Исследователи IOActive раскрыли новую уязвимость 20-ти летней давности AMD SinkClose, которая затрагивает несколько поколений процессоров EPYC, Ryzen и Threadripper.

Уязвимость позволяет злоумышленникам с привилегиями уровня ядра (Ring 0) получать привилегии Ring -2 и устанавливать вредоносное ПО, которое фактически необнаружиемо.

Ring -2 - это один из самых высоких уровней привилегий на компьютере, работающий над Ring -1 (используемым для гипервизоров и виртуализации ЦП) и Ring 0, которое является уровнем привилегий, используемым ядром ОС.

Уровень привилегий Ring -2 связан с функцией System Management Mode (SMM) современных ЦП. SMM занимается управлением питанием, аппаратным контролем, безопасностью и другими низкоуровневыми операциями, необходимыми для стабильности системы.

Благодаря высокому уровню привилегий SMM изолирован от ОС, что исключает возможность его легкого воздействия со стороны злоумышленников и вредоносного ПО.

Проблема отслеживается как CVE-2023-31315 и имеет высокую степень серьезности CVSS: 7,5. Полную информацию об атаке исследователи представили в докладе на DefCon.

При этом Sinkclose оставалась незамеченной на протяжении почти 20 лет, затронув широкий спектр моделей чипов AMD.

Причем SinkClose позволяет злоумышленникам с доступом на уровне ядра (Ring 0) изменять настройки режима управления системой (SMM), даже если включена его блокировка.

Ring -2 изолировано и невидимо для ОС и гипервизора, поэтому любые вредоносные изменения, внесенные на этом уровне, не могут быть обнаружены средствами безопасности, работающими в ОС.

Единственный способ обнаружить и удалить вредоносное ПО, установленное с помощью SinkClose, - это физическое подключение к процессорам с помощью инструмента, называемого программатором SPI Flash, и сканирование памяти на наличие вредоносного ПО.

В свою очередь, AMD сообщает , что уже выпустила исправления для своих настольных и мобильных процессоров EPYC и AMD Ryzen, а дополнительные исправления для встраиваемых процессоров появятся позже.

Доступ на уровне ядра является необходимым условием для проведения атаки Sinkclose. AMD отметила это в своем заявлении для Wired, подчеркнув сложность эксплуатации CVE-2023-31315 в реальных сценариях.

Однако по мнению IOActive, уязвимости на уровне ядра, хотя и не широко распространены, безусловно, не редкость в сложных атаках, что уже неоднократно фиксировалось в случае с BYOVD и эксплуатации нулей в Windows для повышения привилегий.

Учитывая это, Sinkclose может представлять серьезную угрозу для организаций, использующих системы на базе AMD, особенно со стороны APT и высококвалифицированных субъектов.

Лаборатория Касперского, не изменяя традициям, уже более шести лет продолжает готовить аналитику и делиться квартальными отчетами по APT для освещения ключевых событий и выводов, о которых точно должны знать в инфосек-сообществе.

В новом выпуске внимание сосредоточено на трендах, которые наблюдали исследователи ЛК во втором квартале 2024 года.

Главным событием этого квартала стал бэкдор утилиты сжатия XZ, интегрированной во многие популярные дистрибутивы Linux, в частности, использование социальной инженерии для получения постоянного доступа к среде разработки.

ToddyCat обзавелась новой версией PcExter 2.0, полностью переработанной и переписанной на .NET, реализующей возможность собирать данные самостоятельно, а также использовать улучшенный механизм поиска файлов. 

Развертыванием фреймворка QSC и задействование бэкдора GoClient удалось связать со средней уверенностью с субъектом угроз CloudComputating.

GOFFEE отошла от Owowa и PowerShell RCE-импланта VisualTaskel, продолжая проводить вторжения, используя PowerTaskel, предыдущую цепочку заражения на основе HTA, и добавив в арсенал новый загрузчик, замаскированный под легитимный документ и распространяемый по электронной почте.

Отмечен новый RAT с низким уровнем обнаружения под названием SalmonQT. Образец использовал REST API GitHub для приема инструкций и загрузки данных, тем самым выступая в качестве сервера C2. С низкой степенью уверенности приписывается CNC.

Gaza Cybergang скорректировала свои TTP и теперь в качестве средства для загрузки первоначального загрузчика IronWind полагается на setup_wm.exe, файл Windows Media Utility. Приманки также были изменены.

Mysterious Elephant продолжается совершенствовать свой арсенал, задействовав обновленные инструменты и инфраструктуру - в основном бэкдоры и загрузчики для минимизации обнаружения на ранних стадиях атак.

Атаки хактивистов также украсили ландшафт угроз в этом квартале. Не все эти атаки сосредоточены на зонах открытого конфликта, как показывают атаки на цели в Албании со стороны группы Homeland Justice.

Среди других интересных открытий - новый модульный вредоносный фреймворк Aniseed Vodka, более релевантные образцы DinodasRAT для Linux, новый субъект угроз CloudSorcerer, а также ранее неизвестная кампания, нацеленная на организации в России с использованием бэкдора Telemos.

В то время как некоторые TTP-атаки остаются прежними, включая активное использование социнженерии для проникновения в целевую организацию или компрометация отдельного устройства, другие обновились и расширили сферу своей деятельности.

На уязвимости ArtiPACKED в GitHub, подвергающей репозитории потенциальному захвату, остановимся подробнее.

Недавно обнаруженный вектор атаки в артефактах GitHub Actions, получивший название ArtiPACKED, может быть использован для получения доступа к облачным средам организаций.

Как выяснили исследователи Palo Alto Networks Unit 42, сочетание неправильных настроек и уязвимостей безопасности может привести к утечке токенов артефактов, как сторонних облачных сервисов, так и токенов GitHub, что сделает их доступными для чтения любому, имеющему доступ к репозиторию.

Это позволяет злоумышленникам, имеющим доступ к этим артефактам, потенциально скомпрометировать сервисы, к которым эти секреты предоставляют доступ.

В первую очередь, была обнаружена утечка токенов GitHub (например, GITHUB_TOKEN и ACTIONS_RUNTIME_TOKEN), которые могут не только предоставить злоумышленникам несанкционированный доступ к репозиториям, но и дать им возможность отравить исходный код и отправить его в производство через рабочие процессы CI/CD.

Артефакты в GitHub позволяют пользователям обмениваться данными между заданиями в рабочем процессе и сохранять эту информацию после ее завершения в течение 90 дней, включая сборки, файлы журналов, дампы ядра, тестовые результаты и пакеты развертывания.

Проблема заключается в том, что эти артефакты общедоступны для всех в случае проектов с открытым исходным кодом, что делает их ценным ресурсом для извлечения секретов, таких как токены доступа GitHub.

В частности, было установлено, что артефакты раскрывают недокументированную переменную среды ACTIONS_RUNTIME_TOKEN, срок действия которой составляет около шести часов, которую можно использовать для замены артефакта вредоносной версией до истечения срока ее действия.

Метод открывает окно RCE-атаки, когда разработчики напрямую загружают и запускают вредоносный артефакт или существует последующее задание рабочего процесса, настроенное на выполнение на основе ранее загруженных.

Хотя срок действия GITHUB_TOKEN истекает по завершении задания, улучшения, внесенные в функцию артефактов в версии 4, означают, позволяют использовать сценарии состояния гонки для кражи токена, загрузив артефакт во время выполнения рабочего процесса.

Украденный токен может быть впоследствии использован для отправки вредоносного кода в репозиторий путем создания новой ветки до того, как работа конвейера завершится и токен станет недействительным.

Однако эта атака основана на рабочем процессе, имеющем разрешение «contents: write».

Ряд репозиториев с открытым исходным кодом, связанных с Amazon Web Services (AWS), Google, Microsoft, Red Hat и Ubuntu, были признаны уязвимыми для атаки.

GitHub же, со своей стороны, классифицировала проблему как информационную, требуя, чтобы пользователи взяли на себя ответственность за защиту своих загруженных артефактов.

͏Банда вымогателей Rhysida нанесла удар по известному на западе новостному изданию The Washington Times.

Хакеры утверждают, что им удалось выкрасть конфиденциальные данные сотрудников, предлагая редакции в течение недели решить вопрос по выплате выкупа.

За свои скромные услуги по нейтрализации потенциальной утечки Rhysida просит 15 битков или около 300 000 долларов.

В свою очередь, The Washington Times пока не подтверждают взлом. Так что будем посмотреть, чем завершиться переговорный процесс.

Исследователи из Лаборатории Касперского выкатили отчет в отношении сложной кампании Tusk, нацеленной на пользователей Windows и macOS, связанной с распространением вредоносного ПО DanaBot и StealC и маскировкой под легитимные бренды.

Замеченный кластер активности организован русскоязычными хакерами и охватывает несколько как активных, так и неактивных подкампаний, реализующих начальный загрузчик на Dropbox, который отвечает за доставку дополнительных образцов вредоносного ПО, прежде всего, инфокрадов и клипперов.

Из 19 выявленных подкампаний в настоящее время активны только три.

Название Tusk обусловлено ссылкой на сленговый термин Mammoth, фигурирующий в записях журнала, связанных с первоначальным загрузчиком.

Кампании также примечательны применением различных фишинговых тактик, главной целью которых является кража личной и финансовой информацией, которая впоследствии реализуется в даркнете или используется для доступа к игровым аккаунтам и криптокошелькам.

Первая из трех подкампаний, известная как TidyMe, имитирует peerme[.]io с похожим сайтом, размещенным на tidyme[.]io (а также tidymeapp[.]io и tidyme[.]app), в рамках которой распространяется вредоносная ПО для Windows и macOS.

Загрузчик представляет собой приложение Electron, которое при запуске предлагает жертве ввести отображаемую CAPTCHA, после чего отображается основной интерфейс приложения, в то время как два дополнительных вредоносных файла скрытно загружаются и выполняются в фоновом режиме.

Оба вида вредоносной нагрузки, обнаруженные в ходе кампании, представляют собой Hijack Loader, которые в конечном итоге запускают штамм вредоносного ПО StealC, способного собирать широкий спектр информации.

Вторая подкампания - RuneOnlineWorld («runeonlineworld[.]io»), предполагает использование фейкового сайта, имитирующего многопользовательскую онлайн-игру под названием Rise Online World, для распространения аналогичного загрузчика, который прокладывает путь для DanaBot и StealC на взломанных хостах.

В ходе этой кампании через Hijack Loader также распространяется вредоносное ПО-клиппер на базе Go, предназначенное для мониторинга содержимого буфера обмена и подмены адресов криптокошельков для перехвата транзакций.

Завершает активные кампании Voico, которая выдает себя за умного переводчика YOUS (yous[.]ai) с вредоносным аналогом, получившим название voico[.]io, с целью распространения начального загрузчика, который после установки просит жертву заполнить регистрационную форму, содержащую ее учетные данные, а затем регистрирует информацию на консоли.

Окончательные полезные нагрузки демонстрируют такое же поведение, как и во второй подкампании, единственное отличие заключается в том, что вредоносная программа StealC, используемая в этом случае, взаимодействует с другим C2.

Все кампании демонстрируют умелое применение методов социнженерии, включая фишинг, в сочетании с многоступенчатыми механизмами доставки вредоносного ПО, что подчеркивает передовые возможности задействованных субъектов угроз.

Исследователи ESET сообщают о новой тактике фишинга, нацеленной на пользователей iOS и Android с помощью Progressive Web Applications (PWA) и WebAPK, имитирующих легальное банковское ПО для обхода средств защиты и хищения учетных данных.

Задействуемые Progressive Web Applications (PWA) представляют собой веб-сайты, объединенные в пакеты, которые выглядят как приложения, в то время как на Android использовались WebAPK, которые, по-видимому, устанавливаются из Google Play.

Созданные с использованием технологий веб-приложений, PWA могут работать на различных платформах и типах устройств и не требуют от пользователя разрешения на установку сторонних приложений.

В рамках наблюдаемых атак пользователям iOS предлагалось добавить PWA на заглавные экраны, в то время как пользователям Android приходилось подтверждать определенные всплывающие окна в браузере перед установкой приложения.

WebAPK, которые можно считать обновленными PWA, выглядят как обычные нативные приложения, и их установка не вызывает никаких предупреждений на устройствах Android, даже если пользователь не разрешил установку из сторонних источников.

Кроме того, на вкладках с информацией о приложениях будет указано, что приложения были загружены из Google Play.

Злоумышленники, стоящие за фишинговыми кампаниями, использовали автоматизированные голосовые вызовы, вредоносную рекламу в соцсетях и SMS для распространения ссылок на веб-сайты с размещенными мошенническими приложениями.

Открытие фишинговой ссылки на странице имитирует официальную страницу Google Play/Apple Store или официальный сайт целевого банковского ПО.

Затем пользователю предлагается установить новую версию приложения, что приводит к установке вредоносной ПО без отображения на устройстве какого-либо предупреждения безопасности.

После установки фишингового PWA или WebAPK значок добавляется на заглавный экран пользователя, а его открытие приведет непосредственно к фишинговой странице входа.

После установки жертвам предлагается ввести свои учетные данные интернет-банкинга для доступа к учетной записи через новое приложение. Вся представленная информация отправляется на серверы C2 злоумышленников.

По данным ESET, фишинговые атаки, вероятно, начались примерно в ноябре 2023 года, а серверы С2, собирающие информацию, начали работу в марте 2024 года. В некоторых случаях для сбора информации о пользователях использовался бот в Telegram.

Атаки были в основном направлены на пользователей в Чешской Республике, однако также были зафиксированы атаки, нацеленные на пользователей в Венгрии и Грузии.

На основе обнаруженной инфраструктуры C2 ESET полагает, что новую тактику использовали две разные группы угроз в своих фишинговых атаках.

Кроме того, ресерчеры предупреждают, что злоумышленники могут расширить свой арсенал за счет увеличения числа мимикрируемых приложений, поскольку их трудно отличить от легитимных.