Nowy gracz oferuje szpiegowskie oprogramowanie na iPhone-y
Citizen Lab z Uniwersytetu w Toronto, w swojej najnowszej publikacji zwrócił uwagę na interesującego gracza w prywatnym sektorze mobilnego oprogramowania szpiegującego. To mała firma- Cytrox z Macedonii Północnej, producent wysokiej klasy trojanów na iPhone-y.
Citizen Lab połączył siły z zespołem zajmującym się badaniem zagrożeń w Meta (dawniej Facebook). Oba zespoły opublikowały raport techniczny, w którym twierdzą, że Cytrox jest odpowiedzialny za złośliwe oprogramowanie podsłuchujące iPhone’a, które zostało umieszczone na telefonach należących do dwóch znanych Egipcjan.
Szkodnik o nazwie Predator potrafił zainfekować najnowszą wówczas wersję systemu iOS (14.6) za pomocą odsyłaczy wysyłanych na WhatsApp-ie.
Egipski dysydent na wygnaniu- Ayman Nour był przestraszony przegrzaniem swojego iPhone’a i ostatecznie znalazł dowody na to, że na urządzeniu działają dwa różne programy szpiegowskie – zarządzane przez dwóch różnych rządowych aktorów APT. Citizen Lab przypisał ten atak egipskiemu rządowi, który jest znanym klientem Cytroxa.
Citizen Lab powiedział, że telefon Noura został zainfekowany zarówno Predatorem Cytroxa, jak i bardziej znanym oprogramowaniem szpiegującym Pegasus sprzedawanym rządom przez izraelskiego dostawcę NSO Group.
W swoim wystąpieniu Citizen Lab udokumentował historię korporacyjną Cytrox jako startupu założonego w 2017 roku przez Ivo Malinkovksi, mieszkańca Macedonii Północnej, który połączył firmę z Intellexą i publicznie sprzedał narzędzia do kryminalistyki cyfrowej. Firma twierdzi, że ma siedzibę w Unii Europejskiej z laboratoriami badawczo-rozwojowymi i oddziałami w całej Europie.
Zespół Facebooka powiedział, że zniszczył 300 kont wykorzystywanych przez Cytrox i zidentyfikował firmę jako tę, która „opracowuje exploity i sprzedaje narzędzia do nadzoru oraz złośliwe oprogramowanie, które umożliwiają swoim klientom złamanie zabezpieczeń urządzeń z systemem iOS i Android”.
Stopień ważności drugiej luki Log4j zwiększono do krytycznej!
Eksploatacja luki Log4j śledzonej jako CVE-2021-44228, Log4Shell i LogJam rozpoczęła się na początku grudnia, wraz z pierwszymi raportami o atakach opisujących aktywność związaną z nastawionymi na zysk cyberprzestępcami dostarczającymi koparki kryptowaluty, złośliwe oprogramowanie DDoS, oprogramowanie ransomware i inne złośliwe programy.
Następnie, 14 grudnia, Mandiant poinformował, że odkrył sponsorowanych przez państwo chińskich i irańskich cyberprzestępców wykorzystujących lukę Log4Shell. Następnego dnia Microsoft poinformował, że zaobserwował aktywność związaną z Chinami, Iranem, Koreą Północną i Turcją.
W piątek firma SecurityScorecard, zajmująca się oceną cyberbezpieczeństwa i zarządzaniem ryzykiem, poinformowała, że widziała aktywność powiązaną z chińskimi i rosyjskimi APT. W przypadku Chin firma nazwała APT10, w przypadku Rosji wymieniła APT28, Turla, Ursnif i Grizzly Steppe.
Co ciekawe, analiza SecurityScorecard wykazała również adresy IP, które były wcześniej powiązane z domenami Drovorub. Drovorub to tajemniczy kawałek złośliwego oprogramowania, które amerykańskie agencje wywiadowcze powiązały z rosyjskim APT28 latem 2020 roku. NSA i FBI wydały wówczas ostrzeżenie.
Oprócz grup cyberszpiegowskich Advintel poinformował, że znana grupa Conti zajmująca się oprogramowaniem ransomware wykorzystuje Log4Shell przeciwko serwerom VMware vCenter.
CVE-2021-44228 został załatany 6 grudnia wraz z wydaniem Log4j 2.15.0. Jednak wkrótce odkryto, że poprawka była niekompletna w niektórych konfiguracjach innych niż domyślne, a wykorzystywanie może nadal prowadzić do ataków typu „odmowa usługi” (DoS) „lub gorzej”.
Do tego problemu przypisano nowy identyfikator CVE, CVE-2021-45046, a także wydano kolejną rundę aktualizacji — wersje 2.12.2 i 2.16.0 — aby naprawić tę lukę i uniemożliwić dostęp do funkcjonalności wykorzystywanej w atakach.
CVE-2021-45046 początkowo otrzymał wynik CVSS 3,7, ale po dalszej analizie przypisano mu CVSS 9, co czyni go „krytyczną dotkliwością”. Jego ocena ważności została uaktualniona po tym, jak badacze odkryli, że jego wykorzystanie może prowadzić do wycieków informacji, lokalnego wykonania kodu i zdalnego wykonania kodu.
Cloudflare powiedział w środę, że obserwuje próby wykorzystania CVE-2021-45046. W czwartek Cloudflare zgłosił wzrost liczby ataków Log4Shell, a firma odnotowała ponad 100 000 prób na minutę w określonych porach dnia.
Warto zauważyć, że log4j 2.16.0 łata zarówno CVE-2021-44228, jak i CVE-2021-45046 — organizacje, których dotyczy problem, powinny zaktualizować narzędzie do rejestrowania do tej wersji.
Tydzień po ujawnieniu Log4Shell skanowanie korporacyjnych środowisk chmurowych przeprowadzone przez firmę Wiz zajmującą się bezpieczeństwem chmury wykazało, że tylko 30% podatnych na ataki zasobów zostało załatanych.
Botnet przejmuje transakcje kryptowaluty
W ciągu ostatnich pięciu lat botnet Phorpiex zdołał przejąć około 3000 transakcji kryptowalutowych, kradnąc setki tysięcy dolarów.
Mniej więcej od 2016 r. botnet zasłynął z dużych kampanii spamowych związanych z oszustwami seksualnymi i szacuje się, że w 2019 r. zainfekował milion urządzeń na całym świecie. Mimo to jego aktywność gwałtownie spadła latem 2021 roku, a pod koniec sierpnia operatorzy ogłosili, że go sprzedają.
Kilka tygodni później serwery dowodzenia i kontroli (C&C) botnetu pojawiły się ponownie z nowym adresem IP, a także rozpoczęły dystrybucję nowego bota o nazwie Twizt, który przełączył się w tryb peer-to-peer i nie polegał już na centralnym Serwerze kontroli.
Bot Twizt, jak wyjaśniają analitycy bezpieczeństwa Check Point, może przekonfigurować domowe routery obsługujące UPnP w celu odbierania połączeń przychodzących.
Phorpiex zainfekował urządzenia w 96 krajach, a większość ofiar znajduje się w Etiopii, Nigerii i Indiach. Chociaż liczba zainfekowanych urządzeń przez cały rok utrzymywała się na względnie stałym poziomie, botnet rozwijał się w ciągu ostatnich dwóch miesięcy, twierdzą badacze.
Botnet od dawna jest zdolny do krypto-jackingu, dystrybucji ransomware i dostarczania spamu, a wariant Twizt zawiera krypto-clipper, który obsługuje ponad 30 portfeli dla różnych łańcuchów bloków, takich jak Bitcoin, Dash, Dogecoin, Ethereum, Monero i Zilliqa. Dzięki temu może kraść środki podczas transakcji kryptowalutowych, zastępując adres portfela odbiorcy – który został zapisany w schowku – adresem portfela osoby atakującej.
Check Point zidentyfikował 60 unikalnych portfeli Bitcoin i 37 portfeli Ethereum wykorzystywanych przez operatorów botnetu i szacuje, że od listopada 2020 r. do listopada 2021 r. Phorpiex został wykorzystany do przejęcia 969 transakcji, kradnąc prawie pół miliona dolarów.
„W zeszłym roku Phorpiex otrzymała istotną aktualizację, która przekształciła go w botnet typu peer-to-peer, umożliwiając zarządzanie nim bez scentralizowanej infrastruktury. Serwery C&C mogą teraz zmieniać swoje adresy IP i wydawać polecenia, ukrywając się wśród ofiar botnetu”, podsumowuje Check Point.