Почти 2 миллиона жителей Техаса столкнулись с проблемами в водоснабжении в результате кибератаки на обслуживающий их водоканал NTMWD.

Муниципальный водный округ Северного Техаса (NTMWD) насчитывает более 850 сотрудников и реализует водоснабжение, очистку сточных вод и утилизацию твердых отходов в 13 городах штата, включая Плано и Фриско.

Администрации удалось восстановить работу систем, заявляя об отсутствии влияния инцидента на производственный процесс.

По официальным данным, пострадала корпоративная сеть и системы связи, от каких-либо других комментариев NTMWD отказались.

Тем не менее, ответственность за атаку взяла на себя банда вымогателей Daixin Team, которая добавила NTMWD на свой DLS, заявив о краже более 33 000 файлов с информацией о клиентах.

Новому инциденту предшествовала недавняя атака на Управление водоснабжения Пенсильвании, которая привела к отключение основных систем и задействованию резервных мощностей для обеспечения бесперебойной подачи воды.

По данным силовых органов США, всего насчитывается до 5 водоснабжающих организации, которые пострадали от рук хакеров за последние несколько лет.

Столь возрастающее внимание к подобного рода критически важные инфраструктурным организациям со стороны ransomware обусловлено переоценкой киберподпольем всего потенциала подобного рода объектов.

Руководство таких структур готово будет пойти на непомерные выкупы ради минимизации негативного влияния на жизнь, безопасность и здоровье клиентов.

Кроме того, зачастую такие компании имеют ограниченный бюджет и штат для обеспечения должного уровня кибербезопасности.

В связи с чем, ранее допущенные вымогателями пробелы таргетирования будут закрыты, а влияние киберинцидентов на население будет более широким и чувствительным.

Исследователи Eurecom разработали шесть новых методов MitM-атак под общим названием BLFFS, нацеленных на безопасность Bluetooth-канала.

BLFFS представляет собой цепочку эксплойтов и задействует два ранее неизвестных недостатка (CVE-2023-24023) в стандарте Bluetooth, связанных с перехватом сеансовых ключей, ставя под угрозу конфиденциальность коммуникаций между устройствами.

Причем они не относятся к конфигурациям оборудования или ПО, а являются архитектурной проблемой, влияющей на технологию на фундаментальном уровне, затрагивая при этом миллиарды устройств.

Компрометация коммуникаций достигается за счет использования четырех проблем в процессе получения сеансового ключа (две из которых являются новыми), для принудительного создания короткого, а значит, слабого и предсказуемого сеансового ключа SKC.

Затем злоумышленник подбирает ключ, что позволяет ему расшифровать прошлые сообщения, а также расшифровать или манипулировать будущими сообщениями.

Выполнение атаки предполагает, что злоумышленник находится в зоне действия Bluetooth двух целей, обменивающихся данными, и выдает себя за одну для согласования слабого сеансового ключа с другой, предлагая минимально возможное значение энтропии ключа и используя постоянный диверсификатор сеансового ключа.

В статье авторы описывают шесть типов атак BLUFFS, охватывающих различные комбинации MitM, которые работают независимо от того, поддерживают ли жертвы Secure Connections (SC) или Legacy Secure Connections (LSC).

Исследователи также разработали и разместили на GitHub набор инструментов, демонстрирующих эффективность BLFFS и включающих скрипт Python для тестирования атак, исправления ARM, анализатор и образцы PCAP, полученные во время их тестов.

BLFFS влияет на Bluetooth 4.2, выпущенный в декабре 2014 года, и на все версии, вплоть до последней, Bluetooth 5.4, выпущенной в феврале 2023 года.

Кроме того, Eurecom представила результаты испытаний BLFFS на различных устройствах, включая смартфоны, наушники и ноутбуки с Bluetooth версий с 4.1 по 5.2 на борту, которые оказались подтверждены как минимум трем из шести атак BLuffs.

В документе также предлагаются следующие меры для уменьшения риска подобных угроз:
- активация функции деривации ключей (KDF) для устаревших безопасных соединений (LSC);
- использование устройствами общего ключа сопряжения для взаимной аутентификации диверсификаторов ключей;
- режим безопасных соединений (SC) (где это возможно);
- поддержка кэша диверсификаторов сеансовых ключей для предотвращения повторного использования.

Eurecom уведомила Bluetooth SIG (Special Interest Group), которая курирует разработку стандарта и отвечает за лицензирование технологии.

В свою очередь, Bluetooth SIG представила свои рекомендации, предлагая обеспечить соединения с уровнем ключа не ниже семи октетов, использовать режим безопасности 4, уровень 4, а также работу устройств в сопряжении в режиме «только защищенных соединений».

F.A.C.C.T. расчехлили сетевую инфраструктуру группы «двойного назначения» Comet (Shadow) ака Twelve, которые предпринимают все новые атаки на российские компании.

Преступный синдикат от имени Twelve проводит кибердиверсии и уничтожают инфраструктуру жертв по политическим мотивам, открыто возлагая на себя ответственность за успешные атаки на госорганы или производственные компании.

С другой стороны, атаки от имени Comet (ранее - Shadow) киберпреступники не афишируют, преследуя финансовую выгоду. Они сначала крадут и шифруют данные жертвы, а потом требуют выкуп за их расшифровку.

Продолжая наблюдение за группой, исследователи идентифицировали среди их сообщников участников, которые ранее "засветились" в рядах русскоговорящей преступной группы Cobalt, на счету которой, по данным Европола, кража около 1 млрд евро у 100 банков по миру.

В своем недавнем отчете Positive Technologies сообщали об инструментах Cobalt, которые также были замечены F.A.C.C.T. и фактически позволили связать политически-мотивированную Twelve с финансово-мотивированной Comet (ранее Shadow).

На вооружении Comet (ранее Shadow)/Twelve состоит целый арсенал вредоносных программ, включая DarkGate, FaceFish, SystemBC и Cobint/Cobalt Strike.

На завершающем этапе для шифрования данных используются штаммы ransomware LockBit 3 (Black) и Babuk, созданные на основе утекших в публичный доступ данных исходников.

Наряду с указанными выше вредоносными программами неизменной популярностью у атакующих пользуются утилиты Ngrok и Anydesk для сохранения доступа к IT-периметру жертв.

Еще одной из "визитных карточек" преступного синдиката стал "угон" аккаунтов Telegram с рабочих станций пользователей скомпрометированной инфраструктуры.

Конечно же, помимо общих инструментов и Shadow и Twelve используют общую сетевую инфраструктуру. Актуальный список, начиная с февраля 2023 года собран в отчете.

͏Как я ворвался в инфосек. Часть 2.

Исследователи AhnLab сообщают, что северокорейская АРТ Andariel присоединилась к эксплуатации Apache ActiveMQ через CVE-2023-46604 для развертывания бэкдоров NukeSped и TigerRat.

Являясь подгруппой Lazarus, хакеры нацелены на Южную Корею с 2008 года, а в числе их основных целей - объекты в области обороны, политики, судостроения, энергетики, логистики и телекоммуникаций, а также научные учреждения и IT-сектор.

Andariel успешно реализует целевой фишинг, атаки на водопои и цепочки поставок, а в некоторых кампаниях группа использована Log4Shell и TeamCity, нацеливалась на уязвимые серверы MS-SQL или злоупотребляла законным программным обеспечением.

Отслеживая атаки группы Andariel, AhnLab задетектировала наличие следов активности NukeSped в одной из систем. До конца подтвердить, что именно CVE-2023-46604 была использована в качестве начального вектора, так и не удалось, а анализируемая система помимо прочего была атакована HelloKitty.

Тем не менее, расследование показало, что в процессе атаки злоумышленник использовал вредоносный файл класса Java, упоминаемый в недавнем отчете Huntress, который к конечном итоге загружал дополнительную полезную нагрузку в средах Windows или Linux. Также были обнаружены журналы установки Stager CobaltStrike и Metasploit Meterpreter.

Несмотря на то, что в отчете Huntress не упоминалось какое-либо конкретное вредоносное ПО, в одном случае вредоносная полезная нагрузка была установлена с hxxp://27.102.128[.]152:8098/bit[.]ico, который соответствовал URL-адресу, с которого также был загружен TigerRat.

Обнаруженный NukeSped — это бэкдор, который может управлять зараженной системой с помощью команд, полученных от С2, который используется северокорейскими хакерами, включая Andariel, для контроля зараженных систем.

Однако использованный в атаках образец поддерживал только три команды: загрузку файлов, выполнение команд и завершение процессов, в отличие от известных задокументированных версий, имеющих широкий набор команд.

Как и в других типичных типах NukeSped, все используемые адреса API и строки шифруются, затем расшифровываются и используются во время выполнения. Метод шифрования представляет собой 1-байтовый алгоритм XOR со значением ключа 0xA1. Помимо 0xA1, в прошлых случаях атак также использовались значения ключей 0x97 и 0xAB.

Все технические подробности и индикаторы компрометации, замеченные в ходе анализа активности АРТ - представлены в отчете исследователей, а результаты их работы показывают, что хотя с момента раскрытия информации о CVE-2023-46604 прошло не так много времени, неисправленные системы в столь короткйи срок становятся объектами атак, в том числе инспирируемых АРТ.

Исследователи BI.ZONE Threat Intelligence обнаружили группировку, отслеживаемую как Rare Wolf, которая активна с 2019 года и в последнее время нацелена на российские организации с помощью поддельных накладных «1С:Предприятие».

Злоумышленники рассылают фишинговые письма с архивами, к которых якобы прилагаются накладные «1С:Предприятие» и электронные ключи к ним. Такая подача отвлекала внимание жертв от расширения файла — *.scr.

В архиве находился исполняемый файл-установщик Smart Install Maker.

Файл загружал на скомпрометированную систему набор инструментов, с помощью которых злоумышленники крали документы Microsoft Word, производили угон аккаунтов Telegram, а также извлекали все полезные креды из браузеров.

Отправка собранных данных осуществлялась через подконтрольную злоумышленникам электронную почту посредством утилиты Blat - инструмента, позволяющего отправлять электронные письма посредством командной строки.

После отправки архивы с собранными данными и утилита cURL удалялись.

Для обеспечения персистентности злоумышленники также инсталлируют легитимную утилиту мониторинга пользователей - Mipko Employee Monitor.

С ее помощью атакующие вели перехват всей активности пользователя вплоть до фиксации нажатия клавиш и логов буфера обмена, включая скриншоты экрана и снимки с камер.

Таким образом, успеху Rare Wolf сопутствует использование нестандартных форматов вложений, снижающих бдительность потенциальных жертв и увеличивающих вероятность компрометации, а также легитимных инструментов и ПО двойного назначения, которые позволяют им слиться с IT‑инфраструктурой и обойти многие средства защиты.

Японское агентство аэрокосмических исследований (JAXA) заявило о кибератаке, которая произошла еще летом.

Полиции удалось узнать о вторжении лишь осенью, после чего оперативно уведомила JAXA, которая тогда подтвердила незасанкционированный доступ к системам, о чем впервые сообщило издание The Yomiuri Shimbun.

Предварительная оценка возможного нарушения, по данным чиновников, указывала на «высокую вероятность» кибератаки и привело к официальному расследованию.

Сам же инцидент у руководства страны вызывает серьезные опасения, ведь пострадали центральные компьютерные системы JAXA.

Главный секретарь кабинета министров Японии Хирокадзу Мацуно сообщил на пресс-конференции, что злоумышленники получили доступ к серверу Active Directory (AD) агентства.

В JAXA обрабатывалась и хранилась весьма конфиденциальная информация по космической программе Японии, унаследованная в том числе от Института космоса и астронавтики, Национальной аэрокосмической лаборатории и Национального агентства космического развития Японии после их поглощения.

Кроме того, с 2012 года мандат JAXA был расширен и охватывает военно-космическую деятельность, включая разработку систем раннего предупреждения о ракетных ударах.

JAXA до сих пор работает с экспертами и силовыми органами в рамках расследования, чтобы определить степень компрометации безопасности.

Пока никакой утечки данных, связанной со взломом JAXA, подтверждено не было.

Также неизвестно, кто стоял за нарушением, но с учетом предыдущих инцидентов в 2016-2017 гг., связанных с атаками китайской Tick (BRONZE BUTLER, STALKER PANDA) на исследовательский и военный сектора Японии, виноватых уже назначили.

Но будем посмотреть.

Исследователи Arctic Wolf рассказали о первом задокументированном случае использования вымогателя CACTUS в кампании, нацеленной на эксплуатацию уязвимостей в Qlik Sense (облачная платформа аналитики и бизнес-интеллекта).

Как считают эксперты, атаки, вероятно, используют три недостатка, обнаруженные за последний квартал:
- CVE-2023-41265 (CVSS: 9.9) позволяет удаленному злоумышленнику повышать привилегии и отправлять запросы, которые будут выполняться сервером;
- CVE-2023-41266 (CVSS: 6.5) реализует возможность отправлять HTTP-запросы к неавторизованным конечным точкам;
- CVE-2023-48365 (CVSS: 9.9) связана с неправильной проверки HTTP-заголовков и приводит к повышению привилегий для удаленного злоумышленника.

При этом CVE-2023-48365 является результатом неполного патча для CVE-2023-41265, который вместе с CVE-2023-41266 был раскрыт Praetorian в конце августа 2023 года. Исправление CVE-2023-48365 было выпущено 20 ноября.

В ходе атак злоумышленники злоупотребляют службой планировщика Qlik Sense для запуска процессов, предназначенных для загрузки дополнительных инструментов, обеспечивающих контроль устойчивости и настройку удаленного управления.

Среди них ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk и Plink При этом удаляли ПО Sophos, меняли пароли учетной записи администратора и создавали RDP-туннель через Plink.

Ну, и в кульминации атаки осуществляется развертывание вымогательского ПО, где злоумышленники также используют rclone для извлечения данных.

Apple выпустила экстренные обновления для исправления двух 0-day, которые активно используются для совершения атак на владельцев устройств iPhone, iPad и Mac.

В числе уязвимых устройств Apple оказались (включая и новее): iPhone XS, iPad Pro 12,9 дюйма 2-го поколения, 10,5 дюйма, 11 дюймов 1-го поколения, iPad Air 3-го поколения, iPad 6-го поколения, iPad mini 5-го поколения, а также компьютеры под управлением macOS Monterey, Ventura и Sonoma.

Проблемы затрагивают движок браузера WebKit (CVE-2023-42916 и CVE-2023-42917) и позволяют злоумышленникам получить доступ к конфиденциальной информации посредством чтения за пределами границ и реализовать RCE через повреждение памяти через вредоносные веб-страницы.

Компания устранила недостатки безопасности для устройств под управлением iOS 17.1.2, iPadOS 17.1.2, macOS Sonoma 14.1.2 и Safari 17.1.2 за счет улучшенной проверки и блокировки ввода.

Новые 0-day были найдены и раскрыты благодаря Клеману Лесиню из Google TAG, что наводит на мысли об их задействовании в spyware, если брать во внимание все предыдущие наработки исследователя.

Но, как обычно, поставщик не разглашает этой информации.

Тем временем, CVE-2023-42916 и CVE-2023-42917 - это уже 19-я и 20-я уязвимости нулевого дня, исправленные Apple в этом году, при этом большая их часть была замечена в таргетированных атаках и кампаниях кибершпионажа.

Множественные ошибки под общим названием LogoFAIL в коде UEFI от различных поставщиков можно использовать для перехвата процесса загрузки и доставки буткитов

Проблемы затрагивают библиотеки обработки изображений, используемые для отображения логотипов в ходе загрузки, оказывая таким образом широкое влияние на архитектуры x86 и ARM.

По мнению исследователей Binarly, такой брендинг создал риски безопасности, позволяя выполнять вредоносные полезные нагрузки путем внедрения файлов изображений в системный раздел EFI (ESP).

Использование парсеров изображений для атак на UEFI демонстрировалось еще в 2009 году, когда исследователи Рафал Войчук и Александр Терешкин проэксрлуатировали ошибку парсера изображений BMP для заражения BIOS и обеспечения устойчивости вредоносного ПО.

Обнаружение же уязвимостей LogoFAIL началось с небольшого исследовательского проекта по направлениям атак со стороны компонентов анализа изображений в прошивке UEFI.

Исследователи обнаружили, что злоумышленник может сохранить вредоносное изображение или логотип в системном разделе EFI (ESP), а также в неподписанных разделах обновления прошивки.

Установка вредоносного ПО таким способом обеспечивает его практически незамеченное существование в системе, как это было показано в прошлых атаках с использованием зараженных компонентов UEFI.

LogoFAIL не влияет на целостность среды выполнения, поскольку нет необходимости изменять загрузчик или прошивку (как при BootHole или BlackLotus).

Binarly также успешно разработали и продемонстрировали в частном порядке PoC, который после перегрузки устройства привел к созданию произвольного файла в системе.

Поскольку LogoFAIL не связаны с конкретными микроархитектурами, уязвимости затрагивают чипы различных производителей, которые используют прошивку UEFI в устройствах потребительского и корпоративного уровня.

Binarly полагает, что потенциально уязвимы сотни устройств Intel, Acer, Lenovo и других поставщиков, а также три основных независимых поставщика спецкода прошивки UEFI: AMI, Insyde и Phoenix. Однако точные масштабы влияния LogoFAIL еще не определены.

Полные технические подробности LogoFAIL будут представлены 6 декабря на конференции по безопасности Black Hat Europe в Лондоне, пока же, согласно презентации LogoFAIL, детали раскрыты для Intel, Acer и Lenovo, а также трех основных поставщиков UEFI.

Zyxel сообщает об исправлении множества уязвимостей, в том числе трех критических, которые позволяют злоумышленнику без аутентификации выполнять команды ОС на сетевых устройствах NAS326 под управлением версии 5.21(AAZF.14)C0 и NAS542 с версией 5.21(ABAG.11)C0 (и более ранних в обоих случаях).

Zyxel NAS реализуют централизованное хранение больших объемов данных в сети и обеспечивают резервное копирование, потоковую передачу мультимедиа, удаленную и совместную работу. Поэтому типичными их пользователями являются представители малого и среднего бизнеса, а также специалисты в сфере IT, видео и дизайна.

Среди исправленных следующие:

- CVE-2023-4473 (оценка 9,8): ошибка внедрения команд на веб-сервере устройств Zyxel NAS, позволяющая неаутентифицированным злоумышленникам выполнять команды ОС через созданный URL-адрес.

- CVE-2023-4474 (оценка 9,8): уязвимость в сервере WSGI устройств Zyxel NAS, позволяющая неаутентифицированным злоумышленникам выполнять команды ОС с помощью созданного URL-адреса.

- CVE-2023-35137 (рейтинг 7,5): уязвимость неправильной аутентификации в модуле аутентификации, позволяющая неаутентифицированным злоумышленникам получить системную информацию через созданный URL-адрес.

- CVE-2023-35138 (оценка 9,8): ошибка внедрения команд в функции show_zysync_server_contents, позволяющая неаутентифицированным злоумышленникам выполнять команды ОС через созданный HTTP-запрос POST.

- CVE-2023-37927 (оценка 8,8): уязвимость в программе CGI, позволяющая злоумышленникам, прошедшим проверку подлинности, выполнять команды ОС с помощью созданного URL-адреса.

- CVE-2023-37928 (оценка 8,8): внедрение команд после аутентификации на WSGI-сервер устройств Zyxel NAS, позволяющее злоумышленникам, прошедшим проверку подлинности, выполнять команды ОС через созданный URL-адрес.

Злоумышленники могут использовать указанные выше уязвимости для получения несанкционированного доступа, выполнения команд ОС, получения конфиденциальной системной информации или получения полного контроля над устройствами Zyxel NAS.

Пользователям Zyxel NAS настоятельно рекомендуется накатить обновление для устранения вышеуказанных проблем, которые, по заявлениям поставщика, не имеют обходных путей или мер по смягчению.

Но есть другая альтернатива - ransomware, владельцы QNAP не дадут соврать.

͏А в Канаде на скандалы со spyware просто забили и, вероятно, даже не слышали про них, как и про собственную федеральную директиву Секретариата Совета казначейства Канады (TBS), требующую проведения оценки воздействия технологий и сервисов на конфиденциальность (PIA).

Согласно документам, полученным Radio-Canada, тринадцать канадских правительственных агентств и федеральных департаментов имеют доступ и используют в соей работе шпионское ПО, а также инструменты для взлома.

Причем помимо силовиков и спецслужб, шпионский арсенал имеют также клерки из структур по охране окружающей среды, надзору за телекоммуникациями и природопользованием, и др.

В число поставщиков вошли такие известные на рынке spyware-техноолгий компании, как Cellebrite, Magnet Forensics и Grayshift, чьи решения позоляют восстанавливать и анализировать данные на компьютерах, планшетах и мобильных телефонах, а также облачных сервисов, в том числе зашифрованную и защищенную паролем информацию.

Д - демократия, без регистрации и смс.

Исследователи Positive Technologies раскрыли деятельность новой хакерской группы Hellhounds, которая нацелена на российские коммерческие и государственные организации.

Кампанию назвали Операция Lahat, поскольку телеметрия с зараженных хостов отправлялась в аккаунт с юзернеймом lahat.

Все началось в октябре 2023 года, когда PT CSIRT обнаружила компрометацию одной энергетической компании с использованием трояна Decoy Dog.

Decoy Dog активно используется в атаках на российские организации по меньшей мере с сентября 2022 года. Однако образец, обнаруженный на хосте жертвы, представлял собой уже новую, более доработанную модификацию трояна.

Как сообщают эксперты, Hellhounds прикладывает значительные усилия для сокрытия своей активности на хостах и в сети. Причем цели тоже меняются, например в одном из инцидентов атака привела к полному уничтожению инфраструктуры.

На первом этапе злоумышленники используют загрузчик Decoy Dog Loader, который защищен модифицированной версией упаковщика UPX. В отличие от обычного UPX эта модификация распаковывает не исполняемый файл, а шеллкод, полностью написанный на языке ассемблера и использующий исключительно системные вызовы Linux.

Сам загрузчик работает в системе и маскируется под легитимный сервис cron.

На втором этапе уже используется основная нагрузка, которой является модифицированная версия Pupy RAT (кросс-платформенный многофункциональный бэкдор) и которую исследователи называют Decoy Dog.

В рамках активности злоумышленников с использованием Decoy Dog пострадало по меньшей мере 20 российских организаций, где львиную долю составляет госсектор, IT, космическая отрасль и энергетика.

Анализ TTP’s при этом не позволяет исследователям связать злоумышленников ни c одной из ранее известных APT-групп. Но как утверждают Позитивы, Hellhounds причастны ко взлому и пробитию с ноги в щщи некоему российскому телекоммуникационному оператору.

Именно про этот взлом на SOC Forum рассказывали Солары. А если это так, получается, что мы знаем и взломанного оператора, и кому принадлежит группа Hellhounds. Но в связи с требованиями Приказа ФСБ № 457 рассказать не можем.

Лучше пойдем, да пожрем борща со смальцом и повтыкаем в винрарный фильм Тинто Брасса с мегамилфой межгалактического масштаба Сереной Гранди в главной роли.

͏Всем хорошим ребятишкам веселых выходных!

А к тем, кто плохо себя вел на неделе, в гости придет Женщина-Кошка!

VMware исправила критическую уязвимость обхода аутентификации в платформе управления ЦОД Cloud Director, которая более двух недель с момента ее обнаружения 14 ноября оставалась без патча.

CVE-2023-34060 влияет только на устройства под управлением VCD Appliance 10.5, которые ранее были обновлены с более старой версии.

Удаленные злоумышленники могут использовать ошибку CVE-2023-34060 в атаках низкой сложности, не требующих взаимодействия с пользователем.

В обновленной версии VMware Cloud Director Appliance 10.5 злоумышленник, имеющий сетевой доступ к устройству, может обойти ограничения входа в систему при аутентификации на порту 22 (ssh) или порту 5480 (консоль управления устройством).

Такой обход отсутствует на порту 443 (поставщик VCD и вход клиента). При новой установке VMware Cloud Director Appliance 10.5 обход также отсутствует.

Помимо патча поставщик представил рекомендации по VMSA-2023-0026 и временное решение для администраторов, которым потребуется время для установки исправлений.

Обходной путь работает только для затронутых версий VCD Appliance 10.5.0 и требует запуска специального сценария.

BlackBerry раскрыла ранее неизвестного злоумышленника, нацеленного на аэрокосмический сектор в США, который отслеживается их командой Threat Research and Intelligence как AeroBlade.

Группа активна как минимум с сентября 2022 года, ее главная цель - конкурентный кибершпионаж.

В качестве механизма доставки используется целенаправленный фишинг с вложениями к письмам, которые реализуют встроенную технику удаленного внедрения шаблонов и вредоносный макрокод VBA для доставки и выполнения полезной нагрузки.

Всего BlackBerry наблюдала за двумя разными кампаниями AeroBlade. Первоначальная атака была проведена в сентябре 2022 года, которая, по оценке специалистов, была больше похожа на этап тестирования.

К дальнейшим наступательным действиям AeroBlade приступила в июле 2023 года. К этому времени злоумышленник усовершенствовал свой набор инструментов, сделав его более скрытным, но при этом инфраструктура осталась прежней.

В обеих кампаниях использовались документы-приманки «[отредактировано].docx с одгнотипной полезной нагрузкой в виде обратной оболочки, одни и те же C2. При этом полезная нагрузка последней атаки была более скрытной, используя больше методов запутывания и антианализа.

Документ Microsoft Word при запуске пользователем реализует удаленное внедрение шаблона для загрузки файла второго этапа под названием «[отредактировано].dotm», который, в свою очередь, выполняет «item3.xml», создающий обратную оболочку с подключением к «redacted[.]redacted[.]com» через порт 443.

Кроме того, тело документа первого этапа содержит исполняемую библиотеку, которая запускается на втором этапа с помощью документа OLE, содержащего макрос, который копирует его в жестко закодированное имя файла по определенному пути.

Последняя полезная нагрузка - DLL, действующая как обратная оболочка, подключается к жестко запрограммированному C2 и также способна выводить список всех каталогов в зараженной системе.

Это сильно запутанный исполняемый файл, который реализует сложные техники обфускации, хеширование API, кодировку для каждой используемой строки, а также множественные проверки для предотвращения запуска в песочнице. Постоянство достигается с помощью планировщика задач Windows.

Замеченное развитие инструментария AeroBlade указывает на то, что оператор действует не менее года, но, кто именно стоит за двумя кампаниями, остается неизвестным.

Учитывая относительно сложные технические возможности, которые использовал этот злоумышленник, и временные рамки жертвы, исследователи с высокой степенью уверенности расценивают наблюдаемую активность в качестве кампании коммерческого кибершпионажа.

Конечная цель, скорее всего, заключалась в том, чтобы получить представление о жертве с точки зрения оценки ее платежеспособности в случае требования потенциального выкупа. Сама же жертва остается в фокусе AeroBlade и представляет для нее высокий интерес.

Индикаторы компрометации (IoC) и технический разбор инструментария - в отчете.

Киберпреступники атакуют пользователей Mac с помощью нового троянского вредоносного ПО, которое поставляется вместе с популярным авторским софтом для macOS.

Вредонос превращает девайс в терминал для перенаправления трафика, используемого для анонимизации злонамеренных воздействий, взлома, фишинга и т.п.

Новую кампанию обнаружили спецы из Kaspersky как минимум в 35 программах для редактирования изображений, сжатия и редактирования видео, восстановления данных и сканирования сети.

Среди наиболее популярных программ, инфицированных трояном, были: 4K Video Downloader Pro, Aissessoft Mac Data Recovery, Aiseesoft Mac Video Converter Ultimate, AnyMP4 Android Data Recovery for Mac, Downie 4, FonePaw Data Recovery, Sketch, Wondershare UniConverter 13, SQLPro Studio, Artstudio Pro.

В отличие от легитимного ПО, которое распространяется в виде образов диска, вредоносные версии загружаются в виде PKG-файлов, которые обрабатываются специальной утилитой Installer в macOS.

Установщики PKG могут выполнять скрипты до и после установки приложения, но в обнаруженном случае встроенные вредоносные скрипты активируются после установки программы для выполнения вредносного файла WindowServer и файла конфигурации p.plist, делая активность похожую на системный процесс.

После запуска, троянец создает файлы логов и пытается получить IP-адрес C2-сервера через сервис DNS-over-HTTPS (DoH), скрывая DNS-запрос от средств мониторинга трафика.

Затем он создает соединение с C2 и отправляет ему свою версию, ожидая в ответ команду и соответствующее ей сообщение.

Лаборатория не смогла обнаружить команды в действии, но посредством анализа выяснила, что клиент поддерживает создание TCP или UDP-соединений для обеспечения проксирования.

Кстати, помимо приложений для macOS исследователи также обнаружили несколько образцов, выполняющих подключение к тому же C2-серверу и созданных под Android и Windows. Они также являются прокси-троянцами и скрытно поставляются вместе со взломанным ПО.

Исследователь Патрик Уордл представил результаты анализа новой ransomware под названием Turtle macOS, которая нацелена на устройства Apple.

Как пояснил исследователь, Turtle по своей сути не относится к категории сложного вредоносного ПО, а его существование указывает на то, что киберпреступники продолжают проявлять интерес к macOS. При этом ransomware также реализована в версиях для систем Windows и Linux.

К настоящему времени уже ряд поставщиков на VirusTotal обнаруживают Turtle как потенциальную угрозу, что необычно для вредоносного ПО, нацеленного на macOS, но это объясняется сходством с версией Windows, для которой существуют правила YARA.

Вредоносное ПО было разработано в Go, и, основываясь на строках, найденных в двоичном файле, Turtle, по-видимому, - это имя, которым малварь назвал сам автор.

Программа-вымогатель предназначена для шифрования файлов в скомпрометированных системах, однако на данном этапе не представляет серьезной угрозы для пользователей macOS.

Во-первых, вредоносный файл подписан специальной подписью, не заверенной Apple, что означает его блокировку со стороны Gatekeeper, если только он не будет развернут с помощью эксплойта или специально не будет разрешен к эксплуатации жертвой.

Кроме того, несмотря на то, что программа-вымогатель способна шифровать файлы, ключ шифрования может быть восстановлен, а расшифровка не вызовет сложностей.

Что касается его происхождения, Уордл не смог приписать Turtle к конкретному субъекту угроз, но отметил, что нашел различные строки, написанные на китайском языке, в том числе ту, которая переводится как «шифровать файлы».

И хотя в своем нынешнем состоянии Turtle не представляет особой угрозы для пользователей macOS, появление таких ransomware еще раз показывает, что их разработчики нацелились на macOS и это вызывает беспокойство.