NSA i ASD informują o podatnościach służących do ataków


Agencja Bezpieczeństwa Narodowego Stanów Zjednoczonych (NSA) i Australian Signals Directorate (ASD) wydały wspólny „arkusz informacji” o cyberbezpieczeństwie (CSI), który zawiera szczegółowe informacje na temat luk w zabezpieczeniach wykorzystywanych przez podmioty atakujące w celu zainstalowania złośliwego oprogramowania powłoki internetowej (web shell) na serwerach. Oprogramowanie zwykle instalowane jest na serwerze WWW ofiary, powłoki sieciowe mogą być używane do wykonywania poleceń, zapewniając atakującym stały dostęp do zaatakowanego środowiska. Kanały komunikacyjne można łączyć z legalnym ruchem w celu uniknięcia wykrycia.

„Cyberprzestępcy w coraz większym stopniu wykorzystują tego rodzaju złośliwe oprogramowanie, aby uzyskać spójny dostęp do zaatakowanych sieci, jednocześnie korzystając z komunikacji dobrze komponującej się z legalnym ruchem. Oznacza to, że osoby atakujące mogą wysyłać polecenia systemowe za pośrednictwem HTTPS lub kierować polecenia do innych systemów, w tym do sieci wewnętrznych, które mogą wyglądać jak normalny ruch sieciowy” – czytamy w CSI.

CSI zawiera informacje o tym, w jaki sposób organizacje mogą wykrywać powłoki sieciowe, zapobiegać wpływaniu na sieci i odzyskiwać po atakach. Poradnik zapewnia również zespołom ds. Bezpieczeństwa skrypty, których mogą użyć do porównania strony internetowej ze znanym dobrym obrazem, zapytania Splunk do identyfikacji nieprawidłowych identyfikatorów URI w ruchu internetowym, narzędzie do analizy dziennika Internetowych usług informacyjnych, szczegółowe informacje na temat identyfikowania nieoczekiwanych przepływów sieciowych i nienormalnych wywołań procesów, listę często wykorzystywanych luk w aplikacjach internetowych oraz reguły HIPS dotyczące blokowania zmian w katalogach dostępnych w Internecie.

Często występujące luki w zabezpieczeniach aplikacji internetowych wpływają na Microsoft SharePoint (CVE-2019-0604) i Exchange Server (CVE-2020-0688), produkty Citrix (CVE-2019-19781), Atlassian Confluence (CVE-2019-3396 i CVE-2019- 3398) i Crowd (CVE-2019-11580), wtyczka WordPress „Social Warfare” (CVE-2019-9978), Progress Telerik UI (CVE-2019-18935, CVE-2017-11317 i CVE-2017-11357), Zoho ManageEngine (CVE-2020-10189 i CVE-2019-8394) oraz Adobe ColdFusion (CVE-2018-15961).


Apple zaprzecza, że podatności w Mailu służą do ataków


ZecOps, firma zajmująca się automatyzacją cyberbezpieczeństwa, poinformowała w środę, że zidentyfikowała kilka krytycznych luk w zabezpieczeniach zero-day w aplikacji Mail na iOS. Wady, które według firmy istniały od wydania iOS 6 w 2012 roku, można wykorzystać do wykonania dowolnego kodu w kontekście aplikacji, wysyłając specjalnie spreparowany e-mail do docelowego użytkownika. Osoba atakująca może wykorzystać te luki do przeglądania, modyfikowania lub usuwania wiadomości e-mail ofiary. ZecOps powiedział, że w połączeniu z innymi wadami haker może uzyskać pełny dostęp do zaatakowanego urządzenia. Podczas gdy w iOS 12 wymagana jest interakcja użytkownika (tj. ofiara musi otworzyć złośliwy e-mail). ZecOps zauważył, że interakcja użytkownika nie jest wymagana w iOS 13.

ZecOps twierdzi, że widział dowody, że co najmniej jedna z tych luk została wykorzystana do atakowania firmy z listy Fortune 500, VIP, kadry kierowniczej, zarządzanych dostawców usług bezpieczeństwa (MSSP) i dziennikarza. Ataki miały się rozpocząć co najmniej od stycznia 2018 r.

Apple opublikował informację, w której twierdzi z kolei, że przeanalizował raport ZecOps i że „te problemy nie stanowią bezpośredniego zagrożenia dla naszych użytkowników”. Firma uważa, że naukowcy zidentyfikowali trzy problemy w aplikacji Mail, „ale same nie są wystarczające, aby ominąć zabezpieczenia iPhone’a i iPada”. Apple powiedział również, że nie znalazł dowodów na wykorzystanie luk w zabezpieczeniach przeciwko swoim klientom, a firma planuje udostępnić łaty wszystkim użytkownikom, gdy wyda kolejne aktualizacje zabezpieczeń.

Niektórzy członkowie branży zakwestionowali również twierdzenia ZecOps dotyczące luk w zabezpieczeniach wykorzystywanych w atakach, ale firma cyberbezpieczeństwa podtrzymuje swój raport i obiecała opublikować kolejny post na blogu z dodatkowymi szczegółami.


Groźny bot infekujący USB


ESET pochwalił się, że zdołał zakłócić działanie wyjątkowo złośliwego botnetu poprzez likwidację kilku serwerów dowodzenia i kontroli. Botnet rozprzestrzenia się za pośrednictwem zainfekowanych urządzeń USB. Określany jako VictoryGate i aktywny od co najmniej maja 2019 r. Botnet najbardziej dotknął urządzenia w Ameryce Łacińskiej, zwłaszcza w Peru, gdzie znajduje się ponad 90% zainfekowanych urządzeń. Po zniszczeniu C&C, badacze ESET ds. bezpieczeństwa byli w stanie oszacować rozmiar botnetu na ponad 35 000 urządzeń. VictoryGate koncentrowało się głównie na wydobywaniu Monero, ale złośliwe oprogramowanie pozwoliło botmasterowi wydawać polecenia do węzłów w celu pobrania i wykonania dodatkowych ładunków. Dlatego ESET uważa, że cel botnetu mógł się w pewnym momencie zmienić.

Botnet wykorzystuje zasoby zainfekowanego urządzenia do szyfrowania, utrzymując obciążenie procesora na poziomie 90–99%, spowalniając w ten sposób urządzenie, a nawet je uszkadzając. Do rozprzestrzeniania botnet wykorzystuje wyłącznie zainfekowane urządzenia wymienne. W tym celu szkodliwe oprogramowanie kopiuje wszystkie pliki z dysku USB do ukrytego katalogu w folderze domowym i używa plików wykonywalnych systemu Windows skompilowanych w locie. Dla ofiary dysk USB wyglądałby normalnie, wszystkie pliki i foldery byłyby uporządkowane. Gdy ofiara próbuje otworzyć plik, skrypt uruchamia zarówno zamierzony plik, jak i początkowy moduł złośliwego oprogramowania, który kopiuje się do %AppData% i umieszcza skrót w folderze startowym, który ma startować przy ponownym uruchomieniu.

Złośliwe oprogramowanie może wstrzykiwać skrypt skompilowany AutoIt do legalnych procesów Windows, aby zapewnić komunikację z serwerem dowodzenia i kontroli, a także pobieranie i wykonywanie dodatkowych ładunków. Skrypt skanuje również podłączone dyski USB w celu zainfekowania.

Podziel się z innymi tym artykułem!