Nowy, krytyczny atak na łańcuch dostaw oprogramowania z 14 milionami pobrań tygodniowo
W piątek prawdziwym wstrząsem było ostrzeżenie o „krytycznej wadze”, związane z bezpieczeństwem łańcucha dostaw oprogramowania. Na GitHubie opublikowano informacje o nowym złośliwym oprogramowaniu osadzonym w dwóch menedżerach pakietów npm, szeroko wykorzystywanych przez niektórych z największych graczy w branży IT. Zgodnie z oddzielnymi komunikatami, potwierdzonymi przez zespół ds. bezpieczeństwa npm, dwa popularne menedżery pakietów npm — parser Coa i program ładujący konfigurację rc — zostały skompromitowane i sfałszowane za pomocą złośliwego oprogramowania kradnącego hasła.
Zespół ds. bezpieczeństwa npm potwierdził, że pakiet rc zawierał wersje ze złośliwym kodem. Użytkownicy wersji, których dotyczy problem (1.2.9, 1.3.9 i 2.3.9), powinni jak najszybciej przejść na wersję 1.2.8 i sprawdzić swoje systemy pod kątem podejrzanej aktywności.
Pakiet rc jest szeroko rozpowszechniany i używany przez główne organizacje technologiczne i generuje ponad 14 milionów pobrań tygodniowo.
Problem ten dotyczył również parsera Coa dla opcji wiersza poleceń. Coa generuje około 8,8 miliona pobrań tygodniowo i jest kolejnym ogniwem w łańcuchu dostaw oprogramowania typu open source.
„Każdy komputer, na którym zainstalowano lub uruchomiono [zagrożony] pakiet, należy uznać za w pełni zagrożony” — ostrzegał GitHub.
„Wszystkie sekrety i klucze przechowywane na tym komputerze powinny zostać natychmiast przeniesione z innego komputera. Pakiet powinien zostać usunięty, ale ponieważ pełna kontrola nad komputerem mogła zostać przekazana podmiotowi zewnętrznemu, nie ma gwarancji, że usunięcie pakietu spowoduje usunięcie wszelkiego złośliwego oprogramowania powstałego w wyniku jego zainstalowania” – dodała firma.
„Pakiet npm ua-parser-js miał trzy wersje opublikowane ze złośliwym kodem. Użytkownicy wersji, których dotyczy problem (0.7.29, 0.8.0, 1.0.0) powinni dokonać aktualizacji tak szybko, jak to możliwe i sprawdzić swoje systemy pod kątem podejrzanej aktywności” – stwierdził GitHub.
Ransomware Babuk atakuje luki w Exchange w nowej kampanii
Według badaczy bezpieczeństwa z Cisco Talos, nowo zaobserwowana kampania ransomware Babuk jest wymierzona w luki ProxyShell w Microsoft Exchange Server.
Naukowcy zauważyli oznaki, że osoby atakujące używają powłoki internetowej China Chopper do początkowego włamania, a następnie wykorzystują ją do rozmieszczenia Babuka.
Błędy śledzone jako CVE-2021-34473, CVE-2021-34523 i CVE-2021-31207 zostały rozwiązane w kwietniu i maju, a szczegóły techniczne podano do publicznej wiadomości w sierpniu. Nieuwierzytelniony atakujący może połączyć błędy w celu wykonania dowolnego kodu.
Ataki wykorzystujące błędy bezpieczeństwa trwały od kilku miesięcy, a badacze Cisco twierdzą, że działający od lipca 2021 r. „cyberprzestępca Tortilla” zaczął atakować błędy Exchange Server.
Zastosowany łańcuch infekcji zawiera pośredni moduł rozpakowujący, który jest pobierany z pastebin.pl (klon pastebin.com), a następnie dekodowany w pamięci przed odszyfrowaniem i wykonaniem końcowego ładunku.
Firma Cisco Talos odkryła, że do początkowego włamania wykorzystywany jest zmodyfikowany exploit EfsPotato, którego celem są zarówno luki ProxyShell, jak i PetitPotam.
Po uruchomieniu ransomware Babuk próbuje wyłączyć serię procesów na zaatakowanym serwerze, zatrzymać produkty do tworzenia kopii zapasowych, a także usuwa migawki usługi woluminów w tle (VSS). Następnie szyfruje wszystkie pliki na serwerze i dołącza do nich rozszerzenie „.babyk”.
Oprogramowanie ransomware następnie wdraża żądanie okupu, żądając od ofiary zapłaty okupu w wysokości 10 000 USD w zamian za klucz deszyfrujący.
Początkowo, szczegółowo omówiony w styczniu 2021 r., Babuk był ukierunkowany na systemy Windows i Linux w środowiskach korporacyjnych i używa dość złożonego mechanizmu generowania kluczy, aby zapobiec odzyskiwaniu plików. Darmowe narzędzie do deszyfrowania Babuk zostało wydane w zeszłym tygodniu.
FBI ostrzega przed oszustwami z Kodami QR
Federalne Biuro Śledcze (FBI) opublikowało w tym tygodniu ostrzeżenie dotyczące oszustw, które kierują ofiary do korzystania z bankomatów kryptowalutowych i kodów szybkiej odpowiedzi (QR) w celu dokonywania transakcji płatniczych.
Kody QR mogą być używane do wypełniania pól odbiorcy podczas próby wysłania kryptowaluty do określonego miejsca docelowego, a także mogą być używane w bankomatach z kryptowalutami do dokonywania płatności.
Chociaż kody QR są już od jakiegoś czasu wykorzystywane do legalnych płatności, cyberprzestępcy zaczęli je wykorzystywać, aby otrzymywać od swoich ofiar nieuczciwe płatności w kryptowalutach.
W tym celu cyberprzestępcy angażują się w internetowe systemy, w których podszywają się pod funkcjonariuszy prawnych, organy ścigania lub przedsiębiorstwo użyteczności publicznej – a także inicjują internetowe romanse, aby nakłonić niczego niepodejrzewające ofiary do wysłania im pieniędzy.
„Oszust często żąda zapłaty od ofiary i może nakazać ofierze wypłatę pieniędzy z kont finansowych ofiary, takich jak konta inwestycyjne lub emerytalne” – wyjaśnia FBI.
Ofiara otrzymuje kod QR powiązany z portfelem kryptowalutowym oszusta, a także jest kierowana do fizycznego bankomatu kryptowalutowego w celu zakupu kryptowaluty i wysłania go oszustowi za pomocą dostarczonego kodu QR.
Według FBI oszuści często są w ciągłej komunikacji z ofiarą przez cały proces, aby przekazać im instrukcje krok po kroku i upewnić się, że płatność została zakończona.
Przesłane w ten sposób środki są trudne do odzyskania, ze względu na zdecentralizowany charakter kryptowaluty – wyjaśnia również Biuro. Po zrealizowaniu płatności cyberprzestępca natychmiast staje się właścicielem kryptowaluty i zwykle przenosi ją na zagraniczne konto.