SecAtor

Исследователи из Лаборатории Касперского выкатили настоящий must have с квартальной аналитикой по APT-трендам, альтернативным парадигмам западного инфосека. Причем делают это уже более шести лет, выдавая репрезентативную картину на основе собственных исследований по анализу APT-угроз. Из основного в отчете за первый квартал 2024 года: - Ключевые события включают использование Kimsuky бэкдора Durian на базе Golang в атаке на цепочку поставок в Южной Корее, Spyder и Remcos RAT в таргете DroppingElephant на цели в Южной Азии. -  Lazarus продолжает обновлять свои функциональные возможности и методы, избегая обнаружения.  - Выделены кампании, нацеленные на Ближний Восток, в том числе DuneQuixote, а также с участием таких APT, как Gelsemium, Careto, Oilrig. - Отдельно рассмотрены AppleSeed (со привязкой к Andariel) и ViolentParody (потенциально приписываемую Winnti). - в Азии и Африке орудовала SideWinder, расширяя географию и таргетинг по отраслям. - Вредоносное ПО Spyrtacus, которое использовалось для атак на конкретных лиц в Италии, демонстрируя разработку хакерами вредоносного ПО для различных платформ, включая мобильные. - Кампании APT по-прежнему очень географически разбросаны и ориентированы на Европу, Америку, Ближний Восток, Азию и Африку. - Геополитика остается ключевым фактором развития APT, а кибершпионаж - главной целью кампаний. - Продолжаются хактивистские кампании: сосредоточены в основном вокруг конфликта Израиля и Хамаса, но не только, как показывает активность SiegedSec. Полная версия отчёта: https://securelist.com/apt-trends-report-q1-2024/112473/.

Microsoft выпустила майский PatchTuesday с исправлениями 61 уязвимости, в том числе трех активно используемых или публично раскрытых нулей, а также лишь одну критическую RCE в Microsoft SharePoint Server (CVE-2024-30044, CVSS 8.8). По категориям расклад следующий: 17 - EoP, 2 - обход функций безопасности, 27 - RCE, 7 - раскрытие информации, 3 - DoS и 4 - спуфинг. Сюда не вошли еще 12 ошибок в Microsoft Edge. Один из двух активно эксплуатируемых нулей, CVE-2024-30051 (CVSS 7.8), связанный с повышением привилегий базовой библиотеки Windows DWM, был обнаружен исследователями из Лаборатории Касперского в апреле 2024 года в ходе исследования другой EoP-ошибки, отслеживаемой как CVE-2023-36033. Специалисты оперативно уведомили об этом Microsoft и после этого r середине апреля заметили эксплойт для 0-day, который использовался несколькими группами киберпреступников, в том числе для инсталляции воскресшего после силовой облавы QakBot. Технические подробности о CVE-2024-30051 обещают раскрыть чуть позже, как пользователи обновят свои системы Windows. Второй 0-day (CVE-2024-30040, CVSS 8.8) связан с обходом функций безопасности платформы Windows MSHTML и приводит к RCE, если жертва повзаимодействует c вредоносным файлом. Как эта уязвимость использовалась в атаках и кто ее обнаружил - не ясно. Третий зиродей CVE-2024-30046 вызывает состояние DoS и затрагивает Visual Studio, был раскрыт публично, но также без особых подробностей. Полный список уязвимостей, устраненных в обновлениях PatchTuesday за май 2024 года, с описанием каждой и систем, на которые она влияет, - здесь.

Бесконечно можно смотреть на огонь, как горит огонь, как течет вода и как APT Lazarus Group тащит все отовсюду. Как сообщает Разведывательное агентство Южной Кореи NIS, северокорейские хакеры умудрились закрепиться в национальной сети судебной системы и на протяжении почти двух лет качать из нее всю инфу. Совместное расследование полиции, прокуратуры и NIS показало, что вторжение произошло в период с января 2021 года по февраль 2023 года и затронуло ИТ-сеть суда Сеула. За этот период Lazarus выгребли в общей сложности 1014 ГБ из компьютерной сети южнокорейского суда, которые включали в себя подробную личную информацию, регистрационные номера резидентов, финансовые отчеты, а также массивы электронных судебных документов. Собранные артефакты в купе с оперативными данными по расчетам за аренду серверов и IP-адресам вывели следствие на APT Lazarus Group. На месте прокуратуры стоило бы присмотреться к своей сети. Вдруг.

Сказка ложь, да в ней намек: добры молодцы западного инфосека, по всей видимости, тоже просмотрели интервью LockBitSupp, вышедшее почти сразу после громкого деанона его личности Минюстом США. Отличился репортер Infosec Брайан Кребс, который решил перепроверить выводы спецслужб относительно обвинений в причастности жителя Воронежа к RaaS LockBit. Независимое расследование, к удивлению многих, не выявило связей между названным лицом, известным также в киберподполье как NeroWolfe, и розыскиваемым LockBitSupp. Из представленных в официальных бумагах Минюста США исследователям удалось проследить за воронежским хакером, который протяжении почти 14 лет умудрился прилично наследить и отметиться на многих даркнет-площадках, не особо заморачиваясь на OpSec. Кроме того, не смог Кребс отыскать денежные пересечения LockBitSupp с воронежским NeroWolfe, который, безусловно, также не последний человек в сфере киберпреступности, но бездоказательно теперь связанный с LockBit. Очевидно, что спецслужбы не могут выдать в процессуальные документы все свои наработки по соображениям секретности, но раз пошла такая пьянка, в самую пору было разрезать последний огурец, а без него это шоу напоминает больше бутафорию вместо атрибуции. Впрочем, урок относительно «правильной» атрибуции некоторые из западных ИБ-специалистов все же усвоили, но полагаем, что не надолго, их обязательно обучат как надо.

Производители средств контрацепции ❤️ предсказуемо твердят об опасности незащищенного секса 🦠 Мы, если честно, ни разу не сталкивались с этой угрозой за почти три десятилетия использования своих половых устройств. Один раз нам чуть яйца не оторвали и, пожалуй, все. Но это из области психологии восприятия рисков уже - то, с чем никогда не сталкивался, всерьез не воспринимается, а статистика говорит, что есть и более актуальные проблемы, чем ЗППП ❤️ Но если у вас на половых сношениях завязаны бизнес-процессы или вы оказываете интимные услуги за деньги, то для вас актуальны презервативы из овечьей кожи (в России их, правда, всего один или два). ЗЫ. Есть еще и всякие лишаи и мандавошки, но это особый случай. Лично мы пока по плечевым не ходим 🙄, чтобы на них закладываться.

Исследователи предупреждают об активной эксплуатации N-day уязвимостей в популярном решении резервного копирования и восстановления Arcserve Unified Data Protection (UDP), которые используются для обеспечения доступа к сетям жертв. Тревогу забили за рубежом, а точнее в Национальной системе здравоохранения Великобритании, которая сообщила о начале атак с использованием трех исправленных недостатков, среди которых: - CVE-2024-0799 (9.8 критическая): обход аутентификации, которым может воспользоваться удаленный злоумышленник, не прошедший проверку подлинности, отправив HTTP-сообщение POST без параметра пароля в конечную точку /management/wizardLogin. - CVE-2024-0800 (высота 8,8): уязвимость обхода пути позволяет удаленному злоумышленнику, прошедшему проверку подлинности, загружать произвольные файлы в любой каталог файловой системы, где установлена UDP-консоль. - CVE-2024-0801 (ожидается оценка CVSS): уязвимость приводит к вызову состояния отказа в обслуживании (DoS). Arcserve опубликовала рекомендации по безопасности для уязвимостей в марте 2024 года и уже на следующий день Tenable выпустила PoC для CVE-2024-0799, CVE-2024-0800 и CVE-2024-0801. Вскоре после этого и последовали возможные попытки использования Arcserve UDP. Затронутым организациям настоятельно рекомендуется ознакомиться с рекомендациями по безопасности и оперативно применить все соответствующие обновления для Arcserve UDP версий 8.1–9.2.

Исследователи Cybernews сообщают об обнаружении 6 мая второй по величине утечки после Mother of All Breaches (MOAB) с 26 млрд. записей, которую назвали COMB (compilation of many breaches). Но главная ее особенность заключается даже не в объеме утечки (более 1,2 миллиарда записей), а в ее содержании - колоссальный набор конфиденциальных данных ориентирован исключительно на граждан Китая, покрывая до 87% жителей страны. Владелец COMB, вероятно, непреднамеренно произвел неправильные настройки экземпляра Elasticsearch, что сделало их доступными в Интернет. Причем работу по созданию COMB неизвестный актор начал не так давно, первая запись была загружена 29 апреля. Неделю спустя конечная версия уже включала 1 230 703 487 записей личных данных граждан Китая, и их количество продолжает расти. Полный набор данных имеет дубликаты, что по всей видимости, позволяет злоумышленникам просматривать все утекшие данные о человеке, связывая воедино различные данные из разных источников. Несмотря на то, что COMB был размещен в одном из ЦОДов в Германии, настройки интерфейса Kibana с китайским языком указывают, что админ может иметь китайское происхождение. Большая часть данных собрана из предыдущих публичных утечек, однако в компиляцию также включены некоторые частные и ранее не сливавшиеся наборы данных. Как выяснили исследователи, COMB включает в себя: по 600 и 500 млн. записей идентификаторов и номеров телефонов в QQ и Weibo, а также несколько десятков миллионов записей с номерами телефонов и документов, именами, почтовыми и электронными адресами из ShunFeng, Pingan, Jiedai, Siyaosu. Исследователи не располагают информацией о том, кому и зачем нужна была COMB, никто из киберподполья ответственности за утечку на себя не взял. Cybernews проинформировала немецкого провайдера, полагая, что COMB определенно имеет преступный потенциал и будет использоваться для планирования и совершения широкомасштабных атак на КНР.

Подкатил глобальный Apple Patch Day с исправлениями серьезных уявзвимостей в iPhone, iPad и macOS, включая 0-day на старых флагманских мобильных устройствах, которые, по всей видимости, уже подвергались атакам. В целом специалисты из Купертино задокументировали как минимум 16 уязвимостей в iPhone и iPad, обращая особое внимание на CVE-2024-23296, ошибку повреждения памяти в RTKit, которая «могла быть использована» до появления исправлений. Apple RTKit - это встроенная операционная система реального времени, которая работает практически на всех устройствах Apple и в прошлом подвергалась атакам с использованием эксплойтов, обходящих защиту памяти ядра. Apple заявила, что ошибка использовалась в старых версиях iOS, и выпустила iOS 16.7.8 и iPadOS 16.7.8 с исправлениями. Отдельно Apple задокументировала 14 дефектов безопасности в новейших версиях iOS и предупредила, что некоторые из этих проблем могут привести к RCE, раскрытию данных и конфиденциальности, а также к сбоям в системе. Компания также выкатила исправления для всей линейки настольных ОС: macOS Sonoma, macOS Ventura и macOS Monterey, отметив, что закрытые недостатки могут привести к выполнению RCE, повышению привилегий и несанкционированному доступу к данным.

Исследователи F.A.C.C.T. задетектили новый вредоносный загрузчик PhantomDL (PhantomGoDownloader), который, вероятно, имеет тесные связи с группой кибершпионажа PhantomCore и используется с марта 2024 года. PhantomCore работает по России с января 2024 года, нацеливаясь на компании в сфере ВПК РФ. Как правило, атакуют жертв через фишинговые письма с запароленными вредоносными архивами во вложении и замаскированными под официальные документы приманками. Основной инструмент APT - троян удаленного доступа PhantomRAT. В конце марта исследователям удалось обнаружили на платформе VirusTotal исполняемый файл и запароленный RAR-архив, который и включал этот файл и помимо него легитимный PDF-файл. Документ-приманка содержал информацию об акте приема-передачи строительной площадки для производства работ на территории российского предприятия из атомной отрасли. Злоумышленники задецствовали вариацию CVE-2023-38831 в WinRAR, в которой вместо ZIP-архивов используются RAR-архивы. Если пользователь с версией WinRAR меньшей 6.23 запустит PDF-файл, будет запущен исполняемый файл, содержащийся в одноименной директории архива. В случае, если версия WinRAR 6.23 и выше, пользователю будет отображен легитимный PDF-файл. Исполняемый файл является загрузчиком, написанным на языке Go. Для его обфускации, предположительно, используется утилита Garble. Спустя чуть больше месяца с момента первого обнаружения Go-загрузчика специалистам удалось выявить новый образец, который, в отличие от более раннего, не имел обфускации классов и методов. Это позволило идентифицировать название проекта D:\github\phantomDL и присвоить этому загрузчику имя PhantomDL. Останавливаться на технических аспектах и атрибуции загрузчика PhantomDL не будем, все это вместе с индикаторами компрометации можно найти в блоге. Но, очевидно, что PhantomCore активно развивает свой инструментарий и переходит от стадии тестирования к нападению. Если на ранних этапах злоумышленники использовали достаточно простой загрузчик PhantomCore.Downloader, то уже спустя месяц перешли к более сложному - PhantomDL. При этом злоумышленники тщательно подходят к подготовке документов-приманкок, содержание которых свидетельствует о нацеленности на российские предприятия в сфере ВПК или взаимодействующие с ними организации.