MKD-CIRT National Centre for Computer Incident Response

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

“Овие слабости доведуваат до сериозни пропусти во софтверот“, соопшти американската Агенција за сајбер безбедност и инфраструктурна безбедност (CISA). „Едеn напаѓач често може да ги искористи овие пропусти за да ја преземе контролата врз засегнатиот систем, да украде податоци или да спречи апликациите да работат.”

Списокот се заснова на анализа на податоците за јавната ранливост во Националните податоци за ранливост (NVD) за пресликување на основните причини за слабостите на CWE за претходните две години. Беа испитани вкупно 43.996 CVE записи и беше прикачен резултат на секој од нив врз основа на преваленцата и сериозноста.

На врвот излегува Out-of-bounds Write, проследено со Cross-site Scripting, SQL Injection, Use After Free, OS Command Injection, Improper Input Validation, Out-of-bounds Read, Path Traversal, Cross-Site Request Forgery (CSRF), и неограничено поставување на датотека со опасен тип. Out-of-bounds Write исто така го зазеде првото место во 2022 година.

70 ранливости додадени во каталогот Познати експлоатирани ранливости (KEV) во 2021 и 2022 година беа од Out-of-bounds Write багови.

Откривањето доаѓа откако CISA, заедно со американската Агенција за национална безбедност (NSA), објави препораки и најдобри практики за организациите да ги зацврстат своите средини за континуирана интеграција/континуирана испорака (CI/CD) против злонамерните сајбер актери.

Ова вклучува имплементација на силни криптографски алгоритми при конфигурирање на апликации во облак, минимизирање на употребата на долгорочни акредитиви, додавање безбедно потпишување код, користење правила за две лица (2PR) за прегледување на обврзувањата на кодот на програмерите, усвојување на принципот на најмала привилегија (PoLP) , користејќи мрежна сегментација и редовно ревизија на сметки, тајни и системи.

„Со спроведување на предложените мерки за ублажување, организациите можат да го намалат бројот на вектори на експлоатација во нивните CI/CD средини и да создадат предизвикувачка средина за продирање на противникот“, велат агенциите.

Јавно достапните интерфејси за далечинско управување се појавија како еден од најчестите патишта за напади од хакери од национални држави и сајбер криминалци, при што искористувањето на протоколот за далечинска работна површина (RDP) и VPN станаа претпочитана техника за првичен пристап во текот на изминатата година, според новиот извештај од ReliaQuest.

Извор: https://thehackernews.com/

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Нов Android малвер дистрибуиран како SDK реклама е откриен во повеќе апликации, многумина претходно на Google Play и збирно преземени над 400 милиони пати.

Безбедносните истражувачи од Dr. Web го открија spyware модулот и го следеа како „SpinOk“, предупредувајќи дека може да украде приватни податоци складирани на уредите на корисниците и да ги испрати на оддалечен сервер.

Антивирусната компанија изјави дека SpinkOk демонстрира навидум легитимно однесување, користејќи мини игри кои водат до „дневни награди“ за да предизвика интерес кај корисниците.

„Од површината, SpinOk модулот е дизајниран да го одржува интересот на корисниците за апликациите со помош на мини игри, систем на задачи и наводни награди и цртежи на награди“, стои во извештајот на Doctor Web.

Во позадина, сепак, SDK тројанецот ги проверува податоците од сензорот на Android (жироскоп, магнетометар) за да потврди дека не работи во sandbox околина, што најчесто се користи од страна на истражувачите кога анализираат потенцијално Android малициозни апликации.

Апликацијата потоа се поврзува со оддалечен сервер за да преземе список со отворени URL-адреси што се користат за прикажување на очекуваните мини игри.

Додека мини-игрите се прикажуваат на корисниците на апликациите како што се очекуваше, d-r Web изјави дека во позадина, SDK е способен за дополнителна малициозна функционалност, вклучувајќи наведување датотеки во директориуми, пребарување на одредени датотеки, поставување датотеки од уредот или копирање и замена на содржината на таблата со исечоци.

Функционалноста за ексфилтрација на датотеки е особено загрижувачка бидејќи може да изложи приватни слики, видеа и документи.

Дополнително, кодот за функционалност за модификација на таблата со исечоци им овозможува на SDK креаторите да украдат лозинки за сметки и податоци за кредитни картички или да крадат плаќања со криптовалути на нивните сопствени адреси на крипто-паричник.

D-r Web тврди дека оваа SDK бил пронајден во 101 апликација кои биле преземени вкупно 421.290.300 пати од Google Play, а најсимнуваните се наведени подолу:

Noizz: видео едитор со музика (100.000.000 преземања)

Zapya – пренос на датотеки, споделување (100.000.000 преземања; Dr. Web изјави дека тројанскиот модул бил присутен во верзијата 6.3.3 до верзијата 6.4 и повеќе не е присутен во тековната верзија 6.4.1)

VFly: уредувач на видео и креатор на видео (50.000.000 преземања)

MVBit – креатор на MV видео статус (50.000.000 преземања)

Biugo – креатор на видео и уредувач на видеа (50.000.000 преземања)

Crazy Drop (10.000.000 преземања)

Cashzine – награда за заработување пари (10.000.000 преземања)

Роман Fizzo – читање офлајн (10.000.000 преземања)

CashEM: добивање награди (5.000.000 преземања)

Tick: гледајте за да заработите (5.000.000 преземања)

Сите, освен една од горенаведените апликации се отстранети од Google Play, што покажува дека Google добивал извештаи за малициозниот SDK и ги отстранил навредливите апликации додека програмерите не поднесат чиста верзија.

Комплетна листа на апликации за кои наводно се користи SDK може да се најде на страницата на D-r Web.

Не е јасно дали издавачите на тројанизираните апликации биле измамени од дистрибутерот на SDK или свесно го вклучиле во нивниот код, но овие инфекции најчесто произлегуваат од supply-chain напад од трета страна.

Ако користите некоја од апликациите наведени погоре, треба да ја ажурирате најновата верзија достапна преку Google Play, која треба да биде чиста.

Ако апликацијата не е достапна во Android официјалната продавница за апликации, се препорачува веднаш да ја деинсталирате и да го скенирате уредот со мобилна антивирусна алатка за да се осигурате дека ќе се отстранат сите spyware остатоци.

BleepingComputer се обрати до Google за изјава за оваа огромна база на инфекции, но коментарот не беше достапен до времето на објавување.

Извор: BleepingComputer

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Новата кампања која дистрибуира RomCom backdoor малвер претставува имитирање на веб-страници на добро познат или измислен софтвер, мамејќи ги корисниците да преземаат и стартуваат малициозни инсталатери.

Последната кампања беше откриена од страна на Trend Micro, кој го следеше RomCom од летото 2022 година. Истражувачите известуваат дека заканите кои стојат зад малициозниот софтвер ја ескалирале неговата евазија користејќи payload шифрирање и ги прошириле можностите на алатката со воведување нови и моќни команди.

Повеќето веб-страници што се користат за дистрибуција на RomCom до жртви се однесуваат на remote desktop апликации за управување, што ја зголемува веројатноста напаѓачите да користат phishing или social engineering за да им пристапат на жртвите.

Првата документирана употреба на RomCom беше пријавена во август 2022 година од страна на Palo Alto Networks, припишувајќи ги нападите на Cuba ransomware што ја нарекоа „Tropical Scorpius“. Trend Micro користи „Void Rabisu“ за да го следи истиот напаѓач.

Во октомври 2022 година, украинскиот CERT-UA објави дека RomCom малвер се користи во напади против критичните мрежи во земјата.

Друг извештај објавен речиси истовремено од BlackBerry тврди дека е поврзан со Cuba ransomware, но ги потврди нападите во Украина, а исто така укажува дека има жртви на малициозен софтвер во САД, Бразил и Филипините.

Следниот извештај на BlackBerry во ноември 2022 година илустрираше како RomCom имитираше легитимен софтвер, вклучувајќи го SolarWinds Network Performance Monitor (NPM), менаџерот за лозинки KeePass и PDF Reader Pro.

Извештајот на Trend Micro за најновата активност на RomCom наведува неколку примери на веб-страници што ги користеле напаѓачите помеѓу декември 2022 и април 2023 година, кои имитираат легитимен софтвер, како Gimp, Go To Meeting, ChatGPT, WinDirStat, AstraChat, System Ninja, Devolutions’ Remote Desktop Manager, и други.

Некои од малициозните страници користени во споменатиот временски период се:

gllmp.com (офлајн) – Го имитира бесплатниот уредувач на слики со отворен код

gotomeet.us (офлајн) – Ја имитира cloud апликацијата за видео состаноци и конференции

singularlabs.org (офлајн) – имитира PC-алатка за чистење

chatgpt4beta.com (онлајн) – ја имитира AI-четбот платформата

astrachats.com (офлајн) – Го имитира безбедниот chat софтвер

devolutionrdp.com (онлајн) – имитира remote desktop алатка за управување

cozy-sofware.com (офлајн) – имитира remote desktop алатка за управување

vectordmanagesoft.com (офлајн) – имитира remote desktop алатка за управување

devolrdm.com (онлајн) – имитира remote desktop алатка за управување

dirwinstat.com (онлајн) – имитира диск прегледувач и алатка за чистење

Овие лажни сајтови се промовираат преку реклами на Google и високо таргетирани phishing-мејлови, а повеќето од жртвите се наоѓаат во Источна Европа.

Веб-страниците дистрибуираат MSI инсталатери кои се имитираат на ветената апликација, но се тројанизирани со малициозна DLL-датотека („InstallA.dll“).

Оваа датотека извлекува уште три DLL во %PUBLIC%\Libraries папката на жртвата, која се справува со command & control сервер комуникациите и извршување на команди.

Најновата верзија на RomCom payload, анализирана од страна на Trend Micro, покажува дека неговите автори работеле на имплементација на дополнителни малициозни команди, при што нивниот број на команди растел од 20 на 42.

Некои од нагласените команди што може да се притиснат на уред инфициран со RomCom се:

Стартувај cmd.exe

Симнете датотека на компјутерот на жртвата за да вметнете повеќе payloads

Поставете процес со PID измама за да изгледа легитимен

Ексфилтрирајте ги податоците од компромитираниот систем

Поставете proxy преку SSH

Ажурирајте го малициозниот софтвер на уредот

Стартувај AnyDesk на скриен прозорец

Компресирајте дадена папка и испратете ја до серверот на напаѓачите.

Овие команди веќе им даваат на напаѓачите широки можности, но компанијата за сајбер-безбедност известува дека видела неколку случаи на дополнителни малициозни payloads кои се инсталирани преку RomCom.

Stealer компонентите преземени од страна на RomCom на компромитирани уреди вклучуваат:

PhotoDirector.dll – Алатка за снимање слики од екранот која ги компресира сликите во ZIP архивите за ексфилтрација

procsys.dll – Веб-прелистувач (Chrome, Firefox, Edge) крадец на колачиња

wallet.exe – Крадец на паричник на криптовалути

msg.dll – Крадец за инстант пораки

FileInfo.dll – Крадец на FTP акредитиви кој поставува податоци на FTP сервер

Креаторите на RomCom сега го користат VMProtect софтверот за заштита на кодот и анти VM способностите. Исто така, користи енкрипција за payload, чиј клуч не е тврдо кодиран, туку земен со надворешна адреса.

Малициозниот софтвер користи нула бајти во својата C2 комуникација за да избегне откривање од алатките за следење на мрежата.

Конечно, софтверот преземен од малициозните веб-страници е потпишан од навидум легитимни компании наводно со седиште во САД и Канада, чии веб-страници се полни со лажна или плагијатна содржина.

RomCom е поврзан со ransomware, шпионажа и војување, а точните цели на неговите креатори остануваат непознати. Како и да е, тоа е сестрана закана што може да предизвика значителна штета.

Trend Micro обезбеди сеопфатна листа на индикатори за компромис (IoCs) за најновата RomCom кампања и Yara правила за да им помогне на бранителите да ги откријат и запрат нападите.

Извор: BleepingComputer