StrandHogg 2.0 / PonyFinal / ComRAT / NSA przestrzega przed luką Exim

Trzy największe cyberzagrożenia ostatniego tygodnia pokazują, że atakujący opanowali do perfekcji sprawne adaptowanie się do nowych warunków. Interface webowy Gmaila służy przestępcom do komunikacji command and control. Microsoft przestrzega użytkowników przed tzw, human-operated ransomware attacks. Ale dzisiejsze zestawienie otwiera nowo odkryta wada w systemie Android, która pozwala na przeprowadzenie rozszerzonego ataku StrandHogg 2.0 – znacznie groźniejszego, ponieważ na dużo większą skalę.  

1. StrandHogg 2.0 – nowa podatność naraża na atak ponad 1 mld urządzeń z Androidem

Nowo wykryta podatność – oznaczona jako CVE-2020-0096 – umożliwia atakującym przeprowadzenie ataku Strandhogg 2.0 na dużo większą skalę.

Czym właściwie jest StrandHogg? O pierwotnej wersji tego ataku przeczytacie więcej tutaj. Nowa podatność dotyczy tej części systemu Android, która odpowiada za wielozadaniowość. Jeśli niebezpieczne aplikacja znajdzie się już na urządzeniu jest w stanie podszywać się pod inne i w ten sposób przechwytywać dane oraz zdobywać wszystkie konieczne uprawnienia, aby atakujący mógł przejąć kontrolę nad urządzeniem. Taka aplikacja jest w stanie m.in. szpiegować użytkownika, uzyskując dostęp do kamery i mikrofonu, zdobyć informacje o lokalizacji urządzenia, sczytywać SMS-y, przechwytywać dane logowania (w tym kody 2FA dostarczane za pomocą SMSów), uzyskać dostęp do zdjęć, filmów, kontaktów i historii połączeń. Do tego jest również w stanie samodzielnie wykonywać połączenia oraz nagrywać rozmowy ofiary.

Nowa generacja? Błąd na którym bazuje StrandHogg 2.0 prowadzi do podwyższenia poziomu uprawnień. Dzięki temu hacker jest w stanie uzyskać dostęp do prawie wszystkich aplikacji zainstalowanych na urządzeniu. O ile StrandHogg 1.0 mógł być wykorzystany do pojedynczych ataków, to już StrandHogg 2.0 pozwala atakującemu jednocześnie atakować prawie każdą aplikację na urządzeniu.

Atak rozpoczyna się w momencie, kiedy ofiara kliknie ikonę legalnej aplikacji. Zamiast jednak wybranej aplikacji tak naprawdę uruchamia się złośliwa aplikacja, która się pod nią tylko podszywa. W momencie, gdy ofiara nada jej już odpowiednie uprawnienia zostaje ona przekierowana do właściwej aplikacji. Dysponując już takim poziomem dostępu, atakujący może bez problemu wykradać interesujące go dane z urządzenia.

Czy można w jakiś sposób załatać podatność? Specjaliści, którzy wykryli nowe zagrożenie nie zaobserwowali jeszcze ataków wykorzystujących StrandHogg 2.0. Google jednak już w kwietniu przygotował odpowiednią łatkę bezpieczeństwa, która trafiła do producentów urządzeń mobilnych. W ciągu kolejnych tygodni posiadacze telefonów i tabletów z systemem Android w wersji 8.0, 8.1 i 9.0 otrzymają odpowiednią aktualizację. Android 10 jest bezpieczny.

Źródło

2. Microsoft ostrzega firmy na całym świecie przed ransomware PonyFinal 

Microsoft ostrzega organizacje na całym świecie, aby wdrożyły zabezpieczenia przed nowym oprogramowaniem ransomware. PonyFinal jest na wolności już od dwóch miesięcy. To oprogramowanie oparte na Javie, które jest wdrażane w atakach obsługiwanych przez ludzi. Oznacza to, że hakerzy naruszają sieci korporacyjne, a następnie sami wdrażają złośliwe oprogramowanie. Proces dystrybucji pomija więc znane nam kanały spamu, phishingu czy wykorzystania exploitów. 

Jak działa? Punktem włamania jest zazwyczaj konto na serwerze zarządzania systemami firmy, który atakujący łamią za pomocą ataków brute-force, odgadując słabe hasła. Po przedostaniu się do środka korzystają ze skryptu Visual Basic, który uruchamia odwrotną powłokę PowerShell, a następnie kopiuje i kradnie dane. Jednocześnie wdrażają zdalny system manipulatora, który pozwala im ominąć rejestr zdarzeń. Kiedy już atakujący opanują sieć docelową, rozprzestrzeniają się na inne systemy lokalne i ostatecznie infekują je PonyFinal. 

Microsoft przestrzega firmy, że zamiast skupiać się na payloads powinny raczej ustalić w jaki sposób wstrzyknięto je do wnętrza sieci.
Źródło: Microsoft

W większości przypadków hakerzy celują w stacje robocze z zainstalowanym Java Runtime Environment (JRE), gdyż sam PonyFinal jest napisany w Javie. Microsoft twierdzi jednak, że odnotował przypadki, w których hakerzy sami instalowali środowisko JRE w infekowanych systemach. 

Wreszcie, PonyFinal szyfruje pliki, zmienia ich nazwy (dodając rozszerzenie „.enc”) i generuje notatkę okupu „README_files.txt” w każdym folderze zawierającym zaszyfrowane pliki. W jednej z odnotowanych notatek wysokość kwoty okupu sięgnęła… 300 BTC, co odpowiada 2,8 mln USD! Na ten moment nie ma jeszcze oficjalnego oprogramowania deszyfrującego. 

Niestety, PonyFinal jest jednym z kilku programów ransomware, które zostały wykorzystane w atakach targetowanych w placówki medyczne podczas pandemii COVID-19. 

Źródło

3. ComRAT wykorzystuje Gmail Web Interface do komunikacji C&C

ComRAT jest backdoorem wiązanym przez specjalistów od bezpieczeństwa z rosyjską grupą przestępczą o nazwie Turla. Jego najświeższa wersja posiada nowe niepokojące funkcje. Jedna z nich pozwala złośliwemu oprogramowaniu na otrzymywanie poleceń i eksfiltrację danych za pośrednictwem webowego interfejsu użytkownika Gmail. Warto wspomnieć, że złośliwe oprogramowanie nie wysyła żądań HTTP, czy DNS do żadnej podejrzanej domeny. Widoczny jest wyłącznie ruch do i z mail.google.com.

W sytuacji, gdy nie są wysyłane żadne podejrzane żądania znacznie trudniej wykryć oraz zablokować taki atak. Szczególnie, gdy atakowana organizacja na co dzień korzysta z rozwiązań Google’a. W jaki sposób ComRAT łączy się z Gmailem? Okazało się, że ta wersja backdoora korzysta ze specjalnie przygotowanych plików cookie zapisanych w swojej konfiguracji. To właśnie z ich pomocą nawiązuje połączenie z interface’m skrzynki Gmail. Kiedy backdoor jest już spięty z usługą może sprawdzać skrzynkę odbiorcą oraz pobierać załączniki, które zawierają zaszyfrowane polecenia.

Zdaniem Matthieu Faou z firmy ESET ” ComRAT jest dobrym przykładem złożonego złośliwego oprogramowania, które zostaje wpuszczane na zhackowaną infrastrukturę aby szpiegować i działać w ukryciu przez bardzo długi okres czasu.”

Źródło

4. National Security Agency ostrzega przed wykorzystaniem luki w Exim

Nie każdego dnia amerykańska Agencja Bezpieczeństwa Krajowego (National Security Agency, NSA) ostrzega przed atakami. Tym razem jednak wzięła pod lupę hakerów z wywiadu wojskowego Kremla, którzy atakują systemy podatne na lukę zdalnego wykonania kodu (CVE-2019-10149) w popularnej usłudze Exim MTA (message transfer agent). Odpowiada ona za przesyłkę maili pomiędzy serwerami. Co ciekawe, łatka została wydana…rok temu! Ty już dawno jesteś po aktualizacji, prawda? 

Według NSA rosyjscy hakerzy należący do Głównego Zarządu Wywiadowczego (GRU) wykorzystują tę niezałataną lukę w celu dodania uprzywilejowanych użytkowników, wyłączenia ustawień bezpieczeństwa sieci, wykonania dodatkowych skryptów i dalszej eksploatacji sieci. W efekcie, błędna weryfikacja poprawności adresu odbiorcy w funkcji Exim’s deliver_message() w /src/deliver.c pozwala atakującym wstrzyknąć i wykonać polecenia shell, które pobierają i uruchamiają kolejny skrypt w celu przejęcia serwera. 

Ponieważ serwer poczty Exim jest szeroko stosowany na milionach serwerów Linux i Unix, błędy w MTA stanowią atrakcyjny cel dla hakerów wszystkich narodów. NSA nie powiedziało, kto dokładnie był celem ataku. Można jednak domniemać, że rosyjskie służby wojskowe mogą interesować się zagranicznymi agencjami rządowymi i podmiotami z kluczowych gałęzi przemysłu.

Jak się chronić? Zaktualizować Exim do wersji 4.93 lub nowszej pobierając ją z oficjalnej strony lub użyć managera pakietów dystrybucji Linuxa. 

Administratorzy powinni również uważnie obserwować swoje serwery i upewnić się, że nie doszło do żadnych podejrzanych działań, jak np. dodania nowych kont czy zmiany ustawień zabezpieczeń.

Źródło

5. Korzystasz z Discord? AnarchyGrabber otrzymał właśnie aktualizację i jest jeszcze groźniejszy

Discord to popularny komunikator, który został stworzony z myślą o graczach. Obecnie korzysta z niego ponad 200 milionów użytkowników. Od jakiegoś czasu jest on na celowniku przestępców (więcej przeczytasz tutaj). Trojan AnarchyGrabber otrzymał nową aktualizację i jest teraz w stanie wykradać hasła, tokeny, wyłączać 2FA oraz rozprzestrzeniać malware w ramach sieci kontaktów ofiary.

Kilka słów nt. AnarchyGrapper. Jest to popularny trojan, rozprzestrzeniany za darmo na forach hackerskich. Przestępcy przemycają trojana na Discord udając, że jest to tzw. game cheat lub narzędzie do hackowania.

Nowe szaty króla. AnarchyGrabber3 zadebiutował niespełna tydzień temu. Nowy wariant jest w stanie dodatkowo wykradać hasła plain text oraz zarażać kolejnych użytkowników komunikatora. Dysponując danymi uwierzytelniającymi ofiary przestępcy są w stanie przejąć kontrolę nad jej kontem.

Aby AnarchyGrabber3 był w stanie ładować dodatkowe skrypty JS musi najpierw zmodyfikować plik %AppData%\Discord\[wersja]\modules\discord_desktop_core\index.js klienta Discord. W następnym kroku zostaje załadowany kolejny złośliwy plik JS – discordmod.js. Ma on za zadanie wylogować użytkownika z Discord i zmusić go do podania danych uwierzytelniających do konta. Kiedy atakujący mają już pełny dostęp ]wyłączają uwierzytelnianie dwuskładnikowe, a następnie korzystając z Discord webhook przesyłają na swoje serwery adres email użytkownika, login, tokeny, hasło plain text oraz adres IP. Na koniec infekują kontakty ofiary – rozsyłana wiadomość posiada zaszyty malware.

To co czyni AnarchyGrabber3 wyjątkowo niebezpiecznym i efektywnym jest fakt, że większość ofiar nie ma pojęcia że została zainfekowana. W tle nie zachodzą żadne niebezpieczne procesy, antywirus nie ma więc większej szansy na wykrycie zagrożenia.

Jak sprawdzić, czy Twój klient Discord został zainfekowany? Otwórz w edytorze tekstowym plik %AppData%\Discord\[wersja]\modules\discord_desktop_core\index.js i zweryfikuj, czy nie zaszły w nim jakieś zmiany. Plik powinien posiadać wyłącznie jedną linijkę kodu:

module.exports = require(’./core.asar’);

Źródło

6. 500 mln danych z Facebooka na sprzedaż. W tym 3,2 mln z Polski

Na dark webie pojawiła się oferta sprzedaży 500 milionów danych użytkowników Facebooka z 82 krajów, które skradziony zostały między listopadem 2019 a majem 2020. Wśród nich jest 3,2 mln rekordów z Polski…

Skarbnica danych, którą haker oferuje od 15 maja 2020 roku zawiera takie informacje jak: imiona i nazwiska, płeć, lokalizacja, nazwa miasta, aktualna praca, stan cywilny, numery telefonów, adresy e-mail, linki do kont na Facebooku. 

Ile kosztują dane? Za 100 tys. rekordów trzeba zapłacić 450 dolarów. Oferta specjalna – im więcej kupujesz, tym mniej płacisz – koszt całej bazy to 30 tys. USD. 

Przykładowe dane widoczne w witrynie Hackread.com sugerują, że baza danych została skradziona z błędnie skonfigurowanej bazy danych lub kupiona od zewnętrznej firmy marketingowej. Taki podmiot może wykorzystywać tzw. data scrapping – dość powszechną praktykę wydobywania danych osobowych z mediów społecznościowych. Facebook umożliwia bowiem użytkownikom dostęp do różnych zewnętrznych stron internetowych przy użyciu danych logowania do konta na Facebooku. 

Próbka danych, które wystawiono na sprzedaż.
Źródło: Hackread

Ofiary wycieku mogą być teraz narażeni na phishing, smishing (phishing SMS) oraz kradzież tożsamości z wykorzystaniem publicznie dostępnych zdjęć w swoich profilach. Jeżeli jesteś użytkownikiem Facebooka zmień ustawienia wyświetlania konta tylko dla znajomych i zwracaj uwagę na podejrzane wiadomości e-mail czy SMS. 

Źródło