Google: государственные хакеры стоят за атаками на WinRAR

Компания Google сообщила , что несколько государственно-поддерживаемых хакерских групп активно эксплуатируют высокоопасную уязвимость в программе сжатия WinRAR, которой пользуются более 500 миллионов пользователей. Целью атак является выполнение произвольного кода на системах жертв. Команда по анализу угроз Google (TAG), состоящая из экспертов по безопасности, обнаружила попытки эксплуатации уязвимости от хакеров из нескольких стран, включая такие группы угроз, как Sandworm, APT28 и APT40. «За последние недели TAG заметила, что множествохакерских групп эксплуатируют известную уязвимость, CVE-2023-38831, в WinRAR, популярном архиваторе файлов для Windows,» — сказали в Google TAG. Патч уже выпущен, однако многие пользователи, по-видимому, продолжают оставаться уязвимыми. TAG отмечает активное использование этой уязвимости в WinRAR государственными хакерами из различных стран. В одной из атак хакеры использовали вредоносное ПО Rhadamanthys для кражи данных, а в другой — мошеннический скрипт PowerShell (IRONJAW) для кражи учетных данных браузера. Кроме того, были замечены атаки на цели в Папуа-Новой Гвинее, где злоумышленники использовали уязвимость WinRAR для установления постоянного присутствия на скомпрометированных системах. Уязвимость CVE-2023-38831 активно эксплуатируется с апреля 2023 года. С тех пор ошибку использовали для доставки различных вредоносных программ. Исследователи из Group-IB обнаружили эксплуатацию, направленную на криптовалютные и форумы по торговле акциями. Другие компании, занимающиеся кибербезопасностью, также связали атаки с использованием этого WinRAR с несколькими другими группами угроз, включая DarkPink ( NSFOCUS ) и Konni ( Knownsec ). После раскрытия информации Group-IB на публичных репозиториях GitHub начали появляться примеры эксплуатации уязвимости, что привело к активному «тестированию» уязвимости хакерами. Другие компании по кибербезопасности также связали атаки на эту уязвимость с несколькими другими группами угроз. Уязвимость была устранена с выпуском версии WinRAR 6.23 2 августа, которая также устранила несколько других проблем безопасности. «Широкое использование уязвимости в WinRAR показывает, что эксплуатации известных уязвимостей могут быть очень эффективными, несмотря на наличие патча. Даже самые продвинутые злоумышленники будут делать только то, что необходимо для достижения своих целей,» — сказали в Google.

Источник: https://www.securitylab.ru/news/542838.php

Сквозь защиту: новая ошибка VMware делает обновления бесполезными

Компания VMware, специализирующаяся на услугах виртуализации, предупредила своих клиентов о существовании PoC-эксплойта для недавно исправленной уязвимости в продукте Aria Operations for Logs. Уязвимость обхода аутентификации CVE-2023-34051 (CVSS: 8.1) позволяет неаутентифицированному злоумышленнику удаленно выполнить код. Специалисты из Horizon3.ai и команды Randori Attack первые обнаружили и сообщили о данной ошибке. Horizon3.ai также предложила доказательство концепции (Proof of Concept, PoC) для недостатка, что побудило VMware пересмотреть и дополнить свое уведомление. Отмечается, что CVE-2023-34051 является обходным путем (bypass) для ряда критических уязвимостей, которые были устранены VMware в январе, и которые могли подвергнуть пользователей атакам с удаленным выполнением кода (Remote Code Execution, RCE). Это означает, что, несмотря на ранее выпущенные исправления для уязвимостей, хакеры нашли новый способ их эксплуатации через уязвимость CVE-2023-34051. В данном случае, уязвимость CVE-2023-34051 позволяет злоумышленникам обойти механизмы аутентификации и, возможно, другие механизмы защиты, чтобы удаленно выполнять код в затронутых системах. Это создает риск для пользователей, так как киберпреступники могут использовать эту RCE-уязвимость для выполнения вредоносного кода на затронутых системах, даже если были применены ранее рекомендуемые обновления для устранения предыдущих недостатков.

Источник: https://www.securitylab.ru/news/542998.php

Троян Quasar теперь подгружает DLL для кражи данных с Windows-хостов

Троян Quasar RAT, чей исходный код доступен для модификаций, начал использовать стороннюю загрузку DLL в новых кибератаках. С помощью этой техники вредонос незаметно крадёт данные с Windows-хостов.
Quasar RAT, также известный под именами CinaRAT и Yggdrasil, написан на C# и основан на инструменте для удалённого администрирования компьютеров на Windows. Попав в систему, зловред может собирать системную информацию, список запущенных программ, файлы, нажатия клавиш, а также снимать скриншоты и выполнять шелл-команды. «Техника, которую перенял Quasar RAT, использует уровень доверия системы Windows, к определённым типам файлов», — пишут в отчёте специалисты Uptycs. В целом сторонняя загрузка DLL (DLL side-loading) является популярным методом, который многие подготовленные киберпреступники используют для выполнения пейлоадов и установки скомпрометированной библиотеки, чьё имя совпадает с известным легитимным файлом. «Злоумышленники задействуют стороннюю загрузку DLL с целью замаскировать свои вредоносные действия», — говорится в заметках MITRE.
Цепочка атаки Quasar RAT начинается с ISO-образа, содержащего три файла:
— легитимный бинарник ctfmon.exe, переименованный в eBill-997358806.exe,
— библиотека MsCtfMonitor.dll, переименованная в monitor.ini,
— и вредоносная библиотека MsCtfMonitor.dll.
«При запуске бинарника MsCtfMonitor.dll сразу инициируется загрузка MsCtfMonitor.dll с помощью техники DLL side-loading», — объясняют специалисты. Спрятанный вредоносный код внедряется в Regasm.exe, официальное средство регистрации сборок Windows. На следующем этапе загружается файл calc.exe, который «дёргает» вредоносную Secure32.dll.

Источник: https://www.anti-malware.ru/news/2023-10-23-111332/42154

Скрытое вредоносное ПО атакует пользователей Telegram и AWS

Исследователи из компании checkmarx обнаружили скрытое вредоносное ПО (malware), нацеленное на пользователей мессенджера Telegram и облачных сервисов Amazon Web Services (AWS). Эта угроза представляет собой крайне хитроумный метод кражи данных, что делает её особенно опасной для широкого круга пользователей. Специалисты по кибербезопасности отметили , что вредоносное ПО, известное как «Агент Tesla», использует сложные механизмы для обхода антивирусных систем и доставки вредоносного кода на устройства жертв. Программное обеспечение способно красть данные учетных записей и пароли, а также отправлять их на удаленные сервера злоумышленников. Вредоносное ПО распространяется через электронные письма с вложениями в виде инфицированных документов. После открытия вложения на компьютере жертвы активируется вредоносный код, который, в свою очередь, начинает собирать и отправлять персональные данные на сервера злоумышленников. Эксперты подчеркивают, что основной целью атак является кража учетных данных и паролей для доступа к аккаунтам Telegram и AWS. Следовательно, рекомендуется обновлять антивирусные программы и избегать открытия подозрительных вложений в электронных письмах. Команда исследователей кибербезопасности продолжает работу над выявлением и устранением угрозы. При этом активно ведется мониторинг сети на предмет новых атак и методов распространения вредоносного ПО. Особое внимание уделяется защите пользовательских данных и повышению уровня безопасности сервисов Telegram и AWS.

Источник: https://www.securitylab.ru/news/542677.php

Фальшивая реклама KeePass использует Punycode и домен, почти неотличимый от настоящего

Исследователи Malwarebytes обнаружили вредоносную рекламную кампанию в Google Ads, продвигающую фейковый сайт менеджера паролей KeePass. Мошенники использовали Punycode, чтобы замаскировать свой домен под настоящий, и распространяли таким способом малварь. Punycode представляет собой стандартизированный метод преобразования последовательностей Unicode-символов в ACE-последовательности, которые состоят только из алфавитно-цифровых символов, как это разрешено в доменных именах. Punycode был разработан для однозначного преобразования доменных имен в последовательность ASCII-символов. Злоумышленники давно поняли, что можно злоупотреблять Punycode для регистрации доменных имен, которые выглядят похожими на легитимные, но содержат какой-либо Unicode-символ, который выглядит немного иначе. Атаки такого типа часто называют омографическим. К примеру, в обнаруженном Malwarebytes случае злоумышленники использовали Punycode для создания адреса xn—eepass-vbb[.]info, который преобразуется в ķeepass.info, имитируя настоящий домен проекта (keepass.info), но с использованием символа «ķ». В итоге этот вредоносный домен продвигали в рекламе через Google Ads, имитируя рекламу настоящего KeePass. Если жертва не замечала ничего странного и кликала по такому объявлению мошенников, срабатывал редирект, который проверял, что жертва не является краулером, ботом, не использует песочницу и так далее, после чего пользователь попадал на поддельный сайт https://xn--eepass-vbb[.]info. «Пользователей сначала обманывают с помощью рекламы Google, которая выглядит совершенно законной, а затем еще раз с помощью похожего домена», — пишет Жером Сегура (Jérôme Segura), руководитель отдела анализа угроз Malwarebytes. На сайте мошенников, который прикидывался официальным сайтом KeePass, пользователю предлагали скачать «менеджер паролей». Нажатие на любую ссылку для скачивания приводило к загрузке подписанного установщика MSI с названием KeePass-2.55-Setup.msix, который содержал PowerShell-скрипт, связанный с загрузчиком малвари FakeBat. Хотя исследователи не пишут об окончательной полезной нагрузке этой кампании, в июле 2023 года компания Sophos сообщала, что связывает FakeBat с распространяем таких инфостилеров, как Redline, Ursniff и Rhadamathys. Хотя в настоявшее время Google уже удалила вредоносную рекламу, использующую Punycode, исследователи отмечают, что в этой кампании есть и другие мошеннические объявления, связанные с KeePass. Например, одно из таких объявлений указывает на домен keeqass[.]info, и злоумышленники так же распространяют FakeBat через этот сайт.

Источник: https://xakep.ru/2023/10/20/keepass-punycode/