AntiBotNet


ЗАСТАНИ | РАЗМИСЛИ | ПОВРЗИ СЕ

Хакерите го искористуваат пропустот на контролниот веб-панел за да отворат reverse shells

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Хакерите активно ја искористуваат критичната ранливост закрпена неодамна во Control Web Panel (CWP), алатка за управување со сервери порано позната како CentOS Web Panel.

Безбедносниот проблем е идентификуван како CVE-2022-44877 и доби критична оценка за сериозност од 9,8 од 10 бидејќи му дозволува на напаѓачот да го изврши кодот од далечина без автентикација.

На 3 јануари, истражувачот Numan Türle од Gais Cyber Security, кој го пријави проблемот околу октомври минатата година, објави експлоатација за proof-of-concept (PoC) и видео кое покажува како функционира.

Три дена подоцна, безбедносните истражувачи забележаа дека хакерите го искористуваат пропустот за да добијат далечински пристап до незакрпени системи и да најдат повеќе ранливи машини.

CWP верзијата 0.9.8.1147 беше објавена на 25 октомври 2022 година, за да се поправи CVE-2022-44877, што влијае на претходните верзии на панелот.

Техничка анализа на PoC експлоат кодот е достапна од CloudSek, кој изврши пребарување за CWP сервери на платформата Shodan и најде повеќе од 400.000 примероци на CWP достапни преку Интернет.

Истражувачите од фондацијата Shadowserver, кои ја набљудуваа експлоатацијата на ранливоста, забележуваат дека нивните скенирања бележат околу 38.000 примероци на CWP секој ден.

Оваа бројка не ги претставува ранливите машини, туку популацијата што ја гледа платформата.

Малициозната активност снимена од Shadowserver и споделена со BleepingComputer откри дека напаѓачите пронаоѓаат ранливи домаќини и го искористуваат CVE-2022-44877 за да создадат терминал за интеракција со машината.

Во некои напади, хакерите го користат експлоатот за да започнат reverse shell.
Кодираните payloads се претвораат во Python команди кои ја повикуваат машината на напаѓачот и создаваат терминал на ранливиот домаќин користејќи го Python pty модулот.

Другите напади бараа само да ги идентификуваат ранливите машини. Не е јасно дали овие скенирања се спроведени од истражувачи или хакери кои бараат да најдат машини за пробивање подоцна.

Се чини дека сите овие обиди за експлоатација се засновани на оригиналниот јавен PoC од Numan Türle, малку изменет за да одговара на потребите на напаѓачот.

Истражувачката компанија GreyNoise, исто така, забележа неколку напади на незакрпени CWP хостови од IP адреси во Соединетите Американски Држави, Тајланд и Холандија.

Употребата на CVE-2022-44877 е лесно и со кодот за експлоатација веќе јавен, сè што треба да направат хакерите е да пронајдат ранливи цели, што е ниска задача.

Администраторите треба да преземат итна акција и да го ажурираат CWP на најновата достапна верзија, моментално 0.9.8.1148 објавена на 1 декември 2022 година.

Извор: BleepingComputer

StrongPity хакерите ги таргетираат корисниците на Android преку тројанизираната Telegram апликација

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Хакерската група StrongPity APT дистрибуира лажна апликација за разговор Shagle која е тројанизирана верзија на апликацијата Telegram за Android со додаден backdoor.

Shagle е легитимна платформа за видео разговор по случаен избор, која им овозможува на странците да разговараат преку шифриран комуникациски канал. Сепак, платформата е целосно базирана на веб, не нуди мобилна апликација.

StrongPity е пронајден со помош на лажна веб-страница од 2021 година, која ја претставува вистинската страница на Shagle за да ги измами жртвите да преземат злонамерен Android.

Откако ќе се инсталира, оваа апликација им овозможува на хакерите да вршат шпионажа врз целните жртви, вклучително и следење телефонски повици, собирање СМС текстови и грабање списоци со контакти.

StrongPity, исто така познат како Promethium или APT-C-41, претходно беше припишан на кампања која дистрибуираше тројанизирани Notepad++ инсталатери и малициозни верзии на WinRAR и TrueCrypt за да заразат цели со малициозен софтвер.

Најновата активност на StrongPity беше откриена од ESET истражувачите кои ја припишаа кампањата на шпионската група APT врз основа на сличностите на кодот со минатите payloads.

Дополнително, апликацијата за Android е потпишана со истиот сертификат што APT го користеше за потпишување на апликација што ја имитира сириската е-влада Android апликација во кампањата од 2021 година.

Злонамерната Android апликација дистрибуирана од StrongPity е APK-датотека наречена „video.apk“, стандардната апликација Telegram v7.5.0 (февруари 2022 г.), изменета да имитира Shagle мобилна апликација.

ESET не можеше да одреди како жртвите пристигнуваат на лажната веб-страница на Shagle, но тоа е веројатно преку spear phishing мејлови, smishing (SMS phishing) или инстант пораки на онлајн платформи.

Злонамерната APK е обезбедена директно од лажната страница Shagle и никогаш не била достапна на Google Play.

ESET изјави дека клонираниот сајт првпат се појавил на интернет во ноември 2021 година, така што APK најверојатно е под активна дистрибуција од тогаш. Сепак, првото потврдено откривање дојде во јули 2022 година.

Еден недостаток на користењето на Telegram како основа за лажната апликација на хакерската група е тоа што ако жртвата веќе ја има инсталирано вистинската апликација Telegram на своите телефони, backdoor верзијата нема да се инсталира.

Во моментов, API ID е ограничен поради прекумерна употреба, така што тројанизираната апликација повеќе нема да прифаќа нови регистрации на корисници; оттука, backdoor нема да работи.

ESET верува дека ова укажува дека StrongPity успешно го распоредил малициозниот софтвер на целните жртви.

По инсталацијата, малициозниот софтвер бара пристап до услугата за пристапност и потоа презема датотека шифрирана со AES од серверот за команди и контрола на напаѓачот.

Оваа датотека се состои од 11 бинарни модули извлечени на уредот и користени од backdoor за извршување на разни малициозни функционалности.

Секој модул врши шпионска функција и се активира по потреба. Целосната листа на модули за малициозни шпионски софтвер е наведена подолу:

libarm.jar – снима телефонски повици

libmpeg4.jar – собира текст од дојдовните пораки за известување од 17 апликации

local.jar – собира список на датотеки (дрво на датотеки) на уредот

phone.jar – ги злоупотребува услугите за пристапност за да ги шпионира апликациите за пораки преку ексфилтрација на името на контактот, пораката за разговор и датумот

resources.jar – собира СМС пораки зачувани на уредот

services.jar – ја добива локацијата на уредот

systemui.jar – собира информации за уредот и системот

timer.jar – собира список на инсталирани апликации

toolkit.jar – собира листа на контакти

watchkit.jar – собира список со сметки на уредот

wearkit.jar – собира листа на дневници за повици

Собраните податоци се складираат во директориумот на апликацијата, шифрирани со AES и на крајот се испраќаат назад до серверот за команда и контрола на напаѓачот.

Со злоупотреба на Услугата за пристапност, малициозен софтвер може да чита содржина за известување од Messenger, Viber, Skype, WeChat, Snapchat, Tinder, Instagram, Twitter, Gmail и многу повеќе.
Во некои уреди каде што редовниот корисник има администраторски привилегии, малициозниот софтвер автоматски си дава дозвола да изврши промени во безбедносните поставки, да пишува на датотечниот систем, да врши рестартирање и други опасни функции.

Хакерската група StrongPity е активна од 2012 година, најчесто криејќи ги backdoors во легитимните инсталатери на софтвер. Врз основа на извештајот на ESET, хакерот продолжува да ја користи истата тактика по една деценија.

Корисниците на Android треба да бидат внимателни со APK изворите надвор од Google Play и да обрнат внимание на барањата за дозвола додека инсталираат нови апликации.

Извор: BleepingComputer

Совршена бура: 7 причини зошто глобалните напади ќе се зголемат во 2023

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Во 2023 година, глобалната годишна цена на сајбер криминалот се предвидува да достигне 8 трилиони долари, според неодамнешниот извештај на Cybersecurity Ventures. Оваа навидум огромна бројка сепак може да биде големо потценување.

Во 2021 година, финансиските институции во САД изгубиле речиси 1,2 билиони долари во трошоци само поради ransomware напади. Тоа било речиси 200% зголемување во однос на претходната година. Ако продолжиме со таа стапка, следната година глобалните трошоци би можеле да се доближат до 16 трилиони долари.

Зошто трошоците може да бидат толку високи? Еве седум причини зошто стапките и трошоците за сајбер напади драстично ќе се зголемат во 2023 година.

1. Економијата
Извештајот за Cybersecurity Venture правилно ја идентификуваше кризата како причина за загриженост. Но, проблемот има уште подлабоки корени. Светската економска перспектива продолжува да се соочува со силни ветрови. Инфлацијата, енергетската криза и проблемите со синџирот на снабдување влијаат на секоја индустрија. Инфлацијата ќе ја зголеми вкупната цена на сајбер криминалот бидејќи превентивните и трошоците за санација растат.

Иако инфлацијата не е директно поврзана со бројот на инциденти, таа влијае на одлуките за буџетот на компанијата. Како одговор, некои од најголемите технолошки брендови го намалуваат бројот на вработени и спроведуваат замрзнување на вработувањата. Во меѓувреме, безбедносните тимови се слаби со години. Ако безбедносните буџети не се зголемат со инфлацијата, безбедносните лидери ќе имаат уште помала куповна моќ за да имплементираат силна безбедност и способни тимови.

2. Malware as a Service
Ransomware ги погоди бизнисите, владите, поединците и организациите во речиси секој сектор. Сега е полесно од кога било криминалците да пристапат до моќните ransomware алатки. Дури и со скромни технички вештини, криминалците можат да извршат напади што може компаниите да ги чинат милиони.

Ransomware и друг малициозен софтвер може да се купат за само 66 долари. Можете дури и да добиете комплет за фишинг бесплатно на подземни форуми. Во меѓувреме, просечниот глобален трошок за крадење на податоците е 4,35 милиони долари. И поголемиот дел од целите се веќе жртви на повторени напади (83% имале повеќе од едно прекршување, според извештајот на IBM Cost of a Data Breach). Бидејќи пристапот до услугите и комплетите за малициозен софтвер никогаш не бил полесен, стапките на напади сигурно значително ќе се зголемат.

3. Геополитички конфликт
Во 2021 година, групата REvil Ransomware-as-a-Service со седиште во Русија беше одговорна за речиси 18.000 обиди за напади само во САД. Членовите на групата стоеја и зад нападот на колонијалниот гасовод. Сајбер бандата тврдела дека остварува годишен приход од над 100 милиони долари. Некои можеби ќе заборават дека руската влада на крајот го собори REvil. Наводно, соборувањето било дел од реткиот заеднички напор меѓу Соединетите Држави и Русија.

Од избувнувањето на војната во Украина, ваквите заеднички напори се помалку веројатни. Соединетите Држави продолжуваат да ги зголемуваат заедничките напори за сајбер-безбедност со пријателските нации. Но, зголемените геополитички тензии веќе предизвикуваат зголемување на нападите спонзорирани од државата и политички поттикнати.

4. Криминалците се насочени кон помали организации
Додека големите прекршувања од висок профил ги пополнуваат насловите, многу криминалци претпочитаат да таргетираат помали организации. Помеѓу 2020-2021 година, сајбер нападите врз малите компании се зголемиле за повеќе од 150%, според RiskRecon, Mastercard компанија која го проценува безбедносниот ризик на компаниите.

Причините зад овој тренд се двојни. За почеток, помалите цели обично имаат послаба безбедност. Исто така, цели од висок профил, како што се инфраструктурата или големите корпорации, најверојатно ќе привлечат посилен одговор на органите за спроведување на законот. Ова значи дека училиштата, локалните полициски одделенија, малите владини канцеларии и бизнисите со помалку од 1.000 вработени ќе продолжат да бидат напаѓани.

5. Организациите не можат да си дозволат сајбер осигурување
Еден неодамнешен извештај предупредува дека бројот на организации со проблеми со сајбер осигурување треба да се удвои во 2023 година. Тие можеби нема да можат да си дозволат сајбер осигурување, да им биде одбиено покривањето или да доживеат значителни ограничувања на покриеноста.

Forrester ја коментираше ситуацијата во нивниот извештај за топ закани за сајбер-безбедност за 2022 година. Фирмата предвидува дека е веројатно дека осигурениците ќе вклучат нови барања за преземање и поголема контрола на ублажувањето на ризикот и зрелоста на безбедносната програма. Кризата за сајбер осигурување не е само показател за зголемен ризик. Исто така, ќе изврши дополнителен притисок врз бизнисите на финансиската страна во случај на прекршување.

6. Површина за напад што брзо се проширува
Во 2021 година имало вкупно 11,3 милијарди IoT уреди ширум светот. Овој број најверојатно ќе достигне 15,1 милијарди во 2023 година. Во меѓувреме, од 2022 година, 26% од вработените во САД работат од далечина. Тековните проценки очекуваат 36,2 милиони американци да работат на далечина до 2025 година.

Првата половина на 2021 година забележала 1,5 милијарди напади на паметни уреди, при што напаѓачите сакале да украдат чувствителни податоци, криптоџек уреди или да создадат ботнет. Криминалците може дури и да стигнат до корпоративни средства од уред поврзан на домашна мрежа каде што се случува далечинско работење.

Површината на нападот никогаш не била поголема и продолжува брзо да се шири. Ова значи дека криминалците имаат уште повеќе места за истрага и напад.

7. Хактивизам во пораст
Светот продолжува да страда од широк спектар на конфликти. Во геополитичката област, проукраинските или проруските хакери вршат напади со политички мотиви. Гледаме и пораст на еколошки хактивисти насочени кон рударството и нафтените компании.

Според еден експерт, хактивизмот стана мејнстрим сила што влијае на милиони животи на глобално ниво. ,,Hacking for a cause” инцидентите вклучуваат хакирање на е-пошта на Демократскиот Национален Комитет (DNC) и масовно протекување на Панамските документи од 2,6 ТБ. Хактивизмот е значајно оружје против естаблишментот што промовира разновидни каузи ширум светот. И како што растат уличните протести, ќе растат и онлајн протестите.

Подгответе се за турбулентна 2023 година
Сите овие показатели укажуваат на значителен пораст на сајбер нападите и придружните трошоци за 2023 година. Во тек се напори за запирање на бранот и од јавниот и од приватниот сектор. Да се надеваме дека добрите момци наскоро ќе добијат предност.

Извор: Security Intelligence

Добредојдовте на веб-страницата на Националниот центар за одговор на компјутерски инциденти на Република Македонија.

Со член 26-а од Законот за електронските комуникации во состав на Агенцијата за електронски комуникации се формира посебна организациона единица – Национален центар за одговор на компјутерски инциденти (MKD-CIRT), која ќе претставува официјална национална точка за контакт и координација во справувањето со безбедносните инциденти кај мрежите и информациските системи и кој ќе идентификува и ќе обезбедува одговор на безбедносни инциденти и ризици.

Јавниот клуч и неговите потписи може да се најдат на големите меѓународни јавни сервери за клучеви.

  • Key ID: 0x333C00DB
  • Key Type: RSA 4096
  • Key Fingerprint: 0FB9 3DA3 E008 FA8B FC6A 9C71 0741 17A1 333C 00DB