Hakerzy atakują Oracle
W czwartek Oracle ostrzegło klientów, że zauważono ataki, próbujące wykorzystać ostatnio załatane luki, w tym krytyczną lukę w serwerze WebLogic Server, śledzoną jako CVE-2020-2883. Potwierdził to Eric Maurice, dyrektor ds. Zapewnienia bezpieczeństwa w Oracle – „pojawiają się doniesienia o próbach złośliwego wykorzystania szeregu ostatnio załatanych luk”. Komunikaty Oracle wspominają tylko o CVE-2020-2883, ale firma radzi klientom, aby jak najszybciej zainstalowali najnowsze łatki. Przede wszystkim aktualizacje krytycznej poprawki (CPU) z kwietnia 2020r usuwa prawie 400 luk, w tym CVE-2020-2883, krytyczną wadę serwera Oracle WebLogic Server, którą może wykorzystać nieuwierzytelniony atakujący do zdalnego wykonania kodu.
Firma Oracle uznała kilka niezależnych zgłoszeń tej luki, w tym Bui Duong z Viettel Cyber Security, Jang z VNPT ISC, Kaki King, lufei z Qi An Xin Group i Quynh Le z VNPT ISC.
Quynh Le poinformował Oracle o swoich odkryciach za pośrednictwem inicjatywy Zero Day Initiative (ZDI) firmy Trend Micro, która niedawno opublikowała porady opisujące dwa warianty CVE-2020-2883 zidentyfikowane przez badacza w lutym i marcu.
„Specyficzna wada istnieje w ramach obsługi protokołu T3. Spreparowane dane w komunikacie protokołu T3 mogą spowodować deserializację niezaufanych danych. Osoba atakująca może wykorzystać tę lukę do wykonania kodu w kontekście bieżącego procesu”, ujawnia poradnik ZDI.
Szkodliwe oprogramowanie na Androida
Naukowcy zajmujący się bezpieczeństwem z Cybereason Nocturnus ostrzegają o nowo odkrytym kawałku szkodliwego oprogramowania na Androida. Jest on przeznaczony dla użytkowników blisko 300 aplikacji finansowych w Stanach Zjednoczonych i Europie.
Nazwany EventBot, wydaje się nowo opracowanym oprogramowaniem złośliwym, ponieważ jego kod znacznie różni się od kodu innych szkodliwych programów dla Androida. Co więcej, naukowcy uważają, że ten trojan bankowy i infostealer jest w fazie dynamicznego rozwoju.
Trojan został zaprojektowany w celu nadużywania funkcji ułatwień dostępu Androida, kradzieży informacji o użytkownikach i urządzeniach oraz danych z różnych aplikacji, w tym ukierunkowanego oprogramowania finansowego i wiadomości SMS. EventBot, może potencjalnie wykraść kluczowe dane biznesowe, biorąc pod uwagę, że urządzenia mobilne przechowują wiele danych biznesowych oprócz danych osobowych, zwłaszcza w organizacjach, które mają zasady “Bring Your Own Device”.
Po zainstalowaniu bot prosi o dużą liczbę uprawnień na urządzeniu, takich jak możliwość wyświetlania na innych aplikacjach, odczytywanie pamięci zewnętrznej, instalowanie pakietów, otwieranie gniazd sieciowych, odbieranie wiadomości SMS lub uruchamianie przy starcie systemu, i prosi użytkownika o włączenie usług dostępności.
Plik konfiguracyjny, który pobiera złośliwe oprogramowanie, zawiera listę ukierunkowanych aplikacji, w tym 185 aplikacji bankowych (dla banków we Włoszech, Wielkiej Brytanii, Niemczech, Francji, Hiszpanii, Stanach Zjednoczonych, Rumunii, Irlandii, Indiach, Austrii, Szwajcarii, Australii i Polsce), oraz 111 globalnych aplikacji finansowych, takich jak Paypal Business, Revolut, Barclays, UniCredit, CapitalOne UK, HSBC UK, Santander UK, TransferWise, Coinbase i paysafecard.
Trojan wysyła zapytanie do listy zainstalowanych aplikacji i informacji systemowych i wysyła wszystkie dane do serwera dowodzenia i kontroli (C&C) w postaci zaszyfrowanej, a także może analizować wiadomości SMS, co pozwala ominąć zabezpieczenia uwierzytelniania dwuskładnikowego. Funkcja o nazwie parseCommand pozwala trojanowi na aktualizację plików konfiguracyjnych, webinjectów, C&C i tym podobnych. Złośliwe oprogramowanie może aktualizować swój główny moduł, a także umożliwia dynamiczne ładowanie tego modułu. Nowsze wersje trojana mają możliwość śledzenia zmian kodu PIN w ustawieniach urządzenia.
Dochodzenie w sprawie EventBot ujawniło wiele próbek przesłanych do VirusTotal przez tego samego użytkownika, a badacze uważają, że przesłano je z komputera autora lub z usługi wykrywania, która z kolei przesyła próbki do internetowych baz danych złośliwego oprogramowania.
EventBot nie wydaje się być wykorzystywany w do wielu kampanii, a naukowcy nie mogli jeszcze przypisać go do konkretnego aktora. Oczekują jednak, że złośliwe oprogramowanie zostanie wprowadzone do podziemnych społeczności po zakończeniu programowania. Jednak Cybereason Nocturnus był w stanie połączyć EventBot z C&C, którego infostealer Android Trojan użył do ataków na Włochy pod koniec 2019 roku.
„Z każdą nową wersją złośliwe oprogramowanie dodaje nowe funkcje, takie jak dynamiczne ładowanie biblioteki, szyfrowanie i zmiany zależne od lokalizacji i producenta. EventBot wydaje się być zupełnie nowym złośliwym oprogramowaniem na wczesnych etapach rozwoju, co daje nam ciekawy pogląd na to, w jaki sposób atakujący tworzą i testują swoje szkodliwe aplikacje ” – podsumowuje Cybereason Nocturnus.
Sukces targetowanych ataków
W ciągu ostatnich kilku miesięcy wiele grup osób atakujących skutecznie przejęło korporacyjne konta e-mail składające się z co najmniej 156 wysokich rangą oficerów w różnych firmach z siedzibą w Niemczech, Wielkiej Brytanii, Holandii, Hongkongu i Singapurze.
Nowa kampania cyberataków, nazwana „PerSwaysion”, wykorzystała usługi udostępniania plików Microsoft – w tym Sway, SharePoint i OneNote – do przeprowadzenia wysoce ukierunkowanych ataków phishingowych.
To kolejny raport Group-IB Threat Intelligence. Według niego operacje PerSwaysion zaatakowały kierownictwo ponad 150 firm na całym świecie, przede wszystkim firmy z sektora finansowego, prawa i nieruchomości.
„Wśród tych oficerów wysokiego szczebla pojawiło się ponad 20 kont kierowników, prezesów i dyrektorów zarządzających w Office365”. Większość operacji PerSwaysion zostało zorganizowanych przez oszustów z Nigerii i Południowej Afryki, którzy korzystali z zestawu phishingowego opartego na JavaScript Vue.js, ewidentnie opracowanego i wynajętego od wietnamskojęzycznych hakerów.
„Do końca września 2019r. kampania PerSwaysion przyjęła wiele dojrzałych stosów technologicznych, używając Google Appspot do serwerów phishingowych i Cloudflare do serwerów zaplecza danych”.
Podobnie jak większość ataków phishingowych mających na celu kradzież danych uwierzytelniających Microsoft Office 365, fałszywe wiadomości e-mail wysyłane w ramach operacji PerSwaysion również przyciągały ofiary nieszkodliwym załącznikiem PDF zawierającym link „czytaj teraz” do pliku hostowanego przez Microsoft Sway.
„Atakujący wybierają legalne usługi udostępniania treści w chmurze, takie jak Microsoft Sway, Microsoft SharePoint i OneNote, aby uniknąć wykrycia ruchu” – twierdzą naukowcy.