Wielkie kradzieże rozpalają wyobraźnię jak żadne inne. Słynny skok ze spadochronem w wykonaniu D. B. Cooper, napad na United California Bank, czy też słynny „Napad stulecia” z 1963 roku. Czy napadom „elektronicznym” towarzyszy tyle samo emocji? Trudno powiedzieć, ale kiedy z jednej z platform finansowych znika ponad 600 milionów dolarów na pewno nie obejdzie się to bez szumu. Choć tak duża suma pieniędzy robi wrażenie, my skupiliśmy się na postawieniu bardzo konkretnych pytań. Mianowicie, jak do tego doszło, czy można było tego uniknąć i co w takiej sytuacji mogą zrobić ofiary. Zapraszamy do lektury.
Największy “krypto-skok” w historii – hakerzy skradli ponad 600 milionów dolarów!
Cyberprzestępcy ukradli 611 milionów dolarów w tokenach cyfrowych ze zdecentralizowanej plaftormy finansowej (DeFi) – Poly Network, specjalizującej się w transferach kryptowalut Binance, Etherum i Polygon. To największy “skok” w branży DeFi w historii, który może dotknąć dziesiątek tysięcy klientów.
PolyNetwork publicznie wyznała, że atakujący wykorzystali lukę, a dokładnie funkcję “ „_executeCrossChainTx”. Jest ona powiązana z interoperacyjnością niezbędną do komunikacji pomiędzy niezależnymi łańcuchami bloków. Jej wykorzystanie pozwoliło oszustom na przypisanie sobie własności środków przetwarzanych za pośrednictwem platformy.
Zasoby zostały przeniesione na następujące adresy hakerów:
ETH: 0xC8a65Fadf0e0dDAf421F28FEAb69Bf6E2E589963 oraz
BSC: 0x0D6e286A7cfD25E0c01fEe9756765D8033B32C71.
Poly Network wezwał minerów dotkniętych łańcuchów bloków – BinanceChain, Ethereum i Polygon – do umieszczenia na czarnej liście tokenów pochodzących z tych adresów.
Firma zwróciła się również bezpośrednio do hakerów z prośbą o porozumienie i zwrot skradzionych środków.
I choć udało się odzyskać skromną część pieniędzy, hakerzy wydają się drwić z projektu i nie są zbyt skorzy do współpracy – twierdzą nawet, że mogli skraść dużo więcej. Całą rozmowę i aktualizację zwrotów można śledzić za pomocą tego dokumentu Google.
StealthWorker atakuje urządzenia Synology NAS, aby infekować ransomware
Synology ostrzega swoich klientów przed aktywnymi atakami typu brute-force botnetu StealthWorker na ich urządzenia NAS, które mogą prowadzić do infekcji ransomware. Po zhakowaniu urządzenia cyberprzestępcy włączają je w struktury botnetu wymierzonego w kolejne systemy Linux.
Firma współpracuje z kilkoma organizacjami CERT w celu zlikwidowania infrastruktury botnetu poprzez wyłączenie wszelkich wykrytych serwerów dowodzenia i kontroli (C2).
Synology będzie również powiadamiać klientów, którzy mogli zostać dotknięci zagrożeniem. Wzywa administratorów systemów i klientów do zmiany słabych poświadczeń, włączenia automatycznego blokowania i ochrony kont oraz włączenia uwierzytelniania wieloskładnikowego tam, gdzie to możliwe. Oto lista kontrolna:
- Używaj złożonego, silnego hasła i zastosuj te reguły dla wszystkich użytkowników.
- Utwórz nowe konto w grupie administratorów i wyłącz domyślne systemowe konto “admin”.
- Włącz automatyczne blokowanie w panelu sterowania, aby blokować adresy IP ze zbyt dużą liczbą nieudanych prób logowania.
- Uruchom Security Advisor, aby upewnić się, że w systemie nie ma słabych haseł.
Administratorzy, którzy zauważyli podejrzaną aktywność na swoich urządzeniach, powinni jak najszybciej zgłosić to do działu supportu Synology.
StealthWorker jest złośliwym kodem opartym na Golangu, który atakuje serwery Windows i Linux z popularnymi usługami i platformami sieciowymi tj. cPanel / WHM, WordPress, Drupal, Joomla, OpenCart, Magento, MySQL, PostgreSQL, Brixt, SSH i FTP. Następnie włącza urządzenia w struktury botnetu, aby atakować kolejne systemy.
Luka ProxyShell, czyli nowy backdoor który umożliwia późniejsze przejęcie serwerów MS Exchange
ProxyShell to nazwa ataku, który bazuje na trzech połączonych lukach Microsoft Exchange:
- CVE-2021-34473 – Pre-auth Path Confusion (załatana w kwietniu, KB5001779)
- CVE-2021-34523 – Elevation of Privilege (załatana w kwietniu, KB5001779)
- CVE-2021-31207 – Post-auth Arbitrary-File-Write (załatana w maju, KB5003435)
Hackerzy wykorzystują adres URL:
https://Exchange-server/autodiscover/autodiscover.json?@foo.com/mapi/nspi/?&Email=autodiscover/autodiscover.json%3F@foo.com
– adres email może ulegać zmianie.
Exploit umieszcza webshell o rozmiarze 265 KB wewnątrz folderu 'c:\inetpub\wwwroot\aspnet_client\’. 265 KB to minimalny rozmiar pliku, który można utworzyć za pomocą opisywanego exploita. Wynika to z faktu, że zagrożenie nadużywa funkcji Mailbox Export w ramach Exchange Powershell do tworzenia plików PST. Powłoki internetowe składają się z prostego skryptu chronionego uwierzytelnianiem, który może służyć cyberprzestępcom do przesyłania plików na atakowany serwer.
Atakujący wykorzystują pierwszą powłokę do przesłania dodatkowego webshell do dostępnego ze zdalnej lokalizacji folderu oraz dwóch plików wykonywalnych do lokalizacji C:\Windows\System32:
C:\Windows\System32\createhidetask.exe
C:\Windows\System32\ApplicationUpdate.exe
Jeśli wymienione powyżej pliki .exe nie zostaną odnalezione, w innej lokalizacji jest tworzona kolejna powłoka internetowa jako pliki ASPX o losowych nazwach.
C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\
Atakujący wykorzystują drugą powłokę do uruchomienia pliku createhidetask.exe, który tworzy zaplanowane zadanie o nazwie PowerManager. W konsekwencji tego działania, każdego dnia o godzinie 1:00 rano uruchamia sią plik wykonywalny ApplicationUpdate.exe.
Atakujący od jakiegoś już czasu skanują internet w poszukiwaniu urządzeń podatnych na atak ProxyShell – operacja jest wykonywana z adresów IP z USA, Iranu i Holandii. Ustalono dwa z nich:
3.15.221.32
194.147.142.0/24
Specjaliści zalecają administratorom skorzystanie z Azure Sentinel queries w celu weryfikacji, czy ich urządzenia zostały wyłapane podczas jednego z takich skanów. Zaś wszystkim tym, którzy nie wgrali jeszcze aktualnych poprawek dla Exchange, zdecydowanie zaleca jak najszybsze załatanie wszystkich znanych podatności.
Atakujący używają alfabetu Morse’a i innych metod szyfrowania do ukrywania śladów swojej obecności
Hakerzy używają szeregu technik, aby zatrzeć dowody swojej obecności w systemie. Z jednej strony mogą wdrożyć niepozornie „wyglądające” protokoły komunikacyjne, albo zdecydować się na użycie samoistnie usuwającego się oprogramowania. Jednak na tym nie koniec. Okazało, że w tej taktyce uników, pomocny może być również liczący ponad 170 lat, alfabet Morse’a. I to nie jest żadna teorii z uniwersyteckich sal wykładowych, a realna kampania, która trwa w najlepsze. Na jej ślad natrafił Microsoft.
Skoro mowa o Micrsoft, to zapewne przestępców interesują dane uwierzytelniające do Office 365. I tak w istocie jest. Celem kampanii jest zbieranie nazw użytkowników, haseł i – w nowszej jej wersji – innych informacji, takich jak adres IP i lokalizacja. Całkiem możliwe, że mamy do czynienia z wczesnym „rekonesansem” – zebrane dane mogą posłużyć do infiltracji i kradzieży danych w kolejnych atakach.
Taktyka uników, czyli ciągła ewolucja
W przypadku tej nowej kampanii phishingowej atakujący wykorzystują wielowarstwowe mechanizmy zaciemniania i szyfrowania znanych typów plików, takich jak choćby JavaScript. Wielowarstwowe zaciemnianie w ramach HTML może również umożliwić obejście wbudowanych w przeglądarki internetowe mechanizmów bezpieczeństwa.
Wysyłany wraz z wiadomością phishingową załączniki xls.HTML lub xslx.HTML został podzielony na wiele segmentów zakodowanych przy użyciu różnych metod dla każdego segmentu – przełączając się między zwykłym kodem HTML, kodem ucieczki, znakami Base64, ASCII i kodem Morse’a.
Skutek tego jest taki, że dla systemów prezentują się jako nieszkodliwe i są w stanie umknąć filtrom antyspamowym.
Atakujący zmieniali również swoje schematy szyfrowania co miesiąc, aby spróbować ukryć swoją aktywność, używając różnych metod dla każdego segmentu i przełączając się między zwykłym kodem HTML, escaping, znakami Base64, ASCII i właśnie alfabetem Morse’a.