Исследователи из Лаборатории Касперского рассказали, почему важно тщательно изучать природу скомпрометированных данных, способ их получения и возможно используемые при этом уязвимости в рамках расследования инцидентов.

Особенно актуально это становится в современных условиях, когда традиционные военные операции дополняются изощренной кибертактикой и где границы между спонсируемыми государством, хактивистами и независимыми субъектами стираются.

Достаточно четко исследователями был разобран кейс со взломом израильской частной электростанции Dorad, о котором заявили 8 октября хакеры из Cyber Av3ngers.

Группа поделилась фотографиями предполагаемого взлома с логотипом палестинского флага и политическими посланиями. Кроме того, сайт Dorad подвергся DDoS-атаке, что, вероятно, по замыслу хакеров должно было легитимизировать последующую утечку.

Ресерчеры проанализировали данные, опубликованные Cyber Av3ngers, и обнаружили, что они являются переработкой или перепрофилированием предыдущего инцидента, за которым стояла иранская Moses Staff, нацеленная на компании из Израиля, Италии, Индии, Германии, Чили, Турции, ОАЭ и США путем кражи и публикации конфиденциальных данных.

Однако доказательств какой-либо связи группы с Cyber Av3ngers так и не было получено.

Но участники группы, создав 15 сентября в Telegram был свой канал CyberAveng3rs, запостили сообщения, связывающие группу с одноименной группировкой Cyber Avengers, которая активна с 2020 и прославилась взломом объектов электроэнергетики и железнодорожной инфраструктуры.

Как пояснили специалисты, опубликованные Cyber Av3ngers файлы были впервые впервые опубликованы в июне 2022 и включали в себя утечку из нескольких компаний в Израиле, а те, что связаны со взломом Dorad (11 файлов) имели временные метки от августа 2020.

При этом утечка данных, судя по всему, является результатом хактивистской кампании MosesStaff, реализованной с использованием специального ПО PyDCrypt, DCSrv и StrifeWater.

Результаты сопоставительного анализа утечек и индикаторы компрометации - наглядно представлены в отчете, который в очередной раз подчеркивает важность соблюдения строгих мер кибербезопасности для защиты как от новых, так и от уже известных угроз IT и ОТ-систем.

А исследователи Group-IB анонсировали новую серию блогов под названием Нерассказанная история реагирования на инциденты, в рамках которой решили рассказать про некоторые из наиболее заметных случаев из своей 70 000 часовой практики.

Первая часть под названием Рождественское чудо повествует о триумфе специалистов, которым удалось оперативно отсечь банду вымогателей до того, как они успели пошифровать корпоративные файлы, что бывает достаточно редко.

В общем, в разгар тождественных праздников Group-IB расчехлили С2, связанный с бэкдором SystemBC, который использовался в ransomware-кампаниях. Благодаря этому в распоряжении исследователей оказался перечень зараженных хостов с IP-адресами.

Одной из последних оказалась европейская компания, которую уведомили о продолжающейся кибератаке через местные силовые структуры. Долго не думая, представители жертвы инициировали процесс реагирования на инцидент.

Изучая события, предшествовавшие взлому, специалисты выяснили, что 21 декабря в 18:00 журнал событий зараженной системы был очищен, а 20:20 в нем был обнаружен сценарий PowerShell, предназначенный для сброса «lsass.exe» с целью потенциального извлечения учетных данных с помощью Mimikatz.

 При дальнейшем рассмотрении выяснилось, что netscan.exe, известная утилита сетевого сканера SoftPerfect, была запущена 21 декабря в 19:57, что указывала на раннюю стадию вторжения.

Присмотревшись более пристально к SoftPerfect, было обнаружено, что инструмент содержал список учетных записей пользователей компании и связанные с ними пароли.

Кроме того, в папке «загрузки» на зараженном хосте был обнаружен выходной файл Mimikatz, датированный 20 декабря, что указывает на то, что первоначальное вторжение произошло несколько раньше, а чистка журнала была попыткой скрыть следы.

При более внимательном рассмотрении действий злоумышленника было установлено, что накануне 17 декабря (пятница) от имени администратора на сервере был расшарен RDP, после чего установлен AnyDesk и последовала загрузка различных хакерских инструментов.

Кульминацией стало создание 20 декабря новой папки под названием C:/NL/ , в которой размещался ряд хакерских инструментов, таких как Mimikatz, что означало вторжение в сеть жертвы второго злоумышленника.

Первоначальным злоумышленником оказался брокер первоначального доступа, который выкрал учетные данные и провел разведку сети. После этого продал доступ группе вымогателей.

По мере развития инцидента второй злоумышленник 24 декабря добавил в свой арсенал дополнительные инструменты.

В канун Рождества злоумышленники загрузили в папку «Музыка» зараженной системы dfControl (для отключения Защитника Windows) и PCHunter (инструмент визуализации процессов).

В финальном противостоянии после блокировки Mimikatz и dfControl, злоумышленник попытался запустить Cobalt Strike, чем в итоге поспособствовал быстрой идентификации сервера С2, который специалистам удалось нейтрализовать.

Вся операция по реагированию на инцидент длилась около шести часов и по итогу завершилась более чем успешно, а дальнейшее расследование SystemBC выявило более 100 жертв.

Таким образом, наглядно можно понять, что оперативное реагирование на инциденты в совокупности с умелым обращением с инструментами разведки угроз помогает обеспечить широкий охват ландшафта угроз и защититься от атак иногда даже до того, как наступят тяжелые последствия.

͏Как мы ставили SIEM

Исследователи фиксируют массовые атаки с использованием 0-day в операционной системе Cisco IOS XE.

Отслеживаемая как CVE-2023-20198 уязвимость затрагивает веб-интерфейс и позволяет удаленному злоумышленнику, не прошедшему аутентификацию, создать учетную запись, имеющую полный доступ к устройству.

В список продуктов, работающих под управлением IOS XE, входят корпоративные коммутаторы, агрегационные и промышленные маршрутизаторы, точки доступа, беспроводные контроллеры и многое другое.

Cisco обнаружила атаки еще в конце сентября, расследуя жалобы клиентов. Уровень серьезности ошибки составляет 10/10, и это уже вторая серия атак с использованием 0-day на IOS XE за последний месяц после CVE-2023-20109.

Компания заявляет, что работает над исправлением, и попросила клиентов отключить функцию HTTP-сервера на своих маршрутизаторах и коммутаторах IOS XE.

А тем временем, исследователи наперегонки рапортуют об инцидентах. VulnCheck обнаружила тысячи взломанных систем Cisco IOS XE с включенной функцией веб-интерфейса пользователя и выпустила сканер для обнаружения вредоносных имплантатов, а LeakIX насчитали уже более 30 000.

Координационный центр CERT Orange сообщает о более чем 34,5 тысячах устройств Cisco IOS XE, скомпрометированных в результате атак CVE-2023-20198.

Согласно данным Shodan, общее число устройств Cisco с включенным веб-интерфейсом в настоящее время доступных в Интернете составляет более 140 000.

Так что все еще впереди.

Исследователи TXOne Networks предупреждают о критических и серьезных уязвимостях в HMI серии cMT, тайваньской Weintek, которые эксплуатируются в дикой природе.

TXOne Networks обнаружила в HMI в общей сложности три уязвимости.

Объединив уязвимости, удаленный злоумышленник может получить доступ к системе или удаленно выполнить команды без аутентификации через веб-сервер.

Недостатки могут позволить злоумышленнику получить полный контроль над HMI.

Однако злоумышленнику не требуются какие-либо специальные разрешения для запуска DoS-атаки, для выполнения произвольных команд требуется пароль HMI.

Исследователи отмечают, что уже есть некоторые затронутые HMI Weintek, которые напрямую подключены к Интернету, но такие случаи весьма ограничены.

По данным CISA, затронутый продукт, Weintek cMT HMI, используется во всем мире, в том числе на критически важных производственных объектах.

Поставщик выпустил исправления для продуктов серий cMT3000, cMT-HDM и cMT-FHD, а TXOne опубликовала технические подробности каждой из уязвимостей.

Стоит отметить, что это не первый случай, когда исследователи TXOne находят уязвимости в продуктах Weintek.

Ранее в этом году несколько проблем было выявлено в облачном HMI Weincloud, которые могут позволить злоумышленнику манипулировать и повредить ICS.

Тайваньский производитель сетевого оборудования D-Link подтвердил киберинцидент и утечку данных.

Предварительно, инцидент привел к раскрытию некой информации низкой чувствительности полудоступного характера, как сообщили в компании.

Утверждается, что данные, вероятно, относятся к старой системе D-View 6, которая использовались для регистрации и была снята с производства еще в 2015 году.

Содержались ли идентификаторы пользователей, финансовая или иная чувствительная информация доподлинно не известно.

Нарушение было обнаружено около двух недель назад, когда неустановленные злоумышленники заявила о краже личных данных многих государственных чиновников в Тайване, а также исходного кода ПО для управления сетью D-Link D-View.

Привлеченные к расследованию специалисты Trend Micro пролили свет общественности.

По их данным, в результате нарушения было скомпрометировано примерно 700 устаревших и фрагментированных записей, вопреки утверждениям об утечке данных миллионов пользователей.

Детали атаки пока не раскрываются, кроме того, что нарушение произошло в результате фишинговой атаки, на которую повелся один из сотрудников компании.

D-Link отдельно подчеркнула, что его текущие активные клиенты не пострадают от этого инцидента.

Разработчики почтового сервера Exim выпустили обновление безопасности для исправления оставшихся трех из шести 0-day, раскрытых в рамках ZDI.

Ранее, как мы сообщали, в начале октября сначала исправили три самые критичные из раскрытых уязвимостей.

В этом последнем обновлении закрыты уже все шесть, первоначально обнаруженные исследователями в рамках ZDI.

Кроме того, Exim объявила устаревшими все предыдущие версии сервера Exim, и теперь официально поддерживается только текущая версия 4.96.2.

͏Ресерчеры Outpost24 проанализировали более чем 1,8 миллиона аутентификационных данных администраторов, собранных в период с января по сентябрь этого года с помощью своего решения Threat Compass, и обнаружили, что более 40 000 из них имели admin в качестве пароля.

Причем Threat Compass включает в себя аналитику на основе реально украденных учетных данных пользователей.

Вообще же, как оказалось, ИТ-администраторы используют десятки тысяч слабых паролей для защиты доступа к порталам, оставляя широкие возможности для кибератак на корпоративные сети, даже несмотря на то, что собранные данные не были представлены в виде простого текста.

Проанализировав весь объем, Outpost24 выкатили топ-20 самых слабых учетных данных для аутентификации, только взгляните - это вообще без комментариев:

Похоже, что план украинских силовиков подмять под себя рынок ransomware продолжает реализовываться. А чего стесняться, с колл-центрами же прокатило.

В начале месяца мы рассказывали про интервью главы СБУ, где тот делился подробностями, как СБУ привлекает к работе осужденных киберпреступников, а также проникает в банды ransomware, завербовав их членов из разных стран. Чудное комбо!

На днях украинские "хактивисты" из Ukrainian Cyber Alliance взломали и уничтожили инфраструктуру группы вымогателей Trigona через свежую уязвимость в Confluence. Забрали криптокошельки, бэкапы, исходники, а также отдефейсили сайт ransomware. Естественно, говорят, что группа российская (что вполне вероятно, но общей картины это не меняет).

Нам интересен сам выбор цели. С какой стати UCA, последние годы работавшие преимущественно по ресурсам российских ведомств и должностных лиц, вдруг переключились на борьбу с вымогателями?

Все это вполне укладывается в мозаику, когда СБУ и их подшефные хакерские группы активно мочат конкурентов на рынке вымогателей под ритуальные возгласы про борьбу за мир во всем мире, чтобы подмять его под своих хлопчиков. Никто же не будет отрицать, что существенная доля банд ransomware сидят на Украине?

Ведь главное в борьбе с Кровавым Мордором что? Главное - гешефт!

Mandiant предупреждает, что недавно исправленная 0-day в Citrix NetScaler Application Delivery Controller (ADC) и NetScaler Gateway CVE-2023-4966 используется в атаках августа.

Проблема, отслеживаемая как CVE-2023-4966 с оценкой CVSS 9,4 может быть использована без аутентификации для кражи конфиденциальной информации из локальных устройств, настроенных как шлюз или виртуальный сервер AAA.

Citrix объявила об исправлениях ошибок в NetScaler ADC и Gateway 10 октября, но не упомянула при этом о потенциальной эксплуатации.

Однако позже обновили свои рекомендации, предупредив клиентов о наблюдаемой эксплуатации CVE-2023-4966 и призвав их как можно скорее обновить свои экземпляры.

Ошибка устранена в версиях NetScaler ADC и NetScaler Gateway 14.1-8.50, 13.1-49.15 и 13.0-92.19, а также в версиях NetScaler ADC 13.1-FIPS 13.1-37.164, 12.1-FIPS 12.1-55.300 и 12.1-NDcPP 12.1- 55.300.

Mandiant же добавил, что уязвимость использовалась с августа в атаках, направленных на правительственный сектор и технологические организации.

Успешная эксплуатация может позволить злоумышленнику перехватить существующие сеансы с аутентификацией, минуя многофакторную аутентификацию.

Причем эти сеансы могут сохраняться после развертывания обновления для устранения CVE-2023-4966.

Кроме того, исследователи наблюдали перехват сеанса, когда данные были украдены еще до установки исправлений и впоследствии использовались злоумышленником.

В зависимости от разрешений и объема доступа к сеансу перехват может предоставить злоумышленникам дальнейший нисходящий доступ, позволяя им собирать учетные данные, перемещаться в горизонтальном направлении и получать доступ к дополнительным ресурсам в скомпрометированной среде.

В руководстве по исправлению Mandiant рекомендует изолировать экземпляры NetScaler ADC и шлюза при подготовке к установке исправлений, ограничить доступ к непропатченным устройствам, обновить устройства, завершить все активные сеансы после обновления и сканировать устройства на наличие вредоносной активности.  

Компания рекомендует восстанавливать зараженные устройства из чистых образов, менять учетные данные, если разрешен удаленный доступ с однофакторной аутентификацией, и ограничивать входящий доступ только доверенными или заранее определенными диапазонами исходных IP-адресов.

Начались массовые многомиллионные сливы генетических данных, утекших к результате инцидента, затронувшего американскую компанию в области биотехнологий и геномики 23andMe.

Сразу вслед за публикацией генетической информации 1 миллиона клиентов из числа евреев-ашкенази, в даркнет пролились «днк» еще 4,1 млн. жителей Великобритании и Германии.

Как полагают в компании, данные были получены в результате брута учетных данных пользователей платформы, реализованного с помощью других утечек.

Компания при этом ответственно заявляет, что никаких свидетельств инцидента безопасности в ее инфраструктуре обнаружено не было.

В свою очередь, хакеры заявляют, что среди украденных данных есть генетическая информация Королевской семьи, Ротшильдов и Рокфеллеров, однако пока исследователи затрудняются подтвердить их достоверность.

Кроме того, в списке якобы присутствуют представители высших кругов и наиболее благосостоятельных семей из США и Западной Европы.

Тем не менее, TechCrunch сообщает о совпадении ряда утекших сведений в отношении поданных Великобритании с реальной информацией некоторых клиентов.

Вообще же, до настоящего времени много вопросов по инциденту и реальным масштабам последствий.

Судя по всему, инцидент случился еще несколько месяцев назад.

Ведь, по информации TechCrunch, 300 ТБ, якобы принадлежащих 23andMe, уже продавались в августе 2023 года на площадке Hydra.

Причем некоторые представленные тогда данные частично совпадают с новой утечкой.

Новые обстоятельства явно опровергают официальные заявления 23andMe о компрометации ограниченного числа учетных записей клиентов (даже с учетом активации хакерами в ходе эксфильтрации функции DNA Relatives).

Так что, весьма вероятно, в ближайшее время клиентов ожидают новые даркнет-сенсации, а 23andMe - бледный вид и судебные иски, а главное - серьезные вопросы от VIP-клиентов.

Google анонсировала новые функции сканирования в режиме реального времени на уровне кода в Google Play Protect для борьбы с вредоносным ПО на Android.

Google Play Protect - это встроенная служба обнаружения угроз, которая сканирует устройства Android на наличие любых потенциально вредоносных приложений, загруженных из Play Store, а также внешних источников и сторонних магазинов приложений.

Play Protect работает и регулярно обновляется на большинстве устройств, включая Android 5 и более поздние версии.

Для компании это серьезный шаг на пути к повышению безопасности пользователей Android, которые в последнее время все чаще становятся жертвами продвинутого вредоносного ПО.

Проблема в том, что разработчики вредоносных приложений, продвигаемых вне Google Play, прибегают к ИИ и полиморфному вредоносному ПО для обхода автоматизированных платформ безопасности, что делает подобное сканирование малоэффективным.

После установки на устройство они извлекают дополнительный код с внешнего ресурса, завершая свою вредоносную функциональность на этапе пост-проверки.

Чтобы устранить этот пробел, Google расширил Play Protect, добавив возможность выполнять сканирование в реальном времени на уровне кода, и добавляет возможность сканирования приложений, которые ранее не проверялись.

Усовершенствованный сканер Play Protect будет использовать статический анализ наряду с эвристикой и машинным обучением для выявления закономерностей, указывающих на вредоносную активность.

Новый функционал в Google Play Protect уже доступен в Индии и других странах, а в ближайшие месяцы будет постепенно внедрен по всему миру.

Безусловно, некоторые вредоносные приложения смогут проскользнуть мимо новой системы, добавляя длительные задержки перед загрузкой кода или другое поведение, но, по прогнозам разработчиков, количество недетектируемых вредоносных программ будет снижено.

Насколько эффективным и на какую перспективу окажется решение на практике, все же будем посмотреть.

Амбициозный проект задумала компании MemComputing из Сан-Диего, которая исследует возможность использования ASIC (Application Specific Integrated Circuits) для взлома 2048-битного шифрования RSA в реальном времени.

Теория специалистов из MemComputing заключается в том, что если объединить обработку и данные в памяти, то можно преодолеть так называемое "бутылочное горлышко фон Неймана" (ограничение пропускной способности обмена данными между процессором и памятью по сравнению с объёмом памяти).

В свою очередь, практика показывает, что с ростом вычислительной сложности время обработки, требуемое классическими компьютерами, увеличивается, причем экспоненциально и сложные математические задачи не могут быть решены классическими компьютерами в приемлемые сроки.

Собственно, пока мир пребывает в ожидании квантовых компьютеров в MemComputing решили узнать, сколько времени займет взлом RSA с использованием ее запатентованной обработки в памяти, и можно ли это сделать за более короткий срок.

Больше похоже на помывочный контракт, ведь базовое исследование было проведено по инициативе ВВС США.

В совокупности проделанных исследований и разработок прогноз для ASIC показывал возможность решения проблемы 2048-битной факторизации за десятки минут.

Увы, этот вывод, скорее теоретический, чем доказуемый факт, но если все это окажется практически реализуемым, то страшный криптоапокалипсис и смерть текущего шифрования наступит раньше, чем мы ожидали.

Исследователи из Лаборатории Касперского сообщают об обновленной версии бэкдора MATA, которая была обнаружена в ходе атак в период с августа 2022 по май 2023 года, нацеленных на нефтегазовые компании и оборонную промышленность в Восточной Европе.

В ходе кампании использовались целевые фишинговые письма для того, чтобы заставить жертв загрузить вредоносные исполняемые файлы, которые, в свою очередь, с использованием CVE-2021-26411 в Internet Explorer инициировали цепочку заражений.

Обновленная платформа MATA сочетает в себе загрузчик, основной троян и инфокрад для бэкдоров и обеспечения устойчивости в целевых сетях. Причем версия MATA в этих атаках была аналогична предыдущим, связанным с северокорейской Lazarus, но с новыми возможностями.

Вредоносная активность попала в поле зрения исследователей в сентябре 2022 года после изучения двух образцов MATA, взаимодействующих с C2 внутри взломанных сетей организации, которые представляли собой серверы финансового ПО, подключенные к многочисленным дочерним компаниям целевой организации.

Расследование показало, что хакеры последовательно расширяли зону своего влияния с одного контроллера домена на производственном предприятии до всей корпоративной сети.

Атака продолжилась и хакеры получали доступ к двум панелям администратора решения безопасности: одна для защиты конечных точек, а другая для проверки соответствия, злоупотребляя им они наблюдали за инфраструктурой организации и распространяли вредоносное ПО среди ее дочерних компаний.

В соответствующих случаях, когда целью были серверы Linux, злоумышленники использовали вариант MATA для Linux в виде файла ELF, который по функциональности аналогичен 3-му поколению имплантата Windows.

Лаборатория Касперского изучила три новые версии MATA: одна (v3) возникла из второго поколения, которое наблюдалось в прошлых атаках, вторая (v4) получила название MataDoor и третья (v5) была написана с нуля.

Последняя версия MATA поставляется в форме DLL и обладает расширенными возможностями удаленного управления, поддерживает многопротокольные (TCP, SSL, PSSL, PDTLS) соединения с серверами управления и поддерживает прокси (SOCKS4, SOCKS5, HTTP+web, HTTP+NTLM) для создания цепочки серверов.

23 команды MATA пятого поколения включают действия по настройке подключения, управлению имплантатом и получению информации, а дополнительные плагины позволяют запускать еще 75 команд, связанных со сбором информации, управлением процессами и файлами, сетевой разведкой, функциями прокси и удаленным выполнением оболочки.

Из других интересных находок - новый модуль вредоносного ПО, который может использовать съемные носители данных для заражения изолированных систем, различные инфостиллеры, способные перехватывать учетные данные, файлы cookie, снимки экрана и содержимое буфера обмена, а также инструменты EDR/обхода безопасности.

Исследователи сообщают, что хакеры обошли EDR и инструменты безопасности, используя общедоступный эксплойт для CVE-2021-40449, получивший название CallbackHell. Если этот метод обхода не работал, они переключались на ранее задокументированные методы BYOVD.

Несмотря на то, что ЛК ранее связывала MATA с Lazarus, исследователям сложно с высокой степенью достоверности связать недавно наблюдаемую активность.

Новые варианты и методы MATA, такие как сериализация TTLV, многоуровневые протоколы и механизмы рукопожатия, более похожи на те, что используются АРТ Purple, Magenta и Green Lambert.

Кроме того, развертывание нескольких фреймворков вредоносного ПО и версий фреймворка MATA в рамках одной атаки встречается очень редко, что указывает на достаточно ресурсного злоумышленника.

Дополнительная техническая информация доступна в полном отчете.

͏Адовая уязвимость в Cisco IOS XE, про которую мы писали позавчера, активно эксплуатируется злоумышленниками прямо сейчас.

CVE-2023-20198, которая имеет оценку 10 из 10 по CVSS и приводит к созданию неаутентифицированным пользователем учетной записи с максимальными привилегиями доступа, не имеет на данный момент закрывающего апдейта.

По данным GreyNoise, по состоянию на полтора суток назад, в мире выявлено почти 42 тысячи маршрутизаторов и коммутаторов Cisco, на КОТОРЫХ УЖЕ УСТАНОВЛЕН ВРЕДОНОСНЫЙ ИМПЛАНТ! Сама Cisco про это "благородно" умалчивает.

Из этих 42 тысяч в России зафиксировано 436 УСТРОЙСТВ CISCO С УЖЕ УСТАНОВЛЕННЫМИ ИМПЛАНТАМИ! Это по состоянию, еще раз, на ночь с 18 на 19 октября. Сейчас, наверняка, больше. Патча, напомним, нет.

Поскольку маршрутизаторы Cisco используются у нас преимущественно в корпоративных сетях , это, товарищи, не жопа - это ЖОПИЩЕ.

Всем сотрудникам ИБ удачных выходных.

Вы держитесь здесь! Вам всего доброго, хорошего настроения! (с)

Исследователи Sophos X-Ops раскрыли атаку на цепочку поставок, в рамках которой злоумышленник взломал официальный сервер CloudChat и модифицировал Windows-установщик для распространения вредоносного ПО.

При этом CloudChat для Android, Mac, iOS и Linux затронуты не были. В самом коде приложения ничего не изменилось, но к нему добавилась дополнительная библиотека импорта — d3lib1.dll (code1.dll и code3.dll).

Загружаемая в процессе установки приложения вредоносная d3lib1.dll содержит зашифрованную полезную нагрузку, которая подключается обратно к серверу C2 для загрузки и запуска вредоносного ПО следующего этапа.

Во-первых, DLL сканирует процессы для поиска определенных строк: 360 (возможно, связан с Quihoo); xagt (агент FireEye); и falcon (CrowdStrike). В случае совпадения - пытается завершить соответствующий процесс.

Далее DLL подключается к промежуточному серверу и загружает файл BMP, который содержит данные, зашифрованные с помощью RC4, которые DLL расшифровывает с помощью жестко запрограммированного ключа fdjYUGYb&%53321.

Расшифрованный контент представляет собой структуру данных и шеллкод, образующие полезную нагрузку промежуточного уровня. Структура данных включает ключ XOR для деобфускации полезных данных промежуточного устройства и других необходимых параметров.

Далее DLL создает небольшой объект, содержащий различные API, которые потребуются ему позже, используя хеширование API ROR12 для разрешения API непосредственно из PEB.

Затем DLL распаковывает полезную нагрузку промежуточного уровня с помощью LZNT1. Шелл-код stager создает мьютекс lks2x, затем связывается с C2, определенным в конфигурации, который также зашифрован RC4 с тем же ключом. В этом случае IP-адрес C2 — 103.169.91.16, порт 443.

Неясно, как долго распространялся троянизированный установщик, но Sophos заметила инцидент в августе и немедленно уведомила поставщика, который до настоящего времени не дал никакой обратной связи.

Тем не менее, теперь на официальном ресурсе - оригинальный установщик без вредоносного функционала, а кампанию можно считать завершенной.

В свою очередь, Sophos опубликовала IOC, связанные с этой кампанией, у себя на GitHub (здесь).

Разработчики малвари BlackCat/ALPHV усовершенствовали свой арсенал и начали использовать новый инструмент под названием Munchkin.

Теперь для скрытого развертывания шифровальщика используется виртуальная машина на сетевых устройствах, что позволяет BlackCat работать на удаленных системах или шифровать сетевые ресурсы SMB и CIFS.

Munchkin представляет собой специально настроенный дистрибутив Linux Alpine OS, поставляемый в виде файла ISO.

После компрометации устройства злоумышленники устанавливают VirtualBox и создают новую виртуальную машину с использованием ISO Munchkin, который включает в себя набор скриптов и утилит для загрузки паролей, распространения по сети, создания полезных нагрузок шифровальщика BlackCat 'Sphynx' и выполнения команд на сетевых хостах.

Munchkin облегчает работу вымогателей, позволяя им выполнять различные задачи, включая обход защитных решений оконечных устройств жертвы.

Поскольку виртуальные машины обеспечивают дополнительный слой изоляции от операционной системы, это затрудняет обнаружение и анализ для антивирусных средств защиты.

Выбор злоумышленников упал на операционную систему Alpine не просто так.

Данная ОС оставляет наименьший цифровой след и позволяет автоматизировать значительный пул операций, что в свою очередь снижает необходимость ручного вмешательства, создавая дополнительный "шум" от командных потоков.

Кроме того, модульность Munchkin с множеством скриптов на Python и уникальные конфигурации создают условия для смены полезной нагрузки по мере необходимости, позволяя легко адаптировать инструмент к конкретным целям или кампаниям.

Лаборатория Касперского вновь вернулась к порочной практике апартеида в отношении русскоязычных пользователей - частенько интересные материалы сразу выходят на английском языке, а на великомогучем в лучшем случае спустя несколько дней. Иногда и вовсе не выходят.

Нет, мы-то, конечно, умеем в "Зе Тейбл", а как быть тем у кого Pre-Intermediate? Да и просто приятнее читать на родном и горячо любимом.

Требуем срочно прекратить бесчинства! А иначе придется выписать ЛК Нельсона Манделу черную метку.

Требование касается, прежде всего, ежеквартальной аналитики по АРТ, которую команда GReAT публикует на протяжении уже шести ле, чего мало, кто вообще делает.

В третьем квартале ключевыми событиями стали: кампания TetrisPhantom, нацеленная на правительственные учреждения в Азиатско-Тихоокеанском регионе путем компрометации определенного типа защищенного USB-накопителя, обеспечивающего аппаратное шифрование, а также шпионская деятельность BlindEagle в Латинской Америке.

Кроме того, исследователи отмечают атаки неизвестной APT BadRory на организации в России, новую вредоносную кампанию с развертыванием Owowa, бэкдора IIS, которая получила наименование GOFFEE.

Зафиксирован всплеск атак с использованием обновленных вариантов TargetPlug с более широкими географическими контурами.

Выявлены новые кампании кибернаемников Dark Caracal, направленные на предприятия государственного и частного сектора во многих испаноязычных странах.

Тюркоязычная StrongPity обзавелась новыми загрузчиками и нацелена на новые страны: Алжир, Ливан, Армению и Иран. Претерпело изменения вредоносное ПО BellaCiao, связанное с Charming Kitten.

Другие известные акторы также не остались в стороне: новая многоэтапная цепочка заражения у ScarCruft, последовательные RAT BlindEagle и эмуляция VPN-приложений MuddyWater.

Северокорейская Lazarus использовала троянизированные версии приложений Virtual Network Computing (VNC) в качестве приманки для атак на оборонную промышленность и инженеров-ядерщиков в рамках длительной кампании Operation Dream Job.

В общем, геополитика продолжает оставаться ключевым фактором развития APT, а кибершпионаж - главной целью всех наблюдаемых кампаний APT, которые по-прежнему географически дифференцированы: Европа, Южная Америка, Ближний Восток и различные регионы Азии.

Продолжаем мониторить ситуацию с атаками Cisco IOS XE 0-day, которая за выходные кардинально преобразилась.

Если в вкратце, то как минимум с 28 сентября реализуеьтся масштабная кампания по эксплуатации CVE-2023-20198 в панели веб-администрирования IOS XE, которую 16 октября подтвердила Cisco.

0-day позволял злоумышленникам создать учетную запись администратора с самым высоким уровнем привилегий на устройствах с открытой в сети панелью WebUI.

Однако расследование атак привело к обнаружению второй 0-day, с помощью которой злоумышленники использовали созданную учетную запись администратора для внедрения в IOS XE команд, которые выполнялись с правами root.

В Cisco заявили, что цепочка эксплойтов использовалась для внедрения бэкдора на основе Lua на устройства по всему миру.

И изначально считали второй эксплуатируемой в кампании багой исправленную в 2021 году CVE-2021-1435. На самом деле ей оказалась другая 0-day, отлеживаемая теперь как CVE-2023-20273.

Тем не менее, CVE-2021-1435 также использовалась в реальных условиях, но в другой кампании и другим злоумышленником.

Кроме того, самое интересное, что с конца сентября начал исчезать бэкдор Lua, который доставлялся на взломанные Cisco IOS XE.

По оценкам Censys и Shadowserver, количество взломанных устройств IOS XE достигало до 42 000 и даже более, но в эти выходные оно внезапно не упало примерно до 500-1000.

Как полагают специалисты, по всей видимости, это было вызвано действиями самого злоумышленника, публичная видимость бэкдора привлекла слишком много внимания к кампании, а сам он обладал низкой персистентностью.

Но не исключается, что все это могло сопровождаться другим механизмом более глубокой компрометации затронутых устройств, как в случае с Barracuda.

В свою очередь, несмотря на последние события, Cisco наконец-то выпустила исправления для обоих 0-day.

Правда, обновлений в этом случае все равно не будет достаточно, клиентам придется все же провести проверку безопасности своих устройств и систем.

Относительно атрибуции и результатов предварительного расследования Cisco комментариев не дает, сохраняя молчание.

Печально еще то, что цепочку эксплойтов раскрыли примерно в то же время, когда обнаружился еще один 0-day эксплойт CVE-2023-20109, что указывает на системную отработку злоумышленниками устройств Cisco IOS XE, которая приносит им неплохие результаты.

Но будем посмотреть.