SecAtor

͏Всем хорошо отдохнуть на предстоящих выходных!

Индийская Seqrite Labs констатирует усиление атак на правительственный сектор и оборонные предприятия, в том числе обусловленных существенной активизацией связанных с Пакистаном APT. Одна из таких групп, констатирует уза последние несколько недель развернула широко используемую RAT AllaKore в трех отдельных кампаниях, причем в каждой кампании одновременно было развернуто по две таких RAT. Вообще же в ее арсенал также входят Ares RAT, Action RAT, AllaKore RAT, Reverse RAT, Margulas RAT и др. В тоже время вышестоящая над ней APT Transparent Tribe (APT36) с таким же устойчивым таргетингом продолжила задействовать Crimson RAT, но в закодированном исполнении. В целом имеет схожий код и постоянно обновляет свой арсенал вредоносного ПО для Linux. Действуя с 2013 года, постоянно использовала в своих кампаниях такие полезные нагрузки, как Crimson RAT, Capra RAT, Eliza RAT и Oblique RAT. Основываясь на их инфраструктуре C2, Seqrite смогли профилировать обе APT, еще раз продемонстрировав связь между ними, также подробно изложив технические тонкости новых кампаний в контексте атрибуции и корреляции с ранее задокументированными цепочками атак.

WPScan предупреждает о начале активной эксплуатации ошибки плагина WP-Automatic для создания подконтрольных учетных записей администратора и захвата уязвимых сайтов WordPress. Применяемая при этом CVE-2024-27956 связана с SQL-инъекцией (SQLi) и имеет оценку CVSS 9,9 из максимальных 10, затрагивая все версии до 3.9.2.0. Злоумышленники могут использовать ее для получения несанкционированного доступа к веб-сайтам, создания учетных записей пользователей с правами админа, загрузки вредоносных файлов и потенциально получения полного контроля над затронутыми сайтами. Проблема кроется в механизме аутентификации пользователей плагина, который можно тривиально обойти, выполняя произвольные SQL-запросы к базе данных с помощью специально созданных запросов. В наблюдаемых к настоящему времени атаках CVE-2024-27956 используется для реализации запросов к базе данных и создания новых админских учеток на уязвимых сайтах WordPress, которые затем можно задействовать для установки плагинов загрузки файлов или модификации кода. После взлома сайта WordPress злоумышленники обеспечивают персистентность, создавая бэкдоры и запутывая код. При этом чтобы избежать обнаружения, злоумышленники переименовавают уязвимый файл WP‑Automatic (с /wp‑content/plugins/wp‑automatic/inc/csv.php на wp‑content/plugins/wp‑automatic/inc/csv65f82ab408b3.php), в том числе для блокировки атак со стороны других коллег. Недостаток был публично раскрыт Patchstack 13 марта 2024 года. С тех пор было обнаружено более 5,5 миллионов попыток атак с целью использования этой уязвимости.

Используешь Brocade SANnav до 2.3.0 - ошибка, упустил последние обновления - фатальная ошибка. По словам независимого исследователя Пьера Барре, более 18 уязвимостей затрагивают все версии приложения управления сетью хранения данных Brocade SANnav до 2.3.0 включительно. Причем несколько из них опасности могут быть использованы для полной компрометации уязвимых устройств. В основной массе выявленные проблемы охватывают от небезопасного root-доступа, неправильных правил брандмауэра и настроек Docker до отсутствия аутентификации и шифрования, что позволяет злоумышленнику перехватывать учетные данные, перезаписывать произвольные файлы и полностью взломать устройство. Среди наиболее серьезных недостатков: - CVE-2024-2859 (CVSS: 8,8): позволяет неаутентифицированному удаленному злоумышленнику войти на уязвимое устройство с использованием учетной записи root и выполнить произвольные команды. - CVE-2024-29960 (CVSS: 7,5): обусловлена использованием жестко запрограммированных ключей SSH в образе OVA, которые могут быть использованы злоумышленником для расшифровки SSH-трафика к устройству SANnav и его компрометации. - CVE-2024-29961 (CVSS: 8,2): позволяет неаутентифицированному удаленному злоумышленнику провести атаку на цепочку поставок, воспользовавшись тем, что служба SANnav отправляет команды ping в фоновом режиме через определенные промежутки времени в домены Gridgain[.]com и ignite.apache[.]org для проверки обновлений. - CVE-2024-29963 (CVSS: 8,6): использование жестко закодированных ключей Docker в SANnav OVA для доступа к удаленным реестрам через TLS, что позволяет злоумышленнику выполнить AitM-атаку. - CVE-2024-29966 (CVSS: 7,5): наличие жестко запрограммированных учетных данных для пользователей root в общедоступной документации, которые могут предоставить неаутентифицированному злоумышленнику полный доступ к устройству Brocade SANnav. После раскрытия в августе 2022 года и мае 2023 года все проблемы были устранены с выходом версии SANnav 2.3.1 от декабря 2023 года. Помимо этого Brocade Broadcom, которой принадлежат Symantec и VMware, опубликовала рекомендации по устранению недостатков. В свою очередь, Hewlett Packard Enterprise также выпустила исправления для некоторых уязвимостей в HPE SANnav Management Portal версий 2.3.0a и 2.3.1.

🥷 Известия: Настоящая кибервойна развернулась в интернет-пространстве в последние годы. Число атак последовательно увеличивается во всем мире. 🔺За минувший год количество инцидентов в сфере информационной безопасности в России выросло более чем на 60%. 🔺Фишинговых атак и скам-ссылок стало больше в пять раз. https://iz.ru/1687824/valentina-averianova/virtualnyi-shtorm-kak-izmenilis-kiberataki-na-rossiiskuiu-infrastrukturu ✋ @Russian_OSINT

͏via MalwareHunterTeam

Dragos выкатила неплохой отчет по вымогателям за первый квартал 2024 года, называя ransomware самой серьезной угрозой для промышленных организаций по всему миру. Из изменений на ландшафте отметили значительные успехи реализованных спецслужбами операций в отношении инфраструктуры ряда групп (прежде всего, Lockbit), и рокировки среди самих банд (Alphv/Blackcat), приведших к некоторой дезорганизации их операторов. Однако произошедшие события имели обратный эффект в части ужесточения бандами своей тактики вымогательства по отношению к жертвам и концентрации на более чувствительных секторах, включая здравоохранение, дабы максимализировать ущерб/прибыль на фоне снижения выплат по выкупам. Технические возможности групп вымогателей подчеркивают их гибкость и изощренность в использовании уязвимостей, особенно в общедоступных приложениях, как в случае с ConnectWise ScreenConnect с BlackBasta и Lockbit и Qlik Sense с CACTUS. Замечена стратегическая нацеленность на использованию брпешей в широко используемых платформах и оперативность в эксплуатации новых проблем: 24 часа понадобилось Cactus для препарирования уязвимого Ivanti ICS VPN. По цифрам наблюдается некоторое снижение активности программ-вымогателей, нацеленных на промышленный сектор (количество инцидентов сократилось с 204 до 169). Зато набрали по атакам на сектор здравоохранения. Причем банды координировали операторов по части таргета для общего нацеливанная на конкретные сектора. Положительной тенденцией отмечено отсутствие серьезных операционных сбоев, вызванных программами-вымогателями. Но несмотря на это, Dragos прогнозируют потенциальное смещение акцента групп вымогателей на критически важные процессы и среды ОТ, чтобы значительно усилить воздействие своих атак и активнее склонять жертв к выполнению требований выкупа.  Последствия таких атак выходят за рамки потери данных и финансового ущерба, непосредственно угрожая основной операционной целостности организаций. Статистика по отраслям, географии и актуальной конъюнктуре банд - детально отражена отчете.

Исследователи из Sekoia расчехлили один из серверов C2, используемый USB-червем PlugX и мониторили его активность в течение шести месяцев, обнаружив более более 2,5 миллионов обращений с уникальных IP-адресов. Причем с сентября прошлого года сервер ежедневно получает более 90 000 запросов на наличие команд от зараженных хостов из более чем 170 стран. На 15 из них пришлось более 80% от общего числа заражений: лидеры - Нигерия, Индия, Китай, Иран, Индонезия, Великобритания, Ирак и США. За время наблюдения исследователям удалось проанализировать трафик, выявить заражения и предотвратить злонамеренную активность. Для того, чтобы провернуть столь мощную операцию Sekoia была вынуждена потратиться всего на 7 долларов, которые ушли на приобретение IP-адреса 45.142.166[.]112, соответствующего серверу С2, который к тому времени уже вышел из оборота хакеров. IP ранее в марте 2023 года упоминался в отчете Sophos в отношении новой версии PlugX. Тогда вредоносная программа уже получила возможность самораспространения через USB-устройства. После того, как Seqoia перехватила контроль над адресом исследователи получили доступ к оболочке сервера, используя IP. После чего настроили простой веб-сервер, имитирующий поведение исходного C2 и смогли перехватывать HTTP-запросы от зараженных хостов. Безусловно, пришлось потрудиться и определиться со стратегиями противодействию угрозе, передав соответствующие инструкции национальным CERT во избежание юридических сложностей с отправкой команд удаленного удаления на зараженные хосты. Как полагают в Seqoia, ботнет, созданный с использованием скрытой версии PlugX, можно считать мертвым, поскольку операторы вредоносного ПО утратили контроль над ситуацией. Правда, это не относится к инфицированным изолированным сетям и носителям.

Shadowserver сообщает (об очередной атаке на цепочку мудаков), что более 1400 серверов CrushFTP остаются уязвимы для атак (из 5232 открытых в Интернете, по данным Shodan), нацеленных на ошибку внедрения шаблонов на стороне сервера (SSTI) критической серьезности, ранее использовавшуюся в качестве 0-day. Поставщик описывает CVE-2024-4040 как выход из «песочницы» VFS в своем ПО для управляемой передачи файлов, приводящий к произвольному чтению файлов. Но на деле же неаутентифицированные злоумышленники могут использовать ее для реализации RCE в непропатченных системах. В пятницу компания предупредила клиентов о необходимости немедленного обновления, но воз и ныне там. Тем временем Rapid7 подтвердила серьезность уязвимости, заявив, что она полностью не аутентифицирована и может быть проэксплутирована без особых трудностей. Успешная эксплуатация позволяет не только читать произвольный файл от имени пользователя root, но также обходить аутентификацию для доступа к учетной записи администратора и полностью удаленно выполнять код. В свою очередь, CrowdStrike выкатил отчет с раскрытием реальных атак на ряд организации в США с целью кибершпионажа. Будем следить.

😟 Black Hat ASIA 2024. • C 16 по 19 апреля в Сингапуре проходила одна из крупнейших #ИБ конференций в мире — Black Hat ASIA 2024. Было представлено большое количество интересных докладов и уникальной информации. • Официальный YT-канал пока не опубликовал видео с выступлений, но за то были опубликованы презентации в одном из репозиториев: ➡ https://github.com/onhexgroup/Conferences/BlackHat • А ещё обязательно посмотрите выступления с предыдущих ивентов, где можно подчеркнуть для себя много нового и полезного: - Видео Black Hat Europe 2023; - Видео Black Hat USA 2023; - Видео Black Hat Asia 2023. - Видео Black Hat Europe 2022; - Видео Black Hat USA 2022; - Видео Black Hat Asia 2022. - Презентации Black Hat Europe 2023; - Презентации Black Hat USA 2023; - Презентации Black Hat Asia 2023. - Презентации Black Hat Europe 2022; - Презентации Black Hat USA 2022; - Презентации Black Hat Asia 2022. S.E. ▪️ infosec.work ▪️ VT