Исследователи Rapid7 сообщают о новой 0-day PostgreSQL, которая, по всей видимости, стала критически важным компонентом в цепочке атак на BeyondTrust Privileged Remote Access и Remote Support, которые позволили китайским хакерам взломать в конце прошлого года Минфин США.
Уязвимость отслеживается как CVE-2025-1094 (оценка CVSS: 8,1) и затрагивает интерактивный терминал PostgreSQL psql и позволяет операторам SQL, содержащим ненадежные, но правильно экранированные входные данные, вызывать SQL-инъекцию.
Найти ошибку удалось в рамках расследования CVE-2024-12356, недавно исправленной уязвимости безопасности в ПО BeyondTrust, которая позволяет выполнять удаленный код без аутентификации.
Исследователи Rapid7 полагают, что в каждом из рассмотренных сценариев эксплойт BeyondTrust (CVE-2024-12356) требовал задействования этой уязвимости PostgreSQL для обеспечения удаленного выполнения кода.
Несмотря на то, что BeyondTrust выпустила исправления для своих уязвимостей, включая CVE-2024-12356 и отдельную CVE-2024-12686, базовая уязвимость PostgreSQL остается важной точкой опоры для злоумышленников.
По данным Rapid7, ошибка обусловлена тем, как psql обрабатывает недействительные последовательности байтов из неправильно сформированных символов UTF-8.
Это открывает возможность для сценария, в котором злоумышленник может воспользоваться SQL-инъекцией, используя команду быстрого доступа «\!», которая позволяет выполнить команду оболочки.
Злоумышленник может использовать CVE-2025-1094 для выполнения этой метакоманды, тем самым контролируя выполняемую команду оболочки операционной системы.
В качестве альтернативы злоумышленник, который может сгенерировать SQL-инъекцию через CVE-2025-1094, может выполнить произвольные SQL-операторы, контролируемые злоумышленником.
В ходе тестирования исследователи пришли к выводу, что созданные недействительные последовательности могут преждевременно завершить команду SQL, позволяя злоумышленникам внедрять дополнительные операторы и даже запускать выполнение оболочки через метакоманду psql.
По результатам проведенных тестов исследователям удалось внедрить команду, которая выполнила команду id в системе, что в итоге подтвердило возможность полной компрометации системы.
Разработчики PostgreSQL выпустили срочный патч и предупреждают, что все версии до PostgreSQL 17.3, 16.7, 15.11, 14.16 и 13.19 уязвимы.
При этом поставщик отказался признавать эксплуатацию 0-day, но тем нее менее приписал открытие Rapid7.
Rapid7 также представила модуль Metasploit, который позволяет идентифицировать уязвимые системы BeyondTrust и автоматизировать доставку полезной нагрузки.
Что же касается, самого инцидента - помимо упоминания в качестве «крупного инцидента кибербезопасности», других подробностей и оценки потенциального ущерба власти США не раскрывают.
И вряд ли раскроют, но будем посмотреть.
Уязвимость отслеживается как CVE-2025-1094 (оценка CVSS: 8,1) и затрагивает интерактивный терминал PostgreSQL psql и позволяет операторам SQL, содержащим ненадежные, но правильно экранированные входные данные, вызывать SQL-инъекцию.
Найти ошибку удалось в рамках расследования CVE-2024-12356, недавно исправленной уязвимости безопасности в ПО BeyondTrust, которая позволяет выполнять удаленный код без аутентификации.
Исследователи Rapid7 полагают, что в каждом из рассмотренных сценариев эксплойт BeyondTrust (CVE-2024-12356) требовал задействования этой уязвимости PostgreSQL для обеспечения удаленного выполнения кода.
Несмотря на то, что BeyondTrust выпустила исправления для своих уязвимостей, включая CVE-2024-12356 и отдельную CVE-2024-12686, базовая уязвимость PostgreSQL остается важной точкой опоры для злоумышленников.
По данным Rapid7, ошибка обусловлена тем, как psql обрабатывает недействительные последовательности байтов из неправильно сформированных символов UTF-8.
Это открывает возможность для сценария, в котором злоумышленник может воспользоваться SQL-инъекцией, используя команду быстрого доступа «\!», которая позволяет выполнить команду оболочки.
Злоумышленник может использовать CVE-2025-1094 для выполнения этой метакоманды, тем самым контролируя выполняемую команду оболочки операционной системы.
В качестве альтернативы злоумышленник, который может сгенерировать SQL-инъекцию через CVE-2025-1094, может выполнить произвольные SQL-операторы, контролируемые злоумышленником.
В ходе тестирования исследователи пришли к выводу, что созданные недействительные последовательности могут преждевременно завершить команду SQL, позволяя злоумышленникам внедрять дополнительные операторы и даже запускать выполнение оболочки через метакоманду psql.
По результатам проведенных тестов исследователям удалось внедрить команду, которая выполнила команду id в системе, что в итоге подтвердило возможность полной компрометации системы.
Разработчики PostgreSQL выпустили срочный патч и предупреждают, что все версии до PostgreSQL 17.3, 16.7, 15.11, 14.16 и 13.19 уязвимы.
При этом поставщик отказался признавать эксплуатацию 0-day, но тем нее менее приписал открытие Rapid7.
Rapid7 также представила модуль Metasploit, который позволяет идентифицировать уязвимые системы BeyondTrust и автоматизировать доставку полезной нагрузки.
Что же касается, самого инцидента - помимо упоминания в качестве «крупного инцидента кибербезопасности», других подробностей и оценки потенциального ущерба власти США не раскрывают.
И вряд ли раскроют, но будем посмотреть.
AttackerKB
CVE-2024-12356 | AttackerKB
A critical vulnerability has been discovered in Privileged Remote Access (PRA) and Remote Support (RS) products which can allow an unauthenticated attacker to …
Valve удалила игру PirateFi с игровой платформы Steam после того, как в ней обнаружился вредоносный код для кражи cookie из браузера и захвата учетных записей.
По данным PCMag, 6 февраля разработчик Seaworth Interactive выпустил игру под названием PirateFi на платформе Steam в виде бета-версии.
На первый взгляд игра смахивала на популярные игры в жанре выживалок, но вскоре выяснилось, что в игре зашито вредоносное ПО.
Буквально через несколько дней после релиза геймеры после ее установки столкнулись со взломами своих аккаукнтов с помощью украденных cookie, а антивирусы помечали ее как Trojan.Win32.Lazzzy.gen.
Последовавшие в связи с этим жалобы в Valve привели к оперативному удалению игры из магазина и рассылке рекомендаций о необходимости перестановки своих операционок для устранения угрозы.
Безусловно, такое предупреждение вызвало неоднозначную реакцию в сообществе геймеров, многие из которых посетовали на заражение руткитом и раздули обсуждения на Reddit.
Ситуацию прояснили в SECUINFRA FALCON, идентифицировав по результатам динамического анализа и совпадениям сигнатур YARA образец в качестве Vidar stealer.
В одном случае С2 - opbafindi[.]com, в более позднем образце нашли другой - durimri[.]sbs.
Точное число жертв инцидента пока не установлено, но по оценкам SECUINFRA FALCON игру скачали 800-1500 пользователей.
По данным PCMag, 6 февраля разработчик Seaworth Interactive выпустил игру под названием PirateFi на платформе Steam в виде бета-версии.
На первый взгляд игра смахивала на популярные игры в жанре выживалок, но вскоре выяснилось, что в игре зашито вредоносное ПО.
Буквально через несколько дней после релиза геймеры после ее установки столкнулись со взломами своих аккаукнтов с помощью украденных cookie, а антивирусы помечали ее как Trojan.Win32.Lazzzy.gen.
Последовавшие в связи с этим жалобы в Valve привели к оперативному удалению игры из магазина и рассылке рекомендаций о необходимости перестановки своих операционок для устранения угрозы.
Безусловно, такое предупреждение вызвало неоднозначную реакцию в сообществе геймеров, многие из которых посетовали на заражение руткитом и раздули обсуждения на Reddit.
Ситуацию прояснили в SECUINFRA FALCON, идентифицировав по результатам динамического анализа и совпадениям сигнатур YARA образец в качестве Vidar stealer.
В одном случае С2 - opbafindi[.]com, в более позднем образце нашли другой - durimri[.]sbs.
Точное число жертв инцидента пока не установлено, но по оценкам SECUINFRA FALCON игру скачали 800-1500 пользователей.
PCMAG
Did You Download This Steam Game? Sorry, It's Windows Malware
The free-to-play game, PirateFi, infects users with malware that steals browser cookies, enabling the malware’s creator to hijack access to various online accounts.
Исследователи Brutecat обнаружили две уязвимости, при объединении которых злоумышленник может раскрыть адреса электронной почты аккаунтов YouTube.
Как оказалось, API YouTube и Pixel Recorder можно задействовать для извлечения идентификаторов Google Gaia пользователей, которые впоследствии позволяют их преобразовать в адреса электронной почты.
Первая часть цепочки атак, которую можно было эксплуатировать в течение нескольких месяцев, вскрылась после изучения API Google People, в котором функция «блокировки» в масштабах всей сети Google требует замаскированного идентификатора Gaia и отображаемого имени.
Gaia ID - это уникальный внутренний идентификатор, который Google использует для управления учетными записями в своей сети сайтов и служб.
При этом он используется только во внутреннем обмене данными между системами Google и не раскрывается публично.
Экспериментируя с функцией блокировки на YouTube, BruteCat обнаружили, что при попытке заблокировать кого-либо YouTube раскрывает замаскированный идентификатор Gaia целевого лица в ответе на запрос API /youtube/v1/live_chat/get_item_context_menu.
Ответ включал данные в кодировке base64, которые после декодирования содержали идентификатор Gaia целевого пользователя.
Причем простое нажатие на меню из трех точек в чате запускало фоновый запрос к API YouTube, позволяя получать доступ к идентификатору без необходимости блокировать.
Изменив вызов API, исследователи смогли извлекать идентификатор Gaia любого канала YouTube, включая те, которые пытались сохранить анонимность.
Затем BruteCat предстояло отыскать способы конвертации Gaia ID в адрес электронной почты.
Однако пользоволяющие это сделать API устарели или больше не работали, поэтому BruteCat прошерстлили все устаревшие сервисы гугла, которые потенциально все еще могут быть использованы злоумышленниками.
В ходе экспериментов исследователи выяснили, что Pixel Recorder имеет веб-API, который позволял преобразовывать идентификатор в адрес электронной почты при обмене записью.
Таким образом, после получения Gaia ID пользователя YouTube можно было задействовать функцию обмена данными Pixel Recorder, которая возвращала связанный с идентификатором адрес почты, что потенциально ставило под угрозу личность миллионов пользователей YouTube.
Исследователи сообщили об уязвимости в Google еще 24 сентября 2024 года, но окончательно она была исправлена лишь на прошлой неделе, 9 февраля 2025 года.
Дело в том, что Google изначально признала уязвимость дубликатом ранее отслеживаемой ошибки, назначив вознаграждение в размере $3133.
Однако после демонстрации дополнительного компонента цепочки атак в виде Pixel Recorder, в Google моментально переобулись, увеличили вознаграждение до $10633 и отметили высокую вероятность того, что ошибка может быть использована в реальных условиях.
К настоящему времени Google внесла все необходимые исправления и заверила об отсутствии каких-либо признаков активной эксплуатации этой уязвимости (а товарищу майору выдала новые инструкции по деанонимизаци интересующих аккаунтов).
Как оказалось, API YouTube и Pixel Recorder можно задействовать для извлечения идентификаторов Google Gaia пользователей, которые впоследствии позволяют их преобразовать в адреса электронной почты.
Первая часть цепочки атак, которую можно было эксплуатировать в течение нескольких месяцев, вскрылась после изучения API Google People, в котором функция «блокировки» в масштабах всей сети Google требует замаскированного идентификатора Gaia и отображаемого имени.
Gaia ID - это уникальный внутренний идентификатор, который Google использует для управления учетными записями в своей сети сайтов и служб.
При этом он используется только во внутреннем обмене данными между системами Google и не раскрывается публично.
Экспериментируя с функцией блокировки на YouTube, BruteCat обнаружили, что при попытке заблокировать кого-либо YouTube раскрывает замаскированный идентификатор Gaia целевого лица в ответе на запрос API /youtube/v1/live_chat/get_item_context_menu.
Ответ включал данные в кодировке base64, которые после декодирования содержали идентификатор Gaia целевого пользователя.
Причем простое нажатие на меню из трех точек в чате запускало фоновый запрос к API YouTube, позволяя получать доступ к идентификатору без необходимости блокировать.
Изменив вызов API, исследователи смогли извлекать идентификатор Gaia любого канала YouTube, включая те, которые пытались сохранить анонимность.
Затем BruteCat предстояло отыскать способы конвертации Gaia ID в адрес электронной почты.
Однако пользоволяющие это сделать API устарели или больше не работали, поэтому BruteCat прошерстлили все устаревшие сервисы гугла, которые потенциально все еще могут быть использованы злоумышленниками.
В ходе экспериментов исследователи выяснили, что Pixel Recorder имеет веб-API, который позволял преобразовывать идентификатор в адрес электронной почты при обмене записью.
Таким образом, после получения Gaia ID пользователя YouTube можно было задействовать функцию обмена данными Pixel Recorder, которая возвращала связанный с идентификатором адрес почты, что потенциально ставило под угрозу личность миллионов пользователей YouTube.
Исследователи сообщили об уязвимости в Google еще 24 сентября 2024 года, но окончательно она была исправлена лишь на прошлой неделе, 9 февраля 2025 года.
Дело в том, что Google изначально признала уязвимость дубликатом ранее отслеживаемой ошибки, назначив вознаграждение в размере $3133.
Однако после демонстрации дополнительного компонента цепочки атак в виде Pixel Recorder, в Google моментально переобулись, увеличили вознаграждение до $10633 и отметили высокую вероятность того, что ошибка может быть использована в реальных условиях.
К настоящему времени Google внесла все необходимые исправления и заверила об отсутствии каких-либо признаков активной эксплуатации этой уязвимости
brutecat.com
Leaking the email of any YouTube user for $10,000
What could've been the largest data breach in the world - an attack chain on Google services to leak the email address of any YouTube channel
У Palo Alto снова проблемы с PAN OS'ом
В среду компания опубликовала 10 новых рекомендаций по безопасности, информируя клиентов о новых и влиянии ранее известных уязвимостей на ее решения, включая потенциально серьезную уязвимость обхода аутентификации брандмауэра.
Наиболее важная CVE-2025-0108 описывается поставщиком как проблема PAN-OS’а, позволяющая неавторизованному злоумышленнику, имеющему сетевой доступ к интерфейсу управления целевого брандмауэра, обойти аутентификацию и вызвать определенные PHP-скрипты.
Palo Alto Networks поясняет, что вызов этих PHP-скриптов не обеспечивает удаленного выполнения кода, но может негативно повлиять на целостность и конфиденциальность PAN-OS’а.
Компания выпустила исправления для уязвимых версий PAN-OS’а, а также обходные пути и меры по смягчению последствий, отметив, что уязвимость значительно снижается, если доступ к интерфейсу управления разрешен только доверенным внутренним IP-адресам.
Palo Alto присвоила высокий уровень серьезности (CVSS 7,8) для проблемы PAN-OS’а, однако никаких доказательств ее реальной эксплуатации не обнаружено.
Исследователи Assetnote, обнаружившие CVE-2025-0108 при анализе двух других уязвимостей брандмауэра Palo Alto, которые использовались в реальных атаках, относят уязвимость к критичесой, поскольку она может привести к RCE в сочетании с другой проблемой PAN-OS’а.
В свою очередь, Searchlight Cyber, которая недавно приобрела Assetnote, также в среду раскрыла технические подробности уязвимости PAN-OS’а.
Кроме того, Palo Alto Networks сообщает об исправлении еще одной проблеме с PAN-OS’ом - CVE-2025-0110, которая также имеет высокий уровень серьезности и связана с внедрением команд, но для ее эксплуатации требуются права администратора.
Также опубликованы рекомендации по проблемам средней степени серьезности в агенте Cortex XDR (позволяет отключить агента) и Cortex XDR Broker (несанкционированный доступ), а также другим проблемам PAN-OS’а (чтение и удаление файлов).
По данным Palo Alto Networks, ни одна из уязвимостей, описанных в последнем пакете рекомендаций, не была использована в реальных условиях, включая проблемы с PAN-OS’ом.
В среду компания опубликовала 10 новых рекомендаций по безопасности, информируя клиентов о новых и влиянии ранее известных уязвимостей на ее решения, включая потенциально серьезную уязвимость обхода аутентификации брандмауэра.
Наиболее важная CVE-2025-0108 описывается поставщиком как проблема PAN-OS’а, позволяющая неавторизованному злоумышленнику, имеющему сетевой доступ к интерфейсу управления целевого брандмауэра, обойти аутентификацию и вызвать определенные PHP-скрипты.
Palo Alto Networks поясняет, что вызов этих PHP-скриптов не обеспечивает удаленного выполнения кода, но может негативно повлиять на целостность и конфиденциальность PAN-OS’а.
Компания выпустила исправления для уязвимых версий PAN-OS’а, а также обходные пути и меры по смягчению последствий, отметив, что уязвимость значительно снижается, если доступ к интерфейсу управления разрешен только доверенным внутренним IP-адресам.
Palo Alto присвоила высокий уровень серьезности (CVSS 7,8) для проблемы PAN-OS’а, однако никаких доказательств ее реальной эксплуатации не обнаружено.
Исследователи Assetnote, обнаружившие CVE-2025-0108 при анализе двух других уязвимостей брандмауэра Palo Alto, которые использовались в реальных атаках, относят уязвимость к критичесой, поскольку она может привести к RCE в сочетании с другой проблемой PAN-OS’а.
В свою очередь, Searchlight Cyber, которая недавно приобрела Assetnote, также в среду раскрыла технические подробности уязвимости PAN-OS’а.
Кроме того, Palo Alto Networks сообщает об исправлении еще одной проблеме с PAN-OS’ом - CVE-2025-0110, которая также имеет высокий уровень серьезности и связана с внедрением команд, но для ее эксплуатации требуются права администратора.
Также опубликованы рекомендации по проблемам средней степени серьезности в агенте Cortex XDR (позволяет отключить агента) и Cortex XDR Broker (несанкционированный доступ), а также другим проблемам PAN-OS’а (чтение и удаление файлов).
По данным Palo Alto Networks, ни одна из уязвимостей, описанных в последнем пакете рекомендаций, не была использована в реальных условиях, включая проблемы с PAN-OS’ом.
Palo Alto Networks Product Security Assurance
CVE-2025-0108 PAN-OS: Authentication Bypass in the Management Web Interface
An authentication bypass in the Palo Alto Networks PAN-OS software enables an unauthenticated attacker with network access to the management web interface to bypass the authentication otherwise requir...
This media is not supported in your browser
VIEW IN TELEGRAM
Когда молодой и перспективный CISO решил кардинально модернизировать систему кибербезопасности.
Сразу после сообщений о проблемах Palo Alto Networks с PAN-OS’ом возникли новые, связанные с начавшейся эксплуатацией.
Хакеры нацелились на межсетевые экраны Palo Alto Networks PAN-OS, задействуя недавно исправленную CVE-2025-0108, которая позволяет обойти аутентификацию.
Как ранее упоминалось, уязвимость получила высокую оценку и влияет на веб-интерфейс управления PAN-OS, а также позволяет неавторизованному злоумышленнику в сети обойти аутентификацию и вызвать определенные PHP-скрипты.
Проблема была обнаружена и сообщена Palo Alto Networks исследователями Assetnote, которые также опубликовали описание с полными техническими подробностями эксплуатации.
Они наглядно продемонстрировали, как уязвимость можно использовать для извлечения конфиденциальных системных данных, восстановления конфигураций брандмауэра или потенциального манипулирования определенными настройками в PAN-OS.
Представленный эксплойт использует путаницу путей между Nginx и Apache в PAN-OS, что позволяет обойти аутентификацию.
Злоумышленники, имеющие сетевой доступ к интерфейсу управления, могут воспользоваться этим для сбора развединформации для дальнейших атак или для ослабления защиты путем изменения доступных настроек.
В свою очередь, GreyNoise уже зафиксировала попытки эксплуатации, нацеленные на неисправленные брандмауэры PAN-OS.
Атаки стартовали 13 февраля в 17:00 UTC и, по-видимому, исходили с нескольких IP-адресов, что может указывать на участие в кампании сразу нескольких различных злоумышленников.
При этом для киберподполья есть и где развернуться, ведь в настоящее время более 4400 устройств PAN-OS раскрывают свой интерфейс управления в Интернете.
Учитывая наличие PoC и полного описания механизма эксплуатации кульминация проблем PAN-OS’а ожидается в ближайшие дни. Но будем посмотреть.
Хакеры нацелились на межсетевые экраны Palo Alto Networks PAN-OS, задействуя недавно исправленную CVE-2025-0108, которая позволяет обойти аутентификацию.
Как ранее упоминалось, уязвимость получила высокую оценку и влияет на веб-интерфейс управления PAN-OS, а также позволяет неавторизованному злоумышленнику в сети обойти аутентификацию и вызвать определенные PHP-скрипты.
Проблема была обнаружена и сообщена Palo Alto Networks исследователями Assetnote, которые также опубликовали описание с полными техническими подробностями эксплуатации.
Они наглядно продемонстрировали, как уязвимость можно использовать для извлечения конфиденциальных системных данных, восстановления конфигураций брандмауэра или потенциального манипулирования определенными настройками в PAN-OS.
Представленный эксплойт использует путаницу путей между Nginx и Apache в PAN-OS, что позволяет обойти аутентификацию.
Злоумышленники, имеющие сетевой доступ к интерфейсу управления, могут воспользоваться этим для сбора развединформации для дальнейших атак или для ослабления защиты путем изменения доступных настроек.
В свою очередь, GreyNoise уже зафиксировала попытки эксплуатации, нацеленные на неисправленные брандмауэры PAN-OS.
Атаки стартовали 13 февраля в 17:00 UTC и, по-видимому, исходили с нескольких IP-адресов, что может указывать на участие в кампании сразу нескольких различных злоумышленников.
При этом для киберподполья есть и где развернуться, ведь в настоящее время более 4400 устройств PAN-OS раскрывают свой интерфейс управления в Интернете.
Учитывая наличие PoC и полного описания механизма эксплуатации кульминация проблем PAN-OS’а ожидается в ближайшие дни. Но будем посмотреть.
www.assetnote.io
Nginx/Apache Path Confusion to Auth Bypass in PAN-OS (CVE-2025-0108)
Forwarded from Social Engineering
• За годы своего развития даркнет превратился в высокоорганизованный рынок киберпреступности, на котором и опытные злоумышленники, и новички могут найти всё, что нужно для проведения успешных кибератак. Теневые площадки живут по законам легальных рынков: привлекают пользователей с помощью маркетинговых инструментов, работают с лояльностью клиентов, обеспечивают безопасность сделок и своих ресурсов. Рынок перегрет, предложений много, но и спрос высокий. Злоумышленники готовы платить немалые деньги за товары и услуги, зная, что в случае успеха могут многократно окупить затраты.
• Недавно позитивы выкатили очень объемное исследование, в котором изучили стоимость предоставляемых товаров и услуг в даркнете, и первоначальные затраты преступников для проведения атаки. Кроме того, рассмотрели ключевые аспекты теневой экономики: экосистему даркнета, мотивацию его участников, принципы регулирования сделок, конкуренцию и способы привлечения клиентов.
• В общей сложности было проанализировано 40 источников, среди которых крупнейшие теневые площадки (форумы, маркетплейсы) и телеграм-каналы на разных языках с различной тематической направленностью. Рассмотрены более 20 000 сообщений, в которых обсуждались вредоносное ПО, уязвимости и эксплойты, доступы к корпоративным сетям и киберпреступные услуги: взлом ресурсов, перенаправление трафика, распространение ВПО, кардинг, инфраструктура и DDoS-атаки.
• Исследование будет полезно специалистам по информационной безопасности, аналитикам угроз (threat intelligence), а также организациям и частным лицам, интересующимися актуальным состоянием современного рынка киберпреступности.
• Погружение в «темную сеть»:
• Теневая экосистема:
• Теневой бизнес как зеркало легального мира:
• Оплата и валюты «в тени»:
• Экономика «в тени»:
• Стоимость атаки.
• Развитие теневого рынка:
• Что ожидать в будущем.
• Заключение.
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
Microsoft обнаружила новый вариант известного вредоносного ПО для macOS от Apple под названием XCSSET в ходе целевых атак.
Это первый известный вариант с 2022 года, новейшее вредоносное ПО XCSSET отличается улучшенными методами обфускации, обновленными механизмами сохранения и новыми стратегиями заражения.
Улучшенные функции дополняют ранее известные возможности этого семейства вредоносных ПО, такие как нацеливание на цифровые кошельки, сбор данных из приложения Notes и кража системной информации и файлов.
XCSSET - это сложная модульная вредоносная ПО для macOS, которая, как известно, атакует пользователей, заражая Apple Xcode.
Впервые она была задокументирована исследователями Trend Micro в августе 2020 года.
Было обнаружено, что последующие версии вредоносного ПО адаптируются для компрометации новых версий macOS, а также чипсетов Apple M1.
В середине 2021 года XCSSET был обновлен и реализовал функционал извлечения данных из различных приложений, включая Google Chrome, Telegram, Evernote, Opera, Skype, WeChat и других приложений Apple, таких как «Контакты» и «Заметки».
В отчете Jamf говорилось о способности вредоносного ПО использовать CVE-2021-30713, ошибку фреймворка Transparency, Consent, and Control (TCC), в качестве 0-day для создания скринов экрана рабочего стола жертвы без необходимости получения дополнительных разрешений.
Затем, год спустя, был обновлен, добавляя поддержку macOS Monterey.
На момент обнаружения происхождение вредоносного ПО оставалось неизвестным.
Последние результаты исследований Microsoft знаменуют собой первый серьезный пересмотр с 2022 года, в котором используются улучшенные методы обфускации и механизмы сохранения.
Другой новый способ настройки сохранения с помощью XCSSET заключается в загрузке подписанной утилиты dockutil с С2.
Новый вариант программы создает поддельное приложение Launchpad и заменяет легитимную запись пути Launchpad в доке поддельной.
Это гарантирует, что каждый раз, когда Launchpad запускается из дока, выполняются как легитимный Launchpad, так и вредоносная полезная нагрузка.
Это первый известный вариант с 2022 года, новейшее вредоносное ПО XCSSET отличается улучшенными методами обфускации, обновленными механизмами сохранения и новыми стратегиями заражения.
Улучшенные функции дополняют ранее известные возможности этого семейства вредоносных ПО, такие как нацеливание на цифровые кошельки, сбор данных из приложения Notes и кража системной информации и файлов.
XCSSET - это сложная модульная вредоносная ПО для macOS, которая, как известно, атакует пользователей, заражая Apple Xcode.
Впервые она была задокументирована исследователями Trend Micro в августе 2020 года.
Было обнаружено, что последующие версии вредоносного ПО адаптируются для компрометации новых версий macOS, а также чипсетов Apple M1.
В середине 2021 года XCSSET был обновлен и реализовал функционал извлечения данных из различных приложений, включая Google Chrome, Telegram, Evernote, Opera, Skype, WeChat и других приложений Apple, таких как «Контакты» и «Заметки».
В отчете Jamf говорилось о способности вредоносного ПО использовать CVE-2021-30713, ошибку фреймворка Transparency, Consent, and Control (TCC), в качестве 0-day для создания скринов экрана рабочего стола жертвы без необходимости получения дополнительных разрешений.
Затем, год спустя, был обновлен, добавляя поддержку macOS Monterey.
На момент обнаружения происхождение вредоносного ПО оставалось неизвестным.
Последние результаты исследований Microsoft знаменуют собой первый серьезный пересмотр с 2022 года, в котором используются улучшенные методы обфускации и механизмы сохранения.
Другой новый способ настройки сохранения с помощью XCSSET заключается в загрузке подписанной утилиты dockutil с С2.
Новый вариант программы создает поддельное приложение Launchpad и заменяет легитимную запись пути Launchpad в доке поддельной.
Это гарантирует, что каждый раз, когда Launchpad запускается из дока, выполняются как легитимный Launchpad, так и вредоносная полезная нагрузка.
The Hacker News
Apple Issues Patches to Combat Ongoing 0-Day Attacks on macOS, tvOS
Apple has released security updates for iOS, macOS, tvOS, watchOS, and Safari web browser to fix multiple vulnerabilities.
Новая вредоносная ПО под названием FinalDraft задействовала черновики писем в Outlook для передачи команд и управления в ходе атак на министерство в одной из стран Южной Америки.
Задетектить угрозу смогли исследователи Elastic Security Labs, раскрывая полный набор инструментов, включающий помимо бэкдора FinalDraft также специальный загрузчик вредоносного ПО PathLoader и несколько утилит на этапе постэксплуатации.
При этом скрытность связи реализовано благодаря злоупотреблению Outlook, что позволяет злоумышленникам осуществлять кражу данных, проксирование, внедрение процессов и горизонтальное перемещение, оставляя при этом минимально возможные следы.
Цепочка заражения начинается с того, что злоумышленник взламывает систему жертвы с помощью PathLoader - небольшого исполняемого файла, который запускает шелл-код, включающий вредоносную ПО FinalDraft, извлекаемую из инфраструктуры злоумышленника.
PathLoader обеспечивает защиту от статического анализа путем выполнения хеширования API и использования шифрования строк.
FinalDraft используется для эксфильтрации данных и внедрения процесса.
После загрузки конфигурации и генерации идентификатора сеанса вредоносная ПО устанавливает связь через API Microsoft Graph, отправляя и получая команды через черновики в электронной почте Outlook.
FinalDraft извлекает токен OAuth Microsoft, используя токен обновления, встроенный в его конфигурацию, и сохраняет его в реестре Windows для постоянного доступа.
Использование черновиков Outlook вместо отправки писем позволяет избежать обнаружения, смешиваясь с обычным трафиком Microsoft 365.
Команды от злоумышленника скрываются в черновиках (r_<session-id>), а ответы сохраняются в новых черновиках (p_<session-id>). После выполнения черновики команд удаляются, что затрудняет криминалистический анализ и делает обнаружение менее вероятным.
FinalDraft поддерживает в общей сложности 37 команд, в числе которых: кража данных, внедрение процесса (запуск полезных нагрузок в легитимных процессах, таких как mspaint.exe), атаки Pass-the-Hash, проксирование, операции с файлами и выполнение PowerShell (без запуска powershell.exe).
Elastic Security Labs также обнаружила версию FinalDraft для Linux, которая также может использовать Outlook через REST API и Graph API, а также HTTP/HTTPS, UDP и ICMP, TCP и обмен C2 на основе DNS.
Исследователи проанализировали кампанию, получившую название REF7707, в отдельном отчете, в котором описываются ряд ошибок opsec, которые по итогу привели к раскрытию злоумышленника.
REF7707 реализуется с целью кибершпионажа и направлена на структуры МИД в стране Южной Америки, однако анализ инфраструктуры выявил связи с жертвами из Юго-Восточной Азии, что позволяет предположить более масштабные контуры кампании.
В ходе расследования также был обнаружен еще один ранее недокументированный использовавшийся в атаках загрузчик вредоносного ПО, названный GuidLoader, который способен расшифровывать и выполнять полезные нагрузки в памяти.
Дальнейший анализ показал, что злоумышленник неоднократно атаковал крупные организации через скомпрометированные конечные точки операторов связи в Юго-Восточной Азии.
Кроме того, общедоступная система хранения данных университета Юго-Восточной Азии использовалась для размещения вредоносного ПО, что свидетельствует о предварительной компрометации или наличии плацдарма в цепочке поставок.
Правила YARA для Guidloader, PathLoader и FinalDraft, доступны в отчетах - 1 и 2.
Задетектить угрозу смогли исследователи Elastic Security Labs, раскрывая полный набор инструментов, включающий помимо бэкдора FinalDraft также специальный загрузчик вредоносного ПО PathLoader и несколько утилит на этапе постэксплуатации.
При этом скрытность связи реализовано благодаря злоупотреблению Outlook, что позволяет злоумышленникам осуществлять кражу данных, проксирование, внедрение процессов и горизонтальное перемещение, оставляя при этом минимально возможные следы.
Цепочка заражения начинается с того, что злоумышленник взламывает систему жертвы с помощью PathLoader - небольшого исполняемого файла, который запускает шелл-код, включающий вредоносную ПО FinalDraft, извлекаемую из инфраструктуры злоумышленника.
PathLoader обеспечивает защиту от статического анализа путем выполнения хеширования API и использования шифрования строк.
FinalDraft используется для эксфильтрации данных и внедрения процесса.
После загрузки конфигурации и генерации идентификатора сеанса вредоносная ПО устанавливает связь через API Microsoft Graph, отправляя и получая команды через черновики в электронной почте Outlook.
FinalDraft извлекает токен OAuth Microsoft, используя токен обновления, встроенный в его конфигурацию, и сохраняет его в реестре Windows для постоянного доступа.
Использование черновиков Outlook вместо отправки писем позволяет избежать обнаружения, смешиваясь с обычным трафиком Microsoft 365.
Команды от злоумышленника скрываются в черновиках (r_<session-id>), а ответы сохраняются в новых черновиках (p_<session-id>). После выполнения черновики команд удаляются, что затрудняет криминалистический анализ и делает обнаружение менее вероятным.
FinalDraft поддерживает в общей сложности 37 команд, в числе которых: кража данных, внедрение процесса (запуск полезных нагрузок в легитимных процессах, таких как mspaint.exe), атаки Pass-the-Hash, проксирование, операции с файлами и выполнение PowerShell (без запуска powershell.exe).
Elastic Security Labs также обнаружила версию FinalDraft для Linux, которая также может использовать Outlook через REST API и Graph API, а также HTTP/HTTPS, UDP и ICMP, TCP и обмен C2 на основе DNS.
Исследователи проанализировали кампанию, получившую название REF7707, в отдельном отчете, в котором описываются ряд ошибок opsec, которые по итогу привели к раскрытию злоумышленника.
REF7707 реализуется с целью кибершпионажа и направлена на структуры МИД в стране Южной Америки, однако анализ инфраструктуры выявил связи с жертвами из Юго-Восточной Азии, что позволяет предположить более масштабные контуры кампании.
В ходе расследования также был обнаружен еще один ранее недокументированный использовавшийся в атаках загрузчик вредоносного ПО, названный GuidLoader, который способен расшифровывать и выполнять полезные нагрузки в памяти.
Дальнейший анализ показал, что злоумышленник неоднократно атаковал крупные организации через скомпрометированные конечные точки операторов связи в Юго-Восточной Азии.
Кроме того, общедоступная система хранения данных университета Юго-Восточной Азии использовалась для размещения вредоносного ПО, что свидетельствует о предварительной компрометации или наличии плацдарма в цепочке поставок.
Правила YARA для Guidloader, PathLoader и FinalDraft, доступны в отчетах - 1 и 2.
www.elastic.co
You've Got Malware: FINALDRAFT Hides in Your Drafts — Elastic Security Labs
During a recent investigation (REF7707), Elastic Security Labs discovered new malware targeting a foreign ministry. The malware includes a custom loader and backdoor with many features including using Microsoft’s Graph API for C2 communications.
Malware analysis. Практический курс по анализу вредоносного ПО
👉 Для команд SOC, TI, DFIR
На курсе ты освоишь инструменты и техники, необходимые для анализа вредоносных ПО.
Ты научишься:
📎 проводить предварительный анализ образцов
📎 искать релевантную информацию о файлах через открытые сервисы и источники, а также в песочницах
📎 работать с дизассемблированным кодом в рамках статического анализа
📎 использовать отладчик для динамического анализа исполняемых файлов
📎 обходить техники, затрудняющие анализ вредоносного кода
📎 анализировать вредоносные документы
📎 писать YARA-правила
Авторы курса:
🔹Дмитрий Купин — руководитель отдела исследования киберугроз и вредоносного кода BI.ZОNE
🔹Семён Рогачев — руководитель отдела реагирования на инциденты в компании Бастион
🔹Даниил Григорян (rayhunt454) — автор канала "Threat Hunt", эксперт в DFIR и вирусном анализе, автор статей на Хакере
✅ Обмен опытом с коллегами и экспертами курса
Старт курса: 1 марта
👽 Смотри программу и записывайся
👉 Для команд SOC, TI, DFIR
На курсе ты освоишь инструменты и техники, необходимые для анализа вредоносных ПО.
Ты научишься:
📎 проводить предварительный анализ образцов
📎 искать релевантную информацию о файлах через открытые сервисы и источники, а также в песочницах
📎 работать с дизассемблированным кодом в рамках статического анализа
📎 использовать отладчик для динамического анализа исполняемых файлов
📎 обходить техники, затрудняющие анализ вредоносного кода
📎 анализировать вредоносные документы
📎 писать YARA-правила
Авторы курса:
🔹Дмитрий Купин — руководитель отдела исследования киберугроз и вредоносного кода BI.ZОNE
🔹Семён Рогачев — руководитель отдела реагирования на инциденты в компании Бастион
🔹Даниил Григорян (rayhunt454) — автор канала "Threat Hunt", эксперт в DFIR и вирусном анализе, автор статей на Хакере
✅ Обмен опытом с коллегами и экспертами курса
Старт курса: 1 марта
👽 Смотри программу и записывайся
Исследователи BI.ZONE продолжают отслеживать активность группы Bloody Wolf, которая в ходе последней замеченной кампании успешно скомпрометировала более 400 систем на территории Казахстана и России.
Причем если ранее злоумышленники использовали преимущественно вредоносное ПО STRRAT, то теперь перешли на легитимное средство удаленного администрирования NetSupport, стремясь минимизировать возможности обнаружения традиционными средствами защиты.
Кроме того, легитимные средства удаленного управления зачастую позволяют атакующим получить полный доступ к скомпрометированной системе, что дает им возможность осуществлять с ней любые манипуляции.
Напасть на след Bloody Wolf исследователям удалось в декабре 2024 года.
Как и прежде, злоумышленники распространяли в адрес компаний в Казахстане документы PDF, замаскированные под предупреждения об устранении нарушений, через фишинговые электронные письма.
Документы содержали фишинговые ссылки, по которым жертва должна была загрузить вредоносный файл - NCALayerUpdatedRU.jar, который выступал загрузчиком.
Он проверяет наличие папки %APPDATA%\NCALayerUpdated, при необходимости создает.
По ссылке hxxps://pastebin[.]com/raw/pruy96p1 получает список ссылок для загрузки компонентов ПО NetSupport, которые грузит в указанную папку.
Затем запускает загруженные update.bat и run.bat, отправляя в телеграм-чат имя скомпрометированной системы.
При этом первый файл осуществляет запуск клиента NetSupport в версии 11.42, а второй обеспечивает его персистентность в системе.
Ретроспективный анализ активности Bloody Wolf позволил также обнаружить кампанию, нацеленную на российские организации.
Как в случае с Казахстаном, злоумышленники задействовали фишинговые письма для распространения PDF-документов
В данной кампании документ PDF, содержащий фишинговые ссылки, был замаскирован под вынесенное решение о привлечении к ответственности за совершение налогового правонарушения.
Цепочка заражения аналогична за исключением наименований файлов, папок и ссылок.
IoC и примеры фишинговых писем - отчете.
Причем если ранее злоумышленники использовали преимущественно вредоносное ПО STRRAT, то теперь перешли на легитимное средство удаленного администрирования NetSupport, стремясь минимизировать возможности обнаружения традиционными средствами защиты.
Кроме того, легитимные средства удаленного управления зачастую позволяют атакующим получить полный доступ к скомпрометированной системе, что дает им возможность осуществлять с ней любые манипуляции.
Напасть на след Bloody Wolf исследователям удалось в декабре 2024 года.
Как и прежде, злоумышленники распространяли в адрес компаний в Казахстане документы PDF, замаскированные под предупреждения об устранении нарушений, через фишинговые электронные письма.
Документы содержали фишинговые ссылки, по которым жертва должна была загрузить вредоносный файл - NCALayerUpdatedRU.jar, который выступал загрузчиком.
Он проверяет наличие папки %APPDATA%\NCALayerUpdated, при необходимости создает.
По ссылке hxxps://pastebin[.]com/raw/pruy96p1 получает список ссылок для загрузки компонентов ПО NetSupport, которые грузит в указанную папку.
Затем запускает загруженные update.bat и run.bat, отправляя в телеграм-чат имя скомпрометированной системы.
При этом первый файл осуществляет запуск клиента NetSupport в версии 11.42, а второй обеспечивает его персистентность в системе.
Ретроспективный анализ активности Bloody Wolf позволил также обнаружить кампанию, нацеленную на российские организации.
Как в случае с Казахстаном, злоумышленники задействовали фишинговые письма для распространения PDF-документов
В данной кампании документ PDF, содержащий фишинговые ссылки, был замаскирован под вынесенное решение о привлечении к ответственности за совершение налогового правонарушения.
Цепочка заражения аналогична за исключением наименований файлов, папок и ссылок.
IoC и примеры фишинговых писем - отчете.
BI.ZONE
Эволюция Bloody Wolf: новые цели, новые средства атаки
Уже известный кластер сменил инструментарий: вместо вредоносного ПО злоумышленники стали применять легитимное средство удаленного администрирования
Cybernews раскрывает подробности масштабной утечки, в результате которой в сети оказались миллионы записей из латвийской системы Lietvaris, которая задействована правительством в работе по управлению документами граждан.
Традиционно огромные объемы общедоступных данных были обнаружены в ноябре прошлого года в незащищенном кластере Elasticsearch, который после анализа и обработки был приписан платформе Lietvaris.
Раскрытый экземпляр содержал ошеломляющие 25 миллионов записей, если учитывать, что население Латвии составляет не более двух миллионов человек.
Так что можно полагать, одной утечкой всю страну слили на 13 раз.
Утечка включала полные установочные данные на лиц, номера национальных удостоверений личности и адреса регистрации.
Исследователи связались с разработчиками Lietvaris из латвийской компании ZZ Dats, после чего обнаруженный сегмент был закрыт и начато внутреннее расследование для выяснения всех обстоятельств инцидента.
Конечно, пока нет никаких признаков того, что кто-либо из злоумышленников успел сдампить данные Lietvaris, но вероятность этого достаточно велика, ведь киберподполье не хуже исследователей шерстит глобальную сеть в поисках таких уязвимых серверов и конфиденциальных данных.
Но будем посмотреть.
Традиционно огромные объемы общедоступных данных были обнаружены в ноябре прошлого года в незащищенном кластере Elasticsearch, который после анализа и обработки был приписан платформе Lietvaris.
Раскрытый экземпляр содержал ошеломляющие 25 миллионов записей, если учитывать, что население Латвии составляет не более двух миллионов человек.
Так что можно полагать, одной утечкой всю страну слили на 13 раз.
Утечка включала полные установочные данные на лиц, номера национальных удостоверений личности и адреса регистрации.
Исследователи связались с разработчиками Lietvaris из латвийской компании ZZ Dats, после чего обнаруженный сегмент был закрыт и начато внутреннее расследование для выяснения всех обстоятельств инцидента.
Конечно, пока нет никаких признаков того, что кто-либо из злоумышленников успел сдампить данные Lietvaris, но вероятность этого достаточно велика, ведь киберподполье не хуже исследователей шерстит глобальную сеть в поисках таких уязвимых серверов и конфиденциальных данных.
Но будем посмотреть.
Cybernews
Document management system leak exposed 25M records
Document management platform leaked millions of records, exposing Latvian citizens' personal details.