Исследователи BI.ZONE сообщают о Bloody Wolf, которые задействуют в атаках коммерческое вредоносное STRRAT (или Strigoi Master), нацеливаясь на организаций в Казахстане.

Согласно молдавской и румынской мифологии Strigoi - это вампир, собственно этим и обусловлено наименование группы, которую назвали «кровавыми».

Эксперты BI.ZONE отслеживают активность кластера Bloody Wolf с конца 2023 года.

Злоумышленники рассылают фишинговые электронные письма, например от имени Министерства финансов республики.

В них вложены PDF‑документы, которые содержат ссылки на загрузку ВПО, используя редкие форматы файлов, например JAR, что позволяет эффективнее обходить средства защиты.

Для большей достоверности своей маскировки добавляют в текст фишингового вложения ссылку на сайт правительства Казахстана — там выложена инструкция по установке интерпретатора Java, который нужен для функционирования вредоносного ПО.

При этом программа, позволяющая злоумышленникам брать под контроль корпоративные компьютеры и красть закрытые данные, продается на теневых ресурсах за 80 долларов США.

Обходить сетевые средства защиты атакующим помогает также использование легитимных веб‑сервисов, например Pastebin, для обеспечения взаимодействия со скомпрометированной системой.

Описание наблюдаемой кампании, технические возможности STRRAT, а также индикаторы компрометации - в отчете BI.ZONE.

Исследователь Сомьяджит Дас открыл замечательную уязвимость в последней версии WhatsApp для Windows, позволяющую отправлять вложения Python и PHP, которые при этом выполняются без предупреждения при открытии получателем.

Для успешной атаки необходимо установить Python, что может ограничить круг целей разработчиками ПО, исследователями и опытными пользователями.

Найти проблему удалось, экспериментируя с различными типами файлов, которые можно прикреплять к чатам WhatsApp, чтобы проверить, пропускает ли приложение какие-либо из них, представляющие риск.

Выяснилось, что WhatsApp блокирует несколько типов файлов (EXE, COM, SCR, BAT, Perl, DLL, HTA и VBS).

Однако Дас обнаружил три типа файлов, запуск которых клиент WhatsApp не блокирует: PYZ (приложение Python ZIP), PYZW (программа PyInstaller) и EVTX (файл журнала событий Windows).

Дергая независимые тесты подтвердили, что WhatsApp не блокирует выполнение файлов Python, и обнаружили, что то же самое происходит и со скриптами PHP. При открытии скрипт выполняется.

Для всех других типов возникает ошибка при попытке запуска непосредственно из приложения с нажатием «Открыть». Выполнение возможно только после предварительного сохранения на диск.

Дас уведомил о проблеме Meta (признана экстремистской) 3 июня. 15 июля ему ответили, что о проблеме уже сообщил другой исследователь.

Затем в компании закрыли проблему как N/A и вовсе не планируют ничего исправлять.

По всей видимости, наверху пока не согласовали. Так что будем посмотреть.

͏Новый лот замечен на просторах киберподполья. На этот раз продается LPE 0-day в ядре Linux kernel. По утверждениям селлера, он затрагивает ядра 6.8.12 по 6.8.8 и доступен по цене в $169,000.

🗞 Эксплойты и уязвимости в первом квартале 2024 года.

• Новый отчет от экспертов Лаборатории Касперского, который содержит статистику по уязвимостям и эксплойтам, основные тренды и разбор интересных уязвимостей, обнаруженных в первом квартале 2024 года:

- Статистика по зарегистрированным уязвимостям;
- Статистика по эксплуатации уязвимостей;
- Эксплуатация уязвимостей в Windows и Linux;
- Статистика по публичным эксплойтам;
- Самые распространенные эксплойты;
- Использование уязвимостей в APT-атаках;
- Интересные уязвимости первого квартала 2024 года;
- CVE-2024-3094 (XZ);
- CVE-2024-20656 (Visual Studio);
- CVE-2024-21626 (runc);
- CVE-2024-1708 (ScreenConnect);
- CVE-2024-21412 (Windows Defender);
- CVE-2024-27198 (TeamCity);
- CVE-2023-38831 (WinRAR).

#Отчет

📦 ОС на любой вкус и под любую потребность.

• Очень полезный ресурс, в котором собрано огромное кол-во виртуальных машин для VirtualBox и VMware. Всё просто: зашли - скачали - установили - сэкономили кучу времени - profit.

➖ https://www.osboxes.org/virtualbox-images/
➖ https://www.osboxes.org/vmware-images/

#ВМ

Группа исследователей из Технического университета Граца представили новую атаку на кросс-кэш ядра Linux версий 5.9 и 6.2 под названием SLUBStick с использованием девяти существующих CVE как в 32-разрядных, так и в 64-разрядных системах.

В 99% она преобразует ограниченную уязвимость кучи в произвольную возможность чтения и записи памяти, что позволяет исследователям повышать привилегии или выходить из контейнеров.

Кроме того, атака работала при включенных всех современных защитах ядра, таких как Supervisor Mode Execution Prevention (SMEP), Supervisor Mode Access Prevention (SMAP) и Kernel Address Space Layout Randomization (KASLR).

Одним из способов эффективного и безопасного управления памятью ядром Linux является выделение и освобождение фрагментов памяти, называемых slabs, для различных типов структур данных.

Недостатки в этом процессе управления памятью могут позволить злоумышленникам повреждать или манипулировать структурами данных, что называется атаками кросс-кэша.

Однако они эффективны примерно в 40% случаев и обычно рано или поздно приводят к сбоям системы.

SLUBStick реализует уязвимость кучи, такую как двойное освобождение, освобождение пользователем памяти после ее освобождения или запись за пределами выделенного пространства, для манипулирования процессом выделения памяти.

Затем он использует побочный канал синхронизации для определения точного момента выделения/освобождения фрагмента памяти, что позволяет злоумышленнику прогнозировать и контролировать повторное использование памяти.

Использование такой временной информации повышает успешность эксплуатации перекрестных изменений до 99%, что делает SLUBStick очень практичным.

Как и большинство атак с использованием побочного канала, SLUBStick требует локального доступа к целевой машине с возможностями выполнения кода.

Кроме того, атака требует наличия уязвимости кучи в ядре Linux, которая затем будет использоваться для получения доступа к чтению и записи в память.

Хотя это может сделать атаку непрактичной, она дает злоумышленникам определенные преимущества в сложной цепочки атак: EoP, обход защиты ядра, побег из контейнера, поддержание устойчивости на этапе постэксплуатации.

SLUBStick будет подробно анонсирована на предстоящей конференции Usenix Security Symposium в конце этого месяца с демонстрацией повышения привилегий и выхода из контейнера в новейшей версии Linux с включенными передовыми защитами.

Тем не менее уже доступен технический документ со всеми подробностями атаки и возможными сценариями ее эксплуатации.

Эксплойты для SLUBStick также доступны в репозитории на GitHub.