͏Хактивисты взломали Национальную лабораторию ядерных исследований в Айдахо (INL) и выкрали конфиденциальные данные, о чем стало известно после публикации SiegedSec соответствующих пруфов в даркнете.

INL — это центр ядерных исследований по управлением Министерства энергетики США со штатом в 5700 специалистов, площадью более 2310 км2 и 50 экспериментальными ядерными реакторами, который специализируется в области атомной энергетики и национальной безопасности.

В настоящее время INL занимается разработкой атомных электростанций следующего поколения, легководных реакторов, кибербезопасностью систем управления, испытаниями передовых транспортных средств, биоэнергетикой, робототехникой, а также переработкой ядерных отходов.

Получив доступ к данным INL, хакеры SiegedSec слили подробную информацию на сотни тысяч сотрудников и пользователей систем на хакерских форумах и Telegram, как это они делали ранее в рамках инцидентов с НАТО и Atlassian.

Опубликованная SiegedSec информация включала: полные установочные данные, адреса электронной почты и телефоны, номера социального страхования (SSN), адреса проживания и сведения о трудоустройстве.

Для большей убедительности SiegedSec также выкатили скрины интерфейсов систем Oracle HCM в INL, также попутно разместив сообщение о взломе внутри корпоративной сети.

INL пока не давала заявлений по поводу инцидента. Тем не менее, представитель подтвердил факт нарушения, отметив, что в настоящее время ведется расследование с участием спецслужб и силовых структур, которые должны будут установить масштабы инцидента и возможную утечку научных данных.

Будем посмотреть.

Специалисты из Лаборатории Касперского в рамках проекта Kaspersky Security Bulletin продолжают моделировать и пытаться предвидеть развитие финансовых угроз и crimeware, ежегодно анонсируя свои прогнозы по возможным трендам на будущий год с оценкой заявленных в предыдущем периоде.

В целом большинство прогнозов на 2023 год оказались верными: развитие новых угроз в мире Web3 и криптовалют, рост популярности загрузчиков вредоносного ПО на теневом рынке и изменение мотивов вымогателей, которые сосредоточатся на разрушительных (в частности, политически мотивированных) атаках.

Прогноз об активном использовании новых средств для тестирования на проникновение в преступных целях в целом не оправдался — ресерчеры не наблюдали в атаках новых популярных фреймворков, отличных от Cobalt Strike и Brute Ratel C4.

Вопреки ожиданиям ЛК, операторы ransomware остались верны битку, при этом они полагаются миксеры для маскировки своих транзакций.

А в 2024 году исследователям придется решать множество сложных задач и противостоять все более изощренным TTPs злоумышленников, эксплуатирующих уязвимости финансовых систем. Ожидается, что:

- Стремительно возрастет количество кибератак с использованием технологий машинного обучения. Такой подход приведет к росту числа непрофессиональных атак — порог вхождения в эту нишу снизится, при этом возрастут шансы обмануть жертву.

- Мошенники будут чаще атаковать системы мгновенных платежей, интегрируя их в свои мошеннические схемы. Для быстрого, беспрепятственного вывода украденных средств все чаще будут использоваться мобильные банковские троянцы.

- Системы автоматического перевода (ATS), при котором банковский зловред совершает транцзакции, как только пользователь входит в банковское приложение, будут использоваться хакерами по всему миру.

- Многие киберпреступники из Восточной Европы переключились на шифровальщики, отказавшись от зловредов для онлайн-банкинга. Освободившуюся нишу могут занять бразильские банковские троянцы. Эти и другие семейства будут активно распространяться по миру, претендуя на звание нового ZeuS.

- Вымогатели будут тщательнее выбирать цели, делая атаки на финансовые организации более целенаправленными и разрушительными.

- Киберпреступники будут эксплуатировать уязвимости популярного ПО с открытым исходным кодом, ставя под угрозу безопасность, данные и финансы организаций, которые его используют.

- Атак с использованием 0-day станет меньше, а количество уязвимостей первого дня возрастет. Преступники также будут чаще обращать внимание на ошибки в конфигурации устройств и сервисов.

- Экосистема киберпреступных групп станет более гибкой — ее участники будут переходить из одной группы в другую или работать на несколько групп одновременно.

- Для создания вредоносного ПО и эксплуатации уязвимостей будут применяться менее распространенные кроссплатформенные языки программирования, такие как Golang и Rust, что усложнит обнаружение угроз и противодействие им.

- На фоне социально-политических конфликтов возрастет активность хактивистов, чья цель — вывести из строя критическую инфраструктуру и службы.

В киберподполье жизнь бьет ключом.

Ransomware-картель LockBit вводит новые правила для своих операторов, которые регламентируют переговорный процесс и условия выкупа.

Новый утвержденный порядок вступил в силу с начала октября, поводом для этого послужила участившаяся «порочная» практика снижения суммы выкупа и щедрые скидочные программы для жертв.

По данным исследователей Analyst1, операторы теперь будут вынуждены следовать многоуровневой процентной системе для определения суммы выкупа.

В основу калькуляции положена величина годового дохода жертвы:
- компании с выручкой до $100 млн должны будут платить от 3% до 10%;
- компании с выручкой до $1 млрд - от 0,5% до 5%;
- компании с выручкой более $1 млрд - от 0,1% до 3%.

При это операторам теперь также запрещено предоставлять скидки, превышающие 50% от размера первоначального требования о выкупе.

Исследователи из Adlumin сообщают об обнаружении доказательств того, что банда вымогателей Play теперь реализуется по модели RaaS.

Cybereason предупреждают о появлении новой серьезной ransomware INC, которая активна с августа этого года и уже успешно атаковала ряд компаний из США и Европы (одна жертва была из Сингапура).

Известные как Phobos RaaS вымогатели решили подставить команду vx-underground, выпустив специальную версию своей ransomware, которая в записке о выкупе указывала контактные реквизиты исследователей.

Аналогичным образом злоумышленники пытались дискредитировать редакцию канала SecAtor, подменяя учетные данные жертв атак из числа пользователей «дырявой» OctoberCMS нашим email.

Citrix выступила (с последним китайским) предупреждением, напоминая в стотысячный раз администраторам NetScaler и ADC не только обновить свое ПО, но и залочить предыдущие пользовательские сеансы и завершить все активные.

Это обусловлено тем, что злоумышленники, воспользовавшиеся уязвимостью CitrixBleed (CVE-2023-4966 ), крадут токены аутентификации, которыми затем смогут воспользоваться позже, даже на полностью исправленных устройствах.

Такой сценарии в атаках CitrixBleed уже активно практикует картель вымогателей LockBit, которым к настоящему времени удалось хакнуть Boeing и выкрасть 43 ГБ данных.

В списке жертв немало уже и других именитых брендов. И это при том, что неделю назад более 10 000 серверов Citrix, доступных в Интернете, оставались уязвимы для атак CitrixBleed.

Исследователи Trend Micro заметили, что возможностями критической уязвимости Apache ActiveMQ помимо банд вымогателей HelloKitty и TellYouThePass воспользовались операторы ботнета Kinsing.

Операторы вредоносного ПО активно используют CVE-2023-46604 на серверах ActiveMQ для компрометации систем Linux и развертывания майнеров криптовалюты.

Операторы Kinsing известны тем, что использует известные недостатки, которые часто упускают из виду системные администраторы, как случае с Log4Shell или Atlassian Confluence RCE.

Как отмечают исследователи, в настоящее время доступны эксплойты, которые реализуют метод ProcessBuilder для выполнения bash-скриптов и загрузки дополнительных полезных данных на зараженное устройство из вновь созданных процессов системного уровня.

Преимущество метода заключается в том, что он позволяет вредоносному ПО выполнять сложные команды и сценарии с высокой степенью контроля и гибкости, избегая при этом обнаружения.

Прежде чем запустить свой инструмент для майнинга крипты, Kinsing проверяет машину на наличие майнеров Monero, уничтожая все связанные процессы, crontab и активные сетевые соединения.

После этого устанавливает постоянство с помощью cronjob, который извлекает последнюю версию сценария заражения, а также добавляет руткит в /etc/ld.so.preload.

Добавление руткита гарантирует, что его код будет выполняться при каждом запуске процесса в системе, при этом он останется относительно скрытым и трудноудаляемым.

Поскольку число злоумышленников, использующих CVE-2023-46604, прогрессивно увеличивается, организации во многих секторах остаются под угрозой в случае их участия в атаке на цепочку мудаков игнорирования уязвимости или признаков компрометации.

Исследователи Blackwing Intelligence и Microsoft Offensive Research and Security Engineering (MORSE) протестировали датчики аутентификации по отпечатку пальца для Windows Hello на популярных ноутбуках и смогли обойти ее на каждом устройстве.

В качестве подопытных образцов были использованы Dell Inspiron 15 со сканером Goodix, Lenovo ThinkPad T14s с датчиком Synaptics и Microsoft Surface Pro X с датчиком ELAN.

Все представленные датчики реализованы по технологии Match-on-Chip (MoC), имея на борту собственный микропроцессор и хранилище и проведя обработку отпечатков изолированно внутри чипа, что предотвращает воспроизведение сохраненных данных отпечатков пальцев на хосте для сопоставления.

Кроме того, для защиты от подобных атак Microsoft разработала протокол SDCP, который гарантирующий надежность и исправность датчика, а также защиту входных данных между устройством и хостом.

Но на деле оказалось, что SDCP охватывает лишь очень узкую область действия типичного устройства, в то время как большинство устройств имеют значительную поверхность атаки, которая вообще не покрывается им.

В итоге исследователи, полагаясь на программный и аппаратный реверс-инжиниринг, смогли успешно обойти аутентификацию Windows Hello, используя MiTM на всех трех ноутбуках и специальное устройство Raspberry Pi 4 на базе Linux.

Атака требует физического доступа к целевому устройству — злоумышленнику придется украсть устройство или использовать метод под названием evil maid attack.

В опытных условиях они проводились посредством подключения хакерского оборудования к каждому ноутбуку через USB или самого датчика к оборудования.

На ноутбуках Dell и Lenovo обход аутентификации достигался путем перебора действительных идентификаторов и регистрации отпечатка пальца злоумышленника с использованием идентификатора законного пользователя Windows (датчик Synaptics использовал собственный стек TLS вместо SDCP для защиты USB-соединения).

В случае с устройством Surface, чей датчик ELAN не имел защиты SDCP, потребовалось отсоединить Type Cover и подключить USB-устройство, которое подделывает датчик отпечатков пальцев, сообщая системе о входе в систему авторизованного пользователя.

Исследователи Blackwing Intelligence поделились в блоге описанием своих результатов, а Microsoft выкатила ролик с презентацией Blackwing своих выводов на конференции BlueHat в октябре.

Новый DDoS-ботнет InfectedSlurs эксплуатирует для своего масштабирования две 0-day в роутерах и сетевых рекордерах (NVR).

InfectedSlurs, названный так из-за использования ненормативной лексики в доменах C2 и жестко закодированных строк, является вариантом JenX Mirai и объединяет почти 20 тысяч скомпрометированных устройств.

Инфраструктура C2 также по всей видимости реализует вредоносные кампании hailBot.

За активностью InfectedSlurs наблюдают исследователи Akamai, которые впервые обнаружили ее в своих ханипотах в конце октября 2023 года после аномалий на редко используемом TCP-порте. При этом первоначально ботнет засветился еще в конце 2022 года.

Злоумышленники инициировал попытки пройти аутентификацию посредством POST-запросов с последующим внедрением команд.

После анализа всего пула целевых устройств была выявлена их принадлежность к конкретному поставщику, у которого, как выяснилось, не нашлось для эксплуатируемых критических RCE-проблем присвоенных CVE.

Дальнейшее изучение показало, что вредоносное ПО также использует учетные данные по умолчанию, описанные в руководствах поставщиков нескольких решений NVR, для установки клиента-бота и выполнения других вредоносных действий.

Ресерчеры отмечают, что затронутые поставщики еще не представили исправлений. Патчи для уязвимостей ожидаются к декабрю, поэтому пока компания не раскрывает конкретных производителей.

Как и Mirai, InfectedSlurs не имеет механизма сохранения. Учитывая отсутствие патча для затронутых устройств, перезагрузка вашего сетевого видеорегистратора и устройств root должна временно подорвать работу ботнета.

Кроме того, исследователи рекомендуют отключить стандартные креды, изолировать потенциально уязвимые устройства для их проверки согласно приведенным IOC, Yara и Snort для поиска признаков компрометации.

͏Представители киберподполья анонсировали обнаружение 0-day в решении F5 BIG-IP и реализуют RCE-эксплойт по цене в 100 000 долларов США, которые намерены продать единственному покупателю через гаранта и в расчетах Monero.

Все признаки указывают на то, что предложение более чем реально, а у поставщика есть уникальная возможность стать тем самым счастливчиком-обладателем эксплойта.

Так что будем посмотреть.

Расследование рядового инцидента привело ресерчеров из Лаборатории Касперского к обнаружению hrserv, ранее неизвестной веб-оболочки со сложными функциями.

Дальнейший анализ позволил идентифицировать связанные варианты, датированные 2021 годом, указывающими на потенциальную корреляцию между различными наблюдаемыми кластерами вредоносной активности.

Начальное заражение связано с процессом PAExec.exe, который инициирует создание в системе запланированного задания с именем MicrosoftsUpdate, которое, в свою очередь, предназначено для выполнения BAT, принимающего в качестве аргумента путь к файлу DLL.

В этом случае сценарий поставляется с файлом $public\hrserv.dll, который затем копируется в каталог System32. После чего скрипт настраивает службу через системный реестр и утилиту sc, активируя вновь созданную службу.

Последовательность операций начинается с регистрации обработчика службы. Затем HrServ запускает HTTP-сервер, используя API HTTP-сервера для своей функциональности.

Он вызывает функцию HttpAddUrlToGroup для регистрации следующего URL-адреса, чтобы соответствующие запросы направлялись в очередь запросов.

Для связи клиент-сервер используются специальные методы кодирования, включающие кодировку Base64 и алгоритмы хеширования FNV1A64.

В зависимости от типа и информации в HTTP-запросе активируются определенные функции. В памяти системы активируется многофункциональный имплант.

Имплант создает файл в каталоге «%temp%», извлекает информацию из реестра, выполняет на основе этой информации некоторые действия и записывает результат этих действий в созданный файл. В результате реестр и временный файл используются как канал связи между имплантатом и HrServ.

После успешного закрепления в системной памяти, происходит удаление запланированного задания MicrosoftsUpdate, исходной DLL и пакетных файлов.

По данным телеметрии ЛК, в качестве единственно известной жертвы удалось идентифицировать правительственное учреждение в Афганистане. Анализ TTPs не позволил однозначно атрибутировать угрозу.

Но есть ряд интересных моментов: параметры GET, используемые в файле hrserv.dll для имитации служб Google, включают «hl», который определяет основной язык пользовательского интерфейса.

Присвоенное значение «en-TW» указывает, что интерфейс поиска Google должен отображаться на английском языке, а результаты поиска - на китайском.

Кроме того, ряд допущенных опечаток позволяют предположить, что актор, стоящий за образцами, не является носителем английского языка.

Исследователи полагают, что  характеристики вредоносного ПО в большей степени соответствуют финансово мотивированной вредоносной деятельности, однако операционная методология hrserv больше соотносится с поведением APT.

Microsoft раскрывает коварную кампанию северокорейской Lazarus Group, нацеленной на тысячи жертв по всему миру из числа пользователей мультимедийного ПО тайваньской CyberLink (выпускавшей в свое время популярный PowerDVD) в рамках реализации атаки на цепочку поставок.

Расчехлив разработчика с 400 млн. установок приложений, Lazarus заразили трояном один из установщиков для широкого распространения своего вредоносного ПО LambLoad через обновления с оригинальной инфраструктуры поставщика.

Причем для подписи вредоносного исполняемого файла АРТ использовала сертификат, выданный CyberLink Corp.

Активность была замечена Microsoft Threat Intelligence еще 20 октября 2023 года и с того времени затронула более чем 100 устройствах по всему миру, в том числе в Японии, Тайване, Канаде и США.

Microsoft с высокой степенью уверенности атрибутировала новую кампанию с Diamond Sleet (ZINC, Labyrinth Chollima или Lazarus).

Полезная нагрузка второго этапа, обнаруженная в ходе расследования, взаимодействует с инфраструктурой С2, которая фигурировала в других инцидентах, связанных с АРТ.

LambLoad нацелен на системы, не защищенные решениями безопасности FireEye, CrowdStrike или Tanium. В противном случае исполняемый файл продолжает работать без запуска связанного вредоносного кода.

Если критерии соблюдаются вредоносная программа подключается к одному из трех серверов C2 для получения полезной нагрузки второго этапа, , которая маскируется под файл PNG, который содержит встроенную полезную нагрузку внутри поддельного внешнего заголовка, расшифровываемого и запускаемого в памяти.

После выполнения вредоносная программа пытается связаться с легитимным, но скомпрометированным доменом для получения дополнительных полезных данных.

Это достаточно характерный для Lazarus вектор атаки, который применялся для компрометации используемого в криптосфере ПО с целью дальнейшей кражи активов.

Примечательно, что до настоящего времени Microsoft не обнаружила дальнейшего развития атаки и гипотетические цели кампании пока не нашли своего подтверждения.

После обнаружения атаки на цепочку поставок Microsoft проинформировала CyberLink и GitHub, который, в свою очередь, предпринял меры по удалению полезной нагрузки второго этапа.

Исследователи Лаборатории Касперского продолжают готовить аналитику по прогнозам угроз на 2024 год. В дополнение к предыдущим публикациям специалисты представили обзор по угрозам для пользователей.

Причем согласно прошлогодним предсказаниям, мошенники и киберпреступники в 2023 году извлекли выгоду из крупных событий и культурных увлечений, используя различные уловки, от фальшивых сделок с куклами Барби до использования ажиотажа вокруг давних сделок.

Киберпреступники продолжали атаковать учетные записи геймеров.

Однако прогноз по дефициту консолей, вызванному выпуском набора PS5 VR от Sony, не оправдался, поскольку в январе компания объявила, что с дефицитом покончено.

Хотя мы ожидали появления новой социальной сети, которая встряхнет сцену, ничего не произошло.

Вместо этого ChatGPT оказался главным технологическим открытием, посредством которого киберпреступники ловко нацелились на более широкую потенциальную аудиторию с поддельным приложением ChatGPT.

Говоря об образовании, хотя в 2023 году были зафиксированы атаки программ-вымогателей на школы, утечки университетских данных. Однако значительного всплеска атак на образовательные платформы не произошло.

Поскольку первоначальное волнение по поводу Метавселенной отошло на второй план по сравнению с искусственным интеллектом, картина угроз оказалась мягче, чем ожидалось.

Тем не менее, взлом компании метавселенной, которая привела к рассылке вредоносных писем ее пользователям, намекает на продолжающиеся риски. Исследователи полагают, что тренд сохранится и в 2024 году.

Хотя в 2023 году не зафиксировано ни одного случая, когда киберпреступники атаковали бы приложения в области психического здоровья, но вопросы их безопасности так или иначе возникали.

В преддверии 2024 года в ЛК полагают, что на картину потребительских угроз будут оказывать сильное влияние политические, культурные и технологические события, а главными трендами станут следующие:

- Ожидается рост мошенничества, связанного с благотворительностью.

- Продолжится сегментация глобальной сети.

- Значительное повышение спроса на VPN-решения во всем мире.

- Спрос на пользовательские моды и неофициальные альтернативы для популярных приложений будет сопровождаться атаками с продвижением через них вредоносного кода.

- Учитывая значительные инвестиции и привлекательность P2E-игр, киберпреступники будут уделять больше внимания к этому сектору.

- Борьба с дипфейками может привести к созданию универсальных инструментов противодействия.

- Потенциал голосовых дипфейков как инструмента киберпреступности будет расти и использоваться все активнее.

- Злоумышленники будут задействовать ажиотаж вокруг премьер в сфере кинематографа и видеоигр в своих мошеннических схемах с доступом к эксклюзиву.

Исследователи F.A.C.C.T. сообщают, что АРТ XDSpy снова в деле и на этот раз нацелена на российских металлургов и отечественный ВПК.

Новые вредоносные рассылки были обнаружены 21-22 ноября и адресовались одному из российских металлургических предприятий, а также НИИ, специализирующийся на разработке боевых ракет.

В обоих случаях в подписи красуется логотип "ядерного" НИИ, а в качестве отправителя указана электронная почта логистической компании из Калининграда.

Металлургам же писали якобы коллеги из Белоруссии.

Киллчейн новой ноябрьской кампании соответствует ранее описанным атакам XDSpy, которые мы также отслеживали ранее, а со свежими индикаторами компрометации можно ознакомиться в блоге исследователей F.A.C.C.T.

При этом виктимология XDSpy также соотносится с предыдущими целями из числа военных, финансовых учреждений, энергетических, исследовательских и добывающих компании в РФ.

Несмотря на то, что АРТ активна с 2011 года, но до сих пор международные исследователи не знают, в интересах какой страны она работает.

Мы же остаемся верны своему мнению, полагая, что XDSpy работает под патронажем одной из спецслужб разведсообщества Five Eyes.

Исследователи IBM X-Force подготовили анализ нового загрузчика вредоносного ПО WailingCrab, также известного как WikiLoader.

WikiLoader, впервые был задокументирован Proofpoint в августе 2023 года в рамках изучения кампаний, нацеленных на итальянские организации для развертывания трояна Ursnif (Gozi, был замечен в дикой природе в конце декабря 2022 года).

Как известно, вредоносное ПО связано с TA544, который также отслеживается как Bamboo Spider и Zeus Panda. IBM X-Force, в свою очередь, назвала кластер Hive0133.

Само вредоносное ПО включает в себя функции по обеспечению противодействия анализа, разделено на несколько компонентов, включая загрузчик, инжектор, загрузчик и бэкдор, для перехода на следующий этап необходимы запросы к C2, в качестве которых для скрытности используются взломанные веб-сайты. При этом компоненты хранятся на известных платформах, таких как Discord.

Примечательным изменением вредоносного ПО с середины 2023 года является использование MQTT, протокола обмена сообщениями OASIS для IoT, в качестве C2. Такая особенность встречается достаточно редко и ранее была замечена в реализации Tizi и MQsTTang.

Цепочки атак начинаются с электронных писем с вложениями в формате PDF с URL-адресами, при нажатии которых загружается файл JavaScript, предназначенный для получения и запуска загрузчика WailingCrab, размещенного на Discord.

Загрузчик отвечает за запуск шеллкода следующего этапа — модуля-инжектора, который, в свою очередь, ведет выполнение загрузчика для окончательного развертывания бэкдора.

В предыдущих версиях этот компонент загружал бэкдор, который размещался в виде вложения в Discord CDN. Однако последняя версия WailingCrab уже содержит компонент бэкдора, зашифрованный с помощью AES, и вместо этого он обращается к своему C2, чтобы загрузить ключ для его расшифровки.

Бэкдор, выполняющий роль ядра вредоносного ПО, предназначен для установления персистенции на зараженном хосте и связи с C2 по протоколу MQTT для получения дополнительных полезных данных.

Вдобавок ко всему, новые варианты бэкдора отказываются от загрузки через Discord в пользу полезной нагрузки на основе шелл-кода непосредственно из C2 через MQTT.

Как полагают исследователи, наблюдаемый переход WailingCrab на MQTT и отказ от Discord свидетельствует о принятии разработчиками дальнейших мер по усилению скрытности и уклонению от обнаружения.

Причем в перспективе в связи с злоупотреблениями сетью доставки контента Discord для распространения вредоносного ПО, ее администрации намерена к концу года перейти на временные ссылки для файлов, так что авторы действуют в соответствии с последними трендами.

͏Американская международная компания в области энергетики General Electric сообщает о начале расследования потенциального киберинцидента после обнаруженной в даркнете утечки, инициатор которой заявил о взломе среды разработки компании.

Причем перед тем, как слить данные некто IntelBroker попытался реализовать в киберполье доступ к конвейерам разработки ПО General Electric по цене в размере 500 долл.

Так и не подыскав покупателя, злоумышленник вернулся уже с пруфами, представив к продаже уже не только доступ (SSH, SVN и т.д.), но и, предположительно украденные данные.

Среди них оказался также большой объем важной военной информации, включая SQL, документы и другие файлы, связанные с DARPA, а в представленной утечке - образцы из базы данных GE Aviations с военными проектами.

GE подтвердила свою осведомленность относительно утечки и расследует предполагаемое нарушение, предпринимая меры для локализации последствий потенциального инцидента.

Несмотря на то, что сам взлом пока не подтвержден, известно, что IntelBroker обладает весьма авторитетной репутацией после ряда успешных резонансных кибератак в прошлом, недавними жертвами которых становились Weee и DC Health Link.

Причем пострадавшие клиенты последней - это вся элита Белого дома и Конгресса США, которая после этого не на шутку встревожилась. Похоже, что теперь «эстафету» передали ведущим американским инженерам и военным.

Будем посмотреть.

Британский NCSC и южнокорейская разведка NIS сообщают о новой кампании северокорейской Lazarus, реализуемой посредством 0-day в программном обеспечении MagicLine4NX для проведения атак на цепочку поставок.

MagicLine4NX — это программное обеспечение от южнокорейской компании Dream Security, которое используется корпоративными клиентами для обеспечения безопасности атуентификаиции в своих средах.

В марте 2023 года Lazarus последовательно использовали набор уязвимостей в MagicLine4NX для первоначального доступа, а также в сетевых системах - для горизонтального перемещения, для взлома интрасети целевых организаций, в первую очередь, из числа южнокорейских учреждений.

Кампания началась с компрометации сайта известного СМИ, куда были внедрены вредоносные сценарии для реализации дальнейшей атаки на водопой.

Посещения ресурса с определенного диапазоноа IP-адресов приводило к выполнению вредоносного кода посредством упомянутой 0-day в MagicLine4NX, затрагивающей все версии до 1.0.0.26.

После чего компьютер жертвы подключался к C2 злоумышленников, что позволило им получить доступ к серверу, пользуясь уязвимостями в сетевой системе.

В дальнейшем северокорейские хакеры производили через синхронизацию репликацию кода для кражи информации, нацеливаясь на компьютеры целевой организации.

Малварь подключается к двум серверам C2, один из которых действует как шлюз, а второй расположен снаружи в Интернете.

Его функции включают разведку, кражу данных, загрузку и выполнение зашифрованных полезных данных из C2, а также перемещение по сети.

Более подробная информация об атаке под кодовым названием Dream Magic, приписываемой Lazarus, доступна в отчете AhnLab.

Голландский гигант в сфере микроэлектроники NXP с рыночной стоимостью 52 млрд. долл. делится подробностями взлома сети китайской АРТ, известной как Химера, которой с октября 2017 года по начало 2020 года удавалось шпионить, оставаясь в сети незамеченной.

Первые упоминания о взломе появились после публикации Fox-IT в январе 2021 года подробностей о двух весьма продвинутых кибератаках, жертвами которых стал авиаперевозчик и неназванная компания в области полупроводников, как позже стало известно - NXP.

Доступ к системам NXP хакерам удалось получить через учетные записи сотрудников с помощью классического брута и обхода 2Fa путем подмены телефонных номеров. Причем первичные сведения об аккаунтах хакеры собрали из предыдущих утечек LinkedIn или Facebook.

Попав в сеть компании, хакеры постепенно расширяли свои права доступа, стирали следы и реализовали горизонтальное перемещение в защищенные сегменты.

При этом в поиске новых потенциально интересных данных хакеры посещали сеть жертвы с еженедельной периодичностью. Интересующие конфиденциальные данные собирали в зашифрованные архивы и эксфильтровывались через облачные сервисы Google Drive, Microsoft One Drive и Dropbox.

Обнаружить присутствие кибершпионов внутри сети удалось лишь после расследования другого инцидента, связанного со взломом голландской авиакомпании Transavia, в 2019 году, когда хакеры выдали себя, предприняв попытку получить доступ к системам бронирования дочерней компании KLM.

Как позже выяснилось, им удалось выкрасть данные 83 тысяч пассажиров, включая адреса и номера телефонов, а Transavia получила штраф в размере 400 000 евро за утечку.

При этом исследователи Fox-IT заметили, что хакеры также подключались к IP-адресам в Эйндховене, где была расположена штаб-квартира NXP, представители которой чуть позже в начале 2020 года столкнулись с шокирующими известиями.

С апреля 2020 к расследованию и локализации последствии атаки были привлечены специалисты Microsoft и Fox-IT, которым предстояло оценить объем утечки и все обстоятельства инцидента.

По итогу NXP сообщила, что АРТ удалось выкрасть определенную часть интеллектуальной собственности, но что именно остается неизвестным. При этом согласно годовым отчетам NXP за 2020 и 2021 годы, прямого материального ущерба причинено не было.

Кроме того, как выяснили журналисты NRC, в ходе последующих операций в 2018 и 2019 годах группа помимо Transavia взломала также семь тайваньских производителей чипов.

Тайваньская CyCraft публиковала подробности этого дела в апреле 2020 года: речь шла о масштабной, хорошо скоординированной атаке на научный парк Синьчжу на Тайване, где расположена штаб-квартира чип-гиганта TSMC.

Злоумышленники охотились на топологию микросхем и программное обеспечение, получив условное наименование Chimera благодаря использованию ChimeRAR, модифицированной версии ПО для сжатия данных.

Кроме того, их можно было узнать по паролю, который использовался для шифрования разведданных: fuckyou[.]google[.]com.

͏А DLS банды вымогателей Rhysida пополнился достаточно серьезным мировым тяжеловесом - зарансомилась China Energy Engineering Corporation.

CEEC — одна из ведущих госкомпаний Китая в энергетическом и инфраструктурном секторах с оборотом более 42 млрд. долл., которая участвует в разработке широкого спектра проектов в угольной, гидроэнергетической, атомной и возобновляемой энергетике по всему миру.

Хакеры утверждают, что им удалось выкрасть значительную часть весьма «впечатляющих» данных, которые будут проданы на аукционе за 50 BTC единственному покупателю по истечение семи дней, если не поступит выкуп.

Как известно, коллектив Rhysida действует с мая 2023 года и насчитывает как минимум 62 жертвы. В своей работе операторы воздействуют преимущественно на «цели возможностей», ориентируясь на крупные компании в сфере образования, здравоохранения, производства, IT и госсектора.

Почерк вымогателей в некоторой степени имеет сходство с деятельностью Vice Society (DEV-0832). Злоумышленники, как правило, используют внешние удаленные службы (например, VPN, RDP) для получения первоначального доступа к целевой сети и обеспечения устойчивости, а для выполнения вредоносных операций полагаются на современные методы, включая встроенные в ОС инструменты сетевого администрирования.

Учитывая, благосклонность китайского бизнеса к переговорам с вымогателями и выплатам отступных, как в случае с ICBC, появление новой крупной рыбки из Поднебесной в сетях ransomware удивления не вызывает, особенно на фоне западных инициатив по вводу жестких ограничений на выплаты хакерам.

Чем разрешится этот инцидент, будем конечно посмотреть.

В ПО для обмена файлами и совместной работы с открытым исходным кодом ownCloud обнаружены критические уязвимости, которые могут привести к раскрытию конфиденциальной информации и обходу аутентификации.

OwnCloud насчитывает более чем 200 000 установок, имеет 600 корпоративных клиентах и 200 миллионов пользователей.

Самая серьезная проблема получила оценку CVSS 10/10 и затрагивает Graphapi, которая использует стороннюю библиотеку, предоставляющую URL-адрес, при доступе к которому раскрываются детали конфигурации среды PHP (phpinfo). Проблема затрагивает версии с 0.2.0 по 0.3.0.

Такая информация включает в себя все переменные среды веб-сервера, которые могут содержать пароль администратора ownCloud, учетные данные почтового сервера и лицензионный ключ. Другие конфиденциальные данные в phpinfo могут также позволить собрать дополнительную информацию о системе.

При этом простое отключение приложения Graphapi не устраняет уязвимость. Администраторам рекомендуется изменить пароль администратора ownCloud, ключ доступа Object-Store/S3 и учетные данные для почтового сервера и базы данных. 

В ownCloud также отключили функцию phpinfo в докер-контейнерах и намерены применять различные меры защиты в будущих основных выпусках для устранения подобных уязвимостей.

Вторая уязвимость с оценкой серьезности CVSS 9,8 из 10 описывается как обход аутентификации в API WebDAV через предварительно подписанные URL-адреса.

Она позволяет получить доступ, изменить или удалить любой файл без аутентификации, если имя пользователя жертвы известно и у жертвы не настроен ключ подписи (который используется по умолчанию).

Ошибка затрагивает базовые версии ownCloud с 10.6.0 по 10.13.0, ее можно устранить, запретив использование предварительно подписанных URL-адресов, если для владельца файла не настроен ключ подписи.

Третья ошибка (оценка CVSS 9/10), затрагивающая версии приложения oauth2 до 0.6.1, может привести к обходу проверки поддомена.

В приложении oauth2 злоумышленник может передать специально созданный URL-адрес перенаправления, который обходит код проверки и, таким образом, позволяет злоумышленнику перенаправлять обратные вызовы на TLD, контролируемый злоумышленником.

Рекомендуемое решение — ужесточить код проверки в приложении Oauth2. Временным решением, описанным в бюллетене, является отключение опции «разрешить поддомены».

Учитывая, что уязвимости в платформах обмена файлами постоянно подвергаются атакам, как в случае с CLOP, администраторам ownCloud крайне важно немедленно применить рекомендуемые исправления и как можно скорее выполнить обновления библиотеки.