Wszystko wskazuje na to, że Qbot oraz Mirai doczekały się godnego następcy. Swoją drogą, naprawdę imponującego – Dark-Nexus to najbardziej złożony botnet w historii. Przestępcy poszukują coraz bardziej innowacyjnych metod ataku. Dobrym tego przykładem jest również malware Kinsing, który stanowi zagrożenia dla klastrów Docker. W tym tygodniu piszemy także na temat aplikacji SuperVPN, której podatność umożliwia atak Man in the Middle. Dodatkowo: ponad 350 tys. serwerów Microsoft Exchange posiada krytyczną lukę, nowa taktyka twórców Raccoon, a także najnowsze kampanie COVID-19.
1. Dark-Nexus, prawdopodobnie najpotężniejszy botnet w historii
Nowo odkryty botnet jest prawdopodobnie jedną z najbardziej zaawansowanych platform tego typu w historii. W ciągu niespełna trzech miesięcy Dark-Nexus otrzymał 30 aktualizacji a jego twórcy z każdą z nich doposażali go w nowe funkcje, poszerzające już i tak jego spore możliwości.
Malware zainfekował dotąd co najmniej 1372 urządzeń. Są to w dużej mierze nagrywarki video, kamery termiczne, a także domowe routery marek Dasan, Zhone, Dlink i ASUS.
Bitdefender analizując Dark-Nexus odkrył, że chociaż wykorzystuje on fragmenty kodu Qbot oraz Mirai to jednak jego główne moduły zostały stworzone od podstaw.
Szybkie tempo infekcji Dark-Nexus
Botnet przejmuje urządzenia weryfikując w pierwszej kolejności czy nie zostały one zabezpieczone jednym z popularnych haseł. Dopiero w momencie, gdy to podejście zawiedzie, szuka luk w zabezpieczeniach. Kolejna niepokojąca właściwość Dark-Nexus to możliwość atakowaniu systemów działających w oparciu o aż 12 różnych architektur CPU. Botnet posiada również mechanizm ukrywający złośliwy ruch sieciowy pod postacią niegroźnych danych wysyłanych przez przeglądarki internetowe. Inny równie ciekawy mechanizm gwarantuje Dark-Nexus przewagę nad zagrożeniami już zainstalowanymi na urządzeniach, które znajdą się pod jego kontrolą. W jaki sposób? Malware weryfikuje wszystkie procesy, które zachodzą na urządzeniu. Te, które są niegroźne zostają automatycznie umieszczone na białej liście. Nierozpoznane procesy otrzymują punkty. Jeśli proces otrzyma ich 100 lub więcej zostaje automatycznie zakończony. Dark-Nexus jest również w stanie powstrzymać restart systemu.
Chcesz więcej dowiedzieć się jak zabezpieczyć urządzenia IoT przed Dark-Nexus oraz innymi atakami? Pobierz nasz raport przedstawiający najważniejsze trendy w cyberbezpieczeństwie.
2. Przestępcy włamują się do klastrów Docker. Po co? Aby kopać kryptowaluty
Firma Aqua Security wykryła dosyć nietypową kampanię, aktywną co najmniej od grudnia 2019. Przestępcy skanują Internet w poszukiwaniu serwerów Docker, które posiadają niezabezpieczone hasłem porty API. Zupełnie nie chronione środowiska są wyjątkowo łatwym celem. Po przejęciu, przestępcy wdrażają na nich kryptominner – Kinsing.
Według specjalistów od bezpieczeństwa, przestępcy dziennie podejmują prawie tysiąc prób ataku na niezabezpieczone kontenery Docker. Malware zanim rozpocznie instalację payloads podejmuje próbę komunikacji z serwerami ulokowanymi gdzieś we wschodniej Europie.
Hackerzy wykorzystują niezabezpieczony port Decker API do utworzenia kontenera Ubuntu. Zostają na nim uruchomione skrypty, które mają za zadanie wyeliminować konkurencję (odinstalować „obce” zagrożenia), zbierać dane uwierzytelniające SSH (aby przeprowadzić atak na całą sieć), dezaktywować rozwiązania zabezpieczające środowisko oraz czyścić logi – by nikt w porę nie spostrzegł, że dzieje się coś podejrzanego. Na koniec, celem przestępców jest w miarę możliwości zainfekowanie całej infrastruktury cloudowej.
Malware jest przykładem kolejnego zagrożenia napisanego w języku Go (dlaczego przestępcy sięgają po Golang? Dowiesz się więcej tutaj). Zagrożenie wykorzystuje kilka bibliotek, w tym:
go-resty: biblioteka klienta HTTP / REST, wykorzystywana do komunikacji z serwerem C&C,
gopsutil: biblioteka wykorzystywana do monitoringu procesów oraz samego systemu,
osext: rozszerzenie dla paczki „os”, które odpowiada za egzekucję plików binarnych,
diskv: biblioteka dla magazynu klucz-wartość.
Specjaliści z Aqua doradzają, aby firmy zweryfikowały swoje środowiska Docker, stan ich zabezpieczeń oraz unikały udostępniania API online. Doradzają również aby dostęp do punktów końcowych administratora był możliwy wyłącznie za pośrednictwem zapory lub bramy VPN.
3. VPN na Androida z 100 mln pobrań umożliwiał ataki MITM. Teraz znika z Google Play
Google usunęło z Google Play aplikację SuperVPN po tym jak wykryto w niej krytyczną lukę prowadzącą do ataków man in the middle (MITM). Program został pobrany ponad 100 milionów razy!
Wirtualne sieci prywatne (ang. virtual private network – VPN) pozwalają użytkownikom tworzyć szyfrowane połączenia z serwerami online, które następnie służą jako ich brama do Internetu. SuperVPN to jeden z kilkudziesięciu programów, które pełnią tę funkcję na urządzeniach z Androidem.
VPNpro, firma doradcza w zakresie produktów VPN ostrzegła w lutym przed luką w tym produkcie, która mogła prowadzić do ataków typu man in the middle (MITM).
Program wysyłał zaszyfrowane dane, ale na stałe zakodował kod deszyfrujący. Odszyfrowanie danych ujawniało informacje o serwerze SuperVPN, certyfikatach i danych uwierzytelniających. Następnie można było zmienić je na własne.
To oznacza, że atakujący mogli zmusić SuperVPN do połączenia się z fałszywym serwerem umożliwiając wgląd we wszystkie dane użytkownika. W tym hasła, prywatne wiadomości tekstowe i głosowe.
Badacze wykryli lukę w październiku 2019 roku. Bezskutecznie próbowali skontaktować się z producentem aplikacji – SuperSoftTech. Poinformowali także Google, któremu również nie udało się porozumieć z deweloperem. Ostatecznie aplikacja została usunięta z Google Play Store 7 kwietnia 2020 r.
Zalecamy korzystanie z VPN, zwłaszcza w czasach pracy zdalnej, ale tylko pod warunkiem, że sięgamy po sprawdzone narzędzia i programy.
4. Ponad 350 tys. serwerów Microsoft Exchange z krytyczną luką
Ponad 80 procent serwerów Exchange jest nadal podatnych na poważną lukę, która została załatana prawie dwa miesiące temu.
Błąd CVE-2020-0688 istnieje w panelu sterowania Exchange – serwera poczty i kalendarza od Microsoft. Wada wynika z tego, że serwer nie tworzy poprawnie unikatowych kluczy w czasie instalacji otwierając serwery dla uwierzytelnionych atakujących. Ci mogą wykonywać na nich zdalnie kod z uprawnieniami systemowymi.
Badacze wykorzystali narzędzie Sonar Project do wyszukania i analizy podatnych serwerów Exchange. Spośród 433 464 zaobserwowanych, co najmniej 357 629 było podatnych na atak (82,5%).
Niezałatane serwery wykorzystywane są przez autorów zaawansowanych uporczywych zagrożeń. Rozpoczęły się pod koniec lutego i były wymierzone w liczne organizacje. Celem było uruchomienie poleceń systemowych w celu rozpoznania, rozmieszczenia backdoorów oraz wykonanie post-exploitów w ramach pamięci.
Analiza luki CVE-2020-0688 doprowadziła do zatrważających wniosków. Problemy z zarządzaniem poprawkami serwerów pocztowych Microsoft sięgają znacznie głębiej. Okazało się, że od 2012 roku ponad 31 tys. serwerów Exchange 2010 nie zostało zaktualizowanych. W blisko 800 – nigdy nie zainstalowano aktualizacji.
Zalecamy pilną aktualizację Microsoft Exchange. Użytkownicy mogą również ustalić, czy kiedykolwiek ktoś próbował wykorzystać tę lukę w ich środowisku. Eksploatacja wymaga ważnego konta użytkownika Exchange. Każde konto powiązane z tymi próbami należy traktować jako zagrożone.
5. Raccoon czyha na kopiach stron znanych produktów i kradnie dane!
Odwiedzający stronę Malwarebytes oczekują ciekawych ofert oprogramowania antywirusowego. Mogą natomiast przypadkowo natknąć się na fałszywą kopię strony producenta i…szopa (?). A mówiąc serio – Raccoon, czyli złośliwe oprogramowanie wykradające dane oraz zestaw exploitów Fallout.
Fałszywa strona “malwarebytes-free [.] com” zarejestrowana została w Rosji. Analizując kod źródłowy producent potwierdza, że skradziono treść z oryginalnej strony i dodano fragment kodu JavaScript, który sprawdza, z jakiej przeglądarki korzysta odwiedzający. W przypadku Internet Explorer od razu następuje przekierowanie do złośliwego adresu URL należącego do zestawu exploitów Fallout.
Co więcej, fałszywa strona reklamowana jest poprzez sieć PopCash i wyświetla się w witrynach dla dorosłych. Producent już zgłosił sieci złośliwe reklamy.
Niezależnie od tego, czy użytkownicy przybywają drogą organiczną, czy za pośrednictwem reklamy, zestaw exploitów Fallout infekuje podatne na zagrożenia komputery szkodliwym oprogramowaniem do kradzieży danych – Raccoon. Ten przeszukuje systemy w poszukiwaniu informacji takich jak dane kart kredytowych, portfeli walutowych, haseł, maili, plików cookie, informacji o systemie i danych z popularnych przeglądarek. Następnie wysyła je na serwer operatora.
Wcześniej podobna sytuacja dotknęła innego dostawcę – firmę Cloudflare. Być może ataki na producentów oprogramowania antywirusowego i anty-malware to czysta zemsta lub demonstracja sił atakujących.
Według badań, Raccoon od października ubiegłego roku zainfekował już setki tysięcy systemów Windows. Co w nim wyjątkowego? Dystrybuowany jest w modelu malware-as-a-service, oferuje angielskie i rosyjskie wsparcie 24h/dobę, agresywny marketing i łatwość obsługi. Dokładnie przyjrzeliśmy się temu zagrożeniu tutaj.
Jak się chronić? Pilnować podstawowych zasad cyber-higieny. Na bieżąco aktualizować systemy i programy oraz dwukrotnie sprawdzać tożsamość każdej witryny przed kliknięciem w reklamę lub link.
6. 5 sposobów w jakie hackerzy wykorzystali panikę związaną z pandemią COVID-19… w ostatnich siedmiu dniach
Większość aktywnych kampanii skupia się na strachu przed koronawirusem – podsycanym przez dezinformację oraz fake newsy. Zwłasza te ostatnie są szczególnie groźne. Potwierdzają to statystyki z Wielkiej Brytanii, wedle których już połowa dorosłych Brytyjczyków zetknęła się w sieci nieprawdziwymi informacjami o COVID-19.
Mobile malware
Specjaliście z Check Point natrafili na 16 aplikacji, które “oferowały” informacje nt. nowych ognisk choroby… a w rzeczywistości posiadały złośliwe oprogramowanie (adware, trojany bankowe itd.), które kradnie dane użytkowników lub generuje przestępcom przychody z usług o podwyższonej opłacie.
Phishing
Group-IB opublikowała raport z którego wynika, że większość kampanii phishingowych związanych z COVID-19 dystrybuuje AgentTesla (45%), NetWire (30%) i LokiBot (8%). Z ich pomocą atakujący kradną dane personalne, uwierzytelniające oraz informacje finansowe. Microsoft wykrył masową kampanię phishingową, wykorzystującą 2300 różnych stron internetowych dołączonych do wiadomości nt. finansowej rekompensaty w związku z COVID-19. Linki prowadzą do fałszywej strony logowania Office 365.
SMS phishing
Amerykańska CISA (Cybersecurity and Infrastructure Security Agency) oraz brytyjskie National Cyber Security Centre (NCSC) przestrzegają obywateli przed fałszywymi wiadomościami SMS pochodzącymi od nadawców o nazwie „COVID” oraz „UKGOV”. Zawierają one niebezpieczny link kierujący na jedną z witryn phishingowych.
Niebezpieczne programy
W bardzo krótkim czasie wzrosła liczba osób wykonujących pracę zdalną. Jak łatwo było przewidzieć, stały się one jednym w głównych celów dla grup przestępczych. Specjaliści ostrzegają przed niebezpiecznymi programami udającymi popularne komunikatory i aplikacje do video-połączeń jak Zoom lub Microsoft Teams.
„zoom-us-zoom_##########.exe”
„microsoft-teams_V#mu#D_##########.exe”
Ransomware
Interpol przestrzega przed atakami na szpitale oraz inne organizacje i instytucje aktywnie zaangażowane w walkę z rozprzestrzeniającym się koronawirusem.