Haker hakerowi…hakerem? Botnet Neutrino pokazuje, że może być w tym ziarno prawdy. W sieci pojawiła się również nowa odmiana trojana Asurex, która atakuje przez luki w MS Office i Adobe Acrobat sprzed…6 lat! W najnowszym przeglądzie newsów nawołujemy zatem do pilnych aktualizacji nie tylko Office i Adobe, ale również Android RDP czy Cisco Switch. Ponadto – poznajcie Triton 400 – symulator, który potrafi odtworzyć dowolny atak.
1. Botnet Neutrino kanibalizuje działania innych hakerów
Haker hakerowi…hakerem? Specjaliści bezpieczeństwa z Positive Technologies ujawnili pod koniec zeszłego tygodnia, że botnet Neutrino przez ponad rok atakował i przejmował serwery za pośrednictwem tzw. webshelli – backdoorów na serwerach sieciowych… innych hakerów. Badacze połączyli botnet z byłym trojanem Windows o nazwie Neutrino.
Jego nowe wykorzystanie rozpoczęło się w 2018 roku przez grupę, która stworzyła wielofunkcyjny botnet skanujący losowe adresy IP w poszukiwaniu określonych aplikacji i serwerów do infekowania. Wykorzystywali exploity, niezabezpieczone serwery phpMyAdmin czy ataki typu brute-force w celu zdobycia dostępu do kont root’a phpMyAdmin, Tomcat czy MS-SQL. Do tej pory – brzmi jak klasyczny botnet.
Co więc wyjątkowego w Neutrino? Specjaliści doszukali się działań, których nie widać w innych botnetach. Przykładowo Neutrino wyszukuje węzły platformy Etherum, które zostały uruchomione z domyślnymi hasłami. Następnie łączy się z nimi w celu wykradania lokalnie przechowywanych funduszy.
Ale tym, co naprawdę odróżnia Neutrino od większości innych botnetów jest skupienie się na przejmowaniu webshelli. Są to dostępne w sieci skrypty typu backdoor, które umożliwiają zdalny dostęp do powłoki systemowej serwera. Mają one interfejs internetowy, z którym hakerzy mogą się łączyć i wydawać polecenia za pośrednictwem przeglądarki lub API, do którego wysyłają instrukcje.
Neutrino przeszukiwało sieć w poszukiwaniu 159 różnych rodzajów powłok PHP i dwóch JSP (Java Server Pages). Następnie botnet kompilował listę webshelli oraz uruchamiał ataki typu brute-force próbując przejąć dostęp do nich i kontrolowanych przez nie serwerów. Sytuacja, w której jeden botnet kanibalizuje zainfekowane hosty innego szkodliwego oprogramowania jest raczej niespotykana.
Jak się chronić? Aby zabezpieczyć serwery przed infekcją Neutrino należy sprawdzić hasła do konta root w phpMyAdmin. Oczywiście trzeba również pamiętać o łataniu usług i instalowaniu najnowszych aktualizacji.
2. Trojan Asurex atakuje przez stare luki w Adobe i Office
Jak ważna jest bieżąca aktualizacja oprogramowania? Oby nie musieli przekonać się o tym użytkownicy wersji Adobe Acrobat i pakietu Office sprzed co najmniej 6 lat. Specjaliści TrendMicro odkryli nową wersję Asurex Trojan, która atakuje z wykorzystaniem dawno już zapomnianych luk. Zapomnianych – bo załatanych przez producenta, choć niekoniecznie zaktualizowanych przez użytkowników.
Stara metoda, nowy sposób. Metoda ataku również nie należy do najbardziej oryginalnych. Samo oprogramowanie to odmiana Asurex Backdoor powiązanego z grupą DarkHotel znaną z atakowania biznesowych gości hotelowych za pośrednictwem sieci Wi-Fi. Asruex istnieje od 2015 r. i pozwala atakującym przejąć zdalną kontrolę nad zainfekowanymi systemami. Infekuje je za pomocą skrótu do pliku. Po otwarciu wykonuje on polecenie PowerShell i pobiera Asruex do systemu.
Kto zagrożony? Nowy wariant pojawił się rok temu i zagraża użytkownikom Adobe Reader 9.x do wersji do wersji 9.4 i Acrobat w wersji 8.x do wersji 8.2.5 w systemach Windows i Mac OS X.
Odkrycie. Analiza zainfekowanego pliku PDF przez TrendMicro wykazała, że nowy wariant wykorzystuje lukę przepełnienia bufora w komponencie Active X w MS Office w wersjach 2003, 2007 i 2010 umożliwiając zdalne wykonanie kodu (CVE-2012-0158) oraz podobną podatność w produktach Adobe pozwalającą na wstrzyknięcie złośliwego kodu do PDF (CVEE-2010-2883).
Następnie zainfekowane pliki PDF i dokumenty Word wykorzystywane są do uruchamiania złośliwego oprogramowania w tle, ukrywając tym samym jego działanie.
3. Pilna aktualizacja aplikacji Android RDP
Microsoft dodał aplikację Android RDP do listy oprogramowania wymagającego aktualizacji. Łata ona lukę CVE-2019-1108, która umożliwia osobie atakującej połączenie się z systemem i uruchomienie specjalnie spreparowanej aplikacji. Microsoft zaleca pobranie najnowszej wersji z Google Play Store jeszcze zanim zaktualizuje się ona automatycznie.
A wszystko to dlatego, że luki w RDP spędzały sen z powiek specjalistom Microsoft przez cały rok. Kilka dni temu załatano dwie krytyczne podatności RDP – CVE 2019-1181 oraz CVE 2019-1182 (więcej: tutaj). Wcześniej Microsoft musiał również zmierzyć się z większym problemem, mianowicie podatnością BlueKeep, o której pisaliśmy już kilkukrotnie tutaj czy tutaj. Przypominamy, że niezabezpieczone protokoły RDP są jedną z najczęściej wykorzystywanych furtek przez przestępców. Dotyczy to nie tylko licencji biznesowych, ale również domowych użytkowników, którzy korzystają z wersji Windows Pro.
Jeżeli posiadasz usługę RDP na Windows 10, ale z niej nie korzystasz, radzimy jej wyłączenie. Opcję tę znajdziesz przechodząc w Ustawienia -> System -> Remote Desktop.
4. Przestarzały program szpiegujący dwa razy trafia do Google Play Store
Specjaliści z firmy ESET odkryli pierwsze znane oprogramowanie szpiegujące zbudowane na bazie złośliwego programu AhMyth, które dwa razy ominęło proces weryfikacji aplikacji przez Google Play Store. Aplikacja, która tego dokonała nazywa się Radio Balouch lub RB Music i służy do streamowania muzyki balochi, charakterystycznej dla krajów arabskich. Problem w tym, że zawierała również narzędzie do zdalnego dostępu AhMyth, które od dwóch lat jest dostępne w GitHub jako projekt open source.
Jawna i przestarzała. I to właśnie jest w tej całej sprawie najbardziej niepokojące. Złośliwa funkcjonalność w AhMyth nie jest w żaden sposób ukryta czy chroniona, a samo narzędzie jest stare i powszechnie dostępne. Z tego powodu sklasyfikowanie aplikacji Radio Baoluch jako niebezpiecznej powinno być banalnie proste dla zespołu bezpieczeństwa Play Store.
Sprawa martwi tym bardziej, że aplikacja pojawiła się w sklepie dwukrotnie. I chociaż łącznie nie udało jej się uzyskać nawet 100 instalacji, to całe zdarzenie powinno dać do myślenia zarówno specjalistom bezpieczeństwa Google jak i użytkownikom Androida. Skoro przestarzałe, oparte na otwartym kodzie oprogramowanie jest w stanie bez problemu dwukrotnie przejść obojętnie obok zabezpieczeń Google, powinniśmy szczególnie zadbać o ochronę naszych telefonów i przechowywanych na nich informacji.
5. Uwaga – exploit na Cisco Switch już dostępny
W połowie miesiąca informowaliśmy o aktualizacjach zabezpieczeń dla switch’y Cisco z serii Small Business 220 (tutaj). I choć wtedy nie odnotowano praktycznego wykorzystania podatności, mamy nadzieję, że zastosowaliście się do naszych zaleceń.
Wraz z końcem poprzedniego tygodnia Cisco zaktualizowało informacje o zagrożeniach dotyczących właśnie tych trzech luk (CV-2019-1912,CV-2019-1913, CV-2019-1914). Zespół reagowania na incydenty Cisco odnotował dostępność publicznego kodu exploit, który może je wykorzystywać.
Przypominamy, że spośród trzech wad wpływających na inteligentne przełączniki serii Cisco Small Business 220, dwa z nich są krytyczne. Umożliwiają wykonanie dowolnego kodu z uprawnieniami administratora i przesyłanie dowolnych plików.
Firma załatała także ponad 30 krytycznych i poważnych luk wykrytych w oprogramowaniu Integrated Management Controller (IMC) i Cisco Unified Computing System (UCS).
6. Symulator Triton 400 potrafi odtworzyć dowolny atak
Telesoft Technologies – dostawca systemów cyberbezpieczeństwa m.in. dla administracji rządowych wprowadził do swojej oferty Triton 400 – narzędzie do symulacji cyberwojny, które może replikować niezliczone metody ataków przeciwnika. Celem jest szkolenie zespołów Red Team i Blue Team.
Triton 400 wykorzystuje wszechstronne zrozumienie pierwszej linii zagrożeń z całego świata, aby symulować naturalny i złośliwy ruch z niespotykaną prędkością. Dane pochodzą z najbardziej realnych i aktualnych źródeł – samych przestępców. Gromadzone są za pomocą strategicznie rozmieszczonych honeypotów na całym świecie. Następnie informacje te są wprowadzane do bazy danych, aby umożliwić łatwą replikację rzeczywistych zagrożeń.
Atak typu password spraying, DDoS na dużą skalę, cyberataki na sztuczną inteligencję, zasłony dymne – jego możliwości są praktycznie nieograniczone. Narzędzie monitoruje sieć, a jeśli nie ma zapisu sieciowego, może go wygenerować, powodując duży ruch złośliwego ruchu w celu bezpośredniego przetestowania celu, systemu lub zespołu. Triton 400 przenosi symulowaną cyberwojnę na wyższy poziom, przygotowując organizacje na przyszłość, z jaką mogą się spotkać.