Sposób działania Evilnum
ESET donosi, że przez ostatnie dwa lata zaobserwował nową grupę zagrożeń. Grupa określana jest jako Evilnum. Atakuje firmy z branży technologii finansowych, głównie te z Unii Europejskiej i Wielkiej Brytanii. Stała się znana ze stosowania złośliwego oprogramowania Evilnum, które początkowo zidentyfikowano w 2018 r. W następnej fazie grupa rozszerzyła swój zestaw narzędzi o programy zakupione od dostawcy malweare jako usługi (MaaS) o nazwie Golden Chickens.
Evilnum koncentruje się na szpiegostwie, poszukując informacji finansowych, w tym dokumentów zawierających listy klientów oraz informacji o inwestycjach i transakcjach, prezentacji, danych uwierzytelniających do aplikacji handlowych, danych przeglądarki, danych logowania do poczty e-mail, danych karty kredytowej klienta, a nawet konfiguracji VPN.
Jako początkowy wektor ataku jest wykorzystywany atak typu Spear-phishing. Ofiara jest zachęcana do kliknięcia na link Dysku Google gdzie w pliku ZIP ukryty jest pliki LNK, który wykonuje kod JavaScript podczas wyświetlania dokumentu wabika (zwykle zdjęcie dowodu tożsamości). ESET uważa, że hakerzy wykorzystują dokumenty zebrane podczas bieżących operacji, aby ułatwić nowe ataki, w których dokumenty wabiące wydają się autentyczne.
Skrypt JS wdrożyłby dodatkowe złośliwe oprogramowanie, w tym oprogramowanie szpiegujące C # i Golden Chickens oraz aplikacje oparte na języku Python. Każdy komponent ma dedykowany serwer dowodzenia i kontroli (C&C) i działa niezależnie od innych. Komponenty są instalowane za pomocą poleceń ręcznych, a narzędzia po kompromitacji są uruchamiane ręcznie. W razie potrzeby początkowy JavaScript działa również jako backdoor, chociaż do tej pory był używany tylko do wdrażania dodatkowych komponentów. Od maja 2018 r. zaobserwowano kilka wariantów skryptu, z różnicami od zaktualizowanego kodu po stronie serwera do centrum kontroli, obsługa różnych poleceń, możliwość przesyłania plików do centrum kontroli oraz dodanie skryptów Python i narzędzi zewnętrznych.
Na podstawie otrzymanych poleceń złośliwe oprogramowanie może zatrzymać proces, przesuwać mysz, zrobić zrzut ekranu oraz wysłać pliki cookie Chrome i zapisane hasła na serwer. Operatorzy mogą także uruchamiać dodatkowe polecenia za pomocą wiersza poleceń.
„Ten atak jest skierowany na firmy fintech, które zapewniają platformy handlowe i inwestycyjne dla swoich klientów. Cele są bardzo konkretne i nieliczne. To, a także wykorzystanie przez grupę legalnych narzędzi w łańcuchu ataku, utrzymywało jej działalność w dużej mierze pod kontrolą. […] Uważamy, że ta i inne grupy mają tego samego dostawcę MaaS, a grupy Evilnum nie można jeszcze powiązać z żadnymi wcześniejszymi atakami żadnej innej grupy APT” – podsumowuje ESET.
Dlaczego warto zaktualizować swojego Junipera?
Ano dlatego, że w tym tygodniu Juniper Networks załatał wiele luk w swoich produktach, głównie takich, które można wykorzystać do ataków typu „odmowa usługi” (DoS). Firma opublikowała kilkanaście porad, które opisują kilka słabych punktów charakterystycznych dla produktów Juniper, a także dziesiątki wad mających wpływ na komponenty innych firm.
Większość słabości wpływa na system operacyjny Junos, ale niektóre dotyczą Juniper Secure Analytics, Junos Space i Junos Space Security Director.
Jedną z najpoważniejszych luk w oprogramowaniu Juniper jest CVE-2020-1647, krytyczny podwójny problem dotyczący zapór ogniowych serii SRX z włączoną usługą przekierowania ICAP. Może pozwolić zdalnemu atakującemu wywołać warunek DoS lub wykonać dowolny kod, wysyłając specjalnie spreparowane wiadomości HTTP.
Kolejnym krytycznym błędem bezpieczeństwa jest CVE-2020-1654, który może również powodować DoS lub zdalne wykonanie kodu. Luka ta wpływa również na zapory SRX, jeśli usługa ICAP jest włączona i można ją wykorzystać przy użyciu złośliwych wiadomości HTTP.
Pół tuzina luk w zabezpieczeniach zostało ocenionych jako bardzo dotkliwe, a wszystkie z nich można wykorzystać do ataków DoS, w tym do ataków trwałych. Wady o średnim stopniu zagrożenia mogą być również wykorzystane do ataków DoS. Firma usunęła również dziesiątki luk w zabezpieczeniach wpływających na komponenty innych firm, w tym problemy rozwiązane przed laty przez ich programistów. Lista obejmuje OpenSSL, oprogramowanie wewnętrzne Intel, Bouncy Castle, Java SE, oprogramowanie Apache i inne.
Juniper Networks twierdzi, że nie wie o żadnych atakach wykorzystujących luki, które załatano w tym tygodniu. W ubiegłym miesiącu kilkunastu urzędników USA wysłało list do Juniper z zapytaniem o wyniki dochodzenia wszczętego w 2015 r. po odkryciu backdoora. Firma otrzymała miesiąc na udzielenie odpowiedzi na osiem pytań, a termin upływa w piątek.
Bug bounty od Facebooka
Facebook ogłosił w piątek, że oferuje znaczące nagrody za pośrednictwem swojego programu premiowania za błędy za luki znalezione w Hermes i Spark AR.
Hermes to silnik JavaScript, który Facebook opublikował rok temu jako open source. Hermes jest używany przez aplikacje React Native na Androida i inne oprogramowanie, w tym Spark AR, platformę rzeczywistości rozszerzonej, która służy do tworzenia efektów na Facebooku, Instagramie, a nawet na inteligentnych wyświetlaczach portalu.
Luki znalezione w natywnym kodzie Facebooka zostały objęte programem premiowym za błędy, ale firma twierdzi, że chce zachęcić badaczy bezpieczeństwa do analizy Hermes i Spark AR, dlatego znacznie zwiększyła liczbę bonusów.
Na przykład “biały kapelusz” może zarobić 25 000 USD, jeśli zgłosi lukę w zabezpieczeniach lub łańcuch exploitów, który umożliwia zdalne wykonanie kodu podczas działania efektu Spark AR. Exploit może atakować bezpośrednio platformę Spark AR lub maszynę wirtualną Hermes JavaScript.
„Kwota może zostać dostosowana w zależności od konkretnego błędu i wykorzystania. Na przykład łańcuch wykorzystujący brak obejścia ASLR może spowodować nieco niższą wypłatę. Podobnie, zapis poza granicami kraju, w którym nie ma wyraźnej ścieżki do RCE, otrzyma niższą wypłatę” – wyjaśnił Facebook.
Luka umożliwiająca atakującemu odczyt danych użytkownika może być warta średnio 15 000 USD. Błędy typu „odmowa usługi” (DoS) wynikające z błędów odczytu lub zapisu poza zakresem mogą zarobić naukowców od 500 do 3000 USD.
Mogą również zarobić premię w wysokości do 15 000 USD, jeśli zapewnią pełny exploit-proof-of-concept (PoC), lub 40 000 USD za lukę w zabezpieczeniach umożliwiającą zdalne wykonanie kodu.