͏Американская международная компания в области энергетики General Electric сообщает о начале расследования потенциального киберинцидента после обнаруженной в даркнете утечки, инициатор которой заявил о взломе среды разработки компании.

Причем перед тем, как слить данные некто IntelBroker попытался реализовать в киберполье доступ к конвейерам разработки ПО General Electric по цене в размере 500 долл.

Так и не подыскав покупателя, злоумышленник вернулся уже с пруфами, представив к продаже уже не только доступ (SSH, SVN и т.д.), но и, предположительно украденные данные.

Среди них оказался также большой объем важной военной информации, включая SQL, документы и другие файлы, связанные с DARPA, а в представленной утечке - образцы из базы данных GE Aviations с военными проектами.

GE подтвердила свою осведомленность относительно утечки и расследует предполагаемое нарушение, предпринимая меры для локализации последствий потенциального инцидента.

Несмотря на то, что сам взлом пока не подтвержден, известно, что IntelBroker обладает весьма авторитетной репутацией после ряда успешных резонансных кибератак в прошлом, недавними жертвами которых становились Weee и DC Health Link.

Причем пострадавшие клиенты последней - это вся элита Белого дома и Конгресса США, которая после этого не на шутку встревожилась. Похоже, что теперь «эстафету» передали ведущим американским инженерам и военным.

Будем посмотреть.

Британский NCSC и южнокорейская разведка NIS сообщают о новой кампании северокорейской Lazarus, реализуемой посредством 0-day в программном обеспечении MagicLine4NX для проведения атак на цепочку поставок.

MagicLine4NX — это программное обеспечение от южнокорейской компании Dream Security, которое используется корпоративными клиентами для обеспечения безопасности атуентификаиции в своих средах.

В марте 2023 года Lazarus последовательно использовали набор уязвимостей в MagicLine4NX для первоначального доступа, а также в сетевых системах - для горизонтального перемещения, для взлома интрасети целевых организаций, в первую очередь, из числа южнокорейских учреждений.

Кампания началась с компрометации сайта известного СМИ, куда были внедрены вредоносные сценарии для реализации дальнейшей атаки на водопой.

Посещения ресурса с определенного диапазоноа IP-адресов приводило к выполнению вредоносного кода посредством упомянутой 0-day в MagicLine4NX, затрагивающей все версии до 1.0.0.26.

После чего компьютер жертвы подключался к C2 злоумышленников, что позволило им получить доступ к серверу, пользуясь уязвимостями в сетевой системе.

В дальнейшем северокорейские хакеры производили через синхронизацию репликацию кода для кражи информации, нацеливаясь на компьютеры целевой организации.

Малварь подключается к двум серверам C2, один из которых действует как шлюз, а второй расположен снаружи в Интернете.

Его функции включают разведку, кражу данных, загрузку и выполнение зашифрованных полезных данных из C2, а также перемещение по сети.

Более подробная информация об атаке под кодовым названием Dream Magic, приписываемой Lazarus, доступна в отчете AhnLab.

Голландский гигант в сфере микроэлектроники NXP с рыночной стоимостью 52 млрд. долл. делится подробностями взлома сети китайской АРТ, известной как Химера, которой с октября 2017 года по начало 2020 года удавалось шпионить, оставаясь в сети незамеченной.

Первые упоминания о взломе появились после публикации Fox-IT в январе 2021 года подробностей о двух весьма продвинутых кибератаках, жертвами которых стал авиаперевозчик и неназванная компания в области полупроводников, как позже стало известно - NXP.

Доступ к системам NXP хакерам удалось получить через учетные записи сотрудников с помощью классического брута и обхода 2Fa путем подмены телефонных номеров. Причем первичные сведения об аккаунтах хакеры собрали из предыдущих утечек LinkedIn или Facebook.

Попав в сеть компании, хакеры постепенно расширяли свои права доступа, стирали следы и реализовали горизонтальное перемещение в защищенные сегменты.

При этом в поиске новых потенциально интересных данных хакеры посещали сеть жертвы с еженедельной периодичностью. Интересующие конфиденциальные данные собирали в зашифрованные архивы и эксфильтровывались через облачные сервисы Google Drive, Microsoft One Drive и Dropbox.

Обнаружить присутствие кибершпионов внутри сети удалось лишь после расследования другого инцидента, связанного со взломом голландской авиакомпании Transavia, в 2019 году, когда хакеры выдали себя, предприняв попытку получить доступ к системам бронирования дочерней компании KLM.

Как позже выяснилось, им удалось выкрасть данные 83 тысяч пассажиров, включая адреса и номера телефонов, а Transavia получила штраф в размере 400 000 евро за утечку.

При этом исследователи Fox-IT заметили, что хакеры также подключались к IP-адресам в Эйндховене, где была расположена штаб-квартира NXP, представители которой чуть позже в начале 2020 года столкнулись с шокирующими известиями.

С апреля 2020 к расследованию и локализации последствии атаки были привлечены специалисты Microsoft и Fox-IT, которым предстояло оценить объем утечки и все обстоятельства инцидента.

По итогу NXP сообщила, что АРТ удалось выкрасть определенную часть интеллектуальной собственности, но что именно остается неизвестным. При этом согласно годовым отчетам NXP за 2020 и 2021 годы, прямого материального ущерба причинено не было.

Кроме того, как выяснили журналисты NRC, в ходе последующих операций в 2018 и 2019 годах группа помимо Transavia взломала также семь тайваньских производителей чипов.

Тайваньская CyCraft публиковала подробности этого дела в апреле 2020 года: речь шла о масштабной, хорошо скоординированной атаке на научный парк Синьчжу на Тайване, где расположена штаб-квартира чип-гиганта TSMC.

Злоумышленники охотились на топологию микросхем и программное обеспечение, получив условное наименование Chimera благодаря использованию ChimeRAR, модифицированной версии ПО для сжатия данных.

Кроме того, их можно было узнать по паролю, который использовался для шифрования разведданных: fuckyou[.]google[.]com.

͏А DLS банды вымогателей Rhysida пополнился достаточно серьезным мировым тяжеловесом - зарансомилась China Energy Engineering Corporation.

CEEC — одна из ведущих госкомпаний Китая в энергетическом и инфраструктурном секторах с оборотом более 42 млрд. долл., которая участвует в разработке широкого спектра проектов в угольной, гидроэнергетической, атомной и возобновляемой энергетике по всему миру.

Хакеры утверждают, что им удалось выкрасть значительную часть весьма «впечатляющих» данных, которые будут проданы на аукционе за 50 BTC единственному покупателю по истечение семи дней, если не поступит выкуп.

Как известно, коллектив Rhysida действует с мая 2023 года и насчитывает как минимум 62 жертвы. В своей работе операторы воздействуют преимущественно на «цели возможностей», ориентируясь на крупные компании в сфере образования, здравоохранения, производства, IT и госсектора.

Почерк вымогателей в некоторой степени имеет сходство с деятельностью Vice Society (DEV-0832). Злоумышленники, как правило, используют внешние удаленные службы (например, VPN, RDP) для получения первоначального доступа к целевой сети и обеспечения устойчивости, а для выполнения вредоносных операций полагаются на современные методы, включая встроенные в ОС инструменты сетевого администрирования.

Учитывая, благосклонность китайского бизнеса к переговорам с вымогателями и выплатам отступных, как в случае с ICBC, появление новой крупной рыбки из Поднебесной в сетях ransomware удивления не вызывает, особенно на фоне западных инициатив по вводу жестких ограничений на выплаты хакерам.

Чем разрешится этот инцидент, будем конечно посмотреть.

В ПО для обмена файлами и совместной работы с открытым исходным кодом ownCloud обнаружены критические уязвимости, которые могут привести к раскрытию конфиденциальной информации и обходу аутентификации.

OwnCloud насчитывает более чем 200 000 установок, имеет 600 корпоративных клиентах и 200 миллионов пользователей.

Самая серьезная проблема получила оценку CVSS 10/10 и затрагивает Graphapi, которая использует стороннюю библиотеку, предоставляющую URL-адрес, при доступе к которому раскрываются детали конфигурации среды PHP (phpinfo). Проблема затрагивает версии с 0.2.0 по 0.3.0.

Такая информация включает в себя все переменные среды веб-сервера, которые могут содержать пароль администратора ownCloud, учетные данные почтового сервера и лицензионный ключ. Другие конфиденциальные данные в phpinfo могут также позволить собрать дополнительную информацию о системе.

При этом простое отключение приложения Graphapi не устраняет уязвимость. Администраторам рекомендуется изменить пароль администратора ownCloud, ключ доступа Object-Store/S3 и учетные данные для почтового сервера и базы данных. 

В ownCloud также отключили функцию phpinfo в докер-контейнерах и намерены применять различные меры защиты в будущих основных выпусках для устранения подобных уязвимостей.

Вторая уязвимость с оценкой серьезности CVSS 9,8 из 10 описывается как обход аутентификации в API WebDAV через предварительно подписанные URL-адреса.

Она позволяет получить доступ, изменить или удалить любой файл без аутентификации, если имя пользователя жертвы известно и у жертвы не настроен ключ подписи (который используется по умолчанию).

Ошибка затрагивает базовые версии ownCloud с 10.6.0 по 10.13.0, ее можно устранить, запретив использование предварительно подписанных URL-адресов, если для владельца файла не настроен ключ подписи.

Третья ошибка (оценка CVSS 9/10), затрагивающая версии приложения oauth2 до 0.6.1, может привести к обходу проверки поддомена.

В приложении oauth2 злоумышленник может передать специально созданный URL-адрес перенаправления, который обходит код проверки и, таким образом, позволяет злоумышленнику перенаправлять обратные вызовы на TLD, контролируемый злоумышленником.

Рекомендуемое решение — ужесточить код проверки в приложении Oauth2. Временным решением, описанным в бюллетене, является отключение опции «разрешить поддомены».

Учитывая, что уязвимости в платформах обмена файлами постоянно подвергаются атакам, как в случае с CLOP, администраторам ownCloud крайне важно немедленно применить рекомендуемые исправления и как можно скорее выполнить обновления библиотеки.

И вновь спасение утопающих становится делом рук самих утопающих, если речь идет о Microsoft. Но к счастью, на помощь пользователям в очередной раз приходят сторонние специалисты.

На этот раз за устранение серьезной проблемы в Microsoft Access взялись разработчики Acros Security.

9 ноября 2023 года исследователи Check Point Research опубликовали детали уязвимости раскрытия информации, которая позволяет злоумышленнику получить NTLM-хэш жертвы, заставив его открыть документ Microsoft Office со встроенной базой данных Access.

Ссылку на удаленную базу данных SQL Server можно вставить в базу данных Microsoft Access с «аутентификацией Windows NT», что приведет к принудительной аутентификации и утечке NTLM-хеша пользователя каждый раз, когда таблица с такой ссылкой обновляется в Access.

Это «классическая» проблема принудительной аутентификации, отличающаяся от большинства других только тем, что соединение устанавливается не через SMB и RPC, а через порт 1433 SQL Server.

Но ссылка на базу данных может переопределить порт по умолчанию и указать произвольный порт, включая 80 или 443, которые обычно разрешены брандмауэрами для исходящих подключений.

Чтобы преодолеть ограничения, исследователи Haifei предложили макрос AutoExec, который можно использовать для автоматического открытия таблицы и принудительного обновления.

Checkpoint сообщила об этой уязвимости Microsoft в январе 2023 года и в июле все еще «не смогла получить окончательный ответ, поскольку, согласно ответу MSRC, проблема считается «низкой/отсутствующей серьезностью».

Правда позже исследователи заметили, что в какой-то момент Access начал показывать диалоговое окно безопасности при открытии файла PoC.

Но его закрытие по-прежнему приводит к выполнению AutoExec, отправляя учетные данные пользователя на сервер злоумышленника. Единственный способ заблокировать эксплойт — принудительно завершить процесс msaccess.exe.

За последние несколько лет было обнаружено множество подобных уязвимостей и Microsoft исправила некоторые из них, но при этом решила не исправлять другие: DFSCoerce, PrinterBug/SpoolSample и PetitPotam до сих пор не имеют официального патча.

Причем RemotePotato0 изначально постигла та же участь, но через 9 месяцев после публикации она была незаметно исправлена, а в случае с ShadowCoerce - через 6 месяцев.

С другой стороны, уязвимость WordPad из той же категории, приводящая к утечке NTLM-хеша пользователя при открытии документа RTF, была открыто исправлена Microsoft только в прошлом месяце.

В общем, исследователи пришли к выводу, что Microsoft не намерена исправлять проблему, что, по их мнению, было неправильным, поскольку ее влияние сопоставимо с проблемой WordPad.

Может быть, они это сделают, а может быть и нет, но 0patch решили это сделали вместо них, выпустив свой микропатч для Microsoft Office.

Крупная американская компания в сфере здравоохранения Генри Шейн уж очень полюбилась операторам BlackCat, которые просто не желают с ней расставаться и демонстрируют выделяющийся способности в плане персистентности.

Второй месяц подряд администрация Генри Шейн вынуждена рапортовать об очередной кибератаке со стороны банды BlackCat/ALPHV, которая взламывала их сеть октябре.

И это при том, что Генри Шейн — поставщик медицинских товаров и услуг из списка Fortune 500 с филиалами в 32 странах и выручкой в более 12 млрд. долл.

Впервые компания сообщила об отключении своих систем 15 октября, когда противодействовала кибератаке, повлиявшей на ее бизнес-процессы.

Спустя месяц, 22 ноября, ситуация повторилась и компания заявила о отключении приложений и платежных платформ в результате нового ransomware-инцидента.

Тем не менее, компания продолжала принимать заказы, используя альтернативные возможности, попутно проводя очередной расследование по установлению причин и локализации последствий.

Только вчера Генри Шейн удалось восстановить работоспособность своей инфраструктуры и надеется вскоре также запустить работу филиалов в Канаде и Европе.

В свою очередь, BlackCat добавила их на свой DLS и анонсировала утечку 35 терабайт конфиденциальных данных.

Хакеры отметили, что после провала переговоров в конце октября было принято решение пошифровать системы жертвы повторно в расчете убедить последних быть более сговорчивыми в плане выкупа.

Последняя иттерация вымогателей стала уже третьим инцидентом на счету Генри Шейн за недавнее время. После чего, компания, по всей видимости, вновь перейдет в режим «свободной кассы».

На самом же деле, это очередной показательный пример, успешной реализации атаки на цепочку мудаков, в данном случае - многоэтапной.

Очередная минутка познавательной географии на канале SecAtor.

Как сообщают профильные информационные ресурсы, правоохранительные органы 7 стран в рамках совместной с Европолом операции арестовали членов группы вымогателей, причастных к атакам на более чем 250 серверов крупных корпораций, что привело к убыткам в несколько сот миллионов евро.

Подозреваемых задержали в Киеве, Черкассах, Ровно и Виннице.

Если верить сообщениям прогрессивных западных инфосек журналистов и экспертов за последние пару лет - все это Россия.

Исследователи F.A.C.C.T. зафиксировал новую кампанию с использованием трояна DarkWatchman RAT, связанную с атаками на российские компании под видом почтовой рассылки от курьерской службы доставки Pony Express.

В списке замечено 30 адресатов из числа банковских учреждений, маркетплейсов, операторов связи, предприятий АПК и ТЭК, логистических и IT-компаний.

В отправляемых сообщениях адресата информируют об окончании срока бесплатного хранения товара, а прилагаемый архив с накладной содержит вредоносный DarkWatchman RAT.

Письма счастья рассылаются с домена ponyexpress[.]site, который ранее уже использовался для фишинга. Причем указанный в письме многоканальный телефон, действительно, принадлежит курьерской службе Pony Express.

Впрочем, ничего нового, ранее операторы DarkWatchman RAT распространяли малварь под видом архива с результатами фейкового тендера от Минобороны РФ, липовых повесток от военкомата, а также через поддложный сайт российского разработчика в сфере криптографии.

Буквально через несколько дней после публичного раскрытия фиксируются попытки эксплуатации критической уязвимости в ПО для обмена файлами и совместной работы ownCloud.

CVE-2023-49103 влияет на версии Graphapi 0.2.0-0.3.0, позволяя злоумышленники получать конфиденциальные переменные среды, включая учетные данные, лицензионные ключи и другую системную информацию.

Причем недостаток не может быть устранен путем отключения приложения Graphapi, также требует изменения паролей для административных учетных записей, ключей доступа и учетных данных для почтового сервера и базы данных.

ownCloud раскрыла уязвимость 21 ноября, наряду с двумя другими критическими проблемами в программном обеспечении (CVE-2023-49104 и CVE-2023-49105).

А уже в понедельник исследователи заметили первые попытки эксплуатации в дикой природе, нацеленные на CVE-2023-49103.

Shadowserver Foundation сообщает об обнаружении около 11 000 экземпляров OwnCloud, доступных в Интернете и потенциально находящихся под угрозой.

Наибольшее число из них приходится на Германию (2000), США (1 400) и Францию (1300).

Россия, Польша, Нидерланды, Италия, Великобритания, Канада и Испания с сотнями экземпляров замыкают рейтинг топ-10.

Ресерчеры Shadowserver предупреждают, что уязвимость достаточно просто использовать и призывают администраторов следовать рекомендациям и мерам по смягчению последствий, представленным ownCloud.

Google выпускает экстренное обновление для исправления шестой в этом году 0-day в Chrome, которая активно эксплуатируется в реальных атаках.

Компания сообщила о существовании рабочего эксплойта для новой CVE-2023-6345, которая связана с проблемой целочисленного переполнения в 2D-графической библиотеке Skia с открытым исходным кодом, вызывая различные последствия от DoS до RCE.

Об ошибке сообщили в прошлую пятницу исследователи из Google TAG, которые последнее время специализируются на недостатках, задействованных в spyware и деятельности АРТ.

Google не разглашает каких-либо подробностей относительно уязвимости и его обстоятельств ее применения, дожидаясь полного развертывания обновлений, доступных в версиях для Windows (119.0.6045.199/.200), а также для Mac и Linux (119.0.6045.199).

Почти 2 миллиона жителей Техаса столкнулись с проблемами в водоснабжении в результате кибератаки на обслуживающий их водоканал NTMWD.

Муниципальный водный округ Северного Техаса (NTMWD) насчитывает более 850 сотрудников и реализует водоснабжение, очистку сточных вод и утилизацию твердых отходов в 13 городах штата, включая Плано и Фриско.

Администрации удалось восстановить работу систем, заявляя об отсутствии влияния инцидента на производственный процесс.

По официальным данным, пострадала корпоративная сеть и системы связи, от каких-либо других комментариев NTMWD отказались.

Тем не менее, ответственность за атаку взяла на себя банда вымогателей Daixin Team, которая добавила NTMWD на свой DLS, заявив о краже более 33 000 файлов с информацией о клиентах.

Новому инциденту предшествовала недавняя атака на Управление водоснабжения Пенсильвании, которая привела к отключение основных систем и задействованию резервных мощностей для обеспечения бесперебойной подачи воды.

По данным силовых органов США, всего насчитывается до 5 водоснабжающих организации, которые пострадали от рук хакеров за последние несколько лет.

Столь возрастающее внимание к подобного рода критически важные инфраструктурным организациям со стороны ransomware обусловлено переоценкой киберподпольем всего потенциала подобного рода объектов.

Руководство таких структур готово будет пойти на непомерные выкупы ради минимизации негативного влияния на жизнь, безопасность и здоровье клиентов.

Кроме того, зачастую такие компании имеют ограниченный бюджет и штат для обеспечения должного уровня кибербезопасности.

В связи с чем, ранее допущенные вымогателями пробелы таргетирования будут закрыты, а влияние киберинцидентов на население будет более широким и чувствительным.

Исследователи Eurecom разработали шесть новых методов MitM-атак под общим названием BLFFS, нацеленных на безопасность Bluetooth-канала.

BLFFS представляет собой цепочку эксплойтов и задействует два ранее неизвестных недостатка (CVE-2023-24023) в стандарте Bluetooth, связанных с перехватом сеансовых ключей, ставя под угрозу конфиденциальность коммуникаций между устройствами.

Причем они не относятся к конфигурациям оборудования или ПО, а являются архитектурной проблемой, влияющей на технологию на фундаментальном уровне, затрагивая при этом миллиарды устройств.

Компрометация коммуникаций достигается за счет использования четырех проблем в процессе получения сеансового ключа (две из которых являются новыми), для принудительного создания короткого, а значит, слабого и предсказуемого сеансового ключа SKC.

Затем злоумышленник подбирает ключ, что позволяет ему расшифровать прошлые сообщения, а также расшифровать или манипулировать будущими сообщениями.

Выполнение атаки предполагает, что злоумышленник находится в зоне действия Bluetooth двух целей, обменивающихся данными, и выдает себя за одну для согласования слабого сеансового ключа с другой, предлагая минимально возможное значение энтропии ключа и используя постоянный диверсификатор сеансового ключа.

В статье авторы описывают шесть типов атак BLUFFS, охватывающих различные комбинации MitM, которые работают независимо от того, поддерживают ли жертвы Secure Connections (SC) или Legacy Secure Connections (LSC).

Исследователи также разработали и разместили на GitHub набор инструментов, демонстрирующих эффективность BLFFS и включающих скрипт Python для тестирования атак, исправления ARM, анализатор и образцы PCAP, полученные во время их тестов.

BLFFS влияет на Bluetooth 4.2, выпущенный в декабре 2014 года, и на все версии, вплоть до последней, Bluetooth 5.4, выпущенной в феврале 2023 года.

Кроме того, Eurecom представила результаты испытаний BLFFS на различных устройствах, включая смартфоны, наушники и ноутбуки с Bluetooth версий с 4.1 по 5.2 на борту, которые оказались подтверждены как минимум трем из шести атак BLuffs.

В документе также предлагаются следующие меры для уменьшения риска подобных угроз:
- активация функции деривации ключей (KDF) для устаревших безопасных соединений (LSC);
- использование устройствами общего ключа сопряжения для взаимной аутентификации диверсификаторов ключей;
- режим безопасных соединений (SC) (где это возможно);
- поддержка кэша диверсификаторов сеансовых ключей для предотвращения повторного использования.

Eurecom уведомила Bluetooth SIG (Special Interest Group), которая курирует разработку стандарта и отвечает за лицензирование технологии.

В свою очередь, Bluetooth SIG представила свои рекомендации, предлагая обеспечить соединения с уровнем ключа не ниже семи октетов, использовать режим безопасности 4, уровень 4, а также работу устройств в сопряжении в режиме «только защищенных соединений».

F.A.C.C.T. расчехлили сетевую инфраструктуру группы «двойного назначения» Comet (Shadow) ака Twelve, которые предпринимают все новые атаки на российские компании.

Преступный синдикат от имени Twelve проводит кибердиверсии и уничтожают инфраструктуру жертв по политическим мотивам, открыто возлагая на себя ответственность за успешные атаки на госорганы или производственные компании.

С другой стороны, атаки от имени Comet (ранее - Shadow) киберпреступники не афишируют, преследуя финансовую выгоду. Они сначала крадут и шифруют данные жертвы, а потом требуют выкуп за их расшифровку.

Продолжая наблюдение за группой, исследователи идентифицировали среди их сообщников участников, которые ранее "засветились" в рядах русскоговорящей преступной группы Cobalt, на счету которой, по данным Европола, кража около 1 млрд евро у 100 банков по миру.

В своем недавнем отчете Positive Technologies сообщали об инструментах Cobalt, которые также были замечены F.A.C.C.T. и фактически позволили связать политически-мотивированную Twelve с финансово-мотивированной Comet (ранее Shadow).

На вооружении Comet (ранее Shadow)/Twelve состоит целый арсенал вредоносных программ, включая DarkGate, FaceFish, SystemBC и Cobint/Cobalt Strike.

На завершающем этапе для шифрования данных используются штаммы ransomware LockBit 3 (Black) и Babuk, созданные на основе утекших в публичный доступ данных исходников.

Наряду с указанными выше вредоносными программами неизменной популярностью у атакующих пользуются утилиты Ngrok и Anydesk для сохранения доступа к IT-периметру жертв.

Еще одной из "визитных карточек" преступного синдиката стал "угон" аккаунтов Telegram с рабочих станций пользователей скомпрометированной инфраструктуры.

Конечно же, помимо общих инструментов и Shadow и Twelve используют общую сетевую инфраструктуру. Актуальный список, начиная с февраля 2023 года собран в отчете.

͏Как я ворвался в инфосек. Часть 2.

Исследователи AhnLab сообщают, что северокорейская АРТ Andariel присоединилась к эксплуатации Apache ActiveMQ через CVE-2023-46604 для развертывания бэкдоров NukeSped и TigerRat.

Являясь подгруппой Lazarus, хакеры нацелены на Южную Корею с 2008 года, а в числе их основных целей - объекты в области обороны, политики, судостроения, энергетики, логистики и телекоммуникаций, а также научные учреждения и IT-сектор.

Andariel успешно реализует целевой фишинг, атаки на водопои и цепочки поставок, а в некоторых кампаниях группа использована Log4Shell и TeamCity, нацеливалась на уязвимые серверы MS-SQL или злоупотребляла законным программным обеспечением.

Отслеживая атаки группы Andariel, AhnLab задетектировала наличие следов активности NukeSped в одной из систем. До конца подтвердить, что именно CVE-2023-46604 была использована в качестве начального вектора, так и не удалось, а анализируемая система помимо прочего была атакована HelloKitty.

Тем не менее, расследование показало, что в процессе атаки злоумышленник использовал вредоносный файл класса Java, упоминаемый в недавнем отчете Huntress, который к конечном итоге загружал дополнительную полезную нагрузку в средах Windows или Linux. Также были обнаружены журналы установки Stager CobaltStrike и Metasploit Meterpreter.

Несмотря на то, что в отчете Huntress не упоминалось какое-либо конкретное вредоносное ПО, в одном случае вредоносная полезная нагрузка была установлена с hxxp://27.102.128[.]152:8098/bit[.]ico, который соответствовал URL-адресу, с которого также был загружен TigerRat.

Обнаруженный NukeSped — это бэкдор, который может управлять зараженной системой с помощью команд, полученных от С2, который используется северокорейскими хакерами, включая Andariel, для контроля зараженных систем.

Однако использованный в атаках образец поддерживал только три команды: загрузку файлов, выполнение команд и завершение процессов, в отличие от известных задокументированных версий, имеющих широкий набор команд.

Как и в других типичных типах NukeSped, все используемые адреса API и строки шифруются, затем расшифровываются и используются во время выполнения. Метод шифрования представляет собой 1-байтовый алгоритм XOR со значением ключа 0xA1. Помимо 0xA1, в прошлых случаях атак также использовались значения ключей 0x97 и 0xAB.

Все технические подробности и индикаторы компрометации, замеченные в ходе анализа активности АРТ - представлены в отчете исследователей, а результаты их работы показывают, что хотя с момента раскрытия информации о CVE-2023-46604 прошло не так много времени, неисправленные системы в столь короткйи срок становятся объектами атак, в том числе инспирируемых АРТ.

Исследователи BI.ZONE Threat Intelligence обнаружили группировку, отслеживаемую как Rare Wolf, которая активна с 2019 года и в последнее время нацелена на российские организации с помощью поддельных накладных «1С:Предприятие».

Злоумышленники рассылают фишинговые письма с архивами, к которых якобы прилагаются накладные «1С:Предприятие» и электронные ключи к ним. Такая подача отвлекала внимание жертв от расширения файла — *.scr.

В архиве находился исполняемый файл-установщик Smart Install Maker.

Файл загружал на скомпрометированную систему набор инструментов, с помощью которых злоумышленники крали документы Microsoft Word, производили угон аккаунтов Telegram, а также извлекали все полезные креды из браузеров.

Отправка собранных данных осуществлялась через подконтрольную злоумышленникам электронную почту посредством утилиты Blat - инструмента, позволяющего отправлять электронные письма посредством командной строки.

После отправки архивы с собранными данными и утилита cURL удалялись.

Для обеспечения персистентности злоумышленники также инсталлируют легитимную утилиту мониторинга пользователей - Mipko Employee Monitor.

С ее помощью атакующие вели перехват всей активности пользователя вплоть до фиксации нажатия клавиш и логов буфера обмена, включая скриншоты экрана и снимки с камер.

Таким образом, успеху Rare Wolf сопутствует использование нестандартных форматов вложений, снижающих бдительность потенциальных жертв и увеличивающих вероятность компрометации, а также легитимных инструментов и ПО двойного назначения, которые позволяют им слиться с IT‑инфраструктурой и обойти многие средства защиты.

Японское агентство аэрокосмических исследований (JAXA) заявило о кибератаке, которая произошла еще летом.

Полиции удалось узнать о вторжении лишь осенью, после чего оперативно уведомила JAXA, которая тогда подтвердила незасанкционированный доступ к системам, о чем впервые сообщило издание The Yomiuri Shimbun.

Предварительная оценка возможного нарушения, по данным чиновников, указывала на «высокую вероятность» кибератаки и привело к официальному расследованию.

Сам же инцидент у руководства страны вызывает серьезные опасения, ведь пострадали центральные компьютерные системы JAXA.

Главный секретарь кабинета министров Японии Хирокадзу Мацуно сообщил на пресс-конференции, что злоумышленники получили доступ к серверу Active Directory (AD) агентства.

В JAXA обрабатывалась и хранилась весьма конфиденциальная информация по космической программе Японии, унаследованная в том числе от Института космоса и астронавтики, Национальной аэрокосмической лаборатории и Национального агентства космического развития Японии после их поглощения.

Кроме того, с 2012 года мандат JAXA был расширен и охватывает военно-космическую деятельность, включая разработку систем раннего предупреждения о ракетных ударах.

JAXA до сих пор работает с экспертами и силовыми органами в рамках расследования, чтобы определить степень компрометации безопасности.

Пока никакой утечки данных, связанной со взломом JAXA, подтверждено не было.

Также неизвестно, кто стоял за нарушением, но с учетом предыдущих инцидентов в 2016-2017 гг., связанных с атаками китайской Tick (BRONZE BUTLER, STALKER PANDA) на исследовательский и военный сектора Японии, виноватых уже назначили.

Но будем посмотреть.

Исследователи Arctic Wolf рассказали о первом задокументированном случае использования вымогателя CACTUS в кампании, нацеленной на эксплуатацию уязвимостей в Qlik Sense (облачная платформа аналитики и бизнес-интеллекта).

Как считают эксперты, атаки, вероятно, используют три недостатка, обнаруженные за последний квартал:
- CVE-2023-41265 (CVSS: 9.9) позволяет удаленному злоумышленнику повышать привилегии и отправлять запросы, которые будут выполняться сервером;
- CVE-2023-41266 (CVSS: 6.5) реализует возможность отправлять HTTP-запросы к неавторизованным конечным точкам;
- CVE-2023-48365 (CVSS: 9.9) связана с неправильной проверки HTTP-заголовков и приводит к повышению привилегий для удаленного злоумышленника.

При этом CVE-2023-48365 является результатом неполного патча для CVE-2023-41265, который вместе с CVE-2023-41266 был раскрыт Praetorian в конце августа 2023 года. Исправление CVE-2023-48365 было выпущено 20 ноября.

В ходе атак злоумышленники злоупотребляют службой планировщика Qlik Sense для запуска процессов, предназначенных для загрузки дополнительных инструментов, обеспечивающих контроль устойчивости и настройку удаленного управления.

Среди них ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk и Plink При этом удаляли ПО Sophos, меняли пароли учетной записи администратора и создавали RDP-туннель через Plink.

Ну, и в кульминации атаки осуществляется развертывание вымогательского ПО, где злоумышленники также используют rclone для извлечения данных.