IntelBroker сдержал обещание и вывалил 2,9 ГБ данных, недавно украденных из Cisco DevHub, утверждая при этом, что это лишь малая часть от общего объема утечки.
Первые заявления в отношении взлома Cisco известный хакер делал еще в октябре, анонсируя кражу исходного кода, сертификатов, учетных данных, конфиденциальной документации, ключей шифрования и др. чувствительной информации.
При этом хакер отмечал, что добрался до исходников сразу нескольких крупных компаний.
Тогда в это верилось с трудом, но учитывая его репутацию - заявления все же воспринимались всерьез.
Инициировавшая по горячим следам расследование Cisco отрицала взлом своих систем и указывала на то, что данные на самом деле были получены из общедоступной среды DevHub, которая служит ресурсным центром для поддержки клиентов.
Правда, почему-то, как заметил сам поставщик, помимо общедоступных данных в утечке оказались и некоторые приватные файлы, которые оказывается, были непреднамеренно опубликованы на сайте из-за ошибки конфигурации.
Если первоначально Cisco заявляла об отсутствии доказательств относительно компрометации конфиденциальной информаций, включая личные или финансовые данные, то с тех пор это заявление исчезло из отчетов об инцидентах.
На этой неделе IntelBroker помог продвинуть расследование Cisco и осознать реальные масштабы случившегося.
Как оказалось, 2,9 ГБ на BreachForums относятся к Cisco Catalyst, IOS, Identity Services Engine (ISE), Secure Access Service Edge (SASE), Umbrella и WebEx и включают в себя файлы исходного кода JavaScript, Python и др, а также сертификаты и файлы библиотек.
Cisco отреагировала на сообщения IntelBroker в прежней манере, продолжая гнуть свою линию, фактически полностью отрицая инцидент.
По ее данным, в утечке именно то, что ранее было идентифицировано в ходе расследования.
В компании уверены, что не было никакого взлома систем, и вообще, в представленном контенте нет никакой информации, которую злоумышленник мог бы использовать для доступа к любой из производственных или корпоративных сред.
Учитывая, что в целом, хакеру удалось выкрасть 4,5 ТБ данных с экземпляра DevHub, то следует ожидать продолжения банкета. Но, как обычно, будем посмотреть.
Первые заявления в отношении взлома Cisco известный хакер делал еще в октябре, анонсируя кражу исходного кода, сертификатов, учетных данных, конфиденциальной документации, ключей шифрования и др. чувствительной информации.
При этом хакер отмечал, что добрался до исходников сразу нескольких крупных компаний.
Тогда в это верилось с трудом, но учитывая его репутацию - заявления все же воспринимались всерьез.
Инициировавшая по горячим следам расследование Cisco отрицала взлом своих систем и указывала на то, что данные на самом деле были получены из общедоступной среды DevHub, которая служит ресурсным центром для поддержки клиентов.
Правда, почему-то, как заметил сам поставщик, помимо общедоступных данных в утечке оказались и некоторые приватные файлы, которые оказывается, были непреднамеренно опубликованы на сайте из-за ошибки конфигурации.
Если первоначально Cisco заявляла об отсутствии доказательств относительно компрометации конфиденциальной информаций, включая личные или финансовые данные, то с тех пор это заявление исчезло из отчетов об инцидентах.
На этой неделе IntelBroker помог продвинуть расследование Cisco и осознать реальные масштабы случившегося.
Как оказалось, 2,9 ГБ на BreachForums относятся к Cisco Catalyst, IOS, Identity Services Engine (ISE), Secure Access Service Edge (SASE), Umbrella и WebEx и включают в себя файлы исходного кода JavaScript, Python и др, а также сертификаты и файлы библиотек.
Cisco отреагировала на сообщения IntelBroker в прежней манере, продолжая гнуть свою линию, фактически полностью отрицая инцидент.
По ее данным, в утечке именно то, что ранее было идентифицировано в ходе расследования.
В компании уверены, что не было никакого взлома систем, и вообще, в представленном контенте нет никакой информации, которую злоумышленник мог бы использовать для доступа к любой из производственных или корпоративных сред.
Учитывая, что в целом, хакеру удалось выкрасть 4,5 ТБ данных с экземпляра DevHub, то следует ожидать продолжения банкета. Но, как обычно, будем посмотреть.
Google выпустила обновление Chrome 131 с исправлениями нескольких серьезных уязвимостей безопасности памяти, включая три, затрагивающие движок JavaScript V8.
Первая из выявленных проблем, отслеживаемая как CVE-2024-12692, представляет собой ошибку путаницы типов в движке JavaScript V8 браузера, за которую Google выплатила 55 000 долларов сообщившему о ней исследователю.
Несмотря на то, что подробности об ошибках скрываются, вознаграждение в таком размере обычно выплачивается за дефекты, которые могут привести к удаленному выполнению кода (RCE).
Вторая уязвимость, о которой сообщалось в рамках BugBounty, - это другая проблема безопасности памяти в движке V8.
Отслеживаемая как CVE-2024-12693 и описанная как ошибка доступа к памяти за пределами ее границ, принесла исследователю, сообщившему об ошибке, вознаграждение в размере 20 000 долларов США.
Обновление браузера также устраняет CVE-2024-12694, проблему высокой степени серьезности использования после освобождения в Compositing, и CVE-2024-12695, уязвимость записи за пределами границ в движке V8. Вознаграждение пока не назначено.
Последняя версия Chrome теперь доступна пользователям в версии 131.0.6778.204/.205 для Windows и macOS, а также - 131.0.6778.204 для Linux.
Google не упоминает о том, что какие-либо из этих уязвимостей эксплуатируются в реальных условиях.
Также отмечается, что Google предприняла ряд шагов для затруднения использования дефектов памяти в Chrome, а также инвестировала в устранение таких уязвимостей в своей кодовой базе, в том числе путем перехода на Rust.
Переход на Rust привел к значительному снижению количества ошибок безопасности памяти в Android за последние пять лет, и аналогичные улучшения ожидаются и в Chrome, поскольку Google также переведет браузер на Rust.
Первая из выявленных проблем, отслеживаемая как CVE-2024-12692, представляет собой ошибку путаницы типов в движке JavaScript V8 браузера, за которую Google выплатила 55 000 долларов сообщившему о ней исследователю.
Несмотря на то, что подробности об ошибках скрываются, вознаграждение в таком размере обычно выплачивается за дефекты, которые могут привести к удаленному выполнению кода (RCE).
Вторая уязвимость, о которой сообщалось в рамках BugBounty, - это другая проблема безопасности памяти в движке V8.
Отслеживаемая как CVE-2024-12693 и описанная как ошибка доступа к памяти за пределами ее границ, принесла исследователю, сообщившему об ошибке, вознаграждение в размере 20 000 долларов США.
Обновление браузера также устраняет CVE-2024-12694, проблему высокой степени серьезности использования после освобождения в Compositing, и CVE-2024-12695, уязвимость записи за пределами границ в движке V8. Вознаграждение пока не назначено.
Последняя версия Chrome теперь доступна пользователям в версии 131.0.6778.204/.205 для Windows и macOS, а также - 131.0.6778.204 для Linux.
Google не упоминает о том, что какие-либо из этих уязвимостей эксплуатируются в реальных условиях.
Также отмечается, что Google предприняла ряд шагов для затруднения использования дефектов памяти в Chrome, а также инвестировала в устранение таких уязвимостей в своей кодовой базе, в том числе путем перехода на Rust.
Переход на Rust привел к значительному снижению количества ошибок безопасности памяти в Android за последние пять лет, и аналогичные улучшения ожидаются и в Chrome, поскольку Google также переведет браузер на Rust.
Chrome Releases
Stable Channel Update for Desktop
The Stable channel has been updated to 131.0.6778.204/.205 for Windows, Mac and 131.0.6778.204 for Linux which will roll out over the com...
Исследователи из Лаборатории Касперского в своем новом отчете профилировали группу хактивистов C.A.S (Cyber Anarchy Squad), атакующую организации в России и Беларуси, начиная с 2022 года.
Основная цель, помимо кражи данных, - нанесение максимального ущерба, в том числе и репутационного.
При этом свои цели злоумышленники выбирают, исходя из их местоположения, вне зависимости от сферы деятельности организации.
C.A.S, как и большинство хактивистских группировок, использует Telegram в качестве платформы для распространения информации о своих жертвах.
Примечательно, что в числе админов их чатов помимо членов C.A.S есть и представители смежных групп, например Sean Townsend, который является администратором хактивистской группы RUH8 и пресс-секретарем группировки Ukrainian Cyber Alliance.
Собственно, в своем Telegram-канале C.A.S сами заявляют, что в некоторых атаках сотрудничает с другими группировками на российском и белорусском направлениях, включая U.C.A (Ukrainian Cyber Alliance), RUH8, RM-RF и др.
Так, в ходе расследования одного из инцидентов в инфраструктуре одной из жертв C.A.S обнаружились следы компрометации, ведущие к группировке DARKSTAR (также как Shadow и Comet).
Исследователи полагают, что в рамках совместной работы участники групп делятся доступами к сетям своих жертв, инфраструктурой C2 и инструментами.
Первоначальный доступ к атакуемым системам С.A.S получает с помощью эксплуатации публично доступных приложений, компрометируя сервисы Jira, Confluence и Microsoft SQL Server при помощи уязвимостей.
Причем хактивисты не используют фишинг в качестве первоначального вектора атаки, вероятно, атакуя уязвимые сетевые ресурсы либо получая доступ к системе за счет компрометации третьими лицами.
Для дальнейшего продвижения по инфраструктуре, удаленного управления и выполнения команд в зараженных системах атакующие использовали редкие RAT из открытых источников, такие как Revenge RAT и Spark RAT, — в атаках других хактивистов замечены не были.
Как и их коллеги по цеху, для сбора учетных данных в своих атаках С.A.S использовали связку одних и тех же утилит, в том числе: XenAllPasswordPro, BrowserThief и Mimikatz.
Для коммуникации с C2 группировка также задействует использует различные инструменты.
Злоумышленники применяют обратные оболочки, сгенерированные с помощью инструмента msfvenom для фреймворка Metasploit, а также публично доступные RAT-троянцы.
В одном из инцидентов ресерчеры обнаружили обратную оболочку Meterpreter, с ее помощью которой группировка получала полноценный доступ к скомпрометированной системе для выполнения минимально необходимого набора действий в зараженной системе.
Для нанесения ущерба своим жертвам группировка шифрует инфраструктуру.
Традиционно арсенал злоумышленников составляют слитые билдеры шифровальщика LockBit для Windows и Babuk для Linux.
Помимо шифрования злоумышленники могут уничтожать данные в различных сегментах сети жертвы или на определенных серверах.
Индикаторы компрометации и технический разбор TTPs С.A.S - в отчете.
Основная цель, помимо кражи данных, - нанесение максимального ущерба, в том числе и репутационного.
При этом свои цели злоумышленники выбирают, исходя из их местоположения, вне зависимости от сферы деятельности организации.
C.A.S, как и большинство хактивистских группировок, использует Telegram в качестве платформы для распространения информации о своих жертвах.
Примечательно, что в числе админов их чатов помимо членов C.A.S есть и представители смежных групп, например Sean Townsend, который является администратором хактивистской группы RUH8 и пресс-секретарем группировки Ukrainian Cyber Alliance.
Собственно, в своем Telegram-канале C.A.S сами заявляют, что в некоторых атаках сотрудничает с другими группировками на российском и белорусском направлениях, включая U.C.A (Ukrainian Cyber Alliance), RUH8, RM-RF и др.
Так, в ходе расследования одного из инцидентов в инфраструктуре одной из жертв C.A.S обнаружились следы компрометации, ведущие к группировке DARKSTAR (также как Shadow и Comet).
Исследователи полагают, что в рамках совместной работы участники групп делятся доступами к сетям своих жертв, инфраструктурой C2 и инструментами.
Первоначальный доступ к атакуемым системам С.A.S получает с помощью эксплуатации публично доступных приложений, компрометируя сервисы Jira, Confluence и Microsoft SQL Server при помощи уязвимостей.
Причем хактивисты не используют фишинг в качестве первоначального вектора атаки, вероятно, атакуя уязвимые сетевые ресурсы либо получая доступ к системе за счет компрометации третьими лицами.
Для дальнейшего продвижения по инфраструктуре, удаленного управления и выполнения команд в зараженных системах атакующие использовали редкие RAT из открытых источников, такие как Revenge RAT и Spark RAT, — в атаках других хактивистов замечены не были.
Как и их коллеги по цеху, для сбора учетных данных в своих атаках С.A.S использовали связку одних и тех же утилит, в том числе: XenAllPasswordPro, BrowserThief и Mimikatz.
Для коммуникации с C2 группировка также задействует использует различные инструменты.
Злоумышленники применяют обратные оболочки, сгенерированные с помощью инструмента msfvenom для фреймворка Metasploit, а также публично доступные RAT-троянцы.
В одном из инцидентов ресерчеры обнаружили обратную оболочку Meterpreter, с ее помощью которой группировка получала полноценный доступ к скомпрометированной системе для выполнения минимально необходимого набора действий в зараженной системе.
Для нанесения ущерба своим жертвам группировка шифрует инфраструктуру.
Традиционно арсенал злоумышленников составляют слитые билдеры шифровальщика LockBit для Windows и Babuk для Linux.
Помимо шифрования злоумышленники могут уничтожать данные в различных сегментах сети жертвы или на определенных серверах.
Индикаторы компрометации и технический разбор TTPs С.A.S - в отчете.
securelist.ru
Хактивисты C.A.S атакуют российские организации при помощи редких RAT
Эксперты «Лаборатории Касперского» разбирают атаки группы C.A.S, которая использует редкие троянцы удаленного доступа и публикует данные о жертвах в открытых Telegram-каналах.
Forwarded from Russian OSINT
Please open Telegram to view this post
VIEW IN TELEGRAM
Специализирующаяся на Privileged Access Management и решениях для удаленного доступа BeyondTrust подверглась кибератаке в начале декабря после того, как злоумышленники взломали некоторые из ее экземпляров SaaS-сервиса удаленной поддержки.
Ппродукция компании используются госучреждениями, технологическими фирмами, предприятиями розничной торговли и электронной коммерции, организациями здравоохранения, поставщиками энергетических и коммунальных услуг, а также банковским сектором.
2 декабря 2024 года специалисты BeyondTrust здетектили аномальное поведение в своей сети. В результате оперативного расследования удалось установить, что злоумышленники смогли скомпрометировать ограниченное число клиентов Remote Support SaaS.
Дальнейшее разбирательство привело к пониманию, что хакеры получили доступ к ключу API удаленной поддержки SaaS, который позволил им сбросить пароли для локальных учетных записей приложений.
BeyondTrust немедленно отозвала ключ API, уведомила известных затронутых клиентов и приостановила работу скомпрометированных экземпляров в тот же день, предоставив клиентам альтернативные экземпляры SaaS-поддержки.
Пока неясно, смогли ли злоумышленники использовать взломанные экземпляры SaaS-сервиса удаленной поддержки для реализации атак на клиент.
Но зато в ходе расследования атаки компания обнаружила две уязвимости: одну 16 декабря и другую 18 числа.
Первая CVE-2024-12356 представляет собой критическую уязвимость внедрения команд, влияющую на продукты Remote Support (RS) и Privileged Remote Access (PRA).
Успешная эксплуатация этой уязвимости может позволить неавторизованному удаленному злоумышленнику выполнять базовые команды операционной системы в контексте пользователя сайта.
Вторая проблема, CVE-2024-12686, представляет собой уязвимость средней степени серьезности в тех же продуктах, позволяющую злоумышленникам с правами администратора вводить команды и загружать вредоносные файлы на целевой объект.
Компания явно не указывает, что хакеры использовали эти две уязвимости в качестве 0-day для доступа к системам BeyondTrust или в составе своей цепочки атак для охвата клиентов.
Но это вполне допускается, даже несмотря на то, что в рекомендациях по ним отметки об эксплуатации отсутствуют.
BeyondTrust сообщает, что они автоматически применили исправления для двух уязвимостей на всех облачных экземплярах, но тем, кто использует локальные экземпляры, необходимо вручную применить обновление безопасности.
А расследование инцидента тем временем продолжается.
Ппродукция компании используются госучреждениями, технологическими фирмами, предприятиями розничной торговли и электронной коммерции, организациями здравоохранения, поставщиками энергетических и коммунальных услуг, а также банковским сектором.
2 декабря 2024 года специалисты BeyondTrust здетектили аномальное поведение в своей сети. В результате оперативного расследования удалось установить, что злоумышленники смогли скомпрометировать ограниченное число клиентов Remote Support SaaS.
Дальнейшее разбирательство привело к пониманию, что хакеры получили доступ к ключу API удаленной поддержки SaaS, который позволил им сбросить пароли для локальных учетных записей приложений.
BeyondTrust немедленно отозвала ключ API, уведомила известных затронутых клиентов и приостановила работу скомпрометированных экземпляров в тот же день, предоставив клиентам альтернативные экземпляры SaaS-поддержки.
Пока неясно, смогли ли злоумышленники использовать взломанные экземпляры SaaS-сервиса удаленной поддержки для реализации атак на клиент.
Но зато в ходе расследования атаки компания обнаружила две уязвимости: одну 16 декабря и другую 18 числа.
Первая CVE-2024-12356 представляет собой критическую уязвимость внедрения команд, влияющую на продукты Remote Support (RS) и Privileged Remote Access (PRA).
Успешная эксплуатация этой уязвимости может позволить неавторизованному удаленному злоумышленнику выполнять базовые команды операционной системы в контексте пользователя сайта.
Вторая проблема, CVE-2024-12686, представляет собой уязвимость средней степени серьезности в тех же продуктах, позволяющую злоумышленникам с правами администратора вводить команды и загружать вредоносные файлы на целевой объект.
Компания явно не указывает, что хакеры использовали эти две уязвимости в качестве 0-day для доступа к системам BeyondTrust или в составе своей цепочки атак для охвата клиентов.
Но это вполне допускается, даже несмотря на то, что в рекомендациях по ним отметки об эксплуатации отсутствуют.
BeyondTrust сообщает, что они автоматически применили исправления для двух уязвимостей на всех облачных экземплярах, но тем, кто использует локальные экземпляры, необходимо вручную применить обновление безопасности.
А расследование инцидента тем временем продолжается.
Глобальная технологическая сегментация, о которой мы предупреждали еще четыре года назад, приобретает заметные ускорения.
Как сообщают журналисты Wall Street Journal, в правительстве США рассматривают возможность введения запрета на реализацию и использование продукции китайской TP-Link на своей территории.
Ранее аналогичные меры были предприянты в отношении продукции Huawei Technologies, ZTE Corporation, Hytera Communications, Hangzhou Hikvision Digital Technology и Dahua Technology.
Работа ведется сразу по линии трех министерств: юстиции, торговли и обороны.
При этом Министерство торговли уже направило компании повестку в суд.
Все это мотивируют соображениями национальной безопасности, распространяя тезисы о том, что сетевое оборудование компании часто становится объектом атак, а разработчики не всегда качественно и оперативно выпускают патчи и вообще не заботятся о безопасности.
За последние годы доля рынка TP-Link выросла примерно до 65% на рынке маршрутизаторов SOHO в США и, как считают в правительстве, этот искусственный рост обусловлен продажей устройств по цене ниже их заводской цены, что также расследует Министерство юстиции.
Более 300 интернет-провайдеров США реализуют устройства TP-Link в качестве маршрутизатора для интернета по умолчанию для частных пользователей.
Кроме того, как отмечает WSJ, маршрутизаторы также присутствуют в сетях ряда правительственных агентств, включая Министерство обороны, NASA и DEA.
Причем расследование началось с подачи Microsoft после публикации отчета в отношении ботнета Quad7 (CovertNetwork-1658 или xlogin), большая часть которого, по их утверждениям, состоит из устройств TP-Link.
Впрочем, вместе с TP-Link надо таким же образом и самих микромягких запрещать, учитывая практику их работы по устранению уязвимостей и связанных с ними рисками атак.
Как сообщают журналисты Wall Street Journal, в правительстве США рассматривают возможность введения запрета на реализацию и использование продукции китайской TP-Link на своей территории.
Ранее аналогичные меры были предприянты в отношении продукции Huawei Technologies, ZTE Corporation, Hytera Communications, Hangzhou Hikvision Digital Technology и Dahua Technology.
Работа ведется сразу по линии трех министерств: юстиции, торговли и обороны.
При этом Министерство торговли уже направило компании повестку в суд.
Все это мотивируют соображениями национальной безопасности, распространяя тезисы о том, что сетевое оборудование компании часто становится объектом атак, а разработчики не всегда качественно и оперативно выпускают патчи и вообще не заботятся о безопасности.
За последние годы доля рынка TP-Link выросла примерно до 65% на рынке маршрутизаторов SOHO в США и, как считают в правительстве, этот искусственный рост обусловлен продажей устройств по цене ниже их заводской цены, что также расследует Министерство юстиции.
Более 300 интернет-провайдеров США реализуют устройства TP-Link в качестве маршрутизатора для интернета по умолчанию для частных пользователей.
Кроме того, как отмечает WSJ, маршрутизаторы также присутствуют в сетях ряда правительственных агентств, включая Министерство обороны, NASA и DEA.
Причем расследование началось с подачи Microsoft после публикации отчета в отношении ботнета Quad7 (CovertNetwork-1658 или xlogin), большая часть которого, по их утверждениям, состоит из устройств TP-Link.
Впрочем, вместе с TP-Link надо таким же образом и самих микромягких запрещать, учитывая практику их работы по устранению уязвимостей и связанных с ними рисками атак.
WSJ
Exclusive | U.S. Weighs Ban on Chinese-Made Router in Millions of American Homes
TP-Link is the bestselling router on Amazon—and has been linked to Chinese cyberattacks.
Возвращаясь к ботнетам, исследователи BitSight сообщают о резком увеличении BadBox, который смог заразить 192 000 устройств Android после того, как его обезвредили немецкие спецслужбы.
В BitSight предупреждают, что вредоносное ПО, по всей видимости, расширило охват своего воздействия за пределы китайских брендов Android-устройств, заражая теперь более известные и распространенные, такие как телевизоры Yandex и смартфоны Hisense.
BadBox - вредоносное ПО для Android, предположительно, на базе штамма Triada, которое нацелено на устройства посредством атак на прошивки в цепочке поставок, через инсайдеров, либо путем внедрения на этапе распространения продукции.
Впервые был обнаружен на Android TV-приставке T95, купленной на Amazon канадским ИБ-консультантом Дэниелом Милишичем в начале 2023 года. С тех пор вредоносная кампания охватила и другие малоизвестные продукты, продаваемые в Интернете.
Главной целью кампании BadBox является финансовая выгода, которая достигается путем задействования устройства в качестве резидентного прокси или для совершения мошенничества с рекламой.
Кроме того, вредоносное ПО BadBox может использоваться для установки дополнительных вредоносных программ на устройства Android, позволяя выполнять более серьезные вредоносные операции.
На прошлой неделе представители Федеральное ведомство по ИБ Германии (BSI) отрапортовали об успешной операции, в результате которой силовикам удалось нейтрализовать активность BadBox в стране, взломав один из С2-серверов и отключив связь с 30 000 устройств Android.
В числе них были цифровые фоторамки и устройства для потоковой передачи мультимедиа на базе Android, но BSI предупредила, что BadBox, скорее всего, может присутствовать также и в других категориях продуктов.
Аналогичным образом один из С2 удалось похакать исследователям BitSight, которые констатировали, что BADBOX несмотря на усилия немцев живее всех живых.
Только за 24 часа наблюдения Bitsight детектировали более 160 000 зараженных устройств, причем число продолжает расти.
Число обнаруженных устройств значительно превысило ранее наблюдавшееся пиковое значение и достигло 74 000.
В числе зараженных устройств - очень популярный в России телевизор Yandex 4K QLED Smart TV и смартфон Hisense T963.
Основная масса зараженных девайсов располагается в России (до 113 000), затем следуют Китай (до 60 000), Индия, Белоруссия, Бразилия и Украина (от 1800 до 30 000).
BitSight отмечает, что недавняя операция BSI никак фактически не повлияла на телеметрические данные, поскольку действие было географически ограничено, что позволило вредоносному ПО BadBox для Android беспрепятственно продолжить свою деятельность.
Будем следить.
В BitSight предупреждают, что вредоносное ПО, по всей видимости, расширило охват своего воздействия за пределы китайских брендов Android-устройств, заражая теперь более известные и распространенные, такие как телевизоры Yandex и смартфоны Hisense.
BadBox - вредоносное ПО для Android, предположительно, на базе штамма Triada, которое нацелено на устройства посредством атак на прошивки в цепочке поставок, через инсайдеров, либо путем внедрения на этапе распространения продукции.
Впервые был обнаружен на Android TV-приставке T95, купленной на Amazon канадским ИБ-консультантом Дэниелом Милишичем в начале 2023 года. С тех пор вредоносная кампания охватила и другие малоизвестные продукты, продаваемые в Интернете.
Главной целью кампании BadBox является финансовая выгода, которая достигается путем задействования устройства в качестве резидентного прокси или для совершения мошенничества с рекламой.
Кроме того, вредоносное ПО BadBox может использоваться для установки дополнительных вредоносных программ на устройства Android, позволяя выполнять более серьезные вредоносные операции.
На прошлой неделе представители Федеральное ведомство по ИБ Германии (BSI) отрапортовали об успешной операции, в результате которой силовикам удалось нейтрализовать активность BadBox в стране, взломав один из С2-серверов и отключив связь с 30 000 устройств Android.
В числе них были цифровые фоторамки и устройства для потоковой передачи мультимедиа на базе Android, но BSI предупредила, что BadBox, скорее всего, может присутствовать также и в других категориях продуктов.
Аналогичным образом один из С2 удалось похакать исследователям BitSight, которые констатировали, что BADBOX несмотря на усилия немцев живее всех живых.
Только за 24 часа наблюдения Bitsight детектировали более 160 000 зараженных устройств, причем число продолжает расти.
Число обнаруженных устройств значительно превысило ранее наблюдавшееся пиковое значение и достигло 74 000.
В числе зараженных устройств - очень популярный в России телевизор Yandex 4K QLED Smart TV и смартфон Hisense T963.
Основная масса зараженных девайсов располагается в России (до 113 000), затем следуют Китай (до 60 000), Индия, Белоруссия, Бразилия и Украина (от 1800 до 30 000).
BitSight отмечает, что недавняя операция BSI никак фактически не повлияла на телеметрические данные, поскольку действие было географически ограничено, что позволило вредоносному ПО BadBox для Android беспрепятственно продолжить свою деятельность.
Будем следить.
Bitsight
BADBOX Botnet Is Back | Bitsight
The TRACE team investigated BADBOX, which is a large-scale cybercriminal operation selling off-brand Android TV boxes, smartphones, and other Android electronics with preinstalled malware.
Исследователи из Лаборатории Касперского раскрывают новую сложную цепочку заражения Lazarus APT, нацеленную как минимум на двух сотрудников неназванной организации в сфере ядерных технологий в течение января 2024 года.
Атаки завершались развертыванием нового модульного бэкдора CookiePlus и являлись частью долговременной кампании кибершпионажа, известной как Operation Dream Job, которая также отслеживается ЛК как NukeSped.
Она активна по крайней мере с 2020 года, когда ее раскрыла ClearSky.
Lazarus крайне заинтересована в проведении атак на цепочки поставок в рамках кампании DeathNote, ограничиваясь двумя методами.
Первый — отправка вредоносного документа или троянизированного инструмента просмотра PDF, которое отображает цели специально подобранные описания вакансий.
Второй способ - доставка троянизированных инструментов удаленного доступа, убеждая жертву подключиться к определенному серверу для оценки навыков.
Последняя серия атак, задокументированная ЛК, реализует второй: задействуется полностью переработанная цепочка заражения с троянизированной VNC под предлогом проведения оценки навыков для ИТ-должностей в крупных аэрокосмических и оборонных компаниях.
Lazarus доставила архивный файл как минимум двум людям в одной организации (назовем их Host A и Host B), а через месяц хакеры предприняли более интенсивные атаки на первую цель.
Предполагается, что приложения VNC, троянизированная версия TightVNC под названием AmazonVNC.exe, распространялись в виде образов ISO и файлов ZIP. В других случаях для загрузки вредоносной DLL, упакованной в архив ZIP, использовалась легитимная версия UltraVNC.
DLL (vnclang.dll) служит загрузчиком для бэкдора, получившего название MISTPEN, который был обнаружен Mandiant в сентябре 2024 года. Он также использовался доставки двух дополнительных полезных нагрузок под названием RollMid и нового варианта LPEClient.
Исследователи ЛК заявили, что также задетектили вредоносное ПО CookieTime, развернутое на хосте A, хотя точный метод, который использовался для его внедрения, остается неизвестным.
Впервые обнаруженный компанией в сентябре и ноябре 2020 года, CookieTime назван из-за использования закодированных значений cookie в HTTP-запросах для получения инструкций с сервера управления и контроля (C2).
Дальнейшее расследование цепочки атак показало, что злоумышленник переместился с хоста A на другую машину (хост C), где CookieTime использовался для доставки полезных нагрузок с февраля по июнь 2024 года, включая: LPEClient, ServiceChanger, Charamel Loader и CookiePlus.
CookiePlus получил свое название в виду маскировки под плагин Notepad++ с открытым исходным кодом под названием ComparePlus, когда он был обнаружен в дикой природе в первый раз. В атаках он был основан на другом проекте под названием DirectX-Wrappers.
Вредоносная программа служит загрузчиком для извлечения полезной нагрузки, закодированной Base64 и зашифрованной RSA, с сервера C2, которая затем декодируется и расшифровывается для выполнения трех различных шеллкодов или DLL с функциями сбора информации.
Предполагается, что CookiePlus является преемником MISTPEN из-за совпадений в поведении двух штаммов вредоносных ПО, включая тот факт, что оба они маскируются под плагины Notepad++.
Длительное время группа Lazarus использовала лишь небольшое количество модульных вредоносных фреймворков, таких как Mata и Gopuram Loader, однако внедрение новыых модульных вредоносных ПО, такие как CookiePlus, говорит о том, что группа продолжает работать над улучшением своего арсенала и цепочек заражения.
Атаки завершались развертыванием нового модульного бэкдора CookiePlus и являлись частью долговременной кампании кибершпионажа, известной как Operation Dream Job, которая также отслеживается ЛК как NukeSped.
Она активна по крайней мере с 2020 года, когда ее раскрыла ClearSky.
Lazarus крайне заинтересована в проведении атак на цепочки поставок в рамках кампании DeathNote, ограничиваясь двумя методами.
Первый — отправка вредоносного документа или троянизированного инструмента просмотра PDF, которое отображает цели специально подобранные описания вакансий.
Второй способ - доставка троянизированных инструментов удаленного доступа, убеждая жертву подключиться к определенному серверу для оценки навыков.
Последняя серия атак, задокументированная ЛК, реализует второй: задействуется полностью переработанная цепочка заражения с троянизированной VNC под предлогом проведения оценки навыков для ИТ-должностей в крупных аэрокосмических и оборонных компаниях.
Lazarus доставила архивный файл как минимум двум людям в одной организации (назовем их Host A и Host B), а через месяц хакеры предприняли более интенсивные атаки на первую цель.
Предполагается, что приложения VNC, троянизированная версия TightVNC под названием AmazonVNC.exe, распространялись в виде образов ISO и файлов ZIP. В других случаях для загрузки вредоносной DLL, упакованной в архив ZIP, использовалась легитимная версия UltraVNC.
DLL (vnclang.dll) служит загрузчиком для бэкдора, получившего название MISTPEN, который был обнаружен Mandiant в сентябре 2024 года. Он также использовался доставки двух дополнительных полезных нагрузок под названием RollMid и нового варианта LPEClient.
Исследователи ЛК заявили, что также задетектили вредоносное ПО CookieTime, развернутое на хосте A, хотя точный метод, который использовался для его внедрения, остается неизвестным.
Впервые обнаруженный компанией в сентябре и ноябре 2020 года, CookieTime назван из-за использования закодированных значений cookie в HTTP-запросах для получения инструкций с сервера управления и контроля (C2).
Дальнейшее расследование цепочки атак показало, что злоумышленник переместился с хоста A на другую машину (хост C), где CookieTime использовался для доставки полезных нагрузок с февраля по июнь 2024 года, включая: LPEClient, ServiceChanger, Charamel Loader и CookiePlus.
CookiePlus получил свое название в виду маскировки под плагин Notepad++ с открытым исходным кодом под названием ComparePlus, когда он был обнаружен в дикой природе в первый раз. В атаках он был основан на другом проекте под названием DirectX-Wrappers.
Вредоносная программа служит загрузчиком для извлечения полезной нагрузки, закодированной Base64 и зашифрованной RSA, с сервера C2, которая затем декодируется и расшифровывается для выполнения трех различных шеллкодов или DLL с функциями сбора информации.
Предполагается, что CookiePlus является преемником MISTPEN из-за совпадений в поведении двух штаммов вредоносных ПО, включая тот факт, что оба они маскируются под плагины Notepad++.
Длительное время группа Lazarus использовала лишь небольшое количество модульных вредоносных фреймворков, таких как Mata и Gopuram Loader, однако внедрение новыых модульных вредоносных ПО, такие как CookiePlus, говорит о том, что группа продолжает работать над улучшением своего арсенала и цепочек заражения.
Securelist
Lazarus targets nuclear-related organization with new malware
Lazarus targets employees of a nuclear-related organization with a bunch of malware, such as MISTPEN, LPEClient, RollMid, CookieTime and a new modular backdoor CookiePlus.
Исследователи F.A.C.C.T. в новом отчете отмечают, что доступность исходных кодов и билдеров ransomware (Babuk, Conti и LockBit 3 (Black) в условиях текущей геополитической ситуации породила большое количество хакерских групп, нацеленных на российские компании и физлиц.
Наряду с политически мотивированными хактивистами данной ситуацией воспользовались и обычные киберпреступники, в том числе участники новой группы вымогателей Masque.
Masque – русскоговорящая финансово мотивированная группа, реализующая атаки на российский бизнес с использованием программ-вымогателей LockBit 3 (Black) и Babuk (ESXi).
Сумма первоначального выкупа составляет 5-10 млн. рублей (в BTC или XMR).
Свою деятельность группа Masque начала с января 2024 года, с мая по октябрь 2024 года было заметное снижение ее активности. Однако в ноябре-декабре 2024 года совершила несколько атак на более крупные российские компании.
В большинстве случаев начальным вектором атаки Masque является реализация уязвимости в публично доступных сервисах, таких как VMware Horizon, через эксплуатацию уязвимости CVE-2021-44228 (log4shell).
После успешной эксплуатации уязвимости атакующие используют скомпрометированный сервер в качестве плацдарма для дальнейшего развития атаки.
После получения доступа атакующие оперативно устанавливают инструменты удалённого доступа, такие как AnyDesk, который загружают с помощью легитимной утилиты certutil.
Для обеспечения устойчивого доступа атакующие создают локальные учётные записи, добавляя их в группу администраторов.
Кроме того, они создают доменные учётные записи и включают их в группу Enterprise Admins, чтобы использовать их при развертывании шифровальщика.
Атакующие, как правило, целенаправленно не тратят время на обход средств защиты информации и антивирусных решений.
Средства защиты отключаются только тогда, когда они препятствуют загрузке или запуску инструментов, либо после их обнаружения и блокировки.
Masque настраивает сетевые туннели для связи с С2 с помощью публично доступных инструментов, таких как chisel и LocaltoNet для создания альтернативных каналов доступа к инфраструктуре жертвы.
Основное перемещение внутри сети осуществляется с использованием протоколов RDP и SSH. В некоторых случаях злоумышленники используют WinRM, а также SMBExec из фреймворка Impacket.
Группа Masque не уделяет должного внимания глубокому изучению инфраструктуры жертвы и предварительной эксфильтрации. В результате этого резервные копии часто остаются нетронутыми, а данные на некоторых хостах не шифруются вовсе.
Для общения со своей жертвой злоумышленники используют мессенджер Tox, для каждой жертвы используется свой уникальный идентификатор.
В целом, группа не демонстрирует в атаках изощренных и инновационных методов.
Тем не менее, у имевшей до определенной поры достаточно скудный арсенал Masque, исследователи все же обнаружили любопытную программу, которую эксперты назвали MystiqueLoader.
Все технические подробности, описание TTPs атакующих и рекомендации по защите - в отчете F.A.C.C.T.
Наряду с политически мотивированными хактивистами данной ситуацией воспользовались и обычные киберпреступники, в том числе участники новой группы вымогателей Masque.
Masque – русскоговорящая финансово мотивированная группа, реализующая атаки на российский бизнес с использованием программ-вымогателей LockBit 3 (Black) и Babuk (ESXi).
Сумма первоначального выкупа составляет 5-10 млн. рублей (в BTC или XMR).
Свою деятельность группа Masque начала с января 2024 года, с мая по октябрь 2024 года было заметное снижение ее активности. Однако в ноябре-декабре 2024 года совершила несколько атак на более крупные российские компании.
В большинстве случаев начальным вектором атаки Masque является реализация уязвимости в публично доступных сервисах, таких как VMware Horizon, через эксплуатацию уязвимости CVE-2021-44228 (log4shell).
После успешной эксплуатации уязвимости атакующие используют скомпрометированный сервер в качестве плацдарма для дальнейшего развития атаки.
После получения доступа атакующие оперативно устанавливают инструменты удалённого доступа, такие как AnyDesk, который загружают с помощью легитимной утилиты certutil.
Для обеспечения устойчивого доступа атакующие создают локальные учётные записи, добавляя их в группу администраторов.
Кроме того, они создают доменные учётные записи и включают их в группу Enterprise Admins, чтобы использовать их при развертывании шифровальщика.
Атакующие, как правило, целенаправленно не тратят время на обход средств защиты информации и антивирусных решений.
Средства защиты отключаются только тогда, когда они препятствуют загрузке или запуску инструментов, либо после их обнаружения и блокировки.
Masque настраивает сетевые туннели для связи с С2 с помощью публично доступных инструментов, таких как chisel и LocaltoNet для создания альтернативных каналов доступа к инфраструктуре жертвы.
Основное перемещение внутри сети осуществляется с использованием протоколов RDP и SSH. В некоторых случаях злоумышленники используют WinRM, а также SMBExec из фреймворка Impacket.
Группа Masque не уделяет должного внимания глубокому изучению инфраструктуры жертвы и предварительной эксфильтрации. В результате этого резервные копии часто остаются нетронутыми, а данные на некоторых хостах не шифруются вовсе.
Для общения со своей жертвой злоумышленники используют мессенджер Tox, для каждой жертвы используется свой уникальный идентификатор.
В целом, группа не демонстрирует в атаках изощренных и инновационных методов.
Тем не менее, у имевшей до определенной поры достаточно скудный арсенал Masque, исследователи все же обнаружили любопытную программу, которую эксперты назвали MystiqueLoader.
Все технические подробности, описание TTPs атакующих и рекомендации по защите - в отчете F.A.C.C.T.
Sophos сообщает об исправлении трех уязвимостей в своем продукте Sophos Firewall, которые позволяют удаленным неаутентифицированным злоумышленникам выполнять SQL-инъекции, удаленное выполнение кода и получать привилегированный SSH-доступ к устройствам.
Уязвимости затрагивают Sophos Firewall версии 21.0 GA (21.0.0) и более ранних версий, при этом компания уже выпускает исправления, которые устанавливаются по умолчанию, а также постоянные исправления в новых обновлениях прошивки.
Проблемы отслеживаются как:
- CVE-2024-12727: уязвимость SQL-инъекции до аутентификации в функции защиты электронной почты. Если включена определенная конфигурация Secure PDF eXchange (SPX) в сочетании с режимом высокой доступности (HA), она разрешает доступ к базе данных отчетов, что потенциально приводит к RCE.
- CVE-2024-12728: предлагаемая неслучайная парольная фраза для входа в SSH для инициализации кластера высокой доступности остается активной после завершения процесса, что делает системы, в которых включен SSH, уязвимыми для несанкционированного доступа из-за предсказуемых учетных данных.
- CVE-2024-12729: аутентифицированный пользователь может использовать уязвимость внедрения кода в User Portal. Это позволяет злоумышленникам с действительными учетными данными выполнять произвольный код удаленно.
Исправления доступны в различных версиях и устанавливаются по умолчанию, инструкции по их применению и проверке можно найти здесь - KBA-000010084.
Кроме того, Sophos также предложила обходные пути для снижения рисков, связанных с CVE-2024-12728 и CVE-2024-12729, для тех, кто не может применить исправление или обновление.
Для устранения CVE-2024-12728 рекомендуется ограничить доступ по SSH только выделенным каналом HA, который физически отделен от остального сетевого трафика, и перенастроить настройку HA, используя достаточно длинную и случайную пользовательскую парольную фразу.
Для удаленного управления и доступа обычно рекомендуется отключить SSH через интерфейс WAN и использовать Sophos Central или VPN.
Для смягчения последствий CVE-2024-12729 администраторам рекомендуется убедиться, что интерфейсы пользовательского портала и веб-администрирования не доступны из глобальной сети.
Уязвимости затрагивают Sophos Firewall версии 21.0 GA (21.0.0) и более ранних версий, при этом компания уже выпускает исправления, которые устанавливаются по умолчанию, а также постоянные исправления в новых обновлениях прошивки.
Проблемы отслеживаются как:
- CVE-2024-12727: уязвимость SQL-инъекции до аутентификации в функции защиты электронной почты. Если включена определенная конфигурация Secure PDF eXchange (SPX) в сочетании с режимом высокой доступности (HA), она разрешает доступ к базе данных отчетов, что потенциально приводит к RCE.
- CVE-2024-12728: предлагаемая неслучайная парольная фраза для входа в SSH для инициализации кластера высокой доступности остается активной после завершения процесса, что делает системы, в которых включен SSH, уязвимыми для несанкционированного доступа из-за предсказуемых учетных данных.
- CVE-2024-12729: аутентифицированный пользователь может использовать уязвимость внедрения кода в User Portal. Это позволяет злоумышленникам с действительными учетными данными выполнять произвольный код удаленно.
Исправления доступны в различных версиях и устанавливаются по умолчанию, инструкции по их применению и проверке можно найти здесь - KBA-000010084.
Кроме того, Sophos также предложила обходные пути для снижения рисков, связанных с CVE-2024-12728 и CVE-2024-12729, для тех, кто не может применить исправление или обновление.
Для устранения CVE-2024-12728 рекомендуется ограничить доступ по SSH только выделенным каналом HA, который физически отделен от остального сетевого трафика, и перенастроить настройку HA, используя достаточно длинную и случайную пользовательскую парольную фразу.
Для удаленного управления и доступа обычно рекомендуется отключить SSH через интерфейс WAN и использовать Sophos Central или VPN.
Для смягчения последствий CVE-2024-12729 администраторам рекомендуется убедиться, что интерфейсы пользовательского портала и веб-администрирования не доступны из глобальной сети.
SOPHOS
Cybersecurity as a Service Delivered | Sophos
We Deliver Superior Cybersecurity Outcomes for Real-World Organizations Worldwide with a Broad Portfolio of Advanced Security Products and Services.
Как мы предполагали, удавки, накинутые на известных поставщиков spyware, в ближайшей перспективе будут сжиматься и достаточно ловко.
Первой, по всей видимости, в небытие отправят NSO Group, которая потерпела фиаско в пятилетнем судебном процессе, связанном с Pegasus, который был нацелен на уязвимости в мессенджере WhatsApp.
WhatsApp изначально подала жалобу на NSO Group еще в конце 2019 года, обвиняя ее в доступе к своим серверам без разрешения для установки инструмента Pegasus на 1400 устройств в мае того года.
Атаки были нацелены на 0-day в функции голосовых вызовов приложения (CVE-2019-3568, CVSS: 9,8) для инициирования развертывания шпионского ПО.
Затем добавились новые обвинения, в связи с тем, что NSO Group продолжала использовать WhatsApp для распространения шпионского ПО вплоть до мая 2020 года.
В свою защиту NSO Group неоднократно утверждала, что ее софт предназначался исключительно для использования государственными и правоохранительными органами для борьбы с тяжкими преступлениями, спасения похищенных детей и оказания содействия в ЧС.
Но на днях федеральный окружной судья Филлис Дж. Гамильтон в штате Калифорния ввынес решение в пользу Meta (признана в РФ экстремистской), отмечая, что представленные суду доказательства показывают, что код Pegasus ответчиков отправлялся через серверы истцов 43 раза в течение соответствующего периода времени в мае 2019 года.
Как отметил судья, NSO Group неоднократно не предоставляла соответствующих сведений и не выполняла постановления суда относительно таких сведений, имея в виду неспособность компании предоставить исходный код Pegasus.
По итогу суд признал NSO Group ответственной за нарушение договора, придя к выводу, что компания нарушила условия обслуживания WhatsApp, которые запрещают использование платформы обмена сообщениями в вредоносных или незаконных целях.
Теперь дальнейшее производство по делу будет вестись для решения вопроса возмещения ущерба, а учитывая практику штатского судопроизводства, суммы будут серьезные, возможно даже неподъемные для ответчика.
Но будем посмотреть.
Первой, по всей видимости, в небытие отправят NSO Group, которая потерпела фиаско в пятилетнем судебном процессе, связанном с Pegasus, который был нацелен на уязвимости в мессенджере WhatsApp.
WhatsApp изначально подала жалобу на NSO Group еще в конце 2019 года, обвиняя ее в доступе к своим серверам без разрешения для установки инструмента Pegasus на 1400 устройств в мае того года.
Атаки были нацелены на 0-day в функции голосовых вызовов приложения (CVE-2019-3568, CVSS: 9,8) для инициирования развертывания шпионского ПО.
Затем добавились новые обвинения, в связи с тем, что NSO Group продолжала использовать WhatsApp для распространения шпионского ПО вплоть до мая 2020 года.
В свою защиту NSO Group неоднократно утверждала, что ее софт предназначался исключительно для использования государственными и правоохранительными органами для борьбы с тяжкими преступлениями, спасения похищенных детей и оказания содействия в ЧС.
Но на днях федеральный окружной судья Филлис Дж. Гамильтон в штате Калифорния ввынес решение в пользу Meta (признана в РФ экстремистской), отмечая, что представленные суду доказательства показывают, что код Pegasus ответчиков отправлялся через серверы истцов 43 раза в течение соответствующего периода времени в мае 2019 года.
Как отметил судья, NSO Group неоднократно не предоставляла соответствующих сведений и не выполняла постановления суда относительно таких сведений, имея в виду неспособность компании предоставить исходный код Pegasus.
По итогу суд признал NSO Group ответственной за нарушение договора, придя к выводу, что компания нарушила условия обслуживания WhatsApp, которые запрещают использование платформы обмена сообщениями в вредоносных или незаконных целях.
Теперь дальнейшее производство по делу будет вестись для решения вопроса возмещения ущерба, а учитывая практику штатского судопроизводства, суммы будут серьезные, возможно даже неподъемные для ответчика.
Но будем посмотреть.
CourtListener
WhatsApp Inc. v. NSO Group Technologies Limited, 4:19-cv-07123 - CourtListener.com
Docket for WhatsApp Inc. v. NSO Group Technologies Limited, 4:19-cv-07123 — Brought to you by Free Law Project, a non-profit dedicated to creating high quality open legal information.
Ровно 5 лет назад наш канал начал свое вещание в этом прекрасном месте под названием Telegram.
Честно говоря, в первый год мы сами испытывали сомнения в каких-то особых перспективах своего развития, было даже мнение, что 5 тысяч человек - наш потолок аудитории в принципе. А вот гляди-ка ж - без двух минут 40к!
Не будем оценивать свою роль в диджитал российского (и, судя по статистике, не только российского) инфосека, это неприлично. И так понятно, что оно не последнее. Хотим сказать лишь одно.
За эти годы мы не отступили от своих принципов, которые были приняты в самом начале ведения канала:
- не становиться формальной лентой новостей, стараясь всегда придерживаться авторского взгляда на вещи;
- не бояться возможных обвинений в излишне фривольном стиле ведения канала (все, кому не нравится, могут пройти козе в трещину!);
- не заниматься чернухой и быть объективными настолько, насколько это позволяет наше субъективное восприятие.
Канал сегодня не работает! Сегодня весь день дискотека!!!
Честно говоря, в первый год мы сами испытывали сомнения в каких-то особых перспективах своего развития, было даже мнение, что 5 тысяч человек - наш потолок аудитории в принципе. А вот гляди-ка ж - без двух минут 40к!
Не будем оценивать свою роль в диджитал российского (и, судя по статистике, не только российского) инфосека, это неприлично. И так понятно, что оно не последнее. Хотим сказать лишь одно.
За эти годы мы не отступили от своих принципов, которые были приняты в самом начале ведения канала:
- не становиться формальной лентой новостей, стараясь всегда придерживаться авторского взгляда на вещи;
- не бояться возможных обвинений в излишне фривольном стиле ведения канала (все, кому не нравится, могут пройти козе в трещину!);
- не заниматься чернухой и быть объективными настолько, насколько это позволяет наше субъективное восприятие.
Канал сегодня не работает! Сегодня весь день дискотека!!!