Łata Microsoftu z lutego wymaga aktualizacji PowerShell-a!
Microsoft ostrzega użytkowników platformy Azure, aby zaktualizowali PowerShell-a — jeśli używają wersji 7.0 lub 7.1 — aby usunąć luki w zabezpieczeniach umożliwiającej zdalne wykonanie kodu, która została załatana na początku tego roku.
Gigant technologiczny doradził klientom, którzy zarządzają swoimi zasobami Azure przy użyciu wersji PowerShell do automatyzacji zadań, których dotyczy problem, aktualizację do wersji 7.0.6 lub 7.1.3. Zaktualizowaną wersję należy zainstalować „jak najszybciej”. Nie ma to wpływu na Windows PowerShell 5.1.
Luka została oznaczona jako CVE-2021-26701 i oceniona jako „wysoka”. Problem występuje w platformach .NET 5 i .NET Core ze względu na sposób wykonywania kodowania tekstu.
Podatność została załatana w lutym, ale programy PowerShell 7.0 i 7.1 zostały dodane do listy produktów, których dotyczy problem, dopiero w maju.
Nowy ransomware przypisywany Wizard Spider
Wizard Spider, znany gang cyberprzestępczy, który zarządzał botnetem TrickBot oraz rodzinami ransomware Ryuk i Conti, mógł stworzyć nową rodzinę oprogramowania ransomware, donosi Fortinet.
Oprogramowanie ransomware nazwane Diavol wykazuje podobieństwa do Conti, ale obserwowanym atakom brakuje niektórych taktyk wcześniej kojarzonych z Wizard Spiderem.
Na zainfekowanych maszynach oprogramowanie ransomware umieszcza w każdym folderze tekstową notatkę z żądaniem okupu, informując ofiary, że dane zostały wykradzione i grożąc publicznemu ujawnieniu, jeśli nie zostanie dokonana płatność.
Badacze bezpieczeństwa Fortinet twierdzą jednak, że żadna z zaobserwowanych przez nich próbek Diavol nie ma możliwości kradzieży danych, ale nie wykluczają możliwości dodania tej funkcji w przyszłej aktualizacji.
Skompilowany z Microsoft Visual C/C++ Compiler, Diavol używa do szyfrowania asynchronicznych wywołań procedur (APC) w trybie użytkownika, które są znacznie wolniejsze w porównaniu z algorytmami symetrycznymi. Po uruchomieniu złośliwe oprogramowanie zaczyna sprawdzać argumenty wiersza poleceń, aby skanować w poszukiwaniu określonych plików lub folderów i szyfrować lokalne partycje lub udziały sieciowe.
Oprogramowanie ransomware przechowuje swoje główne procedury w obrazach bitmapowych, które są przechowywane w sekcji zasobów PE. W sumie zidentyfikowano 14 procedur, w tym jedną, która nakazuje Diavol zatrzymanie usług i procesów i drugą, która usuwa kopie w tle.
W ramach obserwowanego ataku Diavol został wdrożony w połączeniu z Conti, choć na różnych maszynach. Oba używają prawie identycznych parametrów wiersza poleceń i tej samej funkcjonalności i działają z asynchronicznymi operacjami podczas kolejkowania plików do szyfrowania, co sugeruje bliskie połączenie między nimi.
Pomimo tego, że atak został przypisany Wizardowi Spiderowi, firma Fortinet zauważyła również pewne różnice między Diavol i Conti, takie jak brak kontroli, aby złośliwe oprogramowanie nie zainfekowało rosyjskich ofiar oraz brak wyraźnych dowodów na podwójne wymuszenie.
Badacze zauważyli również podobieństwa między żądaniem okupu Diavola a oprogramowaniem ransomware Egregor, obsługiwanym przez Twisted Spider. Chociaż gang jest podobno powiązany z Wizard Spiderem, uważa się, że obaj prowadzą własne, oddzielne operacje.
Ciekawy atak na urząd certyfikacji w Mongolii
Według badaczy bezpieczeństwa z Avast, nieznany aktor złamał serwery mongolskiego urzędu certyfikacji (CA) MonPass i użył strony internetowej organizacji w celu dystrybucji złośliwego oprogramowania.
Wygląda na to, że główny urząd certyfikacji w Azji Wschodniej, MonPass, został zaatakowany co najmniej sześć miesięcy temu, a hakerzy wracali na skompromitowany publiczny serwer sieciowy około ośmiu razy.
Według Avast, atakujący wykonali backdoorowe instalatory dystrybuowane za pośrednictwem strony internetowej organizacji. Nawet oficjalny klient MonPass został naruszony, a zainfekowane pliki binarne były dystrybuowane między 8 lutego a 3 marca 2021 roku.
Badacze bezpieczeństwa zidentyfikowali osiem różnych powłok internetowych i „tylnych drzwi” na zaatakowanym publicznym serwerze sieciowym. Jednocześnie odmówili przypisania ataków znanemu podmiotowi, ale powiedzieli, że niektóre z zaobserwowanych szczegółów technicznych pokrywają się z tymi, które zostały zawarte przez badaczy NTT Security Threat Intelligence w raporcie na temat powiązanej z Chinami grupy Winnti.
Złośliwy instalator został zaprojektowany w celu pobrania legalnego instalatora MonPass z oficjalnej strony internetowej i uruchomienia go, aby uniknąć wzbudzania podejrzeń. W tym samym czasie szkodliwe oprogramowanie pobierało plik obrazu bitmapowego zawierający ukryty w nim kod za pomocą steganografii.