Niedługo po tym jak w serwisie GitHub pojawiały się pierwsze – i nad podziw liczne – skrypty proof-of-concept nowej podatności VMware RCE, hackerzy rozpoczęli poszukiwania podatnych serwerów. Producent wypuścił już aktualizację, jednak tysiące niezałatanych maszyn vCenter są nadal widoczne z poziomu internetu. To poważny problem. Wygląda na to, że jest to więc ostatni moment na przeprowadzenie „bezpiecznej aktualizacji”. Więcej w tym temacie przeczytacie poniżej.
Ponad 6700 serwerów VMware zagrożonych nowym krytycznym błędem RCE
Nowo wykryta podatność RCE (zdalne wykonywanie kodu) stanowi zagrożenie dla kilku tysięcy systemów VMware vCenter Server. Jak się okazuje, szybkie załatanie błędu jest dziś kluczowe – ponieważ przestępcy już skanują sieć w poszukiwaniu łatwych ofiar.
Dzięki tej nowej taktyce ataku, hackerzy mogą łatwo przejąć niezałatane maszyny – i w konsekwencji uzyskać kontrolę nad całą firmową siecią.
Podatność CVE-2021-21972 dotyczy vSphere Client (HTML5). Jest to plugin VMware vCenter – odmiana serwera zwykle wdrażanego w dużych sieciach korporacyjnych jako scentralizowane narzędzie do zarządzania. Z jego pomocą personel IT zarządza produktami VMware zainstalowanymi na lokalnych stacjach roboczych. Sytuację pogarsza dodatkowo fakt, że exploit to jednowierszowe żądanie cURL. Znacząco ułatwia to automatyzację ataku. Jest to na tyle nieskomplikowane, że możliwe do przeprowadzenia nawet przez osoby o stosunkowo niskich kwalifikacjach „hackerskich”.
Z uwagi na centralną rolę serwera vCenter, problem został sklasyfikowany jako wysoce krytyczny. Otrzymał 9.8 na 10 punktów w skali CVSS. Z uwagi na klasę problemu, został także prywatnie zgłoszony firmie VMware. Producent 23 lutego 2021 r., wydał oficjalną łatkę.
Jak pisaliśmy wcześniej, atakujący już skanują w poszukiwaniu podatnych serwerów vCenter. Według zapytania Shodan ponad 6700 serwerów VMware vCenter jest obecnie podłączonych do Internetu. Wszystkie te systemy są podatne na atak i przejęcie.
Przestępcy mają już trochę uproszczone zadanie. W serwisie GitHub pojawiły się już pierwsze skrypty exploitów proof-of-concept. Jeden z nich umożliwia przeprowadzanie ataków na systemy Windows oraz Linux. Rozpoczęła się więc walka z czasem.
Malware Silver Sparrow infekuje 30 tys. komputerów Mac w 153 krajach w nieznanym celu
Specjaliści z Red Canary, Malwarebytes i VMware Carbon Black odkryli nowe złośliwe oprogramowanie dla komputerów Mac – Silver Sparrow. Malware wykazuje niezwykłe właściwości, w tym komponent specjalnie skompilowany dla nowego chipa Apple M1.
Złośliwe oprogramowanie zainfekowało 29 139 urządzeń Mac w 153 krajach. Dużą liczbę ofiar odnotowano m.in. w Stanach Zjednoczonych, Wielkiej Brytanii, Kanadzie, Francji i Niemczech.
Silver Sparrow jest rozprowadzany jako dwa różne pliki – „updater.pkg” [VirusTotal] lub „update.pkg” [VirusTotal]. Jedyną różnicą widoczną jest to, że plik update.pkg zawiera zarówno plik binarny Intel x86_64, jak i plik binarny Apple M1. Plik updater.pkg zawiera tylko plik wykonywalny Intela.
W przeciwieństwie do większości adware macOS, które używają skryptów „preinstall” i „postinstall” do wykonywania poleceń lub instalowania złośliwego oprogramowania, Silver Sparrow wykorzystuje API Javascript w installerze macOS do wykonywania komend. Użycie JavaScript generuje różne dane telemetryczne, które utrudniają wykrycie złośliwej aktywności na podstawie argumentów wiersza poleceń.
Silver Sparrow pod obserwacją
Korzystając z JavaScript, Silver Sparrow tworzy skrypty powłoki wykorzystywane przez malware w celu komunikacji z serwerami C&C oraz pliki XML LaunchAgent Plist w celu okresowego wykonywania skryptów powłoki.
LaunchAgent łączy się co godzinę z serwerem C&C, aby sprawdzić, czy są nowe polecenia do wykonania. Malware sprawdzi obecność pliku ~ / Library /._ insu, a jeśli zostanie znaleziony, usunie siebie i wszystkie powiązane pliki. Badacze nie byli w stanie określić, co powoduje ten kill switch.
Po tygodniowej obserwacji badacze z Red Canary nie mogli wykryć kolejnych ładunków pobieranych i uruchamianych przez te cogodzinne kontrole. Dlatego też prawdziwy cel Silver Sparrow pozostaje tajemnicą. Pliki binarne Intel i Mach-O po uruchomieniu wyświetlają jedynie okno z napisem “Hello World” lub “You did it!” więc wyglądałoby to na proof-of-concept. Być może powiązane złośliwe oprogramowanie jest jeszcze w fazie rozwoju.
Po odkryciu tego malware, Apple unieważniło niektóre certyfikaty kont programistów zapobiegając zainfekowaniu nowych maszyn z systemem macOS. Z nieoficjalnej informacji przekazanej przez pracownika Apple wynika, że nie ma obecnie dowodów na złośliwe działanie Silver Sparrow.
Dane producenta samolotów, firmy Bombardier, są dostępne w dark webie po włamaniu do FTA
Bombardier, wiodący na świecie producent samolotów, poinformował, że cyberprzestępcy uzyskali dostęp do poufnych danych dotyczących pracowników, klientów i dostawców. Naruszenie zostało odkryte po tym, jak niektóre informacje zostały opublikowane na nielegalnym forum internetowym obsługiwanym przez operatorów ransomware Clop.
Wstępne dochodzenie ujawniło, że osoba nieupoważniona uzyskała dostęp do danych wykorzystując lukę w aplikacji do przesyłania plików innej firmy. Aplikacja działała na serwerach odizolowanych od głównej sieci informatycznej Bombardiera.
Uważa się, że napastnicy uzyskali dostęp poprzez lukę zero-day w Accellion FTA, zewnętrznym serwerze internetowym używanym do hostowania i udostępniania dużych plików, których nie można wysłać pocztą elektroniczną. Później w komunikacie prasowym Accellion potwierdził, że serwerów FTA używa 300 klientów, z czego stu zostało zaatakowanych, a dane skradzione z 25 firm.
Wcześniej, w związku z luką wyciekły dane firmy Furgo zajmującej się danymi geoprzestrzennymi, przedsiębiorstwa technologicznego Danaher, lidera wśród singapurskich telco Singtel oraz amerykańskiej kancelarii prawnej Jones Day.
Udostępniane na stronie dane Bombardiera obejmowały dokumenty projektowe różnych samolotów i ich części. Żadne dane osobowe nie zostały udostępnione, ale producent musi zmierzyć się teraz z faktem, że część jego własności intelektualnej jest teraz oferowana do bezpłatnego pobrania w dark webie.
Cyberprzestępcy wykorzystują transakcje blockchain BTC do ukrycia zapasowego serwera C&C
Specjaliści od bezpieczeństwa z firmy Akamai wykryli nowy botnet wydobywający kryptowaluty. Co kilka wydań donosimy wam o kolejnych tego typu zagrożeniach. Więc co wyjątkowego jest w tym nowym „znalezisku”? Wspomniany botnet wykorzystuje transakcje typu blockchain Bitcoin do implementacji mechanizmu tworzenia kopii zapasowych dla serwera Command&Control. Technika ta pozwala jego operatorom uodpornić swoją infrastrukturę na wypadek nieplanowego wyłączenia – chociażby przez organy ścigania.
Przestępcy korzystają ze skanerów serwerów Redis, aby znaleźć instalacje, które mogą zostać łatwo naruszone. Łańcuch infekcji rozpoczyna wykorzystywanie luki w zabezpieczeniach Remote Code Execution (RCE) wykrytych w Hadoop Yarn, Elasticsearch (CVE-2015-1427) czy też ThinkPHP (CVE-2019-9082).
W grudniu 2020 zespół Akamai odkrył adres portfela BTC, z adresem URL interfejsu API do sprawdzania portfela i bash one-liners. Eksperci odkryli, że dane z portfela były pobierane przez API i wykorzystywane do obliczania adresu IP używanego do zachowania trwałości łańcuchu.
Pobierając adresy przez API portfela, operatorzy botnetów mogą zaciemniać i tworzyć kopie zapasowe danych konfiguracyjnych w ramach łańcucha blockchain. Eksperci zauważyli również, że w sytuacji gdy przestępcy utracą kontrolę nad którymś z systemów, wystarczy, że wyślą małą sumę BTC do swojego portfela i mogą ponownie uzyskać kontrolę nad takim uwolnionym systemem.