SecAtor

2024-06-07 21:10:19 Kali Linux 2024.2 Release.

• 5 июня было опубликовано обновление ОС Kali Linux 2024.2, которое включает в себя 18 новых инструментов, обновление GNOME до 46 версии и исправление для известной проблемы Y2038.

• Новые инструменты:

- autorecon — многопоточный инструмент для сетевой разведки;
- coercer — автоматическое принуждение сервера Windows к аутентификации на произвольной машине;
- dploot — переписанная на Python версия SharpDPAPI;
- getsploit — утилита командной строки для поиска и загрузки эксплойтов;
- gowitness — утилита для создания скриншотов с использованием Chrome Headless;
- horst — оптимизированный инструмент для радиосканирования;
- ligolo-ng — инструмент для туннелирования/пивотинга, использующий интерфейс TUN;
- mitm6 — взлом IPv4 через IPv6;
- netexec — инструмент для эксплуатации сетевых служб, который помогает автоматизировать оценку безопасности больших сетей;
- pspy — мониторинг процессов Linux без root-прав;
- pyinstaller — преобразование Python-программ в самостоятельные исполняемые файлы;
- pyinstxtractor — экстрактор PyInstalller;
- sharpshooter — фреймворк для генерации полезных нагрузок;
- sickle — инструмент для разработки полезных нагрузок;
- snort — гибкая система для обнаружения сетевых вторжений;
- sploitscan — поиск информации о CVE;
- vopono — запуск приложений через VPN-туннели с временными сетевыми пространствами имен (namespace);
- waybackpy — доступ к API Wayback Machine с помощью Python.

• Что касается Gnome, то в составе данной обновы пользователям представлен Gnome 46 с темами и расширениями, обновленными для поддержки новой версии. А еще разработчики обновили Xfce, где добавили новые исправления, повышающие производительность и стабильность.

• Теперь к полезным ссылкам:

- Необходимая документация.
- Ссылка на полный Changelog.
- Скачать Kali Linux 2024.2.
- Kali Tools.

• Дополнительную информацию можно найти по хэштегу #kali.

S.E. infosec.work VT Открыть/Комментировать

2024-06-07 19:20:02 Исследователи из Positive Technologies обнаружили новый бэкдор GoRed, созданный на языке Go и задействуемый группировкой ExCobalt в атаках.

В марте 2024 года Позитивы в рамках расследования инцидента обнаружили подозрительный файл под названием scrond, сжатый с помощью упаковщика UPX (Ultimate Packer for eXecutables), на одном из Linux-узлов клиента.

В данных распакованного семпла, написанного на языке Go, были найдены пути пакетов, содержащие подстроку red.team/go-red/, что указывало на то, что семпл является проприетарным инструментом GoRed.

По результатам анализа стало понятно, что различные версии GoRed ранее уже встречались в расследованиях инцидентов у других клиентов и, по всей видимости, связан с группировкой ExCobalt.

ExCobalt активна с 2016 года и известна атаками на российские компании в сфере металлургии, телекома, горной промышленности, ИТ и госсектора, преследуя цели кибершпионажа и кражи данных.

Судя по всему, она также связана с APT, которую Солары отслеживает как Shedding Zmiy.

Бэкдор обладает множеством функций, включая удаленное выполнение команд, сбор данных из скомпрометированных систем и использование различных методов взаимодействия с C2 (в том числе RPC-протокола), а также DNS-/ICMP-туннелирования, WSS и Quic для коммуникации с оператором.

В целом, исследование указывает на продолжение реализации группой ExCobalt активных атак на российские компании, постоянно совершенствуя при этом свои инструменты и оттачивая TTPs.

При этом бэкдор GoRed может применяться и для более сложных и скрытных воздействий.

Злоумышленники демонстрируют высокую степень профессионализма и адаптивности, используя модифицированные инструменты для обхода защитных мер, что указывает на их глубокое понимание уязвимостей в инфраструктуре компаний и делает их атаки особенно опасными. Открыть/Комментировать

2024-06-07 17:30:02 DEVCORE обнаружила критическую уязвимость CVE-2024-4577, которая затрагивает все версии PHP, работающие в системах Windows.

Она позволяет проводить атаки с удаленным выполнением кода на веб-серверы с использованием PHP-CGI.

Фактически является обходом патча безопасности от 2012 года для CVE-2012-1823, также позволявшей атаковать в ходе анализа PHP-CGI определенных параметров строки запроса.

При реализации PHP команда не заметила функции преобразования кодировки Best-Fit в ОС Windows, что позволяло неаутентифицированным злоумышленникам обойти защиту с помощью определенных последовательностей символов.


Произвольный код может быть выполнен на удаленных серверах PHP с помощью атаки путем внедрения аргументов.

Учитывая критичность ситуации, разработчков PHP незамедлительно уведомили о проблеме 7 мая, которую они смогли решить к 6 июня, выпустив новые версии 8.3.8 , 8.2.20 и 8.1.29.

Уязвимость воспроизвели и подробно изучили ресерчеры Watchtowr, отметив ее неприятной ошибкой с очень простым эксплойтом, идеально подходящую для пятничного вечера. Открыть/Комментировать

2024-06-07 15:40:02 Южнокорейская AhnLab обнаружила целевую фишинговую кампанию, реализующую обход средств защиты и предлагающую пользователям самостоятельно откопипастить и запустить вредоносные команды PowerShell в командной строке Windows.

Распространяемые через электронную почту в качестве вложений к сообщениям фишинговые HTML замаскированы под различные инструкции, содержание которых побуждает получателей открыть вложения.

Открывая HTML-файл, отображается сообщение, эмулированное под онко MS Word, в котором пользователю предлагается нажать кнопку «исправить», чтобы просмотреть документ Word в автономном режиме.

При нажатии кнопки пользователю выходят инструкции, предписывающие выполнить [Win+R] затем [CTRL+V], после чего [Enter] или открыть терминал PowerShell и вручную ввести команду.

Одновременно с этим вредоносная команда PowerShell, закодированная в Base64 с помощью JavaScript, декодируется и сохраняется в буфер обмена и затем выполняется вредоносный сценарий, который реализует загрузку и выполнение файла HTA из C2.

Кроме того, он очищает буфер обмена, по-видимому, чтобы скрыть выполненную команду PowerShell.

HTA выполняет команду PowerShell в C2, а Autoit3.exe внутри ZIP-файла использует скомпилированный вредоносный скрипт Autoit (script.a3x) в качестве аргумента для выполнения.

В конечном итоге доставляется DarkGate со всеми вытекающими, одновременно подтверждая, что лох не мамонт, никогда не вымрет. Открыть/Комментировать

2024-06-07 14:19:27 Исследователи CronUp из Чили сообщают о новой схеме вымогательства, нацеленной на репозитории GitHub.

В ходе атак Gitloker хакеры компрометирует учетные записи GitHub и впоследствии переименовывают репозиторий, удаляют содержимое, оставляя записку о выкупе в формате файла README.me.

Акторы предлагают вернуть резервную копию для восстановления данных. Для этого жертве следует связаться с владельцем аккаунта Gitloker в Telegram для обсуждения конкретных условий сделки.

Учитывая, что это уже не первый случай взлома учетных записей GitHub с целью кражи данных из частных репозиториев пользователей, компания посоветовала пользователям сменить пароли, включитть 2Fa, добавить ключ доступа для входа в систему без пароля и провести полный аудит безопасности.

Ни представитель хакеров, ни GitHub пока никак не комментируют новую кампанию Gitloker, но будем следить. Открыть/Комментировать

2024-06-06 22:00:04 Лучше HR-практики на канале SecAtor Открыть/Комментировать

2024-06-06 21:00:45 После неугомонных речей микромягких про высокие стандарты безопасности исследователи решили наглядно продемонстрировать, что такое в реальности Windows Recall и как его можно использовать для кражи информации.

Как предполагается, новый функционал будет активирован по умолчанию на всех новых ПК Copilot+, позволяя пользователям Windows серфить историю всех своих прошлых активностей в системе.

Несмотря на мгновенную реактивную критику инфосек-сообщества, Microsoft продолжает причитать все одни и те же мантры про безопасность и необходимость физического авторизованного доступа для кражи данных с помощью Recall.

Но на самом деле все оказалось иначе и куда драматичнее.

Исследователь Марк-Андре Моро смог восстановить из локальной незашифрованной базы данных SQLite пароль менеджера удаленного рабочего стола, который изначально был собран с помощью Recall, упрощающего задачу инфостиллеру.

Другой эксперт Александр Хагена предоставил инструмент с открытым исходным кодом под названием TotalRecall, который может легко извлекать и отображать данные из базы данных Recall.

Несмотря на то, что официальный запуск состоится через две недели, Хагена удалось запустить Windows Recall на ПК, не поддерживающем CoPilot+, внутри ARM Azure и потестить его, прийдя к выводу, что никакой безопасности нет от слова совсем.

Авторитетный Кевин Бомонт также внимательно присмотрелся к безопасности Recall и предупредил, что злоумышленники могут модифицировать средства кражи информации для получения данных посредством новой функции Windows.

Он отметил, что данные, собранные Recall, эффективно сжимаются: для хранения данных за несколько дней требуется менее 100 КБ памяти.

Кроме того, провел тесты с использованием рабочего стиллера и смог выкрасть данные Recall до того, как они были обнаружены Microsoft Defender для Endpoint.

Recall в настоящее время все еще находится на стадии предварительной версии, и у Microsoft еще есть все шансы внести в нее изменения (если конечно, их одобрит вашингтонский обком). Как обычно, будем посмотреть. Открыть/Комментировать

2024-06-06 19:00:03 Бродкомовская Symantec расчехлила банду вымогателей RansomHub, связав ее с уже отошедшей от дел Knight ransomware.

Работающая в традиционном RaaS-формате RansomHub пока не может похвастаться историей своего бренда и образовалась в сообществе вымогателей сравнительно недавно.

Банда специализируется краже и вымогательстве данных, реализуя украденные файлы на аукционах по наивысшему предложенному покупателями прайсу.

RansomHub привлекла внимание в апреля, опубликовав тогда украденные из дочерней компании United Health Change Healthcare данные после атаки BlackCat/ALPHV, что многих наводило на мысль о сотрудничестве между ними.

А совсем недавно, в день пограничника, вымогатели навестили международный аукционный дом Christie’s, который признал инцидент после того, как хакеры пригрозили раскрыть украденные данные.

В свою очередь, Knight была запущена в конце июля 2023 года как некий ребрендинг Cyclops и применялась для атак на Windows, macOS, Linux/ESXi, в ходе которых производилась кража данные и обозначался выкуп.

Одной из особенностей Knight стал компонент для кражи информации, который владельцы ransomware предлагали своим операторам, делая их атаки более эффективными.

В феврале 2024 года в киберподполье исходники шифровальщика Knight с версией 3.0 выставили на продажу, портал DLS отключили, а работа RaaS была приостановлена.

Но, как удалось выяснить Symantec, ненадолго, ведь позже Knight вернулся уже в образе RansomHub.

Аналитики обнаружили много общего между двумя штаммами программ-вымогателей.

Оба семейства написаны на Go и используют Gobfuscate для обфускации. В двух полезных нагрузках вредоносного ПО имеется значительное дублирование кода.

В RansomHub и Knight применена одна и та же уникальная техника обфускации, при которой важные строки кодируются уникальными ключами.

Записки о выкупе, используемые двумя семействами программ-вымогателей, аналогичны, с небольшими обновлениями, добавленными RansomHub.

Оба штамма перед шифрованием перезапускают конечные точки в безопасном режиме. Меню справки командной строки в этих двух семействах идентичны, с той лишь разницей, что в RansomHub есть команда «сна».

Последовательность и способ выполнения команд остались прежними, однако RansomHub теперь выполняет их через cmd.exe.

В наконец, время появления RansomHub четко совпадает с датой ухода Knight.

Однако, как полагают в Symantec, за RansomHub стоят иные разрабы, которые по всей видимости закупившись Knigh, начали применять в атаках его модифицированный вариант.

Тем не менее, к настоящему времени RansomHub превратился в одну из самых эффективных RaaS, которую Symantec связывает с бандой, привлекающей бывших операторов ALPHV, таких как Notchy и Scattered Spider. Открыть/Комментировать

2024-06-06 17:18:23 Исследователи Sophos отслеживают новые варианты вредоносного ПО и три кластера активности, работа которых с марта 2023 года централизованно координируется в рамках единой в кампании кибершпионажа в Юго-Восточной Азии под названием Crimson Palace.

По мнению исследователей, все они связаны с известными китайскими APT, а общая цель кампании заключалась в получении доступа к критически важным ИТ-системам, проведение разведки в отношении конкретных пользователей, сбор конфиденциальной военной и технической информации.

Crimson Palace включает три кластеров вторжений, некоторые из которых используют одну и ту же тактику, хотя есть свидетельства более ранней активности, датируемой мартом 2022 года:

- Кластер Альфа (март 2023 - август 2023): демонстрирует некоторую степень сходства с субъектами, отслеживаемыми как BackdoorDiplomacy, REF5961, Worok и TA428.

- Кластер Браво (март 2023): имеет общие черты с Unfading Sea Haze.

- Кластер Чарли (март 2023 - апрель 2024): пересекается с Earth Longzhi, подгруппой APT41.

Альфа (STAC1248) был сосредоточен на развертывании обновленных вариантов вредоносного ПО EAGERBEE.

Основная цель - сопоставление подсетей серверов и сбор учетных записей администраторов путем проведения разведки в инфраструктуре Active Directory.

Деятельность опиралась на несколько постоянных каналов C2, включая агент Merlin, бэкдор PhantomNet, вредоносное ПО RUDEBIRD и бэкдор PowHeartBeat.

Чтобы избежать обнаружения, злоумышленник использовал «живые» LOLBins для обеспечения устойчивости служб с системными привилегиями и реализовывал неопубликованную загрузку DLL с восемью уникальными DLL через службы Windows и легальные двоичные файлы Microsoft.

Браво (STAC1807) действовал всего три недели в марте 2023 года с акцентом на горизонтальном передвижении и обеспечению персистентности, запуская в целевые системы ранее неизвестный бэкдор CCoreDoor.

Злоумышленник использовал переименованные версии подписанных исполняемых файлов с возможностью боковой загрузки, чтобы запутать развертывание бэкдора и облегчить горизонтальное перемещение, а также перезаписывал ntdll.dll в памяти для нейтрализации средств защиты конечных точек Sophos.

Чарли (SCAT1305) занимался управлением доступом и обширной разведкой в течение длительного периода.

Злоумышленник развернул несколько образцов ранее неизвестного вредоносного ПО PocoProxy для обеспечения устойчивой связи C2, а также также задействовал загрузчик HUI для внедрения Cobalt Strike Beacon в mstsc.exe.

Кроме того, злоумышленник внедрил перехватчик учетных данных LSASS для захвата учетных данных на контроллерах домена, а также провел комплексный анализ журналов событий и автоматические проверки связи для сопоставления пользователей и конечных точек в сети.

Реализовать атрибуцию с высокой степенью достоверности и точно проследить характер взаимоотношений между этими кластерами ресерчеры Sophos пока затрудняются, но обещают продолжать отслеживать активность. Открыть/Комментировать

2024-06-06 15:20:02 ͏Все же на полшишечки Snowflake таки атаковали, как бы там не заверяли привлеченные для решения вопроса расследования инцидента CrowdStrike и Mandiant.

Как мы предполагали, нарисовалась очередная жертва атаки хакеров из числа клиентов поставщика облачных услуг, которой оказался ведущий поставщик автомобильных запчастей Advance Auto Parts.

Advance имеет 4777 магазинов и 320 филиалов Worldpac, обслуживая 1152 независимых магазина Carquest в США, Канаде, Пуэрто-Рико, Виргинских островах США, Мексике и на различных островах Карибского бассейна.

Злоумышленник с позывным Sp1d3r выставил на продажу за 1,5 миллиона долларов огромный архив данных в 3 ТБ данных, украденных из облачной среды хранения Advance Snowflake.

Массив включает информацию в отношении 380 млн. профилей клиентов, 140 млн. заказов, 44 млн. карт лояльности, всю историю продаж, а также сведения по 358 000 сотрудникам. Подлинность данных подтверждается.

При этом сама Advance не раскрыла публично нарушение и не уведомила Комиссию по ценным бумагам и биржам США об инциденте.

В свою очередь, хакер подтвердил источник утечки, отметив недавние атаки на клиентов компании облачного хранения Snowflake, которые инициировались еще с середины апреля 2024 года.

Причем, как сообщил злоумышленник, Advance далеко не единственный клиент Snowflake, чьи данные были украдены, а некоторые из них уже заплатили выкуп за возврат своих данных.

Так что все попытки Snowflake зарешать инцидент вряд ли приведут к желаемому, угрожая судебными исками исследователям за публикации подробностей инцидента, компания в перспективе из роль истца придется заменить на позицию ответчика.

Ведь услугами облачных сервисов Snowflake пользуются 9 437 клиентов, среди которых есть такие, как Adobe, AT&T, Kraft Heinz, Mastercard, Micron, Capital One, Doordash, HP, Nielsen, Novartis, Okta, PepsiCo, Siemens, Instacart, JetBlue, NBC Universal, US Foods, Western Union, Yamaha и многие другие.

Будем следить. Открыть/Комментировать