Штаты продолжают подключать подручные инфосек-компании и даже задействовали возможности своих партнеров, продолжая гнуть линию про вездесущий китайский кибершпионаж и продвигать созданный для этих целей APT-профиль Volt Typhoon.

На этот раз в атаку бросили британскую Sophos, которая оказывается пять лет боролась с китайской угрозой и по этому поводу в аккурат (по указанию) сразу после разоблачений Пекина вдруг закончила и выкатила свой отчет «Тихоокеанскоий рубеж» с результатами пятилетних исследований.

В нем утверждается, что основными центрами разработки эксплойтов для брандмауэров Sophos выступали Университет электронных наук и технологий Китая и частная компания Sichuan Silence Information Technology из города Чэнду.

При этом разработанные цепочки эксплойтов затем использовались в кампаниях несколькими китайскими APT-группами в течение последних пяти лет, среди которых были названы Volt Typhoon, APT31 и APT41 (Winnti).

Атаки были направлены на известных производителей сетевых устройств, включая Fortinet, Barracuda, SonicWall, Check Point, D-Link, Cisco, Juniper, NetGear, Sophos (и др.) и реализовывались посредством ботнетов, новых эксплойтов и специального вредоносного ПО.

Выйти на эти центры исследователям удалось после того, как в 2018 году злоумышленники нацелились на штаб-квартиру Cyberoam, дочерней компании Sophos в Индии.

Для этого они разработали собственный имплант для шпионажа и перехвату разрабатываемых китайцами эксплойтов на этапе их тестирования на ее устройствах в двух локациях.

Sophos полагает, что многие уязвимости нулевого дня разрабатываются китайскими исследователями, которые делятся ими не только с поставщиками, но и с китайским правительством и связанными с ним APT.

В дополнение к обвинениям Sophos новую порцию разоблачений тут же представила Microsoft с отчетом по ботнету Quad7 (также известный как CovertNetwork-1658 или xlogin), в основе которого взломанных маршрутизаторов SOHO.

При взломе устройств злоумышленники развертывают вредоносное ПО, которое обеспечивает удаленный доступ к устройствам через Telnet. В других случаях злоумышленники устанавливают SOCKS5, который используется для проксирования или ретрансляции вредоносных атак.

Несмотря на то, что ботнет не был связан с конкретным злоумышленником, его все же связали с китайской стороной. И, как полагают в Microsoft, украденные с помощью CovertNetwork-1658 учетные данные используются несколькими китайскими злоумышленниками.

В общем, имея доступ к операциям китайских APT в формате контрнаблюдения в реальном времени, можно с легкостью рисовать аналог таких групп, как случае с Volt Typhoon.

Но будем посмотреть, чем ответят китайские коллеги.

Исследователи GreyNoise выкатили анализ двух критических 0-day в камерах PTZ-трансляции, которые широко используются в промышленности, здравоохранении, корпоративном секторе, государственных и судебных учреждениях.

CVE-2024-8956 и CVE-2024-8957 удалось обнаружить GreyNoise в апреле 2024 года после детектирования необычной активности в сети ханипотов.

Задействуемых GreyNoise инструмент обнаружения угроз на базе ИИ Sift сработал на попытку эксплойта, нацеленную на API камеры на основе CGI и встроенный «ntp_client» с целью внедрения команд.

CVE-2024-8956 - это проблема аутентификации на веб-сервере камеры lighthttpd, позволяющая неавторизованным пользователям получать доступ к CGI API без заголовка авторизации, который раскрывает имена пользователей, хэши паролей MD5 и сетевые конфигурации.

Вторая CVE-2024-8957 вызвана недостаточной очисткой входных данных в поле ntp. addr, обрабатываемом двоичным файлом ntp_client, что позволяет злоумышленникам использовать специально созданную полезную нагрузку для вставки команд и RCE.

Greynoise отмечает, что эксплуатация этих двух уязвимостей может привести к полному захвату камеры, возможности перехода на другие устройства, подключенные к той же сети, или нарушению видеопотока.

После обнаружения уязвимостей GreyNoise начала взаимодействовать с VulnCheck для ответственного раскрытия информации затронутым поставщикам.

Устройства, подверженные двум уязвимостям, представляют собой камеры с поддержкой NDI на базе Hisilicon Hi3516A V600 SoC V60, V61 и V63, которые работают под управлением прошивок камер VHD PTZ более ранних версий, чем 6.3.40.

Сюда входят несколько моделей от PTZOptics, камеры Multicam Systems SAS и устройства SMTAV Corporation.

PTZOptics выпустила обновления 17 сентября, но такие модели, как PT20X-NDI-G2 и PT12X-NDI-G2, не получили обновления прошивки в виду EoL.

При этом GreyNoise нашла по крайней мере две новые модели, PT20X-SE-NDI-G3 и PT30X-SE-NDI-G3, которые также не получили исправления, но были затронуты ошибками.

PTZOptics была уведомлена о расширении области действия через VulnCheck 25 октября, но до настоящего времени исправления для этих моделей так и не были выпущены.

В GreyNoise полагают, что уязвимости в реальности затрагивают более широкий спектр моделей камер, что потенциально указывает на то, что реальная причина кроется в SDK, который использует производитель (ValueHD / VHD Corporation).

Пользователям рекомендуется обратиться к поставщику своих устройств для уточнения возможности исправлений для CVE-2024-8956 и CVE-2024-8957 и фактического их наличия в последних доступных обновлениях прошивки.

Помимо нагнетания истерии вокруг китайской киберугрозы, штаты преуспевают и в передел рынка поставщиков коммерческого spyware.

Министерство торговли США исключило ведущего канадского производителя оборудования для Интернет-цензуры Sandvine из санкционных списков после того, как компания сделала публичное заявление, пообещав прекратить контракты с «авторитарными» странами.

К настоящему времени канадская компания свернула деятельность в 32 странах и планирует выйти еще из 24 к апрелю следующего года.

Sandvine также сменила генерального директора, создала подкомитет по правам человека и пообещала направлять 1% своей прибыли на защиту свободы в Интернете и цифровых прав.

Компания стала первым поставщиком коммерческого spyware, которому удалось покинуть черные списки, куда угодила восемь месяцев назад, в феврале по указанию правительства США за предоставление репрессивным режимам технологий массового слежки в Интернете.

Минторг не назвал имена заказчиков, но, как уже было известно, компания поставляла оборудование для Интернет-наблюдения и цензуры в Египет, Беларусь, Эритрею, ОАЭ, Узбекистан и многие другие страны.

Прецедент с исключением Sandvine из-под санкций определено может сыграть на руку израильскому поставщику шпионского ПО NSO Group, который уже больше года активно лоббирует свою кандидатуру на исключение из черного списка.

Но решение понравилось не всем, в интервью телеканалу CTV Kitchener директор Citizen Lab Рон Дейберт раскритиковал решение Министерства торговли США.

Ведь в свое Citizen Lab была одной из первых, кто сообщал о злоупотреблениях технологиями Sandvine, включая Predator 2023 в отчете Wires, что привело к внесению Sandvine в санкционные списки.

Удивляться не стоит, исследования и политика пересекаются только тогда дяде Сэму нужны услуги таких, как Citizen Lab и прочих, а если вопрос решен - их отчеты ничего не стоят. Так что собаки лают, а караван идет.

Кто следующий ляжет под большого брата? Будем посмотреть.

Patchstack предупреждает о критической EoP-уязвимости в популярном плагине LiteSpeed Cache WordPress с шестью миллионами установок, которая позволяет неавторизованным посетителям сайта получить права администратора.

CVE-2024-50550 вызвана слабой проверкой хэша в функции «симуляции ролей» плагина, предназначенной для имитации ролей пользователей, обеспечивая сканеру возможность сканировать сайты с разных уровней пользователей.

Функция ('is_role_simulation()') выполняет две основные проверки, используя слабые значения хэш-функции безопасности, хранящиеся в файлах cookie ('litespeed_hash' и 'litespeed_flash_hash').

Однако эти хеши генерируются с ограниченной случайностью, что делает их предсказуемыми при определенных конфигурациях.

Несмотря на то, что хеш-значения имеют длину 32 символа, злоумышленник может перебрать их в пределах миллиона комбинаций.

Успешно воспользовавшись этой уязвимостью, злоумышленник может имитировать роль администратора, что означает, что он может загружать и устанавливать произвольные плагины или вредоносное ПО, получать доступ к внутренним базам данных, редактировать страницы и пр.

Уязвимость была обнаружена тайваньским исследователем и раскрыта Patchstack 23 сентября 2024 года, которая на следующий день связалась с командой LiteSpeed.

Полностью рабочий PoC, демонстрирующий реалистичный сценарий эксплуатации, был готов к 10 октября и передан LiteSpeed для дальнейшего рассмотрения.

17 октября поставщик LiteSpeed Technologies выпустил исправление для CVE-2024-50550 в версии 6.5.2 плагина, улучшив случайность значений хэш-функции и сделав их подбор методом перебора практически невозможным.

Согласно статистике WordPress, с момента выпуска исправления было обновлено около 2 миллионов веб-сайтов, но тем не менее еще 4 миллиона сайтов по-прежнему остаются уязвимыми.

Команда qBittorrent исправила RCE-уязвимость, подвергавшую пользователей атакам MitM на протяжении 14 лет и справленную в последней версии 5.0.1 28 октября 2024 года.

qBittorrent - это популярный кроссплатформенный клиент с открытым исходным кодом для загрузки и обмена файлами по протоколу BitTorrent с функциями фильтрации IP, интегрированной поисковой системой, поддержкой RSS-каналов и современным интерфейсом на основе Qt.

Основная проблема вызвана невозможностью проверки сертификатов SSL/TLS в DownloadManager, компоненте приложения, который управляет загрузками во всем приложении, что позволяло принимать любые сертификаты и совершать атаки MItM.

Sharp Security выделяет четыре основных риска, возникающих в связи с этой проблемой:

- Если Python недоступен в Windows, qBittorrent предлагает пользователю установить его через жестко закодированный URL, указывающий на исполняемый файл Python. Из-за отсутствия проверки сертификата злоумышленник, перехвативший запрос, может заменить ответ URL вредоносным установщиком Python, который может выполнить RCE.

- qBittorrent проверяет наличие обновлений, извлекая XML-канал из жестко закодированного URL-адреса, а затем анализирует канал на предмет ссылки для загрузки новой версии. При отсутствии проверки SSL злоумышленник может подставить вредоносную ссылку на обновление в канале, побуждая пользователя загрузить вредоносные полезные нагрузки.

- DownloadManager от qBittorrent также используется для RSS-каналов, что позволяет злоумышленникам перехватывать и изменять содержимое RSS-канала и внедрять вредоносные URL-адреса, выдавая себя за безопасные торрент-ссылки.

- qBittorrent автоматически загружает сжатую базу данных GeoIP с жестко запрограммированного URL-адреса и распаковывает ее, что позволяет эксплуатировать потенциальные ошибки переполнения памяти через файлы, полученные с поддельного сервера.

В последней версии qBittorrent, 5.0.1, устранены вышеуказанные риски, поэтому пользователям рекомендуется обновиться как можно скорее.

Правда команда qBittorrent исправила ошибку, так и не проинформировав о ней должным образом пользователей и не присвоив идентификатор CVE.

Компания LottieFiles подтвердила, что ее программное обеспечение Lottie-Player подверлось атаке на цепочку поставок, целью которой стала кража криптовалюты у жертв.

Lottie-Player от LottieFiles широко используется для встраивания и воспроизведения анимаций Lottie на веб-сайтах. 

Все началось того, что в начале неделе пользователи Lottie-Player начали массово жаловаться, что их веб-сайты стали отображать всплывающее окно, предлагающее посетителям подключить свой криптовалютный кошелек для дальнейшего слива с него крипты.

LottieFiles оперативно инциировала расследование и установила, что злоумышленник смог распространить несколько вредоносных версий пакета NPM с открытым исходным кодом для веб-плеера. 

По данным LottieFiles злоумышленник создал вредоносный Lottie-Player после того, как реализовал захват учетной записи NPM сотрудника в результате успешной фишинговой атаки. Ноутбук сотрудника был помещен на карантин в ожидании экспертизы.

После чего злоумышленник задействовал токен доступа, принадлежащий разработчику, для публикации версий 2.0.5, 2.0.6 и 2.0.7 Lottie-Player на npmjs.com в течение часа. Безопасная версия (2.0.8) была опубликована всего через несколько часов после обнаружения инцидента.

Предварительное расследование показало, что библиотеки с открытым исходным кодом LottieFiles, код, репозитории GitHub и SaaS не были затронуты, но компания продолжает полный аудит всех систем, учетных данных и кодовых баз.

Точное число жертв и сумма потерянной в результате этой схемы криптовалюты на данный момент устанавливаются. В ответ на инцидент компания лишила своих разработчиков доступа к репозиториям NPM и отозвала ключи.

Однако несмотря на почти мгновенную реакцию и быстрое удаление вредоносных версий, они успели распространиться среди большого количества пользователей через сторонние CDN, что позволило злоумышленнику добиться своей цели.

Согласно сведениям Scam Sniffer, по крайней мере одна жертва, предположительно, рассталась со своими битками на сумму 723 000 долларов в результате атаки на цепочку поставок LottieFiles.

Исследователи Sysdig выявили масштабную кампанию EMERALDWHALE, нацеленную на уязвимые конфигурации Git и позволившую злоумышленнику выкрасть более 15 000 учетных данных облачных сервисов в результате сканирования неправильно настроенных репозиториев.

Кампания была активна с августа по сентябрь и обнаружена Sysdig после того, как исследователи наткнулись на неправильно настроенный контейнер Amazon S3 с 1,5 ТБ украденных учетных данных, инструментами и другими интересными артефактами.

Злоумышленник засветился, когда использовал вызов ListBuckets на ханипоте исследователей, чтобы перечислить объекты в своем хранилище S3 с украденными данными, а сам контейнер был общедоступным.

Метод работы EmeraldWhale не является продвинутым. Несмотря на это, приписать активность какому-либо известному субъекту или группе угроз не удалось.

Злоумышленники просто сканируют Интернет на предмет серверов, которые раскрыли маршрут к файлам репозитория Git. Судя по артефактам, EmeraldWhale удалось обнаружить 67 000 URL-адресов с раскрытым путем /.git/config.

Применяемый EMERALDWHALE набор инструментов, нацеленный на серверы с открытыми файлами конфигурации репозитория Git с использованием широких диапазонов IP-адресов, позволяет обнаруживать соответствующие хосты, а также извлекать учетные данные.

Два основных инструмента для скрапинга, которые Sysdig нашла в хранилище, - это MZR V2 и Seyzo-v2. Две известные в даркнете программы, обе требуют списка IP-адресов для нацеливания.

Эти списки обычно составляются с использованием легитимных поисковых систем, таких как Google Dorks и Shodan, а также утилит сканирования, таких как MASSCAN.

MZR V2 грузит репозиторий для дальнейшего анализа, извлекает учетные данные, хранящиеся в файлах, а затем преобразует их в формат, более пригодный для использования последующими командами. 

В свою очередь, Seyzo-v2 использует OSS git-dumper для сбора всей информации из целевых репозиториев. При этом получив доступ к учетным данным, он реализует возможности спама и фишинговых кампаний.

EMERALDWHALE, помимо файлов конфигурации Git, также нацеливался на открытые файлы среды Laravel. Файлы .env содержат множество учетных данных, включая поставщиков облачных услуг и базы данных.

Украденные токены впоследствии используются для клонирования публичных и частных репозиториев и захвата большего количества учетных данных, встроенных в исходный код. Захваченная информация в конечном итоге загружается в контейнер S3.

Как полагают в Sysdig, EmeraldWhale фактически является брокером доступа, а сама кампания демонстрирует еще один вредоносный метод получения учетных данных для дальнейшей продажи в киберподьполье.

Исследователи Satori раскрыли крупную фишинговую кампанию под названием Phish n' Ships, которая активна по меньшей мере с 2019 года и привела к краже десятков миллионов долларов у пользователей из числа клиентов более 1000 зараженных и 120 фейковых Интернет-магазинов.

Мошенническая схема подразумевала привлечение и дальнейший развод покупателей, которые совершали платежи за несуществующие товары, а также сбор их финансовых данных.

Ничего не подозревающие пользователи, попадая на объявления-приманку, перенаправлялись в сеть из сотен фиктивных Интернет-магазинов, которые фактически крали их личные данные и деньги, ничего при этом никуда не оплачивая.

По данным группы Satori, пострадали сотни тысяч потребителей, а ущерб может достигать десятков миллионов долларов.

Атака начинается с заражения легитимных сайтов вредоносными скриптами, используя известные уязвимости (n-days), неправильные конфигурации или скомпрометированные учетные данные администратора.

После взлома сайта злоумышленники загружают скрипты с неприметными названиями, такими как «zenb.php» и «khyo.php», с помощью которых они создают несуществующие категории товаров, которые такж продвигаются в поиске Google через SEO-оптимизацию.

Когда жертвы переходят по ссылкам, они перенаправляются в конечном итоге на мошеннические сайты, часто имитирующие интерфейс взломанного Интернет-магазина или использующие похожий дизайн.

По словам исследователей Satori, все эти поддельные магазины подключены к сети из четырнадцати IP-адресов, и все содержат определенную строку в URL-адресе, которая позволяет их идентифицировать.

Попытка приобрести интересующий товар приводит к краже информации, которую жертва вводит в поля заказа, и совершению платежа через полулегальный счет платежного процессора, контролируемый злоумышленником.

По итогу никакой товар не приобретается, а жертва теряет и деньги, и финансовые данные.

В свою очередь, злоумышленники за пять лет Phish n' Ships использовали нескольких поставщиков платежных услуг для обналички, а совсем недавно научились внедрять платежный механизм и напрямую похищать данные кредитной карты жертвы.

HUMAN совместно с партнерами зачистили все звенья Phish n' Ships, начиная от поисковой выдачи Google до обнала, однако это вряд ли надолго остановит изощренного злоумышленника.

Продолжаем отслеживать наиболее трендовые уязвимости:

1. Rapid7 опубликовала более подробную информацию об атаках на серверы Microsoft SharePoint, которые нацелены на уязвимость, отслеживаемую как CVE-2024-38094.

Ошибка была исправлена в июле, но в середине октября она начала активно эксплуатироваться.

Rapid7 сообщает, что атака оставалась незамеченной, поскольку злоумышленник установил версию китайского антивирусного ПО Huorong, которая привела к сбою адекватной работы антивируса жертвы.

2. Более 3500 Xlight FTP серверов в настоящее время открыты в Интернете и могут быть уязвимы к недавно раскрытой ошибке удаленного выполнения кода до аутентификации.

Доступны исправления.

3. Cisco исправила две уязвимости безопасности в своем продукте Splunk SIEM.

4. Исследователи Oligo обнаружили шесть новых уязвимостей в среде LLM с открытым исходным кодом Ollama.

5. Исследователи CyberArk обнаружили две уязвимости в Portainer, инструменте с открытым исходным кодом для управления средами Kubernetes и Docker.

6. HN Security представила результаты аудита безопасности системы аутентификации Keycloak.

7. Guardio Security обнаружила уязвимость в браузере Opera, которая позволяет расширениям получать доступ к частным API браузера, используемым для собственных функций браузера, таких как криптокошелек, VPN, Pinboard и другие функции.

При этом код эксплойта не затрагивает другие браузеры Chromium.

Ошибка позволяет злоумышленникам создавать и размещать вредоносные расширения в официальном интернет-магазине Chrome, предназначенные только для атак на пользователей Opera.

Opera развернула исправления в конце сентября, но пользователи продолжают оставаться уязвимыми для некоторых узких сценариев атак.

8. Исследователи СайберОК обнаружили уязвимость типа User Enumeration в модуле Autodiscover ПО Microsoft Exchange Server, которая позволяет неаутентифицированному субъекту установить наличие пользователя в системе.

Модуль предназначен для упрощения настройки клиентских приложений, а ошибка может использоваться злоумышленником при подготовке целенаправленных атак, таких как перебор паролей и фишинг.

Производитель отказался регистрировать уязвимость, которой подвержены последние поддерживаемые версии ПО Microsoft Exchange Server 2019 CU 14 и Microsoft Exchange Server 2016 CU 23.

В рутнете при этом отслеживается более 10.000 Microsoft Exchange, более 10% из которых уязвимы для BDU:2024-08516.

В качестве компенсирующих мер необходимо: обеспечить доступ к служебным директориям сервера только для доверенных пользователей.

Как выглядят APT по мнению компании Trend Micro

В Microsoft решили начать приторговывать «безопасностью» своих решений, которые, если микромягко выражаясь, не отличались каким-либо особым уровнем или эффективностью последней, о чем в сети превеликое множество мемов и прочих приколюх.

Несмотря на это, в офисе микромягких, всерьез рассматривают возможность взимания с частных пользователей до 30 долларов в качестве подписки за дополнительный год обновлений безопасности для Windows 10 после достижения операционной системой EoL-срока.

Начиная с 14 октября 2025 года Windows 10 больше не будет получать обновления безопасности.

При этом Windows 11 разработчики описывают как самую безопасную версию из когда-либо существовавших.

Предыдущая - видимо, не очень.

Согласно продвигаемой инициативе, частные пользователи смогут покупать расширенные обновления безопасности на один год, а предприятия - сразу на три. Для них ценник составит 61 доллар за первый год, а затем 122 доллара и 244 доллара за последующие годы.

Теперь каждый PatchTuesday будет иметь вполне себе понятную стоимость, но больше интересует другой вопрос, о чем в Microsoft не распространяются - каким образом будут оцениваться криво закрытые уязвимости или вовсе игнорируемые поставщиком откровенные 0-day.

Еще более интересно будет наблюдать за разрешением споров по компенсациям последствий атак, нацеленных на «проплаченные» по подпискам пользователями баги, что в случае с Microsoft достаточно часто случается.

По всей видимости, в реальности ничего не измениться, кроме оборота по счетам компании.

Но будем посмотреть.

Как мы предполагали, появившийся еще в 2011 году SmokeLoader (он же SmokeLoader или Dofoil) возвращается с обновленной инфраструктурой после захвата предыдущей правоохранителями в рамках операции Endgame.

Тогда скоординированная операция спецслужб наряду с другими пятью другими привела к захвату более 1000 доменов C2 SmokeLoader и удаленной дезактивации более 50 тыс. заражений.

Однако ботнет стал вновь активен спустя пять месяцев после того, как Европол и ФБР прервали его работу, и продолжает использоваться несколькими субъектами угроз для распространения вредоносных ПО через новую инфраструктуру C2.

Находку обнаружили исследователи Zscaler, которые сообщают о новых заражениях SmokeLoader, который стал втормы ботнетом после Bumblebee, вернувшимся к новой жизни.

Для дальнейшего противодействия SmokeLoader команда разработала инструмент под названием SmokeBuster, призванный помочь в детектировании и удалений как старых, так и новых заражения.

В ходе разработки инструмента ThreatLabz также нашла несколько ошибок в последних четырех версиях SmokeLoader (не обновлялся более двух лет), которые значительно замедляют работу зараженной системы.

В своем блоге исследователи рассказывают про ошибки кодирования, из-за которых SmokeLoader значительно снижает производительность зараженной системы, а также делятся рекомендациями по защите.

Национальный центр кибербезопасности Великобритании NCSC выдал отчет по вредоносному ПО для Linux под названием Pigmy Goat, который, по их данным, был создан для взлома межсетевых экранов Sophos XG в рамках недавно раскрытых атак китайских APT.

Отчет последовал почти сразу после прошлонедельной публикации британской Sophos серии исследований под названием Тихоокеанский рубеж с описанием атак китайских хакеров на периферийные сетевые устройства за последние пять лет.

Одной из вредоносных ПО, используемых в этих атаках, являлся руткит, который имитирует соглашения об именовании файлов продуктов Sophos.

Вредоносное ПО, предназначенное для взлома сетевых устройств, отличается развитыми механизмами сохранения, уклонения и удаленного доступа, а также имеет довольно сложную структуру кода и пути выполнения.

При этом наблюдаемая NCSC активность не приписывается известным субъектам угроз, но подчеркиваются схожие TTPs с вредоносным ПО Castletap, которое компания Mandiant связывает с китайской APT.

В свою очередь, Sophos также упомянула эту вредоносную ПО в своем отчете, заявляя, что руткит задействовался в атаках 2022 года, связанных с китайской группировкой Tstark.

Исследователи выявили две копии libsophos.so, обе из которых были развернуты с использованием CVE-2022-1040: одна на правительственном устройстве, а другая на устройстве технологического партнера того же ненадеванного правительственного департамента.

Pygmy Goat представляет собой общий объект x86-32 ELF (libsophos.so), обеспечивающий бэкдор-доступ к сетевым устройствам на базе Linux, таким как межсетевые экраны Sophos XG.

Он использует переменную среды LD_PRELOAD для загрузки своей полезной нагрузки в демон SSH (sshd), что позволяет ему подключаться к функциям демона и переопределять функцию accept, которая обрабатывает входящие соединения.

Pygmy Goat отслеживает трафик SSH на предмет определенной последовательности в первых 23 байтах каждого пакета, при нахождении которой соединение идентифицируется как сеанс бэкдора и перенаправляет его на внутренний сокет Unix (/tmp/.sshd.ipc) для связи со своим C2.

Вредоносная ПО также прослушивает необработанный сокет ICMP, ожидая пакеты с зашифрованной по алгоритму AES полезной нагрузкой, содержащей информацию об IP-адресе и порте для связи с C2, что запускает попытку обратного подключения по протоколу TLS.

Pygmy Goat взаимодействует с C2 по протоколу TLS, используя встроенный сертификат, имитирующий сертификат центра сертификации Fortinet FortiGate, что является потенциальным прикрытием для встраивания в сетевые среды, где широко распространены ее устройства.

При установке SSH-соединения запускается поддельное рукопожатие с заранее заданными ответами, создавая ложное впечатление легитимности на сетевых мониторах. При этом сервер C2 может отправлять команды Pygmy Goat для выполнения на устройстве.

Отчет NCSC включает хэши файлов, правила YARA и Snort, которые позволяют детектировать последовательности байтов и поддельные рукопожатия SSH для раннего выявления активности Pygmy Goat.

Кроме того, выявить заражение можно путем проверки /lib/libsophos.so, /tmp/.sshd.ipc, /tmp/.fgmon_cli.ipc, /var/run/sshd.pid и /var/run/goat.pid вручную.

Также рекомендуется настроить мониторинг зашифрованных полезных данных в пакетах ICMP и использования «LD_PRELOAD» в среде процесса «ssdh», что является необычным поведением и может указывать на активность Pygmy Goat.

Исследователи из VulnCheck сообщают об обнаружении критических уязвимостей, которые затрагивают ABB Cylon ASPECT - широко используемую систему автоматизации зданий и управления энергопотреблением.

Первая CVE-2023-0636 допускает инъекцию команд, что позволяет несанкционированное удаленное выполнение кода.

Несмотря на заявления ABB о необходимости аутентификации, исследование показывает, что можно получить более легкий доступ, чем предполагалось изначально.

Другая CVE-2024-6209 допускает неаутентифицированное раскрытие файлов, что позволяет злоумышленникам извлекать учетные данные в виде обычного текста, что облегчает реализацию дальнейших эксплойтов в уязвимых системах.

При этом результаты сканирования Shodan и Censys, проведенного VulnCheck, указывают на доступность извне к настоящему времени почти 265 систем автоматизации ABB Cylon Aspect, из которых 214 (несмотря на исправление, доступное с 2022 года) остаются уязвимыми, позволяя атакующим их полностью скомпрометировать и захватить.

Причем, согласно наблюдениям VulnCheck, PoC-эксплойты доступны (первоначально опубликован на Packet Storm исследователем Liquid Worm) и, вероятно, ограниченно могли эксплуатироваться.

Тем не менее, потенциально серьезный вектор для атаки на цепочку мудаков - налицо. И похоже, кому-то просто таки не терпится воплотить в жизнь сюжет фильма Эксперимент «Офис».

Будем посмотреть.

В компании IBM X-Force приняли решение о создании XOR, новой команды, которая будет специализироваться на исследованиях в области наступательной безопасности.

И уже приступили к набору специалистов.

Как мы говорили несколько лет назад, разрастающееся под влиянием геополитических процессов сегментирование Интернета не только приведет (что мы уже наблюдаем) к недоступности многих сервисов для пользователей "конкурирующего сегмента", но и неизбежно повлечет возникновение "киберкаперов", сетевых пиратов XXI века с патентом того или иного государства.

Своеобразный licence to cyber kill.

Отчасти, это явление мы уже наблюдаем в лице возникновения множества хактивистских движений, получающих как полное одобрямс со стороны медиа, так и благосклонные кивки головой от инфосек экспертов.

Когда специалисту по ИБ навесили фукнционал по персданным

Ведущий французский поставщик ISC Schneider Electric подтвердил взлом платформы разработки после заявлений группировки Grep (теперь - Hellcat) об инциденте, связанном с кражей 40 ГБ и вымогательством выкупа.

Schneider Electric инициировала расследование инцидента и реализует аудит внутренних платформ, которые размещались в изолированной среде.

Компания заявляет, что продукция и услуги остаются нетронутыми.

В свою очередь, Grep впервые отрапортовала о взломе систем Schneider в X, указывая на компрометацию сервера Jira, используя раскрытые учетные данные.

Получив доступ, злоумышленники воспользовались MiniOrange REST API для извлечения 400 тыс. строк пользовательских данных, которые, по словам хакеров, включают 75 000 уникальных адресов электронной почты и полных имен сотрудников и клиентов Schneider Electric.

На сайте DLS в даркнете злоумышленник потребовал 125 000 долларов в «багетах» за не разглашение данных, поделившись более подробной информацией о том, что именно было украдено.

Как отмечают вымогатели, утечка поставила под угрозу критически важные данные, включая проекты, проблемы и плагины, а также более 400 000 строк пользовательских данных, что в общей сложности составляет более 40 ГБ.

Hellcat также поделилась с журналистами, что недавно им удалось сформировать новую хакерскую группу International Contract Agency (ICA), названную в честь Hitman: Codename 47, которая ранее не практиковала вымогательство в случае взлома своих жертв.

Правда, позже прознав, что наименование ICA часто связывают с «группой исламских террористов», злоумышленники переименовались в банду вымогателей Hellcat и в настоящее время уже ведут тестирование собственного шифровальщика для будущих атак.

После официального объявления и отказа от переговоров сумма выкупа, согласно требованиям Hellcat, будет увеличена в половину от требуемой.

Так что, по всей видимости, Schneider пока не намерена платить.

Тем не менее можно считать начало новой RaaS вполне многообещающим.

Если конечно, не окажется так, что новая утечка - это последствия прошлого инцидента, связанного с атакой Cactus в начале этого года.

Но будем посмотреть.

Google исправила два нуля в Android в числе 51 уязвимости в рамках своих ноябрьских обновлений безопасности, которые использовались в целевых атаках, как это обычно бывает в последнее время.

Первая CVE-2024-43047 представляет собой серьезную проблему использования памяти после освобождения в закрытых компонентах Qualcomm в ядре Android, которая приводит к EoP.

Впервые уязвимость была обнаружена Qualcomm в начале октября 2024 года как проблема в ее службе цифрового сигнального процессора (DSP).

CVE-2024-43093 также представляет собой уязвимость высокой степени серьезности, приводящую к EoP, на этот раз влияющую на компонент Android Framework и системные обновления Google Play, в частности, в cпользовательском интерфейсе Documents.

Google не раскрыла, кто именно обнаружил CVE-2024-43093.

Традиционно Google не разглашает никаких подробностей о том, как эксплуатировались уязвимости, однако учитывая обнаружение CVE-2024-43047 исследователями Amnesty International можно полагать, что она задействовалась в spyware.

Оставшиеся исправленные 49 уязвимостей затронули версии Android с 12 по 15, и только одна, CVE-2024-38408, классифицируется как критическая и также затрагивает компоненты Qualcomm.

Google представила два уровня исправлений каждый месяц: 1 ноября (уровень исправления 2024-11-01) и 5 ноября (уровень исправления 2024-11-05).

Первый уровень устраняет основные уязвимости Android, в общей сложности 17 проблем, в то время как второй уровень исправлений охватывает те же уязвимости, а также исправления, специфичные для поставщиков (Qualcomm, MediaTek и т. д.) - еще 34.

При этом Android 11 и более ранние версии больше не поддерживаются, но могут получать обновления безопасности для устранения критических проблем, связанных с активно используемыми уязвимостями, через обновления системы Google Play, хотя это не гарантируется.

Интерпол провернул вторую масштабную операцию под названием Synergia II по захвату инфраструктуры из 22 000 вредоносных IP-адресов, которая нанесла удар по экосистеме киберпреступности по трем основным направлениям: фишинг, инфокрады и ransomware.

Первая операция выявила 1300 подозрительных IP-адресов и URL-адресов и привела к 30 арестам.

Synergia II проводилась в период с 1 апреля по 31 августа 2024 года с участием правоохранителей из 95 стран и привела к арестам 41 лица и привлечению к ответственности в той или иной форме еще 65 человек, а также блокировке 1037 серверов.

Силовикам удалось нейтрализовать 76% из 30 000 подозрительных IP-адресов.

Кроме того, были изъяты 59 серверов и 43 электронных устройств, включая ноутбуки, мобильные телефоны и жесткие диски.

Предпосылками к активным действиям стало резкое развитие рынка фишинга и инфостилеров.

В 2023 году продажи логов инфостилеров в даркнете выросли на 40%, а число атак с использованием ransomware увеличилось в среднем на 70% во всех отраслях.

При этом хакеры, как отмечают силовики, удалось эффективно интегрировать генеративный ИИ для улучшения фишинговых операций, а инфостиллеры применять в качестве прекурсоров атак с целью вымогательства.

В ходе операции Synergia II использовались результаты исследований Group-IB, Trend Micro, Лаборатории Касперского и Team Cymru по отслеживанию преступной кибердеятельности, что помогло идентифицировать тысячи вредоносных серверов.

Исследователи BI.ZONE обнаружили ранее неизвестный кластер Venture Wolf, который активен как минимум с ноября 2023 года и нацелен на промышленность, строительство, IT, телеком и другие отрасли с использованием различных загрузчиков для доставки MetaStealer.

Venture Wolf распространяет архивы, содержащие загрузчик с расширением .com (реже .exe), а также один или несколько фишинговых документов, в качестве которых используются как изображения, например JPG или PNG, так и файлы PDF, DOC/DOCX и ODT.

После запуска загрузчик либо создает dummy-файл .NET, в который внедряется вредоносная нагрузка, либо внедряет ее в процесс RegAsm.exe.

Загрузчики являются исполняемыми файлами формата PE (Portable Executable). Их код обфусцирован, имена WinAPI-функций, использующихся для внедрения вредоносного кода, зашифрованы. 

Вредоносная нагрузка и dummy-файл .NET, в зависимости от типа загрузчика, содержатся в его теле и зашифрованы алгоритмом RC4.

В зависимости от типа загрузчика, осуществляется расшифровка и создание dummy-файла .NET со случайным именем в каталоге %TEMP%.

Имя формируется случайным образом из заданной в загрузчике строки алфавита, поэтому имя dummy-файла .NET может содержать китайские иероглифы. При этом dummy-файл .NET не содержит какого-либо кода в функции Main.

Расшифровываются имена WinAPI-функций, использующихся для внедрения кода в запущенный процесс, а именно: CreateProcessW, VirtualAllocEx, WriteProcessMemory, Wow64SetThreadContext/SetThreadContext, ResumeThread.

Затем расшифровывается и внедряется в процесс вредоносная нагрузка - MetaStealer. ВПО реализовано на C# и является форком другого стилера - RedLine.

Важное отличие MetaStealer от RedLine заключается в том, что разработчики MetaStealer не запрещают применять его для реализации атак на Россию и страны СНГ.

В процессе выполнения MetaStealer осуществляет сбор информации о системе, получение данных из браузеров, криптокошельков, клиентов электронной почты, а также из различных приложений, таких как Steam и FileZilla.

Также стоит отметить, что Venture Wolf для обфускации кода MetaStealer использует протектор .NET Reactor.

Технические подробности и индикаторы компрометации - в отчете.