Исследователи Group-IB задетектили и подробно разобрали атаки новой ransomware, известной как EstateRansomware.
Сингапурская компания обнаружила злоумышленника еще в начале апреля 2024 года.
Вредоносная активность включала эксплуатацию уязвимости CVE-2023-27532 (оценка CVSS: 7,5) программном обеспечении Veeam Backup & Replication.
Первоначальный доступ к целевой среде был осуществлен с помощью устройства SSL VPN брандмауэра Fortinet FortiGate с использованием неактивной учетной записи, идентифицированной как «Acc1».
Злоумышленник перешел от межсетевого экрана FortiGate к сервису SSL VPN, получив доступ к отказоустойчивому серверу. Несколько дней спустя успешный вход в VPN с использованием «Acc1» был отслежен до удаленного IP-адреса 149.28.106[.]252.
Затем злоумышленники приступили к установке RDP-подключений от брандмауэра к отказоустойчивому серверу, после чего развернули постоянный бэкдор «svchost.exe», который ежедневно выполнялся в рамках запланированной задачи.
Последующий доступ к сети был осуществлен с помощью бэкдора для избежания обнаружения. Его основная задача - подключиться к C2 по протоколу HTTP и выполнить произвольные команды, выданные злоумышленником.
При этом ресерчеры Group-IB заметили, как злоумышленник эксплуатировал уязвимость Veeam CVE-2023-27532 с целью включения xp_cmdshell на сервере резервного копирования и создания подконтрольной учетной записи пользователя с именем «VeeamBkp».
Кроме того, актор также реализовал сканирование сети, сбор учетных данных с использованием таких инструментов, как NetScan, AdFind и NitSoft, посредством вновь созданной учетной записи.
Эксплуатация потенциально включала атаку, исходящую из папки VeeamHax на файловом сервере, в отношении уязвимой версии Veeam Backup & Replication, установленной на сервере резервного копирования.
Атака завершилась развертыванием вируса-вымогателя, однако перед этим были предприняты меры по ослаблению защиты и горизонтальному перемещению с сервера AD на все другие сервера и рабочие станции с использованием скомпрометированных учетных записей домена.
Защитник Windows был окончательно отключен с помощью DC.exe (Defender Control), после чего была осуществлена загрузка и выполнение программы-вымогателя с помощью PsExec.exe.
Как заключили специалисты, задержка обновлений безопасности и пренебрежение регулярными проверками создали уязвимости, которыми воспользовались злоумышленники, что привело к серьезным последствиям для программ-вымогателей.
IoC и подробный технический разбор в материале Group-IB.
Сингапурская компания обнаружила злоумышленника еще в начале апреля 2024 года.
Вредоносная активность включала эксплуатацию уязвимости CVE-2023-27532 (оценка CVSS: 7,5) программном обеспечении Veeam Backup & Replication.
Первоначальный доступ к целевой среде был осуществлен с помощью устройства SSL VPN брандмауэра Fortinet FortiGate с использованием неактивной учетной записи, идентифицированной как «Acc1».
Злоумышленник перешел от межсетевого экрана FortiGate к сервису SSL VPN, получив доступ к отказоустойчивому серверу. Несколько дней спустя успешный вход в VPN с использованием «Acc1» был отслежен до удаленного IP-адреса 149.28.106[.]252.
Затем злоумышленники приступили к установке RDP-подключений от брандмауэра к отказоустойчивому серверу, после чего развернули постоянный бэкдор «svchost.exe», который ежедневно выполнялся в рамках запланированной задачи.
Последующий доступ к сети был осуществлен с помощью бэкдора для избежания обнаружения. Его основная задача - подключиться к C2 по протоколу HTTP и выполнить произвольные команды, выданные злоумышленником.
При этом ресерчеры Group-IB заметили, как злоумышленник эксплуатировал уязвимость Veeam CVE-2023-27532 с целью включения xp_cmdshell на сервере резервного копирования и создания подконтрольной учетной записи пользователя с именем «VeeamBkp».
Кроме того, актор также реализовал сканирование сети, сбор учетных данных с использованием таких инструментов, как NetScan, AdFind и NitSoft, посредством вновь созданной учетной записи.
Эксплуатация потенциально включала атаку, исходящую из папки VeeamHax на файловом сервере, в отношении уязвимой версии Veeam Backup & Replication, установленной на сервере резервного копирования.
Атака завершилась развертыванием вируса-вымогателя, однако перед этим были предприняты меры по ослаблению защиты и горизонтальному перемещению с сервера AD на все другие сервера и рабочие станции с использованием скомпрометированных учетных записей домена.
Защитник Windows был окончательно отключен с помощью DC.exe (Defender Control), после чего была осуществлена загрузка и выполнение программы-вымогателя с помощью PsExec.exe.
Как заключили специалисты, задержка обновлений безопасности и пренебрежение регулярными проверками создали уязвимости, которыми воспользовались злоумышленники, что привело к серьезным последствиям для программ-вымогателей.
IoC и подробный технический разбор в материале Group-IB.
Group-IB
Patch or Peril: A Veeam vulnerability incident
Delaying security updates and neglecting regular reviews created vulnerabilities that were exploited by attackers, resulting in severe ransomware consequences.
Следуя вышеизложенным умозаключениям Грибов, Позитивы прошерстили информацию об уязвимостях из бюллетеней вендоров, соцсетей, блогов, ТГ-каналов, баз эксплойтов, публичных репозиториев кода, выделив наиболее трендовые уязвимости июня.
По сути это самые опасные уязвимости, которые либо уже эксплуатируются вживую, либо могут эксплуатироваться в ближайшее время.
В этом месяце таких уязвимостей оказалось достаточно много — девять:
- Уязвимости в Microsoft Windows, связанные с повышением привилегий: в службе CSC (CVE-2024-26229), службе Error Reporting (CVE-2024-26169) и ядре ОС (CVE-2024-30088);
- Уязвимость, приводящая к выполнению произвольного кода, в скриптовом языке PHP на узлах под управлением Windows (CVE-2024-4577);
- Уязвимость, приводящая к повышению привилегий, в ядре Linux (CVE-2024-1086);
- Уязвимость, связанная с раскрытием информации, в Check Point Quantum Security Gateways (CVE-2024-24919);
- Уязвимость в VMware vCenter, позволяющие выполнить произвольный код (CVE-2024-37079, CVE-2024-37080);
- Уязвимость в Veeam Backup & Replication, приводящая к обходу аутентификации (CVE-2024-29849).
Подробно по каждой с указанием признаков эксплуатации, количеству потенциальных жертв, наличия публично доступных эксплойтов, а также способов устранения и компенсирующих мер - в блоге Positive Technologies.
По сути это самые опасные уязвимости, которые либо уже эксплуатируются вживую, либо могут эксплуатироваться в ближайшее время.
В этом месяце таких уязвимостей оказалось достаточно много — девять:
- Уязвимости в Microsoft Windows, связанные с повышением привилегий: в службе CSC (CVE-2024-26229), службе Error Reporting (CVE-2024-26169) и ядре ОС (CVE-2024-30088);
- Уязвимость, приводящая к выполнению произвольного кода, в скриптовом языке PHP на узлах под управлением Windows (CVE-2024-4577);
- Уязвимость, приводящая к повышению привилегий, в ядре Linux (CVE-2024-1086);
- Уязвимость, связанная с раскрытием информации, в Check Point Quantum Security Gateways (CVE-2024-24919);
- Уязвимость в VMware vCenter, позволяющие выполнить произвольный код (CVE-2024-37079, CVE-2024-37080);
- Уязвимость в Veeam Backup & Replication, приводящая к обходу аутентификации (CVE-2024-29849).
Подробно по каждой с указанием признаков эксплуатации, количеству потенциальных жертв, наличия публично доступных эксплойтов, а также способов устранения и компенсирующих мер - в блоге Positive Technologies.
Хабр
Cамые опасные уязвимости июня: от Windows, Linux и PHP до сетевых устройств, виртуализации и бэкапов
Хабр, привет! Я Александр Леонов, ведущий эксперт лаборатории PT Expert Security Center. Мы с командой аналитиков Positive Technologies каждый месяц исследуем информацию об уязвимостях из баз и...
VMware исправила критическую уязвимость SQL-инъекции CVE-2024-22280 (CVSS 8,5) в Aria Automation.
VMware Aria Automation - это современная платформа облачной автоматизации, которая упрощает и оптимизирует развертывание, управление и руководство облачной инфраструктурой и приложениями.
Она предоставляет унифицированную платформу для автоматизации задач в нескольких облачных средах, включая VMware Cloud on AWS, VMware Cloud on Azure и VMware Cloud Foundation.
Аутентифицированный злоумышленник может воспользоваться уязвимостью, введя специально созданные SQL-запросы и выполнив несанкционированные операции чтения/записи в базе данных.
Обнаруженная исследователями Канадского правительственного центра киберзащиты (CGCD) уязвимость затрагивает VMware Aria Automation версии 8.x и Cloud Foundation версий 5.x и 4.x.
VMware заявляет, что обходные пути для этой проблемы отсутствуют, для устранения CVE-2024-22280 рекомендуется применить исправления.
VMware Aria Automation - это современная платформа облачной автоматизации, которая упрощает и оптимизирует развертывание, управление и руководство облачной инфраструктурой и приложениями.
Она предоставляет унифицированную платформу для автоматизации задач в нескольких облачных средах, включая VMware Cloud on AWS, VMware Cloud on Azure и VMware Cloud Foundation.
Аутентифицированный злоумышленник может воспользоваться уязвимостью, введя специально созданные SQL-запросы и выполнив несанкционированные операции чтения/записи в базе данных.
Обнаруженная исследователями Канадского правительственного центра киберзащиты (CGCD) уязвимость затрагивает VMware Aria Automation версии 8.x и Cloud Foundation версий 5.x и 4.x.
VMware заявляет, что обходные пути для этой проблемы отсутствуют, для устранения CVE-2024-22280 рекомендуется применить исправления.
Forwarded from Social Engineering
• 4 июля на одном хакерском форуме была обнаружена самая большая база паролей на сегодняшний день. Файлик под названием
rockyou2024.txt включает в себя 10 млрд. уникальных паролей, а его объем составляет 45 гб в архиве (156 гб без архива).• Этот файлик стал продолжением другой компиляции паролей, который слили еще в 2021 году. Тогда в сети была опубликована база
RockYou2021 с 8,4 млрд. паролей. За прошедшие три года она выросла на 15%. А содержание файла состоит из более чем 4 тысяч баз данных, созданных за последние два десятилетия.• Так вот, ребята из @securixy_kz скачали архив и вычистили из него весь мусор, которого там оказалось очень много! По итогу они получили отличный вордлист, который весит значительно меньше и содержит только нужные данные.
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
Разработчики Exim выпустили обновления безопасности для исправления серьезной уязвимости в своем почтовом сервере.
Уязвимость отслеживается как CVE-2024-39929 и затрагивает Exim до версии 4.97.1.
Ошибка обусловлена неправильным анализом многострочного имени файла заголовка RFC 2231.
Воспользовавшись этим, удаленные злоумышленники могут обойти механизм защиты от блокировки расширения $mime_filename и потенциально доставлять исполняемые вложения в почтовые ящики конечных пользователей.
Данных об эксплуатации уязвимости в реальных условиях не получено.
Однако по данным Censys, количество серверов Exim, на которых запущены уязвимые версии, составляет около 1,5 миллиона. Так что все еще впереди.
Будем посмотреть.
Уязвимость отслеживается как CVE-2024-39929 и затрагивает Exim до версии 4.97.1.
Ошибка обусловлена неправильным анализом многострочного имени файла заголовка RFC 2231.
Воспользовавшись этим, удаленные злоумышленники могут обойти механизм защиты от блокировки расширения $mime_filename и потенциально доставлять исполняемые вложения в почтовые ящики конечных пользователей.
Данных об эксплуатации уязвимости в реальных условиях не получено.
Однако по данным Censys, количество серверов Exim, на которых запущены уязвимые версии, составляет около 1,5 миллиона. Так что все еще впереди.
Будем посмотреть.
GitHub
Release exim-4.98 · Exim/exim
Exim 4.98
В перерывах между пусками ракет и отправкой с конвейера очередного кибертрака Илон Макс успевает подпортить жизнь спецслужбам, буквально одним твитом в X.
На сей раз отгребли в Signal после того, как миллиардер подметил, что почти шесть лет известные уязвимости в мессенджеры не устраняются и это кажется странным.
Многие, конечно, сразу упрекнули твит Маска как часть информационной кампании Telegram в отношении Signal и не сразу поняли, о каких именно уязвимостях идет речь.
Однако на прошлой неделе исследователи Талал Хадж Бакри и Томми Майск из Mysk Inc сообщили в X, что использовать Signal Desktop небезопасно из-за той же уязвимости, о которой они сообщали еще в 2018 году, которая так и не была решена.
В серии твитов Mysk Inc продемонстрировала, что фотографии и вложения, отправляемые в Signal, не хранятся в безопасном или зашифрованном месте.
Поддержав Илона Маска, исследователи предупредили, что Signal шифруют локальную историю чата в базе данных SQLite с помощью ключа, сгенерированного программой без ввода данных пользователем, который хранится в виде обычного текста и доступен любому процессу, что делает пользователей уязвимыми к утечке данных.
В случае Signal ключ сохраняется в виде обычного текста в локальном файле с именем %AppData%\Signal\config.json в Windows и ~/Library/Application Support/Signal/config.json на Mac.
Доступ к нему имеет любой пользователь или ПО, работающая на компьютере, что делает зашифрованную базу данных бесполезной и не обеспечивает никакой дополнительной безопасности.
Тогда еще в 2018 году в ответ на сообщение об уязвимости служба поддержки Signal заявила, что не гарантировала и не обещала обеспечивать безопасность базы данных. Ключ базы данных никогда не предназначался для хранения в секрете.
Тем не менее, все это время администрация Signal сама говорила о том, что шифрование локальных баз данных без введенного пользователем пароля представляет собой проблему для всех приложений и требует дополнительных мер по усилению безопасности.
Более того, президент Signal Мередит Уиттакер выступала даже с критикой микромягкой ReCall, которая не обеспечивала безопасности данных пользователей.
При этом почему-то сама все это время игнорировала проблему и не попыталась предложить решение. Конечно ответ, очевиден, а после нового наката общественности вдруг решила поправить.
Видимо, кураторы в погонах согласовали новую дырку, а то уж совсем зашквар получается.
На сей раз отгребли в Signal после того, как миллиардер подметил, что почти шесть лет известные уязвимости в мессенджеры не устраняются и это кажется странным.
Многие, конечно, сразу упрекнули твит Маска как часть информационной кампании Telegram в отношении Signal и не сразу поняли, о каких именно уязвимостях идет речь.
Однако на прошлой неделе исследователи Талал Хадж Бакри и Томми Майск из Mysk Inc сообщили в X, что использовать Signal Desktop небезопасно из-за той же уязвимости, о которой они сообщали еще в 2018 году, которая так и не была решена.
В серии твитов Mysk Inc продемонстрировала, что фотографии и вложения, отправляемые в Signal, не хранятся в безопасном или зашифрованном месте.
Поддержав Илона Маска, исследователи предупредили, что Signal шифруют локальную историю чата в базе данных SQLite с помощью ключа, сгенерированного программой без ввода данных пользователем, который хранится в виде обычного текста и доступен любому процессу, что делает пользователей уязвимыми к утечке данных.
В случае Signal ключ сохраняется в виде обычного текста в локальном файле с именем %AppData%\Signal\config.json в Windows и ~/Library/Application Support/Signal/config.json на Mac.
Доступ к нему имеет любой пользователь или ПО, работающая на компьютере, что делает зашифрованную базу данных бесполезной и не обеспечивает никакой дополнительной безопасности.
Тогда еще в 2018 году в ответ на сообщение об уязвимости служба поддержки Signal заявила, что не гарантировала и не обещала обеспечивать безопасность базы данных. Ключ базы данных никогда не предназначался для хранения в секрете.
Тем не менее, все это время администрация Signal сама говорила о том, что шифрование локальных баз данных без введенного пользователем пароля представляет собой проблему для всех приложений и требует дополнительных мер по усилению безопасности.
Более того, президент Signal Мередит Уиттакер выступала даже с критикой микромягкой ReCall, которая не обеспечивала безопасности данных пользователей.
При этом почему-то сама все это время игнорировала проблему и не попыталась предложить решение. Конечно ответ, очевиден, а после нового наката общественности вдруг решила поправить.
Видимо, кураторы в погонах согласовали новую дырку, а то уж совсем зашквар получается.
X (formerly Twitter)
Mysk 🇨🇦🇩🇪 (@mysk_co) on X
The community note is wrong and @elonmusk is right. Signal's desktop apps encrypt local chat history with a key stored in plain text and made accessible to any process. This leaves users vulnerable to exfiltration. The issue was reported in 2018, but it hasn't…
Sysdig сообщает об активизации атак новой группы CRYSTALRAY, нацеленной на облачные среды, число жертв которой возросло со 100 до 1500.
Sysdig отслеживают злоумышленника с февраля, когда они впервые сообщили об использовании ими червя с открытым исходным кодом SSH-Snake для запуска своих атак и горизонтального перемещения по облачным средам.
SSH-snake - это червь с открытым исходным кодом, который крадет закрытые ключи SSH со взломанных серверов и использует их для латерального перемещения на другие сервера, одновременно сбрасывая дополнительную полезную нагрузку.
Согласно наблюдениям Sysdig, в последние недели CRYSTALRAY значительно расширил масштабы своей деятельности в 10 раз, на данный момент жертвами стали 1500 человек, чьи учетные данные были украдены, а также заполучившие в итоге криптомайнеры.
Новая тактика включает массовое сканирование, эксплуатацию множественных уязвимостей и размещение бэкдоров с использованием нескольких инструментов безопасности OSS, в числе которых zmap, asn, httpx, nuclei, platypus.
Цель CRYSTALRAY - сбор и возмездия реализация учетных данных, развертывание криптомайнеров и поддержка устойчивости в среде жертвы.
Sysdig полагает, что CRYSTALRAY использует модифицированные PoC, доставляемые целям с помощью инструментария пост-эксплуатации Sliver.
Среди уязвимостей, на которые CRYSTALRAY нацеливается в своей текущей деятельности: CVE-2022-44877 (ошибка выполнения команд в Control Web Panel (CWP), CVE-2021-3129 (RCE-ошибка d Ignition (Laravel) и CVE-2019-18394 (SSRF-уязвимость в Ignite Realtime Openfire).
Sysdig заметила, что решения Atlassian Confluence, вероятно, также подвергаются атакам, основываясь на наблюдаемых моделях эксплуатации, выявленных в ходе попыток атак против 1800 IP-адресов, треть из которых находятся в США.
CRYSTALRAY задействует веб-менеджер Platypus для обработки нескольких сеансов обратной оболочки на взломанных системах.
При этом SSH-Snake продолжает оставаться основным инструментом, с помощью которого осуществляется распространение через скомпрометированные сети. После получения ключей SSH червь использует их для входа в новые системы, копирует себя и повторяет процесс на новых хостах.
SSH-Snake не только распространяет заражение, но и отправляет захваченные ключи и историю bash обратно на C2 CRYSTALRAY, предоставляя возможности для большей универсальности атак.
Все краденное затем с облачных сервисов, почтовых платформ или других SaaS-инструментов распродается в даркнете или Telegram, принося хорошую прибыль. Кроме того, для монетазиции применяются криптомайнеры.
По мере роста угрозы CRYSTALRAY лучшей стратегией ее предотвращения является минимизация поверхности атаки посредством своевременных обновлений безопасности для устранения уязвимостей по мере их обнаружения.
Sysdig отслеживают злоумышленника с февраля, когда они впервые сообщили об использовании ими червя с открытым исходным кодом SSH-Snake для запуска своих атак и горизонтального перемещения по облачным средам.
SSH-snake - это червь с открытым исходным кодом, который крадет закрытые ключи SSH со взломанных серверов и использует их для латерального перемещения на другие сервера, одновременно сбрасывая дополнительную полезную нагрузку.
Согласно наблюдениям Sysdig, в последние недели CRYSTALRAY значительно расширил масштабы своей деятельности в 10 раз, на данный момент жертвами стали 1500 человек, чьи учетные данные были украдены, а также заполучившие в итоге криптомайнеры.
Новая тактика включает массовое сканирование, эксплуатацию множественных уязвимостей и размещение бэкдоров с использованием нескольких инструментов безопасности OSS, в числе которых zmap, asn, httpx, nuclei, platypus.
Цель CRYSTALRAY - сбор и возмездия реализация учетных данных, развертывание криптомайнеров и поддержка устойчивости в среде жертвы.
Sysdig полагает, что CRYSTALRAY использует модифицированные PoC, доставляемые целям с помощью инструментария пост-эксплуатации Sliver.
Среди уязвимостей, на которые CRYSTALRAY нацеливается в своей текущей деятельности: CVE-2022-44877 (ошибка выполнения команд в Control Web Panel (CWP), CVE-2021-3129 (RCE-ошибка d Ignition (Laravel) и CVE-2019-18394 (SSRF-уязвимость в Ignite Realtime Openfire).
Sysdig заметила, что решения Atlassian Confluence, вероятно, также подвергаются атакам, основываясь на наблюдаемых моделях эксплуатации, выявленных в ходе попыток атак против 1800 IP-адресов, треть из которых находятся в США.
CRYSTALRAY задействует веб-менеджер Platypus для обработки нескольких сеансов обратной оболочки на взломанных системах.
При этом SSH-Snake продолжает оставаться основным инструментом, с помощью которого осуществляется распространение через скомпрометированные сети. После получения ключей SSH червь использует их для входа в новые системы, копирует себя и повторяет процесс на новых хостах.
SSH-Snake не только распространяет заражение, но и отправляет захваченные ключи и историю bash обратно на C2 CRYSTALRAY, предоставляя возможности для большей универсальности атак.
Все краденное затем с облачных сервисов, почтовых платформ или других SaaS-инструментов распродается в даркнете или Telegram, принося хорошую прибыль. Кроме того, для монетазиции применяются криптомайнеры.
По мере роста угрозы CRYSTALRAY лучшей стратегией ее предотвращения является минимизация поверхности атаки посредством своевременных обновлений безопасности для устранения уязвимостей по мере их обнаружения.
Sysdig
CRYSTALRAY: Inside the Operations of a Rising Threat Actor Exploiting OSS Tools | Sysdig
The Sysdig Threat Research Team found that the SSH Snake threat actor expanded operations greatly, justifying a new name: CRYSTALRAY.
Исследователи Zscaler заметили обновления в арсенале активной как минимум с 2007 года китайской APT41 (aka Axiom, Blackfly, Brass Typhoon, Barium, Bronze Atlas, Earth Baku, HOODOO, Red Kelpie, TA415, Wicked Panda и Winnti).
Хакеры задействовали вредоносный загрузчик под названием DodgeBox, который используется для развертывания бэкдора MoonWalk на скомпрометированных системах.
Ресерчеры полагают, что APT, предположительно, использует усовершенствованную и модернизированную версию известного вредоносного ПО StealthVector для внедрения ранее не документированного бэкдора, получившего название MoonWalk.
Новый вариант StealthVector, также известный как DUSTPAN, получил обозначение DodgeBox от Zscaler ThreatLabz, которая обнаружила этот штамм в апреле 2024 года.
В свою очередь, MoonWalk реализует многие методы уклонения, реализованные в DodgeBox, и использует Google Drive для связи команд и управления (C2).
Использование StealthVector группой было впервые задокументировано Trend Micro в августе 2021 года, описавшей его как загрузчик шелл-кода, написанный на C/C++, который используется для доставки Cobalt Strike Beacon и импланта ScrambleCross (SideWalk).
DodgeBox представляет собой улучшенную версию StealthVector и поддерживает различные методы, такие как подмена стека вызовов, сторонняя загрузка DLL и очистка DLL для избежания обнаружения. Точный метод, с помощью которого распространяется вредоносное ПО, в настоящее время неизвестен.
APT41 использует стороннюю загрузку DLL как средство выполнения DodgeBox. Задействуется легитимный исполняемый файл (taskhost.exe), подписанный Sandboxie, для сторонней загрузки вредоносной DLL (sbiedll.dll).
Мошенническая DLL (то есть DodgeBox) - это загрузчик DLL, написанный на языке C, который действует как канал для расшифровки и запуска полезной нагрузки второго этапа — бэкдора MoonWalk.
Принадлежность DodgeBox к APT41 обусловлена его сходством и StealthVector, использованием боковой загрузки DLL (широко применяемого китайскими APT для доставки PlugX).
Кроме того, примечателен и тот факт, что образцы DodgeBox были отправлены на VirusTotal из Таиланда и Тайваня, представляющих стратегический интерес для Китая.
Хакеры задействовали вредоносный загрузчик под названием DodgeBox, который используется для развертывания бэкдора MoonWalk на скомпрометированных системах.
Ресерчеры полагают, что APT, предположительно, использует усовершенствованную и модернизированную версию известного вредоносного ПО StealthVector для внедрения ранее не документированного бэкдора, получившего название MoonWalk.
Новый вариант StealthVector, также известный как DUSTPAN, получил обозначение DodgeBox от Zscaler ThreatLabz, которая обнаружила этот штамм в апреле 2024 года.
В свою очередь, MoonWalk реализует многие методы уклонения, реализованные в DodgeBox, и использует Google Drive для связи команд и управления (C2).
Использование StealthVector группой было впервые задокументировано Trend Micro в августе 2021 года, описавшей его как загрузчик шелл-кода, написанный на C/C++, который используется для доставки Cobalt Strike Beacon и импланта ScrambleCross (SideWalk).
DodgeBox представляет собой улучшенную версию StealthVector и поддерживает различные методы, такие как подмена стека вызовов, сторонняя загрузка DLL и очистка DLL для избежания обнаружения. Точный метод, с помощью которого распространяется вредоносное ПО, в настоящее время неизвестен.
APT41 использует стороннюю загрузку DLL как средство выполнения DodgeBox. Задействуется легитимный исполняемый файл (taskhost.exe), подписанный Sandboxie, для сторонней загрузки вредоносной DLL (sbiedll.dll).
Мошенническая DLL (то есть DodgeBox) - это загрузчик DLL, написанный на языке C, который действует как канал для расшифровки и запуска полезной нагрузки второго этапа — бэкдора MoonWalk.
Принадлежность DodgeBox к APT41 обусловлена его сходством и StealthVector, использованием боковой загрузки DLL (широко применяемого китайскими APT для доставки PlugX).
Кроме того, примечателен и тот факт, что образцы DodgeBox были отправлены на VirusTotal из Таиланда и Тайваня, представляющих стратегический интерес для Китая.
Zscaler
DodgeBox | ThreatLabz
Part 1 | ThreatLabz uncovers new tooling from APT41 including DodgeBox, which uses advanced evasion techniques to deploy the MoonWalk backdoor that leverages Google Drive
Американский оператор связи AT&T раскрыл, пожалуй, одну из самых серьезных утечек, которая затронула почти всех его клиентов сотовой связи.
Взлом произошел в период с 14 по 25 апреля 2024 года, и AT&T подтвердила TechCrunch, что инцидент был связан с масштабной хакерской атакой Snowflake.
Причем, как сообщает Wired, AT&T заплатила хакеру выкуп в размере 370 000 долларов за удаление украденных данных. И, не зря.
Ведь хакер украл из одного из ее аккаунтов облачного хранилища журналы вызовов и текстовых сообщений 109 миллионов клиентов, в том числе MVNO, за период с 1 мая по 31 октября 2022 года и 2 января 2023 года, а это почти все клиенты мобильной связи.
Утечка включает в себя: номера телефонов клиентов фиксированной связи AT&T и клиентов других операторов, телефонные номера, с которыми взаимодействовали номера AT&T или MVNO, билинги с указанием идентификационных номеров сотовых станций.
Несмотря на то, что скомпрометированные записи не содержали содержания звонков и сообщений, имен клиентов или какой-либо другой личной информации, метаданные коммуникаций можно использовать для их соотнесения с другой идентифицирующей информацией.
Компания оперативно привлекла к расследованию экспертов по кибербезопасности и правоохранительные органы, уведомив Миниюст США дважды, 9 мая 2024 года и 5 июня 2024 года.
В результате начатого расследования к настоящему времени удалось задержать одного из подозреваемых. Источник 404 Media сообщил, что, предположительно, им оказался американец по имени Джон Биннс.
Ранее Биннс также взламывал T-Mobile в 2021 году. Он был задержан турецкими властями в конце мая и в настоящее время ему грозит экстрадиция в США.
На сегодняшний день AT&T заявляет, что у нее нет доказательств того, что полученные данные были где-то опубликованы, а сам инцидент не связан с утечкой данных 2021 года, затронувшую 51 млн. клиентов, которую AT&T подтвердила ранее в этом году.
Так что теперь к список известных жертв инцилента Snowflake присоединилась AT&T, встав в одну шеренгу с Advance Auto Parts, Pure Storage, Los Angeles Unified, Neiman Marcus, Ticketmaster и Banco Santander.
Кто следующий, будем посмотреть.
Взлом произошел в период с 14 по 25 апреля 2024 года, и AT&T подтвердила TechCrunch, что инцидент был связан с масштабной хакерской атакой Snowflake.
Причем, как сообщает Wired, AT&T заплатила хакеру выкуп в размере 370 000 долларов за удаление украденных данных. И, не зря.
Ведь хакер украл из одного из ее аккаунтов облачного хранилища журналы вызовов и текстовых сообщений 109 миллионов клиентов, в том числе MVNO, за период с 1 мая по 31 октября 2022 года и 2 января 2023 года, а это почти все клиенты мобильной связи.
Утечка включает в себя: номера телефонов клиентов фиксированной связи AT&T и клиентов других операторов, телефонные номера, с которыми взаимодействовали номера AT&T или MVNO, билинги с указанием идентификационных номеров сотовых станций.
Несмотря на то, что скомпрометированные записи не содержали содержания звонков и сообщений, имен клиентов или какой-либо другой личной информации, метаданные коммуникаций можно использовать для их соотнесения с другой идентифицирующей информацией.
Компания оперативно привлекла к расследованию экспертов по кибербезопасности и правоохранительные органы, уведомив Миниюст США дважды, 9 мая 2024 года и 5 июня 2024 года.
В результате начатого расследования к настоящему времени удалось задержать одного из подозреваемых. Источник 404 Media сообщил, что, предположительно, им оказался американец по имени Джон Биннс.
Ранее Биннс также взламывал T-Mobile в 2021 году. Он был задержан турецкими властями в конце мая и в настоящее время ему грозит экстрадиция в США.
На сегодняшний день AT&T заявляет, что у нее нет доказательств того, что полученные данные были где-то опубликованы, а сам инцидент не связан с утечкой данных 2021 года, затронувшую 51 млн. клиентов, которую AT&T подтвердила ранее в этом году.
Так что теперь к список известных жертв инцилента Snowflake присоединилась AT&T, встав в одну шеренгу с Advance Auto Parts, Pure Storage, Los Angeles Unified, Neiman Marcus, Ticketmaster и Banco Santander.
Кто следующий, будем посмотреть.
AT&T
AT&T Official Site | Our Best Wireless & Internet Service
Get our best deals on phones and internet, backed by the AT&T Guarantee. Explore the new iPhone 17, get 24/7 support, pay bills, and manage your account online.
Исследователи Cloudflare выкатили отчет по безопасности приложений за 2024 год, отражающий современные тренды инфосека, которые определенно заставят серьезно призадуматься.
Проанализировав вредоносную активность с мая 2023 года по март 2024 года специалисты пришли к выводу, что хакеры способны задействовать PoC-эксплойты в атаках уже через 22 минуты после их релиза.
Обрабатывая в среднем 57 миллионов HTTP-запросов в секунду, Cloudflare фиксирует повышенную активность сканирования на предмет раскрытых CVE, за которыми следуют инъекции команд и попытки использовать доступные PoC для нацеливания.
В течение рассматриваемого периода наиболее тресковыми уязвимостями оказались CVE-2023-50164 и CVE-2022-33891 в продуктах Apache, CVE-2023-29298, CVE-2023-38203 и CVE-2023-26360 в Coldfusion и CVE-2023-35082 в MobileIron.
Характерным примером роста скорости использования уязвимостей в реальных атаках является CVE-2024-27198, позволяющая обойти аутентификацию в JetBrains TeamCity.
Cloudflare зафиксировала случай, когда злоумышленник применил эксплойт на основе PoC всего через 22 минуты после его публикации, что фактически не оставило защитникам возможности для исправления ситуации.
Cloudflare утверждает, что это обусловлено отчасти тем, что некоторые субъекты угроз специализируются на определенных категориях CVE, имея при этом глубокое понимание того, как быстро воспользоваться раскрытием новых уязвимостей.
По мнению исследователей, единственный способ противодействия такой динамике - внедрение ИИ для ускорения разработки эффективных правил WAF с условием баланса между низким уровнем ложных срабатываний и скоростью реагирования.
Другим ошеломляющим выводом из отчета Cloudflare является то, что 6,8% всего ежедневного Интернет-трафика — это трафик типа DDoS, нацеленный на онлайн-приложения и сервисы.
Это заметный рост по сравнению с 6%, зафиксированным за предыдущий период (2022–2023 гг.), что свидетельствует об увеличении общего объема DDoS-атак.
По данным Cloudflare, во время крупных глобальных атак вредоносный трафик может достигать до 12% всего HTTP-трафика.
Отчет в формате PDF доступен здесь и включает рекомендации, а также более глубокий анализ собранной статистики.
Проанализировав вредоносную активность с мая 2023 года по март 2024 года специалисты пришли к выводу, что хакеры способны задействовать PoC-эксплойты в атаках уже через 22 минуты после их релиза.
Обрабатывая в среднем 57 миллионов HTTP-запросов в секунду, Cloudflare фиксирует повышенную активность сканирования на предмет раскрытых CVE, за которыми следуют инъекции команд и попытки использовать доступные PoC для нацеливания.
В течение рассматриваемого периода наиболее тресковыми уязвимостями оказались CVE-2023-50164 и CVE-2022-33891 в продуктах Apache, CVE-2023-29298, CVE-2023-38203 и CVE-2023-26360 в Coldfusion и CVE-2023-35082 в MobileIron.
Характерным примером роста скорости использования уязвимостей в реальных атаках является CVE-2024-27198, позволяющая обойти аутентификацию в JetBrains TeamCity.
Cloudflare зафиксировала случай, когда злоумышленник применил эксплойт на основе PoC всего через 22 минуты после его публикации, что фактически не оставило защитникам возможности для исправления ситуации.
Cloudflare утверждает, что это обусловлено отчасти тем, что некоторые субъекты угроз специализируются на определенных категориях CVE, имея при этом глубокое понимание того, как быстро воспользоваться раскрытием новых уязвимостей.
По мнению исследователей, единственный способ противодействия такой динамике - внедрение ИИ для ускорения разработки эффективных правил WAF с условием баланса между низким уровнем ложных срабатываний и скоростью реагирования.
Другим ошеломляющим выводом из отчета Cloudflare является то, что 6,8% всего ежедневного Интернет-трафика — это трафик типа DDoS, нацеленный на онлайн-приложения и сервисы.
Это заметный рост по сравнению с 6%, зафиксированным за предыдущий период (2022–2023 гг.), что свидетельствует об увеличении общего объема DDoS-атак.
По данным Cloudflare, во время крупных глобальных атак вредоносный трафик может достигать до 12% всего HTTP-трафика.
Отчет в формате PDF доступен здесь и включает рекомендации, а также более глубокий анализ собранной статистики.
The Cloudflare Blog
Application Security report: 2024 update
Cloudflare’s updated 2024 view on Internet cyber security trends spanning global traffic insights, bot traffic insights, API traffic insights, and client-side risks.
Как мы и предполагали, CosmicSting, имеющая высокую серьезность и низкую сложность, можно с уверенностью считать одной из самых разрушительных в истории электронной коммерции, наряду с Shoplift, Ambionics и Trojan Order.
Критическая уязвимость с CVSS: 9,8 была исправлена в начале июня и затрагивает примерно три четверти всех магазинов Magento и Adobe Commerce.
Поскольку CosmicSting позволяет злоумышленникам считать любой файл, злоумышленники могут выкрасть секретный ключ шифрования Magento, который позволяет генерировать JSON Web Tokens с полным административным доступом к API.
Несмотря на отсутствие технического описания CosmicSting (CVE-2024-34102) в бюллетене Adobe, злоумышленники смогли разработать эффективные методы для атак и теперь пачками взламывают Интернет-магазины.
Исследователи SanSec сообщают, что атаки с использованием этой ошибки начались в конце июня и теперь перешли в фазе массовой эксплуатации.
Так, каждый час взламывается от трех до пяти магазинов, включая и крупные бренды.
Как и сообщалось ранее, клиентам крайне важно обновиться или применить официальное изолированное исправление.
Однако на данном этапе простого исправления CosmicSting, скорее всего, будет недостаточно.
Украденный ключ шифрования по-прежнему позволяет злоумышленникам генерировать веб-токены даже после обновления, так что ключ шифрования следует по умолчанию считать скомпрометированным.
При этом генерация нового ключа шифрования не делает старый ключ недействительным, рекомендуется вручную обновить старый ключ в app/etc/env.php до нового значения, а не удалять его.
Индикаторы компрометации и дополнительные меры по защите - в блоге SanSec.
Критическая уязвимость с CVSS: 9,8 была исправлена в начале июня и затрагивает примерно три четверти всех магазинов Magento и Adobe Commerce.
Поскольку CosmicSting позволяет злоумышленникам считать любой файл, злоумышленники могут выкрасть секретный ключ шифрования Magento, который позволяет генерировать JSON Web Tokens с полным административным доступом к API.
Несмотря на отсутствие технического описания CosmicSting (CVE-2024-34102) в бюллетене Adobe, злоумышленники смогли разработать эффективные методы для атак и теперь пачками взламывают Интернет-магазины.
Исследователи SanSec сообщают, что атаки с использованием этой ошибки начались в конце июня и теперь перешли в фазе массовой эксплуатации.
Так, каждый час взламывается от трех до пяти магазинов, включая и крупные бренды.
Как и сообщалось ранее, клиентам крайне важно обновиться или применить официальное изолированное исправление.
Однако на данном этапе простого исправления CosmicSting, скорее всего, будет недостаточно.
Украденный ключ шифрования по-прежнему позволяет злоумышленникам генерировать веб-токены даже после обновления, так что ключ шифрования следует по умолчанию считать скомпрометированным.
При этом генерация нового ключа шифрования не делает старый ключ недействительным, рекомендуется вручную обновить старый ключ в app/etc/env.php до нового значения, а не удалять его.
Индикаторы компрометации и дополнительные меры по защите - в блоге SanSec.
Telegram
SecAtor
Исследователи Sansec предупреждают о критической уязвимости CosmicSting, которая затрагивает почти 75% сайтов, использующих Adobe Commerce и Magento.
Несмотря на выпуск экстренных исправлений, спустя девять дней ситуация не меняется в лучшую сторону: миллионы…
Несмотря на выпуск экстренных исправлений, спустя девять дней ситуация не меняется в лучшую сторону: миллионы…
Весьма ожидаемым образом завершилась эпопея с инцидентом в CDK Global, которую в июне этого настигла банда вымогателей BlackSuit.
Атака с использованием ransomware тогда нарушила работу тысяч автосалонов, которые используют разрабатываемое компанией ПО для управления продажами. Сервисы были недоступны почти три недели.
Однако на прошлой неделе CDK Global уже отрапортовала, что практически все из почти 15 000 автосалонов, использующих ее ПО по всей Северной Америке, вернулись к работе с ее основной системой управления.
Безусловно, этому предшествовали переговоры с BlackSuit и, по всей видимости, результативные.
Руководство CDK Global этого никогда не признает и будет отрицать.
Тем не менее, об этом точно может сказать Крис Янчевски из TRM Labs.
Ему удалось отследить 387 биткоинов (на тот момент - 25 миллионам долларов), которые поступили 21 июня на адрес, подконтрольный BlackSuit, а спустя неделю поставщик ПО начал возвращаться к работе.
Причем криптовалютный счет, с которого был отправлен выкуп, был связан с неназванной фирмой, которая специализируется на помощи жертвам программ-вымогателей.
Кстати, аналогичным образом поступила UnitedHealth Group, выплатив выкуп в размере 22 миллионов долларов другой хакерской группировке.
Собственно, ничего нового, реальные показатели экономики ransomware в разы превышают официальную статистику, а нападения, как и ожидалось, становятся все более резонансными и разрушительными, придавая все более мощные ускорения «маятнику» вымогательства.
Атака с использованием ransomware тогда нарушила работу тысяч автосалонов, которые используют разрабатываемое компанией ПО для управления продажами. Сервисы были недоступны почти три недели.
Однако на прошлой неделе CDK Global уже отрапортовала, что практически все из почти 15 000 автосалонов, использующих ее ПО по всей Северной Америке, вернулись к работе с ее основной системой управления.
Безусловно, этому предшествовали переговоры с BlackSuit и, по всей видимости, результативные.
Руководство CDK Global этого никогда не признает и будет отрицать.
Тем не менее, об этом точно может сказать Крис Янчевски из TRM Labs.
Ему удалось отследить 387 биткоинов (на тот момент - 25 миллионам долларов), которые поступили 21 июня на адрес, подконтрольный BlackSuit, а спустя неделю поставщик ПО начал возвращаться к работе.
Причем криптовалютный счет, с которого был отправлен выкуп, был связан с неназванной фирмой, которая специализируется на помощи жертвам программ-вымогателей.
Кстати, аналогичным образом поступила UnitedHealth Group, выплатив выкуп в размере 22 миллионов долларов другой хакерской группировке.
Собственно, ничего нового, реальные показатели экономики ransomware в разы превышают официальную статистику, а нападения, как и ожидалось, становятся все более резонансными и разрушительными, придавая все более мощные ускорения «маятнику» вымогательства.
CNN
How did the auto dealer outage end? CDK almost certainly paid a $25 million ransom
CDK Global, a software firm serving car dealerships across the US that was roiled by a cyberattack last month, appears to have paid a $25 million ransom to the hackers, multiple sources familiar with the matter told CNN.
Исследователь Эван Икеда опубликовал подробности и PoC для уязвимости SSRF без аутентификации на сервере Havoc C2.
Havoc C2 — это современная и гибкая структура управления и контроля на этапе постэксплуатации, нацеленная на системы Windows, используемые как red teamers, так и злоумышленниками для размещения С2.
При аудите кодовой базы удалось обнаружить уязвимость, при которой неаутентифицированные злоумышленники могли создать TCP-сокет на teamserver с произвольным IP/портом, слить слить исходный IP-адрес teamserver, читать и записывать трафик через сокет.
Havoc C2 — это современная и гибкая структура управления и контроля на этапе постэксплуатации, нацеленная на системы Windows, используемые как red teamers, так и злоумышленниками для размещения С2.
При аудите кодовой базы удалось обнаружить уязвимость, при которой неаутентифицированные злоумышленники могли создать TCP-сокет на teamserver с произвольным IP/портом, слить слить исходный IP-адрес teamserver, читать и записывать трафик через сокет.
This media is not supported in your browser
VIEW IN TELEGRAM
Когда хакеры залезли в твою сеть, но ты в ответ распотрошил их С2
Forwarded from Social Engineering
• Запретный плод сладок, не так ли? Иногда интересно погрузиться в историю вещей и узнать (а может и вспомнить) нечто интересное и увлекательное! На протяжении 8 лет я наблюдал за различными тематическими форумами, где царила своя атмосфера и продавался материал для реализации СКАМ схем.
• Если Вы хотите ощутить ностальгию или просто узнать, как зарождался скам, то рекомендую ознакомиться с материалом по ссылкам ниже. Эксперты F.A.C.C.T. описывают множество популярных схем, инфраструктуру скамеров, инструменты и даже маркетинг... Материал разделен на 3 части:
- Первая часть включает в себя описание самых популярных схем 2016-2018 года: "антикино", "мамонт", схемы с фишингом Steam и т.д.
- Во второй части обзора о развитии криминальной скаминдустрии проанализированы события 2018 - 2022 г. Эксперты подробно рассказывают об автоматизации инструментов, возрастающей роли Telegram-ботов, мировой экспансии схемы «Мамонт» и развитии скамерской субкультуры.
- В заключительной части описана инфраструктура скамеров, их «платежные сервисы» и практики маркетинга, которые по итогу своей эволюции заняли самое козырное место в киберпреступной иерархии.
• В дополнение: Охота на «Мамонта»: жизнь скамера и дорога на запад.
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
Исследователи Trend Micro сообщают об активности APT Void Banshee, связанной с использованием уязвимости Microsoft MHTML в качестве нуля для распространения Atlantida Stealer.
Задействование CVE-2024-38112 в многоэтапной цепочки атак с использованием специально созданных файлов интернет-ярлыков (URL) впервые было замечено к середине мая 2024 года наряду с другими сценариями кампаний Atlantida.
Причем ранее аналогичную кампанию по распространению инфостиллера с использованием того же недостатка фиксировали в Check Point.
Сама CVE-2024-38112 была исправлена Microsoft в рамках обновлений Patch Tuesday на прошлой неделе. Проблема описывается как уязвимость спуфинга (по данным ZDI - это RCE) в движке браузера MSHTML (он же Trident), используемом в Internet Explorer.
Цепочки атак включают использование фишинговых писем, в которые встроены ссылки на файлы ZIP-архивов, размещенные на файлообменниках, которые содержат URL-файлы, использующие уязвимость CVE-2024-38112 для перенаправления жертвы на взломанный сайт, на котором размещено вредоносное HTML-приложение (HTA).
Открытие файла HTA приводит к выполнению скрипта Visual Basic (VBS), который, в свою очередь, загружает и запускает скрипт PowerShell, отвечающий за извлечение загрузчика трояна .NET, который в конечном итоге реализует проект шеллкода Donut для расшифровки и выполнения Atlantida внутри памяти процесса RegAsm.exe.
Atlantida, созданная по образцу программ открытым исходным кодом NecroStealer и PredatorTheStealer, предназначена для извлечения файлов, производства снимков экрана, снятия геолокации и кражи конфиденциальных данных из браузеров и других приложений, включая Telegram, Steam, FileZilla, а также криптокошельков.
Таким образом, используя специально созданные URL-файлы, содержащие обработчик протокола MHTML и директиву x-usc!, Void Banshee могла получать доступ к файлам HTML-приложений (HTA) и запускать их напрямую через отключенный процесс IE.
Этот метод аналогичен CVE-2021-40444, другой уязвимости MSHTML, которая также использовалась в атаках в качестве 0-day.
Про Void Banshee известно немногое, кроме того, что группа успела успешно атаковать регионы Северной Америки, Европы и Юго-Восточной Азии с целью кражи информации и получения финансовой выгоды.
Задействование CVE-2024-38112 в многоэтапной цепочки атак с использованием специально созданных файлов интернет-ярлыков (URL) впервые было замечено к середине мая 2024 года наряду с другими сценариями кампаний Atlantida.
Причем ранее аналогичную кампанию по распространению инфостиллера с использованием того же недостатка фиксировали в Check Point.
Сама CVE-2024-38112 была исправлена Microsoft в рамках обновлений Patch Tuesday на прошлой неделе. Проблема описывается как уязвимость спуфинга (по данным ZDI - это RCE) в движке браузера MSHTML (он же Trident), используемом в Internet Explorer.
Цепочки атак включают использование фишинговых писем, в которые встроены ссылки на файлы ZIP-архивов, размещенные на файлообменниках, которые содержат URL-файлы, использующие уязвимость CVE-2024-38112 для перенаправления жертвы на взломанный сайт, на котором размещено вредоносное HTML-приложение (HTA).
Открытие файла HTA приводит к выполнению скрипта Visual Basic (VBS), который, в свою очередь, загружает и запускает скрипт PowerShell, отвечающий за извлечение загрузчика трояна .NET, который в конечном итоге реализует проект шеллкода Donut для расшифровки и выполнения Atlantida внутри памяти процесса RegAsm.exe.
Atlantida, созданная по образцу программ открытым исходным кодом NecroStealer и PredatorTheStealer, предназначена для извлечения файлов, производства снимков экрана, снятия геолокации и кражи конфиденциальных данных из браузеров и других приложений, включая Telegram, Steam, FileZilla, а также криптокошельков.
Таким образом, используя специально созданные URL-файлы, содержащие обработчик протокола MHTML и директиву x-usc!, Void Banshee могла получать доступ к файлам HTML-приложений (HTA) и запускать их напрямую через отключенный процесс IE.
Этот метод аналогичен CVE-2021-40444, другой уязвимости MSHTML, которая также использовалась в атаках в качестве 0-day.
Про Void Banshee известно немногое, кроме того, что группа успела успешно атаковать регионы Северной Америки, Европы и Юго-Восточной Азии с целью кражи информации и получения финансовой выгоды.
Trend Micro
CVE-2024-38112: Void Banshee Targets Windows Users Through Zombie Internet Explorer in Zero-Day Attacks
Our threat hunters discovered CVE-2024-38112, which was used as a zero-day by APT group Void Banshee, to access and execute files through the disabled Internet Explorer using MSHTML. We promptly identified and reported this zero-day vulnerability to Microsoft…
Исправленная в начале этого месяца критическая CVE-2024-36401 (оценка CVSS: 9,8) в программном обеспечении GeoServer GeoTools эксплуатируется в дикой природе.
GeoServer - это ПО с открытым исходным кодом, написанное на Java, позволяющее пользователям обмениваться и редактировать геопространственные данные. Это эталонная реализация стандартов Open Geospatial Consortium (OGC) Web Feature Service (WFS) и Web Coverage Service (WCS).
Уязвимость связана с удаленным выполнением кода, которое может быть реализован с помощью специально созданного ввода. Раскрытие приписывается исследователю Стиву Икеоке. Недостаток был устранен в версиях 2.23.6, 2.24.4 и 2.25.2.
Несколько параметров запроса OGC допускают удаленное выполнение кода (RCE) неаутентифицированными пользователями посредством специально созданного ввода в отношении установки GeoServe по умолчанию из-за небезопасной оценки имен свойств как выражений XPath.
В настоящее время пока неясно, как именно уязвимость эксплуатируется в реальных условиях.
GeoServer при этом отметила, что «подтверждено, что проблема может быть использована через запросы WFS GetFeature, WFS GetPropertyValue, WMS GetMap, WMS GetFeatureInfo, WMS GetLegendGraphic и WPS Execute.
Кроме того, разработчики также исправили еще одну критическую уязвимость (CVE-2024-36404, оценка CVSS: 9,8), которая также могла привести к RCE, если приложение использует определенные функции GeoTools для оценки выражений XPath, предоставленных пользовательским вводом. Она была устранена в версиях 29.6, 30.4 и 31.2.
В связи с активным злоупотреблением CVE-2024-36401 пользователям настоятельно рекомендуется как можно скорее применить исправления, предоставленные поставщиком.
GeoServer - это ПО с открытым исходным кодом, написанное на Java, позволяющее пользователям обмениваться и редактировать геопространственные данные. Это эталонная реализация стандартов Open Geospatial Consortium (OGC) Web Feature Service (WFS) и Web Coverage Service (WCS).
Уязвимость связана с удаленным выполнением кода, которое может быть реализован с помощью специально созданного ввода. Раскрытие приписывается исследователю Стиву Икеоке. Недостаток был устранен в версиях 2.23.6, 2.24.4 и 2.25.2.
Несколько параметров запроса OGC допускают удаленное выполнение кода (RCE) неаутентифицированными пользователями посредством специально созданного ввода в отношении установки GeoServe по умолчанию из-за небезопасной оценки имен свойств как выражений XPath.
В настоящее время пока неясно, как именно уязвимость эксплуатируется в реальных условиях.
GeoServer при этом отметила, что «подтверждено, что проблема может быть использована через запросы WFS GetFeature, WFS GetPropertyValue, WMS GetMap, WMS GetFeatureInfo, WMS GetLegendGraphic и WPS Execute.
Кроме того, разработчики также исправили еще одну критическую уязвимость (CVE-2024-36404, оценка CVSS: 9,8), которая также могла привести к RCE, если приложение использует определенные функции GeoTools для оценки выражений XPath, предоставленных пользовательским вводом. Она была устранена в версиях 29.6, 30.4 и 31.2.
В связи с активным злоупотреблением CVE-2024-36401 пользователям настоятельно рекомендуется как можно скорее применить исправления, предоставленные поставщиком.
GitHub
Remote Code Execution (RCE) vulnerability in evaluating property name expressions
### Summary
Multiple OGC request parameters allow Remote Code Execution (RCE) by unauthenticated users through specially crafted input against a default GeoServer installation due to unsafely eval...
Multiple OGC request parameters allow Remote Code Execution (RCE) by unauthenticated users through specially crafted input against a default GeoServer installation due to unsafely eval...
Исследователи Check Point и Sekoia выкатили независимые отчеты в отношении новой кампании иранской APT MuddyWater, которая перешла на ранее недокументированный бэкдор BugSleep (или MuddyRot) в ходе последних замеченных атак.
Как отметила Sekoia, по сравнению с предыдущими кампаниями, на этот раз MuddyWater изменили свою цепочку заражения и не полагались на инструменты RRM Atera Agent, RemoteUtilities, ScreenConnect, SimpleHelp и Syncro, вместо этого задействовали новый имплант.
Хотя еще в апреле HarfangLab фиксировала всплеск активности MuddyWater с использованием Atera Agent с конца октября 2023 года, нацеленной на компании в Израиле, Индии, Алжире, Турции, Италии и Египте. Целевые сектора - авиа, ИТ-компании, телеком, фармацевтика, автомобилестроение, логистика и туризм.
MuddyWater уделяет первостепенное внимание получению доступа к корпоративным адресам электронной почты. Взломанные учетные записи позволяют повысить эффективность фишинговых атак, закрепиться в целевых организациях и избежать обнаружения, сливаясь с легитимным сетевым трафиком.
Некоторые новые элементы кампании также были впервые представлены израильской ClearSky еще 9 июня 2024 года. Целями кампании стали такие страны, как Турция, Азербайджан, Иордания, Саудовская Аравия, Израиль и Португалия.
Последние цепочки атак ничем не отличаются от других, взломанная почта используются для отправки фишинговых сообщений. Письма перенаправляют цели в архивы, содержащие вредоносные полезные нагрузки, размещенные на защищенной платформе обмена файлами Egnyte.
BugSleep (MuddyRot) - это x64-имплант, разработанный на языке C, который оснащен возможностями загрузки/выгрузки произвольных файлов на/с скомпрометированного хоста, запуска обратной оболочки и обеспечения сохранения. Связь с C2 осуществляется через TCP-сокет на порту 443.
Причем обнаружено несколько версий распространяемого вредоносного ПО, различия между версиями показывают улучшения и исправления ошибок.
Некоторые из них также поставляются с загрузчиком вредоносного ПО, разработанным для внедрения в активные процессы ряда приложений, включая Microsoft Edge, Google Chrome, AnyDesk, Microsoft OneDrive, PowerShell и Opera.
Пока неясно, почему MuddyWater перешла на использование специального имплантата, возможно это объясняется усиленным контролем за инструментами RMM со стороны поставщиков безопасности.
Наблюдаемые последовательные фишинговые кампании, включающие теперь специальный бэкдор BugSleep, знаменует собой заметное развитие их TTP группировки.
Как отметила Sekoia, по сравнению с предыдущими кампаниями, на этот раз MuddyWater изменили свою цепочку заражения и не полагались на инструменты RRM Atera Agent, RemoteUtilities, ScreenConnect, SimpleHelp и Syncro, вместо этого задействовали новый имплант.
Хотя еще в апреле HarfangLab фиксировала всплеск активности MuddyWater с использованием Atera Agent с конца октября 2023 года, нацеленной на компании в Израиле, Индии, Алжире, Турции, Италии и Египте. Целевые сектора - авиа, ИТ-компании, телеком, фармацевтика, автомобилестроение, логистика и туризм.
MuddyWater уделяет первостепенное внимание получению доступа к корпоративным адресам электронной почты. Взломанные учетные записи позволяют повысить эффективность фишинговых атак, закрепиться в целевых организациях и избежать обнаружения, сливаясь с легитимным сетевым трафиком.
Некоторые новые элементы кампании также были впервые представлены израильской ClearSky еще 9 июня 2024 года. Целями кампании стали такие страны, как Турция, Азербайджан, Иордания, Саудовская Аравия, Израиль и Португалия.
Последние цепочки атак ничем не отличаются от других, взломанная почта используются для отправки фишинговых сообщений. Письма перенаправляют цели в архивы, содержащие вредоносные полезные нагрузки, размещенные на защищенной платформе обмена файлами Egnyte.
BugSleep (MuddyRot) - это x64-имплант, разработанный на языке C, который оснащен возможностями загрузки/выгрузки произвольных файлов на/с скомпрометированного хоста, запуска обратной оболочки и обеспечения сохранения. Связь с C2 осуществляется через TCP-сокет на порту 443.
Причем обнаружено несколько версий распространяемого вредоносного ПО, различия между версиями показывают улучшения и исправления ошибок.
Некоторые из них также поставляются с загрузчиком вредоносного ПО, разработанным для внедрения в активные процессы ряда приложений, включая Microsoft Edge, Google Chrome, AnyDesk, Microsoft OneDrive, PowerShell и Opera.
Пока неясно, почему MuddyWater перешла на использование специального имплантата, возможно это объясняется усиленным контролем за инструментами RMM со стороны поставщиков безопасности.
Наблюдаемые последовательные фишинговые кампании, включающие теперь специальный бэкдор BugSleep, знаменует собой заметное развитие их TTP группировки.
Sekoia.io Blog
MuddyWater replaces Atera by custom MuddyRot implant in a recent campaign
Find out how MuddyWater have changed their infection chain and employed a new implant dubbed "MuddyRot" by Sekoia TDR analysts.
По эксплойтам и уязвимостям сегодня кучно.
Команда WPScan обнаружила серьезную уязвимость в популярном плагине WordPress под названием Profile Builder и Profile Builder Pro.
Она позволяет злоумышленникам получить доступ администратора без наличия какой-либо учетной записи на сайте. Уязвимость получила оценку серьезности 9,8/10.
Claroty опубликовала более подробную техническую информацию по уязвимости в IP-камерах Synology BC500, которую можно использовать для переключения с WAN на внутренние LAN.
Ошибка использовалась на хакерском конкурсе Pwn2Own Toronto в прошлом году и была исправлена в июне этого года.
Тем временем, злоумышленники уже активно используют недавно исправленную уязвимость для захвата серверов баз данных Apache HugeGraph.
Уязвимость, отслеживаемая как CVE-2024-27348, получила рейтинг серьезности 9,8/10 и была исправлена в апреле.
Атаки начались через месяц после того, как исследователи опубликовали скрипт сканирования и PoC на GitHub.
Исследователь Нгуен Джанг опубликовал подтверждения концепции для трех ошибок удаленного выполнения кода Microsoft SharePoint (CVE-2024-38023, CVE-2024-38024 и CVE-2024-38094).
Sonicwall втайне исправила серьезную уязвимость в своих устройствах SMA100.
Платформа SSD заявляет, что устройства SMA100 содержали уязвимость в функции под названием Classic Mode, которая могла быть использована для RCE-атак на аутентифицированных пользователей.
Исследователи утверждают, что Sonicwall удалила Classic Mode с устройств SMA100 в ноябре прошлого года, не сообщив о возможной угрозе.
При этот Sonicwall не включила удаление в примечания к исправлению, не назначила CVE для ошибки и не предупредила клиентов, все еще использующих старую прошивку.
Теперь же SSD выкатила описание и код эксплойта.
Команда WPScan обнаружила серьезную уязвимость в популярном плагине WordPress под названием Profile Builder и Profile Builder Pro.
Она позволяет злоумышленникам получить доступ администратора без наличия какой-либо учетной записи на сайте. Уязвимость получила оценку серьезности 9,8/10.
Claroty опубликовала более подробную техническую информацию по уязвимости в IP-камерах Synology BC500, которую можно использовать для переключения с WAN на внутренние LAN.
Ошибка использовалась на хакерском конкурсе Pwn2Own Toronto в прошлом году и была исправлена в июне этого года.
Тем временем, злоумышленники уже активно используют недавно исправленную уязвимость для захвата серверов баз данных Apache HugeGraph.
Уязвимость, отслеживаемая как CVE-2024-27348, получила рейтинг серьезности 9,8/10 и была исправлена в апреле.
Атаки начались через месяц после того, как исследователи опубликовали скрипт сканирования и PoC на GitHub.
Исследователь Нгуен Джанг опубликовал подтверждения концепции для трех ошибок удаленного выполнения кода Microsoft SharePoint (CVE-2024-38023, CVE-2024-38024 и CVE-2024-38094).
Sonicwall втайне исправила серьезную уязвимость в своих устройствах SMA100.
Платформа SSD заявляет, что устройства SMA100 содержали уязвимость в функции под названием Classic Mode, которая могла быть использована для RCE-атак на аутентифицированных пользователей.
Исследователи утверждают, что Sonicwall удалила Classic Mode с устройств SMA100 в ноябре прошлого года, не сообщив о возможной угрозе.
При этот Sonicwall не включила удаление в примечания к исправлению, не назначила CVE для ошибки и не предупредила клиентов, все еще использующих старую прошивку.
Теперь же SSD выкатила описание и код эксплойта.
WPScan
Unauthenticated Privilege Escalation in Profile-Builder plugin
During a routine audit of various WordPress plugins, we identified some issues in Profile Builder and Profile Builder Pro (50k+ active installs). We discovered an Unauthenticated Privilege Escalati…
Исследователи из Recorded Future сообщают о новой APT, задействующей инструментов с открытым исходным кодом и нацеленной на устройства с выходом в Интернет для проведения операций по кибершпионажу.
Группа отслеживается как TAG-100 и фокусирует на широком спектре сетевого оборудования, включая Citrix NetScaler, F5 BIG-IP, Zimbra, Microsoft Exchange, SonicWall, Cisco ASA, Palo Alto Networks GlobalProtect и Fortinet FortiGate.
Как отмечают Recorded Future, к настоящему времени APT успешно скомпрометировала организации по меньшей мере в десяти странах, включая две межправительственные организации Азиатско-Тихоокеанского региона.
По крайней мере, с февраля 2024 года Insikt Group выявила вероятные организации-жертвы в Камбодже, Джибути, Доминикане, Фиджи, Индонезии, Нидерландах, Тайване, Великобритании, США.
Кроме того, TAG-100 проводила разведывательно-эксплуатационную деятельность, направленную на широкий спектр устройств с выходом в Интернет, принадлежащие организациям как минимум в пятнадцати странах, включая Кубу, Францию, Италию, Японию и Малайзию.
Среди жертв отраслевые торговые ассоциации, правительственные, межправительственные, дипломатические, политические, полупроводниковая отрасль, а также некоммерческие и религиозные организации.
Помимо использования общедоступных эксплойтов, APT также использовала множество открытых инструментов на этапе постэксплуатации, нацеленных на несколько операционных систем, включая Pantegana, SparkRAT, LESLIELOADER, Cobalt Strike и CrossC2.
Причем после выпуска PoC-эксплойта для уязвимости брандмауэра Palo Alto Networks GlobalProtect CVE-2024-3400 TAG-100 оперативно провела разведку и предприняла попытку эксплуатации уязвимости против десятков организаций, базирующихся в США.
Несмотря на то, что атрибутировать активность TAG-100 на основании имеющихся артефактов не представилось возможным, таргетинг, по мнению исследователей, указывают на принадлежность группы к китайской стороне.
Но, это базируется лишь на кофейной гуще. Так что будем посмотреть.
Группа отслеживается как TAG-100 и фокусирует на широком спектре сетевого оборудования, включая Citrix NetScaler, F5 BIG-IP, Zimbra, Microsoft Exchange, SonicWall, Cisco ASA, Palo Alto Networks GlobalProtect и Fortinet FortiGate.
Как отмечают Recorded Future, к настоящему времени APT успешно скомпрометировала организации по меньшей мере в десяти странах, включая две межправительственные организации Азиатско-Тихоокеанского региона.
По крайней мере, с февраля 2024 года Insikt Group выявила вероятные организации-жертвы в Камбодже, Джибути, Доминикане, Фиджи, Индонезии, Нидерландах, Тайване, Великобритании, США.
Кроме того, TAG-100 проводила разведывательно-эксплуатационную деятельность, направленную на широкий спектр устройств с выходом в Интернет, принадлежащие организациям как минимум в пятнадцати странах, включая Кубу, Францию, Италию, Японию и Малайзию.
Среди жертв отраслевые торговые ассоциации, правительственные, межправительственные, дипломатические, политические, полупроводниковая отрасль, а также некоммерческие и религиозные организации.
Помимо использования общедоступных эксплойтов, APT также использовала множество открытых инструментов на этапе постэксплуатации, нацеленных на несколько операционных систем, включая Pantegana, SparkRAT, LESLIELOADER, Cobalt Strike и CrossC2.
Причем после выпуска PoC-эксплойта для уязвимости брандмауэра Palo Alto Networks GlobalProtect CVE-2024-3400 TAG-100 оперативно провела разведку и предприняла попытку эксплуатации уязвимости против десятков организаций, базирующихся в США.
Несмотря на то, что атрибутировать активность TAG-100 на основании имеющихся артефактов не представилось возможным, таргетинг, по мнению исследователей, указывают на принадлежность группы к китайской стороне.
Но, это базируется лишь на кофейной гуще. Так что будем посмотреть.
Recordedfuture
TAG-100 Uses Open-Source Tools in Suspected Global Espionage Campaign, Compromising Two Asia-Pacific Intergovernmental Bodies |…
TAG-100 uses open-source tools for espionage, targeting Asia-Pacific intergovernmental bodies. Discover their tactics and targets.