AntiBotNet


ЗАСТАНИ | РАЗМИСЛИ | ПОВРЗИ СЕ

General Bytes Bitcoin банкомати хакирани со помош на zero-day, украдени 1,5 милиони долари

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Водечкиот производител на Bitcoin банкомати General Bytes откри дека хакерите украле криптовалути од компанијата и од нејзините клиенти користејќи zero-day ранливост во нејзината BATM платформа за управување.

General Bytes прави Bitcoin банкомати дозволувајќи им на луѓето да купат или продадат над 40 криптовалути. Клиентите можат да ги распоредат своите банкомати користејќи самостојни сервери за управување или General Bytes cloud услуга.

Во текот на викендот, компанијата откри дека хакерите ја искористиле zero-day ранливоста следена како BATM-4780 за да прикачат Java апликација преку главниот сервисен интерфејс на банкоматот и да ја стартуваат со ,,batm” кориснички привилегии.

„Хакерот го скенирал просторот за IP-адреса на Digital Ocean cloud хостинг и идентификувал како работат CAS услугите на портите 7741, вклучително и General Bytes Cloud услугата и други GB банкомати кои ги извршуваат своите сервери на Digital Ocean (нашиот препорачан cloud хостинг провајдер)“, објасни General Bytes во обелоденувањето на безбедносениот инцидент.

Компанијата се огласи на Твитер за да ги повика клиентите „да преземат итна акција“ и да ги инсталираат најновите ажурирања за да ги заштитат своите сервери и средства од хакерите.

По поставувањето на Java апликацијата, хакерите добија можност да ги извршуваат следните дејства на компромитирани уреди:

– Способност за пристап до базата на податоци.

– Способност за читање и дешифрирање API клучеви кои се користат за пристап до средства во паричници и централи.

– Да преземат кориснички имиња, лозинки и да исклучат 2FA.

– Способност за пристап до евиденциите за терминални настани и скенирање на кој било пример кога клиентите скенирале приватни клучеви на банкоматот. Постарите верзии на софтверот за банкомати ги евидентираа овие информации.

General Bytes предупреди дека нејзините клиенти и сопствената cloud услуга биле пробиени за време на нападите.

„GENERAL BYTES Cloud услугата беше пробиена како и самостојните сервери на другите оператори“, се истакнува во изјавата.

Иако компанијата откри колку пари украл хакерот, тие обезбедија список со адреси на криптовалути што ги користел хакерот за време на нападот.

Овие адреси покажуваат дека хакерот почнал да краде криптовалута од серверите на Bitcoin банкомат на 17-ти март, при што адресата на Bitcoin на хакерот добила 56,28570959 BTC, во вредност од приближно 1,589,000 долари и 21,79436191 Ethereum, во вредност од приближно 39,0 долари.

Додека Bitcoin паричникот сè уште ја содржи украдената криптовалута, хакерите користеле Uniswap за да го претворат украдениот Ethereum во USDT.

CAS (Crypto Application Server) администраторите се повикани да ги испитаат нивните „master.log“ и „admin.log“ лог датотеки за какви било сомнителни временски празнини предизвикани од хакерот кој ги бришел записите во дневникот за да ги скрие своите дејства на уредот.

Извештајот на General Byte, исто така, предупреди дека поставените малициозни JAVA апликации ќе се појават во „/batm/app/admin/standalone/deployments/“ папката  како датотеки со случајни имиња .war и .war.deployed.

Компанијата забележува дека имињата на датотеките најверојатно се различни по жртва.

Оние без знаци на крадење треба да сметаат дека сите нивни CAS лозинки и API клучеви се компромитирани и веднаш да ги поништат и да генерираат нови. Сите кориснички лозинки исто така треба да се ресетираат.

General Bytes изјави дека ја затвораат својата cloud услуга, наведувајќи дека е „теоретски (и практично) невозможно“ да се заштити од хакери кога мора истовремено да обезбеди пристап до повеќе оператори.

Компанијата ќе обезбеди поддршка со миграција на податоци за оние кои би сакале да инсталираат сопствен самостоен CAS, кој сега треба да биде поставен зад заштитен ѕид и VPN.

General Byte, исто така, објави безбедносна поправка на CAS што се однесува на експлоатираната ранливост, обезбедена во две закрпи, 20221118.48 и 20230120.44.

Исто така, се истакнува дека пробиениот систем бил подложен на повеќе безбедносни ревизии од 2021 година, но ниту една не ја идентификувала експлоатираната ранливост.

Истражувачите од берзата за криптовалути Kraken открија повеќе пропусти во банкоматите на General Bytes во 2021 година, кои компанијата брзо ги поправи.

Сепак, дури и со овие безбедносни ревизии, во август 2022 година, General Bytes имаше безбедносен инцидент каде хакерите ја искористија zero-day ранливоста во серверите на банкоматите за да украдат криптовалути од своите клиенти.

Компанијата изјави дека планира да спроведе бројни безбедносни контроли на своите производи од повеќе компании во краток период за да открие и поправи други потенцијални недостатоци пред да ги најдат хакерите.

Извор: BleepingComputer

FakeCalls Android малвер се враќа со нови начини за криење на телефоните

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

„FakeCalls“ Android малвер повторно циркулира во Јужна Кореја, имитирајќи телефонски повици за над 20 финансиски организации и обидувајќи се да ги измами банкарите да ги дадат деталите од нивните кредитни картички.

Конкретниот малвер не е нов, бидејќи Kaspersky објави извештај за него пред една година. Сепак, истражувачите на Check Point сега известуваат дека поновите верзии имплементирале повеќе механизми што не се видени во претходните примероци.

„Откривме повеќе од 2500 примероци од FakeCalls малвер кои користеа различни комбинации на имитирани финансиски организации и имплементираа техники за антианализа“, стои во извештајот на CheckPoint.

„Програмерите посветија посебно внимание на заштитата на нивниот малициозен софтвер, користејќи неколку уникатни техники што претходно не сме ги виделе.

Првиот чекор од нападот е инсталирање на малвер на уредот на жртвата, што може да се случи преку phishing. black SEO или malvertizing.

FakeCalls малвер се дистрибуира на лажни банкарски апликации кои имитираат големи финансиски институции во Кореја, така што жртвите мислат дека користат легитимна апликација од доверлив продавач.

Нападот започнува со тоа што апликацијата ѝ нуди на жртвата заем со ниска каматна стапка. Штом жртвата е заинтересирана, малверот иницира телефонски повик што репродуцира снимка од вистинската поддршка за корисници на банката со инструкции за одобрување на барањето за заем.

Сепак, малверот може да го маскира повиканиот број, кој им припаѓа на напаѓачите, и наместо тоа да го прикаже вистинскиот број на имитираната банка, правејќи разговорот да изгледа реален.

Во одреден момент, жртвата е принудена да ги потврди деталите за нивната кредитна картичка, наводно потребни за добивање на заемот, кои потоа се украдени од страна на напаѓачите.

Покрај vishing процесот, FakeCalls може да снима аудио и видео преноси во живо од компромитираниот уред, што може да им помогне на напаѓачите да соберат дополнителни информации.

Во најновите примероци фатени и анализирани од истражувачите на CheckPoint, FakeCalls вклучува три нови техники кои му помагаат да избегне откривање.

Првиот механизам се нарекува „multi-disk“, кој вклучува манипулирање со податоците во ZIP заглавјето на APK датотеката (Android пакет), поставувајќи ненормално високи вредности за EOCD записот за да се збунат алатките за автоматска анализа.

Втората техника вклучува манипулација со AndroidManifest.xml датотеката за да се направи нејзиниот почетен маркер да не се разликува, да се измени структурата на стринговите и стиловите и да се манипулира со поместувањето на последната низа за да се предизвика неправилно толкување.

Третиот метод е додавање на многу датотеки во вгнездените директориуми во APK папката, што резултира со имиња и патеки на датотеки што надминуваат 300 знаци.
Check Point изјави дека ова може да предизвика проблеми за некои безбедносни алатки, поради што тие не успеваат да го откријат малициозниот софтвер.

Според статистиката на јужнокорејската влада, vishing (voice phishing) е проблем што ги чинел жртвите во земјата 600 милиони долари само во 2020 година, додека имало 170.000 пријавени жртви помеѓу 2016 и 2020 година.

Додека FakeCalls сеуште е присутен во Јужна Кореја, може лесно да ги прошири своите дејства во други региони ако неговите програмери развијат нов јазичен комплет и склоп на апликации за да таргетираат банки во различни земји.

Vishing отсекогаш бил тежок проблем, но подемот на говорни модели за машинско учење кои можат да генерираат природен говор и да имитираат гласови на реални лица со минимален внес на податоци, наскоро ќе ја зголеми заканата.

Извор: BleepingComputer

Критичната грешка на Microsoft Outlook PoC покажува колку лесно може да се искористи

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Истражувачите за безбедност споделија технички детали за искористување на критичната ранливост на Microsoft Outlook за Windows (CVE-2023-23397) што им овозможува на хакерите од далечина да крадат хеширани лозинки со едноставно примање е-пошта.

Microsoft вчера објави закрпа за безбедносниот пропуст, но тој беше искористен како zero – day ранливост во NTLM – relay нападите најмалку од средината на април 2022 година.

Проблемот е privilege escalation ранливост со 9,8 сериозна оценка што влијае на сите верзии на Microsoft Outlook на Windows.

Хакерот може да го користи за да ги украде NTLM ингеренциите со едноставно испраќање на малициозна е-пошта. Не е потребна интеракција со корисникот бидејќи експлоатацијата се случува кога Outlook е отворен и потсетникот се активира на системот.

Нова Windows LAN Manager (NTLM) технологија е метод за автентикација што се користи за најавување на Windows домени користејќи хеширани ингеренции за најавување.

Иако NTLM автентикацијата доаѓа со познати ризици, таа сè уште се користи на новите системи за компатибилност со постарите системи.

Работи со хешови на лозинки што серверот ги добива од клиентот кога се обидува да пристапи до споделен ресурс, како што се SMB споделувањата. Доколку се украдени, овие хешови може да се користат за автентикација на мрежата.

Microsoft објасни дека хакерот може да користи CVE-2023-23397 за да добие NTLM хeш со испраќање „порака со продолжено MAPI property со UNC патека до SMB (TCP 445) споделување на сервер контролиран од хакерот“.

„Поврзувањето со оддалечениот SMB сервер испраќа NTLM преговарачка порака на корисникот, која хакерот потоа може да ја пренесе за автентикација против други системи кои поддржуваат NTLM автентикација“ – Microsoft

Сепак, искористувањето на проблемот бара повеќе технички детали, кои дојдоа набргу откако Microsoft ја објави поправката од истражувачите во консултантската компанија за безбедност MDSec.

По прегледувањето на скрипта од Microsoft што ги проверува ставките за пораки на Exchange за знаци на експлоатација користејќи CVE-2023-23397, членот на црвениот тим на MDSec, Dominic Chell, откри колку лесно хакерот може да ја искористи грешката.

Тој откри дека скриптата може да го бара „PidLidReminderFileParameter“ property во примените пораки и да го отстрани кога е присутно.

Chell објаснува дека ова му дозволува на испраќачот да го дефинира името на датотеката што Outlook клиентот треба да го репродуцира кога ќе се активира потсетникот за пораки.

Причината зошто ова беше можно останува загатка што истражувачот не можеше да ја разјасни бидејќи испраќачот на е-пошта не треба да може да го конфигурира звукот за предупредувањето за нова порака на системот на примачот.

Chell забележа дека ако property прифати име на датотека, исто така треба да биде можно да се додаде UNC патека за активирање на NTLM автентикацијата.

Истражувачот, исто така, откри дека PidLidReminderOverride може да се користи за да направи Microsoft Outlook да анализира оддалечена, малициозна UNC патека во PidLidReminderFileParameter.

Оваа информација му овозможи на истражувачот да создаде малициозна е-пошта на Outlook (.MSG) со датум во календарот што ќе ја активира ранливоста и ќе ги испрати NTLM хешовите до произволен сервер.

Овие украдени NTLM хешови потоа може да се користат за извршување на NTLM relay напади за подлабок пристап до корпоративните мрежи.

Освен датуми во календарот, хакерот може да користи и Microsoft Outlook Tasks, белешки или е-пораки за да ги украде хешовите.

Chell забележува дека CVE-2023-23397 може да се користи за активирање на автентикација на IP адреса што е надвор од доверливата интранет зона или доверливи сајтови.

Ранливоста беше пронајдена и пријавена до Microsoft од страна на украинскиот Computer Emergency Response Team (CERT-UA), најверојатно откако забележа дека се користи во напади кои ги таргетираат неговите услуги.

Според Microsoft, „Рускиот хакер“ ја искористил ранливоста во таргетирани напади против неколку европски организации во владиниот, транспортниот, енергетскиот и воениот сектор.

Се верува дека хакерската група која стои зад нападите е АПТ28 (познато како Strontium, Fancy Bear, Sednit, Sofacy), хакер кој е поврзан со Главниот директорат на Генералштабот на вооружените сили на Руската Федерација (GRU).

Се верува дека до 15 организации биле цел или пробиени со помош на CVE-2023-23397, последниот напад се случи минатиот декември.

По добивањето пристап, хакерите често ги користат Impacket и PowerShell Empire open-source frameworks за да ја рашират својата активност и да преминат во повредни системи на мрежата за да соберат информации.

Администраторите силно се советуваат да дадат приоритет на поправање на CVE-2023-23397 и да ја користат Microsoft скриптата за да проверат дали има знаци на експлоатација со тоа што ќе проверат дали ставките за пораки во Exchange доаѓаат со UNC патека.

Извор: BleepingComputer

Добредојдовте на веб-страницата на Националниот центар за одговор на компјутерски инциденти на Република Македонија.

Со член 26-а од Законот за електронските комуникации во состав на Агенцијата за електронски комуникации се формира посебна организациона единица – Национален центар за одговор на компјутерски инциденти (MKD-CIRT), која ќе претставува официјална национална точка за контакт и координација во справувањето со безбедносните инциденти кај мрежите и информациските системи и кој ќе идентификува и ќе обезбедува одговор на безбедносни инциденти и ризици.

Јавниот клуч и неговите потписи може да се најдат на големите меѓународни јавни сервери за клучеви.

  • Key ID: 0x333C00DB
  • Key Type: RSA 4096
  • Key Fingerprint: 0FB9 3DA3 E008 FA8B FC6A 9C71 0741 17A1 333C 00DB