MKD-CIRT National Centre for Computer Incident Response

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Се појави нов малициозен софтвер познат под името Stealc кој го привлече вниманието поради своите можности за крадење податоци и сличностите со малициозен софтвер од ист вид како Vidar, Raccoon, Mars и Redline.

Истражувачите за безбедност во cyber threat intelligence компанијата SEKOIA го забележале новиот вид во јануари и дека почнал да се засилува на почетокот на февруари.

Stealc е рекламиран на форумите за хакирање од корисник познат како „Plymouth“, кој го претстави малициозниот софтвер како дел од малициозен софтвер со широки можности за крадење податоци и административен панел лесен за користење.

Според огласувачот, освен типичното таргетирање на податоци од веб-прелистувачи, екстензии и крипто паричници, Stealc се одликува и со приспособлива техника за кражба на датотеки што може да таргетира какви било типови датотеки што хакерот сака да ги украде.

По првичната објава, Plymouth започна да го промовира малициозниот софтвер на други хакерски форуми и на приватни канали на Telegram, нудејќи примероци за тестирање на потенцијалните клиенти.

Огласувачот, исто така, постави канал на Telegram посветен на објавување на дневниците за промени на новата верзија на Stealc, најновата верзија е v1.3.0, објавена на 11 февруари 2023 година. Малициозниот софтвер е активно развиен и секоја недела се појавува нова верзија на каналот.

Plymouth, исто така, изјави дека Stealc не бил развиен од нула, туку се потпирал на Vidar, Raccoon, Mars и Redline.

Едно заедничко нешто што истражувачите го открија меѓу Stealc и Vidar, Raccoon и Mars е дека сите тие преземаат легитимни DLLs од трети страни (на пр. sqlite3.dll, nss3.dll) за да украдат чувствителни податоци.

Во денешниот извештај, истражувачите на SEKOIA забележуваат дека command & control (C2) комуникациите на еден од примероците што тие ги анализирале споделувале сличности со оние на Vidar и Raccoon.

Истражувачите открија повеќе од 40 C2 сервери за Stealc и неколку десетици примероци, што покажува дека новиот малициозен софтвер го привлече интересот на заедницата за сајбер криминал.

Оваа популарност се должи на фактот дека клиентите со пристап до административниот панел можат да генерираат нови примероци за крадење, што ги зголемува шансите малициозниот софтвер да се прошири до пошироката публика.

И покрај лошиот бизнис модел, SEKOIA верува дека Stealc претставува значајна закана бидејќи може да биде прифатен од помалку технички сајбер-криминалци.

Stealc додаде нови функции од своето прво издание во јануари, вклучувајќи систем за случаен избор на URL-адреси на C2, подобар систем за пребарување и сортирање на дневници (украдени датотеки) и исклучување на жртвите во Украина.

Карактеристиките што SEKOIA ги потврди од анализата се следните:

• Лесна конструкција од само 80 KB
• Употреба на легитимни DLLs од трети страни
• Напишан во C и ги злоупотребува Windows API функциите
• Повеќето стрингови се скриени со RC4 и base64
• Малициозниот софтвер автоматски ги ексфилтрира украдените податоци
• Таргетирани 22 веб-прелистувачи, 75 плагини и 25 десктоп паричници

Тековниот извештај на SEKOIA не ги вклучува сите податоци добиени од Stealc, но дава преглед на главните чекори од неговото извршување.

Stealc динамички ги вчитува WinAPI функциите и иницира комуникација со C2 серверот, испраќајќи го хардверскиот идентификатор на жртвата и името во првата порака добивајќи конфигурација во одговор.

Stealc потоа собира податоци од таргетираните прелистувачи, екстензии и апликации, а исто така ја извршува својата приспособена техника за кражба на датотеки доколку е активен, и конечно ексфилтрира сè во C2. Откако ќе заврши овој чекор, малициозниот софтвер се отстранува самиот себе и преземените DLL-датотеки од компромитираниот домаќин за да ги избрише трагите од инфекцијата.

За целосниот список на способности и насочени апликации на Stealc, проверете го Аnnex 1 делот во извештајот на SEKOIA.

Еден од методите на дистрибуција што го забележале истражувачите е преку видеа на YouTube кои опишуваат како да инсталирате кракиран софтвер и да се поврзете со преземената веб-страница.

Истражувачите изјавија дека преземањето софтвер го вградува Stealc. Откако ќе заврши инсталирањето, малициозниот софтвер ја започнува својата акција и комуницира со својот сервер.

SEKOIA сподели голем сет на индикатори за компромис што компаниите можат да ги користат за да ги одбранат своите средства, како и YARA и Suricata правилата за откривање на малициозен софтвер заснован на техника за дешифрирање, специфични низи и однесување.

Со оглед на набљудуваниот метод на дистрибуција, на корисниците им се препорачува да не инсталираат пиратски софтвер и да преземаат производи само од официјалната веб-страница.

Извор: BleepingComputer

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Новата варијанта на Mirai ботнет, позната како „V3G4“ таргетира 13 пропусти во серверите базирани на Linux и IoT уредите за да ги користи во DDoS (distributed denial of service) нападите.

Малициозниот софтвер се шири со brute – forcing слаби или стандардни telnet/SSH акредитации и искористување на хардкодираните недостатоци за извршување на далечинско извршување на кодот на таргетираните уреди. Штом уредот ќе биде пробиен, малициозниот софтвер го инфицира уредот и го вметнува во неговиот ботнет.

Конкретниот малициозен софтвер беше забележан во три различни кампањи од истражувачите во Palo Alto Networks (Единица 42), кои пријавија дека ја следат малициозната активност помеѓу јули 2022 и декември 2022 година.

Единицата 42 верува дека сите три бранови на напад потекнуваат од истиот хакер бидејќи хардкодираните C2 домени ја содржат истата низа, преземањата на shell скриптите се слични, а ботнет клиентите што се користат во сите напади имаат идентични функции.

V3G4 нападите започнуваат со искористување на една од следните 13 пропусти:

• CVE-2012-4869: FreePBX Elastix remote command execution
• Gitorious remote command execution
• CVE-2014-9727: FRITZ!Box Webcam remote command execution
• Mitel AWC remote command execution
• CVE-2017-5173: Geutebruck IP Cameras remote command execution
• CVE-2019-15107: Webmin command injection
• Spree Commerce arbitrary command execution
• FLIR Thermal Camera remote command execution
• CVE-2020-8515: DrayTek Vigor remote command execution
• CVE-2020-15415: DrayTek Vigor remote command execution
• CVE-2022-36267: Airspan AirSpot remote command execution
• CVE-2022-26134: Atlassian Confluence remote command execution
• CVE-2022-4257: C-Data Web Management System command injection

Ботнетот, исто така, се обидува да прекине збир на процеси од хардкодирана листа, која вклучува и други видови на ботнет малициозен софтвер.

Карактеристика што го разликува V3G4 од повеќето Mirai варијанти е тоа што користи четири различни клучеви за шифрирање XOR наместо само еден, што предизвикува reverse engineering на кодот на малициозниот софтвер и декодирањето на неговите функции е попредизвикувачки.

Кога се шири на други уреди, ботнетот користи telnet/SSH brute – forcer кој се обидува да се поврзе користејќи стандардни или слаби акредитиви. Единицата 42 забележа дека претходните варијанти на малициозен софтвер користеле и telnet/SSH brute – forcing и експлоатација на ранливост за ширење, додека подоцнежните примероци не го користеле скенерот.

Конечно, компромитирани уреди издаваат DDoS команди директно од C2, вклучувајќи TCP, UDP, SYN и HTTP методи за поплавување.

V3G4 веројатно продава DDoS услуги на клиенти кои сакаат да предизвикаат прекин на услугата на одредени веб-страници или онлајн услуги.

Сепак, оваа варијанта во моментов не е поврзана со одредена услуга.

Како и секогаш, најдобриот начин да ги заштитите вашите уреди од инфекции слични на Mirai е да ја смените стандардната лозинка и да ги инсталирате најновите безбедносни ажурирања.

Извор: BleepingComputer

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Cisco објави безбедносни ажурирања за да одговори на критичниот пропуст пријавен во ClamAV антивирусниот софтвер со отворен код што може да доведе до далечинско извршување на кодот на подложни уреди.

Следено како CVE-2023-20032 (CVSS оцена: 9,8), проблемот се однесува на случај на далечинско извршување на кодот што се наоѓа во HFS+ file parser компонентата.

Пропустот влијае на верзиите 1.0.0 и порано, 0.105.1 и порано, 0.103.7 и порано. Безбедносниот инженер на Google, Simon Scannell, е заслужен за откривање и пријавување на ранливоста.

„Оваа ранливост се должи на недостигната проверка на големината на баферот што може да резултира со прелевање на баферот“, изјави Cisco Talos во советот. „Напаѓачот би можел да ја искористи оваа ранливост со поднесување на изработена HFS+ датотека со партиција што треба да се скенира од ClamAV на засегнатиот уред”.

Успешното искористување на слабоста може да му овозможи на напаѓачот да изврши произволен код со истите привилегии како оној на процесот на скенирање на ClamAV или да го прекине процесот, што ќе резултира со denial-of-service (DoS) состојба.

Тимот за вмрежување изјави дека следните производи се ранливи:

– Secure Endpoint, порано Advanced Malware Protection (AMP) за крајни точки (Windows, macOS и Linux)

– Secure Endpoint Private Cloud

– Secure Web Appliance, порано Web Security Appliance

Потоа потврди дека ранливоста не влијае на Secure Email Gateway (порано Email Security Appliance) и Secure Email and Web Manager (порано Security Management Appliance) производите.

Исто така, закрпена е ранливоста за далечинско протекување на информации во ClamAV DMG file parser (CVE-2023-20052, CVSS резултат: 5.3) од страна на Cisco што може да биде искористена од страна на неавтентициран, далечински напаѓач.

„Оваа ранливост се должи на овозможување замена на XML ентитет што може да резултира со вметнување на надворешен XML ентитет“, забележа Cisco. „Напаѓачот би можел да ја искористи оваа ранливост со поднесување на изработена DMG-датотека што ќе го скенира ClamAV на погодениот уред“.

Вреди да се истакне дека CVE-2023-20052 не влијае на Cisco Secure Web Appliance. Сепак, и двата пропусти се адресирани во ClamAV верзии 0.103.8, 0.105.2 и 1.0.1.

Cisco исто така, ја реши denial-of-service (DoS) ранливоста што влијаеше на Cisco Nexus Dashboard (CVE-2023-20014, CVSS резултат: 7,5) и два други недостатоци во зголемувањето на привилегиите и вметнување на команди во Email Security Appliance (ESA) и безбедна е-пошта и Веб-менаџер (CVE-2023-20009 и CVE-2023-20075, CVSS резултати: 6,5).

Извор: TheHackerNews