE. Судя по всему, дырка была актуальна вплоть до iOS 13.2.

Вообще, мнится нам, количество выявляемых критических уязвимостей в iOS как-то не совсем соответствует "максимальной безопасности пользователей, основанной на уникальных возможностях устройств Apple". Так что скорее всего купертиновцы конвеерно вшивают 0-day дырки в новые версии iOS по заказу больших дядей из АНБ, а хитрые сыны израилевы каким-то образом раскрывают часть из них (а может американцы специально им сливают), чтобы в дальнейшем использовать в своем кибершпионском ПО. Ибо гешефт ☝️

Исследователи Лаборатории Касперского выпустили дешифратор для жертв ransomware Yanluowang.
 
Обнаруженная в ходе изучения алгоритма шифрования Yanluowang уязвимость позволила восстанавливать зашифрованные файлы пострадавших пользователей с помощью атаки по известному открытому тексту.
 
Yanluowang впервые проявили себя в октябре 2021 года. Ransomware использовалось в управляемых целенаправленных атаках на предприятия. Месяц спустя один из операторов атаковал американские организации в финансовом секторе, используя при этом вредоносное ПО BazarLoader для разведки.

Основываясь на TTP, использованных в этих атаках, этот оператор Yanluowang был связан с Thieflock и группой Fivehands (отслеживается Mandiant как UNC2447).
 
После развертывания в скомпрометированных сетях Yanluowang останавливает виртуальные машины, завершает все процессы и шифрует файлы, добавляя одноимённое расширение и оставляя заметки о выкупе README.txt. Для давления на жертв используются распределенные атаки типа «отказ в обслуживании» (DDoS), угрожая повторной атакой с удалением данных.
 
Штамм вымогателя шифрует файлы размером более 3 ГБ и меньше 3 ГБ, используя разные методы: большие файлы частично шифруются полосами по 5 МБ через каждые 200 МБ, а меньшие полностью шифруются от начала до конца.
 
Для расшифровки потребуется хотя бы один из исходных файлов:
- для небольших файлов (менее или равных 3 Гб) - пара файлов размером от 1024 байт и более;
- для расшифровки больших файлов (более 3 ГБ) - пара файлов (зашифрованный и оригинальный) размером не менее 3 ГБ каждый.
 
Инструмент расшифровки реализован Лабораторей Касперского в формате утилиты RannohDecryptor, доступной для загрузки с сервера компании.

Группа исследователей из Университета Висконсин-Мэдисон и Чикагского университета Лойолы прошерстили популярные приложения для видеоконференций VCA, в том числе используемые в корпоративных средах, обнаружив возможности доступа к микрофону, даже если звук пользователя отключен.

Исследователи вскрыли и тот факт, что некоторые приложения помимо постоянного отслеживания микрофона, считывают и данные телеметрии для точного определения различных типов фоновых действий, выполняемых пользователями. Кроме того, механизм контроля конфиденциальности для отключения микрофона зависит от приложения и не имеет связанного с ним аппаратного индикатора, в отличие от камеры.

Исследователи изучили, каким образом BlueJeans, Cisco Webex, Discord, Google Meet, GoToMeeting, Jitsi Meet, Microsoft Teams/Skype, Slack, WhereBy и Zoom (Enterprise) взаимодействуют с микрофоном, и обнаружили, что все они могут активно запрашивать микрофон, даже если звук пользователя отключен. Более того, на основе отправленных VCA пакетов телеметрии исследователи по разработанному классификатору фоновой активности смогли точно определить шесть типов общих фоновых действий, при этом микрофон был отключен.

Выявлено особенность, связанная с тем, что собственные реализации приложений для основных ОС ведут себя иначе, нежели чем их веб-аналоги, которые запрашивают доступ к микрофону через веб-браузер. При этом большинство нативных VCA для Windows и macOS могут проверять, говорит ли пользователь, даже когда звук отключен, но не производят непрерывную выборку звука. Однако когда дело доходит до веб-приложений, используется функция программного отключения звука браузера, которая указывает драйверу микрофона полностью отключить данные микрофона.

Если до конца понять каким образом Microsoft Teams и Skype используют микрофон при отключении звука не удалось в силу прямого обращения к ОС вместо API Windows, то в случае с Cisco Webex все плохо: система запрашивает микрофон независимо от состояния кнопки отключения звука, аудиобуфер Webex почти всегда содержит необработанный звук с микрофона.

При этом Webex — единственный проект, который непрерывно записывает данные с микрофона, когда звук пользователя отключен, отправляя аудиоданные телеметрии на свои серверы один раз в минуту. Cisco оправдывается тем, что собранные данные ограничиваются настройками звука.

Всегда помните, что большой брат не только следит за вами, а прежде всего подслушивает.

- партнёрский пост -

PT Industrial Cybersecurity Suite 🏭 Онлайн-запуск
| 20 апреля в 14:00

20 апреля Positive Technologies запускает PT Industrial Cybersecurity Suite — первую комплексную платформу для защиты промышленности от киберугроз.

В программе трансляции:

▪️ Промышленная кибербезопасность: почему пора меняться
▪️ Технологическая сеть глазами атакующего: исследуем сценарии
▪️PT ICS: от фрагментарной безопасности к целостному подходу в ИБ АСУ ТП
▪️ Настало время настоящих промышленных SIEM- и VM-систем

Зарегистрироваться

Наряду с обновлениями программных продуктов не перестают исправлять свое ПО и представители теневого киберзакулисья. На днях исследователи из Palo Alto Networks раскрыли новую версию вредоносного ПО SolarMarker, в котором реализованы новые функции, позволяющие избежать обнаружения.

SolarMarker, также известный как Jupyter, Polazert и Yellow Cockatoo — это безфайловый RAT на .NET , который реализует возможности бэкдора и позволяет красть учетные данные из веб-браузеров. Он сохраняет устойчивость путем, добавления себя в папку «Автозагрузки» и изменения ярлыка на рабочем столе жертвы. RAT также используется для доставки других вредоносных полезных нагрузок на зараженные устройства.

Средством доставки для SolarMarker в основном являлись манипуляций с поисковой оптимизацией (SEO), дабы заставить пользователей загружать вредоносные документы самим.

Последняя версия малвари также работает с файлами пакетов установщика Windows (файлы MSI) и исполняемыми файлами EXE. Начальным этапом установки вредоносного ПО является EXE-файл размером более 250 МБ, такой большой размер файла как раз обусловлен тем, чтобы избежать песочницы или антивирусного анализа.

Этот файл удаляет и запускает установщик законной программы, чтобы не вызывать подозрений, в то же время он запускает загрузчик PowerShell в новом потоке для загрузки и выполнения полезной нагрузки бэкдора SolarMarker. Такой вот хитрый зверь. Кроме того, бэкдор мальварь взаимодействует с сервером C2 по зашифрованному каналу, так как использует HTTP-запросы POST и шифрует данные, используя шифрование RSA с симметричным шифрованием Advanced Encryption Standard (AES).

Базовая модель SolarMarker использует специальный модуль кражи информации для сбора данных автозаполнения, файлов cookie, паролей и информации о кредитных картах из веб-браузеров.

В отличие от предыдущих вариантов, последние файлы дроппера всегда подписаны сертификатом, выданным законной компанией. В новой версии используется измененный сценарий загрузчика PowerShell, и в отличие от предыдущих версий при первом запуске бэкдор будет загружаться в процесс дроппера, а не в процесс PowerShell.

Как говорят эксперты, разработчики вредоносного ПО прилагают значительные усилия для уклонения от защиты, такими методами, как подписанные и большие файлы, имитация легитимных установок программного обеспечения и нетривиальные сценарии PowerShell, что наглядно демонстрирует развитие SolarMarker.

Lenovo выпустил исправления безопасности для устранения трех уязвимостей, влияющих на прошивку Unified Extensible Firmware Interface (UEFI) в более чем 110 моделях популярных ноутбуков, , включая IdeaPad 3, Legion 5 Pro-16ACH6 H и Yoga Slim 9-14ITL05.
 
Уязвимости были обнаружены аналитиками ESET, которые, в свою очередь, уведомили Lenovo об этом в октябре 2021 года.

Две ошибки безопасности CVE-2021-3972 и CVE-2021-3971 обусловлены тем, что рабочие драйвера с SecureBackDoor и SecureBackDoorPeim были ошибочно включены в образ BIOS, которые позволяют злоумышленнику с повышенными привилегиями изменить область защиты микропрограммы, изменив переменную NVRAM.

Использование недостатков драйвера может позволить злоумышленникам с повышенными привилегиями либо изменить настройки безопасной загрузки (CVE-2021-3972), либо изменить область защиты прошивки (CVE-2021-3971). Последнюю можно также применять для деактивации механизмов защиты от записи для флэшпамяти SPI, на котором обычно и размещается прошивка UEFI, что дает злоумышленнику возможность развернуть вредоносный код непосредственно в хранилище прошивки

По мнению исследователей ESET, отключение безопасной загрузки оказывает значительное влияние на работу всей системы, позволяя выполнять вредоносные драйверы и приложения во время загрузки. Кроме того, сброс прошивки к заводским настройкам может позволить злоумышленнику развернуть уязвимые приложения UEFI для использования в будущих атаках.

Третья проблема CVE-2021-3970 возникает из-за ошибки в обработчике SMI программного обеспечения. SW SMI реализует прерывание процессора, которое необходимо запустить для входа в высокопривилегированный режим выполнения процессоров x86, называемый режимом управления системой (SMM).

Выявленная уязвимость может быть использована из привилегированного процесса в режиме ядра путем запуска программного прерывания SMI и передачи физического адреса специально созданного буфера в качестве параметра уязвимому обработчику SMI программного обеспечения.

К настоящему времени Lenovo уже выпустил патчи для нескольких моделей ноутбуков и планирует к 10 мая завершить работы по развертыванию обновлений прошивки для остальных продуктов. При этом достигшие конца срока службы (EOL) модели ноутбуков останутся непропатченными.

Учитывая реальные угрозы UEFI, обнаруженные в последние годы (LoJax, MosaicRegressor, MoonBounce, ESPecter, FinSpy), настоятельно рекомендуем владельцам ноутбуков Lenovo обновить прошивку.

Выпустить патч вовсе не означает исправить проблему. Amazon Web Services не даст соврать.
 
Четыре месяца понадобилось разработчику, чтобы окончательно разобраться с Log4Shell, влияющей на облачные или локальные среды для приложений Java с уязвимой версией библиотеки.

Казалось бы, патче от декабря 2021 года AWS пофиксили проблемы безопасности, чтобы предотвратить возможность выхода из контейнера в среде и получения контроля над хостом, а в некоторых случаях и повышения привилегий и выполнения кода, как с правами root.
 
Но к досаде разработчика, Palo Alto Networks выявили проблемы безопасности в исправлениях AWS через шесть дней после их выпуска и проинформировали об этом Amazon 21 декабря 2021 года.

В настоящее время уязвимости оценены как риски высокой степени тяжести с оценкой 8,8 из 10 отслеживаются как:
 
- CVE-2021-3100: повышение привилегий из-за невозможности имитировать разрешения исправленной JVM, что позволяет запускать любой процесс с ненужными высокими привилегиями (базовая оценка CVSS: 8,8);
- CVE-2022-0070: неполное исправление для CVE-2021-3100;
- CVE-2021-3101: Hotdog не соблюдает ограничения устройств, фильтры системных вызовов и ограничения ресурсов на целевой JVM, что может привести к вредоносным модификациям, переопределению политик и исчерпанию ресурсов (базовая оценка CVSS: 8,8);
- CVE-2022-0071: неполное исправление для CVE-2021-3101.
 
Исследователи Unit 42 обнаружили, что решения Amazon для оперативного исправления Log4Shell оперативно выявляют и исправляют процессы Java, но не обеспечивают их работу с ограничениями, наложенными на контейнер. Потенциально злоумышленник может внедрить непривилегированный двоичный файл процесса с именем «java» и заставить службу исправления выполнить его с повышенными привилегиями.
 
Кроме того, вредоносный процесс может злоупотреблять своими повышенными привилегиями, чтобы выйти из контейнера и захватить базовый хост. Другая проблема, созданная патчем Amazon, заключалась еще и в том, что хост-процессы обрабатывались одинаково, и все они получали повышенные привилегии в процессе исправления Log4Shell.
 
Команда безопасности AWS признала уязвимости и попыталась исправить их с помощью нового обновления от 23 декабря 2021 года, но патч оказался малоэффективен. Окончательно решить проблему AWS смогли к 19 апреля, выпустив новые исправления.

А Unit 42, в свою очередь, представила демонстрационное видео эксплойта (PoC), реализующего сценарий выхода контейнера. Детали реализации конечно же скрыты в интересах безопасности.

Вчера мы уже писали о том, как микрофоны производят фоновую запись, даже при отключении звука. Сегодня расскажем о том, как блокировать такую прослушку.

Исследователи Колумбийского университета разработали новый метод противодействия автоматизированному сбору акустической информации через микрофоны смартфонов, голосовых помощников и подключенных устройств в целом.
 
Разработанный алгоритм прогнозирует речь пользователя и генерирует мешающий фоновый шум (шепот) в режиме реального времени, скрывая основной источник звука. При этом громкость шума относительно низкая, что не мешает пользователю и позволяет комфортно разговаривать.
 
В реальности с проблемой автоматизированного подслушивания сталкиваются все больше пользователей, все чаще обращая внимание на персонализированную рекламу исходя из упоминаемых в разговорах категориях. При этом существующие методы маскировки голоса не способны работать в реалтайме, поскольку это требует мгновенных вычислений, которые не поддерживаются современным железом.
 
Именно поэтому в своем исследовании ученые сосредоточились на прогностической модели «прогнозирующих атак», согласно которой генерация фонового шума происходит на основе анализа характеристики речи, позволяющих расшифровывать каждое произнесенное слово, предсказывать последующие слова или выражения, генерируя шепот в нужный момент.

Для обучения модели использовались графические процессоры NVIDIA RTX 2080Ti и 100-часовой набор речевых данных. По результатам работ обнаружили, что оптимальное время прогнозирования — 0,5 секунды наперед.

Кроме того, ученые представили несколько реалистичных тестов в помещении, а также результирующий текст, идентифицированный системами распознавания речи в каждом случае.

На данный момент система работает только с английской речью и имеет высокий показатель эффективности: на 80% речь становится неразборчивой для технологии автоматического распознавания речи, независимо от используемого программного обеспечения и положения микрофона.

Борьба за конфиденциальность переходит на новый уровень, производители в борьбе за умы и предпочтения пользователей будут вынуждены корректировать свои методы распознавания. Посмотрим, чем ответят.