MKD-CIRT National Centre for Computer Incident Response

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Се појави нова операција за сајбер криминал со dropper-as-a-service (DaaS) наречена „SecuriDropper“, користејќи метод што ја заобиколува функцијата „Ограничени поставки“ во Android за да инсталира малициозен софтвер на уредите и да добие пристап до услугите за пристапност.

Ограничените поставки е безбедносна карактеристика воведена со Android 13 која ги спречува странично вчитаните апликации (APK-датотеки) инсталирани надвор од Google Play да пристапуваат до моќните функции како што се поставките за пристапност и Слушачот за известувања.

Двете дозволи најчесто се злоупотребуваат од малициозен софтвер, така што функцијата беше наменета да ги заштити корисниците со блокирање на одобрувањето на барањата со прикажување предупредување кога се бараат овие дозволи.

Скокачки прозорец за предупредување за Ограничени поставки
(ThreatFabric)

Пристапноста може да се злоупотреби за снимање текст на екранот, давање дополнителни дозволи и далечинско извршување на дејства за навигација, додека слушателот на известувања може да се користи за кражба на еднократни лозинки.

Во август 2022 година, ThreatFabric објави дека развивачите на малициозен софтвер веќе ги прилагодуваат своите тактики на оваа нова мерка преку нов dropper наречен „BugDrop“.

Врз основа на своите набљудувања, фирмата создаде капалка за доказ за концепт (PoC) за да покаже дека бајпасот е возможен.

Трикот е да се користи API-то за инсталирање базирано на сесија за злонамерните датотеки APK (Android пакет), кој ги инсталира во повеќе чекори, вклучувајќи „базен“ пакет и разни „поделени“ датотеки со податоци.

Кога се користи одреденото API наместо методот без сесии, Ограничените поставки се заобиколуваат и на корисниците не им се прикажува дијалогот „Ограничена поставка“ што ги спречува да му дадат пристап на малициозниот софтвер до опасните дозволи.

BleepingComputer потврди дека безбедносниот проблем е сè уште присутен во Android 14 и, според новиот извештај на ThreatFabric, SecuriDropper ја следи истата техника за странично вчитување на малициозен софтвер на целните уреди и да им даде пристап до ризичните подсистеми.

Ова е прв забележан случај овој метод да се користи во операции за сајбер криминал насочени кон корисниците на Android.

Операции на Android Dropper-as-a-Service

SecuriDropper ги инфицира уредите со Android што се претставуваат како легитимна апликација, најчесто имитирање на апликација на Google, ажурирање на Android, видео плеер, безбедносна апликација или игра, а потоа инсталира втор товар, што е некаква форма на малициозен софтвер.

Видови апликации имитираат SecuriDropper (ThreatFabric)

Капкачот го постигнува ова со обезбедување пристап до дозволите „Читање и запишување надворешно складирање“ и „Инсталирај и бришење пакети“ при инсталацијата.

Корисното оптоварување во втората фаза се инсталира преку измама на корисникот и манипулација со интерфејсот, што ги поттикнува корисниците да кликнат на копчето „Преинсталирај“ откако ќе прикажат лажни пораки за грешка за инсталацијата на апликацијата dropper.

Процес на отпуштање на товарот (ThreatFabric)

ThreatFabric видел SpyNote малициозен софтвер дистрибуиран преку SecuriDropper преправен како апликација Google Translate.

Во други случаи, SecuriDropper беше забележан како дистрибуира банкарски тројанци Ermac маскирани како прелистувачот Chrome, насочени кон стотици апликации за криптовалути и е-банкарство.

ThreatFabric, исто така, известува  за повторното појавување на Zombinder , операција на DaaS за прв пат документирана во декември 2022 година. Оваа услуга „лепи“ злонамерни товари со легитимни апликации за да ги инфицира уредите со Android со крадци на информации и банкарски тројанци.

Загрижувачки е тоа што неодамнешните реклами на Zombinder ја нагласуваат истата стратегија за заобиколување на Ограничените поставки за која претходно беше дискутирана, така што на товарите им се дава дозвола да ги користат поставките за пристапност при инсталацијата.

Најновата реклама на Zombinder (ThreatFabric)

За да се заштитат од овие напади, корисниците на Android треба да избегнуваат преземање APK-датотеки од нејасни извори или издавачи на кои не им веруваат и не ги познаваат.

Пристапот до дозволите за која било инсталирана апликација може да се прегледа и отповика со одење во Поставки → Апликации → [избери апликација] → Дозволи .

BleepingComputer стапи во контакт со Google за да праша дали ќе се применат нови безбедносни мерки за да се реши овој проблем кој активно се користи, но не добивме одговор до времето на објавување.

Извор: bleepingcomputer

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Напреден вид на малициозен софтвер кој се маскира како рудар за криптовалути успеа да го надмине радарот повеќе од пет години, заразувајќи не помалку од еден милион уреди ширум светот во тој процес.

Тоа е според наодите од Kaspersky, кој ја нарекол заканата StripedFly , опишувајќи ја како „сложена модуларна рамка која поддржува и Linux и Windows“.

Рускиот продавач на сајбер-безбедност, кој прв ги откри примероците во 2017 година, рече дека рударот е дел од многу поголем ентитет кој користи приспособена експлоатација на EternalBlue SMBv1 припишан на Equation Group со цел да се инфилтрира во јавно достапни системи.

Злонамерниот shellcode, испорачан преку експлоатот, има можност да презема бинарни датотеки од оддалеченото складиште на Bitbucket, како и да извршува PowerShell скрипти. Исто така, поддржува збирка проширливи функции слични на приклучоци за собирање чувствителни податоци, па дури и самиот деинсталирање.

Шел-кодот на платформата се инјектира во процесот wininit.exe , легитимен процес на Windows што е започнат од менаџерот за подигање (BOOTMGR) и се справува со иницијализацијата на различни услуги .

„Самиот товар на малициозен софтвер е структуриран како монолитен бинарен извршен код дизајниран да поддржува приклучливи модули за продолжување или ажурирање на неговата функционалност“, велат истражувачите за безбедност Сергеј Белов, Вилен Камалов и Сергеј Ложкин во техничкиот извештај објавен минатата недела .

„Опремен е со вграден TOR мрежен тунел за комуникација со командни сервери, заедно со функционалност за ажурирање и испорака преку доверливи услуги како што се GitLab, GitHub и Bitbucket, а сите користат прилагодени шифрирани архиви.

Други значајни шпионски модули му дозволуваат да собира акредитиви на секои два часа, да снима слики од екранот на уредот на жртвата без откривање, да снима влез на микрофон и да стартува обратен прокси за извршување дејства од далечина.

По стекнување на успешна основа, малициозен софтвер продолжува да го оневозможува протоколот SMBv1 на заразениот домаќин и го пропагира малициозниот софтвер на други машини користејќи модул за црви преку SMB и SSH, користејќи клучеви собрани на хакираните системи.

StripedFly постигнува упорност или со менување на регистарот на Windows или со креирање записи за распоредувачот на задачи доколку е инсталиран преведувачот PowerShell и е достапен административен пристап. На Linux, упорноста се постигнува со помош на системска корисничка услуга, автоматски стартувана .desktop датотека или со менување на датотеките /etc/rc*, профил, bashrc или inittab.

Преземен е и рудар за криптовалути Monero кој користи DNS преку барањата HTTPS ( DoH ) за да ги реши серверите на базенот, додавајќи дополнителен слој на скришум на злонамерните активности. Оценето е дека рударот се користи како мамка за да се спречи безбедносниот софтвер да го открие целосниот обем на можностите на малициозниот софтвер.

Во обид да се минимизира отпечатокот, компонентите на малициозен софтвер што може да се симнат се хостираат како шифрирани бинарни датотеки на различни услуги за хостирање на складиштето за кодови, како што се Bitbucket, GitHub или GitLab.

На пример, складиштето Bitbucket управувано од актерот за закани од јуни 2018 година вклучува извршни датотеки способни да го опслужуваат иницијалното оптоварување за инфекција и на Windows и на Linux, проверувајќи нови ажурирања и на крајот ажурирање на малициозен софтвер.

Комуникацијата со серверот за команда и контрола (C2), кој е хостиран во мрежата TOR, се одвива со прилагодена, лесна имплементација на клиентот TOR што не се заснова на какви било јавно документирани методи.

„Нивото на посветеност покажано со оваа функционалност е извонредно“, велат истражувачите. „Целта по секоја цена да се скрие серверот C2 го поттикна развојот на уникатен и одземаат многу време проект – создавање на сопствен TOR клиент“.

Друга впечатлива карактеристика е тоа што овие складишта дејствуваат како резервни механизми за малициозен софтвер за преземање на датотеките за ажурирање кога неговиот примарен извор (т.е. C2 серверот) не реагира.

Kaspersky рече дека дополнително открил семејство на откупни софтвери наречено ThunderCrypt што споделува значителни изворни кодови кои се преклопуваат со StripedFly, со забрана за отсуство на модулот за инфекција SMBv1. ThunderCrypt се вели дека бил користен против цели во Тајван во 2017 година.

Потеклото на StripedFly во моментов останува непознато, иако софистицираноста на рамката и нејзините паралели со EternalBlue ги прикажуваат сите белези на актерот со напредна постојана закана (APT).

Вреди да се истакне дека додека протекувањето на експлоатацијата на EternalBlue од Shadow Brokers се случи на 14 април 2017 година, најраната идентификувана верзија на StripedFly што го вклучува EternalBlue датира една година наназад на 9 април 2016 година. Од протекувањето, експлоатацијата е пренаменет од севернокорејски и руски хакерски тимови за ширење на малициозен софтвер WannaCry и Petya .

Како што рече, има и докази дека кинеските хакерски групи можеби имале пристап до некои од експлоатирањата на Equation Group пред да бидат протечени на интернет, како што беше откриено од Check Point во февруари 2021 година.

Сличностите со малициозниот софтвер поврзан со Equation Group, рече Касперски, се рефлектираат и во стилот на кодирање и практиките што наликуваат на оние што се гледаат во STRAITBIZARRE ( SBZ ), друга платформа за сајбер шпионажа што ја има осомничениот противнички колектив поврзан со САД.

Развојот доаѓа речиси две години откако истражувачите од кинеската лабораторија Пангу детализираа задна врата наречена „ Bvp47 “ од највисока класа, која наводно била употребена од Групацијата „Equation“ на повеќе од 287 цели кои опфаќаат повеќе сектори во 45 земји.

Непотребно е да се каже дека клучниот аспект на кампањата кој продолжува да биде мистерија – освен за оние кои го дизајнирале малициозниот софтвер – е нејзината вистинска цел.

„Иако откупниот софтвер ThunderCrypt сугерира комерцијален мотив за неговите автори, тоа го покренува прашањето зошто наместо тоа не се одлучиле за потенцијално попрофитабилниот пат“, велат истражувачите.

„Тешко е да се прифати идејата дека таков софистициран и професионално дизајниран малициозен софтвер би служел за таква тривијална цел, со оглед на сите докази за спротивното.

Извор: (thehackernews.com)

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Актерите за закана поврзани со Kinsing беа забележани како се обидуваат да го искористат неодамна објавениот пропуст за ескалација на привилегиите на Linux наречен Looney Tunables како дел од „новата експериментална кампања“ дизајнирана да ги наруши облачните средини.

„Интригантно е тоа што напаѓачот исто така ги проширува хоризонтите на нивните напади од облакот со извлекување акредитиви од провајдерот на Cloud Service Provider (CSP)“, се вели во извештајот споделен со The Hacker News, фирмата за безбедност на облакот Aqua .

Развојот го означува првиот јавно документиран пример на активна експлоатација на Looney Tunables ( CVE-2023-4911 ), што би можело да му овозможи на актерот за закана да стекне привилегии за root .

Сродните актери имаат искуство за опортунистички и брзо прилагодување на нивните синџири за напади за да ги искористат новооткриените безбедносни пропусти во своја полза, откако неодамна вооружија грешка со висока сериозност во Openfire ( CVE-2023-32315 ) за да постигнат далечинско извршување на кодот.

Најновиот сет на напади подразбира искористување на критичен недостаток на далечинско извршување на кодот во PHPUnit ( CVE-2017-9841 ), тактика за која е позната дека се користи од групата за криптоџек од најмалку 2021 година, за да се добие првичен пристап.

Ова е проследено со рачно испитување на околината на жртвата за Looney Tunables користејќи експлоат базиран на Python објавен од истражувач кој го користи алијасот bl4sty на X (поранешен Twitter).

„Подоцна, Kinsing презема и извршува дополнителна PHP експлоатација“, рече Aqua. „Првично, експлоатацијата е замаглена; сепак, по де-заматување, се открива дека е JavaScript дизајниран за понатамошни експлоатативни активности“.

Кодот JavaScript, од своја страна, е веб-школка што овозможува пристап до задна врата до серверот, овозможувајќи му на противникот да изврши управување со датотеки, извршување команди и да собира повеќе информации за машината на која работи.

Се чини дека крајната цел на нападот е да се извлечат акредитиви поврзани со давателот на услугата облак за последователни напади, што претставува значајно тактичко поместување од неговиот модел на распоредување на малициозниот софтвер Kinsing и лансирање на рудар за криптовалути.

„Ова го означува инаугуративниот пример на Кинсинг кој активно се обидува да собере такви информации“, велат од компанијата.

„Овој неодамнешен развој сугерира потенцијално проширување на нивниот оперативен опсег, сигнализирајќи дека операцијата „Кинсинг“ може да се диверзифицира и интензивира во блиска иднина, а со тоа да претставува зголемена закана за средини на облакот.

Извор: (thehackernews.com)