͏Как я ворвался в инфосек. Часть 2.

Исследователи AhnLab сообщают, что северокорейская АРТ Andariel присоединилась к эксплуатации Apache ActiveMQ через CVE-2023-46604 для развертывания бэкдоров NukeSped и TigerRat.

Являясь подгруппой Lazarus, хакеры нацелены на Южную Корею с 2008 года, а в числе их основных целей - объекты в области обороны, политики, судостроения, энергетики, логистики и телекоммуникаций, а также научные учреждения и IT-сектор.

Andariel успешно реализует целевой фишинг, атаки на водопои и цепочки поставок, а в некоторых кампаниях группа использована Log4Shell и TeamCity, нацеливалась на уязвимые серверы MS-SQL или злоупотребляла законным программным обеспечением.

Отслеживая атаки группы Andariel, AhnLab задетектировала наличие следов активности NukeSped в одной из систем. До конца подтвердить, что именно CVE-2023-46604 была использована в качестве начального вектора, так и не удалось, а анализируемая система помимо прочего была атакована HelloKitty.

Тем не менее, расследование показало, что в процессе атаки злоумышленник использовал вредоносный файл класса Java, упоминаемый в недавнем отчете Huntress, который к конечном итоге загружал дополнительную полезную нагрузку в средах Windows или Linux. Также были обнаружены журналы установки Stager CobaltStrike и Metasploit Meterpreter.

Несмотря на то, что в отчете Huntress не упоминалось какое-либо конкретное вредоносное ПО, в одном случае вредоносная полезная нагрузка была установлена с hxxp://27.102.128[.]152:8098/bit[.]ico, который соответствовал URL-адресу, с которого также был загружен TigerRat.

Обнаруженный NukeSped — это бэкдор, который может управлять зараженной системой с помощью команд, полученных от С2, который используется северокорейскими хакерами, включая Andariel, для контроля зараженных систем.

Однако использованный в атаках образец поддерживал только три команды: загрузку файлов, выполнение команд и завершение процессов, в отличие от известных задокументированных версий, имеющих широкий набор команд.

Как и в других типичных типах NukeSped, все используемые адреса API и строки шифруются, затем расшифровываются и используются во время выполнения. Метод шифрования представляет собой 1-байтовый алгоритм XOR со значением ключа 0xA1. Помимо 0xA1, в прошлых случаях атак также использовались значения ключей 0x97 и 0xAB.

Все технические подробности и индикаторы компрометации, замеченные в ходе анализа активности АРТ - представлены в отчете исследователей, а результаты их работы показывают, что хотя с момента раскрытия информации о CVE-2023-46604 прошло не так много времени, неисправленные системы в столь короткйи срок становятся объектами атак, в том числе инспирируемых АРТ.

Исследователи BI.ZONE Threat Intelligence обнаружили группировку, отслеживаемую как Rare Wolf, которая активна с 2019 года и в последнее время нацелена на российские организации с помощью поддельных накладных «1С:Предприятие».

Злоумышленники рассылают фишинговые письма с архивами, к которых якобы прилагаются накладные «1С:Предприятие» и электронные ключи к ним. Такая подача отвлекала внимание жертв от расширения файла — *.scr.

В архиве находился исполняемый файл-установщик Smart Install Maker.

Файл загружал на скомпрометированную систему набор инструментов, с помощью которых злоумышленники крали документы Microsoft Word, производили угон аккаунтов Telegram, а также извлекали все полезные креды из браузеров.

Отправка собранных данных осуществлялась через подконтрольную злоумышленникам электронную почту посредством утилиты Blat - инструмента, позволяющего отправлять электронные письма посредством командной строки.

После отправки архивы с собранными данными и утилита cURL удалялись.

Для обеспечения персистентности злоумышленники также инсталлируют легитимную утилиту мониторинга пользователей - Mipko Employee Monitor.

С ее помощью атакующие вели перехват всей активности пользователя вплоть до фиксации нажатия клавиш и логов буфера обмена, включая скриншоты экрана и снимки с камер.

Таким образом, успеху Rare Wolf сопутствует использование нестандартных форматов вложений, снижающих бдительность потенциальных жертв и увеличивающих вероятность компрометации, а также легитимных инструментов и ПО двойного назначения, которые позволяют им слиться с IT‑инфраструктурой и обойти многие средства защиты.

Японское агентство аэрокосмических исследований (JAXA) заявило о кибератаке, которая произошла еще летом.

Полиции удалось узнать о вторжении лишь осенью, после чего оперативно уведомила JAXA, которая тогда подтвердила незасанкционированный доступ к системам, о чем впервые сообщило издание The Yomiuri Shimbun.

Предварительная оценка возможного нарушения, по данным чиновников, указывала на «высокую вероятность» кибератаки и привело к официальному расследованию.

Сам же инцидент у руководства страны вызывает серьезные опасения, ведь пострадали центральные компьютерные системы JAXA.

Главный секретарь кабинета министров Японии Хирокадзу Мацуно сообщил на пресс-конференции, что злоумышленники получили доступ к серверу Active Directory (AD) агентства.

В JAXA обрабатывалась и хранилась весьма конфиденциальная информация по космической программе Японии, унаследованная в том числе от Института космоса и астронавтики, Национальной аэрокосмической лаборатории и Национального агентства космического развития Японии после их поглощения.

Кроме того, с 2012 года мандат JAXA был расширен и охватывает военно-космическую деятельность, включая разработку систем раннего предупреждения о ракетных ударах.

JAXA до сих пор работает с экспертами и силовыми органами в рамках расследования, чтобы определить степень компрометации безопасности.

Пока никакой утечки данных, связанной со взломом JAXA, подтверждено не было.

Также неизвестно, кто стоял за нарушением, но с учетом предыдущих инцидентов в 2016-2017 гг., связанных с атаками китайской Tick (BRONZE BUTLER, STALKER PANDA) на исследовательский и военный сектора Японии, виноватых уже назначили.

Но будем посмотреть.

Исследователи Arctic Wolf рассказали о первом задокументированном случае использования вымогателя CACTUS в кампании, нацеленной на эксплуатацию уязвимостей в Qlik Sense (облачная платформа аналитики и бизнес-интеллекта).

Как считают эксперты, атаки, вероятно, используют три недостатка, обнаруженные за последний квартал:
- CVE-2023-41265 (CVSS: 9.9) позволяет удаленному злоумышленнику повышать привилегии и отправлять запросы, которые будут выполняться сервером;
- CVE-2023-41266 (CVSS: 6.5) реализует возможность отправлять HTTP-запросы к неавторизованным конечным точкам;
- CVE-2023-48365 (CVSS: 9.9) связана с неправильной проверки HTTP-заголовков и приводит к повышению привилегий для удаленного злоумышленника.

При этом CVE-2023-48365 является результатом неполного патча для CVE-2023-41265, который вместе с CVE-2023-41266 был раскрыт Praetorian в конце августа 2023 года. Исправление CVE-2023-48365 было выпущено 20 ноября.

В ходе атак злоумышленники злоупотребляют службой планировщика Qlik Sense для запуска процессов, предназначенных для загрузки дополнительных инструментов, обеспечивающих контроль устойчивости и настройку удаленного управления.

Среди них ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk и Plink При этом удаляли ПО Sophos, меняли пароли учетной записи администратора и создавали RDP-туннель через Plink.

Ну, и в кульминации атаки осуществляется развертывание вымогательского ПО, где злоумышленники также используют rclone для извлечения данных.

Apple выпустила экстренные обновления для исправления двух 0-day, которые активно используются для совершения атак на владельцев устройств iPhone, iPad и Mac.

В числе уязвимых устройств Apple оказались (включая и новее): iPhone XS, iPad Pro 12,9 дюйма 2-го поколения, 10,5 дюйма, 11 дюймов 1-го поколения, iPad Air 3-го поколения, iPad 6-го поколения, iPad mini 5-го поколения, а также компьютеры под управлением macOS Monterey, Ventura и Sonoma.

Проблемы затрагивают движок браузера WebKit (CVE-2023-42916 и CVE-2023-42917) и позволяют злоумышленникам получить доступ к конфиденциальной информации посредством чтения за пределами границ и реализовать RCE через повреждение памяти через вредоносные веб-страницы.

Компания устранила недостатки безопасности для устройств под управлением iOS 17.1.2, iPadOS 17.1.2, macOS Sonoma 14.1.2 и Safari 17.1.2 за счет улучшенной проверки и блокировки ввода.

Новые 0-day были найдены и раскрыты благодаря Клеману Лесиню из Google TAG, что наводит на мысли об их задействовании в spyware, если брать во внимание все предыдущие наработки исследователя.

Но, как обычно, поставщик не разглашает этой информации.

Тем временем, CVE-2023-42916 и CVE-2023-42917 - это уже 19-я и 20-я уязвимости нулевого дня, исправленные Apple в этом году, при этом большая их часть была замечена в таргетированных атаках и кампаниях кибершпионажа.

Множественные ошибки под общим названием LogoFAIL в коде UEFI от различных поставщиков можно использовать для перехвата процесса загрузки и доставки буткитов

Проблемы затрагивают библиотеки обработки изображений, используемые для отображения логотипов в ходе загрузки, оказывая таким образом широкое влияние на архитектуры x86 и ARM.

По мнению исследователей Binarly, такой брендинг создал риски безопасности, позволяя выполнять вредоносные полезные нагрузки путем внедрения файлов изображений в системный раздел EFI (ESP).

Использование парсеров изображений для атак на UEFI демонстрировалось еще в 2009 году, когда исследователи Рафал Войчук и Александр Терешкин проэксрлуатировали ошибку парсера изображений BMP для заражения BIOS и обеспечения устойчивости вредоносного ПО.

Обнаружение же уязвимостей LogoFAIL началось с небольшого исследовательского проекта по направлениям атак со стороны компонентов анализа изображений в прошивке UEFI.

Исследователи обнаружили, что злоумышленник может сохранить вредоносное изображение или логотип в системном разделе EFI (ESP), а также в неподписанных разделах обновления прошивки.

Установка вредоносного ПО таким способом обеспечивает его практически незамеченное существование в системе, как это было показано в прошлых атаках с использованием зараженных компонентов UEFI.

LogoFAIL не влияет на целостность среды выполнения, поскольку нет необходимости изменять загрузчик или прошивку (как при BootHole или BlackLotus).

Binarly также успешно разработали и продемонстрировали в частном порядке PoC, который после перегрузки устройства привел к созданию произвольного файла в системе.

Поскольку LogoFAIL не связаны с конкретными микроархитектурами, уязвимости затрагивают чипы различных производителей, которые используют прошивку UEFI в устройствах потребительского и корпоративного уровня.

Binarly полагает, что потенциально уязвимы сотни устройств Intel, Acer, Lenovo и других поставщиков, а также три основных независимых поставщика спецкода прошивки UEFI: AMI, Insyde и Phoenix. Однако точные масштабы влияния LogoFAIL еще не определены.

Полные технические подробности LogoFAIL будут представлены 6 декабря на конференции по безопасности Black Hat Europe в Лондоне, пока же, согласно презентации LogoFAIL, детали раскрыты для Intel, Acer и Lenovo, а также трех основных поставщиков UEFI.

Zyxel сообщает об исправлении множества уязвимостей, в том числе трех критических, которые позволяют злоумышленнику без аутентификации выполнять команды ОС на сетевых устройствах NAS326 под управлением версии 5.21(AAZF.14)C0 и NAS542 с версией 5.21(ABAG.11)C0 (и более ранних в обоих случаях).

Zyxel NAS реализуют централизованное хранение больших объемов данных в сети и обеспечивают резервное копирование, потоковую передачу мультимедиа, удаленную и совместную работу. Поэтому типичными их пользователями являются представители малого и среднего бизнеса, а также специалисты в сфере IT, видео и дизайна.

Среди исправленных следующие:

- CVE-2023-4473 (оценка 9,8): ошибка внедрения команд на веб-сервере устройств Zyxel NAS, позволяющая неаутентифицированным злоумышленникам выполнять команды ОС через созданный URL-адрес.

- CVE-2023-4474 (оценка 9,8): уязвимость в сервере WSGI устройств Zyxel NAS, позволяющая неаутентифицированным злоумышленникам выполнять команды ОС с помощью созданного URL-адреса.

- CVE-2023-35137 (рейтинг 7,5): уязвимость неправильной аутентификации в модуле аутентификации, позволяющая неаутентифицированным злоумышленникам получить системную информацию через созданный URL-адрес.

- CVE-2023-35138 (оценка 9,8): ошибка внедрения команд в функции show_zysync_server_contents, позволяющая неаутентифицированным злоумышленникам выполнять команды ОС через созданный HTTP-запрос POST.

- CVE-2023-37927 (оценка 8,8): уязвимость в программе CGI, позволяющая злоумышленникам, прошедшим проверку подлинности, выполнять команды ОС с помощью созданного URL-адреса.

- CVE-2023-37928 (оценка 8,8): внедрение команд после аутентификации на WSGI-сервер устройств Zyxel NAS, позволяющее злоумышленникам, прошедшим проверку подлинности, выполнять команды ОС через созданный URL-адрес.

Злоумышленники могут использовать указанные выше уязвимости для получения несанкционированного доступа, выполнения команд ОС, получения конфиденциальной системной информации или получения полного контроля над устройствами Zyxel NAS.

Пользователям Zyxel NAS настоятельно рекомендуется накатить обновление для устранения вышеуказанных проблем, которые, по заявлениям поставщика, не имеют обходных путей или мер по смягчению.

Но есть другая альтернатива - ransomware, владельцы QNAP не дадут соврать.

͏А в Канаде на скандалы со spyware просто забили и, вероятно, даже не слышали про них, как и про собственную федеральную директиву Секретариата Совета казначейства Канады (TBS), требующую проведения оценки воздействия технологий и сервисов на конфиденциальность (PIA).

Согласно документам, полученным Radio-Canada, тринадцать канадских правительственных агентств и федеральных департаментов имеют доступ и используют в соей работе шпионское ПО, а также инструменты для взлома.

Причем помимо силовиков и спецслужб, шпионский арсенал имеют также клерки из структур по охране окружающей среды, надзору за телекоммуникациями и природопользованием, и др.

В число поставщиков вошли такие известные на рынке spyware-техноолгий компании, как Cellebrite, Magnet Forensics и Grayshift, чьи решения позоляют восстанавливать и анализировать данные на компьютерах, планшетах и мобильных телефонах, а также облачных сервисов, в том числе зашифрованную и защищенную паролем информацию.

Д - демократия, без регистрации и смс.

Исследователи Positive Technologies раскрыли деятельность новой хакерской группы Hellhounds, которая нацелена на российские коммерческие и государственные организации.

Кампанию назвали Операция Lahat, поскольку телеметрия с зараженных хостов отправлялась в аккаунт с юзернеймом lahat.

Все началось в октябре 2023 года, когда PT CSIRT обнаружила компрометацию одной энергетической компании с использованием трояна Decoy Dog.

Decoy Dog активно используется в атаках на российские организации по меньшей мере с сентября 2022 года. Однако образец, обнаруженный на хосте жертвы, представлял собой уже новую, более доработанную модификацию трояна.

Как сообщают эксперты, Hellhounds прикладывает значительные усилия для сокрытия своей активности на хостах и в сети. Причем цели тоже меняются, например в одном из инцидентов атака привела к полному уничтожению инфраструктуры.

На первом этапе злоумышленники используют загрузчик Decoy Dog Loader, который защищен модифицированной версией упаковщика UPX. В отличие от обычного UPX эта модификация распаковывает не исполняемый файл, а шеллкод, полностью написанный на языке ассемблера и использующий исключительно системные вызовы Linux.

Сам загрузчик работает в системе и маскируется под легитимный сервис cron.

На втором этапе уже используется основная нагрузка, которой является модифицированная версия Pupy RAT (кросс-платформенный многофункциональный бэкдор) и которую исследователи называют Decoy Dog.

В рамках активности злоумышленников с использованием Decoy Dog пострадало по меньшей мере 20 российских организаций, где львиную долю составляет госсектор, IT, космическая отрасль и энергетика.

Анализ TTP’s при этом не позволяет исследователям связать злоумышленников ни c одной из ранее известных APT-групп. Но как утверждают Позитивы, Hellhounds причастны ко взлому и пробитию с ноги в щщи некоему российскому телекоммуникационному оператору.

Именно про этот взлом на SOC Forum рассказывали Солары. А если это так, получается, что мы знаем и взломанного оператора, и кому принадлежит группа Hellhounds. Но в связи с требованиями Приказа ФСБ № 457 рассказать не можем.

Лучше пойдем, да пожрем борща со смальцом и повтыкаем в винрарный фильм Тинто Брасса с мегамилфой межгалактического масштаба Сереной Гранди в главной роли.

͏Всем хорошим ребятишкам веселых выходных!

А к тем, кто плохо себя вел на неделе, в гости придет Женщина-Кошка!

VMware исправила критическую уязвимость обхода аутентификации в платформе управления ЦОД Cloud Director, которая более двух недель с момента ее обнаружения 14 ноября оставалась без патча.

CVE-2023-34060 влияет только на устройства под управлением VCD Appliance 10.5, которые ранее были обновлены с более старой версии.

Удаленные злоумышленники могут использовать ошибку CVE-2023-34060 в атаках низкой сложности, не требующих взаимодействия с пользователем.

В обновленной версии VMware Cloud Director Appliance 10.5 злоумышленник, имеющий сетевой доступ к устройству, может обойти ограничения входа в систему при аутентификации на порту 22 (ssh) или порту 5480 (консоль управления устройством).

Такой обход отсутствует на порту 443 (поставщик VCD и вход клиента). При новой установке VMware Cloud Director Appliance 10.5 обход также отсутствует.

Помимо патча поставщик представил рекомендации по VMSA-2023-0026 и временное решение для администраторов, которым потребуется время для установки исправлений.

Обходной путь работает только для затронутых версий VCD Appliance 10.5.0 и требует запуска специального сценария.

BlackBerry раскрыла ранее неизвестного злоумышленника, нацеленного на аэрокосмический сектор в США, который отслеживается их командой Threat Research and Intelligence как AeroBlade.

Группа активна как минимум с сентября 2022 года, ее главная цель - конкурентный кибершпионаж.

В качестве механизма доставки используется целенаправленный фишинг с вложениями к письмам, которые реализуют встроенную технику удаленного внедрения шаблонов и вредоносный макрокод VBA для доставки и выполнения полезной нагрузки.

Всего BlackBerry наблюдала за двумя разными кампаниями AeroBlade. Первоначальная атака была проведена в сентябре 2022 года, которая, по оценке специалистов, была больше похожа на этап тестирования.

К дальнейшим наступательным действиям AeroBlade приступила в июле 2023 года. К этому времени злоумышленник усовершенствовал свой набор инструментов, сделав его более скрытным, но при этом инфраструктура осталась прежней.

В обеих кампаниях использовались документы-приманки «[отредактировано].docx с одгнотипной полезной нагрузкой в виде обратной оболочки, одни и те же C2. При этом полезная нагрузка последней атаки была более скрытной, используя больше методов запутывания и антианализа.

Документ Microsoft Word при запуске пользователем реализует удаленное внедрение шаблона для загрузки файла второго этапа под названием «[отредактировано].dotm», который, в свою очередь, выполняет «item3.xml», создающий обратную оболочку с подключением к «redacted[.]redacted[.]com» через порт 443.

Кроме того, тело документа первого этапа содержит исполняемую библиотеку, которая запускается на втором этапа с помощью документа OLE, содержащего макрос, который копирует его в жестко закодированное имя файла по определенному пути.

Последняя полезная нагрузка - DLL, действующая как обратная оболочка, подключается к жестко запрограммированному C2 и также способна выводить список всех каталогов в зараженной системе.

Это сильно запутанный исполняемый файл, который реализует сложные техники обфускации, хеширование API, кодировку для каждой используемой строки, а также множественные проверки для предотвращения запуска в песочнице. Постоянство достигается с помощью планировщика задач Windows.

Замеченное развитие инструментария AeroBlade указывает на то, что оператор действует не менее года, но, кто именно стоит за двумя кампаниями, остается неизвестным.

Учитывая относительно сложные технические возможности, которые использовал этот злоумышленник, и временные рамки жертвы, исследователи с высокой степенью уверенности расценивают наблюдаемую активность в качестве кампании коммерческого кибершпионажа.

Конечная цель, скорее всего, заключалась в том, чтобы получить представление о жертве с точки зрения оценки ее платежеспособности в случае требования потенциального выкупа. Сама же жертва остается в фокусе AeroBlade и представляет для нее высокий интерес.

Индикаторы компрометации (IoC) и технический разбор инструментария - в отчете.

Киберпреступники атакуют пользователей Mac с помощью нового троянского вредоносного ПО, которое поставляется вместе с популярным авторским софтом для macOS.

Вредонос превращает девайс в терминал для перенаправления трафика, используемого для анонимизации злонамеренных воздействий, взлома, фишинга и т.п.

Новую кампанию обнаружили спецы из Kaspersky как минимум в 35 программах для редактирования изображений, сжатия и редактирования видео, восстановления данных и сканирования сети.

Среди наиболее популярных программ, инфицированных трояном, были: 4K Video Downloader Pro, Aissessoft Mac Data Recovery, Aiseesoft Mac Video Converter Ultimate, AnyMP4 Android Data Recovery for Mac, Downie 4, FonePaw Data Recovery, Sketch, Wondershare UniConverter 13, SQLPro Studio, Artstudio Pro.

В отличие от легитимного ПО, которое распространяется в виде образов диска, вредоносные версии загружаются в виде PKG-файлов, которые обрабатываются специальной утилитой Installer в macOS.

Установщики PKG могут выполнять скрипты до и после установки приложения, но в обнаруженном случае встроенные вредоносные скрипты активируются после установки программы для выполнения вредносного файла WindowServer и файла конфигурации p.plist, делая активность похожую на системный процесс.

После запуска, троянец создает файлы логов и пытается получить IP-адрес C2-сервера через сервис DNS-over-HTTPS (DoH), скрывая DNS-запрос от средств мониторинга трафика.

Затем он создает соединение с C2 и отправляет ему свою версию, ожидая в ответ команду и соответствующее ей сообщение.

Лаборатория не смогла обнаружить команды в действии, но посредством анализа выяснила, что клиент поддерживает создание TCP или UDP-соединений для обеспечения проксирования.

Кстати, помимо приложений для macOS исследователи также обнаружили несколько образцов, выполняющих подключение к тому же C2-серверу и созданных под Android и Windows. Они также являются прокси-троянцами и скрытно поставляются вместе со взломанным ПО.

Исследователь Патрик Уордл представил результаты анализа новой ransomware под названием Turtle macOS, которая нацелена на устройства Apple.

Как пояснил исследователь, Turtle по своей сути не относится к категории сложного вредоносного ПО, а его существование указывает на то, что киберпреступники продолжают проявлять интерес к macOS. При этом ransomware также реализована в версиях для систем Windows и Linux.

К настоящему времени уже ряд поставщиков на VirusTotal обнаруживают Turtle как потенциальную угрозу, что необычно для вредоносного ПО, нацеленного на macOS, но это объясняется сходством с версией Windows, для которой существуют правила YARA.

Вредоносное ПО было разработано в Go, и, основываясь на строках, найденных в двоичном файле, Turtle, по-видимому, - это имя, которым малварь назвал сам автор.

Программа-вымогатель предназначена для шифрования файлов в скомпрометированных системах, однако на данном этапе не представляет серьезной угрозы для пользователей macOS.

Во-первых, вредоносный файл подписан специальной подписью, не заверенной Apple, что означает его блокировку со стороны Gatekeeper, если только он не будет развернут с помощью эксплойта или специально не будет разрешен к эксплуатации жертвой.

Кроме того, несмотря на то, что программа-вымогатель способна шифровать файлы, ключ шифрования может быть восстановлен, а расшифровка не вызовет сложностей.

Что касается его происхождения, Уордл не смог приписать Turtle к конкретному субъекту угроз, но отметил, что нашел различные строки, написанные на китайском языке, в том числе ту, которая переводится как «шифровать файлы».

И хотя в своем нынешнем состоянии Turtle не представляет особой угрозы для пользователей macOS, появление таких ransomware еще раз показывает, что их разработчики нацелились на macOS и это вызывает беспокойство.

Откопав парочку 0-day в Apple, специалисты Google принялись за Android, выпустив декабрьский патч для исправления вновь обнаруженной критической zero-click уязвимости.

В общем обновления безопасности Android за декабрь 2023 года устраняют 85 уязвимостей.

Упомянутая наиболее серьезная из них, CVE-2023-40088, затрагивает системный компонент Android и приводит удаленному выполнению кода. Ее эксплуатация не требует дополнительных привилегий или взаимодействия с пользователем.

Помимо нее были исправлены критические ошибки повышения привилегий и раскрытия информации (CVE-2023-40077, CVE-2023-40076 и CVE-2023-45866) в компонентах Android Framework и системы, а также CVE-2022-40507 - в компонентах Qualcomm с закрытым исходным кодом.

Как обычно, Google выпустила два набора патчей в рамках декабрьского обновления: 2023-12-01 и 2023-12-05. Последний включает в себя также дополнительные патчи для сторонних компонентов с закрытым исходным кодом и компонентов ядра.

В компании пока не раскрывают технических подробностей и не сообщают, были ли задействованы новые серьезные уязвимости в реальных атаках. Но будем посмотреть.

Исследователи F.A.C.C.T. сообщают о новых атаках Sticky Werewolf на микробиологов, реализуемых через фишинговый письма от имени Минстроя России.

Sticky Werewolf - кибершпионская группа, которая, по данным BI.ZONE, с апреля по октябрь 2023 года провела не менее 30 атак на госучреждения и финсектор в России и Белоруссии.

В качестве первоначального вектора атак Sticky Werewolf задействует фишинговые рассылки по электронной почте со ссылками на вредоносные файлы, а в качестве полезной нагрузки такие инструменты, как трояны удаленного доступа NetWire RAT и Ozone RAT, а также стилер MetaStealer/RedLine Stealer.

В попавшем в поле зрения ресерчеров электронном сообщении утверждается о якобы изменениях в приказе Минобороны РФ №80 от 2020 года об оснащении объектов техническими средствами охраны.

Судя по заголовкам письма, одной из вероятных целей атакующих был российский НИИ в сфере микробиологии, в том числе специализирующийся на разработке вакцин.

В теле письма содержится ссылка на загрузку вредоносного файла hxxps://online-cloud[.]info/prikaz_80_new.pdf.

При переходе по ней происходит переадресация на другой ресурс hxxps://store5.gofile[.]io/download/direct/0730c9fd-966f-4c1e-9035-2b837cf81be7/prikaz_80_new.%D1%80df.exe и загружается исполняемый файл prikaz_80_new.pdf.exe.
 
Файл представляет собой самораспаковывающийся архив, созданный в NSIS Installer и включает в себя файл-приманку prikaz_80_new.pdf и исполняемый файл Symlink.exe с протектором Themida.

Symlink.exe представляет собой обфусцированный исполняемый .NET файл, содержащий 2 вредоносные программы.

Он отвечает за внедрение и запуск вредоносных программ в процессах AddInProcess32.exe (Ozone RAT) и InstallUtil.exe (MetaStealer/RedLine Stealer).

Индикаторы компрометации - в отчете F.A.C.C.T.

Специалисты VulnCheck поделились шокирующими результатами исследования, согласно которому более 15 000 репозиториев модулей Go на GitHub оказались уязвимы для атаки Repojacking.

Атака позволяет злоумышленнику использовать изменения имени пользователя и удаления учетной записи для создания репозитория с тем же именем и существующим именем пользователя.

Масштаб впечатляющий, поскольку около 9000 репозиториев подвержены угрозе из-за изменения имени пользователя на GitHub, а 6000 репозиториев стали уязвимыми из-за удаления аккаунта.

Все эти репозитории в совокупности составляют не менее 800 000 версий модулей Go и могут сыграть злую шутку с атаками на цепочку поставок программного обеспечения с открытым исходным кодом.

GitHub уже реализует контрмеры, блокируя попытки создания репозитория с именами отозванных пространств имен, которые были клонированы более 100 раз до переименования или удаления аккаунтов владельцев.

Однако VulnCheck отметила, что эта защита неэффективна в отношении модулей Go, поскольку они кэшируются зеркалом модуля, что исключает необходимость взаимодействия с репозиторием или его клонирования.

К сожалению, устранение всех этих repojackings — это задача, которую должны все же выполнить разработчики Go или GitHub.

Ну, а до тех пор важно, чтобы разработчики Go были в курсе модулей, которые они используют, и состояние репозитория, из которого произошли эти модули.