21 вересня 2022 року новий користувач Твіттера Алі Кушджі опублікував те, що має бути збирачем програм-вимагачів LockBit. За словами користувача, ця програма призначена для програми-вимагача LockBit 3.0 – останньої версії шкідливого ПЗ, використовуваного цими кіберзлочинцями. Конкретний користувач прикидається анонімним хакером, який зламав інфраструктуру LockBit.
Що таке програма-вимагач LockBit?
LockBit Ransomware — одна з найуспішніших груп вимагачів серед активних у 2022 році. З’явившись у 2020 році, вона швидко стала великою рибою завдяки надзвичайно швидкому і надійному шифруванню і таким же швидким інструментам вилучення даних. У 2022 році, після закриття групи Conti, вона швидко завоювала вивільнену частку ринку та стала абсолютним лідером. Доступна статистика показує, що майже 60% атак програм-вимагачів на корпорації влітку 2022 були ініційовані групою LockBit.
Локбіт також відомі як дуже публічна група, оскільки вони постійно активні на різних форумах і навіть дають інтерв’ю у різних блогах. Основна ідея, яку просуває угрупування, звучить як: «Lockbit завжди робить те, що обіцяє». Ймовірно, вони мали на увазі, що після сплати викупу, жертва гарантовано отримає ключ дешифрування, а її файли будуть видалені. Очевидно, що DDoS-атаки, які ця група почала використовувати для створення іншого стимулу до оплати, також має бути зупинено. Така впевненість, швидше за все, є результатом сумлінної програми найму — керівники точно впевнені, що учасники групи дотримуються правил.
Витік білдера LockBit 3.0
Кожен зразок програми-вимагача, розповсюджений групою LockBit, унікальний. Він доставляється в цільову систему після встановлення з’єднання з командним сервером, що відбувається одразу після отримання первинного доступу. Спеціальний інструмент генерує варіант шкідливого ПЗ з унікальним порядком внутрішніх секцій, що унеможливлює його виявлення за допомогою будь-якого сигнатурного аналізу. Ця утиліта також використовується при створенні ключів шифрування та дешифрування, що робить цю програму потенційно цінною для створення уніфікованого дешифратора.
Механізм будівельника LockBit
У середу, 21 вересня 2022 року, користувач Twitter під ніком Ali Qushji опублікував кілька твітів, у яких поділився посиланням на завантаження білдера та деякими подробицями. Зокрема, було твердження про виток цієї програми з інфраструктури LockBit після успішного злому останньої. Немає жодних доказів того, що мав місце будь-який реальний злом серверів LockBit, але інший твіт (нині видалений) від Vx-Underground підтверджував більш ранній витік (який стався 10 вересня 2022 р.).
твіт Алі Кушджі був опублікований 21 вересня 2022 року, проте згодом був видалений
Людина з ніком Proton, яка, ймовірно, працює в групі LockBit програмістом, поділилася конструктором з адміністраторами вищезгаданої сторінки в Твіттері. Ця версія належала останній версії програми-вимагача LockBit 3.0 і містила кілька виправлень помилок, які були раніше. Ще більшу плутанину створює той факт, що обидві версії — та, яку поділяє Протон, та та, яку пропонує Алі Кушджі, — відрізняються. Обидва вони доступні GitHub 3xp0rt.
Що далі?
Ситуація настільки заплутана, наскільки це можливо. Імовірність того, що інфраструктура LockBit була зламана, досить висока, і якщо це виявиться правдою, група, швидше за все, матиме серйозні проблеми. І не тільки з міркувань безпеки: ті, хто проник всередину серверів, швидше за все, злили всі дані, необхідні для створення дешифратора. Звичайно, група може переключитися на іншу технологію — але на це знадобиться час, і така операція буде не дуже приємною після нещодавнього переходу на шифрувальник LockBit 3.0. Краще дочекатися офіційної реакції кіберзлочинців і лише потім робити висновки.
Програми-вимагачі (ransomware) вважаються одним із найнебезпечніших видів шкідливих програм. Ви можете не погоджуватися, але все ж таки випадок, коли ваші дані стають недоступними, робить всі інші загрози значно меншими. У той час як атаки шпигунських програм, бекдори або рекламне програмне забезпечення намагаються зробити їх безшумними або, принаймні, не дуже помітними, програми-вимагачі заявляють про себе у повний зріст. Знання про те, як захистити свою систему від атаки програм-вимагачів, важливі незалежно від того, хто ви — фрілансер, співробітник величезної корпорації чи полковник у відставці.
Чому Важливий Захист від Програм-вимагачів (Ransomware)?
Проблема захисту від програм-вимагачів є досить актуальною, оскільки існує більше десятка різних груп кіберзлочинців, націлених на різні категорії користувачів. Кожен з них має різні способи розповсюдження, маскування та міцність ключа шифрування. Деякі з атак вимагачів можуть бути розшифровані через нерозсудливість їх розробників, деякі мають конструктивні недоліки, які роблять шифр простим перебором, що розшифровується.
РЕКОМЕНДАЦІЯ: Ви можете спробувати найкращий інструмент захисту від шифрувальників-вимагачів – Gridinsoft Anti-Malware. Цей інструмент захисту від шкідливого ПЗ виявляє, видаляє та запобігає програмам-вимагачам. Ми покажемо вам способи захистити себе, коли ви є простим користувачем, а також коли ви перебуваєте в корпорації, спираючись на типові прийоми, які вони використовують. Крім того, ми також пояснимо робочі етапи захисту від програм-вимагачів.
Чи важливий захист вашого ПК від програм-вимагачів (Ransomware)?
По-перше, дозвольте мені пояснити, чому атака програм-вимагачів (ransomware) є такою поганою ознакою. Йдеться не лише про те, щоб зробити ваші дані недоступними. Існує кілька інших типів шкідливих програм, які запобігають доступу користувачів до файлів. Однак значного поширення вони не набули. Такі речі, як скрінлокери, шифрувальники-архіватори та ярликові віруси просто перестали існувати — і це не просто тому, що так склалося. Ось чому дуже важливо знайти гарне та працююче рішення для захисту від атак вимагачів.
Шифрувальники-вимагачі (принаймні більшість із них) використовують дуже складний шифр, який робить практично неможливим повернення ваших даних. Точніше, навіть якщо ви використовуєте сучасний квантовий комп’ютер, ви, скоріше за все, витратите більше кількох тисяч років на підбір ключа розшифровки.
ПРИМІТКА. До списку небезпечних програм-вимагачів входять: програма-вимагач Avaddon, програма-вимагач STOP/Djvu, шифрувальник LockBit, Makop і т.д.
приклад програми-вимагача STOP/Djvu
Але це ще не єдина катастрофа — деякі зразки програм-вимагачів несуть шпигунські ПЗ разом зі своїм основним навантаженням і збирають усі дані, до яких можуть дістатися. На жаль, ніхто (крім самих шахраїв) не може видалити вкрадені дані. Ось чому важливо знайти працюючі рішення для кращого програмного забезпечення для захисту від програм-вимагачів, щоб бути на озброєнні.
Взагалі відновлення файлів після атаки шифрувальника – складне завдання, якщо ви не збираєтесь платити викуп. Сучасні варіанти програм-вимагачів можуть видяляти тіньові копії томів, резервні копії OneDrive та інші популярні методи резервного копіювання. Шахраї часто лякають жертв тим, що будь-яка спроба відновлення файлів призведе до втрати даних.
Вони також можуть сказати, що ваші дані будуть видалені, якщо вимога про сплату викупу не буде виконана. У той час як перше частково вірне, друге – повна брехня – просто щоб налякати вас і змусити платити викуп. Проте мати справу із наслідками атаки ніколи не буває приємно. Давайте розберемося, як запобігти атакам програм-вимагачів.
Поради щодо запобігання атак програм-вимагачів (Ransomware)
Рекомендації щодо того, як залишатися в безпеці, залежать від вашого середовища. Шахраї будуть застосовувати різні підходи для атаки на окремого користувача чи співробітника компанії. Навіть коли ви працюєте вдома за своїм персональним комп’ютером, ви будете атаковані по-іншому, коли шахраї націлені не тільки на ваш комп’ютер, а й на всю компанію.
Не використовуйте сумнівних/ненадійних джерел програмного забезпечення, фільмів та інших ризикованих матеріалів. Близько 90% випадків програм-вимагачів припадає на використання сторонніх сайтів для отримання потрібних програм або фільмів, не заплативши ні копійки.
Пам’ятайте: безкоштовним може бути тільки шматок сиру в мишоловці. Великі гравці серед шифрувальників, такі як STOP/Djvu, навіть створюють свої сайти-одноденки, що імітують форуми зі зламаним софтом, або сторінки з новими фільмами для безкоштовного скачування. Торрент-трекінги, які поширюються через ці сайти, містять шкідливе ПЗ, яке виконується відразу після завершення завантаження.
Не відкривайте вкладення електронної пошти від невідомих відправників. Шахраї спробують замаскувати свої адреси електронної пошти, щоб вони виглядали законно, але уважний погляд на них покаже вам правду.
Якщо ви не впевнені, що отриманий вами електронний лист від служби доставки є реальним, не полінуйтеся перевірити список реальних адрес електронної пошти підтримки/доставки. І не будьте наївними – ніхто не пропонує отримати приз у лотереї, в якій ви ніколи не брали участі.
Будьте обережні з програмним забезпеченням, яке ви знайшли на форумах чи соціальних мережах. Не всі з них небезпечні, і не всі небезпечні містять програми здирники. Але все одно користуватись такими програмами все одно, що купувати напої у брудному під’їзді.
Ви ніколи не знаєте, справжній цей файл, або підроблений, але ви точно знаєте, хто винен у проблемах, які ви побачите наступного дня. Такий спосіб поширення досить рідкісний, але все ж таки не варто його викреслювати, особливо враховуючи високий рівень довіри до таких додатків.
Поради щодо запобігання впровадженню програм-вимагачів у корпорації
Ці поради будуть корисними як адміністраторам, так і співробітникам, яким доводиться мати справу з потенційними напрямками здійснення кібератак. Як правило, атаки на компанії здійснюються специфічними методами та не повторюють напрямки атак на фізичних осіб. Таким чином, ви можете побачити те, що є спільним для обох ситуацій.
Використовуйте захищене з’єднання RDP. Атаки RDP через брутфорс логіну та паролю є одним із найпоширеніших векторів атак. Вони використовуються для розгортання програм-вимагачів, шпигунських програм, просунутих постійних загроз (APT) і лише Бог знає чого ще. Дуже важливо контролювати цей момент; буде ідеально, якщо сисадміни самі налаштують усі RDP — щоб унеможливити будь-які невірні налаштування. Брутфорс з’єднання RDP стає доступним лише тоді, коли порти, які використовуються для встановлення з’єднання, є типовими та незахищеними. На жаль, ці порти використовуються за замовчуванням, тому недосвідчені користувачі, які вперше налаштовують RDP, швидше за все, виберуть їх.
Кластеризувати внутрішню корпоративну мережу. У більшості компаній всі комп’ютери підключені до однієї локальної мережі в одному офісі. Такий крок полегшує управління, але значно полегшує і зараження цієї мережі. Коли їх 4-5 штук, кожна з яких керується окремим ПК адміністратора, а потім — контролером домену, хакери, швидше за все, не зможуть атакувати усю мережу одразу.
Використовуйте 2FA для входу в вразливі місця. Щоб розширити свою присутність у зараженій мережі, зловмисники намагаються вкрасти облікові дані або перебрати всі місця, які можуть бути використані для поширення шкідливого ПЗ в мережі. Їхня кінцева мета – контролер домену – комп’ютер, який управляє всією мережею і має доступ до серверів. Його захист має бути максимально високим.
Ініціювати регулярну зміну пароля серед персоналу. Деякі з відомих атак сталися після витоку пароля з однієї з мереж. Крім того, просунуті атаки можуть тривати кілька місяців — а паролі, що раптово змінилися, повністю заплутати їх карти.
Як постскриптум хочу порадити уникати деяких поширених паролів — «qwerty», «12345» або щось таке. Успіх перебору є особливо важливим для таких простих паролів. Їх містять навіть найдешевші (або навіть безкоштовні) бази паролів для перебору. Використовуйте надійні паролі, щоб їх неможливо було зламати – це одна з головних запоруок успіху.
* Будь ласка, ЗВЕРНІТЬ УВАГУ: Ще однією поширеною помилкою є додавання особистої інформації в паролі. Дата народження вас чи вашого партнера, ім’я вашого, дата, коли ви приєдналися до компанії – все це дуже легко з’ясувати за допомогою даних з відкритих джерел. Майте це на увазі, створюючи таку важливу річ!
Покажіть співробітникам, як відрізнити підроблений лист від справжнього. Найчастіше саме компанії та їх електронні адреси стають цілями для подібного спаму, адже щодня надходять сотні листів. Вчитатися у деталі чи тим паче виявити підробку може просто не стати часу – особливо у “гарячі” дні перед святами.
* А кіберзлочинці не лінуються придумувати справді хитрі маскування для своїх листів. Вони можуть імітувати запити у вашу техпідтримку, пропозиції від інших компаній, повідомлення про рахунки, які потрібно сплатити компанії тощо. Немає нічого небезпечного в тому, щоб відкрити та прочитати таке повідомлення, але будь-які посилання в ньому і прикріплених файлах наражають вас на потенційну небезпеку.
*ХОЧУ НАГАДАТИ: дуже важливо вибрати для себе найкраще рішення для захисту від програм-вимагачів, щоб захистити себе та свій комп’ютер. Вивчивши необхідні матеріали та дослідження, ви захистите свій ПК від рекламного програмного забезпечення, шпигунських програм, програм-вимагачів та інших загроз.
Найкращий захист від шифрувальників-вимагачів(ransomware) можливий при постійному оновленні баз даних і, що важливіше, правильному про активному захисті. Ці дві речі вже дадуть досить високий коефіцієнт захисту. Тим не менш, проблеми більшості масових антивірусів нікуди не поділися: вони, як і раніше, можуть перевантажувати ваш ЦП/ОЗУ, а також розкидати вашу конфіденційність, надсилаючи багато телеметрії.
Ось чому я рекомендував би вам той, у якого немає обох цих недоліків — Gridinsoft Anti-Malware. Його бази даних оновлюються щогодини, а загальне споживання ЦП та ОЗУ досить низьке, щоб відповідати навіть найслабшим системам. Проактивний захист, заснований одночасно на евристичному двигуні та нейронній мережі, безперечно зробить ваш пристрій набагато більш захищеним від більшості типів шкідливих програм.
Охоронна компанія Arctic Wolf попереджає, що програма-вимагач Lorenz використовує критичну вразливість VoIP-пристроях Mitel MiVoice для проникнення в корпоративні мережі.
Lorenz активний як мінімум з 2021 року і займається вже звичним вимаганням подвійного викупу: їх шкідник не тільки шифрує файли на машинах своїх жертв, а й краде дані постраждалих компаній, а потім погрожує опублікувати їх, якщо вони не отримують окремого викупу за це.
Минулого року групі приписали атаку на провайдера EDI Commport Communications, а цього року дослідники зафіксували активність Lorenz у США, Китаї та Мексиці, де хакери атакували малий та середній бізнес.
Як тепер повідомляють аналітики Arctic Wolf, хакерська група використовує вразливість CVE-2022-29499, виявлену та виправлену у червні 2022 року. Ця помилка у VoIP-пристроях Mitel MiVoice дозволяє віддалене виконання довільного коду (RCE) та створення зворотної оболонки на мережі жертви.
VoIP-рішення Mitel використовуються організаціями та урядами в критично важливих секторах по всьому світу. За словами експерта з інформаційної безпеки Кевіна Бомонта, наразі понад 19 000 пристроїв відкрито для атак через Інтернет.
Варто зауважити, що методи, які хакери використовують для зараження шифрувальниками-вимагачами, майже завжди ідентичні і незмінні останні 5 років. Це говорить про досить низький рівень кібербезпеки у компаніях, незважаючи на усі попередження з боку спеціалістів.
Загалом тактика Lorenz аналогічна описаній у звіті компанії CrowdStrike, яка виявила цей баг і простежила за шифрувальником, який використовував його. Отже, після початкової компрометації Lorenz розгортає копію інструменту з відкритим вихідним кодом Chisel для тунелювання TCP в мережі компанії, що постраждала, і використовує її для обходу мережевих фільтрів та захисного ПЗ.
При цьому експерти Arctic Wolf зазначають, що після злому пристрою Mitel хакери вичікують близько місяця, і лише потім починають розвивати свою атаку далі. Дослідники пишуть, що хакери використовують відомі та широко використовувані інструменти для створення дампа облікових даних та подальшої розвідки. Потім група починає рух мережею, використовуючи скомпрометовані облікові дані (включаючи облікові дані зламаного облікового запису адміністратора домену).
Перш ніж зашифрувати файли жертви, Lorenz краде інформацію за допомогою програми обміну файлами FileZIlla. BitLocker використовується для подальшого шифрування жертв.
Хакерська група Yanluowang опублікувала вкрадені у Cisco дані ще у травні 2022 року. Представники Cisco визнали, що витік даних мав місце, але все ж таки наполягають на тому, що інцидент ніяк не вплинув на бізнес компанії.
Нагадаю, що минулого місяця представники Cisco підтвердили, що ще у травні корпоративна мережа компанії була зламана групою шифрувальників Yanluowang. Пізніше зловмисники намагалися вимагати у Cisco гроші, інакше погрожуючи опублікувати вкрадені під час атаки дані у відкритому доступі.
Тоді в компанії наголосили, що хакери взагалі нічого серйозного не викрали, їм вдалося лише викрасти не конфіденційні дані з папки Box, пов’язаної зі зламаним обліковим записом співробітника.
Самі хакери зв’язалися з Bleeping Computer та повідомили журналістам, що вкрали у компанії 2,75 ГБ даних (приблизно 3100 файлів), включаючи вихідні коди та секретні документи. За словами журналістів, багато файлів являли собою угоди про нерозголошення, дампи даних та технічну документацію.
Наприклад, зловмисники надали виданню відредаговану версію угоди та показали скріншот адміністративної консолі VMware vCenter на cisco.com. На знімку екрана показані численні віртуальні машини, у тому числі одна під назвою GitLab, що використовується Cisco CSIRT.
Як тепер повідомляє Bleeping Computer, члени Yanluowang почали зливати вкрадені дані до Даркнету. На цьому фоні Cisco остаточно підтвердила витік даних, але компанія продовжує наполягати на тому, що цей інцидент ніяк не вплинув на бізнес і витік інформації не змінює початкової оцінки інциденту.
11 вересня 2022 року зловмисники, які раніше опублікували в даркнеті список імен файлів, пов’язаних з інцидентом, розмістили фактичний вміст тих самих файлів у тому ж місці в даркнеті. Вміст цих файлів відповідає тому, що ми ідентифікували та розкрили. Наш попередній аналіз інциденту залишається незмінним — ми, як і раніше, не бачимо жодного впливу на наш бізнес, включаючи продукти або послуги Cisco, конфіденційні дані клієнтів, конфіденційну інформацію про співробітників, інтелектуальну власність чи процеси ланцюжка постачання.” – сказав Cisco.
Зазначу, що наприкінці серпня аналітики з кібербезпеки з eSentire опублікували звіт, в якому надали докази можливого зв’язку групи Yanluowang з відомим російськомовним хак-гуртом Evil Corp (UNC2165).
Експерти eSentire встановили, що інфраструктура, використана для злому Cisco у травні 2022 року, місяцем раніше використовувалася для компрометації не названої компанії, що займається HR рішеннями.
Дослідники вважають, що за цими інцидентами стоять зловмисники, пов’язані з Evil Corp. Нагадаю, ми також говорили, що Cisco не буде виправляти вразливість RCE у старих маршрутизаторах RV.
У серпні 2022 року представники Cisco підтвердили, що у травні корпоративна мережа компанії була зламана групою шифрувальників Yanluowang. Пізніше зловмисники намагалися вимагати у Cisco гроші, інакше погрожуючи опублікувати вкрадені під час атаки дані у відкритому доступі. Тоді в компанії наголосили, що хакерам вдалося викрасти лише неконфіденційні дані з папки Box, пов’язаної зі зламаним обліковим записом співробітника.
Аналітики eSentire тепер кажуть, що атака могла бути справою рук злочинця, відомого як mx1r. Вважається, що він є учасником однієї з «філій» відомого російськомовного угрупування Evil Corp (відома ще як UNC2165).
Дослідники пишуть, що доступ до мережі жертв спочатку здійснювався з використанням вкрадених облікових даних VPN, а потім зловмисники використовували готові інструменти для подальшого просування в мережі.
За допомогою Cobalt Strike зловмисники змогли закріпитись у системі. Вони діяли швидко з моменту початкового доступу до того моменту, коли їм вдалося зареєструвати власну віртуальну машину в VPN-мережі жертви.” – кажуть експерти.
Дослідники підозрюють зв’язок mx1r з Evil Corp через збіг ряду тактик зловмисників, у тому числі через організацію атаки kerberoasting на службу Active Directory та використання RDP для просування в мережі компанії.
При цьому, незважаючи на ці зв’язки, інфраструктура HiveStrike, що використовується для організації атаки, в цілому відповідає інфраструктурі одного з «партнерів» групи Conti, яка раніше поширювала шифрувальники Hive і Yanluowang. Ці хакери зрештою опублікували дані, вкрадені у Cisco, на своєму даркнеті.
Самі представники Cisco писали, що атака, швидше за все, здійснена зловмисником, який раніше був брокером первинного доступу і мав зв’язки зі злочинним угрупуванням UNC2447, групою Lapsus$ та операторами програми-вимагача Yanluowang.
Ці невідповідності, схоже, не турбують аналітиків eSentire:
Здається малоймовірним (але не неможливим), що Conti надає свою інфраструктуру Evil Corp. Більш правдоподібно те, що партнер Evil Corp/UNC2165 може працювати з однією з нових дочірніх компаній Conti. Також можливо, що початковий доступ до мережі компанії був наданий партнером Evil Corp, але в кінцевому підсумку був проданий операторам Hive і пов’язаним з ними особам.”
Дослідники AT&T виявили нову приховану шкідливу програму для Linux під назвою Shikitega, яка націлена на комп’ютери та пристрої IoT та використовує вразливість підвищення привілеїв для запуску майнера криптовалюти Monero на заражених пристроях.
Shikitega може обійти антивірусне програмне забезпечення за допомогою поліморфного кодувальника, який унеможливлює статичне виявлення на основі сигнатур.
Згідно зі звітом AT&T, шкідливе ПЗ використовує багатоступінчастий ланцюжок зараження, в якому кожен рівень доставляє всього кілька сотень байтів, активуючи простий модуль, а потім переходить до наступного. Тобто Shikitega поступово доставляє своє шкідливе навантаження, при цьому кожен крок розкриває лише частину загального шкідливого кода.
Зараження починається з 370-байтового ELF-файлу, що містить закодований шелл-код. Кодування виконується за допомогою схеми кодування корисного навантаження Shikata Ga Nai. Використовуючи кодувальник, шкідливе програмне забезпечення проходить через кілька циклів декодування, де один цикл декодує наступний рівень, поки не буде декодований і виконаний остаточний корисний шелл-код.
Після завершення розшифровки виконується шелл-код, який зв’язується з C&C-сервером і отримує додаткові команди, що зберігаються та виконуються безпосередньо з пам’яті.
Одна команда завантажує та запускає Mettle, невелике портативне корисне навантаження Metasploit Meterpreter, яке дає зловмиснику додаткові можливості віддаленого керування та виконання коду на хості. Mettle витягує файл ELF ще меншого розміру, який використовує CVE-2021-4034 (PwnKit) та CVE-2021-3493 для підвищення привілеїв для рутування та завантаження криптомайнера.
Стійкість криптомайнера досягається за рахунок видалення всіх завантажених файлів, щоб зменшити можливість виявлення.
Крім того, щоб уникнути виявлення оператори Shikitega використовують законні послуги хмарного хостингу для розміщення своєї інфраструктури C&C. Це наражає операторів на ризик бути виявленими правоохоронними органами, але забезпечує кращу непомітність у скомпрометованих системах.
Команда AT&T рекомендувала адміністраторам застосовувати доступні оновлення безпеки, використовувати EDR на всіх кінцевих точках та регулярно створювати резервні копії важливих даних.
Експерти виявили, що ботнет MooBot, побудований на шкідливому програмному забезпеченні Mirai IoT, атакує вразливі маршрутизатори D-Link, використовуючи проти них комбінацію старих і нових експлойтів.
Про діяльність MooBot фахівці з інформаційної безпеки давно не писали: останнє дослідження датоване груднем минулого року, коли MooBot скористався вразливістю CVE-2021-36260 у камерах Hikvision, заразивши ці пристрої та використовуючи їх для DDoS-атак.
Як тепер з’ясувалося, MooBot нещодавно змінив “сферу діяльності”, що в цілому характерно для ботнетів, які постійно шукають нові групи вразливих пристроїв, які вони можуть захопити. Отже, згідно з нещодавнім звітом Palo Alto Network, шкідливе програмне забезпечення в даний час націлене на такі критичні вразливості в пристроях D-Link:
CVE-2015-2051: проблема із виконанням команди D-Link HNAP SOAPAction.
CVE-2022-26258: віддалене виконання команд на пристроях D-Link;
CVE-2022-28958: віддалене виконання команд на пристроях D-Link.
Варто зазначити, що виробник давно випускав патчі для усунення цих проблем, оскільки дві вразливості взагалі субсидували в 2015 і 2018 роках. Однак не всі користувачі ще застосували ці патчі, особливо останні два, які вийшли у березні та травні цього року.
Оператори шкідливих програм використовують вразливість для віддаленого виконання коду на небезпечних пристроях і запускають шкідливий бінарний файл за допомогою довільної команди.
Потім захоплені маршрутизатори використовуються для проведення DDoS-атаки на різні цілі, в залежності від того, чого хочуть отримати оператори MooBot. Як правило, зловмисники видають потужність свого ботнета в оренду іншим злочинцям, тому від нападу MooBot страждають самі різні сайти та сервіси.
Цікаво, що адреси C&C, зазначені у звіті Palo Alto Network, відрізняються від адрес у грудневому звіті Fortinet, що вказує на оновлення інфраструктури хакерів.
Експерти пишуть, що користувачі зламаних пристроїв D-Link можуть помітити падіння швидкості інтернету, зависання, перегрівання роутера або зміни конфігурації DNS. Найкращий спосіб захиститися від MooBot – застосувати всі доступні оновлення прошивки.
Первинний програмний код трояна віддаленого доступу CodeRAT опубліковано на GitHub. Це сталося після того, як дослідники безпеки встановили розробника шкідливого програмного забезпечення та закликали його до відповідальності через атаки, в яких використовувався цей «інструмент».
Експерти SafeBreach кажуть, що атаки з використанням CodeRAT будувалися наступним чином: кампанія, судячи з усього, була націлена на розробників з Ірану, які говорять на фарсі. Вони були атаковані документом Word, що містить експлойт DDE.
Цей експлойт завантажив та запустив CodeRAT із репозиторію GitHub зловмисника, надавши віддаленому оператору широкий спектр можливостей після зараження. Зокрема, CodeRAT підтримує близько 50 команд, у тому числі створення знімків екрану, копіювання вмісту буфера обміну, отримання списку запущених процесів, завершення процесів, перевірку використання GPU, завантаження, завантаження та видалення файлів, виконання програм тощо.
Нагадаю, ми також писали про те, що троян ZuoRAT зламує маршрутизатори Asus, Cisco, DrayTek та NETGEAR, а також про те, що троян Qbot скористався відомою вразливістю Follina.
Шкідливість CodeRAT також має широкі можливості для моніторингу веб-пошти, документів Microsoft Office, баз даних, соціальних мереж, IDE для Windows Android, а також порносайтів та окремих сайтів (наприклад, іранської електронної комерції компанії Digikala або веб-месенджера Eitaa) на фарсі) . Крім того, шкідлива програма шпигунить за вікнами таких інструментів, як Visual Studio, Python, PhpStorm та Verilog.
Такий моніторинг, особливо стеження за порносайтами, активністю в соціальних мережах та використання інструментів анонімного перегляду, змушує нас вважати, що CodeRAT – це розвідувальний інструмент, який використовується зловмисниками, пов’язаними з урядом. Зазвичай це спостерігається в атаках, за якими стоїть ісламський режим Ірану, який стежить за незаконними та аморальними діями своїх громадян.” – кажуть експерти.
Для зв’язку зі своїм носієм та крадіжками зібраних даних CodeRAT використовує механізм на основі Telegram, який спирається на загальнодоступний API завантаження анонімних файлів (замість традиційної інфраструктури C&C).
HTTP Debugger used as a proxy for Telegram communication (SafeBreach)
Хоча ця кампанія була раптово перервана, дослідники змогли відстежити розробника шкідливого програмного забезпечення під ніком Mr Moded. Коли SafeBreach зв’язався з розробником CodeRAT, він спочатку не заперечував їх звинувачення, а натомість попросив експертів надати додаткову інформацію.
Після того, як експерти надали пану Модеду докази, що пов’язують його з CodeRAT, він не розгубився і просто розмістив первинний код шкідливого програмного забезпечення на своєму GitHub. Дослідники попереджають, що тепер, з виходом вихідного коду, CodeRAT може набути більш широкого поширення.
Дослідники Securonix помітили цікаву кампанію з поширення шкідливого програмного забезпечення під назвою GO#WEBBFUSCATOR, написане на Go. Для його поширення хакери використовують фішингові електронні листи, шкідливі документи та зображення з телескопа Джеймса Вебба.
Нагадаю, ми також говорили про те, що ботнет MyKingz використовує фото Тейлор Свіфт для зараження цільових машин, а також про те, що хакери ховають скімери MageCart у кнопках соціальних мереж.
Як правило, зараження починається з фішингового листа із вкладеним шкідливим документом Geos-Rates.docx, який завантажує файл шаблону. Цей файл у свою чергу містить обфускований макрос на VBS, який запускається автоматично, якщо макроси в Office дозволені.
Після цього із віддаленого ресурсу, який контролюється зловмисниками (xmlschemeformat[.]com), завантажується зображення у форматі JPG (OxB36F8GEEC634.jpg). Картинка декодується у файл, що виконується (msdllupdate.exe) за допомогою certutil.exe, після чого файл запускається.
Цікаво, що якщо просто відкрити цей шкідливий JPG, то можна побачити скупчення галактик SMACS 0723, зняте телескопом Джеймса Вебба та опубліковане НАСА у липні 2022 року. Якщо відкрити файл у текстовому редакторі, можна знайти додатковий контент, а саме шкідливе навантаження, зашифроване за допомогою Base64, яке зрештою перетворюється на шкідливий виконуваний файл.
Динамічний аналіз шкідливого ПЗ показав, що виконуваний файл забезпечує шкідливому ПЗ стабільну присутність у системі, копіюючи себе в %%localappdata%%\microsoft\vault і створюючи новий ключ реєстру. Після запуску шкідлива програма встановлює DNS-з’єднання з сервером, що управляє, і відправляє йому зашифровані запити.
У разі GO#WEBBFUSCATOR зв’язок із сервером управління та контролю реалізований за допомогою запитів TXT-DNS та запитів nslookup. Усі дані кодуються за допомогою Base64.”- кажуть дослідники.
Сервер керування та контролю може реагувати на шкідливе програмне забезпечення, встановлюючи часові інтервали між запитами на підключення, змінюючи час очікування nslookup або відправляючи команди для виконання за допомогою cmd.exe. Так, фахівці Securonix спостерігали як зловмисники запускали довільні команди перерахування на тестових системах, тобто проводили первинну розвідку на заражених машинах.
Дослідники зазначають, що домени, які використовуються в цій кампанії, були зареєстровані нещодавно, найстаріший з них датований 29 травня 2022 року.
Як виявилося, понад 1900 адміністративних процедур у Японії, як і раніше, вимагають використання гнучких дисків. Нещодавно призначений голова Міністерства цифрової реформи Японії Таро Коно вирішив оголосити «війну» дискетам та іншим формам застарілих носіїв та перенести процес подання заявок до онлайн.
За даними японських ЗМІ, Таро Коно оголосив про нову ініціативу під час прес-конференції минулого вівторка. Прем’єр-міністр Фуміо Кісіда вже заявив про свою повну підтримку цієї ініціативи.
Digital Minister declares a war on floppy discs. There are about 1900 government procedures that requires business community to use discs, i. e. floppy disc, CD, MD, etc to submit applications and other forms. Digital Agency is to change those regulations so you can use online.
Раніше переходу на більш сучасні носії інформації перешкоджали юридичні проблеми, тому державні органи Японії, як і раніше, використовують компакт-диски, міні-диски та дискети для отримання матеріалів від населення та бізнесу. Наприклад, у грудні минулого року японська газета Mainichi повідомила, що поліція Токіо втратила дві дискети з інформацією про 38 претендентів на здобуття соціального житла.
Коно обіцяє, що група, яка працює під його керівництвом, надасть план вирішення цих проблем до кінця 2022 року.
Ми швидко розглянемо цю практику. Де можна купити дискету?”- цитують його слова журналісти.
Слід зазначити, що Коно не вперше намагається модернізувати законодавство та документообіг у Японії, оскільки у багатьох випадках процедури передачі суворо регламентовані, а прийняті протоколи давно застаріли. Наприклад, у 2021 році колишній прем’єр-міністр Йосіхіде Суга спробував скоротити використання особистих марок та факсимільних апаратів. Однак його перебування на посаді виявилося недовгим і програма не була реалізована.
Нагадаю також, що зовсім недавно, коли Microsoft остаточно «поховала» Internet Explorer, припинення підтримки IE спровокувало справжній хаос у Японії, оскільки IE, як і раніше, використовувався багатьма компаніями та держорганами.
