Projekt Freta to nowa zautomatyzowana usługa od Microsoft Research, która umożliwia wykrywanie wszelkiej maści zagrożeń czających się w chmurowych obrazach maszyn wirtualnych. Już teraz Freta wspiera ponad 4 tys. kerneli Linuxa! Co my nie mówić… brzmi to bardzo obiecująco. Więcej w tym temacie przeczytacie poniżej.
1. „Niewidzialny” skaner złośliwego oprogramowania w chmurze – Microsoft przedstawia Projekt Freta
Środowiska chmurowe z tysiącami maszyn wirtualnych działających jednocześnie… Uzyskanie gwarancji na to, że na żadnej z nich nie działa złośliwe oprogramowanie, może być dla wielu administratorów trudnym – jeśli nie karkołomnym – zadaniem. Aby przeskanować maszyny w poszukiwaniu potencjalnego zagrożenia, admin musi najpierw zainstalować na każdej z nich odpowiednie oprogramowanie. Jest to czasochłonne. Jednak główny problem leży zupełnie gdzie indziej. Złośliwy program szybko dostrzeże, że w systemie działa inny program którego głównym zadaniem jest jego wykrycie… Malware może też odkryć, że tak naprawdę działa w środowisku wirtualnym i przerwie wszystkie swoje procesy. Tak czy inaczej – złośliwy program uniknie wykrycia. Co można więc zrobić w takiej sytuacji?
Według Mike’a Walkera, starszego dyrektora New Security Ventures w Microsoft, gdy atakujący i obrońcy dzielą się mikro-architekturą, każdy ruch tego drugiego zakłóca środowisko w sposób, który ten pierwszy jest w stanie szybko wyłapać. I tak narodził się pomysł na Projekt Freta.
Badacze całkowicie oddzielili płaszczyznę bezpieczeństwa od płaszczyzny obliczeniowej. Mechanizm skanowania pozostawia pamięć maszyny wirtualnej nietkniętą, więc sam proces jest niewidoczny dla złośliwego oprogramowania. Projekt Freta sprawdza, jakie obiekty systemowe przechowuje VM w oparciu o migawkę systemu Linux, wyszukując podejrzane procesy, pliki pamięci, czy moduły jądra i sieci.
Jest to dopiero początek, ale ostatecznym celem jest uczynienie z chmury miejsca niemożliwego do przeprowadzania jakichkolwiek cybertaków. Już teraz użytkownik może przesyłać obrazy (pliki .vmrs, .lime, .core lub .raw) za pośrednictwem interface’u webowego lub API. Następnie zostaje wygenerowany szczegółowy raport – który dla wygody użytkowników – można pobrać w formie pliku JSON.
Projekt Freta – brzmi znajomo? Nic dziwnego. Nazwa projektu pochodzi od nazwy warszawskiej ulicy Freta. To właśnie tam urodziła się Maria Curie-Skłodowska – słynna polska fizyk oraz dwukrotna laureatka Nagrody Nobla (w fizyce oraz chemii).
Dowiedz się więcej: The Hacker News | Microsoft Research Blog | Project Freta documentation
2. Robisz zakupy online? Magecart kradnie dane z 570 sklepów, w tym polskich
Szkodliwe oprogramowanie Magecart (pisaliśmy o nim np. tutaj) do kradzieży danych kart płatniczych zostało wykryte na 570 stronach internetowych należących do małych i średnich sklepów online w 55 krajach. Głównie w USA, Wielkiej Brytanii, ale też Holandii, Francji czy Indiach. Atak nie ominął również polskich sklepów internetowych.
Zespół bezpieczeństwa Gemini Advisory odkrył, że cybergang nazywany Keeper zaatakował setki sklepów online w ciągu ostatnich trzech lat. Jak? Osadzając złośliwy JavaScript w logo firmy i innych plikach graficznych na stronach za pomocą steganografii. Umożliwiał on przekazywanie oszustom danych kart kredytowych, które ofiary wpisywały w formularzu zakupu.
Grupa Keeper obejmuje połączoną sieć 64 domen wykorzystywanych do dostarczania szkodliwych ładunków JS i 73 domen eksfiltracyjnych używanych do kradzieży danych kart płatniczych z domen ofiar.
Okazuje się, że ponad 85% zaatakowanych stron korzystało z Magento CMS, 5% z WordPress i 4% z Shopify. Celem były mali i średni sprzedawcy, ponieważ rzadko kiedy mają dedykowany zespół i środki na bezpieczeństwo IT oraz dość wolno wdrażają aktualizacje CMS i wtyczek.
Badacze oszacowali, że od 2017 roku grupa mogła wygenerować ponad 7 mln USD ze sprzedaży skradzionych danych kart płatniczych.
Jak się chronić? Sprzedawcy, poza inwestycją w bezpieczeństwo IT i pilnowanie aktualizacji, mogą zrobić niewiele. Kupujący natomiast mogą omijać mniejsze sklepy i korzystać z wtyczek do przeglądarek blokujących ładowanie JavaScript z niezaufanych stron, ale to też nie daje 100% gwarancji.
Pełna lista zainfekowanych stron znajduje się tutaj.
3. Hakerzy przejęli 240 stron hostowanych na Azure – w tym Warner Bros, Volvo, Siemens
UNESCO, Czerwony Krzyż, Siemens, Xerox, 3M, Warner Bros, Toshiba, Volvo, Hawaiian Airlines… Te subdomeny znajdują się na liście 240 przejętych stron internetowych, które należą do najbardziej znanych organizacji i marek na całym świecie. Okazuje się, że były wykorzystywane przez cyberprzestępców do dystrybucji złośliwego oprogramowania i rozszerzeń Chrome oraz przekierowywania użytkowników na strony związane z hazardem i pornografią.
Co je łączy? Wszystkie były hostowane przez Microsoft Azure.
O przejętych nazwach domen poinformował Zach Edwards z Victory Medium. W czerwcu zgłosił problem zarówno do Microsoftu jak i poszkodowanych firm.
Według Edwardsa większość subdomen została przejęta przez jedną grupę, która jego zdaniem była aktywna przez pięć lat. Według analizy ma ona poparcie międzynarodowego gangu przestępczego. Grupa jest o wiele bardziej zaawansowana i zautomatyzowana, niż się spodziewano – uderzyła w mnóstwo organizacji i przesłała jeszcze więcej złośliwego oprogramowania.
Hakerzy po przejęciu domeny próbowali ukryć swoją obecność poprzez wyświetlanie na subdomenach komunikatów typu “Coming soon” lub błędów 404.
Źródło zagrożenia. Największym problemem jest fakt, że wpisy DNS witryny są przejmowane głównie w wyniku sposobu ich hostowania, nie tylko przez Azure, ale sporą część dostawców hostingu. Problem ten polega na tym, że kiedy skończy się ważność subdomeny (powstałej np. na potrzeby kampanii marketingowej) i firma przestaje za nią płacić, nazwa ta staje się dostępna dla innej osoby – w tym cyberprzestępców. Poszukują oni takich wycofanych i zapomnianych nazw serwerów w chmurze, które nigdy nie zostały poprawnie usunięte z DNS.
Pełna lista znajduje się tutaj. Radzimy jednak NIE odwiedzać tych domen, ponieważ mogą one zainfekować urządzenie złośliwym oprogramowaniem. Około 20% z nich już zostało usuniętych.
4. Ransomware Conti osiąga zawrotną prędkość szyfrowania
Conti to kolejny przykład „human-operated ransomware”. Pomimo tego, że działa podobnie jak inne zagrożenia tego typu, posiada kilka interesujących cech.
Pierwszą z nich jest obsługa operacji wielowątkowych. Zapewne zastanawiacie się co jest w tym właściwie wyjątkowego? Przecież wiele rodzin ransomware robi to całkiem dobrze? Conti wyróżnia naprawdę dużą liczbą jednocześnie wykorzystywanych wątków procesora – a mianowicie aż 32. W porównaniu do REvil (Sodinokibi), LockBit, czy ransomware Thanos, jest więc w stanie naprawdę szybko szyfrować dane.
Drugą unikalną funkcją jest bardzo precyzyjna kontrola nad celami szyfrowania. Zagrożenie wykorzystuje do tego klienta wiersza poleceń. Conti pomija dane na dyskach lokalnych i szyfruje bezpośrednio udziały sieciowe SMB. Ransomware wymaga do tego wyłącznie listy adresów IP, która zostaje przesłana właśnie za pośrednictwem wiersza poleceń. Conti jest więc w stanie wyrządzić ukierunkowane szkody w środowisku IT. Zastanówmy się, co się dzieje, gdy systemy zaczynają wykazywać oznaki infekcji? Administrator już wie, że firma padła ofiarą ataku. Ale co gdy zniszczenia ograniczają się do serwera, który nie jest podłączony do internetu? Wtedy atak może pozostać niezauważony przez wiele dni a nierzadko nawet tygodni. Tak długo, aż któryś z użytkowników nie będzie potrzebował dostępu do danych na tym właśnie urządzeniu.
Conti nadużywa również Menedżera ponownego uruchamiania systemu Windows. Ransomware odwołuje się do tego komponentu, aby odblokować a następnie wyłączyć procesy w ramach uruchomionych aplikacji. Wszystko po to by móc szyfrować również dane, które są aktualnie przez nie wykorzystywane.
Na ten moment specjaliści nie są w stanie odszyfrować zasobów, które zaatakował ransomware Conti. Tak więc o ile firma nie chce zapłacić ogromnych sum przestępcom (co stanowczo odradzamy), priorytetem powinno być utrzymywanie aktualnej kopii zapasowej.