Ресерчеры Akamai выкатили отчет в отношении новой вредоносной технологии, которая задействует службу специальных возможностей Windows под названием UI Automation (UIA) для выполнения широкого спектра вредоносных действий и обхода инструментов EDR.

Для реализации метода пользователя необходимо убедить запустить программу, которая использует UI Automation. Это может привести к скрытому выполнению команд, которые могут собирать конфиденциальные данные, перенаправлять браузеры на фишинговые веб-сайты и многое другое.

Хуже того, локальные злоумышленники могут воспользоваться пробелом в безопасности для выполнения команд и чтения/записи сообщений из/в приложения обмена сообщениями, такие как Slack и WhatsApp.

Кроме того, его также можно потенциально использовать в качестве оружия для манипулирования элементами пользовательского интерфейса по сети.

Впервые появившая в Windows XP как компонент Microsoft .NET Framework, UI Automation предназначена для программного доступа к различным элементам пользовательского интерфейса (UI) и помощи пользователям в управлении ими с помощью вспомогательных технологических продуктов.

Приложения вспомогательных технологий обычно нуждаются в доступе к защищенным элементам пользовательского интерфейса системы или к другим процессам, которые могут выполняться на более высоком уровне привилегий

Поэтому приложения вспомогательных технологий должны быть доверенными для системы и должны работать с особыми привилегиями. Чтобы получить доступ к процессам более высокого IL, приложение должно установить флаг UIAccess в манифесте приложения и запускаться пользователем с правами администратора.

Взаимодействие пользовательского интерфейса с элементами других приложений достигается за счет использования модели компонентных объектов (COM) в качестве механизма межпроцессного взаимодействия (IPC).

Это позволяет создавать объекты UIA, которые можно использовать для взаимодействия с приложением путем настройки обработчика событий, который запускается при обнаружении определенных изменений пользовательского интерфейса.

Исследование Akamai показало, что такой подход также может открыть путь для злоупотреблений, позволяя злоумышленникам читать/писать сообщения, красть данные, введенные на сайтах (например, платежную информацию), и выполнять команды, которые перенаправляют жертв на вредоносные сайты.

Тем не менее, следует отметить, что каждый из вредоносных сценариев является запланированной функцией UI Automation, точно так же, как API служб специальных возможностей Android, который стал основным способом извлечения вредоносным ПО информации из взломанных устройств.

Полный обзор возможностей использования фреймворка UI Automation и PoC для каждого вектора злоупотреблений - в отчете.

Ранее в ноябре мы сообщали об обнаружении BlackBerry кампании кибершпионажа, нацеленной на ВМС Пакистана, в ходе которой использовались вредоносные PDF для сбора учетных данных и развертывания вредоносного ПО (один из штаммов Sync-Scheduler).

На тот момент BlackBerry не смогла атрибутировать атаки к конкретному субъекту, однако последующий анализ исследователей DomainTools выявил значительные совпадения в TTPs и устремлениях с индийской APT, известной как SloppyLemming (aka OUTRIDER TIGER).

Группа, в первую очередь, нацелена на Пакистан, уделяя особое внимание таким целям, как правительственный сектор и оборона.

SloppyLemming часто использует свой собственный инструмент регистрации учетных данных CloudPhish на доменах Cloudflare Worker для компрометации учетных данных электронной почты целевых лиц.

Одним из почтовых клиентов, на которые нацеливался CloudPhish, как раз и быле мы сообщалитот самый почтовый клиент, упомянутый во вредоносной активности, описанной в отчете BlackBerry.

SloppyLemming также использовала PDF-документы для сбора учетных данных и доставки вредоносного ПО.

Правда, как отмечают в DomainTools, заключения о причастности SloppyLemming к атакам на ВМС Пакистана имеют низкую степень уверенности. Также не исключается версия, что за кампанией может стоять подгруппа указанной APT.

Эпопея с 0-day в решениях Cleo VLTrader, Harmony и LexiCom, находящейся под прессом банды вымогателей Termite, получает активное развитие.

Первые атаки на полностью исправленное ПО были обнаружены Huntress еще 3 декабря.

Затем последовал бурный рост активности к 8 декабря, после того как злоумышленники быстро обнаружили обход CVE-2024-50623 (без CVE-ID), который позволял импортировать и выполнять произвольные команды bash или PowerShell, используя настройки папки автозапуска по умолчанию.

Исследователи BinaryDefense, Huntress и Rapid7 опубликовали технический анализ полезной нагрузки (Java webshell/RAT/backdoor), сброшенной на взломанные серверы передачи файлов Cleo.

Huntress отслеживает этот штамм вредоносных программ как Malichus, сообщая о ее развертываниях исключительно на устройствах Windows, но при наличии также поддержки Linux.

В свою очередь, исследователи watchTowr Labs решили подлить масла в огонь и выпустили экспериментальный PoC для нуля (CVE-2024-50623) в серверах передачи файлов Cleo.

Поставщик же к этому времени успел разобраться в сути проблем и выпустить в среду исправление (5.8.0.24).

Однако число подтвержденных жертв к этому времени уже возросло до 50, а число доступных серверов Cleo все еще достигает почти 400 экземпляров, большая часть из которых находятся в США.

Так что продолжаем следить за развитием кампании банды Termite. Конечно, не масштабы Clop - но подход определенно засчитан.

Исследователи из Лаборатории Касперского сообщают об обнаружении новой активности Careto, одной из старейших известных APT-групп.

Результаты своего исследования ЛК представила в рамках доклада на 34-й международной конференции Virus Bulletin (запись презентации можно - здесь).

Также известная как The Mask, группа впервые была замечена в 2007 году и, как предполагается, действует с позиции одной из испаноязычной стран.

В числе основных целей APT - известные правительственные организации, дипучреждения и научно-исследовательские институты. The Mask задействует достаточно сложные импланты, часто доставляемые через 0-day эксплойты.

Вновь выявленные кампании были нацелены на организацию в Латинской Америке, отметившись необычными методами заражения и сложным многокомпонентным вредоносным ПО.

Каким образом эта организация была скомпрометирована, установить не удалось, известно, что в ходе заражения злоумышленники получили доступ к ее почтовому серверу MDaemon, который использовался для поддержания устойчивости с помощью уникального метода.

Метод сохранения, используемый злоумышленником, был основан на WorldClient, позволяющем загружать расширения, которые обрабатывают пользовательские HTTP-запросы от клиентов к серверу электронной почты.

Для задействования WorldClient в целях персистентности, злоумышленник скомпилировал собственное расширение и настроил его, добавив вредоносные записи для параметров CgiBase6 и CgiFile6.

Таким образом, злоумышленник смог взаимодействовать с вредоносным расширением, отправляя HTTP-запросы на URL https://<имя домена веб-почтового сервера>/WorldClient/mailbox.

Вредоносное расширение, установленное злоумышленниками, реализовывало набор команд, связанных с разведкой, выполнением взаимодействия с файловой системой и выполнением дополнительных полезных нагрузок.

Чтобы распространиться на другие машины, злоумышленники загрузили четыре файла, а затем создали запланированные задачи с помощью одного из них - Tpm-HASCertRetr.xml.

При запуске эти запланированные задачи выполняли команды, указанные в другом файле ~dfae01202c5f0dba42.cmd, который в свою очередь устанавливал драйвер hmpalert.sys и настраивал его на загрузку при запуске.

Одной из функций драйвера hmpalert.sys является загрузка DLL HitmanPro. Поскольку этот драйвер не проверяет легитимность загружаемых им DLL, злоумышленники смогли разместить свои полезные DLL по этому пути.

Полезная нагрузка, содержащаяся во вредоносной библиотеке hmpalert.dll, оказалась ранее неизвестным имплантом, который получил название FakeHMP.

Его возможности включали извлечение файлов из системы, регистрацию нажатий клавиш, создание снимков экрана и развертывание дополнительных полезных нагрузок на зараженных машинах.

При этом дальнейший анализ показал, что организация-жертва также была скомпрометирована в ходе APT-атаки еще и в 2019 году. Более ранняя атака включала использование двух вредоносных фреймворков Careto2 и Goreto.

Технические подробности наблюдавшихся кампаний 2019 и 2022-2024 гг., особенности атрибуции и ссылки на доклады с конфы - в отчете.

Разработчики Suricata сообщают выпуске версии 7.0.8 своей IDS/IPS-системы с исправлениями пяти уязвимостей, две из которых, CVE-2024-55627 и CVE-2024-55605, относятся к категории критических.

Две другие, CVE-2024-55628 и CVE-2024-55629 отнесены к высокоуровневым проблемам, и оставшаяся CVE-2024-55626 - к низкому.

Обнаружение проблем приписывается следующим исследователям: Алексей Симаков, Ной Лю, Роман Ежов (Positive Technologies), Саша Стейнбисс, Симен Либекк, Team Superflat, Земетри Камимидзу, Oss-Fuzz, Coverity.

Подробностей пока мало, будем следить.

Исследователи Forescout и PRODAFT выкатили совместный отчет в отношении кампании, нацеленной на более чем 20 000 устройств DrayTek Vigor по всему миру.

Одной из жертв изучаемой масштабной хакерской атаки на DrayTek стало Полицейское управление Большого Манчестера, которое подверглось атаке вируса-вымогателя в сентябре прошлого года.

Как отмечают исследователи, с августа прошлого года злоумышленники тайно использовали 0-day в маршрутизаторах DrayTek для взлома устройств, кражи паролей, а затем развертывания программ-вымогателей в подключенных сетях.

Атаки были совершены группой злоумышленников, известной как Monstrous Mantis, которая, как полагают, связана с бандой вымогателей Ragnar Locker.

Злоумышленник задействовал уязвимость нулевого дня для извлечения паролей маршрутизаторов DrayTek Vigor, а затем передавал учетные данные операторам, двое из которых были идентифицированы как давние участники различных Ransomware-as-a-Service.

Избирательно делясь расшифрованными учетными данными с доверенными партнерами, Monstrous Mantis поддерживал жесткий контроль над распределением жертв и обеспечивал операционную секретность.

Они использовали эти пароли для взлома корпоративных сетей, а затем запускали такие программы-вымогатели, как RagnarLocker, Qilin, Nokoyawa или RansomHouse.

Первая партнерская группа была установлена как Ruthless Mantis (PTI-288), бывший филиал банды REvil.

Сосредоточившись преимущественно на организациях в Великобритании и Нидерландах, они успешно скомпрометировали не менее 337 организаций, доставляя Nokoyawa и Qilin.

Профиль их жертв варьировался от крупных предприятий до МСП, что подчеркивает их неизбирательную эксплуатацию уязвимых сетей для максимизации воздействия.

Второй партнер был идентифицирован как LARVA-15, известный как Wazawaka. Его операции распространялись на Великобританию, Нидерланды, Австралию, Тайвань, Италию, Польшу, Францию, Германию и Турцию.

Forescout и PRODAFT утверждают, что LARVA-15 не внедрял ransomware самостоятельно, а выступал в качестве брокера начального доступа (IAB), монетизируя свои вторжения.

При этом Forescout так и не удалось идентифицировать или связать потенциальную 0-day с известной CVE, и даже неясно, была ли она вообще когда-либо исправлена.

Исследователи предполагают, что уязвимость, по всей видимости, была нацелена на компонент прошивки маршрутизатора (mainfunction.cgi), который, как известно, содержит большой багаж накопленных уязвимостей: 22 назначенных новых записей CVE с момента выпуска Forescout отчета Dray:Break.

Причем большинство из этих недавно выявленных уязвимостей имеют общие первопричины, схожие с CVE-2020-8515, и соответствуют проблемам, которые Forescout обнаружили в исследовании DrayTek (CVE-2024-41592).

Исследователи сетуют, что сохранение подобных уязвимостей подчеркивает тревожную тенденцию: пока эти уязвимости остаются нерешенными, эксплуатация, скорее всего, продолжится не только на устройствах DrayTek, но и на других платформах.

Исследователи F.A.С.С.T. в новом отчете подводят итоги 2024 и прогнозируют основные тренды на 2025 год.

В целом основные показатели по условным категориям представлены следующим образом:

1. Сливы этого года: в публичном доступе появилось 259 ранее не опубликованных баз данных российских компаний (в 2023 году их было 246).

В этом году в Telegram появилось множество как закрытых, так и публичных каналов, которые публикуют ранее приватные утечки либо повторно распространяют уже опубликованную информацию.

Самой объемной «мегаутечкой» стал архив из 404 баз данных.

2. Градус жадности: число ransomware-атак выросло на 44% по сравнению с предыдущим годом.

При этом в 10% подобных инцидентов целью киберпреступников был не выкуп, а диверсия для нанесения  максимального ущерба жертве.

Чаще всего задействовались шифровальщики LockBit 3 Black и Mimic (на них пришлось до 50% инцидентов), а также Babuk, LokiLocker/BlackBit и Phobos.

К уже известным Shadow, Mimic, LokiLocker/BlackBit, Proxima, HsHarada добавились новые угрозы: MorLock, Head Mare, Masque, Enmity, Proton, Sauron.

Замечены также и те, которые используют для шифрования легитимное ПО: например, группы DCHelp с программой DiskCryptor, Salted2020, использующей OpenSSL и BitLocker, и др.

Суммы первоначального выкупа за расшифровку данных в 2024 году для малого бизнеса составляли от 100 тыс. до 5 млн рублей ($1000-$50 000), а для крупных и средних компаний (каждая пятая атака вымогателей), запросы преступников начинались от 5 млн рублей ($50 000).

Отличилась Shadow, орудующая под именем Darkstar, затребовав от одной из жертв выкуп в 300 млн рублей ($3 млн). А рекорд по скорости развития атаки поставила HsHarada: от «пробива» инфраструктуры до «разлива» шифровальщика - менее трех часов.

3. Высокое давление: число APT, атакующих Россию и СНГ выросло до 27 (в 2023 году было известно о 14 группировках), а групп хактивистов - до 17 (в 2023 - 13).

Наиболее активными были проукраинские APT Sticky Werewolf, Cloud Atlas, PhantomCore, а также пока неатрибутированные к конкретной стране Core Werewolf и XDSpy.

4. Почтовый шпион: рассылка вредоносных писем остаeтся одним из самых популярных векторов атаки на российские компании, а в «начинке» фишинговых писем чаще всего встречаются шпионское ПО и стилеры, их доля составила 69%.

В первой половине 2024-го самым популярным у киберпреступников, как и в предыдущие годы, было шпионское ПО AgentTesla.

После ликвидации его инфраструктуры летом этого года в лидеры вышли FormbookFormgrabber, инструмент для кражи учетных записей и персональных данных, и загрузчик CloudEyE.

5. Ссылки в зоне ru: в 2024 году среднее число поддельных ресурсов на один бренд выросло на 28% — с 7878 до 10 112, фишинговых ссылок - с 2441 до 3714,  мошеннических (скам) ресурсов — с 5437 до 6398 на бренд.

Главный вывод - масштабы киберугроз растут по всем фронтам, что отразилось и в прогнозах на 2025:

- рост количества атакующих, атак на мобильные устройства, атак с использованием ИИ и целевых атак на цепочки поставок (Trusted Relationship).
- расширение фишинговых атак на многофакторную аутентификацию (MFA).
- появление новых мошеннических схем и модификации уже известных («Мамонт»).
- архивы останутся самым популярным доставщиком вредоносной нагрузки в фишинговых письмах, но их упаковка будет меняться.
- рост доступности вредоносного ПО расширит возможности кибератак.

Исследователи из Positive Technologies сообщают об обнаружении фишинговой кампании, нацеленной на сотрудников государственных организаций России и Белоруссии, за которой стоит группировка Cloud Atlas.

Группировка атакует государственные организации в России и Белоруссии уже на протяжении 10 лет.

Несмотря на то что арсенал Cloud Atlas не претерпел значительных изменений, тем не менее они продолжают экспериментировать и совершенствовать свои TTPs.

Если ранее в качестве документа-приманки Cloud Atlas, как правило, использовала тексты, связанные с текущей геополитической обстановкой, то в рамках этой кампании документы представляли собой запросы о предоставлении определенного рода информации.

Рассылка от имени Министерства связи и информатизации Республики Беларусь осуществлялась с адресов на сервисе mail ru.

Обнаруженные вредоносные документы использовали технику удаленной загрузки шаблона (Template injection).

Ссылка на вредоносный шаблон вшита в поток 1Table вредоносного документа формата DOC.

На момент проведения фишинговой кампании вредоносные документы не детектировались средствами антивирусной защиты.

При запуске вредоносного документа загружается шаблон с сервера злоумышленника officeconfirm.technoguides[.]org (на момент расследования этот сервер был уже недоступен).

Но исследователям удалось отследить результаты проверки аналогичного DOC-файла на VirusTotal: на момент загрузки образца управляющий сервер был доступен и результаты поведенческого анализа документа оказались релевантными.

В графе поведенческого анализа в песочнице C2AE был обнаружен GET-запрос к управляющему серверу, в ответ на который сервер вернул файл типа application/hta. 

На зараженных узлах были обнаружены факты выполнения вредоносных VB-скриптов, записанных в альтернативные потоки данных файлов с именем AppCache***.log по пути %APPDATA%\Microsoft\Windows.

При этом VB-скрипты взаимодействовали с C2-сервером, в качестве которого использовался документ Google Sheets.

Рассматриваемый VB-скрипт отправляет данные о зараженном пользователе в документ Google Sheets по API, после чего на узле выполняется код Visual Basic, записанный в другой ячейке того же листа в зашифрованном виде.

В результате выполнения таких команд на зараженные узлы доставлялись экземпляры других инструментов группировки Cloud Atlas.

В частности, бэкдор PowerShower, выполняющий команды, полученные с C2-сервера mehafon[.]com.

Таким же образом было доставлено ВПО, использующее технику DLL Side-Loading и маскирующееся под компоненты Cisco Webex.

Легитимный уязвимый файл CiscoCollabHost.exe вызывает функцию SparkEntryPoint библиотеки CiscoSparkLauncher.dll, расположенной в той же папке. В ней же расположен файл с полезной нагрузкой.

Технические подробности, TTPs и индикаторы - в исследовании.

Исследователи из Лаборатории Касперского продолжают подводить итоги уходящего года и делать прогнозные оценки по угрозам на следующий, на этот раз связанным с даркнетом.

1. Как и предполагали в прошлом году исследователи, в 2024 году число сервисов, предлагающих крипторы в функционале своих коммерческих решений для обхода защитного ПО, увеличилось.

Цены на подобные инструменты остались прежними: от 100 долл. в месяц за обычные крипторы до 20 000 долл. за частные премиум-подписки. Последние постепенно вытесняют публичные предложения.

2. Продолжили развиваться сервисы распространения загрузчиков.

В даркнете фигурировали загрузчики с разной функциональностью: от массовых и дешевых до узкоспециализированных, разработанных по индивидуальным требованиям и продаваемых за тысячи долларов.

3. Кроме того, злоумышленники все чаще стали использовать несколько языков программирования.

Например, клиентская часть вредоносного ПО может быть разработана на C++, а серверная административная панель - на Go.

Помимо разнообразия предложений загрузчиков, также отмечен спрос на специфические инструменты, которые запускают определенные цепочки заражения.

4. В 2024 году на теневых рынках фиксировался рост активности дрейнеров, инструментов для кражи криптоактивов, таких как токены или NFT.

При этом количество уникальных тем с обсуждениями дрейнеров на подпольных рынках выросло с 55 в 2022 году до 129 в 2024 году.

Разработчики дрейнеров все больше внимания уделяют работе с постоянными клиентами, при этом основная часть деятельности ведется через каналы, доступные только по приглашению.

С функциональной точки зрения дрейнеры претерпели мало изменений, преимущественно добавлялась поддержка новых видов криптоактивов — монет, токенов и NFT.

Кроме того, в 2024 году появился первый мобильный дрейнер.

5. Схемы генерации черного трафика на подпольных рынках сохраняли свою популярность в 2024 году.

Подобные услуги активно продавались на подпольных рынках, а стабильный спрос подчеркивал эффективность распространения вредоносного ПО через популярные рекламные платформы. 

6. Рынок же биткойн-миксеров и сервисов анонимизации криптовалюты существенных изменений не показал.

Как прогнозируют в ЛК, в 2025 году будут актуальны следующие тренды:

- утечки данных через подрядчиков;

- миграция преступной деятельности из Telegram на форумы даркнета;

- реализация масштабных и громких операций правоохранителей против APT-группировок;

- сервисы по распространению стилеров и дрейнеров станут еще популярнее в даркнете;

- фрагментация групп вымогателей;

- эскалация киберугроз на Ближнем Востоке: расцвет хактивизма и вымогательства.

Proofpoint сообщает о новых ноябрьских атаках Bitter APT (отслеживает ее как TA397), нацеленных на турецкую компанию в сфере ВПК для внедрения вредоносных ПО на языке C++, известных как WmRAT и MiyaRAT.

В цепочке атак задействовались альтернативные потоки данных в архиве RAR для доставки файла LNK, который создавал запланированную задачу на целевой машине для извлечения дополнительных полезных данных.

Индийская APT также упоминается как APT-C-08, APT-Q-37, Hazy Tiger и Orange Yali, активна по крайней мере с 2013 года.

В числе последних целей - объекты в Китае, Пакистане, Индии, Саудовской Аравии и Бангладеш, которые были атакованы с использованием BitterRAT, ArtraDownloader и ZxxZ.

Кроме того, согласно отчетам BlackBerry и Meta (признана экстремистской в РФ) за 2019 и 2022, в арсенале Bitter были замечены такие вредоносные программы для Android, как PWNDROID2 и Dracarys.

Ранее в марте этого года исследователи NSFOCUS также детектировали фишинговые атаки со стороны Bitter в отношении китайского правительственного учреждения, в результате которых доставлялся RAT с функционалом кражи данных и удаленного управления.

Последняя цепочка атак, задокументированная Proofpoint, включала использование злоумышленником приманки в виде инфраструктурных проектов на Мадагаскаре для побуждения потенциальных жертв к запуску заминированного вложения в виде архива RAR.

В архиве содержался файл-обманка с описанием публичной инициативы Всемирного банка по развитию инфраструктуры на Мадагаскаре, файл ярлыка Windows, маскирующийся под PDF-файл, и скрытый файл альтернативного потока данных ADS, содержащий код PowerShell.

После запуска LNK один из потоков данных задействовал код для извлечения файла-приманки, размещенного на сайте Всемирного банка, в то время как второй поток данных ADS - скрипт PowerShell в кодировке Base64 для открытия документа-приманки и настройки запланированной задачи, отвечающей за извлечение полезных данных финального этапа с домена jacknwoods[.]com.

Как ранее отмечали в QiAnXin, WmRAT и MiyaRAT обладают стандартными возможностями RAT, позволяя собирать системную информацию, загружать или извлекать файлы, делать скрины, отслеживать геолокацию, сканировать файлы и каталоги, а также выполнять произвольные команды через cmd.exe или PowerShell.

При этом исследователи полагают, что MiyaRAT является более новым из двух инструментов в арсенале и применяется APT исключительно в отношении особо важных целей, ранее он фигурировал лишь в нескольких кампаниях.

Технические подробности WmRAT и MiyaRAT и цепочки атак - отчете.

Как мы предполагали еще три года назад, независимых разработчиков в области перспективных технологий коммерческого кибершпионажа в скором времени не остается от слова совсем.

Инициированный штатами глобальный передел с привлечением возможностей Минюста и богатого арсенала спецслужб постепенно обретает свои контуры.

После удачно накинутой удавки под предлогом нарушений прав человека на шеи израильской NSO Group, канадской Sandvine и греческой Intellexa, ведущий американский оборонный подрядчик приобретает израильскую компанию Paragon с ее передовым шпионским ПО Graphite.

Инвестиционная группа из Флориды AE Industrial Partners закрыла сделку 13 декабря на сумму 500 млн. долл (по данным Calcalist, сумма сделки может достичь $900 млн) и планирует объединить Paragon с Red Lattice, оборонным подрядчиком, специализирующимся на передовых решениях в сфере ИБ.

Как передают израильские СМИ, сделка была одобрена как израильскими, так и американскими чиновниками.

Такое решение стало возможным, поскольку в отличие своих конкурентов Paragon ограничивается сотрудничеством лишь с теми, кто «соответствуют стандартам просвещенной демократии».

Стоит отметить, что ранее впервые в истории штаты откатили собственные санкции в отношении Sandvine, которая также прониклась «высокими стандартами демократии» и пообещала пересмотреть свои контакты с неугодными режимами.

Вероятно, что-то еще может поменяться с приходом администрации Трампа, но если этого не случится в какой-то момент - удавки начнут окончательно затягиваться.

Но будем посмотреть.

А между тем, пока мы обсуждаем вопросы информационной безопасности, практически незаметно происходит какая-то НЕХ (не сокращение от Hexadecimal, а совсем даже наоборот). Впрочем, часть наших подписчиков про нее наверняка уже слышало.

Около месяца назад жители американского Нью-Джерси начали выкладывать в сеть видео и фото странных дронов размером под 2 метра, которые шныряют над прибрежным штатом как у себя дома, помаргивая при этом зелеными, белыми и красными огнями. Особенно смущает свидетелей два обстоятельства:
- маршруты дронов, которые часто пролегают по направлению в океан или из него;
- их просто неприлично большое количество (так, в одном из телевизионных репортажей журналист рассказывает, что съемочная группа стала непосредственным свидетелем пролета от 40 до 50 дронов за один час).

У кого-то из свидетелей глючит электроника, кто-то слышит странные звуки по радио. В X.com даже был создан тег #NJDRONES, под которым можно найти множество видеосъемок и комментариев очевидцев. В одном из случаев сообщалось о падении дрона на шоссе, после чего место крушения было оцеплено полицией. Все это выходит за рамки обычного (или даже необычного) пранка. Да и в других штатах дроны тоже стали замечать.

Шум понялся настолько большой, что официальные власти были вынуждены отреагировать и начать давать свои комментарии. Неделю назад Фил Мерфи, губернатор Нью-Джерси, провел специальную пресс-конференцию, сказав, что это очень сложный вопрос для властей. Через два дня местный конгрессмен Джеф Ван Дрю заявил на Fox News, что, по данным его конфиденциальных источников, дроны запускаются с иранского корабля-матки, дрейфующего где-то в Атлантике. В ответ на это представитель Пентагона на пресс-конференции заявила, что это все фигня и корабля нету.

Дальше – больше. На тему дронов высказались советник по национальной безопасности Президента США Джон Кирби и известный сенатор Чак Шумер, которые сообщили, что «никто не знает, что это такое». А Дональд Трамп в социальной сети Truth Social, по сути, призвал правительство либо признать что эти «таинственные дроны» принадлежат федеральным властям, либо сбивать их.

Плюс появилась куча других свидетельств в отношении НЛО, взлетающих у побережья Кувейта из океана светящихся шаров и пр.

Теорий звучит, понятное дело, множество – от конспирологии Project Blue Beam, согласно которой это последний этап установления глобальной диктатуры, имитирующий инопланетное вторжение, до вполне рационального предположения, что это федеральные дроны, которые используют для выявления источников гамма-излучения (то есть для поиска потерянной ядерной бомбы).

Как бы там ни было, сегодня в 10 часов вечера по МСК состоится совместная конференция ЦРУ, ФБР и Минобороны США, посвященная данному вопросу. Может там чего скажут.

А SecAtor скромно постоит в сторонке и лишь напомнит, что мы писали про эту ебанину всего лишь каких-то 3,5 года назад.

Исследователи задетектили начало кампании, нацеленной на поиск уязвимых экземпляров и эксплуатацию новой критической уязвимости Apache Struts 2 с использованием общедоступных PoC-эксплойтов.

Apache публично раскрыла CVE-2024-53677 (CVSS 4.0: 9,5) шесть дней назад.

Она затрагивает Struts версий 2.0.0–2.3.37 (EoL), 2.5.0–2.5.33 и 6.0.0–6.3.0.2.

Как отмечают разработчики, ошибка в логике загрузки файлов программного обеспечения допускает обход путей и и при некоторых обстоятельствах - загрузку вредоносных файлов, которые могут быть использованы для RCE.

Проще говоря, уязвимость позволяет злоумышленникам загружать такие файлы, как веб-оболочки в ограниченные директории и использовать их для удаленного выполнения команд, загрузки дополнительных полезных нагрузок и кражи данных.

Уязвимость похожа на более раннюю CVE-2023-50164, и по всей видимости, является той же самой проблемой, которая вновь вернулась из-за неполноценного исправления.

Исследователь ISC SANS Йоханнес Ульрих первым сообщил об обнаруженных попытках эксплуатации уязвимостей, которые, по всей видимости, задействуют общедоступные эксплойты или, по крайней мере, в значительной степени полагаются на них.

При этом к настоящему времени инициатор кампании предпринимает активные действия по поиску уязвимых систем, используя эксплойт для загрузки файла exploit.jsp, содержащего одну строку кода для вывода строки Apache Struts.

Затем пытается получить доступ к скрипту, чтобы убедиться, что сервер был успешно проэксплуатирован. Все попытки исходят только с одного IP 169.150.226.162.

В свою очередь, Apache рекомендует пользователям обновиться до Struts 6.4.0 или более поздней версии и перейти на новый механизм загрузки файлов.

Простого применения исправления недостаточно, поскольку код, который обрабатывает загрузку файлов в приложениях Struts, необходимо переписать для реализации нового механизма Action File Upload.

Регуляторы из Канады, Австралии и Бельгии уже забили тревогу, оповещая затронутых разработчиков ПО принять срочные меры.

И не зря переживают, ведь ровно лгод назад хакеры также использовали доступные PoC для атак на уязвимые серверы Struts и удаленного выполнения кода.

Генпрокуратура РФ признала нежелательной на территории России деятельность (вестника вашингтонского обкома) американской неправительственной организации Recorded Future.

Компания основана в 2009 году и на текущий момент принадлежит MasterCard, штаб-квартира расположена в штате Массачусетс, филиалы - в Великобритании, Швеции, Японии и Сингапуре.

Финансирование получает от ведущих американских корпораций, включая Google и In-Q-Tel. Последняя активно инвестирует в подобные стартапы в интересах ЦРУ, РУМО и АНБ США.

Как отмечают в Генеральной прокуратуре, сотрудники Recorded Future реализуют услуги по поиску, обработке и аналитике данных, в том числе в закрытом сегменте Интернета.

Специализируются на киберугрозах, активно взаимодействуют с ЦРУ и разведслужбами других государств. Обеспечивают информационно-техническую поддержку развернутой Западом пропагандистской кампании против России.

Организация участвует в сборе и анализе данных о действиях ВС РФ. Обеспечивает украинским специалистам свободный доступ к программам, используемым для подготовки и проведения наступательных информационных операций против России.

Исследователи BI.ZONE сообщают об активизации кластера Paper Werewolf, который с 2022 года атакует организации в сферах госуправления, энергетики, финансов, СМИ и др.

Киберпреступники рассылают фишинговые письма от имени российских организаций с вложениями в виде документа Microsoft Word с закодированным содержимым и вредоносным макросом внутри: жертве предлагается разрешить выполнение макросов.

Для организации рассылок злоумышленниками нередко использовался фреймворк с открытым исходным кодом Gophish, предназначенный для тестирования организаций на подверженность фишингу.

Если жертва разрешает выполнение макросов, содержимое документа декодируется. Поиск вредоносной нагрузки в содержимом документа осуществляется после ключевой строки DigitalRSASignature.

Сама нагрузка закодирована Base64 и состоит из двух частей, разделенных строкой CHECKSUM.

Макрос декодирует нагрузку и записывает ее в два файла: %USERPROFILE%\UserCache.ini (PowerShell‑скрипт) и %USERPROFILE%\UserCache.ini.hta (HTA). Для закрепления в скомпрометированной системе путь к UserCache.ini.hta записывается в параметрах реестра.

HTA‑файл создает и запускает файл %USERPROFILE%\UserCacheHelper.lnk.js для выполнения PowerShell-скрипта %USERPROFILE%\UserCache.ini.

Декодированное содержимое UserCache.ini представляет собой реверс-шелл в виде PowerShell-скрипта, известного как PowerRAT.

Помимо этого замечено, что злоумышленники не только активно экспериментируют с фреймворками постэксплуатации, но и разрабатывают собственные импланты для них, что значительно затрудняет обнаружение.

В других атаках злоумышленники использовали самописный загрузчик, мимикрирующий под explorer.exe. Вредоносная программа загружала и открывала отвлекающий документ, который записывался в каталог %TEMP%.

После чего загрузчик отправлял запрос HTTP POST на сервер для получения следующей стадии, которая, как полагают ресерчеры, представляет собой агент фреймворка Mythic разработки злоумышленников, который известен под названиями PowerTaskel и QwakMyAgent.

При этом злоумышленники не ограничивались использованием данного импланта и также использовали другой агент фреймворка - Freyja.

Также в арсенале атакующих был замечен вредоносный IIS‑модуль Owowa, который позволял получать аутентификационные данные при авторизации пользователей в сервисе Outlook Web Access (OWA).

Для обеспечения резервного канала доступа в скомпрометированную IT‑инфраструктуру злоумышленники использовали Chisel, а для выполнения команд в удаленных системах -  PsExec.

Новая кампания также примечательна расширением мотивации атакующих: в одном из случаев они не только проникли в IT‑инфраструктуру для шпионажа, но и нарушили ее работоспособность.

Индикаторы компрометации - в отчете.

Исследователи G DATA опубликовали отчет с обзором нового трояна удаленного доступа I2PRAT, который реализует C2-коммуникаций через анонимную одноранговую сеть, задействуя I2PD, клиента I2P на языке C++ с открытым исходным кодом.

Цепочка заражения начинается с фишинговой ссылки в письме, которая ведет на веб-страницу, представляющую собой поддельную страницу капчи.

Она содержит код JavaScript, который копирует вредоносный скриптли отчет с обзорв буфер обмена, который выполняется в случае нажатия пользователем комбинации клавиш под видом того, чтобы подтвердить, что он «человек».

Скрипт PowerShell доставляет загрузчик вредоносного ПО первого этапа и выполняет его. В конце концов скрипт открывает страницу с порно, дабы не вызвать у пользователя подозрений, завершая тем самым фишинговый маневр.

Загрузчик первой стадии использует собственные API, доступные из NTDLL, для определения текущих привилегий процесса. Если загрузчик не запущен с повышенными привилегиями, он использует технику обхода UAC, описаннуб в статье Google Project Zero.

После запуска с повышенными привилегиями вредоносная программа расшифровывает и загружает полезную нагрузку - фактический загрузчик вредоносного ПО. Загрузчик продолжает связываться с сервером C2 с помощью сокета TCP, куда отправляются некоторые системные данные.

В конечном итоге C2 отправляет серию зашифрованных полезных нагрузок с инструкцией по их выполнению на машине жертвы. Всего выполняется три полезных нагрузки. Вредоносная ПО использует две полезные нагрузки, чтобы избежать обнаружения Microsoft Defender.

Одна из них - это пакетный скрипт, расположенный в %TEMP%\<random_name>.bat, который вызывает ряд команд PowerShell для управления настройками Microsoft Defender, отзывая согласие на загрузку образцов в Microsoft.

Следующая полезная нагрузка, разворачиваемая вредоносным ПО в %TEMP%\<random_name>.exe, подключается к движку WFP через API для блокировки исходящего трафика от служб, связанных с обновлением Windows и Microsoft Defender.

Затем загрузчик развертывает установщик RAT %TEMP%\<random_name>.exe и запускает его. Размер составляет около 10 МБ, и в нем в зашифрованном виде встроено несколько компонентов вредоносного ПО.

При запуске вредоносное ПО создает каталог C:\users\Public\Computer.{20d04fe0-3aea-1069-a2d8-08002b30309d} для хранения компонентов RAT.

Когда создается каталог с таким именем, операционная система рассматривает его как ярлык для «Моего компьютера». Поэтому содержимое каталога нельзя просмотреть напрямую. Этот трюк помогает скрыть и сделать файлы вредоносного ПО недоступными.

Кроме того, утилита «icacls.exe» используется для дальнейшего ограничения разрешений каталога. Все компоненты RAT впоследствии устанавливаются в этот каталог.

Реализация RAT полностью модульная, а функциональность реализована в отдельных плагинах (DLL).

После инициализации все плагины устанавливают соединение с «шиной событий», чтобы иметь возможность получать и обрабатывать события, которые также включают команды.

Исследование вредоносного ПО показывает, что оно было активно по крайней мере с марта 2024 года и может распространяться через PrivateLoader.

Подробный технический разбор модулей и основного функционала RAT - в отчете.

Скажи НЕТ наркотикам!

Fortinet предупреждает о критической уязвимости безопасности в Wireless LAN Manager (FortiWLM), которая может привести к раскрытию конфиденциальной информации.

CVE-2023-34990 имеет оценку CVSS 9,6 и позволяет удаленному неаутентифицированному злоумышленнику прочитать конфиденциальные файлы.

Согласно описанию уязвимости в NIST (NVD), уязвимость обхода пути также может быть использована злоумышленником для выполнения несанкционированного кода или команд с помощью специально созданных запросов к конечной точке /ems/cgi-bin/ezrf_lighttpd.cgi.

Она затрагивает FortiWLM версий 8.6.0–8.6.5 (исправлено в 8.6.6 и выше) и 8.5.0–8.5.4 (исправлено в 8.5.5 и выше).

Раскрытие приписывается исследователю безопасности Horizon3.ai Заку Хэнли.

При этом, CVE-2023-34990 относится к уязвимости ограниченного чтения файлов без аутентификации, которую Horizon3.ai раскрыла еще в марте в составе широкого набора из шести недостатков в FortiWLM.

Проблема возникает из-за отсутствия проверки входных данных в параметрах запроса, что позволяет злоумышленнику просматривать каталоги и читать любые файлы журналов в системе.

Успешная эксплуатация CVE-2023-34990 может позволить злоумышленнику прочитать файлы журнала FortiWLM и получить идентификатор сеанса пользователя и логин, что позволит ему также эксплуатировать аутентифицированные конечные точки.

Кроме того, злоумышленники могут воспользоваться тем, что идентификаторы веб-сеансов не меняются между сеансами пользователей, чтобы перехватить их и получить административные разрешения на доступ к устройству.

И это еще не все.

Злоумышленник также может объединить CVE-2023-34990 с CVE-2023-48782 (оценка CVSS: 8,8), уязвимостью аутентифицированного внедрения команд, которая также была исправлена в FortiWLM 8.6.6 для получения RCE в контексте root.

Помимо нее Fortinet также исправила серьезную уязвимость внедрения команд CVE-2024-48889 (CVSS: 7.2) в FortiManager, которая позволяет аутентифицированному удаленному злоумышленнику выполнить несанкционированный код с помощью запросов, созданных FGFM.

Учитывая, что устройства Fortinet становятся объектом первоочередных устремлений киберподполья, крайне важно обновить свои экземпляры для защиты от потенциальных угроз.