Forwarded from SecAtor
Исследователи F6 обнаружили новую вредоносную версию легитимного приложения NFCGate для атак на клиентов банков.
Главное отличие: вместо перехвата NFC-данных карты жертвы злоумышленники создают на его устройстве клон собственной карты.
Предпринимая попытки зачислить на свой счёт через банкомат, вся сумма отправляется на карту дропа.
Аналитики F6 отмечают стремительное развитие вредоносного софта, способного через NFC-модули дистанционно перехватывать и передавать данные банковских карт.
Первая атака с применением NFCGate в России произошла в августе 2024 года, а уже по итогам первого квартала 2025 года общий ущерб от использования вредоносных версий этого софта составил 432 млн рублей.
Каждый день с января по март преступники совершали в среднем по 40 успешных атак.
Средняя сумма ущерба от действий злоумышленников, использующих NFCGate, составила 120 тыс. рублей.
В феврале 2025 года F6 зафиксировала появление принципиально новой сборки NFCGate, которая используется в т.н. «обратной» схеме.
Разработчики вредоносного ПО адаптировали приложение под готовый сервис для мошеннических колл-центров.
При использовании первых версий NFCGate дропы подходили к банкомату, чтобы снять деньги жертвы.
Обратная версия NFCGate пропускает этот шаг: мошенники под разными предлогами направляют жертву к банкомату, чтобы зачислить деньги себе, но на самом деле – преступникам.
Как и прежде, атака на пользователей банковских карт с использованием обратного NFCGate проводится в два этапа. Вначале преступники действуют по стандартному для схемы с NFCGate сценарию.
Используя приёмы социальной инженерии, потенциальную жертву пытаются убедить в необходимости установки вредоносного APK-файла на устройство под видом полезной программы.
Злоумышленники объясняют, что это требуется, например, для «защиты» банковского счёта или получения более выгодных условий обслуживания в виде вклада с повышенной процентной ставкой.
Кроме того, в марте 2025 года мошенники стали предлагать потенциальным жертвам внести сбережения на счёт цифрового рубля.
Изученные аналитиками компании F6 образцы ВПО маскировались под приложения финансового регулятора.
После установки приложения в качестве платёжной системы по умолчанию смартфон незаметно для владельца устанавливает контакт с устройством злоумышленников. Затем на смартфон жертвы отправляются NFC-данные банковской карты мошенников и происходит её эмуляция.
На втором этапе атаки пользователя убеждают отправиться к банкомату: якобы для того, чтобы зачислить сбережения на свой счёт. Это похоже на распространённый сценарий мошенничества с «безопасным счётом».
Разница в том, что пользователя не просят назвать код из СМС и не пытаются выведать другую чувствительную информацию, чтобы не вызвать подозрений в обмане.
Напротив, пользователю сообщают «новый» ПИН-код якобы от его же карты.
Когда жертва приложит своё устройство к NFC-датчику банкомата, произойдёт авторизация карты дропа.
Злоумышленники используют одну карту как минимум для трёх-четырёх атак.
Другие особенности новой схемы и рекомендации - в отчете.
Главное отличие: вместо перехвата NFC-данных карты жертвы злоумышленники создают на его устройстве клон собственной карты.
Предпринимая попытки зачислить на свой счёт через банкомат, вся сумма отправляется на карту дропа.
Аналитики F6 отмечают стремительное развитие вредоносного софта, способного через NFC-модули дистанционно перехватывать и передавать данные банковских карт.
Первая атака с применением NFCGate в России произошла в августе 2024 года, а уже по итогам первого квартала 2025 года общий ущерб от использования вредоносных версий этого софта составил 432 млн рублей.
Каждый день с января по март преступники совершали в среднем по 40 успешных атак.
Средняя сумма ущерба от действий злоумышленников, использующих NFCGate, составила 120 тыс. рублей.
В феврале 2025 года F6 зафиксировала появление принципиально новой сборки NFCGate, которая используется в т.н. «обратной» схеме.
Разработчики вредоносного ПО адаптировали приложение под готовый сервис для мошеннических колл-центров.
При использовании первых версий NFCGate дропы подходили к банкомату, чтобы снять деньги жертвы.
Обратная версия NFCGate пропускает этот шаг: мошенники под разными предлогами направляют жертву к банкомату, чтобы зачислить деньги себе, но на самом деле – преступникам.
Как и прежде, атака на пользователей банковских карт с использованием обратного NFCGate проводится в два этапа. Вначале преступники действуют по стандартному для схемы с NFCGate сценарию.
Используя приёмы социальной инженерии, потенциальную жертву пытаются убедить в необходимости установки вредоносного APK-файла на устройство под видом полезной программы.
Злоумышленники объясняют, что это требуется, например, для «защиты» банковского счёта или получения более выгодных условий обслуживания в виде вклада с повышенной процентной ставкой.
Кроме того, в марте 2025 года мошенники стали предлагать потенциальным жертвам внести сбережения на счёт цифрового рубля.
Изученные аналитиками компании F6 образцы ВПО маскировались под приложения финансового регулятора.
После установки приложения в качестве платёжной системы по умолчанию смартфон незаметно для владельца устанавливает контакт с устройством злоумышленников. Затем на смартфон жертвы отправляются NFC-данные банковской карты мошенников и происходит её эмуляция.
На втором этапе атаки пользователя убеждают отправиться к банкомату: якобы для того, чтобы зачислить сбережения на свой счёт. Это похоже на распространённый сценарий мошенничества с «безопасным счётом».
Разница в том, что пользователя не просят назвать код из СМС и не пытаются выведать другую чувствительную информацию, чтобы не вызвать подозрений в обмане.
Напротив, пользователю сообщают «новый» ПИН-код якобы от его же карты.
Когда жертва приложит своё устройство к NFC-датчику банкомата, произойдёт авторизация карты дропа.
Злоумышленники используют одну карту как минимум для трёх-четырёх атак.
Другие особенности новой схемы и рекомендации - в отчете.
Хабр
Реверс NFCGate: раскрыт новый способ бесконтактной кражи денег
Компания F6 , ведущий разработчик технологий для борьбы с киберпреступностью, обнаружила новую вредоносную версию легитимного приложения NFCGate для атак на клиентов банков. Главное отличие: вместо...
• Во Франции есть ИБ компания Synacktiv, которая занимается пентестом и разработкой необходимых инструментов для их деятельности. В их блоге я заметил интересную и актуальную статью, где описан процесс написания кейлоггера для Windows, способного поддерживать все раскладки клавиатуры и правильно реконструировать символы Юникода независимо от языка. Материал разделен на 3 части и вот его содержимое:
- В первой части, авторы описывают три различных способа захвата нажатий клавиш (GetKeyState, SetWindowsHookEx, GetRawInputData ) и различия между этими методами.
- Во второй части подробно описан процесс, как Windows хранит информацию о раскладках клавиатуры в файле
kbd*.dll и как ее анализировать.- В третьей и заключительной части разложен процесс использования извлеченной информации для преобразования скан-кодов в символы и все сложные случаи, представленные различными раскладками, такими как лигатуры, мертвые клавиши, дополнительные состояния сдвига и SGCAPS.
#tools #Пентест
Please open Telegram to view this post
VIEW IN TELEGRAM
• Любая наука склонна делиться на более мелкие темы. Давайте прикинем, на какие классификации делится форензика, а в самом конце поста Вы найдете ссылки на два полезных репозитория, которые содержат в себе учебный материал для изучения каждого направления:
• Для изучения данной науки я предлагаю обратить внимание на несколько репозиториев, в которых собраны инструменты, книги, руководства и другой полезный материал:
- Adversary Emulation;
- All-In-One Tools;
- Books;
- Communities;
- Disk Image Creation Tools;
- Evidence Collection;
- Incident Management;
- Knowledge Bases;
- Linux Distributions;
- Linux Evidence Collection;
- Log Analysis Tools;
- Memory Analysis Tools;
- Memory Imaging Tools;
- OSX Evidence Collection;
- Other Lists;
- Other Tools;
- Playbooks;
- Process Dump Tools;
- Sandboxing/Reversing Tools;
- Scanner Tools;
- Timeline Tools;
- Videos;
- Windows Evidence Collection.
#Форензика
Please open Telegram to view this post
VIEW IN TELEGRAM
• Очень крутой и содержательный урок (вебинар) про различные методы, которые злоумышленник может использовать для побега из контейнера Docker, а ещё мы разберем необходимые шаги для успешного побега на понятных примерах. Также обсудим причины возникновения таких уязвимостей и разберём, какие меры можно принять, чтобы предотвратить побег из контейнеров по следующим сценариям:
• К слову, у автора есть много другого полезного материала. Обязательно к просмотру:
#Docker
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Исследователи Trend Micro обнаружили новую APT под названием Earth Kurma, которая в рамках сложной кампании с июня 2024 года нацелена на государственный и телеком секторы в Юго-Восточной Азии (Филиппины, Вьетнам, Таиланд и Малайзия).
По данным Trend Micro, в ходе атак хакеры задействовали вредоносное ПО, руткиты и облачные сервисы хранения данных для эксфильтрации.
Наблюдаемая кампания несет высокие риски в виду целенаправленного шпионажа, кражи учетных данных, четкого закрепления с помощью руткитов на уровне ядра и извлечения данных через доверенные облачные платформы.
Действия злоумышленников активизировались в ноябре 2020 года, при этом атаки в основном осуществлялись с использованием таких сервисов, как Dropbox и Microsoft OneDrive, для кражи конфиденциальных данных с использованием таких инструментов, как TESDAT и SIMPOBOXSPY.
Два других заслуживающих внимания семейства вредоносных ПО в арсенале APT - такие руткиты, как KRNRAT и Moriya, последний из которых ранее был замечен в атаках на известные организации в Азии и Африке в рамках шпионской кампании TunnelSnake.
Trend Micro также полагает, что SIMPOBOXSPY и скрипт эксфильтрации имеют общие черты с другой APT-группой, известной как ToddyCat. Однако окончательная атрибуция остается неубедительной.
В настоящее время неизвестно, как злоумышленники получают первоначальный доступ к целевым средам.
Однако затем первоначальный плацдарм используется для сканирования и бокового перемещения с использованием инструментов: NBTSCAN, Ladon, FRPC, WMIHACKER и ICMPinger.
Также используется кейлоггер, называемый KMLOG, для сбора учетных данных. При этом использование фреймворка Ladon с открытым исходным кодом ранее приписывалось связанной с Китаем хакерской группе TA428 (Vicious Panda).
Устойчивость на хостах достигается тремя различными штаммами загрузчиков - DUNLOADER, TESDAT и DMLOADER, которые способны загружать полезные нагрузки следующего этапа в память и выполнять их.
Они включат Cobalt Strike Beacons, руткиты KRNRAT и Moriya, а также ПО для извлечения данных.
Отличительной чертой этих атак является использование методов LotL для установки руткитов, при которых хакеры используют легальные системные инструменты и функции, в данном случае syssetup.dll, а не внедряют легко обнаруживаемое вредоносное ПО.
Moriya разработан для проверки входящих TCP-пакетов на наличие вредоносной нагрузки и внедрения шелл-кода в процесс svchost.exe.
В свою очередь, KRNRAT представляет собой объединение пяти различных проектов с открытым исходным кодом с такими возможностями, как манипулирование процессами, сокрытие файлов, выполнение шелл-кода, сокрытие трафика и связь с C2.
KRNRAT, как и Moriya, также предназначен для загрузки агента пользовательского режима руткита и внедрения его в svchost.exe.
Агент пользовательского режима служит в качестве бэкдора для извлечения последующей полезной нагрузки с сервера C2.
Перед тем как извлечь файлы, ряд команд, выполняемых загрузчиком TESDAT, приводили к сбору файлов документов со следующими расширениями: pdf, doc, docx, xls, xlsx, ppt и pptx.
Сначала документы помещаются вов вновь создаваемую папку с именем tmp, которая затем архивируется с помощью WinRAR с определенным паролем.
Одним из специальных инструментов для эксфильтрации данных выступает SIMPOBOXSPY, который способен загружать архив RAR в Dropbox с помощью специального токена доступа.
Согласно отчету Лаборатории Касперского от октября 2023 года, универсальный загрузчик DropBox, вероятно, используется не только ToddyCat.
ODRIZ, другая ПО, используемая для той же цели, загружает собранную информацию в OneDrive, указывая токен обновления в качестве входного параметра.
Как отмечают исследователи, Earth Kurma проявляет себя достаточно активным злоумышленником, продолжая атаковать страны Юго-Восточной Азии, обладая способностью адаптироваться к среде жертвы и обеспечивать уверенное скрытное присутствие.
По данным Trend Micro, в ходе атак хакеры задействовали вредоносное ПО, руткиты и облачные сервисы хранения данных для эксфильтрации.
Наблюдаемая кампания несет высокие риски в виду целенаправленного шпионажа, кражи учетных данных, четкого закрепления с помощью руткитов на уровне ядра и извлечения данных через доверенные облачные платформы.
Действия злоумышленников активизировались в ноябре 2020 года, при этом атаки в основном осуществлялись с использованием таких сервисов, как Dropbox и Microsoft OneDrive, для кражи конфиденциальных данных с использованием таких инструментов, как TESDAT и SIMPOBOXSPY.
Два других заслуживающих внимания семейства вредоносных ПО в арсенале APT - такие руткиты, как KRNRAT и Moriya, последний из которых ранее был замечен в атаках на известные организации в Азии и Африке в рамках шпионской кампании TunnelSnake.
Trend Micro также полагает, что SIMPOBOXSPY и скрипт эксфильтрации имеют общие черты с другой APT-группой, известной как ToddyCat. Однако окончательная атрибуция остается неубедительной.
В настоящее время неизвестно, как злоумышленники получают первоначальный доступ к целевым средам.
Однако затем первоначальный плацдарм используется для сканирования и бокового перемещения с использованием инструментов: NBTSCAN, Ladon, FRPC, WMIHACKER и ICMPinger.
Также используется кейлоггер, называемый KMLOG, для сбора учетных данных. При этом использование фреймворка Ladon с открытым исходным кодом ранее приписывалось связанной с Китаем хакерской группе TA428 (Vicious Panda).
Устойчивость на хостах достигается тремя различными штаммами загрузчиков - DUNLOADER, TESDAT и DMLOADER, которые способны загружать полезные нагрузки следующего этапа в память и выполнять их.
Они включат Cobalt Strike Beacons, руткиты KRNRAT и Moriya, а также ПО для извлечения данных.
Отличительной чертой этих атак является использование методов LotL для установки руткитов, при которых хакеры используют легальные системные инструменты и функции, в данном случае syssetup.dll, а не внедряют легко обнаруживаемое вредоносное ПО.
Moriya разработан для проверки входящих TCP-пакетов на наличие вредоносной нагрузки и внедрения шелл-кода в процесс svchost.exe.
В свою очередь, KRNRAT представляет собой объединение пяти различных проектов с открытым исходным кодом с такими возможностями, как манипулирование процессами, сокрытие файлов, выполнение шелл-кода, сокрытие трафика и связь с C2.
KRNRAT, как и Moriya, также предназначен для загрузки агента пользовательского режима руткита и внедрения его в svchost.exe.
Агент пользовательского режима служит в качестве бэкдора для извлечения последующей полезной нагрузки с сервера C2.
Перед тем как извлечь файлы, ряд команд, выполняемых загрузчиком TESDAT, приводили к сбору файлов документов со следующими расширениями: pdf, doc, docx, xls, xlsx, ppt и pptx.
Сначала документы помещаются вов вновь создаваемую папку с именем tmp, которая затем архивируется с помощью WinRAR с определенным паролем.
Одним из специальных инструментов для эксфильтрации данных выступает SIMPOBOXSPY, который способен загружать архив RAR в Dropbox с помощью специального токена доступа.
Согласно отчету Лаборатории Касперского от октября 2023 года, универсальный загрузчик DropBox, вероятно, используется не только ToddyCat.
ODRIZ, другая ПО, используемая для той же цели, загружает собранную информацию в OneDrive, указывая токен обновления в качестве входного параметра.
Как отмечают исследователи, Earth Kurma проявляет себя достаточно активным злоумышленником, продолжая атаковать страны Юго-Восточной Азии, обладая способностью адаптироваться к среде жертвы и обеспечивать уверенное скрытное присутствие.
Trend Micro
Earth Kurma APT Campaign Targets Southeast Asian Government Telecom Sectors
• Этот репозиторий содержит информацию о методах, которые используются для атак Windows Active Directory. Материал постоянно обновляется и поддерживается автором в актуальном состоянии. Обязательно добавляйте в закладки и используйте на практике:
• Pre-requisites;
• PowerShell AMSI Bypass;
• PowerShell Bypass Execution Policy;
• Evasion and obfuscation with PowerShellArmoury;
• Windows Defender;
• Remote Desktop;
- Enable Remote Desktop;
- Login with remote desktop;
- Login with remote desktop with folder sharing;
• Enumeration;
- Users Enumeration;
- Domain Admins Enumeration;
- Computers Enumeration;
- Groups and Members Enumeration;
- Shares Enumeration;
- OUI and GPO Enumeration;
- ACLs Enumeration;
- Domain Trust Mapping;
- Domain Forest Enumeration;
- User Hunting;
- Enumeration with BloodHound;
- Gui-graph Queries;
- Console Queries;
• Local Privilege Escalation;
• Lateral Movement;
• Persistence;
- Golden Ticket;
- Silver Ticket;
- Skeleton Key;
- DCSync;
• Privilege Escalation;
- Kerberoast;
- Targeted Kerberoasting AS REPs;
- Targeted Kerberoasting Set SPN;
- Kerberos Delegation;
- Unconstrained Delegation;
- Printer Bug;
- Constrained Delegation;
- Child to Parent using Trust Tickets;
- Child to Parent using Krbtgt Hash;
- Across Forest using Trust Tickets;
- GenericAll Abused;
• Trust Abuse MSSQL Servers;
• Forest Persistence DCShadow.
#Пентест #AD
Please open Telegram to view this post
VIEW IN TELEGRAM
• Я тут Вам очень крутую шпаргалку по командам Linux принёс. Надеюсь, что будет полезно.
• Ну и ещё немного дополнительного материала:
➡ Книга «Эффективная консоль»;
➡ Руководство по безопасности Linux-сервера;
➡ Упражнения для девопсов (сейчас 2624 упражнений и вопросов). Наверное, полезно также при подготовке к собеседованиям;
➡ Управление Linux, подборка репозиториев на Github;
#Linux
• Ну и ещё немного дополнительного материала:
#Linux
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
• Пост выходного дня: интересный и полезный материал, который описывает сетевой протокол BitTorrent и затрагивает тему анонимной передачи файлов через скрытые сети вроде I2P:
#Сети
Please open Telegram to view this post
VIEW IN TELEGRAM
• Очень полезный PowerShell скрипт, который поможет вырезать весь мусор и ускорить Ваш Windows. Возможности:
— Удалить все бесполезные приложения, которые замедляют ОС;
— Отключить рекламу в меню Пуск;
— Вернуть панель задач из Windows 10;
— Вырубить телеметрию и сбор данных;
— Убрать бессмысленные опции в контекстном меню;
— Вырезать Кортану, Copilot и Bing.
• Работает на Windows 11 и 10. Если какие-то изменения не подходят — их легко откатить. Забираем с GitHub:
#PowerShell #Windows
Please open Telegram to view this post
VIEW IN TELEGRAM
• Вероятно Вы слышали, что Евгений Лазаревич Рошал, который является автором формата RAR и архиватора WinRAR, является еще создателем файлового менеджера FAR Manager. История создания FAR начинается через три года после создания WinRAR, а первая общедоступная бета-версия менеджера увидела свет 10 сентября 1996 года.
• В то время FAR начал уверенно конкурировать с другим набиравшим популярность на постсоветском пространстве файловым менеджером: DOS Navigator, но обладал перед ним целым рядом преимуществ. Прежде всего, FAR умел взаимодействовать с файловой системой NTFS, благодаря чему с ним могли работать пользователи Windows NT. Кроме того, он корректно определял кодировки русского языка (в том числе, в именах каталогов и файлов), и позволял устанавливать подключаемые модули — плагины, которые значительно расширяли функциональность программы.
• Первые редакции FAR Manager были проприетарными, но в 2000 году Рошал передал версию 1.64 нескольким авторам наиболее популярных плагинов «за спасибо», после чего программа получила дальнейшее развитие под лицензией BSD, а ее разработчики объединились в организацию под названием FAR Group.
• В 2004 году Евгений передал все коммерческие права на свои разработки старшему брату Александру Рошалу, который впоследствии стал самостоятельно контролировать вопросы распространения его программных продуктов, а сам покинул Россию. Евгений Лазаревич ведет очень замкнутый образ жизни, поэтому о его нынешнем роде занятий практически ничего не известно. По слухам, он обосновался в Германии, а позже перебрался в США.
• В настоящий момент архиватором Рошала продолжают пользоваться миллионы людей по всему миру, а FAR Manager до сих пор установлен на многих компьютерах под управлением Microsoft Windows — эту программу предпочитают те, кто привык к «двухппанельному» интерфейсу классического Norton Commander.
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
• Алгоритм протокола SSH можно разделить на три уровня, каждый из которых располагается над предыдущим: транспорт (открытие защищённого канала), аутентификация, подключение. Для целостности картины добавим сюда уровень установки сетевого соединения, хотя официально этот уровень находится ниже SSH.
/etc/ssh/sshd_config- Обмен идентификационными данными: после установки TCP-соединения, клиент и сервер обмениваются версиями SSH-протокола и другими вспомогательными данными, необходимыми для выяснения совместимости протоколов и для выбора алгоритмов работы.
- Выбор алгоритмов (обмена ключами, шифрования, сжатия и т.п.): на этом шаге стороны отсылают друг другу списки поддерживаемых алгоритмов, наибольший приоритет имеют алгоритмы в начале каждого списка. Затем сравнивают алгоритмы в полученных списках с алгоритмами, имеющимися в системе, и выбирают первый совпавший в каждом списке. Список доступных алгоритмов обмена ключами на стороне клиента (используются для получения сессионного ключа) можно посмотреть командой:
ssh -Q kex- Получение сессионного ключа шифрования: Процесс получения сессионного ключа может отличаться в зависимости от версии алгоритма, но в общих чертах сводится к следующему: Сервер отсылает клиенту свой ключ (DSA, RSA или т.п.), если клиент производит соединение с данным сервером впервые, то пользователю будет задан вопрос о доверии ключу сервера. Если же соединение с данным сервером уже устанавливалось ранее, то клиент сравнивает присланный ключ с ключом, записанным в
/home/username/.ssh/known_hosts. Если ключи не совпадают, то пользователь получит предупреждение о возможной попытке взлома. Как только клиент определился с доверием к ключу сервера, с помощью одной из реализаций алгоритма Диффи-Хеллмана клиент и сервер генерируют сеансовый ключ, который будет использоваться для симметричного шифрования канала.- В общих чертах, аутентификация посредством ключей происходит следующим образом: клиент отсылает серверу имя пользователя и свой публичный ключ. Сервер проверяет в файле
/home/username/.ssh/authorized_keys наличие присланного клиентом открытого ключа. Если открытый ключ найден, то сервер генерирует случайное число и шифрует его открытым ключом клиента, после чего результат отправляется клиенту. Клиент расшифровывает сообщение своим приватным ключом и отправляет результат серверу. Сервер проверяет полученный результат на совпадение с тем числом, которое он изначально зашифровал открытым ключом клиента, и в случае совпадения считает аутентификацию успешной.#SSH
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Хакеры активировали секретные бэкдоры, которые им удалось внедрить еще шесть лет назад в плагины Magento, что позволило взломать почти 1000 Интернет-магазинов.
Первые взломы произошли в 2019 году, когда злоумышленники, предположительно, получили доступ к серверам трех разработчиков программного обеспечения Magento - Magesolution, Meetanshi и Tigren.
По данным Sansec, хакеры модифицировали исходный код 21 плагина.
Бэкдор был спрятан в файле License.php, который обычно включается в большинство плагинов для проверки наличия у пользователя действительной лицензии.
Sansec полагает, что вредоносный код оставался неактивным в течение шести лет до апреля, после чего злоумышленники приступили к его использованию для развертывания вредоносного кода в магазинах Magento, устанавливающих плагины.
Код бэкдора проверял наличие секретного ключа во входящих запросах и позволял владельцу ключа выполнять команды на сервере.
Несмотря на то, что удаление вредоносных плагинов удалит первоначальную запись для злоумышленников, админам все же потребуется тщательная проверка, дабы убедиться в отсутствии дополнительных веб-оболочек для вторичного доступа.
На данный момент атаки, по всей видимости, затронули несколько крупных клиентов и, как отмечает Sansec, одним из них является «транснациональная корпорация стоимостью 40 миллиардов долларов».
Компания также уведомила разработчиков плагина, однако, по всей видимости, проблема их особо не волнует:
- Magesolution не отреагировала, но по состоянию на 30 апреля пакеты с бэкдором все еще можно было загрузить с их сайта;
- Tigren отрицает факт взлома, по состоянию на 30 апреля пакеты с бэкдором все еще доступны на их сайте;
- Meetanshi утверждает, что их ПО не было затронуто, но подтвердила, что их сервер был взломан.
Первые взломы произошли в 2019 году, когда злоумышленники, предположительно, получили доступ к серверам трех разработчиков программного обеспечения Magento - Magesolution, Meetanshi и Tigren.
По данным Sansec, хакеры модифицировали исходный код 21 плагина.
Бэкдор был спрятан в файле License.php, который обычно включается в большинство плагинов для проверки наличия у пользователя действительной лицензии.
Sansec полагает, что вредоносный код оставался неактивным в течение шести лет до апреля, после чего злоумышленники приступили к его использованию для развертывания вредоносного кода в магазинах Magento, устанавливающих плагины.
Код бэкдора проверял наличие секретного ключа во входящих запросах и позволял владельцу ключа выполнять команды на сервере.
Несмотря на то, что удаление вредоносных плагинов удалит первоначальную запись для злоумышленников, админам все же потребуется тщательная проверка, дабы убедиться в отсутствии дополнительных веб-оболочек для вторичного доступа.
На данный момент атаки, по всей видимости, затронули несколько крупных клиентов и, как отмечает Sansec, одним из них является «транснациональная корпорация стоимостью 40 миллиардов долларов».
Компания также уведомила разработчиков плагина, однако, по всей видимости, проблема их особо не волнует:
- Magesolution не отреагировала, но по состоянию на 30 апреля пакеты с бэкдором все еще можно было загрузить с их сайта;
- Tigren отрицает факт взлома, по состоянию на 30 апреля пакеты с бэкдором все еще доступны на их сайте;
- Meetanshi утверждает, что их ПО не было затронуто, но подтвердила, что их сервер был взломан.
Sansec
Backdoor found in popular ecommerce components
Multiple vendors were hacked in a coordinated supply chain attack, Sansec found 21 applications with the same backdoor. Curiously, the malware was injected 6...