MKD-CIRT National Centre for Computer Incident Response

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Администраторите, хостинг провајдерите и French Computer Emergency Response Team (CERT-FR) предупредуваат дека напаѓачите активно ги таргетираат VMware ESXi серверите незакрпени поради двегодишната remote code execution ранливост за да шират нов ESXiArgs ransomware.

Следено како CVE-2021-21974, безбедносниот пропуст е предизвикан од heap overflow проблем во OpenSLP услугата што може да се експлоатира од неавтентицирани напаѓачи во помалку сложени напади.

„Како сегашните истраги, овие кампањи за напади ја искористуваат CVE-2021-21974 ранливоста, за која е достапна закрпа од 23 февруари 2021 година“, изјави CERT-FR.

„Системите кои во моментов се насочени ќе бидат ESXi хипервизорите во верзијата 6.x и пред 6.7”.

За да ги блокираат дојдовните напади, администраторите треба да ја оневозможат ранливата Service Location Protocol (SLP) услуга на ESXi хипервизорите кои сè уште не се ажурирани.

CERT-FR силно препорачува да се примени закрпата што е можно поскоро, но додава дека системите оставени незакрпени треба исто така да се скенираат за да се бараат знаци на компромис.

CVE-2021-21974 влијае на следните системи:

ESXi верзии 7.x пред ESXi70U1c-17325551

ESXi верзии 6.7.x пред ESXi670-202102401-SG

ESXi верзии 6.5.x пред ESXi650-202102101-SG

Францускиот cloud провајдер OVHcloud, исто така, денеска објави извештај во кој го поврзува овој масовен бран напади насочени кон VMware ESXi серверите со Nevada ransomware операцијата.

„Според експертите од екосистемот, како и властите, тие можеби се поврзани со Nevada ransomware и користат CVE-2021-21974 како алатка за компромис. Истрагата сè уште е во тек за да се потврдат тие претпоставки“, изјави Julien Levrard , OVHcloud CISO.

„Нападот првенствено ги таргетира ESXi серверите во верзија пред 7.0 U3i, очигледно преку OpenSLP портата (427)”.

Приближно 3.200 VMware ESXi сервери ширум светот се компромитирани во ESXiArgs ransomware кампањата, според Censys пребарувањето.

Сепак, од белешките за откуп што се гледаат во овој напад, тие не се поврзани со Nevada Ransomware и дека се од нова ransomware група.

Почнувајќи од пред околу четири часа, жртвите погодени од оваа кампања, исто така, почнаа да известуваат за нападите на BleepingComputer форумот, барајќи помош и повеќе информации за тоа како да ги повратат своите податоци.

Ransomware ги шифрира датотеките со екстензии .vmxf, .vmx, .vmdk, .vmsd и .nvram на компромитирани ESXi сервери и креира .args датотека за секој шифриран документ со метаподатоци (најверојатно потребни за дешифрирање).

Додека напаѓачите зад овој напад тврдат дека украле податоци, една жртва на BleepingComputer форумот пријавила дека тоа не било случај во нивниот инцидент.

„Нашата истрага утврди дека податоците не се инфилтрирани. Во нашиот случај, нападнатата машина имаше над 500 GB податоци, но типична дневна употреба од само 2 Mbps. Ја прегледавме статистиката за сообраќајот за последните 90 дена и не најдовме докази за излезни податоци трансфер“, изјави админот.

Жртвите нашле и белешки за откуп со име „ransom.html“ и „How to Restore Your Files.html“ на заклучени системи. Други изјавија дека нивните белешки се датотеки со обичен текст.

Michael Gillespie од ID Ransomware моментално го следи ransomware под името „ESXiArgs“, но за BleepingComputer изјави дека додека не најдеме примерок, нема начин да се утврди дали има слабости во шифрирањето.

За погодените, безбедносниот истражувач Enes Sonmez креираше водич што може да им овозможи на администраторите да ги обноват своите виртуелни машини и бесплатно да ги обноват нивните податоци.

BleepingComputer има посветена ESXiArgs тема за поддршка каде луѓето ги пријавуваат своите искуства со овој напад и добиваат помош од машините за обнова.

Минатата ноќ, администратор извади копија од ESXiArgs енкрипторот и поврзаната shell скрипта и ја сподели во темата за поддршка на BleepingComputer.

Анализирањето на сценариото и шифрирањето ни овозможи подобро да разбереме како биле извршени овие напади.

Кога серверот е пробиен, следните датотеки се зачувуваат во папката /tmp:

encrypt – извршен ELF енкриптор

encrypt.sh – shell скрипта која делува како логика за нападот, извршувајќи различни задачи пред да се изврши шифрирањето, како што е опишано подолу

public.pem – јавен RSA клуч што се користи за шифрирање на клучот што шифрира датотека

motd – белешката за откуп во текстуална форма која ќе се копира на /etc/motd за да се прикаже при најавување. Оригиналната датотека на серверот ќе се копира на /etc/motd1

index.html – белешката за откуп во HTML форма која ќе ја замени почетната страница на VMware ESXi. Оригиналната датотека на серверот ќе се копира во index1.html во истата папка

Michael Gillespie од ID Ransomware го анализирал енкрипторот и го известил BleepingComputer дека шифрирањето е, за жал, безбедно, што значи дека нема криптографски грешки кои дозволуваат дешифрирање.

„Public.pem што го очекува е јавен RSA клуч (моја претпоставка е RSA-2048 врз основа на гледање на шифрирани датотеки, но кодот технички прифаќа каков било валиден PEM).“, објави Gillespie во темата за поддршка на форумот.

„За датотеката да се шифрира, таа генерира 32 бајти користејќи го безбедниот CPRNG на OpenSSL RAND_pseudo_bytes, а овој клуч потоа се користи за шифрирање на датотеката користејќи Sosemanuk, безбедна шифра за пренос. Клучот за датотека е шифриран со RSA (OpenSSL’s RSA_public_encrypt) и е додаден на крајот на датотеката.”

„Употребата на Sosemanuk алгоритмот е прилично уникатна и обично се користи само во ransomware добиен од Babuk (ESXi варијанта) изворниот код. Можеби ова е случај, но тие го изменија за да користат RSA наместо Babuk Curve25519 имплементацијата“.

Оваа анализа покажува дека ESXiArgs најверојатно се заснова на протечениот Babuk изворен код, кој претходно бил користен од други ESXi ransomware кампањи, како што се CheersCrypt и PrideLocker енкрипторот на групата Quantum/Dagon.

Иако белешката за откуп за ESXiArgs и Cheerscrypt се многу слични, методот на шифрирање е различен, што го прави нејасно дали ова е нова варијанта или само заедничка база на кодови на Babuk.

Изгледа дека ова не е поврзано со Nevada ransomware, како што претходно беше споменато од страна на OVHcloud.

Енкрипторот се извршува со shell script датотека што ја стартува со различни аргументи на командната линија, вклучувајќи ја датотеката со јавен клуч RSA, датотеката што треба да се шифрира, деловите од податоци што нема да бидат шифрирани, големината на блок за шифрирање и големината на датотеката.

Овој енкриптор се активира со помош на encrypt.sh shell скриптата која делува како логика зад нападот, што накратко ќе го опишеме подолу.

Кога ќе се стартува, скриптата ќе ја изврши следнава команда за да ги измени конфигурациските датотеки на ESXi виртуелната машина (.vmx), така што низите „.vmdk“ и „.vswp“ ќе се променат во „1.vmdk“ и „1.vswp“.

Скриптата потоа ги терминира сите виртуелни машини кои работат со force – terminating (kill -9) на сите процеси што ја содржат низата „vmx“ на сличен начин како оваа статија за поддршка на VMware.

Скриптата потоа ќе ја користи листата на датотечен систем за складирање esxcli | grep “/vmfs/volumes/” | awk -F” “”{print $2}” команда за да се добие список со ESXi томови.

За секоја пронајдена датотека, скриптата ќе креира [file_name].args датотека во истата папка, која го содржи чекорот за пресметана големина (прикажан подолу), ‘1’ и големината на датотеката.

На пример, server.vmx ќе има поврзана датотека server.vmx.args.

Скриптата потоа ќе ја користи извршната датотека „encrypt“ за да ги шифрира датотеките врз основа на пресметаните параметри, како што е прикажано на сликата од екранот подолу.

По шифрирањето, скриптата ќе ги замени ESXi index.html датотеката и motd датотеката на серверот со белешките за откуп, како што е опишано погоре.

Конечно, скриптата врши одредено чистење, отстранувајќи го она што изгледа како backdoor инсталиран на /store/packages/vmtools.py [VirusTotal] и бришејќи различни линии од следните датотеки:
/ var / spool / cron / crontabs / root
/ bin / hostd – probe.sh
/ etc / vmware / rhttpproxy / endpoints.conf
/ etc / rc. local . d / local . sh

Ова чистење и спомнувањето на /store/packages/vmtools.py е многу слично на приспособен Python backdoor за ESXi серверот, забележан од Juniper во декември 2022 година.

Сите администратори треба да проверат дали постои оваа vmtools.py датотека за да се уверат дека е отстранета. Доколку се најде, датотеката треба веднаш да се отстрани.

Конечно, скриптата го извршува /sbin/auto-backup.sh за да ја ажурира конфигурацијата зачувана во /bootbank/state.tgz датотеката и го стартува SSH.

Ова е приказна во развој и ќе се ажурира со нови информации кога ќе стане достапна…

Ажурирање 2/4/23: Додадени технички детали за нападот. – Lawrence Abrams

Ажурирање 2/5/23: Ажурирано со нов број на шифрирани ESXi сервери и метод за враќање на виртуелните машини.

 

Извор: BleepingComputer

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Новата кампања за напад е насочена кон секторите за игри и коцкање од септември 2022 година, токму во моментот кога е закажан саемот за игри ICE London 2023 кој треба да започне следната недела.

Израелската компанија за сајбер безбедност Security Joes го следи кластерот на активности под името Ice Breaker, наведувајќи дека упадите користат паметни social engineering тактики за да шират JavaScript backdoor.

Редоследот на нападите се одвива на следниов начин: хакерот се претставува како клиент додека иницира разговор со агент за поддршка на компанија за игри под изговор дека има проблеми со регистрацијата на сметката. Хакерот потоа ја поттикнува индивидуата од другата страна да отвори screenshot слика хостирана на Dropbox.

Security Joes изјави дека хакерот е „добро свесен за фактот дека клиентската услуга е управувана од луѓе“.

Со кликнување на наводната врска од screenshot испратена во разговорот, се добива LNK payload или, алтернативно, VBScript датотека како резервна опција, од која првата е конфигурирана да презема и подигне MSI пакет кој содржи Node.js имплант.

JavaScript датотеката ги има сите карактеристики на типичен backdoor, овозможувајќи му на хакерот да ги брои процесите што се извршуваат, да краде лозинки и колачиња, да ексфилтрира произволни датотеки, да прави screenshots, да извршува VBScript вметнат од оддалечен сервер, па дури и да отвора reverse proxy на компромитиран домаќин.

Доколку VBS преземањето биде извршено од страна на жртвата, инфекцијата кулминира со ширењето на Houdini, VBS базиран на remote access trojan кој датира од 2013 година.

Потеклото на хакерите во моментов е непознато, иако тие биле забележани како зборуваат англиски за време на нивните разговори со агентите за клиентски услуги.
Некои indicators of compromise (IoCs) поврзани со кампањата беа претходно споделени од MalwareHunterTeam во октомври 2022 година.

„Ова е многу ефикасен тип на напад во индустријата за игри“, изјави Felipe Duarte, постар истражувач за закани во Security Joes.

„Досега невидено компајлираниот JavaScript малициозен софтвер од втората фаза е многу сложен за анализирање, што покажува дека имаме работа со вешт хакер со потенцијал да биде спонзориран од сопственик на интерес“.

Извор: The Hacker News

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Релативно нова ransomware операција, позната како Nevada, брзо ги зголемува своите способности бидејќи безбедносните истражувачи забележаа подобрена функционалност што ги таргетира Windows и VMware ESXi системите.

Nevada ransomware започна да се промовира на RAMP darknet форумите на 10 декември 2022 година, поканувајќи ги сајбер-криминалците што зборуваат руски и кинески да му се придружат за 85% намалување од платениот откуп.

RAMP претходно беше пријавен како простор каде руски и кинески хакери ги промовираат своите операции за сајбер криминал или за да комуницираат со врсниците.

Варијантата на Nevada ransomware која се фокусира на Windows машините се извршува преку конзола и поддржува збир на знамиња кои им овозможуваат на хакерите одредена контрола над шифрирањето:

-file > шифрирајте ја избраната датотека

-dir > шифрирајте го избраниот директориум

-sd > самоизбриши по сè што е направено

-sc > избришете копии во сенка

-lhd > вчитај скриени дискови

-nd > најдете и шифрирајте мрежни акции

-sm > шифрирање на безбеден режим

Една интересна карактеристика на Nevada ransomware е множеството системски локали што ги штеди од процесот на шифрирање. Вообичаено, хакерите ги исклучуваат жртвите во Русија и земјите од CIS (Commonwealth of Independent States). Со овој малициозен софтвер, листата се протега до Албанија, Унгарија, Виетнам, Малезија, Тајланд, Турција и Иран.

Payloads користи MPR.dll за собирање информации за мрежните ресурси, додавајќи споделени директориуми во редот за шифрирање. На секој диск, вклучувајќи ги и скриените, му е доделена буква, а сите датотеки во нив се додаваат и во редот.

По оваа фаза, енкрипторот се инсталира како услуга, а потоа инфицираниот систем се рестартира во Windows безбеден режим со активна мрежна врска.

На шифрираните датотеки им се додава наставката „.NEVADA“ и секоја папка содржи белешка за откуп што им дава на жртвите пет дена да ги исполнат барањата на хакерите, во спротивно нивните украдени податоци ќе бидат објавени на веб-страницата на Nevada за протекување податоци.

Верзијата на Linux/VMware ESXi на Nevada ransomware го користи истиот алгоритам за шифрирање (Salsa20) како и Windows варијантата. Се потпира на константна променлива, пристап претходно забележан во Petya ransomware.

Linux енкрипторот го следи истиот систем за интермитентно шифрирање. целосно шифрирање само датотеки помали од 512 KB.

Најверојатно поради грешка во Linux верзијата, Nevada ransomware ќе ги прескокне сите датотеки со големина помеѓу 512 KB и 1,25 MB, изјави истражувачот.

На Linux системите, јавниот клуч се чува на крајот од шифрираната датотека во форма на дополнителни 38 бајти.

Resecurity изјави дека сличностите споделени со Petya ransomware се прошируваат на грешки во имплементацијата на шифрирањето што би можело да овозможат враќање на приватниот клуч, што би овозможило враќање на податоците без плаќање на откуп.

Nevada ransomware сè уште ја гради својата мрежа на брокери за првичен пристап, барајќи вешти хакери.

Resecurity забележалe дека Nevada ransomware хакерите купуваат пристап до компромитирани крајни точки и ангажирале посветен тим по експлоатација за да го изведат упадот.

Истражувачите забележуваат дека оваа закана продолжува да расте и треба внимателно да се следи.

Извор: BleepingComputer