Skimmer Baka / Raccoon łamie szyfrowanie SSL / Zeppelin znów groźny

Ataki typu web skimming niezmiennie stanowią poważne zagrożenie dla handlu elektronicznego. Jednak skimmer Baka z siedmioma serwerami C&C, który dodatkowo wykorzystuje szyfrowanie XOR do zaciemniania kodu stanowi poważny problem zarówno dla sektora e-Commerce jak i samych klientów.

1. Zły czas dla posiadaczy kart Visa: w sieci grasuje web skimmer Baka, wykryto również błąd w protokole uwierzytelniającym EMV

Skimmer Baka zawiera wszystkie najpopularniejsze funkcje spotykane w e-commerce’owych zestawach skimmerskich – panel administratora, generator skryptu, czy exfiltration gateway. Ale na tym nie koniec. Skimmer Baka został wyposażony również w bardzo nietypowy program typu loader. Przestępcy stosują także interesujące techniki zaciemniania obecności.

Program unika wykrycia przez statyczne skanery złośliwego oprogramowania stosując dynamiczne ładowanie. Dodatkowo sięga po indywidualne parametry szyfrowania dla każdej ofiary w celu ukrycia swojego kodu. W sytuacji zagrożenia wykryciem lub po zakończeniu eksfiltracji danych, program odseparowuje się od pamięci.

Grupa Visa Payment Fraud Disruption (PFD) zidentyfikowała siedem serwerów aktywnie hostujących zestaw do skimmingu. Tak duża liczba wskazuje, że przestępcy zainfekowali już dosyć dużą liczbę witryn na całym świecie. Visa apeluje do właścicieli sklepów, aby ci regularnie wykonywali skanowanie w celu wczesnego namierzenia komunikacji C&C, sprawdzali stan zabezpieczeń witryn internetowych a także przeprowadzali testy pod kątem obecności złośliwego oprogramowania czy występowania podatności. Dodatkowo wskazane jest wprowadzenie ograniczeń w dostępie do portalu administracyjnego oraz obowiązkowo włączenie uwierzytelniania 2FA.

Problemów ciąg dalszy…

To nie koniec problemów dla posiadaczy kart Visa. Grupa naukowców z ETH w Zurychu odkryła podatność w protokole uwierzytelniania EMV, która umożliwia cyberprzestępcom nielegalne pozyskiwanie funduszy i oszukiwanie posiadaczy kart, a także sprzedawców. Atak pozwala ominąć weryfikację za pomocą kodu PIN w czasie wykonywania zakupów o dużej wartości, a nawet oszukać terminal w punkcie sprzedaży (PoS), aby zaakceptował nieautentyczną transakcję kartą offline.

Wszystkie nowoczesne karty zbliżeniowe korzystające z protokołu Visa, w tym karty Visa Credit, Visa Debit, Visa Electron i V Pay, są dotknięte luką w zabezpieczeniach. Naukowcy znaleźli jednak dowody wskazujące, że atak może mieć również zastosowanie w kartach Discover i UnionPay. Luka nie jest groźna dla kart Mastercard, American Express i JCB.

https://youtu.be/JyUsMLxCCt8

Badacze z ETH wykorzystali lukę w protokole karty, aby przeprowadzić atak typu man-in-the-middle (MitM) za pośrednictwem aplikacji na Androida. Instruuje ona terminal, że weryfikacja kodem PIN nie jest wymagana, ponieważ weryfikacja posiadacza karty została przeprowadzona na urządzeniu konsumenta. Wynika to z faktu, że metoda weryfikacji posiadacza karty (CVM) nie jest chroniona kryptograficznie przed modyfikacją. W rezultacie, kwalifikatory transakcji kartowych (CTQ) używane do określenia, jakie sprawdzenie CVM, jeśli w ogóle, jest wymagane do transakcji, mogą zostać zmodyfikowane.

Atak na „darmowy lunch”

Druga luka, która obejmuje transakcje zbliżeniowe offline dokonywane za pomocą karty Visa lub starej karty Mastercard, umożliwia atakującemu zmianę określonego fragmentu danych zwanego „Application Cryptogram” (AC), zanim zostaną one dostarczone do terminala. Transakcje te nie są połączone z systemem online i istnieje opóźnienie od 24 do 72 godzin, zanim bank potwierdzi zasadność transakcji za pomocą kryptogramu, a kwota zakupu zostanie pobrana z konta.

Przestępca może więc „zakupić” towary lub usługi o niskiej wartości, nie ponosząc żadnych kosztów. Biorąc pod uwagę niską wartość takich transakcji, jest mało prawdopodobne, aby miał się stać popularnym modelem biznesowym dla grup cyberprzestępczych.

Źródło: 12

2. Raccoon pozwala przestępcom złamać szyfrowanie SSL/TLS

Grupa badaczy odkryła nową lukę czasową w protokole Transport Layer Security (TLS), która może potencjalnie pozwolić atakującemu na złamanie szyfrowania i odczytanie wrażliwej komunikacji.

Nazwany „Raccoon Attack”, to atak typu server-side (po stronie serwera), który wykorzystuje kanał boczny w protokole kryptograficznym (wersja 1.2 i starsze) w celu wyodrębnienia klucza używanego do bezpiecznej komunikacji między stronami.

Jest to doskonały przykład ataku czasowego, w którym przestępcy mierzą czas potrzebny do wykonania znanych operacji kryptograficznych w celu określenia części algorytmu. W przypadku “szopa pracza” celem są klucze oparte na protokole Diffiego-Hellmana (DH). Przyczyną jest fakt, że standard TLS zachęca do przetwarzania DH w “nieciągłym” czasie. Jeśli serwer ponownie wykorzystuje klucze efemeryczne, ten kanał boczny może umożliwić atakującemu odtworzenie sekretu pre-mastera poprzez rozwiązanie Hidden Number Problem (problemu ukrytej liczby). 

Zagrożone są zatem wszystkie serwery, które używają protokołu wymiany kluczy Diffiego-Hellmana podczas konfigurowania połączeń TLS. 

Luka jest jednak bardzo trudna do wykorzystania. Atak wymaga bardzo precyzyjnych pomiarów czasu i określonej konfiguracji serwera. Atakujący musi znajdować się blisko serwera. Warunkiem jest również wykorzystywanie protokołu DH do połączeń oraz serwera do ponownego użycia kluczy efemerycznych. Wreszcie, atakujący musi obserwować oryginalne połączenie. Dla przeciętnego cyberprzestępcy, to zbyt wiele…

Niemniej jednak, niektórzy producenci już zareagowali. Microsoft (CVE-2020-1596), Mozilla, OpenSSL (CVE-2020-1968) i F5 Networks (CVE-2020-5929) wydali aktualizacje zabezpieczeń w celu blokowania ataków Raccoon.

Źródła: 12

3. Przestępcy wykorzystują legalne narzędzie do przejęcia kontroli nad Docker i Kubernetes

TeamTNT to grupa przestępcza znana z ataków na platformy Docker i Kubernetes. W swojej najnowszej kampanii zmienia przeznaczenie legalnych narzędzi do monitoringu środowisk chmurowych używając ich do przestępczych celów. 

Badacze z Intezer odkryli, że grupa instaluje narzędzie open source Weave Scope w atakowanych infrastrukturach, aby ukryć swoje działanie i przejąć nad nimi pełną kontrolę. To prawdopodobnie pierwszy przypadek użycia legalnego narzędzia innej firmy do odgrywania roli backdoora w środowisku chmurowym. 

Weave Scope służy do wirtualizacji i monitoringu i integruje się z platformami Docker, Kubernetes, Distributed Cloud Operating System (DC/OS) oraz AWS Elastic Compute Cloud (ECS). Zapewnia mapowanie procesów, kontenerów i hostów na serwerze oraz kontrolę nad zainstalowanymi aplikacjami. 

Osoby atakujące instalują to narzędzie, aby zmapować środowisko swojej ofiary i wykonywać polecenia systemowe bez wdrażania złośliwego kodu na serwerze. 

Jak to działa? Gdy tylko atakujący dostaną się do infrastruktury chmurowej ofiary, konfigurują nowy uprzywilejowany kontener z czystym obrazem Ubuntu. Używają go do pobrania i wykonania cryptominera. Tworzą również lokalnego, uprzywilejowanego użytkownika o nazwie ‘hilde’ i uzyskują tym samym dostęp root do serwera. Następnie łączą się z nim poprzez SSH i wreszcie instalują Weave Scope. 

Grupa może łączyć się z pulpitem nawigacyjnym Weave Scope za pośrednictwem protokołu HTTP na domyślnym porcie 4040 i przejąć kontrolę.

Jak zapobiec temu scenariuszowi? Badacze zalecają wyłączenie lub ograniczenie zasad dostępu w portach interfejsu Docker API. 

Źródło

4. Ransomware Zeppelin z nową kampanią w Europie i USA

Nowa fala ataków została wykryta w sierpniu przez badaczy z Juniper Threatlab. Kampanię inicjuje phishingowy mail zawierający załącznik Microsoft Word (o nazwie „Faktura”), uzbrojony w złośliwe makra. Przestępcy ukryli fragmenty skryptu Visual Basic pośród śmieciowego tekstu, schowanego dodatkowo pod warstwą graficzną.

Macra najpierw parsują i wydobywają skrypt, aby następnie zapisać go w formie pliku w lokalizacji c:\wordpress\about1.vbs. Kolejne makro wyszukuje string o nazwie “winmgmts:Win32_Process” i z jego pomocą uruchamia about1.vbs na dysku ofiary. About1.vbs to trojan downloader, który to ostatecznie pobiera ransomware Zeppelin na maszynę ofiary.

Binaria pozostają w uśpieniu przez 26 sekund. Jest to jedna z metod zaciemniania swojej obecności. Kiedy analiza urządzenia dobiegnie końca, binaria uruchamiają plik instalacyjny ransomware. W kolejnym kroku zagrożenie weryfikuje język systemu oraz dane geolokalizacji za pomocą adresu IP. Jeśli potencjalna ofiara znajduje się na terenie Rosji, Białorusi, Kazachstanu lub Ukrainy, atak zostaje wstrzymany.

Ransomware as a service

Zeppelin to typowy RaaS.  Złośliwe oprogramowanie jest generowane za pomocą kreatora GUI i oferowane dystrybutorom w zamian za udział w przychodach. Mamy więc do czynienia z przestępczym programem afiliacyjnym. To co odróżnia go od wielu rozwiązań z tego segmentu to fakt, że ataki z jego pomocą są konkretnie ukierunkowane. W pierwszej fazie przestępcy wybierali duże firmy technologiczne i medyczne z obszaru Europy i USA. Aktualnie wiemy o 64 ofiarach – jednak ich ilość systematycznie rośnie.

Źródło