Крупнейший тайваньский производитель DRAM в мире ADATA со штатом в 1400 сотрудников пал жертвой ransomware-атаки, в результате которой вымогатели украли 1 ТБ данных у компании, о чем сообщили на своем DLS RansomHouse.
ADATA не сообщает какие именно данные были похищены, однако вымогатели дали понять, что речь идет об исследованиях компании, а также о другой ценной конфиденциальной информации.
К настоящему времени веб-сайт ADATA перенаправляет пользователей на ресурс компании в зоне США.
Инцидент будем вторым по счету в истории компании. В июне прошлого года Ragnar Locker выкрали 700 ГБ данных из облачного хранилища компании.
Стоит отметить, что ранее RansomHouse также успешно атаковали американскую компанию по производству полупроводников Advanced Micro Devices (AMD).
Кучно кладут.
ADATA не сообщает какие именно данные были похищены, однако вымогатели дали понять, что речь идет об исследованиях компании, а также о другой ценной конфиденциальной информации.
К настоящему времени веб-сайт ADATA перенаправляет пользователей на ресурс компании в зоне США.
Инцидент будем вторым по счету в истории компании. В июне прошлого года Ragnar Locker выкрали 700 ГБ данных из облачного хранилища компании.
Стоит отметить, что ранее RansomHouse также успешно атаковали американскую компанию по производству полупроводников Advanced Micro Devices (AMD).
Кучно кладут.
Ресерчеры Лаборатории Касперского раскрыли YouTube-канал, через который распространялась троянская версия установщика браузера Tor для Windows.
Выявленная кампания получила наименование OnionPoison и была рассчитана на цели в КНР. Хотя и масштабы атаки трудно оценить, но ЛК еще в марте 2022 года обнаружила первых жертв в своей телеметрии.
Вредоносная версия Tor Browser распространялась по ссылке в описании видеоролику, который был загружен на YouTube еще 9 января 2022 года и имеет более 64 500 просмотров, а сам канал имеет 181 000 подписчиков.
Атака рассчитана на тех пользователей, которые пытались обойти введенную властями КНР блокировку Tor Browser, чтобы загрузить ПО, вместо этого получали мошеннический вариант браузера после поиска на YouTube «Tor浏览器».
Описание видео содержало две ссылки: одна на официальный сайт Tor Browser, а другая вела к вредоносному установщику, размещенному на китайском облачном сервисе.
После перехода по ссылке для скачивания пользователь перенаправлялся к исполняемому файлу размером 74 МБ.
Одна из библиотек freebl3.dll, входящих в комплект вредоносного браузера Tor, отвечала за полезную нагрузку второго этапа, заражая шпионским ПО, которое собирает различные персональные данные и отправляет их на С2.
Компрометация происходила только в том случае, если IP-адрес жертвы принадлежал китайскому сегменту.
Шпионский модуль также имеет функциональные возможности для извлечения списка установленного ПО и запущенных процессов, истории Google Chrome и Edge, идентификаторов учетных записей WeChat и QQ, SSID и MAC адресов сетей Wi-Fi, к которым подключены жертвы, а также позволяет операторам запускать произвольные команды оболочки.
Кроме того, в отличие от других стилеров, имплантаты OnionPoison не предназначены для сбора паролей пользователей, сеансовых файлов cookie или данных кошельков.
Основная заточка - сбор идентифицирующей информации на жертв с помощью их истории просмотров, идентификаторов и SSID сетей Wi-Fi.
Tor сообщили, что пользователи модифицированной версии браузера будут перенаправлены в официальный репозиторий после запроса обновления. Ну, а Google ничего не осталось, как удалить видео за нарушение регламента YouTube.
Выявленная кампания получила наименование OnionPoison и была рассчитана на цели в КНР. Хотя и масштабы атаки трудно оценить, но ЛК еще в марте 2022 года обнаружила первых жертв в своей телеметрии.
Вредоносная версия Tor Browser распространялась по ссылке в описании видеоролику, который был загружен на YouTube еще 9 января 2022 года и имеет более 64 500 просмотров, а сам канал имеет 181 000 подписчиков.
Атака рассчитана на тех пользователей, которые пытались обойти введенную властями КНР блокировку Tor Browser, чтобы загрузить ПО, вместо этого получали мошеннический вариант браузера после поиска на YouTube «Tor浏览器».
Описание видео содержало две ссылки: одна на официальный сайт Tor Browser, а другая вела к вредоносному установщику, размещенному на китайском облачном сервисе.
После перехода по ссылке для скачивания пользователь перенаправлялся к исполняемому файлу размером 74 МБ.
Одна из библиотек freebl3.dll, входящих в комплект вредоносного браузера Tor, отвечала за полезную нагрузку второго этапа, заражая шпионским ПО, которое собирает различные персональные данные и отправляет их на С2.
Компрометация происходила только в том случае, если IP-адрес жертвы принадлежал китайскому сегменту.
Шпионский модуль также имеет функциональные возможности для извлечения списка установленного ПО и запущенных процессов, истории Google Chrome и Edge, идентификаторов учетных записей WeChat и QQ, SSID и MAC адресов сетей Wi-Fi, к которым подключены жертвы, а также позволяет операторам запускать произвольные команды оболочки.
Кроме того, в отличие от других стилеров, имплантаты OnionPoison не предназначены для сбора паролей пользователей, сеансовых файлов cookie или данных кошельков.
Основная заточка - сбор идентифицирующей информации на жертв с помощью их истории просмотров, идентификаторов и SSID сетей Wi-Fi.
Tor сообщили, что пользователи модифицированной версии браузера будут перенаправлены в официальный репозиторий после запроса обновления. Ну, а Google ничего не осталось, как удалить видео за нарушение регламента YouTube.
Securelist
Malicious Tor Browser spreads through YouTube
Kaspersky researchers detected OnionPoison campaign: malicious Tor Browser installer spreading through a popular YouTube channel and targeting Chinese users.
Специалисты из SonarSource обнаружили и раскрыли серьезную уязвимость в репозитории пакетов PHP Packagist, которая могла быть использована для проведения атак на цепочку поставок программного обеспечения PHP.
В отчете говорится, что уязвимость позволяет получить контроль над Packagist, который используется диспетчером пакетов PHP Composer для определения и загрузки программных зависимостей, которые разработчики включают в свои проекты.
Масштаб угроз впечатляющий, так как практически все организации, работающие с PHP-кодом, используют Composer, который ежемесячно обслуживает 2 миллиарда пакетов программного обеспечения и более ста миллионов таких запросов потенциально могли быть перехвачены для распространения вредоносных зависимостей и компрометации миллионов серверов.
Уязвимость отслеживается как CVE-2022-24828 (оценка CVSS: 8,8) и была описана как проблема внедрения команд, которая связана с другой похожей ошибкой Composer CVE-2021-29472, обнаруженной в апреле 2021 года.
Вектор следующий: злоумышленник, контролирующий репозиторий Git или Mercurial, явно указанный по URL-адресу в файле composer.json проекта, может использовать специально созданные имена путей для выполнения команд на машине, на которой выполняется обновление Composer'а.
Собственно успешное использование уязвимости означало, что запросы на обновление пакета могли быть перехвачены для распространения вредоносных зависимостей путем выполнения произвольных команд на внутреннем сервере, на котором запущен официальный экземпляр Packagist.
На сегодняшний день нет никаких доказательств того, что уязвимость использовалась в дикой природе и уже доступны исправления в версиях Composer 1.10.26, 2.2.12 и 2.3.5 после того, как SonarSource сообщил об ошибке 7 апреля 2022 года.
Открытый исходный код становится все более привлекательной целью для злоумышленников из-за легкости, с которой они могут быть использованы в качестве оружия против цепочки поставок ПО.
В отчете говорится, что уязвимость позволяет получить контроль над Packagist, который используется диспетчером пакетов PHP Composer для определения и загрузки программных зависимостей, которые разработчики включают в свои проекты.
Масштаб угроз впечатляющий, так как практически все организации, работающие с PHP-кодом, используют Composer, который ежемесячно обслуживает 2 миллиарда пакетов программного обеспечения и более ста миллионов таких запросов потенциально могли быть перехвачены для распространения вредоносных зависимостей и компрометации миллионов серверов.
Уязвимость отслеживается как CVE-2022-24828 (оценка CVSS: 8,8) и была описана как проблема внедрения команд, которая связана с другой похожей ошибкой Composer CVE-2021-29472, обнаруженной в апреле 2021 года.
Вектор следующий: злоумышленник, контролирующий репозиторий Git или Mercurial, явно указанный по URL-адресу в файле composer.json проекта, может использовать специально созданные имена путей для выполнения команд на машине, на которой выполняется обновление Composer'а.
Собственно успешное использование уязвимости означало, что запросы на обновление пакета могли быть перехвачены для распространения вредоносных зависимостей путем выполнения произвольных команд на внутреннем сервере, на котором запущен официальный экземпляр Packagist.
На сегодняшний день нет никаких доказательств того, что уязвимость использовалась в дикой природе и уже доступны исправления в версиях Composer 1.10.26, 2.2.12 и 2.3.5 после того, как SonarSource сообщил об ошибке 7 апреля 2022 года.
Открытый исходный код становится все более привлекательной целью для злоумышленников из-за легкости, с которой они могут быть использованы в качестве оружия против цепочки поставок ПО.
Sonarsource
Securing Developer Tools: A New Supply Chain Attack on PHP
What is your worst supply chain nightmare and why is it somebody that could take over all the PHP packages at once? Let's deep dive into how we could demonstrate it!
Avast выпустила инструмент для расшифровки ransomware MafiaWare666 (также известна как JCrypt, RIP Lmao, BrutusptCrypt или Hades).
MafiaWare666 — это разновидность программы-вымогателя, написанная на C# и не содержащая никаких методов обфускации или антианализа. Мальварь шифрует файлы, используя AES.
Малварь реализует поиск выделенных папок (Рабочий стол, Музыка, Видео, Изображения и Документы) и шифрует файлы со фактически со всеми известными расширениями. Как правило, зашифрованные файлы получают новое расширение, которое зависит от образца: MafiaWare666, jcrypt, brutusptCrypt, bmcrypt, киберон и l33ch.
Ресерчеры обнаружили уязвимость в схеме шифрования, позволяющую расшифровать некоторые варианты без уплаты выкупа. Новые или ранее неизвестные образцы могут шифровать файлы иным способом, поэтому их, вряд ли, будет возможно расшифровать без дополнительного анализа.
По завершении процесса шифрования ransomware отображает окно с инструкциями и условиями уплаты выкупа.
Жертвам предлагается связаться с злоумышленником и заплатить ему биткойнами. Цена выкупа относительно низкая, от 50 до 300 долларов, хотя некоторые из более старых образцов с другими именами требуют гораздо больше, вплоть до одного биткойна.
Индикаторы компрометации IoC представлены здесь. Расшифровщик представляет собой исполняемы файл, который доступен для скачивания (здесь).
Для запуска процесса расшифровки понадобится предоставить файл в исходном виде с его зашифрованной версией. Дешифратор использует все известные комбинации паролей MafiaWare666 для взлома пароля под конкретную систему, после чего и запускается процесс.
Как и во многих других подобных утилитах, доступна функция резервного копирования зашифрованных файлов. Причем этот параметр включен по умолчанию.
MafiaWare666 — это разновидность программы-вымогателя, написанная на C# и не содержащая никаких методов обфускации или антианализа. Мальварь шифрует файлы, используя AES.
Малварь реализует поиск выделенных папок (Рабочий стол, Музыка, Видео, Изображения и Документы) и шифрует файлы со фактически со всеми известными расширениями. Как правило, зашифрованные файлы получают новое расширение, которое зависит от образца: MafiaWare666, jcrypt, brutusptCrypt, bmcrypt, киберон и l33ch.
Ресерчеры обнаружили уязвимость в схеме шифрования, позволяющую расшифровать некоторые варианты без уплаты выкупа. Новые или ранее неизвестные образцы могут шифровать файлы иным способом, поэтому их, вряд ли, будет возможно расшифровать без дополнительного анализа.
По завершении процесса шифрования ransomware отображает окно с инструкциями и условиями уплаты выкупа.
Жертвам предлагается связаться с злоумышленником и заплатить ему биткойнами. Цена выкупа относительно низкая, от 50 до 300 долларов, хотя некоторые из более старых образцов с другими именами требуют гораздо больше, вплоть до одного биткойна.
Индикаторы компрометации IoC представлены здесь. Расшифровщик представляет собой исполняемы файл, который доступен для скачивания (здесь).
Для запуска процесса расшифровки понадобится предоставить файл в исходном виде с его зашифрованной версией. Дешифратор использует все известные комбинации паролей MafiaWare666 для взлома пароля под конкретную систему, после чего и запускается процесс.
Как и во многих других подобных утилитах, доступна функция резервного копирования зашифрованных файлов. Причем этот параметр включен по умолчанию.
GitHub
ioc/MafiaWare666 at master · avast/ioc
Threat Intel IoCs + bits and pieces of dark matter - avast/ioc
͏Как и ожидалось, инициированная Австралийской федеральной полицией (AFP) операция Ураган принесла первые результаты и ознаменовалась арестом 19-летнего подростка из Сиднея, который был причастен к атаке на провайдера Optus, сопряженной с вымогательством выкупа за украденные сведения на 9 млн. клиентов компании.
Согласно заявлению AFP, подозреваемый посредством SMS направлял угрозы абонентам Optus, вымогая с них по 2000 австралийских долларов (1300 долларов США). В случае отказа от выкупа данные должны были быть перепроданы другим хакерам.
В числе жертв оказались клиенты, чьи данные попали в сеть в ходе первой утечки, затронувшей 10 200 записей из украденной базы. По данным AFP, арестованный успел разослать шантажирующие сообщения 93 пострадавшим.
Для этих целей мошенник использовал счет Commonwealth Bank of Australia, который и вывел полицию на фигуранта расследования. Такой гениальный шаг привел к тому, что теперь горе-хакеру светит две уголовные статьи и совокупное наказание до 17 лет лишения свободы.
Вместе с тем, арестованный лишь часть преступной цепочки, обвинения во взломе Optus ему не предъявлены. Акторы взлома пока не идентифицированы, но операция AFP все еще продолжается.
На текущий момент, согласно официальным данным Optus, 9,8 миллиона клиентов пострадали в той или иной степени, а государственные идентификационные номера 2,1 миллиона из них были скомпрометированы. Правительство Австралии требует от Optus покрытия расходов на замену документов.
Но на этом проблемы австралийских пользователей и властей не заканчиваются. Другая крупная телекоммуникационная компания Telstra сообщила, что стала жертвой утечки данных через третью сторону.
Взлом был нацелен на стороннюю платформу под названием Work Life NAB, а утечка данных касалась программы вознаграждений сотрудников Telstra по состоянию на 2017 год.
Компания не назвала количество пострадавших сотрудников, но в отчете Reuters указано, что это число составляет 30 000.
Согласно заявлению AFP, подозреваемый посредством SMS направлял угрозы абонентам Optus, вымогая с них по 2000 австралийских долларов (1300 долларов США). В случае отказа от выкупа данные должны были быть перепроданы другим хакерам.
В числе жертв оказались клиенты, чьи данные попали в сеть в ходе первой утечки, затронувшей 10 200 записей из украденной базы. По данным AFP, арестованный успел разослать шантажирующие сообщения 93 пострадавшим.
Для этих целей мошенник использовал счет Commonwealth Bank of Australia, который и вывел полицию на фигуранта расследования. Такой гениальный шаг привел к тому, что теперь горе-хакеру светит две уголовные статьи и совокупное наказание до 17 лет лишения свободы.
Вместе с тем, арестованный лишь часть преступной цепочки, обвинения во взломе Optus ему не предъявлены. Акторы взлома пока не идентифицированы, но операция AFP все еще продолжается.
На текущий момент, согласно официальным данным Optus, 9,8 миллиона клиентов пострадали в той или иной степени, а государственные идентификационные номера 2,1 миллиона из них были скомпрометированы. Правительство Австралии требует от Optus покрытия расходов на замену документов.
Но на этом проблемы австралийских пользователей и властей не заканчиваются. Другая крупная телекоммуникационная компания Telstra сообщила, что стала жертвой утечки данных через третью сторону.
Взлом был нацелен на стороннюю платформу под названием Work Life NAB, а утечка данных касалась программы вознаграждений сотрудников Telstra по состоянию на 2017 год.
Компания не назвала количество пострадавших сотрудников, но в отчете Reuters указано, что это число составляет 30 000.
Немецкие ресерчеры из DCSO CyTec предупреждают о новом вредоносном ПО, которое нацелено на серверы Microsoft SQL.
Бэкдор под названием Maggie уже заразил сотни компьютеров по всему миру. Данные телеметрии показывают, что Мэгги наиболее распространена в Южной Корее, Индии, Вьетнаме, Китае, России, Таиланде, Германии и США.
Maggie управляется с помощью SQL-запросов, выполняя богатый набор из 51 команды. Бэкдор позволяет осуществлять вход администратора на другие серверы Microsoft SQL и создавать мост в сетевую среду сервера.
Анализ вредоносного ПО показал, что малварь маскируется под DLL-библиотеку расширенной хранимой процедуры (sqlmaggieAntiVirus_64.dll) с цифровой подписью компании DEEPSoft Co. Ltd, которая, по-видимому, базируется в Южной Корее.
Файлы расширенных хранимых процедур расширяют функциональные возможности SQL-запросов за счет использования API, который принимает аргументы удаленного пользователя и отвечает неструктурированными данными.
Поддерживаемые Maggie команды позволяют запрашивать системную информацию, запускать программы, взаимодействовать с файлами и папками, включать службы удаленного рабочего стола TermService, запускать прокси-сервер SOCKS5 и настраивать переадресацию портов.
В рамках выполнения команд злоумышленник также может полагаться на известные уязвимости для некоторых действий, включая и добавление нового пользователя.
Однако аналитики не смогли протестировать используемые Maggie эксплойты, в виду отсутствия дополнительной библиотеки DLL.
Подбор паролей администратора происходит с помощью команд SqlScan и WinSockScan после определения файла списка паролей и количества потоков. В случае успеха на сервер добавляется жестко закодированный пользователь бэкдора.
Вредоносная ПО предлагает простую функцию перенаправления TCP, которая позволяет удаленным злоумышленникам подключаться к любому IP-адресу, доступному зараженному серверу MS-SQL.
Вредоносная программа также имеет функцию прокси-сервера SOCKS5 для маршрутизации всех сетевых пакетов через прокси-сервер, что делает его еще более незаметным, если это необходимо.
В настоящее время некоторые детали остаются неизученными, в том числе поведение Maggie после заражения, а также неясно как вредоносное ПО вообще внедряется на серверы и кто может стоять за этими атаками.
Бэкдор под названием Maggie уже заразил сотни компьютеров по всему миру. Данные телеметрии показывают, что Мэгги наиболее распространена в Южной Корее, Индии, Вьетнаме, Китае, России, Таиланде, Германии и США.
Maggie управляется с помощью SQL-запросов, выполняя богатый набор из 51 команды. Бэкдор позволяет осуществлять вход администратора на другие серверы Microsoft SQL и создавать мост в сетевую среду сервера.
Анализ вредоносного ПО показал, что малварь маскируется под DLL-библиотеку расширенной хранимой процедуры (sqlmaggieAntiVirus_64.dll) с цифровой подписью компании DEEPSoft Co. Ltd, которая, по-видимому, базируется в Южной Корее.
Файлы расширенных хранимых процедур расширяют функциональные возможности SQL-запросов за счет использования API, который принимает аргументы удаленного пользователя и отвечает неструктурированными данными.
Поддерживаемые Maggie команды позволяют запрашивать системную информацию, запускать программы, взаимодействовать с файлами и папками, включать службы удаленного рабочего стола TermService, запускать прокси-сервер SOCKS5 и настраивать переадресацию портов.
В рамках выполнения команд злоумышленник также может полагаться на известные уязвимости для некоторых действий, включая и добавление нового пользователя.
Однако аналитики не смогли протестировать используемые Maggie эксплойты, в виду отсутствия дополнительной библиотеки DLL.
Подбор паролей администратора происходит с помощью команд SqlScan и WinSockScan после определения файла списка паролей и количества потоков. В случае успеха на сервер добавляется жестко закодированный пользователь бэкдора.
Вредоносная ПО предлагает простую функцию перенаправления TCP, которая позволяет удаленным злоумышленникам подключаться к любому IP-адресу, доступному зараженному серверу MS-SQL.
Вредоносная программа также имеет функцию прокси-сервера SOCKS5 для маршрутизации всех сетевых пакетов через прокси-сервер, что делает его еще более незаметным, если это необходимо.
В настоящее время некоторые детали остаются неизученными, в том числе поведение Maggie после заражения, а также неясно как вредоносное ПО вообще внедряется на серверы и кто может стоять за этими атаками.
Medium
MSSQL, meet Maggie
A novel backdoor for Microsoft SQL servers controlled using SQL queries
CommonSpirit Health, одна из крупнейших некоммерческих систем здравоохранения в США, по всей видимости испытала на себе разрушительные последствия ransomware-атаки.
Компания отключила часть своих ИТ-систем, в том числе электронную медицинскую карту (EHR), из-за инцидента с безопасностью, который затронул ряд учреждений.
Система здравоохранения США включает 140 больниц и более 1000 медицинских учреждений в 21 штате, а ее команда состоит из 150 000 сотрудников и включает 20 000 врачей. Число пациентов достигает более чем 21 миллиона жителей.
В опубликованном во вторник заявлении CommonSpirit сообщается, что инцидент вынудил его ИТ-команду следовать процедурам отключения и свести к минимуму сбои.
В числе пострадавших: больница Берган Милосердие, медицинский центр MercyOne Des Moines и несколько поставщиков медицинских услуг Virginia Mason Franciscan Health.
Пациентам при этом отменили все записи на прием в CommonSpirit. Сама компания пока не комментирует ситуацию.
Компания отключила часть своих ИТ-систем, в том числе электронную медицинскую карту (EHR), из-за инцидента с безопасностью, который затронул ряд учреждений.
Система здравоохранения США включает 140 больниц и более 1000 медицинских учреждений в 21 штате, а ее команда состоит из 150 000 сотрудников и включает 20 000 врачей. Число пациентов достигает более чем 21 миллиона жителей.
В опубликованном во вторник заявлении CommonSpirit сообщается, что инцидент вынудил его ИТ-команду следовать процедурам отключения и свести к минимуму сбои.
В числе пострадавших: больница Берган Милосердие, медицинский центр MercyOne Des Moines и несколько поставщиков медицинских услуг Virginia Mason Franciscan Health.
Пациентам при этом отменили все записи на прием в CommonSpirit. Сама компания пока не комментирует ситуацию.
BlackByte взяли на вооружение новую технику Bring Your Own Driver (BYOVD).
Выявленные недавние атаки были связаны с использованием уязвимости повышения привилегий и выполнения кода CVE-2019-16098 в некоторых версиях драйвера MSI Afterburner RTCore64.sys.
Уверенная эксплуатация позволила BlackByte отключить драйверы, препятствующие нормальной работе EDR, а также антивирусные решения.
BYOVD эффективен, поскольку уязвимые драйверы подписаны действительным сертификатом и запускаются в системе с высокими привилегиями.
Аналогичным образом действовали Lazarus, злоупотребляя драйвером Dell, а также неизвестные акторы, которые использовали античитерский драйвер для игры Genshin Impact.
Исследователи поясняют, что злоупотребляемый графический драйвер MSI предлагает коды управления вводом-выводом, напрямую доступные процессам пользовательского режима, что нарушает правила безопасности Microsoft в отношении доступа к памяти ядра.
Это позволяет злоумышленникам читать, писать или выполнять код в памяти ядра без использования шелл-кода или эксплойта.
На первом этапе атаки BlackByte идентифицирует версию ядра, чтобы выбрать правильные смещения, соответствующие идентификатору ядра. Затем RTCore64.sys помещается в «AppData\Roaming» и создает службу, используя жестко заданное имя и случайно выбранное отображаемое имя.
Затем злоумышленники используют уязвимость драйвера для удаления процедур уведомления ядра, которые соответствуют процессам инструментов безопасности.
Полученные адреса обратного вызова используются для получения соответствующего имени драйвера и сравниваются со списком из 1000 целевых драйверов, которые поддерживают функцию инструментов AV/EDR.
Любые совпадения, найденные на этом этапе, удаляются путем перезаписи нулями элемента, содержащего адрес функции обратного вызова, поэтому целевой драйвер аннулируется.
Sophos также полагает, что BlackByte использует в этих атаках поиск признаков работы отладчика в целевой системе и выход из него.
Вредоносная программа BlackByte проверяет список перехватывающих DLL-библиотек, используемых Avast, Sandboxie, библиотекой Windows DbgHelp и Comodo Internet Security, и прекращает свое выполнение в случае обнаружения.
Системные администраторы могут защититься от нового приема обхода безопасности BlackByte, добавив конкретный драйвер MSI в активный черный список.
Кроме того, администраторы должны отслеживать все события установки драйверов и почаще проверять их, чтобы найти мошеннические внедрения, которые не соответствуют оборудованию.
Выявленные недавние атаки были связаны с использованием уязвимости повышения привилегий и выполнения кода CVE-2019-16098 в некоторых версиях драйвера MSI Afterburner RTCore64.sys.
Уверенная эксплуатация позволила BlackByte отключить драйверы, препятствующие нормальной работе EDR, а также антивирусные решения.
BYOVD эффективен, поскольку уязвимые драйверы подписаны действительным сертификатом и запускаются в системе с высокими привилегиями.
Аналогичным образом действовали Lazarus, злоупотребляя драйвером Dell, а также неизвестные акторы, которые использовали античитерский драйвер для игры Genshin Impact.
Исследователи поясняют, что злоупотребляемый графический драйвер MSI предлагает коды управления вводом-выводом, напрямую доступные процессам пользовательского режима, что нарушает правила безопасности Microsoft в отношении доступа к памяти ядра.
Это позволяет злоумышленникам читать, писать или выполнять код в памяти ядра без использования шелл-кода или эксплойта.
На первом этапе атаки BlackByte идентифицирует версию ядра, чтобы выбрать правильные смещения, соответствующие идентификатору ядра. Затем RTCore64.sys помещается в «AppData\Roaming» и создает службу, используя жестко заданное имя и случайно выбранное отображаемое имя.
Затем злоумышленники используют уязвимость драйвера для удаления процедур уведомления ядра, которые соответствуют процессам инструментов безопасности.
Полученные адреса обратного вызова используются для получения соответствующего имени драйвера и сравниваются со списком из 1000 целевых драйверов, которые поддерживают функцию инструментов AV/EDR.
Любые совпадения, найденные на этом этапе, удаляются путем перезаписи нулями элемента, содержащего адрес функции обратного вызова, поэтому целевой драйвер аннулируется.
Sophos также полагает, что BlackByte использует в этих атаках поиск признаков работы отладчика в целевой системе и выход из него.
Вредоносная программа BlackByte проверяет список перехватывающих DLL-библиотек, используемых Avast, Sandboxie, библиотекой Windows DbgHelp и Comodo Internet Security, и прекращает свое выполнение в случае обнаружения.
Системные администраторы могут защититься от нового приема обхода безопасности BlackByte, добавив конкретный драйвер MSI в активный черный список.
Кроме того, администраторы должны отслеживать все события установки драйверов и почаще проверять их, чтобы найти мошеннические внедрения, которые не соответствуют оборудованию.
Sophos News
Remove All The Callbacks – BlackByte Ransomware Disables EDR Via RTCore64.sys Abuse
A fresh exploration of the malware uncovers a new tactic for bypassing security products by abusing a known driver vulnerability
Обнаружена очередная шпионская зверюга под Android, которая позволяет злоумышленникам прослушивать телефонные разговоры жертв и скачивать их фотографии.
О новом шпионском софте под названием RatMilad сообщили специалисты по информационной безопасности из компании Zimperium.
ПО распространяется под видом приложений (таких как NumRent или Text Me) для генерации виртуальных номеров телефонов, которые обычно используются при регистрации большого числа аккаунтов в соцсетях и других онлайн-сервисах.
Согласно отчету Zimperium, за распространением стоит иранская хакерская группировка AppMilad, которая через рассылки в социальных сетях и различных службах обмена сообщениями, заманивает предполагаемых жертв к загрузке вредоносного ПО на свои устройства.
При запуске фейковой утилиты она запрашивают большое число разрешений, что, по словам экспертов, должно сразу насторожить пользователей. Малварь просит доступ к списку контактов, содержанию SMS-сообщений, микрофону, данным в буфере обмена, GPS и не только.
После бездумного "разрешить-далее" приложение начинает воровать информацию о перемещениях жертвы, записывать разговоры, сканировать медиафайлы и отправлять результаты на C2 злоумышленников.
Кроме того Zimperium обнаружили канал Telegram, который злоумышленники использовали для распространения вредоносного ПО.
Со слов экспертов, сообщение со ссылкой на вредоносное приложение набрало более 4700 просмотров и было опубликовано более 200 раз. Показатели достаточно условные и оценить реальную степень заражения RatMilad пока не возможно.
О новом шпионском софте под названием RatMilad сообщили специалисты по информационной безопасности из компании Zimperium.
ПО распространяется под видом приложений (таких как NumRent или Text Me) для генерации виртуальных номеров телефонов, которые обычно используются при регистрации большого числа аккаунтов в соцсетях и других онлайн-сервисах.
Согласно отчету Zimperium, за распространением стоит иранская хакерская группировка AppMilad, которая через рассылки в социальных сетях и различных службах обмена сообщениями, заманивает предполагаемых жертв к загрузке вредоносного ПО на свои устройства.
При запуске фейковой утилиты она запрашивают большое число разрешений, что, по словам экспертов, должно сразу насторожить пользователей. Малварь просит доступ к списку контактов, содержанию SMS-сообщений, микрофону, данным в буфере обмена, GPS и не только.
После бездумного "разрешить-далее" приложение начинает воровать информацию о перемещениях жертвы, записывать разговоры, сканировать медиафайлы и отправлять результаты на C2 злоумышленников.
Кроме того Zimperium обнаружили канал Telegram, который злоумышленники использовали для распространения вредоносного ПО.
Со слов экспертов, сообщение со ссылкой на вредоносное приложение набрало более 4700 просмотров и было опубликовано более 200 раз. Показатели достаточно условные и оценить реальную степень заражения RatMilad пока не возможно.
Cisco исправила потенциально серьезные уязвимости в некоторых своих сетевых и коммуникационных продуктах, включая Enterprise NFV, Expressway и TelePresence.
Компания сообщила клиентам, что ее серия Expressway и ПО TelePresence Video Communication Server подвержены двум уязвимостям высокой степени серьезности.
Одна из них CVE-2022-20814 связана с неправильной проверкой сертификата, может позволить удаленному злоумышленнику, не прошедшему проверку подлинности, получить доступ к конфиденциальным данным посредством атаки MiTM.
Успешное использование уязвимости может привести к перехвату или изменению трафика злоумышленником.
Вторая CVE-2022-20853 реализует атаки с подделкой межсайтовых запросов CSRF, позволяя злоумышленнику вызвать состояние DoS, заставив пользователя щелкнуть специально созданную ссылку.
В корпоративном ПО инфраструктуры NFV (NFVIS) Cisco устранила серьезную проблему, связанную с неправильной проверкой подписи файлов обновления (CVE-2022-20929).
Злоумышленник может воспользоваться уязвимостью, предоставив администратору неаутентичный файл обновления.
Злоумышленник может воспользоваться уязвимостью, предоставив администратору неаутентичный файл обновления. Успешный эксплойт может позволить злоумышленнику полностью скомпрометировать систему Cisco NFVIS.
Компания также выпустила рекомендации по безопасности для устранения уязвимостей средней степени серьезности в Smart Software Manager On-Prem, Jabber, BroadWorks, ATA, Touch 10, Secure Web Appliance.
Производитель заявляет, что ему неизвестно о каких-либо реальных вредоносных атаках, нацеленных на эти уязвимости.
Компания сообщила клиентам, что ее серия Expressway и ПО TelePresence Video Communication Server подвержены двум уязвимостям высокой степени серьезности.
Одна из них CVE-2022-20814 связана с неправильной проверкой сертификата, может позволить удаленному злоумышленнику, не прошедшему проверку подлинности, получить доступ к конфиденциальным данным посредством атаки MiTM.
Успешное использование уязвимости может привести к перехвату или изменению трафика злоумышленником.
Вторая CVE-2022-20853 реализует атаки с подделкой межсайтовых запросов CSRF, позволяя злоумышленнику вызвать состояние DoS, заставив пользователя щелкнуть специально созданную ссылку.
В корпоративном ПО инфраструктуры NFV (NFVIS) Cisco устранила серьезную проблему, связанную с неправильной проверкой подписи файлов обновления (CVE-2022-20929).
Злоумышленник может воспользоваться уязвимостью, предоставив администратору неаутентичный файл обновления.
Злоумышленник может воспользоваться уязвимостью, предоставив администратору неаутентичный файл обновления. Успешный эксплойт может позволить злоумышленнику полностью скомпрометировать систему Cisco NFVIS.
Компания также выпустила рекомендации по безопасности для устранения уязвимостей средней степени серьезности в Smart Software Manager On-Prem, Jabber, BroadWorks, ATA, Touch 10, Secure Web Appliance.
Производитель заявляет, что ему неизвестно о каких-либо реальных вредоносных атаках, нацеленных на эти уязвимости.
Cisco
Cisco Security Advisory: Cisco Expressway Series and Cisco TelePresence Video Communication Server Vulnerabilities
Multiple vulnerabilities in the API and in the web-based management interface of Cisco Expressway Series Software and Cisco TelePresence Video Communication Server (VCS) Software could allow a remote attacker to bypass certificate validation or conduct cross…
Forwarded from Russian OSINT
1️⃣ https://bscscan.com/address/0x489a8756c18c0b8b24ec2a2b9ff3d4d447f79bec и https://twitter.com/AnciliaInc/status/1578155138857914368
2️⃣ Хакер попытался перевести BNB в другие активы.
3️⃣ Binance приостановили BNB Smart Chain на время расследования инцидента.
4️⃣ Комментарий CEO Binance - https://twitter.com/cz_binance/status/1578171072067031042
5️⃣ "Первоначальные оценки средств, выведенных с BSC, составляют от $100M до $110M. Однако, благодаря сообществу, нашим внутренним и внешним партнерам по безопасности, примерно $7M уже заморожены." - Reddit
6️⃣ Bleeping Computer: Хакер украл криптовалюту на $566 миллионов долларов с моста Binance
7️⃣ CEO Binance посоветовал следить за веткой https://www.reddit.com/r/bnbchainofficial/comments/xxjkpy/temporary_pause_of_bsc
Please open Telegram to view this post
VIEW IN TELEGRAM
Ресерчеры Trend Micro продолжают отслеживать атаки и инструменты одной из наиболее активных АРТ Earth Aughisky (также известной как Taidoor).
В течение последнего десятилетия группа продолжала вносить коррективы в инструменты и развертывание вредоносных ПО под конкретные цели, расположенные на Тайване, а в последнее время и в Японии.
В дополнение к исследованному АРТ арсеналу, представленному в исследовательском материале (здесь), Trend Micro добавили новые семейства вредоносных программ и инструменты с компонентами, которые хоть и не полностью атрибутированы, но имеют определенные признаки и связи.
Бэкдор Roudan (или Taidoor) - это классическое вредоносное ПО Earth Aughisky, впервые раскрытое более 10 лет назад, наблюдалось для различных форматов, используемых АРТ для обратного трафика, поскольку оно содержит закодированный MAC-адрес и данные.
LuckDLL — относительно новый бэкдор, о котором до сих пор не сообщалось. Активность обнаружена после 2020 года. Открытый ключ встроен в конфигурацию вредоносного ПО и впоследствии взаимодействует с C2-сервером. Затем LuckDLL генерирует случайный сеансовый ключ и вектор инициализации (IV) для шифрования трафика. Открытый ключ шифрует сеансовый ключ и IV во время первоначальной связи и передается C2.
GrubbyRAT развертывается только тогда, когда АРТ заинтересована в важных целях. Файл конфигурации, о котором до сих пор не сообщается, иногда устанавливается в существующее приложение или общую системную папку и использует то же имя файла, что и компонент. Эта RAT устанавливается вручную и после того, как злоумышленник получил административные привилегии и контроль над зараженной системой.
Taikite (SVCMONDR) ранее не было отнесено к Earth Aughisky. Некоторые образцы этого удаленного файла, обнаруженные на Тайване в 2015 году, имели файл .pdb, аналогичный другим семействам и инструментам вредоносного ПО группы APT. Трафик обратного вызова C2 закодирован в Base64 и демонстрирует подробную структуру данных обратной связи и анализ поведения.
О бэкдоре SiyBot также еще не сообщалось, вероятно, потому, что используется реже и только в нескольких случаях. SiyBot злоупотребляет более ранними версиями общедоступных сервисов, таких как Gubb и 30 Boxes, для связи с C2, при этом необходимые учетные данные или токен можно найти в конфигурации вредоносного ПО.
Ресерчеры обнаружили, что один и тот же веб-сайт используется для размещения Roudan и SiyBot, а также полезной нагрузки загрузчика ASRWEC (инструмент, который также приписывается к АРТ) в том же хранилище.
Taleret — еще одно семейство вредоносных ПО, которое уже много лет идентифицируется к Earth Aughisky. Выявлены совпадения С2, одинаковых хэшей, механизмов ведения журналов и хостов блогов между Taleret и более ранними версиями полезной нагрузки Roudan.
Полный список индикаторов компрометации IOC можно найти здесь.
В течение последнего десятилетия группа продолжала вносить коррективы в инструменты и развертывание вредоносных ПО под конкретные цели, расположенные на Тайване, а в последнее время и в Японии.
В дополнение к исследованному АРТ арсеналу, представленному в исследовательском материале (здесь), Trend Micro добавили новые семейства вредоносных программ и инструменты с компонентами, которые хоть и не полностью атрибутированы, но имеют определенные признаки и связи.
Бэкдор Roudan (или Taidoor) - это классическое вредоносное ПО Earth Aughisky, впервые раскрытое более 10 лет назад, наблюдалось для различных форматов, используемых АРТ для обратного трафика, поскольку оно содержит закодированный MAC-адрес и данные.
LuckDLL — относительно новый бэкдор, о котором до сих пор не сообщалось. Активность обнаружена после 2020 года. Открытый ключ встроен в конфигурацию вредоносного ПО и впоследствии взаимодействует с C2-сервером. Затем LuckDLL генерирует случайный сеансовый ключ и вектор инициализации (IV) для шифрования трафика. Открытый ключ шифрует сеансовый ключ и IV во время первоначальной связи и передается C2.
GrubbyRAT развертывается только тогда, когда АРТ заинтересована в важных целях. Файл конфигурации, о котором до сих пор не сообщается, иногда устанавливается в существующее приложение или общую системную папку и использует то же имя файла, что и компонент. Эта RAT устанавливается вручную и после того, как злоумышленник получил административные привилегии и контроль над зараженной системой.
Taikite (SVCMONDR) ранее не было отнесено к Earth Aughisky. Некоторые образцы этого удаленного файла, обнаруженные на Тайване в 2015 году, имели файл .pdb, аналогичный другим семействам и инструментам вредоносного ПО группы APT. Трафик обратного вызова C2 закодирован в Base64 и демонстрирует подробную структуру данных обратной связи и анализ поведения.
О бэкдоре SiyBot также еще не сообщалось, вероятно, потому, что используется реже и только в нескольких случаях. SiyBot злоупотребляет более ранними версиями общедоступных сервисов, таких как Gubb и 30 Boxes, для связи с C2, при этом необходимые учетные данные или токен можно найти в конфигурации вредоносного ПО.
Ресерчеры обнаружили, что один и тот же веб-сайт используется для размещения Roudan и SiyBot, а также полезной нагрузки загрузчика ASRWEC (инструмент, который также приписывается к АРТ) в том же хранилище.
Taleret — еще одно семейство вредоносных ПО, которое уже много лет идентифицируется к Earth Aughisky. Выявлены совпадения С2, одинаковых хэшей, механизмов ведения журналов и хостов блогов между Taleret и более ранними версиями полезной нагрузки Roudan.
Полный список индикаторов компрометации IOC можно найти здесь.
Trend Micro
Tracking Earth Aughisky’s Malware and Changes
For over 10 years, security researchers have been observing and keeping tabs of APT group Earth Aughisky’s malware families and the connections, including previously documented malware that have yet to be attributed.
Forwarded from Social Engineering
🔖 S.E. Заметка. Дорки Shodan.
Представьте следующую ситуацию: Вы купили себе новенькую камеру видеонаблюдения, повесили над гаражом своего большого дома для охраны крутой тачки. Настроили камеру, загрузили приложение и настроили доступ к своей камере из любой точки мира. Кажется все легко и просто, однако камера шлет запросы на китайский сервак и транслирует картинку в режиме онлайн. Этот сервер может не требовать пароля для доступа к каналу с вашей веб-камеры, что делает ее общедоступной для всех, кто ищет текст, содержащийся на странице просмотра камеры.
• https://github.com/lothos612/shodan
• https://github.com/IFLinfosec/shodan-dorks
• https://github.com/humblelad/Shodan-Dorks
• https://securitytrails.com/blog/top-shodan-dorks
• https://github.com/jakejarvis/awesome-shodan-queries
• https://community.turgensec.com/shodan-pentesting-guide/
• https://github.com/AustrianEnergyCERT/ICS_IoT_Shodan_Dorks
• https://www.osintme.com/index.php/2021/01/16/ultimate-osint-with-shodan-100-great-shodan-queries/
• https://github.com/blaCCkHatHacEEkr/PENTESTING-BIBLE/blob/master/1-part-100-article/google/Shodan%20Queries.txt
Вспомогательная информация:
• https://beta.shodan.io/search/filters
• https://beta.shodan.io/search/examples
• https://nmap.org/book/osdetect-device-types.html
• https://help.shodan.io/the-basics/search-query-fundamentals
• https://en.wikipedia.org/wiki/List_of_Microsoft_Windows_versions
Альтернативы Shodan:
• Fofa
• Wigle
• LeaxIX
• Censys
• NATLAS
• ZoomEye
• Oneyphe
• Hunter.io
• ivre.rocks
• BinryEdge
• Greaynoise
• Ghostproject
Твой S.E. #OSINT #Shodan
Представьте следующую ситуацию: Вы купили себе новенькую камеру видеонаблюдения, повесили над гаражом своего большого дома для охраны крутой тачки. Настроили камеру, загрузили приложение и настроили доступ к своей камере из любой точки мира. Кажется все легко и просто, однако камера шлет запросы на китайский сервак и транслирует картинку в режиме онлайн. Этот сервер может не требовать пароля для доступа к каналу с вашей веб-камеры, что делает ее общедоступной для всех, кто ищет текст, содержащийся на странице просмотра камеры.
🖖🏻 Приветствую тебя user_name.
• Dorking является неотъемлемой частью процесса сбора конфиденциальной информации и процесса ее анализа. Его по праву можно считать одним из самых корневых и главных инструментов #OSINT и сегодня я поделюсь с тобой крутым списком ресурсов, на которых ты можешь найти интересные дорки #Shodan:• https://github.com/lothos612/shodan
• https://github.com/IFLinfosec/shodan-dorks
• https://github.com/humblelad/Shodan-Dorks
• https://securitytrails.com/blog/top-shodan-dorks
• https://github.com/jakejarvis/awesome-shodan-queries
• https://community.turgensec.com/shodan-pentesting-guide/
• https://github.com/AustrianEnergyCERT/ICS_IoT_Shodan_Dorks
• https://www.osintme.com/index.php/2021/01/16/ultimate-osint-with-shodan-100-great-shodan-queries/
• https://github.com/blaCCkHatHacEEkr/PENTESTING-BIBLE/blob/master/1-part-100-article/google/Shodan%20Queries.txt
Вспомогательная информация:
• https://beta.shodan.io/search/filters
• https://beta.shodan.io/search/examples
• https://nmap.org/book/osdetect-device-types.html
• https://help.shodan.io/the-basics/search-query-fundamentals
• https://en.wikipedia.org/wiki/List_of_Microsoft_Windows_versions
Альтернативы Shodan:
• Fofa
• Wigle
• LeaxIX
• Censys
• NATLAS
• ZoomEye
• Oneyphe
• Hunter.io
• ivre.rocks
• BinryEdge
• Greaynoise
• Ghostproject
Твой S.E. #OSINT #Shodan
Похоже, что Snatch набирает темп. За последние полгода добавляли только об одной жертве в месяц, но теперь группа сообщила сразу о 4 новых атаках. Одна из жертв - OilIndiaLimited с доходом в 3 миллиарда долларов от Индии.
Очередная мощная атака Black Basta поразила United Grinding Group из Швейцарии, которая имеет доход в размере 505 миллионов долларов. Прошлись и по строительной компании Willemen Groep.
Ransomware атаки также затронули Rofa Industrial Automation AG и Contour Technologies Limited (в обоих случая ответственные - RansomHouse), Clarion Communication Management Ltd (ответственные - AlphVM), крупного страховщика Lloyd's of London, Pinnacle Midlands Health, а также Университет Уильяма Кэри в США.
Qilin добавили на свой DLS шесть жертв с общим доходом в более чем $550 млн. Одна из жертв — компания из Канады Роберт Бернард с доходом $109 млн.
Очередная мощная атака Black Basta поразила United Grinding Group из Швейцарии, которая имеет доход в размере 505 миллионов долларов. Прошлись и по строительной компании Willemen Groep.
Ransomware атаки также затронули Rofa Industrial Automation AG и Contour Technologies Limited (в обоих случая ответственные - RansomHouse), Clarion Communication Management Ltd (ответственные - AlphVM), крупного страховщика Lloyd's of London, Pinnacle Midlands Health, а также Университет Уильяма Кэри в США.
Qilin добавили на свой DLS шесть жертв с общим доходом в более чем $550 млн. Одна из жертв — компания из Канады Роберт Бернард с доходом $109 млн.
Исследователи ThreatLabz Zscaler связали недавно обнаруженный образец нового вредоносного ПО LilithBot с группой Eternity (также известной как EternityTeam или Eternity Project).
Eternity ведет разработку одноименной вредоносной ПО как услуги (MaaS).
В мае в рамках расследования исследователи Cyble обнаружили и проанализировали Tor-маркетплейс Eternity Project, который предлагает к продаже широкий спектр вредоносных ПО, включая стилеры, майнеры, программы-вымогатели и DDoS-боты.
Как выяснилось, у операторов также есть Telegram-канал с 500 подписчиками, который использовался для обсуждения ассортимента редоносных ПО и обновлениях. Кроме того, операторы проекта позволяют своим клиентам настраивать бинарные функции через канал Telegram.
Операторы продают модуль Stealer за 260 долларов в виде годовой подписки. Он позволяет красть достаточно много конфиденциальной информации из зараженных систем, включая пароли, файлы cookie, кредитные карты и криптокошельки. Украденные данные эксфильтрируются через Telegram Bot.
Модуль Eternity Miner стоит 90 долларов. Клиенты могут настроить его с помощью собственного пула Monero и функций AntiVM.
Операторы Eternity также продают вредоносное ПО clipper за 110 долларов, оно отслеживает буфер обмена на наличие криптовалютных кошельков и подменяет их адресом кошелька злоумышленников.
Eternity Ransomware стоит 490 долларов, а Eternity Worm — 390 долларов.
По словам Cyble, операторы, стоящие за проектом Eternity, также разрабатывают вредоносный код DDoS Bot, заимствующий код из репозитория Github.
LilithBot — передовое многофункциональное вредоносное ПО, распространяемое группой Eternity через выделенный канал Telegram по модели MaaS, которое можно приобрести через Tor.
При этом злоумышленники постоянно улучшают вредоносное ПО, добавляя новые функции, в том числе средства защиты от отладки и проверки против виртуальных машин.
LilithBot может украсть всю информацию (история браузера, файлы cookie, изображения и снимки экрана) из зараженных систем, а затем загрузить себя в виде zip-файла в C2.
Отчет ресерчеров включает технические сведения и индикаторы компрометации IOC, а также MITRE ATT&CK.
Eternity ведет разработку одноименной вредоносной ПО как услуги (MaaS).
В мае в рамках расследования исследователи Cyble обнаружили и проанализировали Tor-маркетплейс Eternity Project, который предлагает к продаже широкий спектр вредоносных ПО, включая стилеры, майнеры, программы-вымогатели и DDoS-боты.
Как выяснилось, у операторов также есть Telegram-канал с 500 подписчиками, который использовался для обсуждения ассортимента редоносных ПО и обновлениях. Кроме того, операторы проекта позволяют своим клиентам настраивать бинарные функции через канал Telegram.
Операторы продают модуль Stealer за 260 долларов в виде годовой подписки. Он позволяет красть достаточно много конфиденциальной информации из зараженных систем, включая пароли, файлы cookie, кредитные карты и криптокошельки. Украденные данные эксфильтрируются через Telegram Bot.
Модуль Eternity Miner стоит 90 долларов. Клиенты могут настроить его с помощью собственного пула Monero и функций AntiVM.
Операторы Eternity также продают вредоносное ПО clipper за 110 долларов, оно отслеживает буфер обмена на наличие криптовалютных кошельков и подменяет их адресом кошелька злоумышленников.
Eternity Ransomware стоит 490 долларов, а Eternity Worm — 390 долларов.
По словам Cyble, операторы, стоящие за проектом Eternity, также разрабатывают вредоносный код DDoS Bot, заимствующий код из репозитория Github.
LilithBot — передовое многофункциональное вредоносное ПО, распространяемое группой Eternity через выделенный канал Telegram по модели MaaS, которое можно приобрести через Tor.
При этом злоумышленники постоянно улучшают вредоносное ПО, добавляя новые функции, в том числе средства защиты от отладки и проверки против виртуальных машин.
LilithBot может украсть всю информацию (история браузера, файлы cookie, изображения и снимки экрана) из зараженных систем, а затем загрузить себя в виде zip-файла в C2.
Отчет ресерчеров включает технические сведения и индикаторы компрометации IOC, а также MITRE ATT&CK.
Zscaler
Analysis of LilithBot Malware and Eternity Threat Group | Zscaler
ThreatLabz analysis of LilithBot, a multifunction malware sold as-a-service by the Eternity threat group.
VMware сообщила об исправлениях уязвимости vCenter Server, которая могла привести к RCE.
Утилита централизованного управления vCenter Server используется для контроля за виртуальными машинами и хостами ESXi, а также их зависимыми компонентами.
Отслеживаемая как CVE-2022-31680 с оценкой CVSS 7,2 ошибка безопасности описывается как проблема десериализации в контроллере служб платформы PSC.
Злоумышленник с правами администратора на сервере vCenter может использовать эту проблему для RCE в базовой операционной системе, на которой размещен сервер vCenter.
Уязвимость была устранена в выпуске VMware vCenter Server 6.5 U3u.
VMware также выпустила исправления для уязвимости с низким уровнем серьезности отказа в обслуживании (DoS) в гипервизоре VMware ESXi.
CVE-2022-31681 заключается в недостатке разыменования нулевого указателя, который может позволить злоумышленнику с привилегиями только в рамках процесса VMX создать состояние DoS на хосте.
Ошибка была устранена в версиях ESXi ESXi70U3sf-20036586, ESXi670-202210101-SG и ESXi650-202210101-SG.
Как сообщает VMware, Cloud Foundation (ESXi) также подвержена этой уязвимости.
VMware рекомендует всем клиентам выполнить обновления программного обеспечения, даже несмотря на то, что данных об использовании ошибок в дикой природе не имеется.
Утилита централизованного управления vCenter Server используется для контроля за виртуальными машинами и хостами ESXi, а также их зависимыми компонентами.
Отслеживаемая как CVE-2022-31680 с оценкой CVSS 7,2 ошибка безопасности описывается как проблема десериализации в контроллере служб платформы PSC.
Злоумышленник с правами администратора на сервере vCenter может использовать эту проблему для RCE в базовой операционной системе, на которой размещен сервер vCenter.
Уязвимость была устранена в выпуске VMware vCenter Server 6.5 U3u.
VMware также выпустила исправления для уязвимости с низким уровнем серьезности отказа в обслуживании (DoS) в гипервизоре VMware ESXi.
CVE-2022-31681 заключается в недостатке разыменования нулевого указателя, который может позволить злоумышленнику с привилегиями только в рамках процесса VMX создать состояние DoS на хосте.
Ошибка была устранена в версиях ESXi ESXi70U3sf-20036586, ESXi670-202210101-SG и ESXi650-202210101-SG.
Как сообщает VMware, Cloud Foundation (ESXi) также подвержена этой уязвимости.
VMware рекомендует всем клиентам выполнить обновления программного обеспечения, даже несмотря на то, что данных об использовании ошибок в дикой природе не имеется.
Критическая RCE-уязвимость в корпоративном ПО Zimbra Collaboration Suite, широко распространенном веб-клиенте и почтовом сервере, подвергается активной эксплуатации. При этом доступные исправления для устранения этой проблемы отсутствуют.
0-day отслеживается как CVE-2022-41352 и имеет рейтинг CVSS 9.8.
Согласно Rapid7, ошибка связана с методом (cpio) и позволяет злоумышленникам возможность загружать произвольные файлы через Amavis (система безопасности электронной почты) произвольные файлы и выполнять вредоносные действия на уязвимых установках.
Rapid7 также отметил, что CVE-2022-41352 фактически идентична CVE-2022-30333 — уязвимости обхода пути в Unix-версии утилиты RARlab unRAR, которая была обнаружена ранее в июне этого года.
Компонент cpio имеет недостаток, который позволяет злоумышленнику создавать архивы, которые можно извлечь в любом месте файловой системы, доступной для Zimbra.
Когда электронное письмо отправляется на сервер Zimbra, система безопасности Amavis извлекает архив для проверки его содержимого на наличие вирусов. Однако, если он извлекает специально созданный архив .cpio, .tar или .rpm, содержимое может быть извлечено в веб-корневой каталог Zimbra.
Успешное использование уязвимости позволяет злоумышленнику перезаписать корневой каталог Zimbra, внедрить шелл-код и получить доступ к учетным записям других пользователей.
Согласно сообщениям на форумах Zimbra, уязвимость нашла свое применение уже с начала сентября 2022 года.
После чего 14 сентября Zimbra выпустила рекомендации по безопасности, предупредив системных администраторов о необходимости установить Pax, портативную утилиту для архивирования, и перезапустить свои серверы для замены cpio.
Уязвимость, присутствующая в версиях 8.8.15 и 9.0 ПО, затрагивает несколько дистрибутивов Linux, таких как Oracle Linux 8, Red Hat Enterprise Linux 8, Rocky Linux 8 и CentOS 8, за исключением Ubuntu из-за того, что этот pax уже установлен по умолчанию.
0-day отслеживается как CVE-2022-41352 и за исключением Ubuntu из-за того, что этот pax уже установлен по умолчанию.
Zimbra заявила, что ожидает, что уязвимость будет устранена в следующем программном патче, который исключит cpio, сделав pax обязательным компонентом. Тем не менее, разработчик не представил конкретных сроков исправления.
Еще большую тревогу вызывает то, что Zimbra, как говорят, еще более уязвима для другого 0-day, вызывающего повышение привилегий, который может быть использован с связке уязвимостью cpio для достижения полной удаленной компрометации серверов.
Новый отчет Rapid7 проливает свет на технические детали и включает PoC, который позволяет злоумышленникам легко создавать вредоносные архивы.
Администраторам следует принять срочные меры для защиты своих ZCS.
0-day отслеживается как CVE-2022-41352 и имеет рейтинг CVSS 9.8.
Согласно Rapid7, ошибка связана с методом (cpio) и позволяет злоумышленникам возможность загружать произвольные файлы через Amavis (система безопасности электронной почты) произвольные файлы и выполнять вредоносные действия на уязвимых установках.
Rapid7 также отметил, что CVE-2022-41352 фактически идентична CVE-2022-30333 — уязвимости обхода пути в Unix-версии утилиты RARlab unRAR, которая была обнаружена ранее в июне этого года.
Компонент cpio имеет недостаток, который позволяет злоумышленнику создавать архивы, которые можно извлечь в любом месте файловой системы, доступной для Zimbra.
Когда электронное письмо отправляется на сервер Zimbra, система безопасности Amavis извлекает архив для проверки его содержимого на наличие вирусов. Однако, если он извлекает специально созданный архив .cpio, .tar или .rpm, содержимое может быть извлечено в веб-корневой каталог Zimbra.
Успешное использование уязвимости позволяет злоумышленнику перезаписать корневой каталог Zimbra, внедрить шелл-код и получить доступ к учетным записям других пользователей.
Согласно сообщениям на форумах Zimbra, уязвимость нашла свое применение уже с начала сентября 2022 года.
После чего 14 сентября Zimbra выпустила рекомендации по безопасности, предупредив системных администраторов о необходимости установить Pax, портативную утилиту для архивирования, и перезапустить свои серверы для замены cpio.
Уязвимость, присутствующая в версиях 8.8.15 и 9.0 ПО, затрагивает несколько дистрибутивов Linux, таких как Oracle Linux 8, Red Hat Enterprise Linux 8, Rocky Linux 8 и CentOS 8, за исключением Ubuntu из-за того, что этот pax уже установлен по умолчанию.
0-day отслеживается как CVE-2022-41352 и за исключением Ubuntu из-за того, что этот pax уже установлен по умолчанию.
Zimbra заявила, что ожидает, что уязвимость будет устранена в следующем программном патче, который исключит cpio, сделав pax обязательным компонентом. Тем не менее, разработчик не представил конкретных сроков исправления.
Еще большую тревогу вызывает то, что Zimbra, как говорят, еще более уязвима для другого 0-day, вызывающего повышение привилегий, который может быть использован с связке уязвимостью cpio для достижения полной удаленной компрометации серверов.
Новый отчет Rapid7 проливает свет на технические детали и включает PoC, который позволяет злоумышленникам легко создавать вредоносные архивы.
Администраторам следует принять срочные меры для защиты своих ZCS.
Rapid7
Unpatched Zero-Day RCE Vulnerability in Zimbra Collaboration Suite | Rapid7 Blog
Fortinet в частном порядке предупредила клиентов об уязвимости в системе безопасности, затрагивающей брандмауэры FortiGate и веб-прокси FortiProxy.
Критическая уязвимость CVE-2022-40684 имеет оценку CVSS 9,6 и связана с уязвимостью обхода аутентификации, которая может позволить злоумышленнику, не прошедшему проверку подлинности, выполнять произвольные операции в административном интерфейсе с помощью специально созданных запросов HTTP или HTTPS.
Ошибка затрагивает следующие версии FortiOS с 7.0.0 до 7.0.6 и с 7.2.0 до 7.2.1, FortiProxy с 7.0.0 на 7.0.6 и 7.2.0. Fortinet откладывает публичное раскрытие уязвимости и подробности атак с ее использованием до тех пор, пока ее клиенты не применят исправления.
Проблема исправлена в FortiOS 7.0.7 и 7.2.2, а также в версиях FortiProxy 7.0.7 и 7.2.1.
Принимая во внимание возможность удаленной эксплуатации этой проблемы и доступность, согласно поиску Shodan, более 100 000 брандмауэров FortiGate в сети, Fortinet настоятельно рекомендует всем клиентам с уязвимыми версиями выполнить немедленное обновление.
В качестве временного обходного пути Fortinet рекомендует пользователям отключить администрирование HTTPS с выходом в Интернет до тех пор, пока не будут установлены обновления, или, в качестве альтернативы, ограничить IP-адреса, которые могут получить доступ к административному интерфейсу с помощью локальной политики.
Критическая уязвимость CVE-2022-40684 имеет оценку CVSS 9,6 и связана с уязвимостью обхода аутентификации, которая может позволить злоумышленнику, не прошедшему проверку подлинности, выполнять произвольные операции в административном интерфейсе с помощью специально созданных запросов HTTP или HTTPS.
Ошибка затрагивает следующие версии FortiOS с 7.0.0 до 7.0.6 и с 7.2.0 до 7.2.1, FortiProxy с 7.0.0 на 7.0.6 и 7.2.0. Fortinet откладывает публичное раскрытие уязвимости и подробности атак с ее использованием до тех пор, пока ее клиенты не применят исправления.
Проблема исправлена в FortiOS 7.0.7 и 7.2.2, а также в версиях FortiProxy 7.0.7 и 7.2.1.
Принимая во внимание возможность удаленной эксплуатации этой проблемы и доступность, согласно поиску Shodan, более 100 000 брандмауэров FortiGate в сети, Fortinet настоятельно рекомендует всем клиентам с уязвимыми версиями выполнить немедленное обновление.
В качестве временного обходного пути Fortinet рекомендует пользователям отключить администрирование HTTPS с выходом в Интернет до тех пор, пока не будут установлены обновления, или, в качестве альтернативы, ограничить IP-адреса, которые могут получить доступ к административному интерфейсу с помощью локальной политики.
Недавно сообщалось о взломе ADATA вымогателями RansomHouse, которые угрожали слить украденный ТБ данных.
После собственного расследования тайваньский производитель чипов информацию об инциденте не подтвердил, заявив о публикации RansomHouse на своем DLS файлов, которые были украдены еще в мае в ходе ranosmware-атаки RagnarLocker.
Сравнивая временные метки данных в образцах RansomHouse с данными, украденными RagnarLocker, ресерчеры пришли к выводу, что оба набора массива имеют одинаковые временные метки, а файлы новее мая 2021 года отсутствуют.
Кроме того, компания добавила, что RansomHouse не оставил даже заметки о выкупе. Тем не менее, хакеры продолжают настаивать на том, что они все же взломали ADATA и вели переговоры с компанией по поводу выкупа.
Учитывая богатый опыт и предыдущих жертв RansomHouse, вполне вероятно, что переговоры оказались продуктивными для обеих сторон.
Будем посмотреть.
После собственного расследования тайваньский производитель чипов информацию об инциденте не подтвердил, заявив о публикации RansomHouse на своем DLS файлов, которые были украдены еще в мае в ходе ranosmware-атаки RagnarLocker.
Сравнивая временные метки данных в образцах RansomHouse с данными, украденными RagnarLocker, ресерчеры пришли к выводу, что оба набора массива имеют одинаковые временные метки, а файлы новее мая 2021 года отсутствуют.
Кроме того, компания добавила, что RansomHouse не оставил даже заметки о выкупе. Тем не менее, хакеры продолжают настаивать на том, что они все же взломали ADATA и вели переговоры с компанией по поводу выкупа.
Учитывая богатый опыт и предыдущих жертв RansomHouse, вполне вероятно, что переговоры оказались продуктивными для обеих сторон.
Будем посмотреть.
Telegram
SecAtor
Крупнейший тайваньский производитель DRAM в мире ADATA со штатом в 1400 сотрудников пал жертвой ransomware-атаки, в результате которой вымогатели украли 1 ТБ данных у компании, о чем сообщили на своем DLS RansomHouse.
ADATA не сообщает какие именно данные…
ADATA не сообщает какие именно данные…