Категорія: Новини

Команда Google прояснила ситуацію довкола вразливості Apache Log4j

17 грудня 2021 року у своєму блозі Google Open Source Insights Team прояснили всю ситуацію довкола вразливості Apache Log4j. Вони пояснили, в чому полягає вразливість і який поточний прогрес у виправленні проблем екосистеми з відкритим кодом JVM. Також команда поділилася своїми думками про те, скільки часу може знадобитися, щоб цю вразливість було виправлено в усій екосистемі та на чому слід зосередитися далі.

9 грудня спільнота інформаційної безпеки дізналася про існування вразливості, яка має великий ступінь серйозності та потенційну широту впливу. Десятки тисяч програмних пакетів (артефактів, як вони називаються в екосистемі Java) і проектів використовують популярний інструмент журналювання, log4j, який, як виявилося, має в собі вразливість. Як пояснюють спеціалісти,вразливість дозволяє віддалено виконувати код, використовуючи функцію пошуку JNDI, відкриту бібліотекою журналювання log4j. У багатьох версіях бібліотеки експлуатована функція існувала за замовчуванням.

Виправлення вразливості Apache Log4j займе трохи часу

Не так давно розкриті вразливості log4j торкнулися понад 35 000 пакетів Java, що становить понад 8% репозиторію Maven Central. Оскільки репозиторій є найбільшим сховищем пакетів Java, це стало значною проблемою для багатьох фахівців індустрії програмного забезпечення. Фахівці зазначають, що 8% є величезним показником для екосистеми, в той час як середнє число для результату консультацій Maven Central складає 2%, з медіаною менше 0,1%. Хоча згадані числа не охоплюють всі пакети Java, наприклад безпосередньо розподілені бінарні файли.

На момент публікації було зафіксовано майже п’ять тисяч виправлених артефактів. І понад 30 000 артефактів, багато з яких залежать від іншого артефакту, і все ще чекають на виправлення. Команда завважує, що вони зараховували артефакт як виправлений, якщо він мав принаймні одну вражену версію, і було випущено більш стабільну виправлену версію (відповідно до семантичних версій). У випадку log4j артефакт вважається виправленим, якщо він був оновлений до версії 2.16.0 або вище і не залежить більше від log4j.

Дві серйозні проблеми заважають процесу виправлення

Хоча в цілому ситуація зрозуміла, фахівці вказують на дві істотні проблеми щодо її усунення. Перше це той факт, що багато артефактів опосередковано залежать від log4j. А ті, що мають пряму залежність, становлять близько 7000 вражених артефактів. В першому факті будь-яка з його версій залежить від ураженої версії log4j-core або log4j-api, описаних в CVE. Тобто це непряма залежність або транзитивна залежність, що означає, тавтологічно сказано, залежності власних залежностей.

Весь цей набір залежностей створює значні перешкоди у виправленні, якщо прослідкувати все це в ланцюжках залежностей. Тоді все стає зрозумілим: чим глибше вразливість, тим більше потрібно перебрати ланцюжків, щоб її усунути. Згідно з гістограмою графіків залежностей у більш ніж 80% пакетів вразливість залягає глибше ніж на один рівень. У більшості це п’ять рівнів нижче, а в деяких – навіть дев’ять. Процес виправлення в таких випадках вимагає спочатку перейти до найглибших залежностей, і далі поступово по всій кроні.

Команда Google прояснила ситуацію довкола вразливості Apache Log4j
Візуалізація прямих та непрямих залежностей

Відкритий діапазон дає можливість вибрати останню версію

Інша складність полягає у виборах на рівні екосистеми в алгоритмі розв’язання залежностей та умовах специфікації вимог. Практика відрізняється від такої, як в npm, де звичайно вказуються відкриті діапазони для вимог залежностей. Відкриті діапазони дають можливість вибрати останню випущену версію, яка задовольняє вимоги залежностей, тим самим виводячи в перший список оновленні версії. Користувачі отримують виправлену версію одразу після випуску виправлення, процес, який генерує залежності швидше.

«В екосистемі Java звичайною практикою є указання вимог до «м’яких» версій — точні версії, які використовуються алгоритмом розділення, якщо жодна інша версія того самого пакета не з’являється раніше на графіку залежностей. Виправлення часто вимагає додаткових дій з боку розробників, щоб оновити вимоги залежностей до виправленої версії», — також писала команда Open Source Insights щодо цього у своєму блозі.

В цьому питанні команда радить спільноті увімкнути автоматичне оновлення залежностей та додати засоби підсилення безпеки. Вони також надали список з 500 вражених пакетів з транзитивною залежністю. На думку фахівців, визначення пріоритетності цих пакетів полегшить зусилля з виправлення та згодом розблокує більшу частину спільноти. Команда подякувала користувачам, які оновили свої версії log4j.

Команда Google прояснила ситуацію довкола вразливості Apache Log4j
Візуалізація розподілення глибин залягання вразливості

На питання, скільки часу знадобиться, щоб повністю виправити все, команда висловилася неоднозначно. Якщо розглядати всі публічно доступні критичні рекомендації, що впливають на пакети Maven, то процес може зайняти деякий час. Вони кажуть, що менше половини (48%) артефактів, на які вплинула вразливість, було виправлено. Але що стосується log4j, то все здається багатообіцяючим: приблизно 13% було виправлено.

Найбільший тест з кібербезпеки показав, на що вразливі найпоширеніші маршрутизатори Wi-Fi

Наскільки кібербезпечні звичайні маршрутизатори Wi-Fi? У світі, де Інтернет це ще одне середовище існування людини, хто зна, що там може ховатися. А ваш маршрутизатор — це ваша фортеця. Редактори німецького журналу Chip і експерти з IoT Inspector провели тестування на вразливості в найбільш популярних маршрутизаторів. Результати виявилися негативними.

Дослідники протестували дев’ять найпопулярніших виробників маршрутизаторів

Однією з основних проблем, спільною для протестованих маршрутизаторів, стала застаріла операційна система, тобто ядро ​​Linux. Це цілком зрозуміло, оскільки інтеграція нового ядра в прошивку коштує занадто дорого. У кожного перевіреного виробника тут вийшов мінус. Також сюди спеціалісти віднесли програмне забезпечення пристроїв, в якому часто використовувалися такі стандартні інструменти, як BusyBox, що виявлялися застарілими у багатьох пристроях. Крім питань маршрутизації, основну частину негативних результатів також склали додатковий сервіс маршрутизаторів, як наприклад VPN або мультимедійні функції.

«Тест в негативному аспекті перевершив усі очікування щодо безпечності маршрутизаторів для малого бізнесу та домашнього використання. Не всі вразливості є однаково критичними, але на момент тестування всі пристрої виявили значні вразливості у безпеці, які можуть грунтовно полегшити роботу хакерам», – каже Флоріан Лукавський, технічний директор IoT Inspector.

Ретельне тестування безпеки в лабораторних умовах зрезультувало в 226 потенційних вразливостей у безпеці в TP Link, Linksys, Synology, D-Link, Netgear, Edimax, AVM і Asus. TP-Link (TP-Link Archer AX6000) і Synology (Synology RT-2600ac) разом показали 32 вразливості.

Команда тестування зв’язалася з усіма виробниками перевірених маршрутизаторів і дала їм можливість виправитися. Кожен із них, без винятку підготував патчі прошивки, які фахівці з кібербезпеки переконливо радять користувачам негайно застосувати. Особливо якщо в них немає активованої функції автоматичного оновлення. Після оприлюднення результатів новий уряд Німеччини планує запровадити суворіші правила для виробників у разі відшкодування збитків, спричинених недоопрацюваннями в безпеці їхніх продуктів.

Дослідницька лабораторія IoT Inspector також додала детальний опис експерименту з вилучення ключів шифрування WI-FI маршрутизаторів

У своєму блозі дослідницька лабораторія IoT Inspector також додала детальний технічний опис того, як вони проводили експеримент з вилученння ключа шифрування для піднабору WI-FI маршрутизаторів D-Link під час тесту. Треба сказати, що це досить цікава річ для ознайомлення, навіть для комп’ютерних аматорів. Для дослідження вони використовували D-Link DIR-X1560, пристрій того ж покоління, що й D-Link DIR-X5460, який IoT Inspector протестував разом з маршрутизаторами інших виробників.

Очевидно, що дослідники не могли одразу вилучити ключ шифрування, тому їм потрібно було знайти певний обхідний шлях. У першому методі дослідники скористалися старішим образом мікропрограми, який ще не було зашифровано. Це версія мікропрограми безпосередньо перед введенням шифрування. Тут можна перевірити, чи можна звідси вилучити ключ.

Інший метод, який вони пропонують, – це безпосереднє зчитування фізичної флеш-пам’яті пристрою. Вони пояснили, що в флеш-прошивці навряд чи буде зашифрована прошивка. Схема працює так, що вони розбирають один із пристроїв, випаюють флеш-пам’ять, відкидають її та зчитують файлову систему. Однак вони додають, що цей метод грунтовно порушує цілісність пристрою, є витратним і дорогим. Повну інформацію про експеримент з вилучення ключів дешифрування для D-Link ви можете знайти за посиланням.

IKEA під атакою внутрішнього фішингу

Нещодавно IKEA, шведський багатонаціональний конгломерат зі штаб-квартирою в Нідерландах, повідомила про хвилі внутрішнього фішингу. Зловмисники використали внутрішні зламані сервери, щоб надсилати співробітникам компанії електронні листи зі шкідливими вкладеннями. Фахівці з кібербезпеки кажуть, що подібні методи хакери використовували в останніх кампаніях в поширенні троянів Emotet і Qackbot. Вся складність ситуації вказує на можливість загрози кібербезпеці компанії, хоча жодних подробиць керівництвом не було надано.

Зазвичай при проведенні подібних атак хакери компрометують внутрішні сервери Microsoft Exchange, використовуючи вразливості ProxyLogin і ProxyShell. Як тільки доступ до сервера отримано, вони починають пересилання електронних листів зі шкідливими вкладеннями співробітникам. Надіслані як електронні листи від компанії, вони ,безумовно, дають відчуття справжності.

“Це означає, що атака може надійти електронною поштою від особи, з якою ви працюєте, від будь-якої зовнішньої організації, а також як відповідь на розпочату розмову. ЇЇ важко розпізнати, тому ми просимо вас бути особливо обережними”, йдеться у внутрішньому електронному листі, розісланому співробітникам IKEA.

IKEA під атокою внутрішнього фішингу
Шкідливі вкладення, що містили листи фішингової атаки

Як кажуть ІТ-спеціалісти IKEA, насторожувальні знаки, на які слід звернути увагу, — це сім цифр у кінці будь-якого вкладення. Компанія також попросила співробітників не відкривати надіслані їм електронні листи та негайно повідомляти про них до ІТ-відділу. В якості запобіжного заходу занепокоєнне керівництво компанії обмежило можливість співробітників відновлювати електронні листи, які можуть опинитися в карантинних скриньках пошти.

Шкідливі листи містили URL-адреси, які перенаправляли браузер на завантаження під назвою «charts.zip», яке містило документ Excel. Потенційним одержувачам таких листів пропонувалося натиснути кнопку надання доступу, щоб переглянути вкладення. Звичайно, такі дії негайно активовували шкідливі макроси. Ті, у свою чергу, завантажували файли під назвою «besta.ocx», «bestb.ocx» і «bestc.ocx» з віддаленого сайту та зберігали їх у папці C:\Datop. Тепер перейменовані DLL-файли починають процес виконання за допомогою команди regsvr32.exe встановлення шкідливого програмного забезпечення.

Як розпізнати фішинг-лист?

Можна сказати, що фішери в наші дні похитрішали, а ті «Ви виграли 1 мільйон, будь ласка, дайте відповідь на цей електронний лист» відчайдушно намагаються йти в ногу з часом (проте скажіть мені, хто ті люди, які відповідають їм?). Нині зловмисники вдаються до більш вишуканіших способів обдурити вас і “виловити” вашу особисту інформацію.

Тепер, коли я це пишу, я згадую дзвінок тієї жінки, нібито з якогось банку, і все ще розмірковую, чи це був фішер. Але повернімося до безпосередньої теми: найкраще вирішення проблеми — запобігти їй. Перегляньте наступні перевірені поради щодо виявлення фішингового електронного листа:

  • Невідповідність доменів електронної пошти. Навіть якщо ви отримали електронний лист, який, як приклад, надіслано від Microsoft, уважно зіставте доменні імена, чи вони сходяться. Може бути так, що самий електронний лист надіслано з Micnosft.com, безпомилкова ознака шахрайства;
  • Підозрілі посилання чи вкладення. Якщо є підозра, що електронний лист може бути шахрайським, не натискайте на жодні вкладення, не переходьте за жодними посиланнями. Ви можете перевірити справжню адресу перенаправлення, просто навівши мишею на посилання, і воно повинно одразу висвітитися;

Не переходьте ні за якими посиланнями у таких листах

  • Безособове вітання. Мабуть, дивно отримувати електронний лист від компанії, з якою ви раніше мали кореспонденцію з нейтральним привітанням на кшталт «Шановний сер або пані». Не варто вже говорити про те, що електронний лист від абсолютно невідомої компанії може бути стовідсотковим шахрайством;
  • Погана граматика і орфографія. Якщо в електронному листі є очевидні граматичні чи орфографічні помилки, це може бути ще одним показником шахрайства. Іноді фішери роблять це свідомо, щоб уникнути детекції захисними механізмами, або це може бути невдалий переклад з іншої мови. У будь-якому випадку професійні компанії часто мають редакторів, які забезпечують якість їхньої кореспонденції, тому той електронний лист з «Добрій день» можна перемістити в кошик;
  • Настирливі заклики до дій і неодноразові нагадування про небезпеку. Електронна пошта з таким змістовим наповненням має насторожити вас, особливо якщо в самому листі немає конкретних очевидних пояснень. Натомість це просто загроза, загроза і ось магічне рішення: просто зробіть це. Паніку в бік, і ще раз уважно прочитайте і перевірте підозрілий електронний лист.

Хакери використовують Діскорд для розповсюдження троянів та вимагачів

Якщо ви один з тих криптовалютних ентузіастів на Діскорд, то наведена нижче інформація точно для вас. Дослідники з кібербезпеки попереджають про новий вид криптору, який спеціально використовується в атаках на криптовалютні спільноти. Вони кажуть, що під загрозою цього зловмисного програмного забезпечення стоять такі криптоспільноти, як DeFi, NFT і Crypto. Для тих, хто не надто цікавиться усією цією криптовалютною справою, NFT це невзаємозамінні токени. Цей термін позначає унікальні токени, які дають право власності на дані, що зберігаються на блокчейн технології. За декілька років вся індустрія значно зросла, оцінювана вартість якої, складає тепер понад 2,5 трильйона доларів.

Всередині індустрії люди використовують Діскорд, групову платформу для спілкування, де можна приєднатися до будь-якого чату та надсилати один одному приватні повідомлення. Криптору, що атакує такі спільноти фахівці дали назву Бабадеда (за російськомовною назвою плейсхолдера, який використовується в програмі). Криптор легко обходить антивірусну на основі сигнатур детекцію. Під час останніх кампаній зловмисники використовували Бабадеда для доставки RAT, викрадачів інформації та навіть програм-вимагачів LockBit.

Для створення ілюзії справжності у Діскорд хакери застосували ряд заходів

Для проведення кампанії хакер створив бота Діскорд на офіційному каналі компанії. Вони надсилали нічого не підозрююючим жертвам приватні повідомлення із запрошенням завантажити програму, яка дасть користувачеві доступ до нових функцій та/або додаткових переваг. Багато людей прийняли їх за справжні, все виглядало так, ніби вони були прислані від компанії. Повідомлення містили URL-адресу, яка спрямовувала користувача на підроблений сайт. Все було організовано так, щоб користувач завантажив шкідливу програму-інсталятор.

Хакери використовують Діскорд для розповсюдження троянів та вимагачів
“Нібито” справжні повідомлення, що отримували користувачі на Діскорд

Для стоворення ілюзії справжності хакери застосували додаткових мір. Серед них:

  • Підроблена сторінка мала дуже схожий на оригінальну сторінку інтерфейс користувача;
  • Хакери підписували домени сертифікатом (через LetsEncrypt), який вмикав з’єднання HTTPS;
  • Вони також використовували техніку під назвою кіберсквоттинг. Це коли додаються або видаляються літери з оригінального домену або домену верхнього рівня для створення фейкового;

Коли користувач натискав «Завантажити додаток», сайт перенаправляв запит на завантаження на інший домен через /downland.php,. Така схема вможливлювала непоміченість фейковості сайту. Фахівці з кібербезпеки виявили 82 доменів, створені в період з 24 липня 2021 року по 17 листопада 2021 року. Вони також знайшли різні варіанти криптору. Усі вони мали однаковий основний потік виконання. Зловмисники приховували криптор всередині офіційних програм, що ускладнювало його виявлення.

Одразу за тим, як користувач завантажує шкідливий інсталятор через несправжній Діскорд чат, починає виконуватися процес копіювання стиснутих файлів в щойно створену папку з ім’ям цілком непримітного якогось застосунка як “Монітор здоров’я додатків IIS” використовуючи один з наступних шляхів каталогу:
C:\Users\<користувач>\AppData\Local\
C:\Users\\AppData\Roaming\

Короткі технічні деталі роботи криптора

Програма починає встановлення і копіювання шкідливих файлів разом з іншими безкоштовними файлами або файлами з відкритим вихідним кодом. Після завершення видалення файлів починається виконання через основний виконуваний файл. На цьому етапі з’являється фейкове повідомлення про помилку програми, певно зроблено для того, щоб змусити користувача подумати, що програма вийшла з ладу, поки вона все ще продовжує працювати у фоновому режимі. Після ретельного огляду коду функції фахівці з кібербезпеки виявили, що він набагато довший, ніж фактичний код завантаження DLL. Це було зроблено спеціально для того, щоб приховати справжні функціональності програми та ускладнити її виявлення антивірусами. Наступний етап виконання відбувається всередині додаткового файлу, зазвичай це файл PDF або XML. Але фахівці з кібербезпеки відзначають, що вони також спостерігали використання таких файлів, як PNG, Text або JavaScript. Далі слідує складний ряд дій, який занадто довгий, щоб помістити його в одну публікацію.

Будемо коротко. Завершальним етапом є фіксація таблиці адрес імпорту та таблиці переміщення знову введеного PE. І зловмисне програмне забезпечення переходить до точки входу щойно введеного PE з оригінальними аргументами командного рядка.

Windows 10: віддалене виконання коду через уніфікований ідентифікатор ресурсів

Двоє дослідників виявили проблему вразливості в Windows 10, яка допускає виконання коду в Windows 10 через IE11/Edge Legacy і MS Teams, активовану введенням аргументу в уніфікований ідентифікатор ресурсів за замовчуванням у Windows 10/11 для ms-officecmd: URI. У своєму звіті, опублікованому у власному блозі дослідників, вони подають розгорнуте висвітлення своїх висновків і додають оригінальний звіт зроблений в MSRC. Лукас Ейлер і Фабіан Броунлайн спочатку відправили результати своєї роботи в Майкрософт через https://msrc.microsoft.com/ 10 березня цього року, але компанія відхилила роботу, пояснивши, що «[..] ваш звіт, схоже, описує випадок соціальної інженерії[.. ]”.

Виявлена вразливість дозволяє виконання віддаленого коду

У блозі вони пояснили, що відмова була помилково зроблена. А після повторного звернення Майкрософт знову розглянула звіт і присвоїла описаній вразливості класифікацію «Критична, віддалене виконання коду». Проте в реєстр вразливостей її не було внесено і жодних попереджень для користувачів не було опубліковано. У наступній заяві Майкрософт пояснила свої дії:

« На жаль, щодо даного звіту не було опубліковано попереджень для користувачів чи саму вразливість внесено до реєстру. Причина полягає в тому, що більшість вразливостей вносяться в реєстр для пояснення нашим користувачам, чому певні виправлення надсилаються через Windows Update і чому їх слід інсталювати. Зміни на веб-сайтах, завантаження через Defender або через Store зазвичай не вносяться до реєстру.

Дослідники склали список модливих атак з використання вразливості

Взагалі, вразливість знаходиться в обробнику URI за замовчуванням у Windows 10 і може бути використана з різних програм. Тобто, коли користувач Windows 10 натискає шкідливе посилання «ms-officecmd:» у будь-якій програмі, довільні команди можуть виконуватися на комп’ютері жертви або відвідує шкідливий веб-сайт за допомогою Edge. Експлуатація через інші браузери змушує жертву клікнути на непримітне діалогове вікно підтвердження. З іншого боку, шкідливий URI може бути надісланий через настільну програму, яка виконує небезпечну обробку URL-адрес. У своїй публікації дослідники вказують, що окрім прямого RCE через –gpu-launcher можливі кілька інших сценаріїв атаки:

  • Введення аргументів, що стосуються програми, напр. перемикач /l у Word, щоб завантажити надбудову з шляху UNC. (хоча дослідники перевірили, що шляхи UNC отримані, вони не оцінили ефект завантаження шкідливих надбудов Office);
  • Введення параметра –host-rules для повного Electron MitM (повторний контроль над маркерами аутентифікації та повідомленнями Teams);
  • Введення параметра –inspect=0.0.0.0:1234 для створення локального сервера налагодження вузла за допомогою програми Electron. Потім зловмисник у локальній мережі може приєднатися до порту й використовувати нейтів код (також перевірено дослідниками зі Skype як експеримент).

Крім того, з’явилася можливість ще двох атак

Крім того, окрім введення аргументів, вони виявили можливість наступних двох атак:

  • Запуск Outlook із URL-адресою у форматі C:/…/some.exe/ (додаткова похила риска для проходження перевірки AppBridge.dll) змушує Outlook аналізувати посилання як посилання на локальний файл і переспрямовувати на/відкривати/виконати файл . Саме тому його можна включити в поведінку автоматичного завантаження Chrome для отримання довільного виконання коду після видачі попередження безпеки;
  • Запуск Outlook із веб-адресою як параметром, що відкриває цю веб-сторінку в Outlook, створюючи можливість для фішингових атак.

Хоча згідно з програмою MS Bounty результати могли би бути кваліфіковані до отримання винагороди в 50 тисяч доларів, замість цього вони отримали лише 5 тисяч доларів. Компанія випустила патч через 5 місяців, але, за словами дослідників, «не змогла належним чином вирішити проблему введення основного аргументу». Дослідники кажуть, що експлойт все ще присутній у Windows 11, і, враховуючи, скільки обробників URI має Windows, є можливість,що вони також вразливі.

Чекові принтери розсилали спам із”Антиробота”маніфестами

Нещодавно працівники в різних місцях почали отримувати так звані “Антиробота” маніфести, що роздруковувалися з чекових принтерів. Спам був підписаний в кінці обліковим записом Reddit. Багато хто спочатку подумав, що це може бути фейк, хтось надрукував в себе “маніфести” та виклав їх на Reddit. Деякі користувачі навіть запропонували варіант піару, що нібито все зроблено задля створення ефекту протизаконності.

“Маніфести” закликали працівників відкрито обговорювати свою зарплатню

«ВАМ НЕ ДОПЛАЧУЮТЬ?» написано в одному з маніфестів, скріншоти яких , опубліковані у Twitter та Reddit. «Ви маєте захищене законом ПРАВО піднімати питання зарплатні разом зі своїми колегами. […] ЗАРПЛАТИ БІДНЯКІВ існують лише тому, що люди “хочуть” працювати за такі гроші».

Але, як стверджує Ендрю Морріс, засновник GreyNoise, фірми з кібербезпеки, яка відстежує Інтернет загрози, ними справді було виявлено мережевий трафік, який спрямовувався на незахищені чекові принтери. Хтось або кілька людей вибірково надсилали їх до друку по всьому Інтернету. Той, хто цим займався безперечно має глибокі технічні знання. Вони транслювали запити на друк документа, що містив вищезгадані “маніфести”, на всі неправильно налаштовані та відкриті перед Інтернетом чекові принтери.

Чекові принтери розсилали "Антиробота" маніфести
Один з “маніфестів”, які отримували працівники

GreyNoise отримав докази друку “маніфестів” в певних місцях; точне число важко визначити. Shodan, інструмент, який сканує Інтернет на наявність незахищених комп’ютерів, серверів та інших пристроїв, повідомляє про тисячі принтерів. Пан Морріс додає, що масовий друк надходить з 25 окремих серверів, тому блокування однієї IP-адреси даремно.

В історії є декілька прикладів такого класичного хаку. Кілька років тому таким чином був розкручений Youtube-канал PewDiePie. В другому ж випадку якийсь хакер друкував повідомлення, де називав себе «богом хакерів».

Що таке спам і з чим його “їдять”?

Незважаючи на те, що випадок із чековими принтерами до певної міри незвичний, проте його можна класифікувати як така буденна справа розсилання спаму. Енциклопедично кажучи, спам означає велику кількість небажаної кореспонденції, надісланої випадковим людям. Звичайно сюди відносяться телефонні дзвінки, електронні листи, смс та дірект в соціальних мережах. Насправді спам — це не абревіатура якогось комп’ютерного вірусу, хоча деякі пропозиції включали, наприклад, дурна безглузда дратівлива шкідлива програма (stupid pointless annoying malware).

Термін на позначення масованих небажаних повідомлень пішов з одної сценки комедійного гурту минулого століття Монті Пайтон. У ній актори скаржилися, що кожен змушений їсти Спам, хоче він того чи ні. (Спам — це ще назва торгової марки консервованого м’яса). Те ж саме з такими листами, ви просто з ними миритеся. Незважаючи на те, що немає єдиного засобу проти такого роду надокучання, завжди можна скористатися порадами як уникнути їхньої прямої шкоди.

Одне на що на слід звернути увагу, це ім’я відправника. Іноді вони бувають очевидними показниками шахрайства, але бувають випадки коли ставка робиться на увагу отримувача. Наприклад, це може бути щось на кшталт [email protected] або ж [email protected] замість microsoft.com. Завжди перевіряйте, чи збігається адреса електронної пошти відправника з доменом компанії.

Далі перевірте, чи містить електронний лист граматичні помилки, вельми сумнівно, що будь-яка респектабельна компанія дозволить такий нюанс. Тут вам не потрібно мати диплом із спеціальністю “Англійська мова”, а достатньо уважно передивитися сумнівного листа.
Червоний знак, коли відсутня елементарна особиста інформація. Будь-яка компанія, з якою у вас раніше була яка-небудь переписка, обов’язково матиме якусь інформацію щодо вашої особи. І привітання без згадки імені виглядає підозріло.

Однією з певних речей спаму є пропозиції, які “надто неймовірні, щоб бути правдою”. Їх можна отримати від компаній, з якими ви вже спілкувалися, або від випадкових відправників, що пропонують безкоштовні гроші або різноманітні призи. Насамкінець, остерігайтеся будь-яких вкладень або посилань, надісланих разом із цими електронними листами, часто один клік на які, запускає виконання другого етапу зловмисних дій.

Північнокорейські хакери атакували антивірусні компанії

В першому випуску доповіді Threat Horizons Гугл, серед інших виявлених кіберзагроз, згадали про спонсорованих державою північнокорейських хакерів, які застосували трохи просту тактику, прикидаючись рекрутерами Samsung. Зловмисники робили фальшиві пропозиції роботи співробітникам південнокорейських антивірусних компаній, які продають програмне забезпечення для захисту від шкідливих програм. Хакери відверто здивували спільноту спеціалістів з кібер безпеки.

Підроблені електронні листи, крім тексту самого повідомлення, містили вкладення PDF. Однак хакери змінили PDF-файли, таким чином щоб вони не відкривалися в стандартному зчитувачі PDF. Коли потенційна жертва скаржилася на те, що файл не відкривається, хакери надавали лінк до Secure PDF Reader. Посилання перенаправляло нічого не підозрюючих жертв до файлу, модифікованої версії PDFTron. Хакери спеціально змінили цей пристрій для зчитування PDF-файлів, щоб вподальшому встановити бекдор-троян.

Спеціалісти вважають, що ті самі хакери стоять за ранішими атаками

Google Threat Analysis Group вважає, що це та сама група хакерів, яка раніше атакувала різноманітних дослідників безпеки, переважно в Twitter та інших соціальних мережах наприкінці 2020 року та протягом 2021 року. Ідентифіковані Microsoft під кодовою назвою «Zinc», вони дуже здивували спеціалістів з кібербезпеки своєю тактикою. Згідно з тим же звітом, це не перший випадок, коли зловмисники використовують умисно змінений пристрій для зчитування PDF-файлів. Минулого року хакери спробували використати змінену версію SumatraPDF, щоб розшифрувати та скинути імплант. Вони також додали достовірні PE, які були вбудовані в сам веб-переглядач. Фахівці з кібербезпеки відзначають, що нещодавно вони помітили, що й інші зловмисники почали використовувати подібну техніку, за допомогою якої умисно змінювався засіб перегляду PDF-файлів.

Північнокорейські хакери атакували антивірусні компанії
Відома американська газета Нью-Йорк Таймз писала про Північну Корею і потенційну кібер силу країни

Звіт базується на даних розвідки групи аналізу кібер загроз, Google Cloud Threat Intelligence for Chronicle, Trust and Safety та інших внутрішніх команд. Google планує інші майбутні звіти розвідок про кібер загрози, які охоплюватимуть відстеження тенденцій, сканування горизонту загроз та оголошення завчасних попереджень про нові загрози, що потребують негайних дій.

Окрім північнокорейської хакерської групи, у першому випуску Threat Horizons також повідомляється про ознаки потенційної активності BlackMatter, шахраїв, які використовують новий TTP для зловживання хмарними ресурсами, і російську хакерську групу APT28\ Fancy Bear, яка проводила фішингову кампанію на Gmail. У звіті згадується також про виявлений факт скомпрометованих екземплярів Google Cloud, які зловмисники використовували для майнінгу криптовалюти. Для кожного випадку TAG надав можливі рішення щодо зменшення ризиків для клієнтів Google.

Перший випуск Threat Horizons включає широкий спектр інформації

Для кожної скомпроментованої вразливості Threat Horizons подав наступне відсоткове співвідношення:

  • Витік облікових даних (4%);
  • Неправильна конфігурація екземпляра Cloud або стороннього програмного забезпечення (12%);
  • Інші невизначені вразливості (12%);
  • Уразливість у програмному забезпеченні сторонніх розробників у екземплярі Хмари. (26%);
  • Слабкий пароль або відсутність пароля для облікового запису користувача або відсутність автентифікації для API.

У більшості випадків хакери намагалися накачати трафік на Youtube і отримати прибуток від майнінгу криптовалюти. Для результативності компромісу відсотки наступні:

  • Розсилання спаму (2%);
  • Запуск DDoS бота (2%);
  • Розміщення несанкціонованого контенту в Інтернеті (4%);
  • Зловмисне програмне забезпечення (6%);
  • Запуск атак з іншими цілями в Інтернеті (8%);
  • Сканування портів в інших цілях в Інтернеті (10%);
  • Видобування криптовалюти (86%).


TAG також додав, що загальна кількість не становить 100%, оскільки деякі скомпрометовані екземпляри використовувалися для виконання кількох шкідливих дій.

Новий PowerShortShell скрипт

24 листопада 2021 року дослідники з SafeBreach Labs опублікували дослідження щодо нової виявленої кібер загрози можливо іранського походження, в якій задіяно експлойт Microsoft MSHTML Remote Code Execution (RCE). Зловмисники атакуюють жертв за допомогою розширюваної оболонки від Майкрософт PowerShell. ShadowChasing вперше повідомила про загрозу нового PowerShortShell на своїй сторінці в Twitter. Однак спеціалістам не вдалося одразу отримати хеш/код PowerShell Stealer, оскільки він тривалий час був недоступний у загальнодоступних репозитаріях шкідливих програм.

Дослідники кажуть, що з новим PowerShortShell могли оперувати іранські хакери

У своєму дослідженні SafeBreach Labs зробила аналіз повного ланцюга атаки, деталізувала виконання фішингових атак, які вперше почалися в липні цього року. Але найважливіше, зі слів самих дослідників, їм вдалося отримати код PowerShell Stealer, який отримав назву PowerShortShell. Скрипт був названий ними саме так через свою структуру, він містив трохи більше 150 рядків. Проте незважаючи на це, скрипт PowerShell дозволяв зловмиснику отримати доступ до широкого спектру інформації: файлів облікових записів в Телеграм, знімків екрана та оточення жертви.

«Майже половина жертв зафіксована у Сполучених Штатах. Виходячи з вмісту документа Microsoft Word, який звинувачує лідера Ірану у «короновірусній різанині» та характеру зібраних даних, ми припускаємо, що жертвами можуть бути іранці, які живуть за кордоном і можуть розглядатися як загроза ісламському режиму в Ірані», SafeBreach Labs пише у своєму дослідженні.

У своїх атаках зловмисник за допомогою PowerShortShell користався CVE-2021-40444. Це вразливість віддаленого виконання коду Microsoft Office MSHTML, яка дозволяє жодних макросів і вимагає лиш одноразового схвалення «відображення вмісту». Дослідники вважають, що атаки можуть бути пов’язані з ісламським режимом Ірану, судячи з використання методу нелегального доступу до облікового запису Telegram. Rampant Kitten, Infy і Ferocious Kitten, іранські хакерські угрупування, також використовували його. Цікаво, що в даному випадку застосовувалось досить виняткове використання експлойту, тому що більшістю все ж застосовуються трюки соціальної інженерії.

Атака пройшла у двоє етапів

Сама атака з використанням PowerShortShell складалася з двох етапів: спочатку проведення фішингу, а потім розсилання електронних листів зі шкідливими вкладеннями. Дві хвилі фішингових атак мали місце в липні 2021 року, коли хакери “виловлювали” у жертв дані для входу у їхні аккаунти Instagram та Gmail. Для цього використовували той самий сервер C2 Deltaban[.]dedyn[.]io. Зловмисники змаскували фішингову HTML-сторінку під справжнє туристичне агентство deltaban.com. Клік на який перенаправляв натомість на коротку іранську URL-адресу: https://yun[.]ir/jcccj. Ця URL-адреса виводила вікно з рядками для введення даних для входу у Гугл аккаунт [.]dedyn[.]io/Social/Google_Finish. Домен було зареєстровано у липні 2021 року.

Новий PowerShortShell скрипт і вразливість Microsoft MSHTML
Хакери замаскувалися під справжнє туристичне агенство

Зловмисники скидали таким чином викрадені облікові дані у файл out.txt, який будь-хто міг запросто переглянути у відкритому доступі. Друга фішингова кампанія зачепила Instagram. Тут облікові дані також відправлялися до того самого файлу out.txt. Усі фішингові, C2 та сервери зараження виходили з 95.217.50.126.

Новий PowerShortShell скрипт і вразливість Microsoft MSHTML
Те, що отримували жертви в одному з електронних листів

У свою чергу, експлойт-атака почалася 15 вересня 2021 року. Жертва отримувала електронний лист із документом Winword написаний фарсі. Перший документ під назвою Mozdor.docx. містив декілька зображень іранських солдатів. У другому із заголовком جنایات خامنه ای.docx (Злочини Хаменеї.docx) йшлося: «Один тиждень з Хаменеї; Скаржіться на винуватців короновірусної різанини, за яку винен і лідер». У ньому також були прикріпленні посилання на іранський новинний сайт та обліковий запис журналістки IranWire у Twitter. Файли Word підключалися до хакерського сервера, запускали шкідливий html, а потім перекидали dll (динамічно-з’єднувальна бібліотека) до каталогу %temp%. Файл Mozdor.docx містив експлойт у файлі document.xml.rels. Він виконував mshtml:http://hr[.]dedyn[.]io/image.html, а другий документ виконував mshtml:http://hr.dedyn.io/word.html. Ексфільтрація файлів Telegram здійснювалася до”https://hr.dedyn.io/upload2.aspx”. Дослідникам не вдалося знайти конкретних жертв атак, але вони оформили карту їх найбільшої кількості на основі отриманих даних. Найбільше було зареєстровано в США, Російській Федерації та Нідерландах.

Завантажувач JavaScript поширює RAT

Нещодавно в блозі HP Threat Research Blog був опублікований звіт про відкриття нового активного RATDispenser. Цей завантажувач JavaScript розповсюджує троянські програми віддаленого доступу (RAT). Він успішно уникає контролю безпеки під час вивантаження шкідливого програмного забезпечення.

Факт різноманітності сімейств шкідливих програм, які поширює цей RATs Dispenser, приводить до думки, що тут застосована бізнес-модель зловмисного програмного забезпечення як послуги. Багато з поширюваних сімейств шкідливих програм потенційні зловмисники можуть придбати або завантажити безкоштовно з підпільних ринків. І всі ці програми були RAT, які дозволяють зловмисникам отримувати контроль над пристроями жертв і викрадати інформацію. Загалом дослідники виявили вісім сімейств шкідливих програм, які розповсюджуються цим RATs Dispenser.

JavaScript і його робота

Зазвичай зловмисники використовують шкідливе програмне забезпечення JavaScript, щоб закріпитися в системі, перш ніж запустити другий склад зловмисного програмного забезпечення, яке встановлює контроль над зламаним пристроєм. У своїй доповіді дослідники в незначних деталях згадали шкідливі програми, які розповсюджує цей конкретний RATs Dispenser. Вони проаналізували ланцюжок зараження RATs Dispenser і запропонували варіант виявлення та блокування його роботи. Крім того, дослідники поділилися правилом YARA та скриптом вилучення Python для спеціалістів з захисту мережей, які мають дати можливість виявити та ззаналізувати це шкідливе програмне забезпечення.

З усіх 155 зразків шкідливого програмного забезпечення за допомогогою скрипту YARA вони знайшли наступне:

  • Серед поширюваних шкідливих програм були ідентифіковані трояни віддаленого доступу (RAT), крадії інформації та кілоггери;
  • Щодо методу зараження то 145 із 155 зразків (94%) виявилися дроперами. Лише 10 зразків були завантажувачами, які встановлюють подальший зв’язок через мережу для завантаження другого складу шкідливого програмного забезпечення;
  • Загалом було класифіковано 8 сімейств шкідливих програм.

Як уникнути зараження завантажувачем?

Ланцюжок зараження починається з електронного листа, який містить шкідливе вкладення. Наприклад, хтось отримує лист нібито з інформацією про замовлення, і щоб просто перевірити, що саме за замовлення, користувач натискає на нього. І саме тоді починається виконання файлу. Тут дослідницька група радить спеціалістам з захисту виконувати блокування вкладених файлів електронної пошти, які містять VBScript або JavaScript. Переривання виконання зловмисного програмного забезпечення можна зробити, вимкнувши Windows Script Host (WSH) або змінивши функцію розпізнавання файлів за замовчуванням для файлів JavaScript і встановити виконання криптів з цифровим підписом.

Щоб визначити, які типи шкідливого програмного забезпечення розповсюджує цей RATs Dispenser, дослідники написали спеціальну сигнатуру для його відстеження. Серед різноманітних шкідливих програм він поширює Formbook, викрадач інформації та кілоггер. Інші типи включають Remcos, STRRAT, WSHRAT, Panda Stealer, AdWind, GuLoader і Ratty. З них найчастіше спостерігалися STRRAT і WSHRAT, які були знайдені у 81% проаналізованих зразків. Найрідше спостерігалися Ratty і GuLoader.

Поширювані JavaScript шкідливі програми

Деяких зловмисних програм RATs Dispenser виконував лише завантаження, як-от Formbook і Panda Stealer, тоді як інші здебільшого скидалися. Дослідники також виокремили одні з поширюваних шкідливих програм. STRRAT — це Java RAT, який має функції віддаленого доступу, кілогер та викрадач облікових даних, якого фахівці вперше виявили ще в середині 2020 року. WSHRAT, який також носить назву Houdini, є VBS RAT, вперше виявлений у 2013 році. Обидва мають типовий функціонал RAT. Для них найцікавішим здається Panda Stealer. Це нове сімейство шкідливих програм з’явилося в квітні 2021 року і націлено на криптовалютні гаманці. GuLoader завантажує та запускає різні RAT, а Ratty — це RAT з відкритим вихідним кодом, написаний на Java.

Наприкінці дослідники додали, що, хоча JavaScript є менш поширеним форматом файлів шкідливих програм, ніж архіви та документи Microsoft Office, антивірусне програмне забезпечення погано розпізнає його. Вони проаналізували швидкість виявлення такого формату і отримали результат в 11% детекції.

Інтерпол провів спільну операцію проти фінансового онлайн шахрайства

На офіційному сайті Інтерполу було опубліковано подробиці нещодавньої операції за участю понад 20 країн. Вони зкоординували свої сили разом з міжнародною поліцейською організацією Інтерпол в боротьбі з Інтернет шахрайством, сфера злочинності, що невпинно зростає. Міжнародна операція була проведена в рамках пілотного проекту Інтерполу ARRP. Протокол швидкого реагування в боротьбі з фінансовим онлайн шахрайством справді показав себе досить ефективним у минулій операції HAECHI-II.

Було проведено пробну перевірку нового проекту

Операція HAECHI є другою проведеною операцією в трирічному проекті за підтримки Республіки Корея. В результаті операції місцевій національній поліції вдалося заарештувати 1003 особи та закрити 1660 справ. Крім того, об’єднані сили заблокували 2350 банківських рахунків, пов’язаних із незаконними доходами від фінансових злочинів в Інтернеті. Також Інтерпол розіслав понад 50 бюлетенів з інформацією про операцію HAECHI-II та 10 новими виявленими злочинними схемами. Загалом цілі операції включали розслідування випадків відмивання грошей, що пов’язано із незаконними азартними іграми в Інтернеті, шахрайством з інвестиціями та шахрайствами агенств знайомств.

«Результати операції HAECHI-II показують, що сплеск фінансової злочинності в Інтернеті, викликаний пандемією COVID-19, не має ознак ослаблення», «Це ще раз підкреслює важливу та унікальну роль Інтерполу у наданні допомоги країнам-членам у боротьбі зі злочинністю, яка за своєю природою не має кордонів», – сказав генеральний секретар Інтерполу Юрген Шток.

Операція HAECHI-II тривала протягом чотирьох місяців з червня по вересень 2021 року за участю Макао та Гонконгу, і в ході якої було перехоплено 27 мільйонів доларів США незаконних коштів. Інтерпол планує офіційно запустити ARRP наступного року, в той самий час вкорінюючи її в систему існуючих каналів міжнародного зв’язку. Як додав Генеральний секретар Сток у своїй заяві, що сьогодні лише завдяки такій співпраці та координації на глобальному рівні національні правоохоронні органи можуть ефективно боротися з паралельною пандемією кіберзлочинності.

Фінансове онлайн шахрайство набуває небаченого досі розмаху

Незважаючи на те, що багато хто думає про шахрайство в Інтернеті як про відносно низького рівня злочини і низьких заробітків, два найпомітніші випадки з проведеної операції доводять протилежне. В одному з випадків дуже відома колумбійська текстильна компанія була ошукана на суму понад 8 мільйонів доларів США. Шахраї використовували досить просунуту схему шахрайства, використовуючи ділову переписку електронної пошти. Вони прикинулися законними представниками компанії та подали запит на перерахування понад 16 мільйонів доларів США на два китайські банківські рахунки.

Половина грошей вже була перерахована, коли компанія виявила шахрайство і звернулася до колумбійських правоохоронних органів. Вони, у свою чергу, звернулися за допомогою до підрозділу Інтерполу щодо фінансових злочинів через своє Національне центральне бюро (NCB) у Боготі.

Іншу компанію обманули на суму понад 800 000 доларів США. Гроші вже були повністю перераховані на рахунки у Китаї. Але словенська кримінальна поліція за сприяння Інтерполу та НЦБ Інтерполу Китаю в Пекіні успішно перехопила і повернула до Словенії всю суму.