T.Hunter | информационная безопасность

#news Продолжая увлекательную тему Polyfill[.]io, обрастающую подробностями. Так, предсказуемо выяснилось, что атаки через CDN-ки BootCDN, BootCSS, Staticfile также идут от одного оператора. То есть предполагаемый охват атаки резко вырос. Но и это ещё не всё. Отсылки к внедрённому вредоносу нашли на китайских форумах с датами от июля 2023-го, где юзеры упражнялись в расшифровке странного кода, циркулирующего через BootCSS. Число доменов, завязанных на атаку, уже выросло почти до десятка, ситуация может легко выйти из под контроля, а ущерб только предстоит оценить. Между тем сумрачный китайский редирект-гений слегка просчитался и случайно залил исходники от Polyfill[.]io и .env-файл в публичный репозиторий. Что и позволило исследователям обнаружить связь между сервисами. Когда готовишь атаку, которая встряхнёт всю сеть, стоит всё же избегать таких детских опсек-ошибок. @tomhunter

#news TeamViewer сообщила о взломе своих корпоративных сетей. И не простом, а APT-группировкой. Как утверждает компания, следов доступа к продакшну нет – он изолирован от корпоративной среды. Данные клиентов также не затронуты. Между тем TeamViewer серьёзно относится к прозрачности в раскрытии инцидентов. Поэтому к новости о взломе добавили метатег noindex. Пока ответственная за атаку APT-группировка не названа. В 2016-м компанию взламывали китайские госхакеры. На фоне взлома сообщество Health-ISAC опубликовало «информацию из надёжных источников», что TeamViewer активно эксплойтит APT29 — не кто иные, как Cozy Bear. Но неясно, связаны ли новости между собой, и ни компания, ни расследующие инцидент безопасники комментариев не дают. Так что пока нельзя сказать, сделали уютные мишки день юзеров TeamViewer максимально неуютным, или это опять китайцы шалят. @tomhunter

#news История с Polyfill[.]io получила занятное продолжение. Компания-владелец домена, устроившая масштабную атаку на цепочку поставок, подняла новый на .com и заявила, что её опорочили. Никакого вредоноса с их домена не шло, и вообще их сервисы кэшируются Cloudflare, так что никаких рисков атак через них нет. Cloudflare же сообщает, что компания добавила её лого на сайт незаконно. Проще говоря, их услугами она не пользуются. Более того, в Cloudflare назвали последствия атаки крайне тревожными: 4% сайтов в интернете — а это десятки миллионов — использовали Polyfill[.]io. Теперь Cloudflare меняет ссылки на безопасные зеркала, Google блокирует редиректы, а безопасники создают инструменты для поиска сайтов со встроенной polyfill[.]io. А в сухом остатке у нас сценарий, в котором ушлый китайский CDN-щик выкупает старенький опенсорс c целью перенаправить десятки миллионов сайтов на букмекеров и порно. Кибератаки, которые мы заслужили. @tomhunter

#news Недавние заявления LockBit о взломе Федеральной резервной системы США ожидаемо оказались преувеличенными. А точнее, просто ложными: никакую ФРС группировка не взламывала — атака была по не относящемуся к ней банку Evolve Bank & Trust. Банк подтвердил кражу данных, но пока ничего конфиденциального в опубликованных LockBit файлах исследователи не нашли. Так что раскрытие секретов банковской сферы США как-то не задалось. Как мы и писали, LockBit просто пытается восстановить репутацию на рансомварь-сцене и переключилась в режим «Любые упоминания, кроме некролога». Но в итоге группировка стремительно превращает свой потрёпанный бренд в посмешище. Вопрос теперь лишь в том, сколько времени осталось до экзит-скама и/или ребрендинга. @tomhunter

#news Отключённые макросы вынуждают злоумышленников искать всё новые векторы атаки. Теперь им стали msc-файлы: в сочетании с XSS-уязвимостью в Windows они позволяют выполнить код через Microsoft Management Console. На VT засветился такой файл с нулевым обнаружением. Атаку окрестили GrimResource, она эксплойтит баг XSS в библиотеке apds.dll, позволяя выполнить JavaScript через URL. Далее через технику DotNetToJSscript идёт произвольный .NET-код. С обнаружением у атаки туговато, так что она вполне может стать серьёзным вектором. А могла бы им и не быть: об уязвимости в apds.dll Microsoft сообщили ещё в 2018-м, но компания сочла её не нуждающейся в немедленном фиксе. По крайней мере, .msc-файлы в блок-листе в Outlook. Подробнее об атаке в отчёте. @tomhunter

#news Оригинальная атака на цепочку поставок через сервис Polyfill[.]io от находчивых китайцев. Больше 100 тысяч сайтов, использующих библиотеку, обзавелись перенаправлением на букмекерские и порносайты. Оказывается, домен и учётку на GitHub купила китайская CDN-фирма. И модифицировала скрипт сервиса для редиректа на мобильных устройствах. Polyfill[.]io — старенький проект, добавляющий современные функции в старые браузеры. Разработчик ещё в феврале призвал убрать зависимость от проекта после продажи не принадлежавшего ему домена, китайцы поломали его ещё тогда, а теперь используют для атаки. Причём вредонос запускается на специфических устройствах, избегает обнаружения и с обфусцированным кодом — так что здесь всё неслучайно. Чем думал мейнтейнер, Джейк Чемпион, продавая проект мутной китайской конторке, неясно. Достаточно ли ему заплатили, чтобы он теперь не жалел, что его имя засветилось в этой сомнительной истории? Полагаю, что нет. @tomhunter

#news После злоключений первого полугодия LockBit отчаянно пытается поддерживать свою значимость и генерировать инфоповоды. На этот раз группировка заявила о взломе Федеральной резервной системы США. Злоумышленники утверждают, что похитили 33 терабайта конфиденциальных данных с банковскими секретами. LockBit также выдала дерзкий ультиматум ФРС с требованием в течение 48 часов сменить «клинического идиота» в лице переговорщика — якобы им предложили всего 50 тысяч долларов за предположительно масштабную утечку. Тем не менее, пока официальных заявлений от ФРС и каких-либо подтверждений нет. А LockBit последнее время, мягко говоря, не отличается надёжностью, когда речь заходит о потенциально громких взломах. И пока это всё выглядит как очередная пиар-акция от группировки, которой уже особо нечего терять, включая репутацию и разбежавшихся по другим операциям партнёров. @tomhunter

#news Исследователи опубликовали отчёт по RansomHub, восходящем бренде рансомварь-сцены. Из ключевого, группировка четвёртая по числу заявленных атак за последние 3 месяца, комиссия 90% для партнёров и пересечения в коде с рансомварью от BlackCat и Knight. Knight Ransomware ушла на продажу в феврале этого года после закрытия операции, так что, возможно, RansomHub собрали свой энкриптор на её основе. Версии под Linux и Windows написаны на Go, под ESXi — на C+. В основном атаки идут по крупным компаниям в IT-сфере. Как обычно, доступны IoCs, правила YARA и Sigma плюс забавная уязвимость в энкрипторе под ESXi. Он создаёт файл для предотвращения запуска нескольких экземпляров. И если исправить в нём параметр на -1, рансомварь уходит в бесконечный цикл. Подробнее о новой операции в 44-страничном отчёте (PDF). @tomhunter

#news Неожиданные новости об отце всех утечек и ночном кошмаре Госдепа. Джулиан Ассанж заключил сделку с Минюстом США и был освобождён из тюрьмы в Лондоне, где провёл последние пять лет. Он сразу же вылетел в Австралию, а по пути предстанет перед судом на территории США в Тихом океане. Он признал вину по 1 из 17 пунктов — незаконное получение и публикация секретных данных. Ожидается, что ему дадут уже отсиженный срок. Эпические приключения Ассанжа начались в 2012-м, когда он скрылся от предположительно политического преследования в посольстве Эквадора в Лондоне, где прожил следующие семь лет до ареста в 2019-м. В США Ассанж с 2012-го признан врагом государства. По официальным обвинениям ему грозило до 175 лет тюрьмы, по неофициальным — самоубийство тремя выстрелами в затылок. Остаётся пожелать герою поколения, чтобы его 14-летняя эпопея получила счастливый конец. @tomhunter

#news К ИБ-курьёзам из-за океана. TikTok по ошибке опубликовал внутреннюю версию своей ИИ-модели, предназначенную для создания видеорекламы — цифровые аватары актёров позволяют бизнесу генерировать ролики под свой продукт. Но тестовая версия идёт без ограничений по промптам, позволяя оцифровать любой контент. Что делают журналисты CNN, добравшись до модели? Конечно, начинают клепать ролики с цитатами Гитлера, четырнадцатью забавными словами и прочими любимцами околоспортивной молодёжи, живущими rent-free в голове каждого либерального писаки на Западе. А также призывами пить отбеливатель для здоровья. И всё это без ИИ-вотермарки. В итоге получилась такая себе сенсация, ссылку быстро прикрыли, а журналисты задаются вопросом, готов ли TikTok бороться с злоупотреблениями Гитлером и дезинформацией. Готовы ли мы к обществу нулевого доверия, которое вскоре породит ИИ-контент, вопрос гораздо интереснее. Увы, ему CNN отводит лишь пять секунд в конце репортажа. @tomhunter

#news После недавней атаки по НСПК DDoS-лемминги из боевых Телеграм-каналов диванного хактивизма переключились на Мосбиржу. Сегодня с 10 утра по Москве шла атака по всем её ресурсам, включая сайт и маркетплейс. Сайт с утра пролежал 20 минут, также были перебои в работе маркетплейса «Финуслуги». Тактика схожа с той, что наблюдалась в недавней атаке по оператору карт «Мир», так что далеко ходить за предположениями об организаторе не нужно. Тем не менее, серьёзного ущерба она не нанесла, и торги приостановлены не были. Иными словами, эффект от атаки больше психологический. Плюс принудительный стресс-тест систем. Центробанк как раз предупреждал о грядущих проверках финтеха на киберустойчивость — можно анализ общей картины таких атак и реагирования на них и в отчёты подшить. @tomhunter

#news Опенсорсную малварь под Андроид Ratel RAT активно используют для атак по устаревшим устройствам. Исследователи насчитали больше 120 кампаний по её распространению. Часть использует рансомварь-модуль для блокировки устройств, но RAT также засветился в атаках по оборонке и госорганизациям. Основным вектором атаки идут фейковые приложения вроде Instagram, WhatsApp и антивирусов. Значительная часть атак пришлась на США и Китая, но есть достаточно случаев и в России. Большинство заражений идёт по версиям Андроида 11 версии и старше, лишь 12,5% затронули версии 12 и 13. Получается такой своеобразный налог для не желающих участвовать в нескончаемой карусели смены моделей и носящих в кармане кирпич почтенного возраста. Один заход не в ту онлайн-дверь, и старичок получает вредоносный APK, который на версиях новее бы не сработал. Подробнее о Ratel RAT в отчёте. @tomhunter