Witajcie w kolejnej odsłonie Centrum Bezpieczeństwa Xopero! Botnet Prometei to główny temat tego zestawienia. Nowo odkryte zagrożenie wykorzystuje różnorodne techniki, dzięki którym może pozostać niezauważony przez dosyć długi czas. Jakie dokładnie? Więcej w tym temacie przeczytacie poniżej.
1. Botnet Prometei łamie zabezpieczenia Windows SMB i kradnie Monero
Prometei – niedawno wykryty bonet, którego celem jest wykradanie kryptowaluty Monero (XMR) jest niezwykle ciekawy ze względu na swój modus operandi. Wykorzystuje on rozbudowany system modułowy i różnorodne techniki w celu naruszenia systemów i ukrycia swojej obecności.
Łańcuch infekcji rozpoczyna się od próby złamania zabezpieczeń protokołu Windows Server Message Block (SMB) za pośrednictwem luk, w tym Eternal Blue.
Następnie wykorzystywane są ataki Mimikatz i brute-force do skanowania, przechowywania i testowania skradzionych danych uwierzytelniających. Wszelkie wykryte hasła są następnie wysyłane do serwera C&C przestępców w celu ponownego wykorzystania przez inne moduły, które próbują zweryfikować ważność hasła w innych systemach korzystających z protokołów SMB i RDP.
W sumie Prometei ma ponad 15 wykonywalnych modułów, kontrolowanych przez jeden główny. Botnet jest podzielony na dwie gałęzie funkcyjne: jedną C ++ poświęconą operacjom kopania kryptowaluty i drugą- opartą na .NET – która koncentruje się na kradzieży danych uwierzytelniających, nadużywaniu SMB i zaciemnianiu.
Moduły pomocnicze mogą komunikować się przez sieci TOR lub I2P, zbierać informacje o systemie, sprawdzać otwarte porty, rozprzestrzeniać się po SMB i skanować w poszukiwaniu portfeli kryptowalut.
Po przejęciu systemu i dodaniu go do botnetu, osoba atakująca może realizować różne zadania. W tym wykonywać polecenia i programy, uruchamiać powłoki, ustawiać klucze szyfrowania RC4 do komunikacji, otwierania, pobierania i kradzieży plików, uruchamiać operacje wydobywania kryptowalut oraz wiele więcej.
Na razie Prometei nie rozbił banku, ale botnet jest aktywny dopiero od marca 2020 r. Możemy więc jeszcze o nim usłyszeć.
2. Shadow Attack zmieni treść podpisanego cyfrowo PDF na inną
15 z 28 aplikacji do tworzenia i modyfikacji plików PDF jest podatnych na nowy atak, który pozwala atakującym zmieniać treść podpisanego elektronicznie dokumentu PDF. Wykryty został przez naukowców z Ruhr University w Bochum w Niemczech i nazwany Shadow Attack (CVE-2020-9592 i CVE-2020-9596).
Na liście podatnych aplikacji znajdują się Adobe Acrobat Pro, Adobe Acrobat Reader, Perfect PDF, Foxit Reader, PDFelement i wiele innych.
Idea tej techniki opiera się na koncepcie “warstw widoku” – różnych zestawów treści, które nakładane są jedna na drugą w dokumencie PDF. Do ataku dochodzi w momencie, gdy atakujący przygotowuje dokument z różnymi warstwami i wysyła go do podpisu. Ofiara podpisuje cyfrowo widoczną warstwę dokumentu, ale gdy wraca on do nadawcy – ten zmienia ją na inną.
Ponieważ początkowo niewidoczna warstwa została zawarta w oryginalnym dokumencie podpisanym przez ofiarę, zmiana jej widoczności nie łamie podpisu kryptograficznego i pozwala atakującemu na wykorzystanie prawnie wiążącego dokumentu do niecnych działań. Takich jak zmiana odbiorcy płatności lub sumy w poleceniu zapłaty w formacie PDF czy zmiana klauzul umownych.
Istnieją trzy możliwe warianty Shadow Attack:
- Ukrycie – kiedy atakujący ukrywa warstwę, bez zastąpienia jej inną
- Zamiana – kiedy atakujący zastępuje oryginalną treść, zmodyfikowaną
- Ukrycie i zamiana – kiedy atakujący używa innego dokumentu PDF zawartego w oryginalnym, a następnie zamienia je ze sobą.
Naukowcy poinformowali producentów aplikacji do tworzenia i modyfikacji PDF, aby mogli załatać podatności przed opublikowaniem wyników badań. Nowe wersje są już dostępne – zachęcamy wszystkie firmy do pilnej aktualizacji.
3. Uważajcie na ‘Meow’ – cyberprzestępcy wymazali już ponad 1800 niezabezpieczonych baz danych
Atak, który specjaliści od cyberbezpieczeństwa określają mianem ‘Meow’ trwa zaledwie od kilku dni, ale nieznani napastnicy wymazali już setki dostępnych w sieci baz danych. Głównie Elasticsearch oraz MongoDB. Atakujący nie pozostawiają wiadomości, wygląda więc na to, że nie kieruje nimi chęć zysku.
Jedną z pierwszych potwierdzonych ofiar był dostawca usług VPN, który twierdził, że nie przechowuje logów swoich użytkowników. Na niezabezpieczoną bazę jako „pierwszy” natrafił Bob Diachenko. Szybko skontaktował się z jej właścicielem i wydawałoby się, że problem został rozwiązany. Jak się okazało wyłącznie na pięć dni. Po tym okresie baza znów była publicznie dostępna. Diachenko nie kontaktował się z firmą ponownie. Po tym zdarzeniu, finał historii był już łatwy do przewidzenia. Prawie wszystkie rekordy zostały wymazane. Dotychczasowe analizy pokazały, że prawdopodobnie atak jest przeprowadzany z wykorzystaniem zautomatyzowanego skryptu, który całkowicie nadpisuje lub niszczy dane.
Ktokolwiek stoi za atakiem „Meow”, najwyraźniej postawił sobie za cel wywołanie jak największych zniszczeń. Oprócz wspomnianych już wyżej baz Elastichsearch oraz MongoDB, przestępcy wymazują także zasoby przechowywane na systemach takich jak Cassandra, CouchDB, Redis, Hadoop, Jenkins a także serwerach NAS.
Należy się spodziewać, że w kolejnych dniach liczba ofiar zapewne znacząco urośnie. Administratorzy powinni mieć na uwadze, aby udostępniać wyłącznie zasoby które „muszą” być publiczne. Kluczowe i wrażliwe dane zawsze należy odpowiednio chronić… A już na pewno nie zostawiać ich dostępnych dla każdego.
OilRig APT powraca z ulepszoną wersją backdoora RDAT i innowacyjnym kanałem C2
Atakujący wykorzystują teraz pocztę elektroniczną jako kanał komunikacji C2.
Backdoor – zauważony po raz pierwszy w 2017 roku – przeszedł w ostatnich miesiącach kilka ważnych zmian. Jedną z najciekawszych jest możliwość korzystania z usług internetowych Exchange (EWS) do wysyłania i odbierania wiadomości e-mail. Kanał C2 oparty na wiadomościach e-mail jest nowatorskim pomysłem. Dodatkowo atakujący posłużyli się steganografią do ukrycia poleceń i eksfiltracji danych z obrazów BMP przesyłanych w formie załączników. Jak się okazało, było to „dobre” posunięcie, ponieważ taka kombinacja działań zaowocowała spadkiem wykrywalności samego ataku.
Innowacyjny kanał C2? RDAT komunikuje się z dwoma zakodowanymi na stałe adresami e-mail kontrolowanymi przez przestępców: koko@acrlee[.]com and h76y@acrlee[.]com. Atakujący wysyłają maile na kontrolowane adresy z załączonym obrazem bitmapowym zawierającym ukryte wiadomości lub dane do eksfiltracji. Działa to w obie strony. Użytkownik jest nieświadomy faktu, że jego skrzynka służy do komunikacji C&C. Dlaczego? RDAT tworzy regułę skrzynki odbiorczej, zgodnie z którą wszystkie przychodzące wiadomości C2 trafiają do kosza. Tak ukryte wiadomości są przez zagrożenie sczytywane – program weryfikuje treść poleceń ukrytych w plikach .BMP. Na koniec atakujący wysyłają żądanie SOAP, które usuwa z kosza przetworzoną już wiadomość mailową.
OilRig wykorzystuje także kilka innych rozwiązań. Warto w tym miejscu wspomnieć chociażby o customowych narzędziach Mimikatz, z których pomocą zbierają dane uwierzytelniające, Bitvise które umożliwia stworzenie tunelu SSH a także downloaderów PowerShell.