Cisco сообщает об исправлениях уязвимости высокой степени серьезности в Cisco IMC, для которой выпущен общедоступный PoC.

Cisco IMC — это контроллер управления основной платой на серверах UCS C-Series Rack и UCS S-Series Storage, работающий через несколько интерфейсов, включая XML API, WebUI и интерфейс командной строки (CLI).

Уязвимость в интерфейсе командной строки Cisco IMC может позволить локальному злоумышленнику, прошедшему проверку подлинности, выполнить атаки путем внедрения команд в базовую ОС и повысить привилегии до уровня root.

При этом для эксплуатации уязвимости злоумышленник должен иметь права только для чтения или более высокие права на уязвимом устройстве.

Отлеживаемая как CVE-2024-20295 проблема обусловлена недостаточной проверкой вводимых пользователем данных, ее можно использовать с помощью специально созданных команд CLI в рамках атак низкой сложности.

Уязвимость затрагивает корпоративные сетевые вычислительные системы (ENCS) серии 5000, Catalyst 8300 Series Edge uCPE, а также серверы UCS серии C и E.

Кроме того, потенциально атакам подвержен и многие другие продукты, если они настроены на предоставление доступа к уязвимому интерфейсу командной строки Cisco IMC.

Cisco PSIRT также предупредила, что PoC уже доступен, но, к счастью, злоумышленники еще не начали нацеливаться на уязвимость. Во всяком случаен пока.

Так что будем посмотреть.

Исследователи F.A.C.C.T. обнаружили на VirusTotal вредоносный файл, связанный с кибершпионской Core Werewolf, который был загружен 15 апреля из армянского города Гюмри, в котором дислоцируется 102-ая российская военная база.

Найденное ВПО представляло собой самораспаковывающийся архив 7zSFX, предназначенный для скрытой установки и запуска легитимной программы удаленного доступа UltraVNC, которую с иконкой приложения OneDrive обычно использует Core Werewolf.

В качестве документа-приманки использовалось ходатайство о награждении военнослужащих с указанием их звания, ФИО и личного номера, отличившихся в ходе СВО, в том числе Орденами Мужества.

Как известно, Core Werewolf (PseudoGamaredon) с 2021 года активно атакует российские организации, связанные с ОПК, а также объекты КИИ. В марте они атаковали НИИ, задействованный в военных разработких, а в апреле - оборонный завод.

На этот раз судя по дате и времени последней модификации содержащихся файлов в 7zSFX-архиве, можно предположить, что новая наблюдаемая атака могла начаться раньше даты загрузки на VirusTotal.

В качестве C2 злоумышленники использовали домен mailcommunity[.]ru, который был зарегистрирован год назад одновременно с другим доменом группы Core Werewolf, который использовался в кампании в 2023 году.

За день до истечения срока жизни домена злоумышленники продлили его еще на год и в этот же день начали использовать его для проведения атак.

Стоит отметить, что разворачиваемый образец UltraVNC, его конфигурационный файл и адрес C2 такие же, как и в ранее раскрытых атаках.

Также специалисты F.A.C.C.T. нашли на VirusTotal загруженные из России в марте и апреле этого года вредоносные исполняемые файлы, которые представляют собой ранее неописанные дропперы, реализованные на языке Go.

Они имеют идентичные функциональные возможности и они предназначены для скрытой установки и запуска клиента UltraVNC.

Причем конфигурационный файл и клиент UltraVNC совпадают по хеш-суммам с описанными выше файлами, а в качестве C2 используется тот же домен: mailcommunity[.]ru:443.

Технический обзор атаки и IOC - в отчете F.A.C.C.T.

В последнее время весеннее обострение активности наблюдается не только у шизиков, но и у хакеров, которые с неподдельным энтузиазмом эксплуатируют свежеиспеченные уязвимости корпоративных сетей.

Одним из последних примеров этого стало обнаружение новой кампании, использующей недавно раскрытый баг в устройствах Fortinet FortiClient EMS для доставки вредоносных пакетов ScreenConnect и Metasploit Powerfun.

Исследователи выявили эксплуатацию критической уязвимости SQL-инъекции (CVE-2023-48788) с критическим уровнем опасности в 9.3 по CVSS, которая позволяет неаутентифицированным атакующим выполнять код или команды посредством специально созданных запросов.

Кампания получила кодовое название Connect:fun из-за использования ScreenConnect и Powerfun для постэксплуатации в атаке на неназванную медиакомпанию, чьё уязвимое устройство FortiClient EMS торчало в интернет сразу после публикации PoC уязвимости от 21 марта 2024 года.

Причем, в течение нескольких дней неизвестный злоумышленник пытался загрузить ScreenConnect, а затем установить софтину для удаленного рабочего стола с помощью утилиты msiexec, но без успешно.

Однако 25 марта был использован PoC-эксплойт для запуска кода PowerShell, который загрузил скрипт Powerfun Metasploit и инициировал обратное соединение с другим IP-адресом.

Также были обнаружены SQL-запросы, предназначенные для загрузки ScreenConnect с удаленного домена ("ursketz[.]com") с использованием certutil, который затем устанавливался через msiexec перед установлением связи с сервером управления и контроля.

Доподлинно не установлено, но у специалистов есть признаки того, что злоумышленник активен как минимум с 2022 года и специализируется на устройствах Fortinet, используя вьетнамский и немецкий языки в своей инфраструктуре.

Также исследователи отмечают, что злоумышленники действовали по старинке в рукопашную, что подтверждается всеми неудачными попытками загрузки и установки инструментов, а также относительно долгим временем между попытками, как бы намекая, что цель выбрана хакерами не случайно.

По итогу, мораль сей басни такова, что организациям, как всегда, рекомендуется устанавливать последние исправления, отслеживать подозрительный трафик и использовать брандмауэр веб-приложений для блокирования вредоносных запросов.

Исследователи Лаборатории Касперского расчехлили новый банковский троян для Android под названием SoumniBot, разработчики которого реализовали нетривиальный метод обфускации для обхода защиты.

Вредоносное ПО использует особенности Android и манипулирует файлом манифеста APK-файлов, что позволяет ему обходить стандартные меры безопасности и проводить манипуляции по краже информации.

Находящийся в корневом каталоге APK файл AndroidManifest.xml включает информацию о декларируемых компонентах, разрешениях и других данных приложения, а также обеспечивает ОС извлекать сведения о различных точках входа в программу.

Исследователи ЛК обнаружили, что SoumniBot задействует три разных метода, которые включают в себя манипулирование сжатием и размером файла манифеста, чтобы обойти проверки парсера.

Во-первых, SoumniBot использует недопустимое значение сжатия при распаковке файла манифеста APK, которое отличается от стандартных значений (0 или 8), ожидаемых библиотекой Android libziparchive.

Анализатор Android APK по умолчанию распознает данные как несжатые из-за ошибки, что позволяет APK обходить проверки безопасности и продолжать выполнение на устройстве.

Второй метод предполагает неправильное указание размера файла манифеста в APK, предоставление значения, превышающего фактическое значение, что вводит в заблуждение инструменты анализа кода, поскольку в процессе копирования добавляются ненужные данные.

Третий метод обхода заключается в использовании чрезвычайно длинных строк для имен XML-пространств в манифесте, что очень затрудняет их проверку инструментами автоматического анализа, которым часто не хватает памяти для их обработки.

При запуске SoumniBot запрашивает конфигурационные параметры с заранее заданного сервера, заодно отправляя ему информацию о заражённом устройстве, включая номер телефона, используемого мобильного оператора и другие данные.

Затем вредоносное ПО запускает службу, которая перезапускается каждые 16 минут и передаёт данные со смартфона с периодичностью в 15 секунд.

Похищенные данные включают IP-адреса, списки контактов, детали учётных записей, SMS-сообщения, фотографии, видео и цифровые сертификаты для онлайн-банкинга.

Управление данными осуществляется через MQTT-сервер, который также может отправлять на смартфон команды, приводящие к различным действиям по управлению контактами, SMS, громкостью, режимом отладки.

SoumniBot ориентирован, в первую очередь, на корейских пользователей мобильного банкинга. Как и многие вредоносные приложения для Android, после установки он остаётся активным в фоновом режиме, скрывая при этом свою иконку.

Лаборатория Касперского в своем отчёте предоставила необходимый перечень IOC, а также уведомила Google о недостатках официальной утилиты анализа APK Analyzer.

Взаимное забрасывание на вентилятор в сфере инфосека между США и КНР в лице их ведущих ИБ-вендоров выходит на новый уровень.

Ранее в прошлом месяце SentinelOne опубликовала отчет, в котором с усмешкой писала, как Китаю не удается приписать кибератаки США и упрекая в постоянных ссылках в своих отчетах на старые инциденты.

После чего китайская Antiy отреагировала на отчет SentinelOne более глубокой с технической точки зрения оценкой враждебной киберактивности американских АРТ, достаточно плотно и основательно атрибутировав их атаки (включая Stuxnet) в ретроспективе и связи со спецслужбами.

А для того, чтобы окончательно утереть нос и «по заявкам телезрителей» из SentinelOne, китайская сторона в лице национального CERT выкатила отчет (PDF), приписав Volt Typhoon к деятельности группы под названием Dark Power.

По их мнению, США провернули хитрую пропагандистскую операцию с созданием и продвижением кластера угроз Volt Typhoon, агрессивный образ которой навязывался во многих вышедших в последнее время ИБ-отчетах Китаю.

Цель махинации - «убить сразу двух зайцев одним выстрелом», раздув «теорию глобальной китайской угрозы» для национальной и прочей КИИ и склонив Конгресс США к выделению соответствующих ассигнований.

Все началось в мае 2023 года, когда органы кибербезопасности Five Eyes выкатили сообщение об обнаружении якобы прокитайской АРТ.

Для подтверждения привлекли Microsoft, выпустившую нужный отчет, который затем растиражировали крупные западные СМИ, такие как Reuters, Wall Street Journal и New York Times.

Позже присоединилась и Lumen Technologies, также связавшая KV-ботнет с Volt Typhoon.

Все привлеченные инфосек-компании компании после этого финта получили жирные госконтракты и проектное финансирование.

Кончено же, про внятную атрибуцию позабыли.

А китайские исследователи нет, смогли разоблачить упомянутые атаки и соотнести их с киберпрестпуниками из Dark Power, о которых ранее сообщала в своем отчет ThreatMon.

По их данным, группа была активна еще задолго до событий 2023 года и причастна к инцидентам в Алжире, Египте, Чехии, Турции, Израиле, Перу, Франции и США.

Таким образом, по мнению китайской стороны «отслеживание кибератак» стало по сути инструментом в руках США для политизации вопросов ИБ и оказания международного давления на КНР, которая, в свою очередь, назвала именно штаты крупнейшим источником кибератак и набольшей угрозой общей кибербезопасности.

Силовики из 19 стран вновь накрыли киберподполье, под удар на этот раз попал сервис LabHost, реализующий PhaaS («Фишинг как услуга»).

PhaaS-платформа была запущена в конце 2021 года и по цене от 179 долларов в месяц предоставляла клиентам возможности создавать собственные фишинговые страницы для любой службы и шаблоны.

Помимо этого LabHost обеспечивал серверный хостинг, работу инструмента LabRat для организации и отслеживания различных фишинговых кампаний, а также поддерживал омпонентом SMS-фишинга (смишинга) под названием LabSend.

По данным Trend Micro, LabHost представляла одну из самых серьезных платформ PhaaS на темном рынке.

Причем это был первый фишинговый сервис, включавший надежный механизм обхода MFA за счет поддержки методов фишинга AitM на основе прокси.

LabHost позволял злоумышленникам взаимодействовать с жертвами в режиме реального времени. Эта функция часто использовалась для запроса кодов 2FA/MFA у жертв и обхода защиты учетной записи.

В совокупности все эти фишки сделали платформу невероятно успешной и популярной среди киберпреступников.

Как сообщает Европол, на платформе было зарегистрировано более 10 000 пользователей. 

В целом, как установили силовики, LabHost поддерживал более 170 онлайн-сервисов для фишинга и размещал более 40 000 фишинговых доменов.

За время работы команде LabHost удалось заработать 1 миллион фунтов стерлингов (1 173 000 долларов США) и выкрасть данные как минимум 500 000 кредитных карт.

В течение 4 дней спецслужбы провели обыски и задержания, которые привели к 37 арестам, а клиентам платформы полицаи разослали передали привет с обещанием в скором времени увидеться очно.

Кроме того, власти внимательно изучают фишинговые учетные данные и информируют жертв о мошенничестве.

Microsoft сообщает об обнаружении вредоносной кампании, нацеленной на критические уязвимости удаленного выполнения кода и обхода аутентификации OpenMetadata для развертывания вредоносного ПО в средах Kubernetes для майнинга крипты.

OpenMetadata представляет собой платформа управления метаданными с открытым исходным кодом, которое позволяет каталогизировать и обнаруживать активы данных в своей организации, включая базы данных, таблицы, файлы и сервисы.

Используемые в этих атаках уязвимости (CVE-2024-28255, CVE-2024-28847, CVE-2024-28253, CVE-2024-28848 и CVE-2024-28254), были исправлены 15 марта в OpenMedata версий 1.2.4 и 1.3.1.

По данным Microsoft, злоумышленники начали эксплуатировать их с начала апреля.

Сначала идентифицируют открытые в Интернете неисправленные рабочие нагрузки OpenMetadata Kubernetes, а затем используют уязвимости для выполнения кода в контейнере, на котором запущен образ OpenMetadata.

Злоумышленники сначала запускают разведывательные команды для сбора информации о скомпрометированной среде.

Затем они загружают с удаленного сервера вредоносное ПО для майнинга.

На этом сервере хранятся различные вредоносные ПО, связанные с майнингом крипты, как для ОС Linux, так и для ОС Windows.

Злоумышленники также инициируют обратное соединение оболочки с помощью инструмента Netcat, которое они могут использовать для удаленного доступа к контейнеру, что позволяет выполнять другие действия врукопашную и получать еще больший контроль над целевой системой.

Для обеспечения постоянного доступа злоумышленники используют cronjobs для планирования задач, выполняющих вредоносный код, через заданные интервалы времени.

При этом в ходе атаки хакеры оставляют записки в скомпрометированных системах с просьбой подкинуть Monero, помочь прикупить авто и поддержать материально.

Администраторам, размещающим свои рабочие нагрузки OpenMedata в Интернете, рекомендуется поменять учетные данные по умолчанию и обеспечить оперативную установку исправлений для своих приложений.

Исследователи из Лаборатории Касперского обнаружили кампанию в отношении правительственных организаций на Ближнем Востоке, которую назвали DuneQuixote.

Злоумышленники используют новый бэкдор CR4T и активны с февраля 2024 года, но есть подозрение, что кампания началась еще год назад.

В ЛК отмечают, что злоумышленники принимают достаточно эффективные шаги для уклонения от сбора и анализа своих вредоносных программ, что уже свидетельствует о том, что за атаками стоят не афганские хакеры.

CR4T ("CR4T.pdb") - имплант, работающий только с памятью на языке C/C++.

Причем в атаках применяется несколько сценариев дроппера, который поставляется в виде исполняемого файла или DLL-файла, а также поддельного установщика Total Commander.

Основная функция дроппера - извлечение адреса C2 с использованием новой техники шифрования.

Когда дроппер устанавливает соединение с сервером управления, он загружает полезную нагрузку и выполняет команды на зараженной машине.

Более того, была найдена Golang-версия CR4T, которая использует Telegram API для коммуникаций с C2.

Специалисты считают, что наличие Golang-версии свидетельствует об активном развитии злоумышленниками кросс-платформенных вредоносных ПО.

Пока в Лаборатории Касперского обошлись без официальных обвинений. Конечно, обнаруженный DuneQuixote навряд ли имеет отношение к роману испанского писателя.

Но не смогли не отметить приличный уровень злоумышленников благодаря внедрению имплантов, работающих только с памятью, и дропперов, маскирующихся под легитимное ПО и имитирующих установщик Total Commander.

Шокирующие кадры: опытный сотрудник инфосек устраняет червя из атакованной системы

CrushFTP пытается экстренно патчить свое корпоративное решение для управляемой передачи файлов посте того, как неизвестный злоумышленник приступил к эксплуатации 0-day, о чем стало известно от Airbus CERT.

Позже исследователи также CrowdStrike подтвердили целевые атаки на пользователей CrushFTP.

Сам поставщик предупредил клиентов в частном порядке об эксплуатации уязвимости с нулем, призывая немедленно обновиться до CrushFTP 10.7.1 и 11.1.0.

Сообщая, что уязвимостью может воспользоваться неаутентифицированный злоумышленник.

А публично компания отметила, что недостатком могут воспользоваться только прошедшие проверку подлинности злоумышленники, посеяв среди клиентов и ИБ-сообществе определенное недопонимание.

Уязвимость не позволяет злоумышленникам получить полный контроль над серверами CrushFTP, но ее можно использовать для кражи пользовательских данных, что открывает широкий простор для вымогательства и кибершпионажа.

Тем более, что по данным Censys, более 7600 серверов CrushFTP имеют открытые в сеть панели управления и потенциально могут быть уязвимы для атак.

При этом, как сообщает CrushFTP, серверы с включенной функцией DMZ не затронуты, что до момента исправления может быть неплохой тактикой смягчения последствий.

Идентификатор CVE для 0-day еще не присвоен, а CrushFTP присоединяется к списку из Accellion, FileZen, GoAnywhere и MOVEit, которые отметились в крупных кампаниях за последние 2-3 года.

Героем новой серии Ivanti Zero-Days вслед за CISA стала другая небезызвестная американская структура - MITRE, также вынужденная рапортовать о киберинцидленте.

Как оказалось, ее сеть исследований и разработок NERVE взломала еще в начале января неназванная APT благодаря тем самым нулям в Ivanti, но заметить нападение удалось только недавно.

Атакующие за это время успешно препарировали сетевую среду экспериментирования, исследований и виртуализации MITRE NERVE для совместной работы, которая используется для исследований, разработок и прототипирования.

В ходе предварительного расследования MITRE установила, что атака включала эксплуатацию двух уязвимостей в устройствах Ivanti Connect Secure VPN для первоначального доступа.

Злоумышленники провели разведку, воспользовались нулями в Ivanti и обошли его систему многофакторной аутентификации с помощью перехвата сеанса.

После чего глубоко проникли в инфраструктуру VMware сети, используя скомпрометированную учетную запись администратора. А для обеспечения устойчивости и сбора учетных данных задействовали комбинацию сложных бэкдоров и веб-шеллов.

CVE-2023-46805 и CVE-2024-21887 на момент атаки относились к категории 0-day и 10 января благодаря Volexity стало известно об их активной эксплуатации.

Тогда Ivanti выкатила бесполезные меры по смягчению, а исправления смогла представить лишь спустя три недели.

В связи с чем, заложенный Ivanti временной лаг был реализован хакерами, которые развернули широкомасштабную кампанию по эксплуатации нулей. Вероятно, в тот момент и MITRE попала под раздачу.

Расследование MITRE продолжается, но на данный момент пока не получено никаких свидетельств, что инцидент затронул основную корпоративную сеть или системы партнеров.

Но будем посмотреть.

Изобретательности киберподполья не перестаешь удивляться.

Умельцы придумали и уже несколько месяцев используют фишку GitHub для распространения вредоносного ПО с использованием URL-адресов, связанных с репозиториями Microsoft и других известных компаний.

Злоумышленники загружают вредоносный файл в качестве комментария к проблеме в официальном проекте GitHub, но не отправляют отчет.

Оставляя комментарий, пользователь GitHub может прикрепить файл, который будет загружен в CDN GitHub и связан с соответствующим проектом, используя уникальный URL-адрес в следующем формате: https://www.github[.]com/{project_user}/{repo_name}/files/{file_id}/{file_name}.

Как в случае с обнаруженной McAfee кампанией с загрузчиком LUA, распространяемом в привязи к репозиториям Microsoft GitHub с URL-адресами:
- https://github[.]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip;
- https://github[.]com/microsoft/STL/files/14432565/Cheater.Pro.1.6.0.zip.

При этом проблема не станет активной и будет не видна владельцу проекта, но вредоносный файл остается на серверах GitHub, а URL-адреса загрузки продолжат работать. Это позволяет злоумышленникам прикреплять свои вредоносные программы к любому хранилищу без их ведома.

Такой условно привязанный к официальному репозиторию URL-адрес способен ввести пользователя в заблуждение относительно принадлежности файла конкретному проекту, а избавиться от него также будет непросто.

Даже если компания все же узнает, что ее репозитории используются для распространения вредоносного ПО, то не сможет найти никаких настроек, позволяющих управлять прикрепленными к проектам файлами.

Более того, можете защитить учетную запись GitHub от такого злоупотребления можно будет только отключив комментарии, но это уже может существенно повлиять на развитие проекта.

Если в случае с Microsoft добиться удаления вредоносного ПО удалось, то в аналогичных случаях с httprouter и Aimmy - вредоносное ПО по-прежнему доступно.

В апрельском отчете от Protect AI об уязвимостях раскрывается тревожная картина текущего состояния безопасности в области искусственного интеллекта и машинного обучения.

Как говорится, чем глубже в лес, тем голоднее волки, и с увеличением зависимости от открытого ПО для создания сложных систем ИИ, проблем безопасности становится всё больше.

Ведущие эксперты в области исследования уязвимостей ИИ представили результаты совместной работы с энтузиастами кибербезопасности huntr и привели удручающую статистику, где было обнаружено 48 уязвимостей, используемых в цепочке поставок для построения моделей машинного обучения, что на 220% больше по сравнению с первым отчетом, опубликованным в ноябре.

Красной линией отмечены уязвимости в таких инструментах, как PyTorch Serve, BerriAI/litellm, BentoML и FastAPI, которые широко используются в индустрии.

Характер потенциальных проблем варьируется от возможности удаленного выполнения кода до инъекций шаблонов на стороне сервера и уязвимостей, связанных с десериализацией и отказом в обслуживании.

Причем, ряд инструментов используется для создания критически важных корпоративных приложений.

Специалисты ратуют за сотрудничество и проактивный подход к обеспечению безопасности в мире, где все становится более зависимым от искусственного интеллекта и машинного обучения.

Добавить ровным счетом больше и нечего. Суровая реальность такова, что, вероятно, будущее предопределено, а Джон Коннор ошибся.

͏Как я ворвался в инфосек. Часть 4.

Более 300 тысяч сайтов WordPress с плагином Forminator затрагивает критическая уязвимость, которая позволяет удаленному злоумышленнику загружать вредоносное ПО на сайты.

Forminator от WPMU DEV — это универсальный конструктор различных форм (контактов, отзывов, викторин, обратной связи и тп.) для сайтов WordPress с более чем 1000 интеграциями.

О проблемах сообщил японский CERT, предупреждая о критической CVE-2024-28890 с CVSS v3: 9.8 в Forminator, открывающей по сути доступ к файлам на сервере со всеми вытекающими последствиями.

Кроме того, в бюллетене JPCERT также указаны и другие ошибки, среди которых CVE-2024-31077 и CVE-2024-31857.

Первая относится к уязвимости внедрения SQL, позволяя удаленным злоумышленникам с правами администратора выполнять произвольные SQL-запросы в базе данных сайта. Влияет на Forminator 1.29.3 и более ранние версии.

Вторая относится к XSS и открывает удаленному злоумышленнику возможности выполнения произвольного HTML-кода в браузере пользователя в случае перехода по специально созданной ссылке. Затрагивает на Forminator 1.15.4 и старше.

Администраторам сайтов с плагином Forminator рекомендуется как можно скорее обновиться до версии 1.29.3, включающей исправления для трех недостатков.

Пока сообщений об эксплуатации CVE-2024-28890 не поступало, но учитывая статистику загрузок плагина, все козыри в руках киберподполья.

Siemens сообщает, что критическая уязвимость в брандмауэре Palo Alto Networks добралась и до линейки техгиганта.

Эксплуатируемая в качестве нуля уже как месяц CVE-2024-3400 затронула также и устройства Ruggedcom APE1808, оснащенные уязвимым виртуальным межсетевым экраном нового поколения Palo Alto Networks (NGFW) наряду с другими решениями от Fortinet и Nozomi Networks.

Siemens готовит обновления для затронутого продукта, предлагая тем временем обходные пути и меры по смягчению последствий. 

Платформа хостинга промышленных приложений Ruggedcom APE1808 позволяет организациям развертывать коммерчески доступные приложения для периферийных вычислений и кибербезопасности в промышленных условиях. 

Как стало известно, CVE-2024-3400 широко использовалась еще до того, как Palo Alto Networks выпустила какие-либо исправления или меры по смягчению последствий, но Siemens ничего не упоминает об атаках, конкретно нацеленных на ее продукт.

Но это временно, учитывая, что уязвимость позволяет неаутентифицированному злоумышленнику выполнять произвольные команды с повышенными привилегиями на скомпрометированном брандмауэре, а после выхода PoC эксплуатация резко скакнула вверх.

При том, что по данным Shadowserver Foundation, межсетевых экранов Palo Alto Networks, уязвимых для атак с использованием CVE-2024-3400 и доступных в сети, все еще достигает почти 6000.

Так что будем посмотреть.

Хитрый прием для распространения вредоносного ПО, о котором мы сообщали вчера, также успешно работает и в GitLab.

Как выяснили исследователи из BleepingComputer, GitLab подвержен уязвимости CDN, позволяющей злоумышленникам создавать очень убедительные приманки с использованием URL-адресов, связанных с репозиториями популярных проектов с открытым исходным кодом.

По факту GitLab потенциально может подвергаться аналогичным злоупотреблениям, с которыми уже столкнулся GitHub.

Как и в случае с GitHub, сгенерированные ссылки на файлы GitLab остаются активными, даже если комментарий не был опубликован злоумышленником или вообще впоследствии удален.

Но GitLab предлагает пользователям войти в систему, прежде чем они смогут загружать или скачивать эти файлы, но это никак не помешает злоумышленникам вообще загружать эти файлы.

Пока ни GitLab, ни GitHub никак комментируют открытие, однако обнаруженные вредоносные ПО с URL-адресами Microsoft на GitHub были частично удалены, но не все.

Разгораются скандал, интриги и расследования вокруг утечки из базы World-Check, которая широко востребована в работе финсектора, регуляторики и правоохраны.

Виновниками инцидента стала группировка GhostR, которая победоносно объявила о краже конфиденциальной базы данных, содержащей 5,3 миллиона записей, и, по классике жанра, угрожает ее опубликовать.

Как сообщают эксперты, база может включать информацию из различных источников с профилями лиц, связанных с финансовыми махинациями, терроризмом или коррупцией, что делает ее критически важным инструментом в области борьбы с отмыванием денег (AML) и финансированием терроризма (CTF).

По заявлениям злоумышленников, база данных была украдена у некой компании в Сингапуре, имеющей доступ к этой чувствительной информации, однако потерпевшую организацию решили не раскрывать.

Дабы верифицироваться в содеянном, получить признание хакерского сообщества и нагнать жути на общественность, часть украденных данных была обнародована в качестве пруфа.

Она содержала записи о действующих и бывших госслужащих, дипломатах, политически экспонированных лицах, а также в отношении преступников и подозреваемых в терроризме.

Помимо собственно самого факта утечки, ситуация еще и усугубляется и критикой в адрес создателей World-Check из-за неверного маркирования лиц и организаций в качестве причастных к терроризму.

Так что обязательно будем следить.

͏via MalwareHunterTeam

Исследователи из Лаборатории Касперского продолжают разбор деятельности APT ToddyCat, сфокусировав внимание в своем новом отчете на инструментах сохранения доступа к скомпрометированной среде и кражи ценных данных.

ToddyCat активная как минимум с 2020 и атакует преимущественно госсектор в Азиатско-Тихоокеанском регионе, в том числе организации, имеющие отношение к оборонке, преследуя главную цель кибершпионажа.

Причем делая это в промышленных масштабах.

Чтобы пылесосить большие объемы данных с различных хостов, злоумышленники стремятся максимально автоматизировать процесс сбора и полагаться на различные альтернативные средства обеспечения постояннства в атакуемых системах.

Как именно это реализовано в ToddyCat, как раз, и выяснили исследователи, подробно описав в отчете инструменты, которые применялись APT на этапе, когда удалось обеспечить высокие привилегии, позволяющие подключаться к удаленным хостам.

Задействуемых набор включал:
- обратный SSH-туннель с использованием OpenSSH;
- SoftEther VPN (переименовывался в безобидные файлы);
- Ngrok и Krong (для шифрования и перенаправления трафика С2 на определенный порт целевой системы);
- клиент FRP (быстрый обратный прокси-сервер с открытым исходным кодом на основе Golang);
- Cuthead (скомпилированный на .NET исполняемый файл для поиска документов);
- WAExp (инструмент на .NET для сбора данных, связанных с WhatsApp);
- TomBerBil (для извлечения файлов cookie и учетных данных из веб-браузеров, таких как Google Chrome и Microsoft Edge).

Поддержание нескольких одновременных подключений на зараженных конечных точках к инфраструктуре субъекта с использованием различных инструментов рассматривается как запасной способ сохранения доступа, когда один из туннелей отвалился.

Анализ показывает, как злоумышленники активно реализуют методы обхода защиты, пытаясь замаскировать свое присутствие в системе и автоматизировать процесс сбора интересующих данных.

Для защиты инфраструктуры в ЛК рекомендуют ограничить работу облачных сервисов туннелирования трафика, а также круг инструментов для удаленного доступа к хостам. Избегать хранения паролей в своих браузерах и следить за соблюдением надежной парольной политики.