Пожалуй, начнем неделю с обзора исследований по уязвимостям, подробно останавливаться на каждой смысла особого нет, но ссылочки для более детального изучения оставим.

Исследователи Horizon3 опубликовали отчет по двум критическим уязвимостям в системе GPS-отслеживания с открытым исходным кодом Traccar.

CVE-2024-24809 (CVSS: 8,5) и CVE-2024-31214 (CVSS: 9,7) потенциально могут быть использованы неавторизованными злоумышленниками для RCE при определенных обстоятельствах.

Конечный результат - возможность произвольного размещения файлов в системе.

Кроме того, Horizon3 представила подробное описание уязвимости в трех приложениях Python, которые могут быть использованы для кражи учетных данных NTLM.

Исследователи Traceable обнаружили незащищенный API в Honeywell BEDQ, используемой сотрудниками и партнерами.

По данным исследователей, использованная ошибка позволила им получить полный контроль над всей системой.

DEVCORE выкатили первую часть исследования в отношении проблем безопасности в Microsoft Kernel Streaming Service (MSKSRV).

Авторы обращают внимание на упущенную из виду поверхность атаки, которая позволила найти более десяти уязвимостей за 2 месяца.

Zoho выпустила обновление для исправления RCE-уязвимости в пользовательском интерфейсе ManageEngine OpManager.

SonicWall исправила уязвимость ненадлежащего контроля доступа в SonicOS.

Ошибка могла привести к несанкционированному доступу к ресурсам брандмауэра или могла привести к сбою устройства.

Исследователи Cymulate представили описание уязвимости в Microsoft Entra ID (ранее Azure AD), потенциально допускающей несанкционированный доступ.

Однако для ее эксплуатации необходимы привилегии локального администратора. Microsoft планирует устранить эту проблему, но без особой спешки.

Prompt Armor раскрыла метод атаки, который включает в себя злоупотребление Slack AI для извлечения данных из частных каналов

В ряде случаев злоумышленнику нужен доступ к среде Slack целевого объекта, но некоторые недавно представленные функции могут позволить проводить атаки и без него.

В Python Pip Pandas v2.2.2 нашли уязвимость произвольного чтения файлов. PoC также в наличии.

Исследователи из Лаборатории Касперского сообщают об обнаружении macOS-версии бэкдора HZ Rat, нацеленного на пользователей китайских приложений DingTalk и WeChat.

При этом замеченный артефакты практически в точности повторяют функционал Windows-версии бэкдора и различаются лишь полезной нагрузкой, которая доставляется в виде shell-скриптов с сервера злоумышленников

HZ RAT был впервые задокументирован немецкой DCSO в ноябре 2022 года и распространялся через zip-архивы или вредоносные RTF, предположительно созданные с использованием Royal Road RTF Weaponizer.

Цепочки атак с использованием RTF-документов разработаны для развертывания версии вредоносного ПО для Windows, которая выполняется на скомпрометированном хосте благодаря давней CVE-2017-11882 в Microsoft Office.

Другой метод распространения задействует установщик легального ПО OpenVPN, PuTTYgen или EasyConnect, который, помимо фактической установки программы-приманки, также выполняет сценарий Visual Basic (VBS), отвечающий за запуск RAT.

Функциональность HZ RAT довольно проста.

После подключения к C2 реализуются дальнейшие инструкции, включая выполнение команд и скриптов PowerShell, запись и отправка файлов, проверка доступности жертвы.

Учитывая ограниченную функциональность инструмента, есть предположение, что вредоносное ПО в основном используется для сбора учетных данных и разведки систем.

Факты свидетельствуют о том, что первые версии вредоносного ПО были обнаружены еще в июне 2020 года.

По данным DCSO, сама кампания активизировалась как минимум с октября 2020 года.

Последний образец, обнаруженный Лабораторией Касперского, был загружен на VirusTotal в июле 2023 года, выдавая себя за OpenVPN Connect (OpenVPNConnect.pkg), который при запуске устанавливает связь с C2 в соответствии со списком из указанных в бэкдоре IP-адресов.

Для общения с C2 используется XOR-шифрование с ключом 0x42.

Бэкдор поддерживает всего четыре основные команды, как в версии для Windows.

В рамках исследования удалось получить с управляющего сервера shell-команды, направленные на сбор следующих данных о жертве: статус System Integrity Protection (SIP), информации о системе и устройстве, список приложений, информация по WeChat и DingTalk, а также креды из менеджера паролей Google.

Дальнейший анализ инфраструктуры атаки показал, что почти все C2 расположены в Китае, за исключением двух, которые находятся в США и Нидерландах.

Кроме того, сообщается, что ZIP-архив, содержащий установочный пакет OpenVPNConnect.zip, ранее был загружен с домена, принадлежащего китайскому разработчику видеоигр miHoYo, известному по Genshin Impact и Honkai.

В настоящее время неясно, как файл был загружен на домен, о котором идет речь ("vpn.mihoyo[.]com"), и был ли сервер скомпрометирован в какой-то момент в прошлом.

Также неясно, насколько широко распространена кампания, но последняя найденная версия HZ Rat для macOS показывает, что злоумышленники, стоявшие за предыдущими атаками, все еще активны.

BI.ZONE раскрывает новую хакерскую группу Stone Wolf, которая использует коммерческий инфостиллер Meduza для атак на российские организации.

Злоумышленники рассылают фишинговые письма от лица легитимной организации, занимающейся промышленной автоматизацией с целью доставки в корпоративные инфраструктуры Meduza.

Использование известных брендов для фишинговых рассылок - это широко распространенный ход со стороны атакующих.

Причем чем известнее и успешнее компания, тем охотнее злоумышленники используют ее айдентику, ведь это значимо повышает доверие со стороны жертвы, подталкивая открыть письмо.

Бизоны также отмечают, что атакующие продолжают расширять арсенал коммерческим ВПО, что в очередной раз подчеркивает важность регулярного мониторинга теневых ресурсов.

В рамках обнаруженной кампании Stone Wolf распространял архив с именем Dostavka_Promautomatic.zip с тремя файлами под капотом: цифровая подпись (p7s), легитимный документ-приманка (docx), и вредоносная ссылка, замаскированная под PDF-документ (Scan_127-05_24_dostavka_13.05.2024.pdf.url).

После активации вредоносной ссылки происходило обращение к находящемуся на удаленном SMB-сервере файлу для загрузки и запуска, доставляя в конечном итоге - Meduza Stealer.

Стиллер был замечен в киберпольполье в июне 2023 года по цене 199 долларов за месячную подписку (399 долларов - за три месяца) и 1199 долларов - за бессрочную лицензию.

В марте 2024 года стали доступны дополнительные возможности: приобретение загрузчика (вероятно, In2al5d P3in4er), а также выделенного сервера с выбором параметров количества ядер, оперативной памяти и места на диске.

При покупке предоставляется билдер, а также веб‑панель, в которой можно отслеживать собранные данные с устройств жертв.

В исполняемый файл, по заверениям разработчиков, встроен модуль, ограничивающий возможность реализации атак на территории СНГ. В исследуемом образце такая проверка отсутствует.

Стилер собирает системную информацию: версию ОС, имя устройства, время, информацию о процессоре, оперативной памяти и графическом адаптере, разрешении экрана и внешнем IP устройства через обращение к https://api.ipify[.]org.

Кроме того, обладает функционалом для кражи учетных данных из Outlook, браузеров, криптокошельков, сессии Telegram и Steam, токенов Discord, менеджеров паролей, данных из Windows Credential Manager и Windows Vault, а также считывания список активных процессов и установленных приложений.

Собранные данные отправляются на управляющий сервер по протоколу TCP. Если ВПО не может подключиться к С2, работа программы завершается.

Подробности атак, IOCs и MITRE ATT&CK - в отчете.

🏰 DevSecOps Security Architecture.

• Honeypot Network and Services in DevSecOps Security Architecture;
• Flume log collection;
• Kafka Knowledge System;
• Zookeeper Knowledge System;
• ElastAlert ES Alarm Tool;
• Elastic Knowledge System;
• Real IP address Detection;
• Nginx configuration log format;
• Container security tools;
• osquery operating system detection and analysis;
• jumpserver open source bastion server;
• wazuh Host Intrusion Detection System;
• Bro Network Security Monitoring;
• GitHub Information Leak Monitoring;
• Application layer denial of service attacks;
• Slowloris;
• Resources.

#DevSecOps

Продолжаем следить за уязвимостями и на 3 сентября ситуация выглядит следующим образом.

Двое исследователей из Тель-Авивского университета опубликовали подробности о новой атаке, которая задействует устаревшие криптографические алгоритмы для атаки на протокол Windows Kerberos. PoC также имеется.

ZDI раскрыла подробное описание CVE-2024-37079, критической ошибки в VMWare vCenter, исправленной июне этого года.

Удаленный, неаутентифицированный злоумышленник может воспользоваться этой уязвимостью, отправив специально созданный пакет DCERPC на целевой сервер.

Успешная эксплуатация может привести к переполнению буфера кучи, что может привести к выполнению произвольного кода в контексте уязвимой службы.

Patchstack обнаружила уязвимость SQL-инъекции в плагине Wishlist для WooCommerce, который используется более чем на 100 000 сайтах.

Исследователь, известный как Hypr, выкатил описание четырех различных способов эксплуатации CVE-2024-20017, уязвимости RCE в службе MediaTek WLAN, первоначально исправленной еще в марте 2024.

Исследователь Дивьяншу представил подробный анализ EoP-уязвимости CVE-2023-29360 в службе потоковой передачи Windows, которая эксплуатировалась в дикой природе и была исправлена в июне прошлого года.

Михаил Жмайло из CICADA8 опубликовал исследование, в котором рассматриваются различные уязвимости в формате файлов Microsoft MSI.

Microsoft обнаружила атаки с использованием комбинации нулей в Chrome и Windows, нацеленные на представителей криптосообщества.

Злоумышленники использовали уязвимость нулевого дня Chrome для запуска вредоносного кода и выхода из браузера, а затем в Windows - для повышения привилегий и развертывания руткита FudModule.

Обе 0-day были исправлены в начале августа.

Исследователи связали кампанию с северокорейской APT, которую компания отслеживает как Citrine Sleet.