SecAtor

Тем временем американские силовики вновь наносят виртуальный удар, на этот раз по ботнету Raptor Train, за которым стоит китайская группа кибершпионажа Flax Typhoon (Ethereal Panda или RedJuliett). Но хакеры без боя не сдались, предпринимали попытки ответных ударов, задействовав весь DDoS-ресурс в отношении на операционной инфраструктуры нападавших для защиты своих активов, но потерпели фиаско. Пока титаны бились, оказывавшие техподдержку силовикам исследователи Black Lotus Labs из Lumen Technologies выкатили отчет в отношении Raptor Train и его операторов из APT Flax Typhoon, за которой, по данным спецслужб, стоит китайская компания Integrity Technology Group. Предполагается, что сложный ботнет начал функционировать по крайней мере с мая 2020 года, на пике развития в июне 2023 года ботнет насчитывал более 60 000 устройств. За последние четыре года ботнет Raptor Train смог захватить почти 260 000 маршрутизаторов SOHO, устройств NVR/DVR, серверов сетевых хранилищ (NAS) и IP-камер. В общей сложности было обнаружено более 1,2 миллиона записей об устройствах-ботах в базе данных MySQL ботнета. Среди затронутых производиетелей - ActionTec, ASUS, DrayTek, Fujitsu, Hikvision, Mikrotik, Mobotix, Panasonic, QNAP, Ruckus Wireless, Shenzhen TVT, Synology, Tenda, TOTOLINK, TP-LINK и Zyxel. По оценкам, инфраструктура, на которой работает ботнет, с момента своего создания охватила сотни тысяч устройств, а сама сеть основана на трехуровневой архитектуре. Первый уровень включал взломанные устройства SOHO/IoT (уровень 1, живучесть 17 дней), на втором уровне - серверы эксплуатации, полезной нагрузки и C2 (меняются каждые 75 дней). Главный уровень 3 представлял собой централизованные узлы управления и кроссплатформенный интерфейс приложения Electron, называемый Sparrow (Node Comprehensive Control Tool, или NCCT). Скомпрометированные устройства, более 20 моделей, в основном находились в США, Тайване, Вьетнаме, Бразилии, Гонконге и Турции, и были взломаны с использованием как нулей, так и n-day. Ботнет, использующий специальную версию известного вредоносного ПО Mirai (отлеживаемую как Nosedive), позволял операторам маршрутизировать трафик, проводить DDoS-атаки и доставлять другое вредоносное ПО. По данным Black Lotus Labs, ботнет Raptor Train задействовался для атак на критически важные объекты в США и на Тайване, включая армию, правительство, систему образование, телекоммуникации и оборонный сектор. Всего же c середины 2020 года с Raptor Train было связано не менее четырех различных кампаний, каждая из которых отличается корневыми доменами и целевыми устройствами (Crossbill, Finch, Canary и Oriole). Причем до настоящего времени не было зафиксировано ни одной DDoS-атаки, исходящей от ботнета. Кроме того, боты Raptor Train, вероятно, задействовались для сканирования и эксплуатации уязвимостей в серверах Atlassian Confluence и устройствах Ivanti Connect Secure (ICS). С санкции Минюста США в среду правоохранительные органы инициировали операцию по пресечению деятельности ботнета, включающую взятие под контроль инфраструктуры и отправку через нее команд для отключения вредоносного ПО на взломанных устройствах. Попытка, безусловно, заслуживает внимания, но мы не раз наблюдали возвращение ликвидированных ботнетов, а случае с участием APT - это почти неотвратимо.

Специалисты F.A.C.C.T. раскрыли новый необычный способ доставки майнера Xmrig при помощи настроенных автоматических ответов почтового адреса. Рассылка autoreply-писем велась с скомпрометированных почтовых адресов. Начиная с конца мая схема использовалась для атак на ведущие российские интернет-компании, ритейл и маркетплейсы, страховые и финансовые компании. Зафиксировано около 150 подобных писем. При этом в самих письмах находилась ссылка на облако, куда был сохранен файл, содержащий вредоносное ПО Xmrig. Xmrig – это кросплатформенный майнер криптовалют, который работает с видеокартами обоих производителей (AMD/Nvidia), поддерживает популярные алгоритмы майнинга и, в основном, используется для добычи Monero. Анализ почтовых адресов, на которых был установлен «вредоносный» автоответ показал, что раньше они использовались в легитимных целях и свидетельствовал о потенциальной массовой компрометации этих почтовых адресов, после чего ими и воспользовались злоумышленники. В процессе изучения используемых адресов было выяснено, что все они фигурировали в утечках как в открытом виде, так и в виде хэшей. Также многие пользователи взломанных почт, судя по данным из утечек, использовали одинаковые пароли в разных сервисах. Среди пользователей, чьи почтовые ящики были скомпрометированы, были замечены, в основном, физлица, однако также почты арбитражных управляющих, торговых и строительных компаний, мебельной фабрики и КФХ. Для маскировки атакующие также использовали скан реального счета на оплату оборудования, не совпадающего с тематикой писем. Таким образом жертвой может стать не только компания, но и обычные пользователи, которые будут взаимодействовать со взломанной почтой. Данный способ доставки ВПО опасен тем, что потенциальная жертва первая инициирует коммуникацию — вступает в переписку и ждет ответное письмо. В этом состоит главное отличие от традиционных рассылок, где получатель часто получает нерелевантное для него письмо и игнорирует. В данном случае, хотя письмо не выглядит убедительным, коммуникация уже установлена и сам факт распространения файла может не вызывать особого подозрения, а лишь пробудить интерес у жертвы.

Исследователи из Лаборатории Касперского сообщают об обнаружении кампании, нацеленной исключительно на итальянских пользователей. На разных этапах атаки вредоносное ПО убеждается, что оно выполняется именно на устройствах итальянских пользователей, а финальной полезной нагрузкой является новый троянец удаленного доступа, названный SambaSpy. При этом реализуется две цепочки заражения, которые незначительно отличались друг от друга. Более сложная из них включала фишинговые письма на итальянском языке от имени имени риелторской компании, но отправленные с адреса в немецком домене. Получателю предлагают перейти по ссылке, чтобы ознакомиться со счетом, перейдя на вредоносный веб-сайт. Причем во всех атаках в рамках этой кампании использовался единственный документ-приманка. Учитывая доверие пользователей к бренду компании, злоумышленники зарегистрировали более десятка вредоносных доменов, созвучных с ее названием. Благодаря данным из телеметрии ЛК, исследователям удалось найти вредоносный веб-сервер, доступный через ngrok, который возвращал HTML-страницу, содержащую JavaScript-код с комментариями на бразильском португальском языке. Если язык пользовательской системы был итальянским, а в качестве браузера использовался Edge, Firefox или Chrome, этот код перенаправлял жертву в хранилище OneDrive, все остальные пользователи оставались на текущей странице. Жертвы перенаправлялись на PDF-документ в хранилище Microsoft OneDrive, где им предлагалось нажать на ссылку просмотра документа, которая вела к вредоносному JAR-файлу на хостинге MediaFire, содержащему загрузчик или дроппер. Перед выполнением загрузчик проверяет, не находится ли он в виртуальной среде, а также языковые настройки на итальянский. Если все проверки успешно пройдены, он загружает и выполняет код финальной стадии. Дроппер выполняет те же проверки и отличается от загрузчика лишь тем, что он не скачивает вредоносное ПО, — оно уже вшито в JAR-файл. SambaSpy - это полнофункциональный RAT с широкими возможностями, написанный на Java и замаскированный с помощью обфускатора Zelix KlassMaster. Строки кода зашифрованы, а имена и методы классов обфусцированы, что позволяет избежать обнаружения и анализа. Специалистам ЛК пока еще предстоит установить связь между этой кампанией и известными группами злоумышленников. Из имеющихся данных можно сделать вывод, что атакующие говорят на бразильском португальском. Но в фарватере целей помимо итальянцев - пользователи из Испании и Бразилии. В ходе исследования Лаборатории удалось обнаружить вредоносные домены, связанные с этими же злоумышленниками и задействованные в других кампаниях. В отличие от итальянской кампании, где зловред проверял языковые настройки устройств перед атакой, в этих случаях таких проверок не проводилось. Индикаторы компрометации и технический разбор функционала SambaSpy - в отчете.

👮 Правоохранительные органы 🇩🇪Германии годами деанонили киберпреступников и следили за ними в TOR Как утверждают ARD-Politikmagazins Panorama и STRG_F, правоохранительные органы Германии нашли эффективный способ бороться с киберпреступниками через мониторинг нод в луковой сети TOR. Силовики уже несколько лет (приблизительно с 2022 года) применяют метод «Timing-Analyse», который позволяет им собирать статистические данные о трафике и анализировать временные корреляции передачи данных. Длительный мониторинг определённых узлов сети Tor и сбор больших объёмов данных даёт возможность установить связь между активностью отдельных пользователей и конкретными преступными действиями в даркнете. Один из ярких примеров - расследование Генеральной прокуратуры Франкфурта-на-Майне и ВКА в отношении педокриминальной платформы «Boystown». Благодаря «Timing-Analyse» удалось сдеанонить и арестовать преступников. Если верить описанию «Timing-Analyse» со стороны журналистов, то это разновидность тайминг-атаки. С помощью «Timing-Analyse» правоохранительные органы анализируют временные метки трафика между узлами Tor на протяжении длительного времени (ключевая особенность), чтобы выявить корреляции, ведущие к деанонимизации.

В двух случаях удалось также выявить так называемые "серверы входа" из чат-сервиса "Ricochet", который использовал Г. - это стало прорывом для BKA. Для окончательной идентификации окружной суд Франкфурта-на-Майне обязал провайдера Telefónica выяснить у всех клиентов o2, кто из них подключался к одному из идентифицированных узлов Tor.

🚠 Временной анализ отдельных пакетов данных позволяет отследить анонимные соединения до пользователя Tor, несмотря на то, что данные в сети Tor шифруются многократно.

🖥 По заявлению экспертов, правоохранительные органы могут наблюдать за определёнными входными и выходными узлами сети Tor. Они фиксируют временные метки и объёмы передаваемых данных на этих узлах. Если наблюдается совпадение времени и объёма трафика на входном и выходном узлах, то это может указывать на связь между конкретным пользователем и ресурсом, который он посещает. Перед тем как накопить достаточную информацию для получения достоверных выводов, наблюдение может вестись на протяжении нескольких месяцев или даже лет. В настоящее время в 50 странах мира работает почти 8 000 узлов Tor. 🛡@Russian_OSINT

GitLab выпускает исправление для критической уязвимости обхода аутентификации SAML, влияющей на самоуправляемые установки GitLab Community Edition (CE) и Enterprise Edition (EE). Security Assertion Markup Language (SAML) - это протокол аутентификации с единым входом (SSO), который позволяет пользователям входить в различные службы, используя одни и те же учетные данные. CVE-2024-45409 обусловлена проблемой в библиотеках OmniAuth-SAML и Ruby-SAML, которые GitLab использует для обработки аутентификации на основе SAML. Уязвимость возникает, когда ответ SAML, отправленный поставщиком удостоверений (IdP) в GitLab, содержит неверную конфигурацию или подвергается манипуляциям. В частности, уязвимость заключается в недостаточной проверке ключевых элементов в утверждениях SAML, таких как extern_uid (внешний идентификатор пользователя), который используется для уникальной идентификации пользователя в разных системах. Злоумышленник может создать вредоносный ответ SAML, который обманом заставит GitLab распознать его как аутентифицированного пользователя, обойти аутентификацию SAML и получить доступ к экземпляру GitLab. CVE-2024-45409 затрагивает GitLab 17.3.3, 17.2.7, 17.1.8, 17.0.8, 16.11.10 и все предыдущие выпуски этих веток. Устранена в версиях GitLab 17.3.3, 17.2.7, 17.1.8, 17.0.8 и 16.11.10, где OmniAuth SAML обновлен до версии 2.2.1, а Ruby-SAML — до 1.17.0. Поставщик настоятельно рекомендует как можно скорее обновить все инсталляции, пользователям выделенных экземпляров GitLab на GitLab.com не нужно предпринимать никаких действий, поскольку проблема затрагивает только самостоятельно управляемые установки. Тем, кто не может немедленно перейти на безопасную версию, GitLab рекомендует включить 2FA для всех учетных записей и установить параметр обхода SAML 2FA на «не разрешать». При этом GitLab в бюллетене также публикует перечень признаков потенциальной эксплуатации, что позволяет предположить, что злоумышленники уже могут использовать уязвимость в реальных атаках. Среди них: - Ошибки, связанные с RubySaml::ValidationError (неудачные попытки). - Новые или необычные значения extern_uid в журналах аутентификации (успешные попытки). - Отсутствующая или неверная информация в ответах SAML. - Несколько значений extern_uid для одного пользователя (указывает на потенциальную компрометацию учетной записи). - Аутентификация SAML с незнакомого или подозрительного IP-адреса по сравнению с обычными схемами доступа пользователя.

CISO рассказывает о том, как он выстроил замечательную систему информационной безопасности в своей компании

Продолжаем следить за исследованиями в отношении уязвимостей и связанных с ними угроз. 1. Исследователи AppOmni обнаружили более 1000 серверов ServiceNow, которые раскрывают базы знаний клиентов (KB). 2. Tenable обнаружила уязвимость, которая могла позволить злоумышленникам запускать вредоносный код на серверах Google Cloud, позволяя перехватить внутреннюю зависимость ПО, которую Google предварительно устанавливает на серверах Google Cloud. Она повлияла на Google Composer. Google устранила проблему и заявила, что не нашла никаких доказательств активной эксплуатации. 3. Varonis опубликовала подробности об атаке с внедрением SOQL (Salesforce Object Query Language), которая позволяла извлечь данные и сведения о клиентах Salesforce через API Aura компании. Выявлена в январе и оперативно исправлена месяц спустя. 4. Исследователи AmberWolf обнаружили Skeleton Cookie (CVE-2024-45488), обход аутентификации в устройстве PAM Safeguard for Privileged Passwords компании One Identity. Уязвимость может быть использована для получения полного административного доступа к приложению и извлечения паролей и резервных копий. Поставщик заявляет, что исправит проблему в предстоящей версии приложения 8.0. 5. Исследователи Horizon3 опубликовали технический анализ CVE-2024-8190, активно эксплуатируемой 0-day в Ivanti Cloud Service Appliance (CSA). Правда, в предыдущий раз Horizon3 некосячила и исправила прошлонедельное сообщение в блоге с предполагаемыми подробностями по недавней ошибке Ivanti (CVE-2024-29847). На самом деле в отчете фигурировала CVE-2023-28324, которая была исправлена в июне прошлого года. Исследователи из Summoning Team утверждают, что Horizon3 в спешке пыталась присвоить себе раскрытие одной из ошибок, о которой они сообщали у себя в блоге. 6. Бизоны представили подробный технический анализ уязвимости CVE‑2024‑7965 (некорректная имплементация в V8), которая позволяет исполнять произвольный код в рендерере Google Chrome, показав как ее можно проэксплутатировать (PoC).

Recorded Future продолжает отслеживать активность группы киберпреступников Marko Polo, которая специализируюется на кампаниях, связанных с широким спектров инфокрадов. В первоначальном исследовании Recorded Future анализировала кластер ПО Vortax и задействуемые три инфокрада - Rhadamanthys, Stealc и Atomic macOS Stealer (AMOS). Масштабная кампания была нацелена на пользователей крипты, эксплуатируя уязвимости macOS. Управляемая markopolo кампания имела значительные последствия для безопасности macOS, указывая на потенциальный рост атак AMOS, о чем мы недавно также сообщали. Цели кампании коррелировались в рамках широкомасштабной операции по сбору учетных данных, потенциально позиционируя markopolo как первоначального брокера доступа или поставщика логов на таких площадках, как Russian Market или 2easy Shop. Новый отчет проливает свет на обширную сетью кибермошенничества, нацеленную как на отдельных лиц, так и на компании по всему миру с помощью сложного вредоносного ПО для кражи информации. Выдавая себя за популярные бренды, Marko Polo успешно реализует более 30 различных мошеннических схем , используя такие платформы, как Zoom, Discord и OpenSea и заражая десятки тысяч устройств по всему миру. Группа практикует тактику социальной инженерии, в первую очередь, атакуя влиятельных лиц в сфере крипты и онлайн-игр в ходе тщательно продуманных фишинговых атак, часто включающих поддельные вакансии или партнерства. В арсенал Marko Polo входит целый ряд вредоносных программ для Windows и macOS (HijackLoader, Stealc, Rhadamanthys и AMOS) с диверсификацией векторов атак, что делает его кроссплатформенной угрозой. Исследование Insikt Group выявило до 50 уникальных вредоносных полезных нагрузок, что указывает на способность группы быстро развиваться и масштабировать свои операции. Однако адаптивность увеличила и риски ее обнаружения для исследователей в части OpSec. Последствия мошенничества Marko Polo выходят за рамки индивидуальных финансовых потерь. Для предприятий угроза носит двойной характер: помимо компрометации конфиденциальных данных это ущерб репутации компании, обеспечивая возможность генерировать миллионы долларов незаконных доходов. Подробности атак и IOC - в отчете.

14 сентября Dr.Web подверглась целевой атаке, официально подтвердив инцидент с нарушением безопасности. Компания утверждает, что злоумышленник пытался нанести вред ее системам, после чего компания вынуждена была отключить инфраструктуру от Интернета для полной диагностики, приостановив больше чем на сутки выпуск антивирусных баз. Как позже пояснили в Dr.Web, им удалось «держать происходящее под контролем», но тем не менее пришлось «отключить серверы и запустить процесс всесторонней диагностики». Правда, атака началась 14-го числа, а признаки внешнего воздействия на инфраструктуру обнаружены 16-го, тогда же «оперативно отключили сервера». На протяжении этого времени исследователи Dr.Web «внимательно за угрозой наблюдали». Пока все в ожидании пояснительной бригады, Dr.Web на хайпе успевает еще и попиарить свои антивирусные решения. Как говорится, сам себя не похвалишь…

Broadcom предупреждает о критической уязвимости VMware vCenter, которую злоумышленники могут использовать для удаленного выполнения кода на неисправленных серверах через сетевой пакет. vCenter Server - это центральный узел для пакета VMware vSphere, обеспечивающий администраторам управление и контроль виртуализированной инфраструктурой. CVE-2024-38812 обнаружили исследователи TZL в ходе китайского хакерского конкурса Matrix Cup 2024. Она обусловлена проблемой переполнения кучи в реализации протокола DCE/RPC, затрагивая продукты, включающие vCenter, в том числе VMware vSphere и VMware Cloud Foundation. Неавторизованные злоумышленники могут использовать ее удаленно в атаках низкой сложности, не требующих взаимодействия с пользователем, путем отправки специально созданного сетевого пакета, потенциально приводящего к RCE. Меры по смягчению последствий могут варьироваться в зависимости от уровня безопасности в конкретной организации, стратегий глубокой защиты и конфигураций межсетевого экрана, каждая организация должна самостоятельно оценивать адекватность этих мер защиты. Чтобы обеспечить полную защиту следует установить одну из обновленных версий, перечисленных в рекомендациях по безопасности VMware. Исправления безопасности доступны через стандартные механизмы обновления vCenter Server. Broadcom утверждает, что не нашла доказательств того, что уязвимость CVE-2023-34048 RCE в настоящее время используется в атаках. Администраторы, которые не могут немедленно применить сегодняшние обновления безопасности, должны строго контролировать доступ по периметру сети к компонентам и интерфейсам управления vSphere, включая компоненты хранения и сети. Компания также устранила другую уязвимость высокой степени опасности, связанную с EoP (CVE-2024-38813), которую злоумышленники могут использовать для получения привилегий root на уязвимых серверах с помощью специально созданного сетевого пакета.