Botnet HEH / Raccine / Zerologon / MosaicRegressor

Specjaliści z 360NetLab natrafili na nowy, ciekawy botnet IoT, który za pomocą brute force łamie zabezpieczenia portów telnet i następnie wymazuje całe urządzenie. Dodatkowo, HEH botnet posiada także bardzo dziwaczną funkcję – lub jego twórcy, specyficzne poczucie humoru. Mianowicie, botnet przez bardzo krótki czas wyświetla Deklarację Praw Człowieka ONZ… w ośmiu językach. HEH to oczywiście nie jest jedyny news tego zestawienia.

1. Raccine, nowa szczepionka przeciw ransomware jest w stanie zatrzymać proces kasowania Windows Shadow Volumes

System Windows każdego dnia tworzy kopie zapasowe systemu i plików danych, które następnie przechowuje w postaci migawki. Z takiej migawki użytkownik jest następnie w stanie odzyskać pliki, które zostały omyłkowo usunięte lub nadpisane. Nie jest więc sekretem, że jest to funkcja systemu Windows która zdecydowanie nie odpowiada cyberprzestępcom. Dlatego jedną z pierwszych rzeczy, które wykonuje ransomware, jest usunięcie wszystkich kopii Shadow Volume z atakowanego komputera.

Jednak na cyberhoryzoncie pojawiło się światełko nadziei. Nowo wypuszczona szczepionka o nazwie Raccine jest w stanie zakończyć procesy, które próbują wykasować kopie Windows Shadow Copies z pomocą vssadmin.exe.

Istnieją dwie metody usuwania woluminów:

vssadmin delete shadows /all /quiet

lub

vssadmin.exe resize shadowstorage /for=D: /on=D: /maxsize=401MB

Raccine monitoruje usuwanie kopii woluminów – przechwytuje żądanie i zabija wywołujące je procesy. Jeśli program wykryje, że proces używa opcji „vssadmin delete” lub „vssadmin resize shadowstorage”, automatycznie go zakończy. Jest to o tyle istotne, że właśnie tak działa

Może się tak zdarzyć, że Raccine może zakończyć działanie legalnego oprogramowania, które używa vssadmin.exe w ramach swoich procedur tworzenia kopii zapasowych. Aby tego uniknąć, administratorzy powinni wprowadzić zmiany w konfiguracji – zezwolić niektórym programom na obejście Raccine, tak by nie zostały omyłkowo zakończone.

Źródło

2. Botnet HEH może wyczyścić routery i urządzenia IoT

Nowo odkryty botnet zawiera kod, który może usunąć wszystkie dane z zainfekowanych systemów, takich jak routery, serwery i urządzenia Internetu Rzeczy (IoT). Nazwany HEH, rozprzestrzenia się, przeprowadzając ataki typu brute-force na każdy system połączony z Internetem, którego porty Telnet (23 i 2323) są ujawnione w sieci. Jeśli urządzenie korzysta z domyślnych lub łatwych do odgadnięcia danych logowania Telnet, botnet uzyskuje dostęp do systemu. Następnie natychmiast pobiera jeden z siedmiu plików binarnych, które instalują złośliwe oprogramowanie HEH.

Obecne funkcje HEH to:

1) Funkcja usidlająca zainfekowane urządzenia i zmuszająca je do przeprowadzania ataków brute force w celu wzmocnienia botnetu, 

2) funkcja, która umożliwia atakującym uruchamianie poleceń Shell na zainfekowanym urządzeniu,

3) odmiana powyższej funkcji wykonująca listę predefiniowanych operacji Shell, które czyszczą wszystkie partycje urządzenia.

Botnet HEH został odkryty przez badaczy bezpieczeństwa z Netlab i po raz pierwszy opisany w zeszłym tygodniu. Specjaliści nie są w stanie stwierdzić, czy operacja czyszczenia urządzenia jest zamierzona, czy jest to tylko źle zakodowana procedura samozniszczenia. Niezależnie jednak od intencji, uruchomienie tej funkcji może skutkować setkami lub tysiącami zablokowanych i niedziałających urządzeń. W tym domowych routerów, inteligentnych urządzeń (IoT), czy serwerów Linux.

Czyszczenie wszystkich partycji powoduje czyszczenie oprogramowania sprzętowego i systemu operacyjnego urządzenia. Operacja ta może zablokować urządzenia do czasu ponownej instalacji firmware i systemu operacyjnego. 

Obecnie Netlab potwierdził wykrycie próbek HEH działających na następujących architekturach procesorów: x86 (32/64), ARM (32/64), MIPS (MIPS32 / MIPS-III) i PPC. 

Ale to nie koniec…botnet HEH nadal się rozprzestrzenia…

Źródło

3. Zerologon w parze z błędem w File Manager – popularnym pluginie WordPress

File Manager to bardzo popularna wtyczka służąca do zarządzania plikami w ramach stron postawionych na WordPress. Zdaniem specjalistów z Wordfence, posiada ona jednak poważną wadę, którą atakujący mogą wykorzystać, wysyłając specjalnie spreparowane żądanie do connector.minimal.php. A w efekcie, uzyskać możliwość zdalnego wykonania kodu w podatnej na ataki witrynie WordPress.

Zerologon opiera się na luce w szyfrowaniu i umożliwia zmianę hasła do konta maszyny na puste. Następnie skróty NTML kontrolera domeny można zdalnie eksfiltrować. W takiej sytuacji, hasło do maszyny musi zostać szybko przywrócone, w przeciwnym razie kontrolery domeny nie będą się synchronizować, co może następnie doprowadzić do awarii sieci.

Jeśli komunikacja z kontrolerem domeny zostanie poprowadzona ze strony atakującego, to w dużej mierze, może on zostać administratorem domeny jednym kliknięciem.

Chociaż komunikacja z siecią wewnętrzną i kontrolerem domeny może odbywać się tylko w ramach intranetu, wiele sieci stosuje słabe polityki i posiada złą architekturę opartą na segregacji i segmentacji. W efekcie, serwery sieciowe – zlokalizowane w DMZ – mogą również komunikować się wewnętrznie z zasobami sieci wewnętrznej oraz z kontrolerami domeny. Cyberprzestępcy są w stanie teraz to wykorzystać w praktyce, właśnie z powodu podatności we wtyczce File-Manager (CVE-2020-25213), która umożliwia wykonanie dowolnego kodu po stronie serwera (luka RCE).

Cyberatak na skalę globalną

WordFence podaje, że 4 września br. odnotowano ataki na ponad 1,7 miliona witryn. A 10 września – czyli raptem 6 dni później – łączna ilość zaatakowanych stron wzrosła do ponad 2,6 miliona.

W jaki sposób przestępcy wykorzystują nową podatność?

  • Rozpowszechnianie kampanii phishingowych na szeroką skalę.
  • Wszczepianie backdoora w celu kradzieży danych, informacji o karcie płatniczej lub danych wrażliwych.
  • Dodawanie kryptominer’ów (JS) do kodu źródłowego podatnej witryny (np. Index.php).
  • Rozprzestrzenienie się w ramach sieci wewnętrznej i wykorzystywania podatności Zerologon do ataków na kontrolery domeny.

Źródło

4. MosaicRegressor – drugi w historii rootkit atakujący UEFI

Specjaliści z Kaspersky wykryli rzadki rodzaj potencjalnie niebezpiecznego malware, które atakuje proces bootowania urządzenia. Kampania obejmuje użycie naruszonych UEFI (Unified Extensible Firmware Interface) zawierających złośliwy implant. To drugi znany przypadek, w którym rootkit UEFI został użyty na szeroką skalę (o pierwszym pisaliśmy w styczniu 2019).

Według specjalistów, fałszywe obrazy firmware UEFI zostały zmodyfikowane tak, aby zawierały kilka modułów umieszczających malware na urządzeniu ofiar. Ta technika została wykorzystywana w serii targetowanych ataków na członków organizacji pozarządowych z Afryki, Azji i Europy. 

Interfejs UEFI to następca BIOS-a w nowszych komputerach osobistych, którego celem jest poprawa bezpieczeństwa. Ponieważ UEFI ułatwia ładowanie samego systemu operacyjnego, rootkity są odporne na jego ponowną instalację lub wymianę dysku twardego. Osoba atakująca może więc zmodyfikować oprogramowanie układowe, aby wdrożyło złośliwy kod, który zostanie uruchomiony po załadowaniu systemu operacyjnego. Wydaje się, że właśnie tak działa to w tym przypadku. 

Chociaż dokładny wektor infekcji użyty do nadpisania oryginalnego firmware pozostaje nieznany, specjaliści podejrzewają, że musiał zostać wykorzystany fizyczny dostęp do maszyny ofiary.

Nowe złośliwe oprogramowanie UEFI jest niestandardową wersją bootkita grupy VectorEDK, który wyciekł w 2015 r. Służy do umieszczania ładunku o nazwie MosaicRegressor – wieloetapowego i modułowego frameworka służącego do szpiegostwa i gromadzenia danych, zawierającego dodatkowe downloadery. Te służą do kontaktowania się z serwerem C2 i pobierania bibliotek DLL, które wykorzystywane są w celu wykonywania określonych poleceń. Ich wyniki są eksportowane z powrotem na serwer C2 lub przesyłane na zwrotny adres e-mail, z którego atakujący mogą zebrać zgromadzone dane. 

Złośliwe ładunki są dystrybuowane na różne sposoby, w tym za pośrednictwem wiadomości e-mail ze skrzynek pocztowych (“mail.ru”) zakodowanych na stałe w pliku binarnym szkodliwego oprogramowania.

Kto stoi za zagrożeniem? Na razie nie wiadomo. Kaspersky łączy jeden z wariantów MosaicRegressor z chińską grupą hakerów, znaną jako Winnti (aka APT41).

Źródło