MKD-CIRT National Centre for Computer Incident Response

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Откриена е нова кампања на Lazarus која се смета за дел од „Операција DreamJob“ која ги таргетира корисниците на Linux со малициозен софтвер за прв пат.

Ова ново таргетирање беше откриено од страна на истражувачите на ESET, кои изјавија дека Lazarus го извршил неодамнешниот supply-chain напад на VoIP провајдерот 3CX.

Нападот беше откриен во март 2023 година, компромитирајќи повеќе компании кои ја користеа тројанизираната верзија на 3CX клиентот со тројанци за крадење информации.

Lazarus веќе беше обвинет дека е одговорен за нападот, додека повеќе компании за сајбер-безбедност се согласија дека напаѓачот што го тројанизираше 3CX е од севернокорејско потекло.

Mandiant ги објави резултатите од нивната истрага за пробивањето на 3CX, дополнително поврзувајќи го нападот со севернокорејските закани.

Mandiant изјави дека околината на програмерите на 3CX била компромитирана откако вработен инсталирал софтвер за тргување од Trading Technologies, чиј инсталатор бил тројанизиран во друг севернокорејски supply chain напад.

Lazarus’s Operation DreamJob, исто така познат како Nukesped, е тековна операција која таргетира луѓе кои работат во софтвер или DeFi платформи со лажни понуди за работа на LinkedIn или други социјални медиуми и комуникациски платформи.

Овие social engineering напади се обидуваат да ги измамат жртвите да преземаат малициозни датотеки маскирани како документи кои содржат детали за понудената позиција. Меѓутоа, овие документи наместо тоа шират малициозен софтвер на компјутерот на жртвата.

Во случајот откриен од страна на ESET, Lazarus дистрибуира ZIP архива со име „HSBC job offer.pdf.zip“ преку spearphishing или директни пораки на LinkedIn.

„Интересно е што наставката на датотеката не е .pdf. Ова е затоа што привидната точка во името на датотеката е водечка точка претставена со знакот U+2024 Unicode“, објаснува ESET.

„Употребата на водечката точка во името на датотеката веројатно беше обид да се измами менаџерот на датотеки да ја третира датотеката како извршна датотека наместо како PDF.

„Ова може да предизвика датотеката да работи кога ќе се кликне двапати наместо да се отвори со PDF прегледувач“.

Кога примачот двапати кликнува на датотеката за да ја стартува, малициозниот софтвер, познат како „OdicLoader“, прикажува PDF мамка додека истовремено презема payload на малициозен софтвер од втора фаза од приватно складиште хостиран на облак услугата OpenDrive.

Payload во втората фаза е C++ backdoor наречен „SimplexTea“, кој е отфрлен на „~/.config/guiconfigd. SimplexTea“.

OdicLoader исто така го модифицира корисничкиот ~/.bash_profile за да се осигура дека SimplexTea е стартуван со Bash и неговиот излез е исклучен секогаш кога корисникот започнува нова shell сесија.

По анализата на SimplexTea, ESET утврди дека е многу сличен во функционалноста, техниките за шифрирање и хардкодираната инфраструктура што се користи со малициозниот софтвер на Lazarus Windows наречен „BadCall“, како и со варијантата на macOS наречена „SimpleSea“.

Исто така, ESET откри претходна варијанта на SimplexTea малвер на VirusTotal, наречена „sysnetd“, која исто така е слична на споменатите backdoors, но напишанa во C.

Таа претходна варијанта ја вчитува својата конфигурација од датотека со име /tmp/vgauthsvclog, која се користи од услугата VMware Guest Authentication. Ова сугерира дека таргетираниот систем може да биде Linux VMware виртуелна машина.

Аналитичарите на ESET, исто така, открија дека sysnetd backdoor користи XOR клуч претходно откриен од 3CX истрагата за да се користи од SimpleSea малверот.

„Гледајќи ги трите 32-битни цели броеви, 0xC2B45678, 0x90ABCDEF и 0xFE268455 кои претставуваат клуч за прилагодена имплементација на A5/1 шифрата, сфативме дека истиот алгоритам и идентичните клучеви се користени во Windows малициозен софтвер кој датира од крајот на 2014 година и беше вклучен во еден од најсериозните случаи на Lazarus: сајберсаботажата на Sony Pictures Entertainment“, објаснуваат од ESET.

XOR клучот помеѓу SimplexTea и SimpleSea payloads се разликува; сепак, конфигурациската датотека го користи истото име, „apdl.cf“.

Преминот на Lazarus кон Linux малициозен софтвер и 3CX нападот ја илустрира нивната тактика која постојано се развива, сега ги поддржува сите главни оперативни системи, вклучувајќи ги Windows и macOS.

Слични напади на Lazarus Operation DreamJob доведоа до огромен успех на напаѓачите, дозволувајќи им да украдат 620 милиони долари од Axie Infinity.

FBI исто така потврди дека Lazarus стои зад кражбата на криптовалути од 100 милиони долари од Harmony мостот.

Неодамнешниот supply-chain напад на 3CX од страна на Lazarus означува уште еден успех од висок профил за оваа сајбер група.

Извор: BleepingComputer

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Кампањата за напади од големи размери, ја искористува Kubernetes (K8s) Role Based Access Control (RBAC) за да создаде backdoors и да ископува криптовалути.

„Напаѓачите, исто така, распоредија DaemonSets за да ги преземат и крадат ресурсите на K8 кластерите што ги напаѓаат“, стои во извештајот на cloud security фирмата Aqua споделен со The Hacker News. Израелската компанија, која го нарече нападот RBAC Buster, изјави дека пронашла 60 изложени K8 кластери кои биле експлоатирани од страна на напаѓачот зад оваа кампања.

Синџирот на напади започна со тоа што напаѓачот доби првичен пристап преку погрешно конфигуриран API-сервер, проследено со проверка за докази за конкурентен малициозен софтвер на компромитиран сервер.

„Напаѓачот создаде нов ClusterRole со привилегии речиси на ниво на администратор“, соопшти компанијата. „Следно, напаѓачот создаде „ServiceAccount“, „kube-controller“ во именскиот простор „kube-system“. На крајот, напаѓачот создаде „ClusterRoleBinding“, врзувајќи го ClusterRole со ServiceAccount“.

Во упадот забележан во неговите K8 кластери, напаѓачот се обидел да ги хакира намерно изложените AWS клучеви за пристап за да добие вкоренета основа во околината, да украде податоци и да избега од границите на кластерот.

Последниот чекор од нападот вклучуваше напаѓачот да создаде DaemonSet за да распореди слика од контејнер хостирана на Docker (“kuberntesio/kube-controller:1.0.1”) на сите јазли.

„Сликата од контејнерот именувана како „kuberntesio/kube-controller“ е случај што претставува легитимна сметка „kubernetesio““, изјави Aqua. „Сликата, исто така, ја имитира популарната слика на контејнер „kube-controller-manager“, која е критична компонента на контролната рамнина, која работи во Pod на секој главен јазол, одговорен за откривање и реагирање на дефекти на јазлите.

Интересно е што некои од тактиките опишани во кампањата имаат сличности со друга незаконска операција за ископување криптовалути, која исто така ги искористи предностите на DaemonSets за да копа Dero и Monero. Во моментов не е јасно дали двете групи на напади се поврзани.

Извор: TheHackerNews

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Bumblebee малициозниот софтвер се дистрибуира преку Google Ads и SEO poisoning кои промовираат популарни софтвери како Zoom, Cisco AnyConnect, ChatGPT и Citrix Workspace.

Bumblebee е малициозен софтвер откриен во април 2022 година, за кој се смета дека е развиен од тимот на Conti како замена за BazarLoader backdoor, што се користи за добивање првичен пристап до мрежите и ширење на ransomware напади.

Во септември 2022 година, беше забележана нова верзија на малициозниот софтвер, со посериозен синџир на напади што ја користеше PowerSploit рамката за рефлективно DLL вметнување во меморијата.

Истражувачите од Secureworks неодамна открија нова кампања која користи Google реклами кои промовираат тројанизирани верзии на популарни апликации за да го достават вчитувачот на малициозен софтвер до доверливите жртви.

Една од кампањите забележана од страна на SecureWorks започна со Google реклама која промовираше лажна Cisco AnyConnect Secure Mobility Client страница за преземање, создадена на 16 февруари 2023 година, и хостирана на домен „appcisco[.]com“.

„Синџирот на инфекции што започна со малициозна Google реклама го испрати корисникот на оваа лажна страница за преземање преку компромитирана WordPress страница“, стои во извештајот на SecureWorks.

Оваа лажна страница промовираше тројанизиран MSI инсталатер наречен „cisco-anyconnect-4_9_0195.msi“ кој го инсталира малициозниот софтвер BumbleBee.

По извршувањето, на компјутерот на корисникот се копира копија од легитимниот инсталатер на програмата и лажно именувана (cisco2.ps1) PowerShell скрипта.

CiscoSetup.exe е легитимен инсталатер за AnyConnect, инсталирајќи ја апликацијата на уредот со цел да избегне сомнеж.

Сепак, PowerScrip скриптата го инсталира BumbleBee малверот и спроведува малициозни активности на компромитираниот уред.

„PowerShell скриптата содржи избор на преименувани функции копирани од PowerSploit ReflectivePEInjection.ps1 скриптата“, објаснува Secureworks.

„Исто така, содржи кодиран payload на Bumblebee малверот што рефлективно го вчитува во меморијата“.

Ова значи дека Bumblebee сè уште го користи истиот модул по експлоатација за да го вчита малициозниот софтвер во меморијата без да крева аларми од постоечките антивирусни производи.

Secureworks пронајде други софтверски пакети со слично именувани парови на датотеки како ZoomInstaller.exe и zoom.ps1, ChatGPT.msi и chch.ps1 и CitrixWorkspaceApp.exe и citrix.ps1.
Имајќи предвид дека тројанизираниот софтвер ги таргетира корпоративните корисници, заразените уреди стануваат кандидати за почеток на ransomware напади.

Secureworks внимателно испита еден од неодамнешните Bumblebee напади. Тие открија дека хакерот го искористил нивниот пристап до компромитираниот систем за да се движи странично во мрежата приближно три часа по првичната инфекција.

Алатките што напаѓачите ги распоредиле на пробиената околина вклучуваат Cobalt Strike пакет за тестирање, алатки за далечински пристап AnyDesk и DameWare, алатки за мрежно скенирање и Kerberos крадец на ингеренции.

Овој арсенал создава профил за напад што ја прави многу веројатно дека напаѓачите се заинтересирани да идентификуваат пристапни мрежни точки, да се свртат кон други машини, да ексфилтрираат податоци и на крајот да шират ransomware.

Извор: BleepingComputer