Продолжаем отслеживать наиболее трендовые уязвимости и связанные с ними угрозы.

На этот раз расклад такой:

1. Как мы и предполагали, данные с телеметрии Shadowserver Foundation свидетельствуют об активных атакам на две уязвимости, раскрытых на этой неделе и затрагивающих устройства D-Link NAS и Citrix Virtual Apps and Desktops.

2. Кроме того, Palo Alto Networks подтвердила, что 0-day используется в атаках после расследования распространявшихся слухов об уязвимости брандмауэра, позволяющей удаленно выполнять код.

При этом до сих пор неясно, как уязвимость была обнаружена, кто ею воспользовался и кто стал целью атак. Уязвимости пока не присвоен идентификатор CVE, но ее рейтинг CVSS составляет 9,3. Пока же Palo Alto работает над исправлениями и сигнатурами для детекции.

3. Позитивы продолжают знакомить с аналитикой по наиболее значимым уязвимостям, которые либо уже эксплуатируются вживую, либо будут эксплуатироваться в ближайшее время.

В ТОПе за октябрь: EoP в Windows Kernel Streaming (CVE-2024-30090), EoP в драйвере ядра Windows (CVE-2024-35250), ошибка в движке для обработки и отображения HTML-страниц платформы Windows MSHTML (CVE-2024-43573), а также RCE в XWiki (CVE-2024-31982).

Кроме того, не можем не отметить CVE-2024-43629 с CVSS 7,8, приводящую к EoP, которую Microsoft исправила в текущем PatchTuesday благодаря результатам исследования специалистов Positive Technologies.

4. watchTowr Labs обнаружила новую уязвимость EoP, которая может быть использована с уязвимостью Fortinet FortiManager FortiJump, получившую по итогу название FortiJump Higher.

5. Исследователи Varonis обнаружили уязвимость в расширении языка Perl базы данных PostgreSQL.

Она отслеживается как CVE-2024-10979 и позволяет неаутентифицированным акторам изменять конфиденциальные переменные среды.

Varonis утверждает, что уязвимость может быть использована для атак выполнения кода на базовую ОС или выполнения запросов к базе данных.

6. База KEV CISA пополнилась семью уязвимостями, которые в настоящее время эксплуатируются в дикой природе, включая два нуля в Windows из патча этой недели, две ошибки PAN и Metabase GeoJSON, Cisco ASA и Atlassian Jira.

А в NIST смогли лишь обновить NVD, включив информацию обо всех активно эксплуатируемых уязвимостях за этот год, но продолжая пробуксовывать с огромным бэклогом CVE, которые до сих пор не включают никаких метаданных.

Майские обещания все исправить к концу года вряд ли будут реализованы.

7. Defiant предупредила о CVE-2024-10924 (оценка CVSS 9,8) в плагине Really Simple Security для WordPress, которая может подвергнуть 4 млн. сайтов риску полной компрометации и связана с небезопасной реализацией одной из функций в 2FA.

Подкатили подробности по эксплуатируемым нулям в решениях Palo Alto Networks и Fortinet.

Первая уязвимость, затронувшая Palo Alto Networks, связана с предполагаемым эксплойтом, который был реализован на хакерском форуме Exploit еще в начале этого месяца.

Компания выпустила предупреждение о предполагаемой уязвимости 10 дней назад и теперь обновила рекомендации, подтверждая факт эксплуатации уязвимости.

Palo Alto сообщает, что 0-day - это удаленное выполнение кода до аутентификации в веб-интерфейсе управления брандмауэрами.

В связи с чем, разработчики уведомили клиентов о необходимости ограничения доступа к этой веб-панели только доверенными IP-адресами.

При этом число межсетевых экранов Palo Alto, интерфейс управления которых по-прежнему доступен в сети, варьируется от 9000 до 31 000 - в зависимости от сервисов сканирования.

Поскольку эксплойт все еще находится в привате, у пользователей брандмауэров пока еще есть небольшая фора в плане защиты своих устройств до тех пор, пока он не ушел по рукам.

Palo Alto поделилась списком IP-адресов, с которых фиксировались попытки эксплуатации уязвимости, и хэшем веб-шелла, установливаемого на скомпрометированных устройствах.

В виду того, что информация о существовании эксплойта была ограничена, в Palo Alto не смогли отреагировать должным образом и патча до сих пор нет. Возможно, на неделе что-то появится.

Вторая уязвимость затронула VPN-клиент Windows от Fortinet и была известна поставщику еще 18 июля, но по каким-то причинам разработчики до сих пор не выпустила исправлений.

Исследователи Volexity при этом обнаружили атаки, утверждая о задействовании нуля системах, которые ранее были заражены вредоносным ПО DEEPDATA.

DEEPDATA использовала ошибку для извлечения учетных данных VPN из пространства памяти FortiClient, которые затем отправлялись на С2 с помощью другого вредоносного ПО, известного как DEEPPOST.

Volexity связала штаммы вредоносного ПО и эксплуатацию FortiClient с субъектом угрозы, которого она отслеживает как BrazenBamboo, разработчика хакерских инструментов, используемых другими субъектами угрозы для кибершпионажа.

Помимо DEEPDATA и DEEPPOST, BrazenBamboo также известна тем, что стоит за разработкой вредоносного фреймворка LIGHTSPY для Android, macOS и Windows, о котором мы не так давно сообщали после выхода нового отчета BlackBerry.

И до настоящего времени ни одному, ни другому нулю не присвоены CVE.

Великое соитие жабы и гадюки

Позавчера в сети появились документы юридического противостояния META (дада, экстремизм, запрещено и порицаемо) и NSO Group и Q Cyber Technologies (авторы и операторы малвары для кибершпионажа под названием Pegasus). Дело тянется с 2019 года и сфокусировано вокруг эксплуатации WhatsApp в качестве вектора первичного заражения.

Там есть пара интересных моментов:
1. NSO продолжало эксплуатировать WhatsApp после того, как на них подали в суд. То ли "Слабоумие и отвага" то ли "А чо ты мне сделаешь, пёс?"
2. NSO использовали новый вектор атаки под названием "Erised" - по сути тот же zero-click RCE, только, судя по всему, очень хитрый. И использовали ПОСЛЕ СУДЕБНОГО ИСКА. Видимо ну очень хотелось. Считается, что Erised — один из многих подобных векторов вредоносного ПО — в совокупности с другими векторами входит в состав "Hummingbird" — которые NSO Group разработала для заражения Pegasus'ом через WhatsApp, В "Hummingbird" входят "Heaven" и "Eden" (CVE-2019-3568, использовался для заражения примерно 1400 устройств)
3. NSO зработали свои собственные WhatsApp Installation Server' ('WIS') для отладки малвары и создания инфраструктуры.
4. Вектор "Heaven" использовал поддельные сообщения, чтобы заставить сигнальные серверы WhatsApp (WhatsApp signaling servers), которые используются для аутентификации клиента (тобишь установленного приложения), направлять целевые устройства на сторонний сервер ретрансляции, контролируемый NSO Group
5. «NSO также признает, что вредоносные векторы использовались для успешной установки Pegasus на «сотни и десятки тысяч» устройств». Ну тут комментировать - только портить

Процесс еще не закончился. Надеюсь, что будет еще пачка полезной инфы, которая будет полезна.

Достигшие EoL устройства GeoVision теперь поддерживаются не поставщиком, а операторами ботнета посредством вредоносного ПО, аналогичного Mirai.

Атаки были обнаружены на прошлой неделе тайваньским CERT и нацелены на неисправленную CVE-2024-11120 в прошивке камер и видеосерверов для их взлома с целью DDoS или криптомайнинга.

Уязвимость была раскрыта Piort Kijewski из The Shadowserver Foundation.

Это критическая проблема (CVSS: 9.8) внедрения команд ОС, позволяющая неаутентифицированным злоумышленникам выполнять произвольные системные команды на устройстве.

По данным TWCERT, уязвимость затрагивает видеосерверы GV-VS11 и GV-VS12, систему распознавания номерных знаков GV-DSP LPR V3, а также видеорегистраторы GV-LX4C V2 / GV-LX4C V3.

Все перечисленные модели вышли из эксплуатации и больше не поддерживаются производителем, поэтому обновлений безопасности для них не ожидается.

По данным Shadowserver Foundation, в настоящее время около 17 000 устройств GeoVision находятся в открытом доступе и уязвимы к уязвимости CVE-2024-11120.

Большинство выявленных устройств (9100) находятся в США, далее следуют Германия (1600), Канада (800), Тайвань (800), Япония (350), Испания (300) и Франция (250).

Таким образом солидная база для реализации атаки на цепочку мудаков, чем, собственно, в киберподполье уже активно занимаются, доставляя на устройства свои кастомные обновления в виде Mirai.

Кстати, о другой назревающей атаке, связанной с критической CVE-2024-10924 (9.8 CVSS), будущими жертвами которой могут стать владельцы более 4 млн. сайтов на WordPress, мы предупреждали еще в пятницу.

Добавим, что Wordfence, публично обнародовавшая уязвимость, назвала ее одной из самых серьезных уязвимостей, выявленных за всю 12-летнюю историю.

В умелых руках позволяет получить полный административный доступ к уязвимым сайтам.

Подробно о том, почему же CVE-2024-10924 может стать настоящим кошмаром на улице WordPress, подробно рассказал Russian_OSINT.

Повторяться не будем.

Исследователи из Positive Technologies представили отчет с разбором кластера угроз, замеченного в атаках на Азиатский регион и включающего DarkHotel, APT-C-60 и APT-Q-12 (Pseudo Hunter).

В начале сентября 2024 года исследователи обнаружили подозрительный образ виртуального диска формата VHDX, который использовался для запуска цепочки атаки.

Анализ VHDX и всех связанных файлов позволил приписать ее к APT-C-60.

Документы внутри виртуального диска позволяют определить, что атака в большей степени нацелена на страны Азии, но не ограничивается только этим регионом.

Одну из последних похожих кампаний в июле 2023 года описывали эксперты компании ThreatBook. Однако при сравнении удалось выделить различия как в файловой иерархии на диске, так и в используемых командах и инструментах.

По результатам анализа наблюдавшейся атаки, исследователи выделили паттерны, схожие с техниками APT DarkHotel, впервые обнаруженной Лабораторией Касперского в 2014 году и реализующей кибершпионаж в странах Азиатско-Тихоокеанского региона.

В частности, замеченный дроппер ранее задействовался в атаке DarkHotel.

На это указывает одинаковый ключ декодирования полезной нагрузки и такое же название исполняемого файла.

При этом конечной полезной нагрузкой в атаке был троян удаленного доступа (RAT) SpyGlace, используемый группировкой APT-C-60 и описанный экспертами из ThreatBook.

В процессе анализа документов из виртуального диска был обнаружен набор метаданных, который позволил найти несколько документов от 2023 года.

Причем цепочка атаки, в которой фигурировали найденные документы, атрибутируется к южнокорейской DarkHotel.

Кроме того, специалисты QiAnXin также обнаружили схожесть цепочки атаки, отметив это своей статье от 28 августа 2024 года, в котором анализировалась атака другой группы - APT-Q-12.

Полученные соответствия позволили предположить, что группировки APT-C-60 и APT-Q-12 принадлежат кластеру DarkHotel.

Подробный технический анализ цепочки атак и выявленных взаимосвязей упомянутого кластера - в отчете.

Фффух, привидится же...😅

VMware предупреждает клиентов о начале эксплуатации критической CVE-2024-38812 в vCenter Server, которая была отнесена поставщиком к категории Hard-to-Fix.

VMware выпустила срочное обновление своего бюллетеня VMSA-2024-0019, в котором признал факт активных атак, нацеленных на CVE-2024-38812 и CVE-2024-38813, призывая клиентов отдать высокий приоритет развертыванию доступных исправлений.

Уязвимость была впервые обнаружена еще пять месяцев назад командой TZL на китайском хакерском конкурсе Matrix Cup 2024, организованном Qihoo 360 и Beijing Huayun'an Information Technology, и имеет CVSS 9,8/10.

Уязвимость описывается как переполнение кучи в реализации протокола распределенной вычислительной среды/удалённого вызова процедур (DCERPC) в vCenter Server.

Компания VMware отметила, что злоумышленник, имеющий сетевой доступ к vCenter Server, может активировать эту уязвимость, отправив специально созданный сетевой пакет, потенциально приводящий к RCE.

На протяжении четырех месяцев компания предпринимала попытки исправить опасную ошибку.

KТак, как признались в VMware, исправления 17 сентября 2024 года не в полной мере смогли закрыть влияние CVE-2024-38812.

Гигант виртуализации устранил уязвимости, выпустив: vCenter Server 8.0 U3b и 7.0 U3s, VMware Cloud Foundation 5.x (Исправлено в 8.0 U3b) и VMware Cloud Foundation 4.x (исправлено в 7.0 U3s).

До настоящего времени VMware не предоставила никаких дополнительных сведений о наблюдаемых случаях эксплуатации или IoC.

Наконец-то отреагировали и в Palo Alto, представив долгожданные исправления для 0-day в брандмауэре, использованную в ходе кампании, получившей наименование Operation Lunar Peek.

В атаках были использованы две уязвимости PAN-OS, нацеленные на ограниченное количество веб-интерфейсов управления, которые подвергаются воздействию извне с анонимных VPN-сервисов.

Один из нулей теперь отслеживается как CVE-2024-0012, представляя собой критическую уязвимость обхода аутентификации, которая позволяет неавторизованному злоумышленнику, имеющему доступ к интерфейсу управления PAN-OS, получить права администратора.

Злоумышленник может выполнять административные действия, вмешиваться в конфигурацию или использовать другие уязвимости аутентифицированного повышения привилегий, такие как CVE-2024-9474.

CVE-2024-9474 - вторая 0-day, которая описывается как проблема повышения привилегий средней степени серьезности, которая позволяет злоумышленнику, имеющему права администратора, получить права root на брандмауэре.

Уязвимости были исправлены с выпуском обновлений для PAN-OS 11.2, 11.1, 11.0, 10.2 и 10.1.

По части эксплуатации Palo Alto не поделилась никакой информацией о субъекте угрозы.

Но выкатила IoCs, включая IP-адреса и хэш, связанный с полезной нагрузкой PHP-веб-шелла, сброшенной на взломанные брандмауэры.

Исследователи из Лаборатории Касперского приоткрыли ширму угроз в космосе, которые на самом деле имеют вполне земное происхождение и связаны с безопасностью глобальных навигационных спутниковых систем (GNSS).

В настоящее время в эксплуатации находятся несколько GNSS, запущенных разными странами: GPS (США), ГЛОНАСС (Россия), Galileo (ЕС), BeiDou Navigation Satellite System (BDS, Китай), Navigation with Indian Constellation (NavIC, Индия) и Quazi-Zenith Satellite System (QZSS, Япония).

Все они используются для позиционирования, навигации и синхронизации (PNT) в широком спектре отраслей: сельском хозяйстве, финансовом секторе, транспорте, связи и др.

В работе GNSS задействованы три основных сегмента: вращающиеся вокруг Земли на высоте 19 000–36 000 км. спутники, сегмент управления (наземные станции управления, мониторинга и загрузки данных) и различное пользовательское оборудование.

Как станции мониторинга, так и пользовательские устройства оснащены приемниками GNSS.

Доступ к этим приемникам можно получить через интерфейс управления, который позволяет производить управление.

Существует несколько способов, которыми злоумышленник может помешать работе GNSS.

Одним из таких векторов является эксплуатация наземных приемников GNSS, которые доступны через Интернет и уязвимы для известных или пока еще неизвестных уязвимостей. 

При этом их безопасность имеет ключевое значение, поскольку неправомерный доступ к ним может представлять значительную угрозу, учитывая их задействование в обеспечении критически важных операций (например, управление воздушным движением и морскую навигацию).

Собственно, основной фокус исследования ЛК - анализ актуального состояния безопасности приемников GNSS в 2024 году.

И не зря, поскольку в 2023 году уже фиксировался ряд атак на приемники со стороны групп хактивистов.

Так, в мае того года SiegedSec доступ к спутниковым приемникам в Колумбии в ответ на арест хакера властями, а позже атаковала устройства, принадлежащие организациям в США, заявляя также о получении доступа к спутниковым приемникам в Румынии.

Другим примером подобных атак можно считать атаки GhostSec, нацеленные на многочисленные приемники GNSS в разных странах, включая Россию и Израиль.

В некоторых из атак они, как утверждалось, не только получили доступ, но и стерли данные со скомпрометированных спутниковых приемников, что иллюстрирует возможный ущерб от таких инцидентов.

Как показали результаты исследования, по состоянию на ноябрь 2024 года все еще остается более 4100 уязвимых устройств, которые могут быть использованы злоумышленниками.

География угроз показывает, что на первое место в антирейтинге по степени уязвимости вышел Эквадор, Германия переместилась на второе место, США уверенно занимает третье.

При этом Иран поднялся сразу на 4 позицию, за ним следуют КНР, Бразилия, Япония, Индия, Норвегия и Канада, а Чехия и Россия покинули ТОП-10.

Обзор всех статистических показателей с динамикой развития и основными характеристиками угроз, начиная с 2023 года, - отчете.

Исследователи BlackBerry сообщают об обнаружении сложной целевой атаки на ВМС Пакистана, проводимой с сентября 2024 года и имеющей взаимосвязи с более ранними кампаниями кибершпионажа, которые датируются серединой 2023 года.

При этом отмечается стратегический и тщательно продуманный подход, передовые методы, разведку и скрытные инструменты для сбора учетных данных и извлечения конфиденциальной информации, что убедительно свидетельствует об устремлениях неизвестной APT к морской тематике в регионе.

Замеченная атака начиналась с PDF-документ, который был разработан как внутренняя ИТ-памятка ВМС Пакистана, содержащая инструкции по интеграции Axigen Thunderbird для безопасной электронной переписки.

Помимо приманки документ содержал встроенный на первый взгляд легитимный URL-адрес ВМС Пакистана (на самом деле c тайпскоттингом), используемый для получения требуемых файлов, а целевые пользователи направляются для их загрузки и установки.

Отсылаемый ресурс содержит код для проверки наличия в целевой среде активного JavaScript, прежде чем пользователь начнет взаимодействовать с вредоносным расширением Thunderbird, упакованным в ZIP-файл (Axigen_Thunderbird.zip).

При этом злоумышленник, скорее всего, заранее знал об использовании ВМС Пакистана почтовых серверов Axigen и Thunderbird в качестве почтового клиента и создал максимально адаптированное пользовательское руководство Axigen для установки вредоносного расширения.

В случае установки вредоносного расширения в свой почтовый клиент Thunderbird, отображается форму входа, разработанную специально под адреса электронной почты paknavy.gov.pk, которая вводит жертву в заблуждение, заставляя вводить учетные данные своей электронки.

После слива кредов на удаленный сервер в зависимости от того, какая ОС идентифицирована на устройстве жертвы, C2 злоумышленника отвечает, возвращая соответствующий ZIP-файл с названием Mail_Files.zip.

Причем только на момент исследования только ОС Windows вернула фактическую полезную нагрузку, предназначенную для дальнейшей эксплуатации, в качестве которой использовался очень скрытный и эффективный инфостилер, названный Cyfirma как Sync-Scheduler.

Впервые он был задокументирован в марте 2024 года, хотя есть и более ранние образцы, которые, судя по временным меткам компиляции, относятся как минимум к середине 2023 года.

Основной функционал Sync-Schedler, остался в значительной степени неизменным с предыдущих итераций, изученных Cyfirma.

Одним из наиболее эффективных методов уклонения от анализа является использование блоков зашифрованных данных, которые расшифровываются динамически только во время выполнения, путем создания нескольких последовательных запланированных задач.

Основная цель Sync-Scheduler — поиск документов определенных распространенных типов, сбор их в одном месте и подготовка к эксфильтрации, которая реализуется с помощью алгоритма Tiny Encryption Algorithm (TEA) перед его экспортом в packageupdates[.]net.

По части атрибуции все неоднозначно.

Ряд наблюдаемых TTPs имеют явные совпадения с ранее задокументированной кампанией, проводимой в отношении китайских организаций, которая приписывается индийской SideWinder.

С другой стороны, BlackBerry заметила много элементов в этой кампании, которые, совпадают с предыдущими операциями Bitter APT, специализирующейся на кибершпионаже в Южной Азии, включая Китай, Пакистан и Бангладеш.

IoCs, Yara Rules и MITRE ATT&CK - в отчете.

Тем временем, пока индийские APT пытаются подобраться к ВМС Пакистана, в киберподполье уже успели выпотрошить системы, принадлежащие пакистанской Межведомственной разведке (ISI).

Потенциальная серьезная утечка раскрывает конфиденциальную информацию ISI, представляя критические риски для национальной безопасности, поскольку содержимое может включать и засекреченные данные ведомства.

Apple выпустила экстренные обновления безопасности для исправления двух 0-day, которые использовались при атаках на системы Mac на базе Intel.

Две ошибки были обнаружены в компонентах macOS Sequoia JavaScriptCore (CVE-2024-44308) и WebKit (CVE-2024-44309).

Первая в JavaScriptCore CVE-2024-44308 позволяет злоумышленникам осуществлять RCE через вредоносный веб-контент, а другая, CVE-2024-44309, - проводить атаки с использованием межсайтового скриптинга (CSS).

Компания заявляет, что устранила уязвимости безопасности в macOS Sequoia 15.1.1.

Поскольку те же компоненты присутствуют и в других операционных системах Apple, проблема также была исправлена в iOS 17.7.2 и iPadOS 17.7.2, iOS 18.1.1 и iPadOS 18.1.1, а также visionOS 2.1.1.

Относительно эксплуатации можно все понять без официальных комментариев производителя, поскольку обе уязвимости были обнаружены исследователями из Google TAG.

Вероятно, с ними связаны разработчики и операторы spyware.

Таким образом, в 2024 году число нулей достигло показателя - шести, что непорядок меньше прошлогодней статистики, когда было закрыто 20 0-day.

Маловероятно, что ситуация кардинально измениться, если на горизонте не нарисуется новая «Триангуляция».

Но будем посмотреть.

D-Link продолжает марафон желаний хакеров, призывая пользователей отказаться от VPN-маршрутизаторов, достигших EoL и подверженных RCE-уязвимости без аутентификации, которую поставщик не намерен исправлять.

Критическая уязвимость была обнаружена исследователем delsploit, однако технические подробности были скрыты, дабы не провоцировать попыток массовой эксплуатации.

CVE пока не присвоен, но известно, что ошибка затрагивает все версии оборудования и прошивки DSR-150 и DSR-150N, а также DSR-250 и DSR-250N с прошивками 3.13 по 3.17B901C, которые достаточно распространены среди домашних пользователей и корпоративном секторе.

Производство и поддержка устройств прекратилась 1 мая 2024 года.

В традиционной манере D-Link недвусмысленно заявила, что не будет выпускать обновления для четырех моделей, и рекомендовала клиентам заменить устройства как можно скорее, не отрицая при этом опасности дальнейшего их использования.

Ждем рекомендаций компании D-Link отказаться от компании D-Link.

Знакомьтесь, Helldown ransomware!

Попавшая в поле зрения в августе новая банда вымогателей сумела к настоящему времени препарировать более 30 жертв и замечена исследователями Truesec и Sekoia в активном науцеливании на 0-day брандмауэрах Zyxel для доступа к корпоративным системам.

Безусловно, пока что сложно причислить Helldown к основным игрокам на рынке ransomware, но с момента своего запуска банда смогла быстро набрать обороты и пополнить свой DLS.

На начало ноября группа указала 31 жертву, в основном это малые и средние компании из США и Европы. Как заметили ресерчеры, в качестве одной из жертв банда указала Zyxel Europe.

Но на текущий момент их число сократилось до 28, что может указывать на поступления в адрес вымогателей первых траншей выкупа.

Впервые Helldown была задокументирована Cyfirma 9 августа 2024 года, а затем профилирован Cyberint 13 октября.

Отчет о Linux-варианте Helldown, нацеленном на VMware, позже 31 октября выпустили также исследователи 360NetLab.

Он включал функционал для сканирования и завершения работы виртуальных машин с целью шифрования образов, однако его возможности были реализованы лишь частично, что указывает на его активную разработку.

Возвращаясь к Sekoia, исследователи отмечают, что Helldown для Windows основан на слитых исходниках LockBit 3 и имеет некоторые сходства с Darkrace и Donex.

Helldown не так избирательно относится к похищаемым данным, как их другие собратья, придерживающиеся более эффективной тактики.

Банда вываливает на свой DLS большие объемы данных, некоторые из которых достигали 431 ГБ.

Особой техникой шифрования новый субъект не отличается.

При шифровании файлов злоумышленники генерируют случайную комбинацию, которая используется в качестве расширения для зашифрованных файлов конкретной жертвы и нейминга записки о выкупе.

Наличие среди жертв Zyxel Europe насторожило исследователей Sekoia, которые впоследствии идентифицировали еще восемь жертв, использовавших межсетевые экраны указанного вендора в качестве точек доступа IPSec VPN во время инцидента.

Кроме того, Sekoia заметила в отчете Truesec от 7 ноября упоминание про использование вредоносной учетной записи OKSDW82A и файла конфигурации (zzz1.conf) в атаках Helldown, нацеленных на устройства на базе MIPS, возможно, межсетевые экраны Zyxel.

Злоумышленники использовали эту учетную запись для установления защищенного соединения через SSL VPN с сетями жертвы, доступа к контроллерам домена, горизонтального перемещения и отключения защиты конечных точек.

В ходе дальнейшего расследования Sekoia обнаружила сообщения на форумах Zyxel об обнаружении клиентами аналогичной подозрительной учетной записи и конфигурации устройств с прошивкой версии 5.38.

На основании совокупности фактов исследователи предположили, что Helldown может использовать CVE-2024-42057 (внедрение команд в IPSec VPN), которая позволяет выполнять команды ОС без аутентификации с помощью длинного имени пользователя в режиме User-Based-PSK.

Помимо этого Sekoia также рассматривала другую незадокументированную уязвимость в Zyxel, сведениями о которой она поделилась с PSIRT поставщика.

CVE-2024-42057 была исправлена 3 сентября с выпуском прошивки версии 5.39, а подробности ее эксплуатации не были обнародованы, поэтому предполагается, что Helldown имеет доступ к закрытым эксплойтам n-day.

Sekoia намерена продолжать внимательно следить за новой угрозой.

Технические подробности и IoC - в отчете.

Как мы и предполагали, обнаруженная SANS ISC активная эксплуатация указывает на то, что уязвимости в Citrix Virtual Apps and Desktops имеют куда более серьезные оценки, нежели присвоенные вендором, которые еще к тому же выпустил исправления без должного уведомления.

Обе уязвимости (CVE-2024-8068 и CVE-2024-8069) были раскрыты на прошлой неделе watchTowr Labs после того, как поставщик не выпустил исправления, уже обзавелись PoC и нацеленными на них хакерами.

А в Citrix всего лишь 5.1, полет нормальный.

SANS Institute совместно со специалистами из Analyst1 и Intel 471 изучили роль женщин в русскоязычной киберпреступности в рамках проекта "Женщины в русскоязычной киберпреступности: мифические существа или значимые представители банд подполья".

Основные выводы:

.......
Полный масштаб присутствия женщин в русскоязычной и российской киберпреступности не известен.
.......

"На этом наши полномочия все!" - заявили исследователи.

Исследователи Qualys обнаружили пять LPE-уязвимостей десятилетней давности в Linux-утилите needrestart, реализующие root в Ubuntu Linux.

CVE-2024-48990, CVE-2024-48991, CVE-2024-48992, CVE-2024-10224 и CVE-2024-11003 появились в needrestart с версией 0.8, выпущенной в апреле 2014 года, и исправлены только вчера, в версии 3.8.

Выявленные проблемы позволяют злоумышленникам, имеющим локальный доступ к уязвимой системе Linux, повышать свои привилегии до уровня root без взаимодействия с пользователем.

Среди недостатков:

- CVE-2024-48990: Needrestart запускает интерпретатор Python с переменной среды PYTHONPATH, извлеченной из запущенных процессов. Если локальный злоумышленник контролирует эту переменную, он может выполнить произвольный код как root во время инициализации Python, внедрив вредоносную общую библиотеку.

- CVE-2024-48992: интерпретатор Ruby, используемый needrestart, уязвим при обработке переменной среды RUBYLIB, контролируемой злоумышленником. Это позволяет локальным злоумышленникам выполнять произвольный код Ruby как root, внедряя вредоносные библиотеки в процесс.

- CVE-2024-48991: состояние гонки в needrestart позволяет локальному злоумышленнику заменить проверяемый двоичный файл интерпретатора Python вредоносным исполняемым файлом. Тщательно рассчитав время замены, они могут злоупотребить needrestart, заставив его запустить свой код от имени root.

- CVE-2024-10224: модуль Perl ScanDeps, используемый needrestart, неправильно обрабатывает имена файлов, предоставленные злоумышленником. Злоумышленник может создавать имена файлов, напоминающие команды оболочки (например, command|), чтобы выполнять произвольные команды как root при открытии файла.

- CVE-2024-11003: зависимость Needrestart от модуля Perl ScanDeps делает его уязвимым к самому ScanDeps, где небезопасное использование функций eval() может привести к выполнению произвольного кода при обработке входных данных, контролируемых злоумышленником.

Важно отметить, что для эксплуатации этих уязвимостей злоумышленнику потребуется локальный доступ к операционной системе, что несколько снижает риск.

Однако злоумышленники в прошлом уже демонстрировали эксплуатацию аналогичных уязвимостей Linux, позволяющих получить права root, включая Loony Tunables и ошибки nf_tables, поэтому новый набор не останется в сторонке.

Учитывая широкое распространение needrestart, в том числе по части затронутых версий, выявленные недостатки могут создать возможности для повышения привилегий в критически важных системах.

Помимо обновления до версии 3.8 или более поздней, которая включает исправления для всех выявленных уязвимостей, рекомендуется внести изменения в файл needrestart.conf для отключения функции сканирования интерпретатора, что предотвращает риск эксплуатации.

Исследователи из Black Lotus Labs в Lumen Technologies нейтрализовали активность ботнета Ngioweb IoT, обеспечивающего не менее 80% из прокси сервиса NSOCKS[.]net.

После изучения на протяжении прошедшего года инфраструктуры исследователи смогли заблокировать каналы трафика ботнета, который за последние месяцы вырос в десять раз по сравнению с первоначальными показателями, заражая до 35 000 систем ежедневно.

По данным AT&T, Lumen и Trend Micro, с конца 2022 года ботнет является основой сервиса Nsocks, обеспечивающего реализацию доступа к прокси-серверам, реализованным на устройствах, зараженных Ngioweb.

Они отмечают, что пользователи сети NSOCKS направляют свой трафик через более чем 180 узлов C2, которые служат точками входа/выхода трафика, позволяя скрывать свою личность.

При этом поставляемые резидентные шлюзы использовались, по большей части, для вредоносной активности и были связаны с различными киберпреступными операциями, включая APT, DDoS, ransomware и C2 вредоносных ПО.

В своем отчете исследователи Black Lotus проанализировали как активные, так и отработанные узлы C2, а также общую архитектуру ботнета.

Ботнет имеет сеть загрузчиков, которая перенаправляет зараженные устройства на сервер C2 для загрузки и запуска вредоносного ПО ngioweb.

Пока механизм первоначального доступа в точности не установлен, но в Black Lotus Labs полагают, что злоумышленник использует около 15 эксплойтов для различных n-day.

На втором этапе взломанное устройство связывается с доменами C2, созданными с помощью алгоритма генерации доменов (DGA), и определяет, можно ли использовать бот в прокси-сети.

Эти C2 отслеживают и проверяют пропускную способность бота по трафику, а также подключают их к backconnect-серверу, который обеспечивают их доступ для сервиса NSOCKS.

По словам исследователей, последние образцы вредоносного ПО ngioweb претерпели лишь незначительные изменения по сравнению со старыми версиями 2019 года.

Одним из отличий стал переход от жестко запрограммированных URL-адресов C2 к доменам, созданным DGA. Другим - использование записей DNS TXT для предотвращения sinkhole или потери контроля над доменами DGA.

Ngioweb нацелен на устройства Zyxel, Reolink и Alpha Technologies, а недавно исследователи отметили резкое увеличение количества маршрутизаторов Netgear.

Несмотря на то, что в основе Ngioweb сложная архитектура, Black Lotus Labs утверждает, что оператора ботнета тем не менее не смог должным образом защитить зараженные устройства, как и в случае с сервисом NSOCKS.

IP-адрес и номер порта, которые выделяются покупателю прокси NSOCKS, не имеют механизма аутентификации и могут быть использованы без особых усилий третьей стороной. Большинство этих IP-адресов фигурируют в списках бесплатных прокси-серверов.

Перечень IoC и технические подробности - в отчете.

Исследователи CrowdStrike профилировала китайскую APT Liminal Panda, на счету которой целая серия целевых кибератак на телекоммуникационные компании в Южной Азии и Африке, проводимых с 2020 с целью кибершпионажа.

По данным CrowdStrike, группа задействует специальные инструменты для взлома, и, в первую очередь, фокусируется на скрытности и сборе разведданных. Большинство целей связаны с китайской инициативой Один пояс, один путь.

Хакеры используют протоколы SIGTRAN и GSM для проникновения, демонстрируя глубокие познаниями в работы сетей и протоколов, а также структуры взаимодействия провайдеров связи.

Арсенал вредоносного ПО злоумышленника включает в себя специальные инструменты, обеспечивающие скрытый доступ, эксфильтрацию данных, управление и контроль (C2).

Тактика Liminal Panda предполагает задействование взломанных серверов телекоммуникаций для вторжений в сети других провайдеров в различных географических локациях, через злоупотребление GSM-протоколами для извлечения информации об абонентах мобильной связи, метаданных вызовов и SMS.

Ранее некоторые TTPs группировки фиксировались еще в октябре 2021 года и были отнесены к другому кластеру угроз, получившему название LightBasin (UNC1945), который также практикует атаки на телеком как минимум с 2016 года.

На этот раз тщательный анализ позволил CrowdStrike выделить совершенно нового актора, а предыдущая ошибочная атрибуция была обусловлена участием нескольких хакерских групп.

Среди специальных инструментов в арсенале Liminal Panda можно выделить следующие:

- SIGTRANslator - двоичный файл Linux ELF, предназначенный для отправки и получения данных с использованием протоколов SIGTRAN;

- CordScan - утилита сканирования сети и захвата пакетов, содержащая встроенную логику для идентификации и извлечения данных, относящихся к распространенным телекоммуникационным протоколам из инфраструктуры, такой как узел поддержки GPRS (SGSN);

- PingPong - бэкдор, который прослушивает входящие эхо-запросы ICMP и устанавливает обратное соединение TCP с IP-адресом и портом, указанными в пакете.

Фиксировалось применение Unix-бэкдора с открытым исходным кодом TinyShell в атаках на внешние DNS-серверы (eDNS) с использованием слабых паролей, при этом задействовался также общедоступный эмулятор SGSN под названием sgsnemu для связи с С2.

Конечной целью атак является сбор телеметрии сети и информации по абонентам, а также взлом других телекоммуникационных объектов через злоупотребление доверительными отношениями между поставщиками телекоммуникационных услуг и пробелами в политиках безопасности.

Более подробный разбор инструментария и атрибуции - в отчете.