Исследователи из Лаборатории Касперского предупреждают об атаках, нацеленных на исправленную критическую уязвимость Fortinet FortiClient EMS для развертывания инструментов удаленного доступа, включая AnyDesk и ScreenConnect.

Речь идет о CVE-2023-48788 (CVSS: 9,3), которая представляет собой ошибку SQL-инъекции и затрагивает Fortinet FortiClient EMS версий 7.0.1–7.0.10 и 7.2.0–7.2.2.

При успешной эксплуатации эта уязвимость позволяет злоумышленникам выполнять несанкционированный код или команды, отправляя специально созданные пакеты данных.

Как отмечают в ЛК, атака была реализована в октябре 2024 года и направлена на сервер Windows неназванной компании, который был доступен в сети и имел два открытых порта, связанных с FortiClient EMS.

Дальнейший анализ инцидента показал, что злоумышленники использовали уязвимость CVE-2023-48788 в качестве первоначального вектора доступа, а затем запустили исполняемый файл ScreenConnect для получения удаленного доступа к скомпрометированному хосту.

После первоначальной установки злоумышленники приступали к загрузке дополнительных полезных нагрузкок в скомпрометированную систему для реализации горизонтального перемещения, сканирования сетевых ресурсов, получения учетных данных, обхода защиты и достижения устойчивости с помощью инструмента удаленного управления AnyDesk.

Среди некоторых других примечательных инструментов, замеченных в ходе атаки: webbrowserpassview.exe (инструмент для извлечения паролей из Internet Explorer (версии 4.0–11.0), Mozilla Firefox (все версии), Google Chrome, Safari и Opera), Mimikatz, netpass64.exe и netscan.exe, а также HRSword.exe (для реализации техник обхода защиты).

В дополнение к вышеописанному поведению эксперты обнаружили попытки загрузки и выполнения различных полезных нагрузок из дополнительных неклассифицированных внешних ресурсов, которые использовались в других инцидентах эксплуатации.

Это убедительно свидетельствует о том, что другие злоумышленники злоупотребляли той же уязвимостью с другой полезной нагрузкой второго этапа, нацеленной на несколько целей.

Предполагается, что злоумышленники в рамках наблюдаемой кампании, нацелились на различные объекты в Бразилии, Хорватии, Франции, Индии, Индонезии, Монголии, Намибии, Перу, Испании, Швейцарии, Турции и ОАЭ, используя различные поддомены ScreenConnect (например, infinity.screenconnect[.]com).

Причем при дальнейшем отслеживании этой угрозы 23 октября 2024 года предпринимались новые попытки проэксплуатировать CVE-2023-48788 в реальных условиях.

Тогда акторы пытались выполнить скрипт PowerShell, размещенный на домене webhook[.]site, чтобы составить перечень уязвимых систем.

Индикаторы компрометации и технические подробности наблюдаемых атак - в отчете.

Взявшая на себя ответственность за новую делюгу, связанную со взломом клиентов Cleo, банда вымогателей Clop приступила к сбору выкупов со своих жертв, число которых достигло 66.

Соответствующее объявление появилось на сайте DLS, где пострадавшим компаниям предложено урегулировать выплаты по инцидентам в течением 48 часов.

Хакеры связались с ними напрямую и направили для этого ссылки на защищенные чаты для проведения переговоров по выкупу.

Помимо этого предоставили даже адреса электронной почты, по которым жертвы могут выйти с бандой на связь.

Причем указанный на сайте список жертв включает лишь частные наименования связанных с инцидентом компаний. В случае, если в течение 48 часов переговоры не начнутся - Clop обещает раскрыть их полные данные.

Хакеры отмечают, что в списке указаны лишь те жертвы, с которыми связались, но обратной связи получено не было, что позволяет предполагать о более широком охвате кампании с компрометацией Cleo.

Вообще последняя атака стала еще одним крупным проектом Clop, которой в очередной раз удалось умело воспользовалаться 0-day в продуктах Cleo LexiCom, VLTransfer и Harmony для массовой кражи данных из сетей взломанных компаний.

Теперь в послужном списке хакеров реализованные нули в ПО: Accellion FTA, GoAnywhere MFT и MOVEit Transfer, а также SolarWinds Serv-U FTP.

Последний нуль отслеживается как CVE-2024-50623 и позволяет удаленному злоумышленнику выполнять неограниченную загрузку и скачивание файлов, что приводит к RCE.

Причем исправление было доступно для Cleo Harmony, VLTrader и LexiCom версии 5.8.0.21, а производитель предупредил в приватных сообщениях свою клиентуру о том, что хакеры активно используют этот 0-day в реальных атаках.

Кроме того, Huntress даже публично раскрыла, что уязвимость активно эксплуатировалась, и предупредила о возможности обхода исправления поставщика.

Исследователи также представили соответствующий PoC, подтвердив все свои выводы.

Но остановить атаки так и не удалось.

Несколько дней спустя банда вымогателей Clop уже официально подтвердила, что эксплуатация уязвимости CVE-2024-50623 теперь на ее счету.

Тогда же Clop почистила данные с DLS по своим прошлым кампаниям, оставив место для новой, куда недавно поместили клиентов Cleo.

Пока еще не всех, но если учесть, что ПО используют более 4000 организаций по всему миру - список будет пополнятся.

Будем посмотреть.

Apache Software Foundation (ASF) выпустила обновление безопасности для устранения важной уязвимости в программном обеспечении сервера Tomcat, которая при определенных условиях может привести к RCE.

Уязвимость отслеживается как CVE-2024-56337 и связана с неудавшимся устранением другой CVE-2024-50379 (CVSS: 9,8), еще одной критической уязвимости безопасности в том же продукте, которая была устранена ранее 17 декабря 2024 года.

Пользователям, работающим с Tomcat в файловой системе, нечувствительной к регистру, с включенной записью сервлета по умолчанию (параметр инициализации «только для чтения» установлен на значение false, отличное от значения по умолчанию), может потребоваться дополнительная настройка для полного устранения уязвимости CVE-2024-50379 в зависимости от того, какая версия Java используется с Tomcat.

Обе уязвимости обусловлены состоянием гонки времени проверки и использования (TOCTOU), которые могут привести к выполнению кода в файловых системах, нечувствительных к регистру, когда сервлет по умолчанию включен для записи.

Одновременное чтение и загрузка при загрузке одного и того же файла может обойти проверки чувствительности Tomcat к регистру и привести к тому, что загруженный файл будет рассматриваться как JSP, что приведет к RCE.

CVE-2024-56337 влияет на следующие версии Apache Tomcat:
- 11.0.0-M1 до 11.0.1 (исправлено в 11.0.2 или более поздней версии);
- 10.1.0-M1 до 10.1.33 (исправлено в 10.1.34 или более поздней версии);
- 9.0.0.M1 – 9.0.97 (исправлено в 9.0.98 или более поздней версии).

Кроме того, пользователям необходимо выполнить следующие изменения конфигурации в зависимости от используемой версии Java:

- Java 8 или Java 11: следует задать системному свойству sun.io.useCanonCaches значение false (по умолчанию true);

- Java 17: установить системное свойство sun.io.useCanonCaches в значение false, если оно уже установлено (по умолчанию false);

- Java 21 и более поздние версии: никаких действий не требуется, так как системное свойство удалено.

ASF выразила благодарность исследователям Nacl, WHOAMI, Yemoli и Ruozhi за сообщение об обоих недостатках, а также команде KnownSec 404 за независимое раскрытие CVE-2024-56337 с предоставлением PoC.

Исследователи Palo Alto Networks Unit 42 сообщают о возможностях задействования больших языковых моделей (LLM) для создания новых вариантов вредоносного кода JavaScript в масштабе таким образом, обеспечивая при этом улучшенное уклонение от обнаружения.

Несмотря на то, что LLM с трудом создают вредоносное ПО с нуля, хакеры могут легко использовать их для переписывания или сокрытия существующего вредоносного ПО, что затрудняет его обнаружение и выглядят гораздо более естественно.

При достаточном количестве преобразований с течением времени этот подход может иметь преимущество в снижении производительности систем классификации вредоносных ПО, заставляя полагать, что фрагмент вредоносного кода на самом деле безвреден.

В то время как поставщики LLM все чаще ужесточают меры безопасности, чтобы не допустить выхода из-под контроля и непреднамеренного вывода данных, злоумышленники уже продвигают такие инструменты, как WormGPT для автоматизации процесса создания убедительных фишинговых писем и даже создания нового вредоносного ПО.

Еще в октябре 2024 года OpenAI сообщала, что заблокировала более 20 операций, связанных с попытками использования ее платформы для разведки, исследования уязвимостей, поддержки скриптов и отладки.

Исследователи Unit 42 смоли задействовать возможности LLM для итеративного переписывания существующих образцов вредоносного ПО с целью обхода обнаружения с помощью моделей машинного обучения (ML), таких как Innocent Until Proven Guilty (IUPG) или PhishingJS, что фактически позволило создать 10 000 новых вариантов JavaScript без изменения функциональности.

Разработанный метод состязательного машинного обучения предназначен для преобразования вредоносного ПО с использованием различных методов, а именно: переименования переменных, разбиения строк, вставки ненужного кода, удаления ненужных пробелов и полной повторной реализации кода - каждый раз при его поступлении в систему в качестве входных данных.

Конечный результат - это новый вариант вредоносного JavaScript-кода, который сохраняет то же поведение, что и исходный скрипт, но при этом почти всегда имеет гораздо более низкую оценку вредоносности, достигая 88% успеха.

Что еще хуже, подобные переписанные артефакты JavaScript также не обнаруживаются другими анализаторами вредоносного ПО при загрузке на платформу VirusTotal.

Еще одним важным преимуществом обфускации на основе LLM является то, что множество ее переписываний выглядят гораздо более гармонично, нежели те, которые реализуются с помощью библиотек, включая obfuscator.io.

Масштабы новых преобразований вредоносного кода может увеличиться с помощью генеративного ИИ. Однако существует возможность использовать ту же тактику переписывания, чтобы генерировать обучающие данные, которые могут повысить надежность моделей ML.

Исследователи Akamai сообшают о появлении нового ботнета Hail Cock на базе наследия Mirai, который нацелен на RCE-уязвимость в сетевых видеорегистраторах DigiEver DS-2105 Pro, которая не получила идентификатор CVE и, по-видимому, остается неисправленной.

Кампания началась в октябре и нацелена на несколько сетевых видеорегистраторов и маршрутизаторов TP-Link с устаревшей прошивкой.

Одна из уязвимостей, использованных в кампании, была задокументирована исследователем TXOne Та-Лун Йеном и представлена в прошлом году на конференции DefCamp в Бухаресте, Румыния.

Akamai заметили, что ботнет начал активно использовать уязвимость в середине ноября, но обнаружили доказательства того, что кампания была активна как минимум с сентября.

Помимо уязвимости DigiEver новый вариант вредоносного ПО Mirai также нацелен на уязвимость CVE-2023-1389 в устройствах TP-Link и CVE-2018-17532 на маршрутизаторах Teltonika RUT9XX.

Ошибка, используемая для взлома сетевых видеорегистраторов DigiEver, представляет собой RCE-уязвимость удаленного выполнения кода, и связана с URI «/cgi-bin/cgi_main.cgi», который неправильно проверяет вводимые пользователем данные.

Это позволяет удаленным неаутентифицированным злоумышленникам вводить команды типа «curl» и «chmod» через определенные параметры, например поле ntp в HTTP-запросах POST.

Akamai полагает, что наблюдаемые со стороны ботнета атаки, похожи на те, что были описаны в презентации Та-Лун Йена.

С помощью инъекции команд злоумышленники получают двоичный файл вредоносного ПО с внешнего сервера и включают устройство в свою ботсеть. Устойчивость достигается путем добавления заданий cron.

После взлома устройство используется для проведения DDoS или для распространения на другие устройства с использованием наборов эксплойтов и списков учетных данных.

По данным Akamai, новый вариант Mirai примечателен использованием шифрования XOR и ChaCha20, а также ориентирован на широкий спектр системных архитектур, включая x86, ARM и MIPS.

Хотя использование сложных методов дешифрования не является чем-то новым, оно предполагает развитие TTPs среди операторов ботнетов на базе Mirai.

Это особенно примечательно, поскольку многие ботнеты на базе Mirai по-прежнему зависят от оригинальной логики обфускации строк из переработанного кода, который был включен в исходный код оригинальной вредоносной программы Mirai.

IoC, связанные с кампанией, а также правила Yara для обнаружения и блокировки угрозы - доступны в отчете Akamai.

Вслед за CVE-2024-43441 в HugeGraph-Server и CVE-2024-56337 в Tomcat разработчики Apache Software Foundation (ASF) выпустили обновления безопасности для устранения критической уязвимости SQL-инъекции в Traffic Control с рейтингом 9,9 CVSS.

При успешной эксплуатации CVE-2024-45387 может позволить привилегированному злоумышленнику с ролью admin, federation, operations, portal или steering выполнить произвольный SQL в базе данных путем отправки специально составленного PUT-запроса

Раскрытие проблемы приписывается исследователю Tencent YunDing Security Lab Юань Ло. Она затрагивает версии Apache Traffic Control от 8.0.0 до 8.0.1.

Ошибка исправлена в версии Apache Traffic Control 8.0.2. Для защиты от потенциальных угроз пользователям рекомендуется обновить свои экземпляры до последних версий ПО.

Исследователи из Лаборатории Касперского сообщают об обнаружении нового варианта вредоносного ПО BellaCiao на C++, который задействуется в атаках иранской APT Charming Kitt (APT35, CALANQUE, CharmingCypress, ITG18, Mint Sandstorm, Newscaster, TA453 и Yellow Garuda).

Новая версия получила название BellaCPP и была задокументирована ЛК в качестве артефакта в рамках недавнего расследования инцидента со взломом компьютера в Азии, который также был заражен вредоносным ПО BellaCiao.

BellaCiao впервые был детектирован румынской Bitdefender в апреле 2023 года, которая описала его как пользовательский дроппер, способный доставлять дополнительные полезные нагрузки.

Вредоносное ПО применялось в кибератаках, нацеленных на США, Ближний Восток и Индию.

Несмотря на все возможности проведения изощренных кампаний с передовыми методами социнженерии для доставки вредоносного ПО, в атаках с использованием BellaCiao задействовались известные уязвимости в общедоступных приложениях, таких как Microsoft Exchange Server или Zoho ManageEngine.

BellaCiao — это семейство вредоносных ПО на базе .NET, которое добавляет уникальный штрих к вторжению, сочетая скрытность веб-оболочки с возможностью создания скрытого туннеля.

Вариант BellaCiao на C++ представляет собой файл DLL с именем adhapl.dll, который реализует те же функции, что и его предок, и содержит код для загрузки другой неизвестной DLL (D3D12_1core.dll), которая, вероятно, используется для создания туннеля SSH.

Однако уникальной особенностью BellaCPP является отсутствие веб-оболочки, которая используется в BellaCiao для загрузки и скачивания произвольных файлов, а также для запуска команд.

Как отмечают в ЛК, Charming Kitten совершенствует свой арсенал семейств вредоносных ПО. Одно из них, которые они постоянно обновляют, — BellaCiao.

Оно особенно интересно с точки зрения исследования, поскольку пути PDB иногда дают некоторое представление о предполагаемой цели и ее среде.

Обнаружение образца BellaCPP подчеркивает важность проведения тщательного исследования сети и машин в ней.

Злоумышленники могут развертывать неизвестные образцы, которые могут не быть обнаружены решениями безопасности, тем самым сохраняя опору в сети после удаления «известных» образцов.

Подробный технический разбор - в отчете.

Adobe выпустила внеочередные обновления безопасности для устранения критической язвимости CVE-2024-53961 с CVSS 7.4 в ColdFusion.

Она затрагивает Adobe ColdFusion версий 2023 и 2021 и обусловлена неправильным ограничением пути к закрытому каталогу, что может привести к произвольному чтению файловой системы.

Об ошибке сообщил исследователь с псевдонимом ma4ter. При этом Adobe подчеркивает, что ей известно о наличии PoC для CVE-2024-53961.

Несмотря на то, что Adobe пока не раскрывает, эксплуатировалась ли эта уязвимость в реальных условиях, компания рекомендует ознакомиться с обновленной документацией для получения дополнительной информации о блокировке атак десериализации Wddx.

Компания рекомендует администраторам как можно скорее установить экстренные исправления безопасности и применить параметры конфигурации безопасности, описанные в руководствах ColdFusion 2023 и ColdFusion 2021.

Учитывая устоявшуюся практику атак на известные проблемы в Adobe ColdFusion (CVE-2023-29298, CVE-2023-38205, CVE-2023-26360), к рекомендациям определенно стоит прислушаться.

Как Гринч украл Рождество, так и Microsoft украла у пользователей обновления безопасности.

Микромягкие в канун Рождества обрадовали своих пользователей внезапно возникшей ошибкой, связанной с использованием носителя для установки Windows 11 версии 24H2, которая вызывает сбой в процессе установки обновлений безопасности.

Проблема возникает при использовании CD и USB накопителей для установки Windows 11 с обновлениями безопасности, выпущенными в период с 8 октября по 12 ноября.

Причем проблема появляется лишь в том случае, если носитель создан с учетом включения обновлений безопасности за октябрь 2024 года или ноябрь 2024 года в качестве части установки.

При этом ошибка не влияет на обновления безопасности, применяемые через Центр обновления Windows, и не возникает при использовании последнего обновления безопасности от декабря 2024 года.

В настоящее время Microsoft трудится над исправлением и рекомендует при установке Windows 11 24H2 с носителя использовать обновления от 10 декабря, чтобы избежать возникновения последующих проблем с обновлением.

Стоит также отметить, что эта неурядица стала одной из многочисленных проблем, которые волной накрыли пользователей Windows 11 24H2, включая сбои звуковых систем, почты, сканеров и даже игр.

Нам на Новый Год подарили книгу А.Н. Затупко "Каламбурь вместе с нами!", поэтому мы сегодня спешим порадовать вас нашими новыми наработками в этой области!

Если у вас MINA, то под вами заложена просто невероятная мина!

Apache Software Foundation продолжает выпускать обновления безопасности для устранения серьезных проблем, на этот раз затрагивающих MINA и HugeGraph-Server.

Уязвимости были исправлены в новых версиях ПО, выпущенных в период с 23 по 25 декабря.

Одна из ошибок отслеживается как CVE-2024-52046 и влияет на версии MINA 2.0 по 2.0.26, 2.1 по 2.1.9 и 2.2 по 2.2.3. Проблема получила критическую оценку серьезности 10 из 10 от Apache Software Foundation

Последняя проблема связана с ObjectSerializationDecoder и обусловлена небезопасной десериализацией Java, может привести к удаленному выполнению кода.

Apache пояснила, что уязвимость может быть реализована, если метод IoBuffer#getObject() используется в сочетании с определенными классами.

Apache решила эту проблему, выпустив версии 2.0.27, 2.1.10 и 2.2.4, в которых уязвимый компонент был усовершенствован за счет более строгих параметров безопасности по умолчанию.

Однако обновления до этих версий недостаточно. Пользователям также необходимо вручную установить отклонение всех классов, если это явно не разрешено, выполнив один из трех предоставленных методов.

Уязвимость, затрагивающая Apache HugeGraph-Server версий 1.0–1.3, представляет собой проблему обхода аутентификации, отслеживаемую как CVE-2024-43441. Она вызвана неправильной проверкой логики аутентификации.

Проблема обхода аутентификации была устранена в версии 1.5.0, которая является рекомендуемой к обновлению для пользователей HugeGraph-Server.

Системным администраторам настоятельно рекомендуется как можно скорее обновить свои экземпляры и принять рекомендуемые меры, особенно с учетом того, что хакеры предпочитают совершать атаки именно в период праздников, когда скорость реагирования затемно снижается.

Если у вас PAN-OS, то у нас для вас плохие новости.

Palo Alto Networks раскрыла серьезную уязвимость, влияющую на ПО PAN-OS, которая может привести к DoS на уязвимых устройствах.

CVE-2024-3393 имеет оценку CVSS: 8.7 и влияет на PAN-OS 10.X и 11.X, а также на Prisma Access, работающую под управлением версий PAN-OS.

Ошибка была устранена в PAN-OS 10.1.14-h8, 10.2.10-h12, 11.1.5, 11.2.3 и всех более поздних версиях PAN-OS.

Как отмечает поставщик, уязвимость в функции безопасности DNS программного обеспечения PAN-OS позволяет неаутентифицированному злоумышленнику отправить вредоносный пакет через плоскость данных брандмауэра, который перезагружает брандмауэр.

Повторные попытки вызвать это состояние приведут к переходу брандмауэра в режим обслуживания.

В компании заявили, что обнаружили уязвимость в производственной среде и ей известно о клиентах, столкнувшихся с DoS-атаками, когда их брандмауэр блокировал вредоносные DNS-пакеты, вызывающие эту проблему. Правда, масштаб выявленной активности пока не разглашается.

Стоит отметить, что брандмауэры, в которых включено ведение журнала DNS Security, подвержены уязвимости CVE-2024-3393.

При этом серьезность уязвимости также снижается до CVSS 7,1, когда доступ предоставляется только аутентифицированным конечным пользователям через Prisma Access.

В качестве обходного пути и меры по смягчению последствий для неуправляемых брандмауэров или брандмауэров, управляемых Panorama, клиенты рекомендуется установить уровень ведения журнала на «нет» для всех настроенных категорий безопасности DNS для каждого профиля защиты от шпионского ПО.

Для брандмауэров, управляемых Strata Cloud Manager (SCM), пользователи могут либо выполнить указанные выше шаги, чтобы отключить ведение журнала DNS Security непосредственно на каждом устройстве, либо на всех устройствах - через запрос в службу поддержки.

Для арендаторов Prisma Access, управляемых SCM, рекомендуется открыть запрос в службу поддержки, чтобы отключить ведение журнала до тех пор, пока не будет выполнено обновление.

Сколько не нападай на LockBit, он все равно не будет бит!

Как вещают эксперты, LockBit RaaS анонсировала версию 4.0 своей ransomware-платформы.

Она будет запущена в феврале, почти через год после того, как якобы версия 3.0 RaaS была нейтрализована в рамках операции силовой операции Cronos британской с участием британской NCA, Европола и американских спецслужб, которые даже свой DLS тогда на сервера банды прикрутили.

Кстати, а как там дела с дронами в США? А все летают.

Кроме Нью-Джерси их фиксируют уже по всей стране - в Массачусетсе, Небраске, Аризоне и даже Калифорнии, которая находится в противоположном от NJ углу США.

Правительственные спикеры по-прежнему отмораживаются. А местные власти запретили запуск беспилотников более чем в 20 городах Нью-Джерси до середины января.

У нашего канала есть достоверное объяснение происходящего. Просто происходит тестирование нового сюжетного обновления Матрицы. Маск не даст соврать.

В ближайшее время банда Cl0p намерена раскрыть имена своих 66 жертв, которые на днях были размещены на DLS вымогателей в рамках кампании по эксплуатации 0-day в продуктах для передачи файлов от разработчика корпоративного программного обеспечения Cleo.

В середине декабря Cl0p взяли на себя отверженность за атаки Cleo, заявив о взломе достаточного большого числа целей. На DLS поместили тех, с кем еще хакерам не удалось связаться для обсуждения условий выкупа.

Одну из них все же опубличили для подтверждения своих планов. Жертвой оказался поставщик ПО для управления цепочками поставок Blue Yonder. Наименования оставшихся обещают раскрыть 30 декабря, если только представители не выйдут на связь.

При этом существуют серьезные подозрения, что атака Blue Yonder, поразившая следом Starbucks и некоторые крупные сети общепита, была осуществлена с использованием уязвимости Cleo.

Правда тогда, ответственность за атаку Blue Yonder взяла на себя новая группа вымогателей под названием Termite, но позже стало понятно, что за ней стоят уже известные по MOVEit и прочим кампаниям участники Cl0p.

Исследователи также полагают, что за атаками на Harmony, VLTrader и LexiCom с использованием CVE-2024-50623 и CVE-2024-55956 могут стоять и другие группы угроз с тех пор, как стало известно о существовании проблем в решениях Cleo.

Учитывая, что у Cleo более 4000 клиентов, масштаб нового инцидента может оказаться сопоставим с прошлыми кампаниями Cl0p. Но будем посмотреть.