Исследователи из JFrog раскрыли атака на цепочку поставок Revival Hijack, может быть использована для захвата 22 000 существующих пакетов PyPI и привести к сотням тысяч загрузок вредоносных пакетов.

Злоумышленники в ходе Revival Hijack регистрируют новые проекты PyPi, используя имена ранее удаленных пакетов для проведения атак на цепочку поставок и доставляя вредоносный код разработчикам, извлекающим обновления.

Разработчики, решившие удалить проект из PyPI, получают только предупреждение о возможных последствиях, включая сценарий атаки Revival Hijack, поскольку имя проекта после этого достаточно быстро станет доступным любому другому пользователю PyPI.

Захвативший имя пользователь сможет выпускать новые версии под прежним названием проекта, если имена файлов дистрибутива не будут совпадать с именами файлов из ранее выпущенного дистрибутива.

По данным исследователей JFrog, к настоящему времени на PyPI более 22 000 удаленных пакетов, уязвимых для атаки Revival Hijack, и некоторые из них довольно популярны.

Исследователи утверждают, что среднемесячное количество удаленных пакетов на PyPI в среднем составляет 309, что указывает на постоянный поток новых возможностей для злоумышленников.

В середине апреля JFrog обнаружили, обнаружили, что Revival Hijack уже использовался в реальных условиях, когда злоумышленник нацелился на pingdomv3 - реализацию службы мониторинга веб-сайтов Pingdom API.

Пакет был удален 30 марта, а новый разработчик перехватил имя и в тот же день опубликовал обновление, указав, что злоумышленники знали о проблеме.

В последующем обновлении пакет включал троян Python, который был замаскирован с помощью Base64 и нацелен на среды Jenkins CI/CD.

Исследователи JFrog приняли меры для снижения риска атак Revival Hijack, создав новые проекты Python с именами наиболее популярных уже удаленных пакетов.

JFrog поясняет, что PyPI ведет закрытый черный список, который реализует запрет на регистрацию определенных имен в новых проектах, однако большинство удаленных пакетов не попадают в этот список.

Это побудило исследователей предпринять меры для смягчения угрозы Revival Hijack, зарегистриров наиболее популярные из удаленных/уязвимых пакетов под учетной записью с именем security_holding и изменив номера версий на 0.0.0.1.

Примечательно, что три месяца спустя пакеты в репозитории имели около 200 000 загрузок из-за автоматизированных скриптов и пользовательских опечаток.

Исследователи McAfee обнаружили новый тип мобильного ПО SpyAgent для Android, реализующую технологию оптического распознавания символов OCR для кражи фраз мнемонических ключей из изображений на устройстве.

Мнемонический ключ — это, по сути, фраза из 12-24 слов, которая обеспечивает восстановление доступа к криптокошельку в качестве резервного ключа.

Такие секретные фразы являются крайне востребованной целью для злоумышленников, поскольку получение к ним доступа позволит им завладеть как кошельком, так и средствами на нем.

Поскольку такой ключ трудно запомнить, его часто скриншотят и хранят в изображениях на мобильном устройстве, нежели чем отдельно выписанную фразу на бумажке в безопасном месте.

Замеченная McAfee вредоносная кампания затронула как минимум 280 APK, распространяемых за пределами Google Play с помощью SMS или вредоносных сообщений в социальных сетях.

Некоторые из заряженных приложений для Android выдают себя за государственные сервисы, сайты знакомств и порноресурсы.

Основной таргет пришелся на Южную Корею, но McAfee заметила планвное расширение географии атака в сторону Великобритании.

При этом выявлены также и признаки того, что версия для iOS находится на стадии разработки.

После заражения нового устройства SpyAgent начинает отправлять на свой C2 следующую конфиденциальную информацию: список контактов (для дальнейшего распространения), входящие SMS с OTP, пригодные для OCR изображения, а также общую информацию об устройстве.

SpyAgent также способна получать команды с C2 для изменения настроек звука или отправки SMS-сообщений, которые, вероятно, используются для рассылки фишинговых текстов с целью распространения вредоносного ПО.

Как удалось выяснить McAfee, операторы SpyAgent особо не соблюдали надлежащие меры безопасности при настройке своих серверов, что позволило исследователям получить к ним доступ.

Изучив панель администратора, а также украшенные файлы и данные, McAfee смогли идентифицировать ряд жертв вредоносного ПО, одной из которых оказалось устройство Apple iPhone c iOS 15.8.2 с системным языком, установленным на упрощенный китайский («zh»).

При этом если изначально вредоносное ПО взаимодействовало со своим C2 посредством простых HTTP-запросов, то последняя версия использует соединения WebSocket.

Украденные изображения обрабатываются и сканируются с помощью OCR на стороне сервера, а затем соответствующим образом организуются на панели администратора, что обеспечивает оперативность использования в атаках.

Следует отметить, что технология OCR не нова в киберподполье, в июле 2023 Trend Micro находила два семейства вредоносных ПО для Android под названием CherryBlos и FakeTrade, распространявшихся через Google Play.

Так что можно смело констатировать, что такая тактика начинает набирать популярность.

Исследователи из Dr.Web расчехлили гигантскую ботсеть, включающую более 1,3 миллиона телевизионных приставок Android TV в более чем 200 странах.

Наибольшее число зараженных устройств было обнаружено в России, Бразилии, Марокко, Пакистане, Саудовской Аравии, Аргентине, Эквадоре, Тунисе, Малайзии, Алжире и Индонезии.

Причем на Бразилию приходится треть всех текущих заражений.

Устройства были заражены новым бэкдором под названием Vo1d, нацеленным на Android Open Source Project (AOSP), обеспечив таинственному злоумышленнику полный контроль над устройствами.

Исследователям Dr.Web пока не удалось определить, каким образом произошли заражения заражены, но было установлено несколько случаев, когда взломанные приставки сообщали неверные версии ОС Android.

По всей видимости, производители бюджетных устройств нередко используют старые версии ОС, выдавая их за более современные, чтобы сделать продукцию более привлекательной среди потребителей.

Теоретически это могло бы объяснить, как именно были заражены устройства: операторы Vo1d могли задействовать устаревшие уязвимости Android, поскольку на приставках в реальности не были установлены соответствующие исправления.

В зависимости от версии вредоносного ПО Vo1d изменяет install-recovery.sh, daemonsu или заменяет debuggerdфайлы операционной системы, которых представляют собой скрипты запуска в Android.

Вредоносная ПО использует эти скрипты для сохранения и запуска Vo1d при загрузке.

Сама вредоносная ПО при этом размещается в файлах wdи vo1d, в честь которых она и названа.

Основная функциональность Vo1d скрыта в его компонентах vo1d (Android.Vo1d.1) и wd (Android.Vo1d.3), которые работают в тандеме.

Модуль Android.Vo1d.1 отвечает за запуск Android.Vo1d.3 и контролирует активность, перезапуская его процесс при необходимости.

Кроме того, он может загружать и запускать исполняемые файлы по команде С2.

В свою очередь, Android.Vo1d.3 устанавливает и запускает демон Android.Vo1d.5, который зашифрован и хранится в его теле.

Этот модуль также может загружать и запускать исполняемые файлы. Более того, он отслеживает указанные каталоги и устанавливает файлы APK, которые он в них находит.

Тактические цели боднет пока неясны, вероятно, это может быть DDoS или мошенничество с рекламными кликами.

Или же Vo1d все еще находится в стадии разработки, и дополнительный функционал будет добавлен позже.

Список IOC для вредоносной кампании Vo1d можно найти на странице Dr. Web на GitHub.

Продолжаем отслеживать трендовые уязвимости и отраслевые проблемы.

1. Ivanti, как и предполагалось, столкнулась с экаплатацией недавно исправленной уязвимости в Cloud Service Appliance (CSA). CVE-2024-8190 представляет собой уязвимость внедрения команд ОС, которую компания исправила на прошлой неделе.

Уязвимость затрагивает версии Ivanti CSA с истекшим сроком эксплуатации.

Компания просит клиентов перейти на более новую версию ПО, чтобы избежать продолжающихся атак.

2. Horizon3 опубликовала анализ исправления для CVE-2024-29847, уязвимости RCE в Ivanti Endpoint Manager, исправленной на прошлой неделе.

Так что и тут стоит ожидать эксплуатации.

3. Apple выпустила исправление для Vision Pro после того, как Исследователи из Университета Флориды и Техасского технологического университета показали, как злоумышленник может получить введенные пароли, просто взглянув на клавиши.

Метод атаки получил название GAZEploit и его можно использовать для определения того, что печатает пользователь Vision Pro, путем отслеживания движения глаз.

Атака была протестирована на 30 пользователях и показала значительную точность.

Apple отслеживает уязвимость как CVE-2024-40865  и исправила ее с выпуском visionOS 1.3.

Рекомендация по безопасности для visionOS 1.3 была опубликована в конце июля, но 5 сентября Apple обновила ее, включив CVE-2024-40865. 

4. Еще по Apple: компания в iOS 18 расширяет функцию блокировки активации на основные аппаратные компоненты iPhone, такие как камеры, аккумуляторы и дисплеи.

Помимо плюсов блокировка активации сулит сложности в ремонте устройств для частных мастерских.

5. Исследователь Габор Легради обнаружил критическую уязвимость в фреймворке Spring Java.

CVE-2024-38816 позволяет получить доступ к любому файлу внутри приложения, созданного с использованием фреймворка.

Атаки могут осуществляться удаленно через Интернет с использованием вредоносных HTTP-запросов. На прошлой неделе VMware выпустила исправления для устранения этой проблемы.

6. Микко Кенттяля выкатил отчет в отношении серии ошибок, найденных два года назад, которые могли быть использованы для Zero Click атак на среды календаря macOS. Все исправлены в период с 2022 по сентябрь 2023 года.

7. В Positive Technologies продолжают рассказывать про самые опасные уязвимости. В августе выделены следующие:

- RCE-уязвимость в компоненте Windows Remote Desktop Licensing Service, получившая название MadLicense (CVE-2024-38077);

- уязвимость обхода Mark of the Web в Windows, приводящая к возможности запуска вредоносных файлов (CVE-2024-38213);

- EoP-уязвимости в ядре Windows (CVE-2024-38106), драйвере Ancillary Function (CVE-2024-38193) и компоненте Power Dependency Coordinator (CVE-2024-38107);

- EoP-уязвимости без аутентификации в плагине LiteSpeed Cache для WordPress CMS (CVE-2024-28000).