Бгг, у нас так же код пишется

По всей видимости, на горизонте новый сопоставимый с MOVEit масштабный инцидент, связанный с атаками банды вымогателей Termite, которые нацелены на 0-day в решениях для передачи файлов Cleo.

По данным Huntress Labs, кампания началась 3 декабря и затронула к настоящему времени уже не менее десяти организаций.

Termite эксплуатирует ошибку, изначально исправленную в конце октября, которой подвержены продукты Cleo: Harmony, LexiCom и VLTrader.

Ошибка отслеживается как CVE-2024-50623 и представляет собой уязвимость неограниченной загрузки и скачивания файлов, которая может привести к RCE-атакам.

По мнению Huntress, исправление не было реализовано должным образом, а злоумышленники используют уязвимость для загрузки веб-шеллов на уязвимые продукты с целью кражи данных и скрытого перемещения внутри взломанных сетей.

В настоящее время неясно, использует ли банда Termite свою ransomware в отношении взломанных организаций или же просто крадет данные для будущего вымогательства.

Поставщик подтвердил новые атаки и заявил, что работает над новым патчем.

В виду того, что новый эксплойт задействует функцию автозапуска для выполнения части вредоносного кода, Cleo посоветовала пользователям отключить ее, пока не будет доступен патч.

По данным Shodan, в настоящее время более 500 продуктов Cleo находятся в сети и уязвимы для волны атак Termite.

Что же касается самой группы - это новичок в области ramsonware.

Банда начала свою деятельность в течение последнего месяца и уже зарекомендовала себя благодаря недавней атаки на атаке на разработчика ПО BlueYonder, обслуживающего интересы крупных компаний, включая Sainsbury's, Morrisons, Starbucks и др.

При этом, отмечают в Huntress Labs, до атаки Blue Yonder имела открытый в Интернете продукт Cleo, который, вероятно, и мог привести хакеров в сеть.

Но будем посмотреть.

Wordfence предупреждает об уязвимости в плагине WPForms, которая позволяет Stripe осуществлять произвольные возвраты средств или отменять подписки на миллионах сайтов WordPress.

CVE-2024-11205 была классифицирована как проблема высокой серьезности из-за предварительного условия аутентификации. Однако, учитывая, что системы членства доступны на большинстве сайтов, эксплуатация может быть довольно простой в большинстве случаев.

Проблема затрагивает WPForms с версии 1.8.4 по 1.9.2.1, исправление выпущено в версии 1.9.2.2 в прошлом месяце.

Плагин доступен как в премиум-версии (WPForms Pro), так и в бесплатной (WPForms Lite) версии. Последняя активна на более чем 6 миллионах сайтов WordPress.

Уязвимость обусловлена неправильным механизмом работы функции «wpforms_is_admin_ajax()» для определения того, является ли запрос вызовом AJAX администратора.

Хотя эта функция проверяет, исходит ли запрос из административного пути, она не применяет проверки возможностей для ограничения доступа на основе роли или разрешений пользователя.

Это позволяет любому аутентифицированному пользователю, даже подписчикам, вызывать конфиденциальные функции AJAX, такие как «ajax_single_payment_refund()», которая выполняет возврат средств Stripe, и «ajax_single_payment_cancel()», которая отменяет подписки.

Последствия эксплуатации уязвимости CVE-2024-11205 могут быть достаточно серьезными для владельцев сайтов и привести к финансовому ущербу, сбоям в работе бизнес-процессов и проблемам доверия со стороны клиентов.

Уязвимость была обнаружена исследователем vullu164, который сообщил о ней 8 ноября 2024 года по программе BugBouty, получив выплату в размере 2376 долларов США.

Впоследствии Wordfence проверила отчет и подтвердила предоставленный эксплойт, отправив полную информацию поставщику Awesome Motive 14 ноября.

18 ноября Awesome Motive выпустила исправленную версию 1.9.2.2, добавив надлежащие проверки возможностей и механизмы авторизации в затронутые функции AJAX.

Согласно статистике wordpress, примерно половина всех сайтов (а точнее - до 3 млн.), использующих WPForms, работают на уязвимых устаревших версиях.

Несмотря на заявления Wordfence об отсутствии активной эксплуатации CVE-2024-11205, полагаем, что в ближайшей перспективе все измениться, ведь киберподполье не упустит такой возможности.

Подкатил декабрьский PatchTuesday от Microsoft с исправлениями для 71 уязвимости, включая 1 эксплуатируемую 0-day.

Всего текущий патч закрывает 16 критических ошибок, все из которых связаны с удаленным выполнением кода.

Общее распределение по категориям выглядит следующим образом: 27 - EoP, 30 - RCE, 7 - раскрытие информации, 5 - DoS и 1 - спуфинг.

Раскрыта одна активно эксплуатируемая 0-day, которая отслеживается как CVE-2024-49138 и была обнаружена исследователями CrowdStrike.

Уязвимость затрагивает драйвер файловой системы Windows Common Log и позволяет злоумышленникам получить привилегии SYSTEM на устройствах Windows.

Информация о том, как уязвимость использовалась при атаках, не разглашается, но как известно, ранее уязвимости в CLFS активно пользовались бандами вымогателей.

Полное описание каждой уязвимости и систем, которые она затрагивает - здесь.

Помимо Microsoft в патчи за декабрь также выкатили: Adobe, SAP, Atlassian, Intel, AMD, Schneider Electric, Siemens, Kubernetes, Splunk и Cobalt Strike. 

При этом у Ivanti опять не обошлось без исправлений CVE максимальной степени серьезности.

Также ранее свои обновления безопасности выпустили: Android Project, Fortinet, SonicWall, Cisco, Zyxel, ASUS, Rockwell, JetBrains, SolarWinds, SailPoint, QNAP и Veeam.

Группа ученых из Лёвенского католического, Любекского и Бирмингемского университетов разработала новую физическую атаку на чипы AMD, которая позволяет извлекать данные, защищенные Secure Encrypted Virtualization (SEV-SNP) процессора.

Атака получила название BadRAM и, в первую очередь, затрагивает процессоры AMD, используемые в облачных средах, где SEV-SNP обычно включен.

Для реализации атаки задействуется подключаемый аппаратный компонент, благодаря которому при запуске компьютера намеренно модифицируется информация в отношении конфигурации модулей памяти, разрешая доступ к зашифрованной памяти.

Современные компьютеры все чаще используют шифрование для защиты конфиденциальных данных в DRAM, особенно в общих облачных средах с распространенными утечками данных и внутренними угрозами.

Secure Encrypted Virtualization (SEV) от AMD - это передовая технология, которая обеспечивает конфиденциальность, шифруя память виртуальной машины (VM) и изолируя ее от злоумышленников.

Исследователи обнаружили, что вмешательство во встроенный чип SPD на модулях DRAM позволяет злоумышленникам обходить защиту SEV, включая последнюю версию SEV-SNP от AMD.

При этом стоимость необходимого для проведения атаки BadRAM аппаратного обеспечения составляет менее 10 долларов.

Как реализовать BadRAM для захвата содержимого ячейки памяти виртуальной машины SEV-SNP и его последующего воспроизведения исследователи поделились, записав процесс на видео.

В свою очередь, AMD для устранения уязвимости BadRAM выпустила обновления прошивки, обеспечив безопасную проверки конфигураций памяти во время процесса загрузки процессора.

Повесть о том, как Лю Фэй поссорился с Бао Лянем.

Китайская QiAnXin вдруг обнаружила новый сложный бэкдор под названием Glutton, который, по-видимому, разрабатывался и задействовался в интересах APT. При этом в течение года он оставался незамеченным.

Опуская все технические детали Glutton, с которыми при желании можно подробно ознакомиться в отчете на китайском, наиболее важным аспектом исследования QiAnXin является его атрибуция к арсеналу Winnti.

Пусть даже и со средней степенью достоверности, но хочется спросить: вы серьезно?

Apple выпустила крупные патчи с исправлениями для уязвимостей в экосистемах iOS и macOS, предупреждая о рисках утечки данных, выхода из песочницы и атак с удаленным выполнением кода.

Вышедшие iOS 18.2 и macOS Sequoia 15.2 устраняют уязвимости в ядре, компонентах WebKit, AppleMobileFileIntegrity, Passwords и ImageIO.

Обновления также исправляют серьезный дефект в libexpat, программной утилите с открытым исходным кодом, интегрированной в ПО Apple.

Ошибка, отслеживаемая как CVE-2024-45490, позволяет удаленному злоумышленнику вызвать выполнение произвольного кода и вызвать завершение работы приложения.

Согласно представленной документации, обновление iOS 18.2 устраняет пару ошибок в AppleMobileFileIntegrity, которые позволяют вредоносным приложениям обходить защиту и получать доступ к конфиденциальным данным пользователя. 

Apple также реализовала исправления для множества ошибок ядра, которые позволяют создавать доступные для записи сопоставления памяти и допускать утечку через приложения конфиденциальной информации о состоянии ядра.

Традиционно без исправлений не остался движок браузера WebKit, где закрыты проблемы, которые могут привести к сбоям процессов или повреждению памяти при обработке вредоносного веб-контента.

Apple также выпустила исправление для компонента Passwords с исправлением ошибки, которая позволяла злоумышленникам, находящимся в привилегированном положении в сети, изменять сетевой трафик. 

В новой версии macOS Sequoia 15.2 разработчики Apple исправили десятки уязвимостей, в том числе ошибку в IOMobileFrameBuffer, которая допускает атаки с произвольным выполнением кода в прошивке DCP.

Кроме того, компания также выкатила обновления безопасности для watchOS, tvOS и visionOS.

Уязвимости в плагинах Hunk Companion и WP Query Console используются хакерами для взлома сайтов WordPress.

По данным WPScan, злоумышленники задействовали две уязвимости в плагинах, чтобы реализовать постоянный бэкдор-доступ к уязвимым веб-сайтам.

Hunk Companion, плагин для разработки сайтов, обеспечивающий функциональность WordPress ThemeHunk, уязвим к CVE‑2024‑9707, которая имеет оценку CVSS 9,8 и позволяет неаутентифицированным злоумышленникам устанавливать и активировать произвольные плагины, которые могут быть использованы для RCE, если установлен и активирован другой уязвимый плагин.

Исправления для уязвимости были изначально включены в версию Hunk Companion 1.8.5, выпущенную в октябре, однако, как сообщает WPScan, оно оказалось неэффективным, в связи с чем версия 1.8.7 также оказалась уязвимой.

Новый патч был выпущен 10 декабря в рамках Hunk Companion 1.9.0. Согласно данным WordPress, примерно 90% из 10 000 установок плагина, по всей видимости, продолжают работать на непатченной версии.

Так что только за последние сутки Defiance, заблокировала более 56 000 атак, нацеленных на уязвимость Hunk Companion.

WPScan обнаружила, что злоумышленники используют уязвимые экземпляры Hunk Companion для установки и активации WP Query Console - плагина для тестирования запросов WordPress, который не обновлялся последние семь лет и подвержен RCE-уязвимости.

Она отслеживается как CVE-2024-50498 (оценка CVSS 9,8) и описывается как дефект внедрения кода, который влияет на все версии WP Query Console. Плагин был закрыт 21 октября, за неделю до того, как уязвимость была публично раскрыта.

Ошибка позволяет злоумышленнику выполнять команды на целевом веб-сайте, что может использоваться для получения бэкдор-доступа и последующего полного контроля над веб-сайтом.

Статистика WordPress показывает, что, хотя плагин был закрыт в октябре, с конца ноября его загружали сотни раз, что указывает на его активное задействование в кампании по массовой эксплуатации.

Пользователям Hunk Companion рекомендуется обновить свои установки до версии 1.9.0 как можно скорее. Кроме того, следует проверять сайты на наличие признаков вторжений, включая установку WP Query Console или других плагинов.

Cisco Talos раскрыла подробности уязвимостей в промышленных маршрутизаторах MC Technologies и инструменте GoCast BGP, которые остаются неисправленными спустя 8 месяцев после раскрытия информации.

Исследователи опубликовали рекомендации по уязвимостям в прошлом месяце, а недавно выкатили финальные сообщения с указанием о отсутствии исправлений после ответственного раскрытия поставщикам еще в марте 2024 года.

В случае с MC Technologies речь идет про четыре уязвимости высокой степени серьезности, которые могут привести к внедрению произвольных команд в промышленный маршрутизатор MC LR.

MC Technologies - немецкая компания, которая поставляет решения для IoT и Industry 4.0, включая промышленные и 5G-маршрутизаторы, сотовые модемы, терминалы данных, антенны, беспроводные модули, аксессуары для интеллектуальных счетчиков и датчики.

В частности, ресерчеры обнаружили, что маршрутизатор MC LR с веб-интерфейсом версии 2.10.5 подвержен четырем уязвимостям внедрения команд ОС.

Специально созданный HTTP-запрос может привести к выполнению произвольной команды. Злоумышленник может создать аутентифицированный HTTP-запрос, чтобы активировать эти уязвимости.

В GoCast, инструменте с открытым исходным кодом, разработанном для объявлений маршрутов BGP контроллера с хоста, Talos обнаружила три критических уязвимости внедрения команд ОС. 

Злоумышленник может реализовать неаутентифицированный HTTP-запрос, которые приведет к выполнению произвольной команды.

Компания Talos представила полные технические подробности по каждой из уязвимостей.

В свою очередь, разработчики MC Technologies и GoCast сохраняют режим тишины и никак пока не комментируют ситуацию.

Исследователи Zscaler сообщают о возвращении вредоносного ПО ZLoader с новой версией и возможностями.

ZLoader, также известный как Terdot, DELoader или Silent Night, - это загрузчик вредоносного ПО, оснащенный возможностью развертывания полезных нагрузок следующего этапа.

Реализуемые кампании, распространяющие вредоносное ПО, были замечены впервые за почти два года в сентябре 2023 года после того, как его инфраструктура была отключена.

Исследователи обнаружили, что обновленный ZLoader использует DNS-туннелирование для сокрытия C2-коммуникаци, что свидетельствует о том, что злоумышленники продолжают совершенствовать инструмент после его повторного появления год назад.

Помимо этого Zloader 2.9.4.0 добавляет и другие заметные улучшения, включая интерактивную оболочку, которая поддерживает более дюжины команд, что может быть полезно для атак с использованием ransomware.

Выявленные модификации обеспечивают дополнительные уровни устойчивости к обнаружению и смягчению последствий.

Вредоносная программа не только использует различные методы противодействия попыткам анализа, но и задействует алгоритм генерации доменов DGA, предпринимая меры по уклонению от запуска на хостах, отличных от хостов исходного заражения по аналогии с трояном Zeus.

В последние месяцы распространение ZLoader все чаще связывают с атаками Black Basta, при этом злоумышленники внедряют вредоносное ПО с помощью подключений к удаленному рабочему столу, устанавливаемых под видом устранения неполадок в рамках технической поддержки.

Исследователи задетектили также и дополнительный компонент в цепочке атак, который сначала включает развертывание полезной нагрузки под названием GhostSocks, которая затем используется для сброса ZLoader.

Методы антианализа Zloader, такие как проверки среды и алгоритмы разрешения импорта API, продолжают обновляться, чтобы обходить вредоносные песочницы и статические сигнатуры.

Новая функция, представленная в последней версии вредоносного ПО, представляет собой интерактивную оболочку, которая позволяет оператору выполнять произвольные двоичные файлы, библиотеки DLL и шелл-код, извлекать данные и завершать процессы.

Хотя Zloader продолжает использовать HTTPS с запросами POST в качестве основного канала связи C2, он также оснащен функцией туннелирования DNS для упрощения зашифрованного сетевого трафика TLS с использованием пакетов DNS.

Замеченные методы распространения Zloader и новый канал связи DNS-туннелирования указывают на то, что его операторы все больше внимания уделяет уклонению от обнаружения, продолжая добавлять новый функционал, выступая эффективным «поставщиком» первоначального доступа для программ-вымогателей.

Исследователи Symantec в новом отчете раскрывают подробности шпионской APT-кампаний, нацеленной на известные организации в Юго-Восточной Азии.

Кибератаки инициировались как минимум с октября 2023 года и были направлены на организации из различных секторов, включая правительственный сектор в двух разных странах, организацию по управлению воздушным движением, телекоммуникационную компанию и СМИ.

Первоначальный вектор заражения исследователям Symantec установить не удалось ни в одной из атак.

Известно, что злоумышленниками задействовались инструменты, которые ранее были замечены в арсенале китайских APT и включали как опенсоср-технологий, так и LotL.

При этом в Symantec отмечают прокси под названием Rakshasa и использование файла легального приложения (Bitdefender Crash Handler) от 2011 года для загрузки DLL. Оба инструмента ранее применялись Earth Baku (также известной как APT41, Brass Typhoon).

Полный перечень инструментария включал: Dismap, FastReverseProxy, Impacket, Infostealer, Inveigh, keylogger, NBTScan, ReverseSSH, SharpGPOAbuse, SharpNBTScan, Stowaway Proxy Tool, TightVNC, а также living off the land: PowerShell, Reg.exe и WMI.

В ходе атак был развернут PlugX (он же Korplug), троян удаленного доступа, используемый сразу несколькими китайскими хакерскими группами.

Акторы также устанавливали настроенные DLL-файлы, которые действуют как фильтры механизма аутентификации, что позволяло им перехватывать учетные данные для входа.

В ходе одной из атак, продолжавшейся в течение трех месяцев с июня по август 2024 года, злоумышленник проводил разведывательные мероприятия и кражу паролей, а также устанавливал кейлоггер и запускал полезные нагрузки DLL, способные перехватывать данные для входа пользователя в систему.

Symantec отметила, что злоумышленникам удалось сохранить скрытый доступ к скомпрометированным сетям в течение длительного времени, что позволило им собирать пароли и составлять карты сетей, представляющих интерес.

Собранная информация сжималась в защищенные паролем архивы с помощью WinRAR, а затем загружалась в облачные хранилища, такие как File.io.

Столь длительный период ожидания и расчетливый подход подчеркивают изощренность и настойчивость субъекта угроз.

Хотя злоумышленники в этой кампании использовали широкий выбор TTP, географическое расположение целевых организаций, а также использование ранее детектированных инструментов (связанных с APT31, APT41 и APT27) позволяет предположить, что выявленная активность - это дело рук китайских акторов.

Учитывая, что многие из этих китайских APT часто делятся инструментами и используют схожие TTP, конкретная атрибуция в этом случае невозможна.

Индикаторы компрометации - в отчете.

Исследователи из Elastic Security обнаружили новый вредоносный руткит для Linux под названием Pumakit, который обеспечивает скрытность и поддерживает продвинутые методы повышения привилегий для сокрытия своего присутствия в системах.

Вредоносное ПО представляет собой многокомпонентный набор, включающий в себя дроппер, исполняемые в памяти файлы, руткит модуля ядра и пользовательского пространства общего объекта (SO).

Задетектить находку исследователям удалось 4 сентября 2024 года в подозрительной двоичной загрузке («cron») на VirusTotal, кто ее использует и на что она нацелена пока не известно.

Pumakit реализует многоступенчатый процесс заражения, начинающийся с дроппера под названием cron, который выполняет встроенные полезные нагрузки (/memfd:tgt и /memfd:wpn) полностью из памяти.

Полезная нагрузка /memfd:wpn, которая выполняется в дочернем процессе, выполняет проверки среды и манипуляции с образом ядра и в конечном итоге развертывает модуль руткита LKM (puma.ko) в ядре системы.

В руткит LKM встроен Kitsune SO (lib64/libs.so), действующий как пользовательский руткит, который внедряется в процессы, используя LD_PRELOAD для перехвата системных вызовов на уровне пользователя.

Руткит выполняет условную активацию, проверяя определенные символы ядра, статус безопасной загрузки и другие предварительные условия перед загрузкой.

Elastic полагает, что Puma использует функцию kallsyms_lookup_name() для манипулирования поведением системы.

В отличие от современных руткитов, нацеленных на версии ядра 5.7 и выше, руткит не использует kprobes, что указывает на то, что он предназначен для старых ядер.

Puma перехватывает 18 системных вызовов и несколько функций ядра с помощью ftrace, чтобы получить повышение привилегий, выполнение команд и возможность скрывать процессы.

Функции ядра prepare_creds и commit_creds используются для изменения учетных данных процесса, предоставляя привилегии root определенным процессам.

Руткит может скрывать свое присутствие от журналов ядра, системных инструментов и антивирусов, а также может скрывать определенные файлы в каталоге и объекты из списков процессов.

Если перехваты прерываются, руткит повторно инициализирует их, гарантируя, что его вредоносные изменения не будут отменены, а модуль не сможет быть выгружен.

Пользовательский руткит Kitsune SO работает в синергии с Puma, распространяя свои механизмы скрытности и контроля на взаимодействия с пользователем.

Он перехватывает системные вызовы на уровне пользователя и изменяет поведение таких функций, как ls, ps, netstat, top, htop и cat, чтобы скрыть файлы, процессы и сетевые соединения, связанные с руткитом.

Он также способен динамически скрывать любые другие файлы и каталоги на основе критериев, определенных злоумышленником, и обеспечивать сокрытие вредоносных двоичных файлов от пользователей и системных администраторов.

Kitsune SO также обрабатывает все коммуникации с C2, передавая команды руткиту LKM и передавая конфигурацию и системную информацию операторам.

Помимо хэшей файлов, Elastic Security опубликовала правила YARA, которые помогут обнаруживать атаки Pumakit.

Ресерчеры Akamai выкатили отчет в отношении новой вредоносной технологии, которая задействует службу специальных возможностей Windows под названием UI Automation (UIA) для выполнения широкого спектра вредоносных действий и обхода инструментов EDR.

Для реализации метода пользователя необходимо убедить запустить программу, которая использует UI Automation. Это может привести к скрытому выполнению команд, которые могут собирать конфиденциальные данные, перенаправлять браузеры на фишинговые веб-сайты и многое другое.

Хуже того, локальные злоумышленники могут воспользоваться пробелом в безопасности для выполнения команд и чтения/записи сообщений из/в приложения обмена сообщениями, такие как Slack и WhatsApp.

Кроме того, его также можно потенциально использовать в качестве оружия для манипулирования элементами пользовательского интерфейса по сети.

Впервые появившая в Windows XP как компонент Microsoft .NET Framework, UI Automation предназначена для программного доступа к различным элементам пользовательского интерфейса (UI) и помощи пользователям в управлении ими с помощью вспомогательных технологических продуктов.

Приложения вспомогательных технологий обычно нуждаются в доступе к защищенным элементам пользовательского интерфейса системы или к другим процессам, которые могут выполняться на более высоком уровне привилегий

Поэтому приложения вспомогательных технологий должны быть доверенными для системы и должны работать с особыми привилегиями. Чтобы получить доступ к процессам более высокого IL, приложение должно установить флаг UIAccess в манифесте приложения и запускаться пользователем с правами администратора.

Взаимодействие пользовательского интерфейса с элементами других приложений достигается за счет использования модели компонентных объектов (COM) в качестве механизма межпроцессного взаимодействия (IPC).

Это позволяет создавать объекты UIA, которые можно использовать для взаимодействия с приложением путем настройки обработчика событий, который запускается при обнаружении определенных изменений пользовательского интерфейса.

Исследование Akamai показало, что такой подход также может открыть путь для злоупотреблений, позволяя злоумышленникам читать/писать сообщения, красть данные, введенные на сайтах (например, платежную информацию), и выполнять команды, которые перенаправляют жертв на вредоносные сайты.

Тем не менее, следует отметить, что каждый из вредоносных сценариев является запланированной функцией UI Automation, точно так же, как API служб специальных возможностей Android, который стал основным способом извлечения вредоносным ПО информации из взломанных устройств.

Полный обзор возможностей использования фреймворка UI Automation и PoC для каждого вектора злоупотреблений - в отчете.

Ранее в ноябре мы сообщали об обнаружении BlackBerry кампании кибершпионажа, нацеленной на ВМС Пакистана, в ходе которой использовались вредоносные PDF для сбора учетных данных и развертывания вредоносного ПО (один из штаммов Sync-Scheduler).

На тот момент BlackBerry не смогла атрибутировать атаки к конкретному субъекту, однако последующий анализ исследователей DomainTools выявил значительные совпадения в TTPs и устремлениях с индийской APT, известной как SloppyLemming (aka OUTRIDER TIGER).

Группа, в первую очередь, нацелена на Пакистан, уделяя особое внимание таким целям, как правительственный сектор и оборона.

SloppyLemming часто использует свой собственный инструмент регистрации учетных данных CloudPhish на доменах Cloudflare Worker для компрометации учетных данных электронной почты целевых лиц.

Одним из почтовых клиентов, на которые нацеливался CloudPhish, как раз и быле мы сообщалитот самый почтовый клиент, упомянутый во вредоносной активности, описанной в отчете BlackBerry.

SloppyLemming также использовала PDF-документы для сбора учетных данных и доставки вредоносного ПО.

Правда, как отмечают в DomainTools, заключения о причастности SloppyLemming к атакам на ВМС Пакистана имеют низкую степень уверенности. Также не исключается версия, что за кампанией может стоять подгруппа указанной APT.

Эпопея с 0-day в решениях Cleo VLTrader, Harmony и LexiCom, находящейся под прессом банды вымогателей Termite, получает активное развитие.

Первые атаки на полностью исправленное ПО были обнаружены Huntress еще 3 декабря.

Затем последовал бурный рост активности к 8 декабря, после того как злоумышленники быстро обнаружили обход CVE-2024-50623 (без CVE-ID), который позволял импортировать и выполнять произвольные команды bash или PowerShell, используя настройки папки автозапуска по умолчанию.

Исследователи BinaryDefense, Huntress и Rapid7 опубликовали технический анализ полезной нагрузки (Java webshell/RAT/backdoor), сброшенной на взломанные серверы передачи файлов Cleo.

Huntress отслеживает этот штамм вредоносных программ как Malichus, сообщая о ее развертываниях исключительно на устройствах Windows, но при наличии также поддержки Linux.

В свою очередь, исследователи watchTowr Labs решили подлить масла в огонь и выпустили экспериментальный PoC для нуля (CVE-2024-50623) в серверах передачи файлов Cleo.

Поставщик же к этому времени успел разобраться в сути проблем и выпустить в среду исправление (5.8.0.24).

Однако число подтвержденных жертв к этому времени уже возросло до 50, а число доступных серверов Cleo все еще достигает почти 400 экземпляров, большая часть из которых находятся в США.

Так что продолжаем следить за развитием кампании банды Termite. Конечно, не масштабы Clop - но подход определенно засчитан.

Исследователи из Лаборатории Касперского сообщают об обнаружении новой активности Careto, одной из старейших известных APT-групп.

Результаты своего исследования ЛК представила в рамках доклада на 34-й международной конференции Virus Bulletin (запись презентации можно - здесь).

Также известная как The Mask, группа впервые была замечена в 2007 году и, как предполагается, действует с позиции одной из испаноязычной стран.

В числе основных целей APT - известные правительственные организации, дипучреждения и научно-исследовательские институты. The Mask задействует достаточно сложные импланты, часто доставляемые через 0-day эксплойты.

Вновь выявленные кампании были нацелены на организацию в Латинской Америке, отметившись необычными методами заражения и сложным многокомпонентным вредоносным ПО.

Каким образом эта организация была скомпрометирована, установить не удалось, известно, что в ходе заражения злоумышленники получили доступ к ее почтовому серверу MDaemon, который использовался для поддержания устойчивости с помощью уникального метода.

Метод сохранения, используемый злоумышленником, был основан на WorldClient, позволяющем загружать расширения, которые обрабатывают пользовательские HTTP-запросы от клиентов к серверу электронной почты.

Для задействования WorldClient в целях персистентности, злоумышленник скомпилировал собственное расширение и настроил его, добавив вредоносные записи для параметров CgiBase6 и CgiFile6.

Таким образом, злоумышленник смог взаимодействовать с вредоносным расширением, отправляя HTTP-запросы на URL https://<имя домена веб-почтового сервера>/WorldClient/mailbox.

Вредоносное расширение, установленное злоумышленниками, реализовывало набор команд, связанных с разведкой, выполнением взаимодействия с файловой системой и выполнением дополнительных полезных нагрузок.

Чтобы распространиться на другие машины, злоумышленники загрузили четыре файла, а затем создали запланированные задачи с помощью одного из них - Tpm-HASCertRetr.xml.

При запуске эти запланированные задачи выполняли команды, указанные в другом файле ~dfae01202c5f0dba42.cmd, который в свою очередь устанавливал драйвер hmpalert.sys и настраивал его на загрузку при запуске.

Одной из функций драйвера hmpalert.sys является загрузка DLL HitmanPro. Поскольку этот драйвер не проверяет легитимность загружаемых им DLL, злоумышленники смогли разместить свои полезные DLL по этому пути.

Полезная нагрузка, содержащаяся во вредоносной библиотеке hmpalert.dll, оказалась ранее неизвестным имплантом, который получил название FakeHMP.

Его возможности включали извлечение файлов из системы, регистрацию нажатий клавиш, создание снимков экрана и развертывание дополнительных полезных нагрузок на зараженных машинах.

При этом дальнейший анализ показал, что организация-жертва также была скомпрометирована в ходе APT-атаки еще и в 2019 году. Более ранняя атака включала использование двух вредоносных фреймворков Careto2 и Goreto.

Технические подробности наблюдавшихся кампаний 2019 и 2022-2024 гг., особенности атрибуции и ссылки на доклады с конфы - в отчете.

Разработчики Suricata сообщают выпуске версии 7.0.8 своей IDS/IPS-системы с исправлениями пяти уязвимостей, две из которых, CVE-2024-55627 и CVE-2024-55605, относятся к категории критических.

Две другие, CVE-2024-55628 и CVE-2024-55629 отнесены к высокоуровневым проблемам, и оставшаяся CVE-2024-55626 - к низкому.

Обнаружение проблем приписывается следующим исследователям: Алексей Симаков, Ной Лю, Роман Ежов (Positive Technologies), Саша Стейнбисс, Симен Либекк, Team Superflat, Земетри Камимидзу, Oss-Fuzz, Coverity.

Подробностей пока мало, будем следить.

Исследователи Forescout и PRODAFT выкатили совместный отчет в отношении кампании, нацеленной на более чем 20 000 устройств DrayTek Vigor по всему миру.

Одной из жертв изучаемой масштабной хакерской атаки на DrayTek стало Полицейское управление Большого Манчестера, которое подверглось атаке вируса-вымогателя в сентябре прошлого года.

Как отмечают исследователи, с августа прошлого года злоумышленники тайно использовали 0-day в маршрутизаторах DrayTek для взлома устройств, кражи паролей, а затем развертывания программ-вымогателей в подключенных сетях.

Атаки были совершены группой злоумышленников, известной как Monstrous Mantis, которая, как полагают, связана с бандой вымогателей Ragnar Locker.

Злоумышленник задействовал уязвимость нулевого дня для извлечения паролей маршрутизаторов DrayTek Vigor, а затем передавал учетные данные операторам, двое из которых были идентифицированы как давние участники различных Ransomware-as-a-Service.

Избирательно делясь расшифрованными учетными данными с доверенными партнерами, Monstrous Mantis поддерживал жесткий контроль над распределением жертв и обеспечивал операционную секретность.

Они использовали эти пароли для взлома корпоративных сетей, а затем запускали такие программы-вымогатели, как RagnarLocker, Qilin, Nokoyawa или RansomHouse.

Первая партнерская группа была установлена как Ruthless Mantis (PTI-288), бывший филиал банды REvil.

Сосредоточившись преимущественно на организациях в Великобритании и Нидерландах, они успешно скомпрометировали не менее 337 организаций, доставляя Nokoyawa и Qilin.

Профиль их жертв варьировался от крупных предприятий до МСП, что подчеркивает их неизбирательную эксплуатацию уязвимых сетей для максимизации воздействия.

Второй партнер был идентифицирован как LARVA-15, известный как Wazawaka. Его операции распространялись на Великобританию, Нидерланды, Австралию, Тайвань, Италию, Польшу, Францию, Германию и Турцию.

Forescout и PRODAFT утверждают, что LARVA-15 не внедрял ransomware самостоятельно, а выступал в качестве брокера начального доступа (IAB), монетизируя свои вторжения.

При этом Forescout так и не удалось идентифицировать или связать потенциальную 0-day с известной CVE, и даже неясно, была ли она вообще когда-либо исправлена.

Исследователи предполагают, что уязвимость, по всей видимости, была нацелена на компонент прошивки маршрутизатора (mainfunction.cgi), который, как известно, содержит большой багаж накопленных уязвимостей: 22 назначенных новых записей CVE с момента выпуска Forescout отчета Dray:Break.

Причем большинство из этих недавно выявленных уязвимостей имеют общие первопричины, схожие с CVE-2020-8515, и соответствуют проблемам, которые Forescout обнаружили в исследовании DrayTek (CVE-2024-41592).

Исследователи сетуют, что сохранение подобных уязвимостей подчеркивает тревожную тенденцию: пока эти уязвимости остаются нерешенными, эксплуатация, скорее всего, продолжится не только на устройствах DrayTek, но и на других платформах.

Исследователи F.A.С.С.T. в новом отчете подводят итоги 2024 и прогнозируют основные тренды на 2025 год.

В целом основные показатели по условным категориям представлены следующим образом:

1. Сливы этого года: в публичном доступе появилось 259 ранее не опубликованных баз данных российских компаний (в 2023 году их было 246).

В этом году в Telegram появилось множество как закрытых, так и публичных каналов, которые публикуют ранее приватные утечки либо повторно распространяют уже опубликованную информацию.

Самой объемной «мегаутечкой» стал архив из 404 баз данных.

2. Градус жадности: число ransomware-атак выросло на 44% по сравнению с предыдущим годом.

При этом в 10% подобных инцидентов целью киберпреступников был не выкуп, а диверсия для нанесения  максимального ущерба жертве.

Чаще всего задействовались шифровальщики LockBit 3 Black и Mimic (на них пришлось до 50% инцидентов), а также Babuk, LokiLocker/BlackBit и Phobos.

К уже известным Shadow, Mimic, LokiLocker/BlackBit, Proxima, HsHarada добавились новые угрозы: MorLock, Head Mare, Masque, Enmity, Proton, Sauron.

Замечены также и те, которые используют для шифрования легитимное ПО: например, группы DCHelp с программой DiskCryptor, Salted2020, использующей OpenSSL и BitLocker, и др.

Суммы первоначального выкупа за расшифровку данных в 2024 году для малого бизнеса составляли от 100 тыс. до 5 млн рублей ($1000-$50 000), а для крупных и средних компаний (каждая пятая атака вымогателей), запросы преступников начинались от 5 млн рублей ($50 000).

Отличилась Shadow, орудующая под именем Darkstar, затребовав от одной из жертв выкуп в 300 млн рублей ($3 млн). А рекорд по скорости развития атаки поставила HsHarada: от «пробива» инфраструктуры до «разлива» шифровальщика - менее трех часов.

3. Высокое давление: число APT, атакующих Россию и СНГ выросло до 27 (в 2023 году было известно о 14 группировках), а групп хактивистов - до 17 (в 2023 - 13).

Наиболее активными были проукраинские APT Sticky Werewolf, Cloud Atlas, PhantomCore, а также пока неатрибутированные к конкретной стране Core Werewolf и XDSpy.

4. Почтовый шпион: рассылка вредоносных писем остаeтся одним из самых популярных векторов атаки на российские компании, а в «начинке» фишинговых писем чаще всего встречаются шпионское ПО и стилеры, их доля составила 69%.

В первой половине 2024-го самым популярным у киберпреступников, как и в предыдущие годы, было шпионское ПО AgentTesla.

После ликвидации его инфраструктуры летом этого года в лидеры вышли FormbookFormgrabber, инструмент для кражи учетных записей и персональных данных, и загрузчик CloudEyE.

5. Ссылки в зоне ru: в 2024 году среднее число поддельных ресурсов на один бренд выросло на 28% — с 7878 до 10 112, фишинговых ссылок - с 2441 до 3714,  мошеннических (скам) ресурсов — с 5437 до 6398 на бренд.

Главный вывод - масштабы киберугроз растут по всем фронтам, что отразилось и в прогнозах на 2025:

- рост количества атакующих, атак на мобильные устройства, атак с использованием ИИ и целевых атак на цепочки поставок (Trusted Relationship).
- расширение фишинговых атак на многофакторную аутентификацию (MFA).
- появление новых мошеннических схем и модификации уже известных («Мамонт»).
- архивы останутся самым популярным доставщиком вредоносной нагрузки в фишинговых письмах, но их упаковка будет меняться.
- рост доступности вредоносного ПО расширит возможности кибератак.

Исследователи из Positive Technologies сообщают об обнаружении фишинговой кампании, нацеленной на сотрудников государственных организаций России и Белоруссии, за которой стоит группировка Cloud Atlas.

Группировка атакует государственные организации в России и Белоруссии уже на протяжении 10 лет.

Несмотря на то что арсенал Cloud Atlas не претерпел значительных изменений, тем не менее они продолжают экспериментировать и совершенствовать свои TTPs.

Если ранее в качестве документа-приманки Cloud Atlas, как правило, использовала тексты, связанные с текущей геополитической обстановкой, то в рамках этой кампании документы представляли собой запросы о предоставлении определенного рода информации.

Рассылка от имени Министерства связи и информатизации Республики Беларусь осуществлялась с адресов на сервисе mail ru.

Обнаруженные вредоносные документы использовали технику удаленной загрузки шаблона (Template injection).

Ссылка на вредоносный шаблон вшита в поток 1Table вредоносного документа формата DOC.

На момент проведения фишинговой кампании вредоносные документы не детектировались средствами антивирусной защиты.

При запуске вредоносного документа загружается шаблон с сервера злоумышленника officeconfirm.technoguides[.]org (на момент расследования этот сервер был уже недоступен).

Но исследователям удалось отследить результаты проверки аналогичного DOC-файла на VirusTotal: на момент загрузки образца управляющий сервер был доступен и результаты поведенческого анализа документа оказались релевантными.

В графе поведенческого анализа в песочнице C2AE был обнаружен GET-запрос к управляющему серверу, в ответ на который сервер вернул файл типа application/hta. 

На зараженных узлах были обнаружены факты выполнения вредоносных VB-скриптов, записанных в альтернативные потоки данных файлов с именем AppCache***.log по пути %APPDATA%\Microsoft\Windows.

При этом VB-скрипты взаимодействовали с C2-сервером, в качестве которого использовался документ Google Sheets.

Рассматриваемый VB-скрипт отправляет данные о зараженном пользователе в документ Google Sheets по API, после чего на узле выполняется код Visual Basic, записанный в другой ячейке того же листа в зашифрованном виде.

В результате выполнения таких команд на зараженные узлы доставлялись экземпляры других инструментов группировки Cloud Atlas.

В частности, бэкдор PowerShower, выполняющий команды, полученные с C2-сервера mehafon[.]com.

Таким же образом было доставлено ВПО, использующее технику DLL Side-Loading и маскирующееся под компоненты Cisco Webex.

Легитимный уязвимый файл CiscoCollabHost.exe вызывает функцию SparkEntryPoint библиотеки CiscoSparkLauncher.dll, расположенной в той же папке. В ней же расположен файл с полезной нагрузкой.

Технические подробности, TTPs и индикаторы - в исследовании.