TA505 z kampanią HR / Microsoft Patch Tuesday / Tajemnica xHelper rozwiązana

Zaczęło się od niewinnego maila… Wiele czarnych scenariuszy inicjuje właśnie kliknięcie w załącznik przesłany mailem… który wydawał się być w porządku. W tym zestawieniu ostrzegamy was przed kampanią, w której przestępcy podszywają się pod pracowników działu HR. Dodatkowo: Google pozbył się 49 rozszerzeń dla Chrome, Microsoft Patch Tuesday z 113 łatkami, międzynarodowy koncern energetyczny padł ofiarą ransomware. Publikujemy także najnowsze ustalenia nt. xHelper. Wygląda na to, że jego ofiary będą mogły odetchnąć z ulgą. Na koniec AgentTesla otrzymał nowy moduł, który umożliwia kradzież haseł WiFi.  

1. TA505 nadal bardzo groźny dla firmowych sieci

W najnowszej kampanii grupa Hive0065 podszywa się pod specjalistów z działu HR i wysyła do pracowników maile z niebezpiecznym załącznikiem o nazwie Resume.doc (Podanie.doc).

Elegancki szablon, składny językowo komunikat i przekonująca treść. Powiedzmy sobie szczerze… ile osób bez najmniejszego wahania pobierze dokument otrzymany od własnego działu HR? Pracujemy na różnego typu systemach i aplikacjach – dlaczego w przypadku działu Human Resources miałoby być inaczej? I chociaż ten artykuł nie będzie skupiać się na potrzebie prowadzenia ciągłej edukacji pracowników – jest to klucz do skutecznego opierania się atakom cybernetycznym.

Tymczasem (prawie) niezauważenie… Wiadomość mail kieruje ofiarę na złośliwą domenę. Po kilkukrotnym przekierowania trafia ona na adres hxxps://dl1.sync-share[.]com?Or2at. W ciągu następnych kilku sekund na maszynie jest tworzony dokument o nazwie main_template.docx. Z każdym nowym otwarciem, w tle uruchomią się makra. Te z kolei wyświetlą nieprawdziwe okno logowania Microsoft Office. Jeśli użytkownik wprowadzi prawidłowe hasło, okno zniknie. Hasło zostanie zaś zapisane jako plik Password.txt, który po chwili zostaje usunięty. Word Resume.doc może być także opatrzony komunikatem „Ten dokument jest chroniony”, którego zamknięcie inicjuje złośliwe makra. 

Finał. Atak kończy wpuszczenie na infrastrukturę SDBbot, które jak większość zagrożeń typu Remote-access Trojan, umożliwia komunikację z serwerami C&C, przechwytywanie poleceń oraz zbieranie informacji o systemie. Przestępcy mogą również wykorzystać malware do zainstalowania dodatkowych payloads, zdalnej kontroli nad systemem oraz wykonywania operacji, na które użytkownik posiada stosowne uprawnienia. RATs należą do jednych z najbardziej popularnych narzędzi wykorzystywanych w atakach ukierunkowanych. Dzięki nim utrzymanie zdalnej kontroli nad przejętym systemem, a potem firmową infrastrukturą jest znacznie prostsze. I choćby z uwagi na to – zostaną z nami na dłużej. 

Źródło

2. Google usuwa 49 rozszerzeń dla Chrome. Powód? Kradzież kluczy do krypto portfeli

Usunięte rozszerzenia udawały legalne aplikacje takie jak Ledger, Trezor, Jaxx, Electrum, MyEtherWallet, MetaMask, Exodus, czy KeepKey.

Wiele wskazuje na to, że za oszustwem stoi jedna grupa przestępcza. Wszystkie aplikacje zawierały ten sam kod – różniły się wyłącznie brandingiem. Dane podane na etapie konfiguracji trafiły na serwery command&control. Na ten moment udało się namierzyć 14 z nich. Większość została uruchomiona zaledwie przed kilkoma tygodniami.

Co ciekawe, kradzież zgromadzonych środków następowała dopiero po pewnym czasie. Specjaliści z MyCrypto podejrzewają, że być może przestępcy byli zainteresowani wyłącznie użytkownikami, którzy zgromadzili spore zapasy kryptowalut. Jest też całkiem możliwe, że atakujący nie byli w stanie zautomatyzować tych operacji i aby wykraść środki musieli się logować do każdego z portfeli manualnie.

Przestępcy postarali się również o pozytywny PR dla swoich rozszerzeń. Niektóre z nich cieszyły się bardzo dużym zaufaniem społeczności (pięć gwiazdek!) oraz posiadały liczne opinie w stylu „Dobra”, „Przydatna aplikacja”, „Legalne rozszerzenie”. Przestępców poniosła również fantazja. Jeden z wielokrotnie kopiowanych komentarzy zachwalał MyEtherWallet jako najlepszą wtyczkę dla posiadaczy Bitcoin. Tyle, że prawdziwe MyEtherWallet nie obsługuje tej kryptowaluty.

Źródło: 12

3. Microsoft Patch Tuesday: 113 załatanych podatności, w tym 3 zero-day

MS łata produkty: łącznie 113 łatek dla Microsoft Windows, Edge, ChakraCore, Office, Office Services, Office Web Apps, Internet Explorer, Windows Defender, Microsoft Dynamics, Visual Studio, Microsoft Apps dla Android oraz Microsoft Apps dla Mac.

Microsoft Patch Tuesday: najistotniejsze poprawki

Najważniejsza aktualizacja dotyczy trzech podatności typu zero-day.

CVE-2020-1020 oraz CVE-2020-0938

Oba błędy umożliwiają zdalne wykonywanie kodu przez atakujących. Jest to możliwe ponieważ komponent biblioteki Windows Adobe Type Manager niepoprawnie obsługuje specjalnie spreparowaną czcionkę Adobe (dwa rodzaje). Atakujący, który zdoła skłonić użytkownika do otwarcia lub wyświetlenia dokumentu, jest już w stanie działać na podatnym systemie.

W przypadku Windows 10 atakujący musi sięgnąć po AppContainer sandbox. Tyle, że zyskuje przez to ograniczone uprawnienia. Nie zmienia to jednak faktu, że może bez większych przeszkód instalować programy, przeglądać i edytować dane oraz tworzyć nowe konta w systemie.

Ostatnie zero-day załatane w kwietniowym Microsoft Patch Tuesday – CVE-2020-0968 – wywołuje krytyczne uszkodzenie pamięci Internet Explorer. Atakujący, któremu uda się wykorzystać tę lukę, może wykonać dowolny kod w kontekście bieżącego użytkownika i uzyskać takie same uprawnienia. Korzystając m.in. z socjotechnik może skłonić ofiarę do wejścia na stronę zawierającą złośliwy kod lub otwarcia niebezpiecznych makr.

Wszystkie zero-day występują w tych samych systemach:  Windows 7, Windows Server 2008 oraz Windows Server 2008 R2. Ponieważ „siódemka” nie jest już wspierana, aktualizację otrzymali wyłącznie użytkownicy, którzy dysponują rozszerzoną aktualizacją zabezpieczeń (ESU).

Microsoft Patch Tuesday:
szczegółowe informacje nt. najnowszych aktualizacji znajdziecie na blogu Microsoft Security Response Center.

Źródło

4. Gigant energetyczny pada ofiarą ransomware. Przestępcy żądają 10 mln euro okupu

Energias de Portugal (EDP) – międzynarodowy koncern energetyczny padł ofiarą ataku ransomware. Przestępcy wykorzystali oprogramowanie Ragnar Locker, zaszyfrowali systemy koncernu i żądają okupu w bitcoinach o równowartości 9,9 mln euro.

Grupa EDP jest jednym z największych europejskich operatorów w sektorze energetycznym (gaz i energia elektryczna) oraz czwartym co do wielkości producentem energii wiatrowej na świecie. Firma jest obecna w 19 krajach, na 4 kontynentach. Zatrudnia ponad 11,5 tys. pracowników i dostarcza energię do ponad 11 mln klientów.

Leakware – zapłacisz, albo Twoje dane ujrzą światło dzienne

Atakujący grożą wyciekiem 10 TB skradzionych poufnych plików firmowych jeżeli nie otrzymają płatności. Jest to klasyczny przykład Leakware/Doxware, któremu przyjrzeliśmy się w Raporcie Cyberbezpieczeństwo: Trendy 2020

Jako demonstrację sił przestępcy opublikowali już plik edpradmin2.kdb, który jest bazą danych menedżera haseł KeePass. Ujawniony link prowadzi do bazy danych nazw logowania, haseł, kont, adresów URL i notatek pracowników EDP. 

Przestępcy grożą, że pozostałe dane opublikują w znanych czasopismach i blogach, powiadomią również klientów, partnerów i konkurentów. Wśród skradzionych informacji są faktury, umowy, dane o klientach, partnerach i transakcjach. 

Ragnar Locker został pierwszy raz zauważony pod koniec grudnia 2019 r. Dostarczany jest za pośrednictwem oprogramowania MSP, w tym ConnectWise. Po etapie rozpoznania i instalacji, atakujący upuszczają plik wykonywalny ransomware, który dodaje określone rozszerzenie do zaszyfrowanych plików i ma wbudowany klucz RSA-2048. Notatka o okupie obejmuje nazwę firmy, link do strony Tor oraz witryny z opublikowanymi danymi ofiary – w tych atakach nie ma miejsca na przypadki. 

Ciekawi jesteśmy, jak skończy się ta historia przestępców walczących z wiatrakami…

Źródło

5. Tajemnica nieśmiertelnego xHelper wreszcie ujawniona

xHelper, wyjątkowo trwały backdoor na Androida spędzał sen z powiek specjalistów ds. bezpieczeństwa od miesięcy. Przypomnijmy: raz zainstalowany na urządzeniu, zostawał “na zawsze”. Na nic zdały się programy antywirusowe czy przywrócenie ustawień fabrycznych. Wracał na urządzenie jak bumerang.

Dokładny opis działania xHelper i daremnych prób jego odinstalowania znajdziesz tutaj

W lutym, specjalista Malwarebytes, Nathan Collier, ujawnił swoje próby odinstalowania malware. Ustalił, że ponowne infekcje były wynikiem niewykrywalnego pliku w ukrytym folderze, którego nie udało się usunąć w zwykły sposób. Nie wiadomo również jak trafiał na zainfekowane telefony. Teraz inny specjalista uzupełnił brakujące elementy…

Badacz z Kaspersky Lab, Igor Golovin twierdzi, że za ponowne infekcje – pobranie i zainstalowanie plików – odpowiada znany trojan Triada, który uruchamiał się wraz z instalacją xHelper. To ona wykorzystuje prawa systemowe i instaluje serię złośliwych plików bezpośrednio na partycji systemowej. Odbywa się to poprzez ponowne zamontowanie partycji systemowej w trybie zapisu. Co więcej, Triada nadaje plikom niezmienny atrybut, który zapobiega ich usunięciu nawet przez superużytkowników. 

Plik o nazwie install-recovery.sh wykonuje wywołania do plików dodanych do folderu /system/xbin. Dzięki temu złośliwe oprogramowanie może być uruchamiane po każdym resecie ustawień urządzenia.

Twórcy Triady zastosowali również inną technikę ochrony, która polegała na modyfikacji biblioteki systemowej /system/lib/libc.so. Zawiera ona wspólny kod używany przez prawie wszystkie pliki wykonywalne na urządzeniu. Triada zastępuje własny kod funkcją montowania w libc, uniemożliwiając w ten sposób użytkownikowi zamontowanie partycji /system w trybie zapisu.

Jak wyleczyć telefon? Wykorzysując tryb odzyskiwania w celu zastąpienia zainfekowanego pliku libc.so legalnym plikiem dołączonym do oryginalnego oprogramowania sprzętowego. Użytkownicy mogą następnie usunąć złośliwe oprogramowanie z partycji systemowej albo jeszcze prościej – flashować urządzenie.

Źródło

6. Info-stealer Agent Tesla z modułem do kradzieży haseł WiFi

Niektóre nowe warianty info-stealera Agent Tesla – są teraz wyposażone w moduł do kradzieży haseł Wi-Fi zainfekowanych urządzeń. Poświadczenia te mogą zostać wykorzystane w przyszłych atakach w celu rozprzestrzeniania się na inne systemy z użyciem sieci bezprzewodowej. 

Nowe próbki są mocno zaciemnione i wykorzystują polecenie netsh z argumentem wlan show profile w celu wyświetlenia wszystkich dostępnych profili WiFi. Aby uzyskać hasła z wykrytych identyfikatorów SSID (nazw sieci), Agent Tesla wydaje nowe polecenie netsh dodając identyfikator SSID i argument key=clear, aby wyświetlić i wyodrębnić hasło w postaci plain text dla każdego profilu. 

Oprócz profilów Wi-Fi, plik wykonywalny zbiera informacje o systemie. W tym o klientach FTP, przeglądarkach, programach do pobierania plików czy informacje o urządzeniach (nazwa użytkownika, nazwa komputera, nazwa systemu operacyjnego, architektura procesora, pamięć RAM).

Te dane z kolei mogą zostać wykorzystane do rozprzestrzeniania zagrożenia lub przygotowania gruntu pod przyszłe ataki. 

Agent Tesla jest komercyjnie dostępnym programem do kradzieży informacji opartym na .Net z aktywnymi funkcjami keyloggera i trojana RAT umożliwiającego zdalny dostęp. W marcu i kwietniu br. był aktywnie dystrybuowany poprzez kampanie spamowe i formaty takie jak ZIP, CAB, MSI, pliki IMG czy docs. Jest popularny wśród oszustów zajmujących się kampaniami BEC, którzy używają go do rejestrowania naciśnięć klawiszy i wykonywania zrzutów ekranu z zainfekowanych komputerów.

Agent Tesla to nie jedyne zagrożenie, które zostało zaktualizowane o funkcje kradzieży poświadczeń WiFi. Niedawno został w nie wyposażony Emotet i byliśmy już świadkami rozprzestrzeniania tego robaka za pomocą sieci bezprzewodowej. Niewykluczone więc, że w najbliższej przyszłości da się we znaki nieco mocniej. 

Źródło