Представители кибершпионской конъюнктуры из поднебесной становятся все более опытными и изощрёнными в обходе решений безопасности.

К такому заключению пришли специалисты из Trendmicro, которые представили анализ недавних кампаний проправительственной китайской группировки Earth Preta.

Субъект угрозы, активен как минимум с 2012 года и отслеживается в ряде компаний по кибербезопасности, как Bronze President, HoneyMyte, Mustang Panda, RedDelta и Red Lich.

Цепочка атак начинается как обычно, а именно с рассылки фишинговых электронных писем с целью развертывания широкого спектра инструментов для организации бэкдора, доступа к C2 и извлечения данных.

Как правило, сообщения содержат вредоносные вложения в виде архивов-приманок, распространяемых посредством Dropbox или Google Drive для загрузки DLL, ярлыков LNK и файлов с поддельными расширениями для того, чтобы закрепиться в системе и затем установить один из бэкдоров TONEINS, TONESHELL, PUBLOAD, and MQsTTang (aka QMAGENT).

Аналогичные вектора заражений с ссылками на Google Drive использовались в апреле 2021 года для установки Cobalt Strike.

Как считают специалисты, Earth Preta закрепляет тенденцию скрывать полезную нагрузку в поддельных файлах, маскируя их под легитимные, так как этот метод доказал свою эффективность для предотвращения обнаружений.

Этот сценарий с первоначальной точкой входа впервые был замечен в конце прошлого года и в настоящее время получил небольшую, но очень примечательную доработку, при которой ссылка на скачивание архива встраивается в другой документ-приманку, а конечный файл защищен паролем, что позволяет обходить службы сканирования.

Первоначальный доступ к среде сопровождается поиском учетной записи жертвы с последующим повышением привилегий, при этом злоумышленники используют пользовательские инструменты, такие как ABPASS и CCPASS, чтобы обойти User Account Control (механизм контроля учетных записей в Windows 10).

Помимо прочего хакеры разварачивают малварь "USB Driver.exe" (HIUPAN или MISTCLOAK) и "rzlog4cpp.dll" (ACNSHELL или BLUEHAZE), чтобы заинсталлироваться на съемные накопили и создать reverse shell для горизонтального перемещения в сети.

Среди других вредоносных утилит встречались: CLEXEC - бэкдор, способный выполнять команды и очищать журналы событий; COOLCLIENT и TROCLIENT - имплантаты, предназначенные для записи нажатий клавиш, чтения и удаления файлов; PlugX для распространения через USB-накопители.

Субъект угрозы также разработал сложные настраиваемые инструменты, используемые для эксфильтрации, такие как NUPAKAGE и ZPAKAGE, оба из которых оснащены для сбора файлов Microsoft Office.

Результаты анализа еще раз подчеркивают возросший потенциал китайских APT и их постоянные инвестиции в совершенствование своего арсенала, а Earth Preta явный пример субъекта угрозы, который регулярно совершенствует свои ТТП, усиливает возможности разработки и создает универсальный набор вредоносных инструментов для осуществления кибершпионской деятельности.

GitHub приостанавил работу репозитория Twitter, после инцидента с обнаружением утечки исходников в одном из частных репозиториев.

Администрация предприняла указанные шаги после после получения DMCA-уведомления от Twitter о нарушении авторских прав в службу размещения кода GitHub с просьбой удалить репозиторий, содержащий исходный код.

По данным Twitter, в репозитории, принадлежащем пользователю GitHub FreeSpeechEnthusiast, незаконно размещался проприетарный исходный код платформы и внутренних инструментов.

В дополнение к удалению репозитория администрация соцсети также запросила информацию, которая могла бы помочь ей идентифицировать владельца и пользователей, которые могли получить доступ к репозиторию до его приостановки, включая IP-адреса или другую информацию о сеансах, а также любые журналы, связанные с этим репозиторием или его ответвлениями.

GitHub выполнил требование Twitter и приостановил публичный доступ к репозиторию в пятницу.

Помимо прочего принадлежащая Microsoft платформа также опубликовала и сам запрос.

В свою очередь, Twitter для установления виновника утечки подал документы с запросом в Окружной суд США по Северному округу Калифорнии с просьбой обязать GitHub предоставить всю идентифицирующую информацию.

GitHub при этом не подтвердил и не опроверг, предоставил ли он такую информацию. Компания также не прокомментировала, как долго исходный код Twitter был общедоступен.

В целом же, предполагаемая утечка исходного кода — лишь последнее дополнение к веренице проблем, которые преследуют последнее время платформу.

В конце декабря злоумышленники продавали данные более 400 миллионов пользователей Twitter, раскрыв при этом 63 ГБ данных на более чем 200 миллионов пользователей с их именами и адресами электронной почты.

Twitter отрицал какие-либо утечки с использованием ошибок в системах компании, и тем не менее вынужден был отвечать по коллективному иску в связи с предполагаемым инцидентом.

Apple выпустила серию обновлений, включая широкий спектр исправлений безопасности для всех устройств:

Исправления затрагивают iOS, iPadOS, tvOS, watchOS, всех разновидностей macOS, а также прошивку для внешнего монитора Studio Display от Apple.

Следует отметить, что если вы используете macOS Ventura и подключили свой Mac к Studio Display, простого обновления самой ОС Ventura недостаточно для защиты от потенциальных атак на системном уровне.

Согласно бюллетеню Apple, ошибка в собственной прошивке экрана дисплея может быть использована приложением, работающим на Mac, для выполнения произвольного кода с привилегиями ядра.

В целом, пакет исправляет многочисленные баги в различных компонентах, приводящих к RCE, раскрытию информации, обходу Apple Gatekeeper, доступу к Bluetooth, просмотру скрытых фотографий без аутентификации и контактов, раскрытию памяти процесса, считыванию конфиденциальной информации о местоположении и др.

Обновлениия доступны в версиях: iOS 16.4, iPadOS 16.4, macOS Ventura 13.3, macOS Monterey 12.6.4, macOS Big Sur 11.7.5, tvOS 16.4 и watchOS 9.4.

Кроме того, в пакете обновлений закрыта также 0-day в WebKit, которая позволяет злоумышленникам внедрить вредоносное ПО на старые устройства iOS 15 или iPadOS 15.

CVE-2023-23529 связана с ошибкой путаницы типов в движке браузера WebKit. Обработка вредоносного веб-контента может привести к RCE.

Сообщение об ошибке было приписано анонимному исследователю.

Изначально эта проблема была устранена внедрением улучшенных проверок в рамках обновлений, выпущенных 13 февраля 2023 года.

В новом бюллетене Apple отметила свою осведомленность в отношении использования уязвимости в реальных атаках.

Подробности эксплуатации в настоящее время разглашаются, но такое сокрытие является стандартной процедурой. Вероятно, это было связано с таргетированными атаками.

Обновление доступно в версиях iOS 15.7.4 и iPadOS 15.7.4 для iPhone 6s (все модели), iPhone 7 (все модели), iPhone SE (1-го поколения), iPad Air 2, iPad mini (4-го поколения) и iPod. сенсорный (7-е поколение).

͏Не прошло и недели после того, как Breached накрыли, а энтузиасты на хайпе пытаются подтянуть тему под себя.

Позиционирующий себя бывшим членом банды Anonymous, хакер-аноним с псевдонимом Pirata в Twitter начал собирать команду админов для новой площадки, которую он уже запустил на замену BF.

Все бы ничего, если не сомнительный нейминг - kkksecforum, на который сразу же обратили внимание VX-underground, которые заприметили в аббревиатуре аналогию с Ku Klux Klan, а сам ресурс прозвали «форумом белых националистов по кибербезопасности».

Pirata отверг все аналогии и по этому поводу решил разместить на сайте несколько объявлений с разъяснением ситуации, отдельно отметив значение KKK в качестве LOL (по-португальски).

В свою очередь, vx-underground позже привели пример того, что многие бразильцы пишут «ккккккккк» вместо «хахахаха». Тем не менее, остались при своем мнении о крайне неудачном выборе названия, с которым в комментариях практически все согласились.

В любом случае сегмент Raid и Breach продолжит оставаться в тренде даркнета, но уже под новыми брендами, один из них - kkksecforum, уже в деле.

Внезапное прозрение настигло товарищей из американской Mandiant: "Мы разжигаем пожар!" - именно так они назвали свою очередную статью (там, судя по всему, аллюзия на песню Билли Джоэла, если кто разбирается - поправьте нас в комментариях).

Статья длинная, но суть сводится к следующему - в ходе проведения Россией СВО хактивисты всех мастей все чаще стали атаковать OT-системы (если кто не знает - это системы, функционирование которых непосредственно влияет на реальный мир, в отличие от IT). А это очень даже может привести к техногенным катастрофам и человеческим жертвам среди мирного населения.

Неожыданно (!) оказалось, что если всячески поощрять хактивистов, пиарить их в соцсеточках, называть "киберсопротивлением", то рано или поздно они начнут херачить по промышленным объектам в надежде убить или покалечить побольше некомбатантов.

Но Mandiant беспокоит даже не это, а то, что, во-первых, может быть ответочка (очень завуалированно написали, но смысл ясен). А во-вторых, то, что "правильных хактивистов" вполне может занести на повороте и они долбанут уже по хорошим американским ресурсам (а не по плохим русским), преследуя какие-то свои политические или идеологические цели.

Мы так-то писали про это без малого год назад, комментируя попытку уебать Rutube, - "допускаем, что со временем докатятся и до атак на объекты критической инфраструктуры и АСУ ТП, которые могут привести к человеческим жертвам (очень этого не хочется, но вероятность существует)."

До атак докатились, человеческих жертв, слава Богу, пока нет.

Поэтому Mandiant кипишует не зря. Аннушка уже разлила масло, а фарш невозможно провернуть назад. Добро пожаловать в дивный новый мир.

Знакомьтесь, Netlas.io

Первый российский стартап, представивший поисковую систему, по многим параметрам превосходяющую свои зарубежные аналоги: shodan, censys и zoomeye.

Сервис позволяет искать различные устройства и службы, включая базы данных, сетевое оборудование, веб-камеры, IoT-устройства и даже промышленные системы.

Функционал поиска и поисковый язык реализованы достаточно гибко. Предусмотрены различные комбинации фильтров (по подсетям, портам, протоколам, технологиям и даже по наличию уязвимостей), которые позволяют оптимизировать поисковую выдачу.

Несмотря на то, что команда проекта находятся в процессе Beta-тестирования и еще совершенствуют сканеры, по количеству результатов и объему собираемой информации сервис на данном этапе превосходит конкурентов и уже привлек внимание пользователей, которые на форумах и в Twitter оставляют все больше положительных отзывов и рекомендаций.

Помимо стандартного набора функций поиска, присущего интернет-сканерам, разработчики Netlas.io добавили в свой продукт дополнительные библиотеки данных.

Интегрирована уникальная база DNS, насчитывающая свыше 2,5 млрд. доменных имен. Все домены периодически резолвятся, так что можно выполнять Forward-DNS преобразования (восстановление доменов привязанных к IP адресу), искать поддомены, а также домены, привязанные к одному почтовому серверу или серверу имен.

Кроме того, сервис Netlas.io включает библиотеки данных whois, которые они самостоятельно собирают и парсят. Причем, и IP и доменный whois, в общем сложности - весь диапазон IPv4 (свыше 11 млн. подсетей) и 270 млн. доменов верхнего уровня.

Такая фича позволяет осуществлять поиск не только по названию домена или IP адресу, а вообще по любому полю, что открывает совершенно потрясающие возможности для OSINT-специалистов и пентестеров при проведении разведки и анализе периметра компании.

Например, используя доменный whois в Netlas.io, можно узнать, что на Сбер зарегистрировано свыше 700 доменов!

В перспективе команда рассчитывает реализовать инструментарий для автоматизации построения периметра. Связывая в одном сервисе данные всех библиотек, позволит на выходе получить совершенно уникальный функционал для выявления поверхности атак.

У редакции канала нет никаких сомнений, что команде Netlas.io удастся создать высококлассный инструмент, который будет широко востребован среди специалистов инфосек-индустрии.

Настоятельно рекомендуем присмотреться к Netlas.io, а более подробно ознакомиться с примерами поисковых запросов, описанием функционала, новостями проекта и всякими хитрыми фишечками можно на канале стартапа - https://t.iss.one/netlas.

Новая малварь, нацеленная на Apple macOS и получившая название MacStealer, является очередным примером задействования Telegram в качестве платформы для C2 и извлечения данных.

Вредоносное ПО, в первую очередь, поражает устройства, работающие под управлением macOS Catalina (10.15) и вплоть до последней версии ОС Apple Ventura (13.2), и предназначена для кражи конфиденциальной информации со скомпрометированных устройств.

Как сообщают исследователи из Uptycs, вредонос способен красть документы, файлы cookie из браузера жертвы, а также данные для входа.

MacStealer распространяется как вредоносное ПО как услуга (MaaS). Впервые MacStealer попал в поле зрения в начале марта 2023 года после рекламы на хакерских форумах, за покупку которого просят скромыне 100 долларов.

Причем вредоносное ПО находится в стадии разработки и авторы планируют добавить функции для сбора данных из браузера Safari и приложения Notes.

В своем текущем исполнении MacStealer реализует извлечение данных цепочки ключей iCloud, паролей и информации о кредитных картах из браузеров Google Chrome, Mozilla Firefox и Brave. Он также поддерживает сбор файлов Microsoft Office, изображений, архивов и скриптов Python.

Точный метод, используемый для доставки вредоносного ПО, неизвестен, но оно распространяется в виде файла DMG (weed.dmg), который при запуске открывает запрос поддельного пароля для сбора паролей под видом запроса доступа к приложению "Настройки системы".

Поскольку Mac становятся все более популярными при использовании на предприятиях, тем важнее становятся данные, хранящиеся на них. Поэтому для устранения угроз пользователям рекомендуется обновлять свою ОС и ПО, включая и средства защиты, а также избегать загрузки файлов из недоверенных источников.

MacStealer является одним из нескольких похитителей информации, появившихся буквально за последние несколько месяцев, и дополняет и без того большое число аналогичных инструментов, существующих в настоящее время в дикой природе.

Исследователи приписывают АРТ SideCopy нападения на Индию и Афганистан, а также связь с новой фишинговой кампанией Action RAT.

К такому выводу пришли в Cyble, согласно отчету которых операция SideCopy была направлена на подразделения исследований и разработок (DRDO) Министерства обороны Индии.

Как известно SideCopy, эмулирует цепочки заражений, связанные с SideWinder, для доставки собственного вредоносного ПО. В некоторых отчетах предполагается, что этот злоумышленник имеет общие характеристики с Transparent Tribe (APT36).

Группировка активна как минимум с 2019 года и последовательность атак, организованная группой пакистанского происхождения, включает использование фишинговых электронных писем для получения первоначального доступа.

Сообщения, как правило, приходят с ZIP-архивом, который содержит файлы быстрого доступа Windows (.LNK), маскирующийся под информацию о баллистической ракете K-4, разработанной DRDO.

Выполнение файла LNK приводит к извлечению HTML-приложения с удаленного сервера, которое, в свою очередь, отображает презентацию приманки, параллельно и незаметно для жертвы разворачивая бэкдор Action RAT.

Помимо сбора информации о компьютере-жертве, малварь способна выполнять команды, отправляемые с C2, включая сбор файлов и удаление последующих вредоносных программ.

Кроме того, реализуемый злоумышленниками сценарий атаки включает установку нового софта для кражи информации AuTo Stealer, который предназначен для сбора и эксфильтрации файлов Microsoft Office, документов PDF, баз данных и текстовых файлов, а также изображений передавая их по HTTP или TCP.

Как отмечают специалисты, APT постоянно совершенствует методы, включая новые инструменты в свой арсенал.

Это не первый случай, когда SideCopy использует Action RAT в своих атаках, направленных против Индии.

Так, в декабре 2021 года Malwarebytes уже раскрывала серию вторжений в несколько министерств Афганистана и Индии для кражи конфиденциальных данных.

Исследователи Domien Schepers, Aanjhan Ranganathan и Mathy Vanhoef раскрыли фундаментальную уязвимость в структуре стандарта протокола IEEE 802.11 Wi-Fi, позволяющий злоумышленникам перехватывать сетевой трафик.

Технические детали исследования будут подробно на предстоящей конференции BlackHat Asia, которая состоится в период 9-12 мая 2023 года.

Уязвимость затрагивает широкий спектр устройств и ОС Linux, FreeBSD, iOS и Android, ее можно использовать для захвата TCP-соединений или перехвата клиентского и веб-трафика.

Кадры WiFi представляют собой контейнеры данных, состоящие из заголовка, полезной нагрузки данных и трейлера, которые включают такую информацию, как MAC-адрес источника и получателя, а также данные управления.

Они упорядочиваются в очереди и передаются контролируемым образом.

Обнаруженная исследователями проблема связана как раз с недостаточной защищенностью помещенных в очередь кадров.

Стандарт IEEE 802.11 включает механизмы энергосбережения, которые позволяют WiFi-устройствам экономить электроэнергию за счет буферизации или постановки в очередь кадров, предназначенных для спящих устройств.

При перехожу клиентской станции (принимающего устройства) в спящий режим, на точку доступа отправляется кадр с заголовком, содержащим бит энергосбережения, а все кадры, предназначенные для нее, ставятся в очередь.

При этом стандарт не подразумевает явных процедур по управлению безопасностью кадров в очереди и не включает ограничений, например, указаний как долго кадры могут оставаться в этом состоянии.

Как только клиентская станция просыпается, точка доступа извлекает буферизованные кадры из очереди, применяет шифрование и передает их адресату.

Злоумышленник может подделать MAC-адрес устройства в сети и отправить энергосберегающие кадры на точки доступа, заставив их поставить в очередь кадры, предназначенные для цели. Затем злоумышленник передает кадр пробуждения, чтобы получить стек кадров.

Передаваемые кадры обычно шифруются с помощью ключа шифрования с групповым адресом, общего для всех устройств в сети Wi-Fi, или парного ключа шифрования, который уникален для каждого устройства и используется для шифрования кадров, которыми обмениваются два устройства.

Однако злоумышленник может изменить контекст безопасности кадров, отправив на точку доступа кадры аутентификации и ассоциации, тем самым заставив ее передавать кадры в виде открытого текста или шифровать их с помощью предоставленного злоумышленником ключа.

Эта атака возможна с помощью специальных инструментов (MacStealer), которые могут тестировать сети Wi-Fi на предмет обхода изоляции клиентов и перехватывать трафик на уровне MAC.

Исследователи сообщают, что этим атакам подвержены модели сетевых устройств Lancom, Aruba, Cisco, Asus и D-Link, а атаки могут использоваться для внедрения вредоносного контента, такого JavaScript, фундаментальв TCP-пакеты.

Хотя эту атаку также можно использовать и для отслеживания трафика, ее влияние будет ограниченным, поскольку большая часть веб-трафика шифруется с помощью TLS.

Первым из поставщиков влияние уязвимости признала Cisco, которая потвердила, что описанные атаки могут быть успешными в отношении продуктов Cisco Wireless Access Point и Cisco Meraki с беспроводными возможностями, однако полученные кадры вряд ли поставят под угрозу общую безопасность должным образом защищенной сети.

Тем не менее, компания рекомендует применять меры по смягчению последствий, включая использование механизмов обеспечения соблюдения политик с помощью Cisco Identity Services Engine (ISE), которая может ограничивать доступ к сети за счет внедрения технологий Cisco TrustSec или Software Defined Access (SDA).

В настоящее время случаи злонамеренного использования обнаруженной исследователями уязвимости не выявлены.

Аналитики Mandiant разоблачили хакерскую группу APT43, которую они отслеживали на протяжении последних пяти лет и связывали с Kimsuky или Thalium.

Группа нацелена на правительственные и исследовательские организации в США, Европе, Японии и Южной Корее, и участвуя в шпионаже и финансово мотивированных кибератаках для финансирования своей деятельности.

Mandiant с высокой степенью уверенности полагают, что за АРТ может стоять Генеральное бюро разведки Северной Кореи (RGB), а цели субъекта угрозы согласовываются с национальными геополитическими интересами.

При этом резкая смена целей шпионских операций является признаком того, что они получают приказы по своим целям, следуя направлениям более широкого стратегического планирования.

APT43 использует фишинговые электронные письма от вымышленных должностных лиц, перенаправляя их на подконтрольные сайты-приманки, которые содержат фальшивые страницы входа, заставляя жертв обманом вводить свои учетные данные.

С их помощью APT43 авторизуется в целевых системах и ведет сбор разведданных. Кроме того, используют контакты жертвы для продвижения своей фишинговой активности на других.

АРТ в первую очередь заинтересована в информации вооруженных сил и правительства США, включая хранимую в оборонно-промышленной базе (DIB), а также сборе результатов исследований американских ученых и аналитиков, занимающихся вопросами ядерной безопасности.

Также APT43 проявляет интерес к аналогичным некоммерческим организациям и университетам в Южной Корее, которые занимаются глобальной и региональной политикой, а также к производственным предприятиям, специализирующимся на продукции, ограниченной в экспорте в Северную Корею, включая оружие, машиностроение, топливо и металлы.

APT43 использует стратегию, схожую с большинством северокорейских группировок, добывающих финансовые активы для обеспечения своей активности. Mandiant наблюдал, как субъект использует вредоносные Android-приложения, которые нацелены на китайских пользователей криптовалюты.

Украденная APT43 крипта отмывается через миксеры и сервисы облачного майнинга с использованием подставных псевдонимов, адресов и способов оплаты для затруднения отсеивания транзакций.

Оплата за оборудование и инфраструктуру производилась с помощью PayPal, American Express и краденных биткойнов.

Во ходе пандемии COVID-19 APT43 использовала вредоносное ПО, состоявшее на вооружении у Lazarus, но это совпадение было недолгим.

В другом случае группа применяла инструмент для кражи криптовалют Lonejogger, который был связан с UNC1069, в свою очередь, - с APT38.

APT43 также имеет собственный уникальный набор пользовательских вредоносных программ, включающий загрузчики Pencildown, Pendown, Venombite и Egghatch, инструменты Logcabin и Lateop (BabyShark), а также бэкдор Hangman.

Помимо этого, группа угроз также разворачивала и общедоступные инструменты, такие как gh0st RAT, QuasarRAT и Amadey.

Mandiant ожидает, что APT43 будет продолжать участвовать в операциях в течение более длительных периодов времени, сотрудничая с другими северокорейскими АРТ в многочисленных операциях, что подчеркивает важную роль, которую группа играет в кибераппарате северокорейцев.

Проправительственная южноазиатская АРТ, получившая название Bitter нацелилась на сектор ядерной энергетики КНР.

Специалисты Intezer сообщают, что APT действует как минимум с 2021 года и известна своими нападениями на энергетические и правительственные организации в Бангладеш, Китае, Пакистане и Саудовской Аравии.

Злоумышленники используют эксплойты для Microsoft Office через Excel, файлы справки CHM и установщики MSI.

В последней шпионской компании злоумышленники использовали обновленную полезную нагрузку для первого этапа и добавили дополнительный сценарий для запутывания, использовав дополнительные приманки в социальной инженерии.

Bitter был нацелен на получателей из атомно-энергетической отрасли Китая, разослав не менее семи фишинговых электронных писем, выдающих себя за посольство Кыргызстана в Китае, с приглашением присоединиться к конференциям по соответствующей тематике.

Получателей пытались побудить к загрузке и открытию прикрепленного архива RAR с пейлоадом в CHM или Excel для обеспечения устойчивости и получения дополнительных вредоносных программ с C2.

Полезная нагрузка в Excel содержала эксплойт Equation Editor, предназначенная для установки процедуры загрузки EXE-файла для следующего этапа эксплуатации.

Файлы CHM, в свою очередь, использовались для простого выполнения произвольного кода с минимальным взаимодействием с пользователем, даже если не установлена уязвимая версия Microsoft Office.

Один из выявленных сценариев создавал запланированную задачу для выполнения удаленной полезной нагрузки MSI с помощью msiexec.

Примечательно, что в ходе расследовании цепочки атак Intezer увидел только пустые файлы MSI, которые вероятно использовались злоумышленниками для разведки и которые в последующем могли быть заменены реальной полезной нагрузкой, если цель оказалась интересной.

Также было замечено, что вторая версия файла CHM выполняла аналогичные действия с использованием закодированной команды PowerShell.

Специалисты отмечают, что АРТ Bitter, не слишком сильно изменила свою тактику и предполагается, что полезная нагрузка будет аналогичной, что наблюдалась в 2021 году, выполняя модуль загрузчика для возможных кейлоггеров, инструментов удаленного доступа и грабберов информации с диска или браузера.

По результатам вчерашнего редакционного совещания решено вынести на суд подписчиков вопрос о переименовании канала SecAtor и присвоении ему нового, более трендового названия.

Ресерчеры призывают удалять десктопное приложение 3CX Voice Over Internet Protocol (VOIP), которое активно используется для компрометации пользователей в ходе масштабной атаки на цепочку поставок.

3CX — разработчик ПО VoIP IPBX, чья система насчитывает более 12 миллионов пользователей и используется более чем 600 000 компании по всему миру, включая таких известных, как American Express, Coca-Cola, McDonald's, BMW, Honda, AirFrance, NHS, Toyota, Mercedes-Benz, IKEA и HollidayInn.

Вредоносная активность замечена исследователями CrowdStrike и Sophos, которые сообщают о нацеливании на пользователей скомпрометированного 3CX как для Windows, так и для macOS.

Клиенты начали получать предупреждения безопасности неделю назад, после установки версий 3CXDesktopApp 18.12.407 и 18.12.416 для Windows или 18.11.1213 и последней версии на Mac.

Она включает в себя отправку маяка в инфраструктуру, контролируемую субъектом, развертывание полезной нагрузки второго этапа и, в небольшом числе случаев, действия на клавиатуре.

При этом самая распространенная активность после эксплуатации, наблюдаемая на сегодняшний день, это создание интерактивной командной оболочки.

Не разобравшись в вопросе, ресерчеры CrowdStrike уже заподозрили в атаке северокорейскую Labyrinth Collima, в то время как Sophos не могут гарантировать атрибуцию с высокой степенью достоверности. SentinelOne также увидела очевидных связей с существующими кластерами угроз.

SentinelOne назвали новую атаку на цепочку поставок SmoothOperator и отметили ее начало с момента загрузки установщика MSI с веб-сайта 3CX или обновления уже установленного ПО.

Один из троянских образцов клиента софтфона 3CX, которым поделился CrowdStrike, был подписан цифровой подписью более трех недель назад, 3 марта 2023 года, с легитимным сертификатом 3CX Ltd, выданным DigiCert. Причем этот же сертификат использовался в более старых версиях ПО.

При установке MSI или обновления извлекаются вредоносные DLL-файлы ffmpeg.dll (VirusTotal) и d3dcompiler_47.dll (VirusTotal), которые используются для выполнения следующего этапа атаки.

Исследователи Sophos считают, что исполняемый файл 3CXDesktopApp.exe не является вредоносным, вредоносная DLL ffmpeg.dll будет загружена и использована для извлечения зашифрованной полезной нагрузки из d3dcompiler_47.dll и ее выполнения.

SentinelOne объясняет, что вредоносная ПО теперь будет загружать файлы значков, размещенные на GitHub, которые содержат строки в кодировке Base64, добавленные к концу изображений. Репозиторий GitHub со значками показывает, что первый был загружен еще 7 декабря 2022 года.

Вредоносное ПО первой стадии использует эти строки Base64 для загрузки окончательной полезной нагрузки на скомпрометированные устройства — ранее неизвестное вредоносное ПО для кражи информации, загружаемое в виде DLL.

Вредоносная ПО способна собирать системную информацию, красть данные и сохраненные учетные данные из профилей пользователей Chrome, Edge, Brave и Firefox.

Несмотря на многочисленные жалобы клиентов и доводы исследователей, разработчики из 3CX списывали все это как потенциальное ложное срабатывание и не признавали проблемы публично. Сегодня гендир компании Ник Галеа все же признал epic fail и посоветовал удалить приложение, пообещав в ближайшее время выпустить исправления.

Тем временем исследователи выяснили, что к атаке на цепочку поставок привела атака на цепочку поставок, благодаря которой была заражена основная библиотека, которую использовали 3CX. Кроме того, опубликовали расширенные YARA и Sigma для 3CX, а также бесплатный THOR Lite для сканирования файлов.

Майкрософт не был бы Майкрософтом, если бы у них что-нибудь да не отваливалось или не глючило.

На этот раз Microsoft Defender ошибочно помечал URL-адреса как вредоносные, а некоторые клиенты получали десятки предупреждений по электронной почте в интервале пяти часов.

Компания официально подтвердила в Twitter, что ее инженеры расследуют этот сервисный инцидент как ложное срабатывание.

Компания также подтвердила сообщения  о проблемах с доступом к сведениям об оповещениях при нажатии на ссылку «просмотреть оповещения» в электронных письмах.

В обновлении на портале центра администрирования Microsoft 365 Редмонд подтвердил, что администраторы получат большое количество предупреждений с высокой степенью серьезности с указанием, что «обнаружен потенциально вредоносный клик по URL-адресу».

Ранее Редмонд выпустил еще одно уведомление о снижении качества обслуживания через портал центра администрирования, отметив, что страницы предупреждений и инцидентов могут быть недоступны.

Как обычно, после создания проблемы на ровном месте разработчики Microsoft ее успешно решают, в данном случае - путем отмены последних обновлений функции SafeLinks.

Поставщик оборудования QNAP предупреждает о необходимости защиты устройств NAS на базе Linux от уязвимости повышения привилегий Sudo.

CVE-2023-22809 имеет высокую степень серьезности и была обнаружена исследователями Synacktiv.

Ошибка связана с обходом политики sudoers в Sudo при использовании sudoedit. Успешная эксплуатация на непропатченных устройствах с использованием версий Sudo с 1.8.0 по 1.9.12p1 может позволить злоумышленникам повысить привилегии путем редактирования неавторизованных файлов после добавления произвольных записей в список обрабатываемых файлов.

Уязвимость также влияет на операционные системы NAS QTS, QuTS hero, QuTScloud и QVP (QVR Pro appliances), о чем QNAP сообщил в опубликованных рекомендациях.

Разработчики устранили ошибку в платформах QTS и QuTS hero, однако они все еще работают над обновлением безопасности QuTScloud и QVP.

В рекомендациях QNAP уязвимость CVE-2023-22809 не фигурирует как активно используемая в дикой природе, но в виду ее серьезности клиентам настоятельно рекомендуется как можно скорее применить доступные обновления.

Не стоит пренебрегать рекомендациям, так как ни для кого не секрет, что злоумышленники проявляют активный интерес к недостаткам безопасности QNAP NAS, о чем свидетельствуют многочисленные недавние атаки вымогателей DeadBolt и eCh0raix, которые использовали уязвимости для шифрования данных на устройствах, подключенных к Интернету.

Продолжаем следить за тектоническими изменениями на рынке коммерческого шпионского ПО.

На днях, как сообщают наши коллеги, президент США подписал указ, направленный на ограничение использования spyware. И речь вовсе не идет о локальной истории.

Стоит отметить, что регулирование в силу экстерриторальной юрисдикций американских законов будут распространяться фактически на всех участников отрасли.

Что собственно, Белый дом официально подтвердил, заявив о том, что указ послужит основой для международного сотрудничества в рамках стимулирования реформы отрасли.

Дабы поддержать дедулю и общую продвигаемую западным разведсообществом стратегию, исследователи Google TAG выкатили очередной отчет по spyware, связав львиную долю 0-day за 2022 год для iOS и Android с поставщиками шпионского ПО, замеченными в двух разных целенаправленных кампаниях.

В одной из двух кампаний атака началась с отправки ссылки целевому пользователю через SMS. При переходе по ссылке жертва попадала на вредоносные веб-сайты с эксплойтами для Android или iOS.

Цепочка эксплойтов iOS включала CVE-2022-42856, уязвимость WebKit, которую Apple исправила в iPhone в декабре 2022 года. Атаки также включали метод обхода проверки подлинности указателя (PAC) и эксплойт для CVE-2021-30900 (уязвимость выхода из песочницы и повышения привилегий), которую Apple исправила в iOS в 2021 году. 

Цепочка эксплойтов Android была нацелена на CVE-2022-3723 — 0-day для Chrome, исправленную Google в октябре 2022 года, а также на CVE-2022-4135, которую Google исправила в ноябре 2022 года (обход песочницы Chrome GPU, который влияет только на устройства Android).

Цепочка Android также включала использование CVE-2022-38181, уязвимости графического процессора Arm Mali, приводящей к произвольному выполнению кода ядра. Патч был выпущен Arm в августе 2022 года, но на устройства Pixel он был выпущен только в январе 2023 года.

Однако несколько поставщиков, включая Pixel, Samsung, Xiaomi, Oppo и другие, не включили исправление, в результате чего злоумышленники могли свободно использовать ошибку в течение нескольких месяцев.

Кампания была нацелена на пользователей в Италии, Малайзии и Казахстане с помощью ПО от RCS Lab и Cytrox.

Во второй кампании, обнаруженной в декабре 2022 года, злоумышленники нацелились на на браузер Samsung, объединив различные 0 и n-day. Эксплойты также доставлялись в виде ссылок через SMS.

Атаки были нацелены на пользователей в ОАЭ с целью доставки шпионского ПО для Android. Google считает, что атака была осуществлена испанской Variston.

Список эксплойтов включал CVE-2022-4262 (0-day в Chrome), исправленную Google в декабре 2022 года, и CVE-2022-3038 (побег из песочницы Chrome).

Кампания также нацелена на CVE-2022-22706 (проблема в драйвере ядра Mali), исправленную Arm в январе 2022 года, и CVE-2023-0266 (уязвимость звуковой подсистемы ядра Linux). Обе эти уязвимости активно эксплуатировались на устройствах Android до того, как были выпущены исправления.

За раскрытие подробностей атак респект, но что-то никак в отчетах не видим ничего про американских поставщиков spyware.

Исследователи Trend Micro обнаружили малварь под названием Opcjacker, которая распространялась в дикой природе, по крайней мере, с середины 2022 года, используя рекламные кампании, замаскированные под криптовалютные приложения и другие легитимные ПО на поддельных веб-сайтах.

В своей последней кампании в феврале 2023 года, вредоносное ПО распространялось среди пользователей Ирана с помощью таргетированной рекламы якобы VPN-приложения.

Как считают эксперты, OpcJacker достаточно интересная вредоносная программа, поскольку ее конфигурационный файл использует пользовательский формат файла для определения поведения злоумышленника.

В частности, формат напоминает пользовательский код виртуальной машины, где числовые шестнадцатеричные идентификаторы, присутствующие в файле конфигурации, заставляют похитителя запускать нужные функции. Вероятно, это сделано для того, чтобы запутать исследователей, работающих над анализом вредоносного ПО.

Основные функции OpcJacker включают в себя кейлоггер, создание скриншотов, кражу конфиденциальных данных из браузеров, загрузку дополнительных модулей и замену криптовалютных адресов в буфере обмена.

Малварь загружается путем исправления легитимной библиотеки DLL внутри установленной программы, которая затем загружает другую вредоносную библиотеку DLL, посредством которой запускается шелл-код, содержащий загрузчик и инсталятор другого вредоносного приложения в дополнение к Opcjacker.

Причем этот вредонос собирается из фрагментов данных, хранящихся в нескольких файлах разных форматов, таких как WAV и CHM.

Загрузчик используется уже более года и называется Babadeda crypter, но злоумышленник, стоящий за Opcjacker, внес некоторые некоторые изменения в cryptor и добавил совершенно новой пейлоад.

Специалисты отметили, что OpcJacker в основном запускает дополнительные модули, такие как NetSupport RAT или скрытый вариант VNC. В некоторых случаях другой загрузчик под названием Phobos Cryptor, который используется для доставки ransomware Phobos.

Основная цель вредоносного ПО пока неизвестна, но его возможности по краже криптовалют указывают на то, что за ним стоит финансово мотивированный злоумышленник.

Тем не менее, дополнительные функции вредоносного ПО позволяют использовать его в качестве средства для кражи информации и загрузки других вредоносных ПО.

В Trend Micro отметили, что Opcjacker все еще находится в стадии активной разработки и в скором времени планируется более широкое распространение в других вредоносных кампаниях.