Наступний пост про дослідження набору методів, які можна використовувати для обходу провідних рішень з захисту кінцевих точок (EDR). При атаці ключовою проблемою на етапі "початкового доступу" є обхід EDR рішень. За словами автора, поєднання цих методів дозволяє обійти (серед інших) Microsoft Defender for Endpoint і CrowdStrike Falcon (перевірено в середині квітня 2022 року), які разом із SentinelOne лідирують у галузі захисту кінцевих точок.

Дослідники з Nozomi Networks Lab нещодавно виявили новий варіант ботнету BotenaGo, спеціально призначений для цифрових відеорегістраторів Lilin. Через ім'я, яке розробники використовували у вихідному коді (/root/lillin.go), експерти так і назвали його "сканером Lillin".

Вперше про ботнет BotenaGo світові стало відомо від дослідників AT&T в листопаді 2021 року, шкідливий код якого використовував 33 експлоїти для атаки на мільйони маршрутизаторів та пристроїв IoT. А ось вихідний код BotenaGo вжу був доступний в мережі з жовтня 2021 року, що дозволило багатьом зловмисникам створювати власні версії, додаючи нові експлойти для зараження найбільшої кількості пристроїв. BotenaGo був написаний на Golang (Go) і на момент публікації звіту мав досить низький рівень виявлення – всього 6/62.

Цього тижня ФБР випустило повідомлення, у якому сповіщає про те, що правоохоронна організація відстежила щонайменше 60 ransomware атак групою BlackCat (ALPHV) станом на березень. У повідомлені також сказано, що BlackCat є першою ransomware групою, яка успішно атакувала таку кількість жертв, використовуючи RUST, мову програмування, яку багато хто вважає безпечнішою за інші. А більшість розробників і відмивачів грошей BlackCat/ALPHV пов'язані з Darkside/Blackmatter, що вказує на те, що вони мають обширні мережі та досвід роботи з ransomware.

Вийшов PoC для недавньої криптографічної вразливості Java. Проблема полягає в реалізації Java алгоритму цифрового підпису еліптичної кривої (ECDSA), криптографічного механізму для цифрового підпису повідомлень і даних для перевірки автентичності та цілісності вмісту. PoC включає вразливий клієнт і зловмисний TLS сервер, перший з яких приймає недійсний підпис від сервера, фактично дозволяючи безперешкодно продовжувати рукостискання TLS.

CVE-2022-21449 (CVSS score: 7.5), впливає на наступні версії (Oracle Java SE: 7u331, 8u321, 11.0.14, 17.0.2, 18; Oracle GraalVM Enterprise Edition: 20.3.5, 21.3.1, 22.0.0.2).

В рамках нової кампанії, кросплатформний майнинговий ботнет LemonDuck націлений на Docker для майнінгу криптовалюти в системах Linux.

«Він здійснює анонімний майнінг за допомогою пулів проксі, які приховують адреси гаманців», — йдеться в новому звіті CrowdStrike. «Також, він може уникати виявлення, націлюючись на службу моніторингу Alibaba Cloud та вимикаючи її».

Остання кампанія використовує відкриті Docker API як вектор початкового доступу, для запуску зловмисного контейнера для отримання Bash shell script, який замаскований під нешкідливий файл зображення PNG з віддаленого сервера.

Дослідники Immunity Inc. пролили світло на віддалену експлуатацію ядра через призму нещодавнього переповнення віддаленого стека (CVE-2022-0435).

CVE-2022-0435 — це віддалене переповнення стека в мережевому модулі Transparent Inter-Process Communication (TIPC) ядра Linux.

Дослідники Check Point виявили RCE вразливість в чіпах Qualcomm/MediaTek, що дозволяє зловмиснику отримати контроль над мультимедійними даними користувача, включаючи потокове передавання зображення з камери зламаної машини (CVE-2021-0674, CVE-2021-0675, CVE-2021-30351).

Зловмисник може надіслати пісню (медіа-файл) і виконати код у привілейованому медіа-сервісі під час відтворення файлу.

Колекція гайдів із посилення безпеки, best practices, checklists, корисних інструментів та інших ресурсів (Linux, Windows, MacOs, network devices, virtualization, containers, services, NSA security best-practices).

Microsoft 365 Defender Research Team розкрила дві вразливості з ескалації привілеїв в операційній системі Linux.

Під загальною назвою «Nimbuspwn» вразливості можуть бути пов’язані разом, щоб отримати root-права в системах Linux, дозволяючи зловмисникам розгортати корисне навантаження, типу бекдорів, і виконувати інші шкідливі дії за допомогою довільного виконання коду.

Пов'язане з китайським урядом угрупування атакує російські системи за допомогою оновленої версії трояна віддаленого доступу під назвою PlugX.

Secureworks приписує спробу вторгнення угрупуванню, яку вона відстежує як Bronze President.

Національне управління кібербезпеки (DNSC) Румунії повідомляє, що веб-сайти уряду Румунії, міністерства оборони, прикордонної поліції, національної залізничної компанії та OTP банку були атаковані російським угрупуванням під назвою Killnet.

Угрупування Killnet приписало інцидент собі у Телеграмі і заявило, що розпочало атаку, оскільки Румунія підтримує Україну після російського вторгнення.

У румунській розвідувальній службі пояснили, що сайти не працювали протягом кількох годин після того, як атаки почалися близько 4 ранку за місцевим часом.

На хакерських форумах зловмисники почали продавати послугу "Emergency Data Request" (EDR).

"Терміновий запит на дані" (EDR) — це запит офіцера поліції до технологічної компанії, розроблений для надзвичайних ситуацій, коли поліцейському потрібен онлайн-сервіс, щоб розкрити деякі дані користувача, щоб врятувати життя чи запобігти трагедії.

Як тільки шахраї проникають на сервер електронної пошти поліції (нещодавний приклад LAPSUS$), вони можуть надсилати власні EDR до онлайн-сервісів, які будуть сумлінно зливати дані своїх користувачів.

https://pluralistic.net/2022/03/30/lawful-interception/#edrs

NCC Group описали техніки взлому якими користувались хакери LAPSUS$ при нещодавніх інцидентах.

Протягом останніх 5 місяців LAPSUS$ отримав велику популярність завдяки успішним взломам великих компаній, включаючи Microsoft, Nvidia, Okta і Samsung. При цьому на відмінну від інших зловмисників учасники угрупування використовували тільки загальновідомі інструменти, не розробляючи власного шкідливого програмного забезпечення для взлому.

Новий проект PyScript дозволяє вставляти скрипти Python безпосередньо в HTML сторінки і виконувати їх у браузері без використання серверу.

Проект був анонсований в ці вихідні на PyCon US 2022 і діє як обгортка навколо проекту Pyodide, який завантажує інтерпретатор CPython як модуль браузера WebAssembly.

Які нові вразливості з'явились у вільному доступі? Якими інструментами користуються хакери? Які компанії були взломані хакерськими угрупуваннями останнім часом?

Про це та інші новини у сфері кібербезпеки в Україні та світі читайте в телеграм каналі The Hackest Ever.

Китайські хакери були помічені у експлуатації популярних антивірусних продуктів для атаки на телекомунікаційний сектор.

Фірма з кібербезпеки SentinelOne пов’язала вторгнення з угрупуванням, якого вона відстежує під ім’ям «Moshen Dragon» (він же RedFoxtrot).

Тактика Moshen Dragon передбачає експлуатацію легітимного антивірусного програмного забезпечення, що належить BitDefender, Kaspersky, McAfee, Symantec і Trend Micro, щоб завантажити ShadowPad і Talisman на зламані системи за допомогою техніки, яка називається DLL search order hijacking.

"Урядові хакери з Китаю, Ірану, Північної Кореї та Росії, а також різні не атрибутовані угрупування використовують різні теми, пов'язані з війною в Україні для своїх фішингових кампаній", - повідомляє у звіті Google Threat Analysis Group (TAG).

Кібер-угрупування намагаються викрасти облікові дані та отримати доступ до організацій в Україні, Литві, Центральній Азії, країнах Балтії та навіть самій Росії.

CERT-UA розкрила подробиці DDoS атак, спрямованих на урядові та новинні портали шляхом впровадження шкідливого JavaScript коду (під назвою «BrownFlood») в зламані сайти.

Зловмисники розміщують шкідливий JavaScript-код (BrownFlood) у структурі веб-сторінок та файлах зламаних сайтів (переважно, під управлінням WordPress), в результаті чого обчислювальні ресурси комп'ютерів відвідувачів таких сайтів використовуються для генерації аномальної кількості запитів до об'єктів атаки, URL-адреси яких статично визначено в шкідливому JavaScript-коді.

Аналізуючи штами ransomware, дослідник безпеки hyp3rlinx в рамках проекту Malvuln (що спеціалізується на пошуку вразливостей у різних шкідливих програмах) з'ясував, що зразки хакерського ПЗ вразливі для захоплення DLL - методу, який зазвичай використовується зловмисниками для впровадження шкідливого коду. Помилки були виявлені в програмах відомих хакерських угрупувань: Conti, REvil, Black Basta, LockBit та AvosLocker.

Дослідники SentinelOne виявили 10-річні вразливості в антивірусах Avast і AVG.

Ці вразливості дозволяють зловмисникам підвищувати привілегії, дозволяючи відключати продукти безпеки, перезаписувати системні компоненти, пошкоджувати операційну систему або безперешкодно виконувати шкідливі операції.

Помічені як CVE-2022-26522 і CVE-2022-26523, вразливості містяться в легітимному драйвері ядра антируткіта під назвою aswArPot.sys і були ще у версії Avast 12.1, яка була випущена в червні 2016 року.

Дослідники з Cybereason нещодавно повідомили про операцію CuckooBees, у якій китайські хакери, спонсоровані державою, намагаються викрасти таємну інформацію у десятка глобальних оборонних, енергетичних, біотехнологічних, аерокосмічних і фармацевтичних компаній.

Організації, які постраждали, не були названі, але нібито включають деякі з найбільших компаній Північної Америки, Європи та Азії. Cybereason пов’язав кампанію з Winnti Group, також відомою як APT 41.

Протягом 12-місячного розслідування Cybereason виявили, що зловмисники заволоділи інтелектуальною власністю та конфіденційною інформацією, включаючи формули, вихідний код, науково-дослідні документи та креслення, а також діаграми винищувачів, гелікоптерів, ракет тощо.