AntiBotNet


ЗАСТАНИ | РАЗМИСЛИ | ПОВРЗИ СЕ

Новата PaperCut RCE експлоатација ги заобиколува постоечките детекции

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Нова proof-of-concept (PoC) експлоатација за активно искористена PaperCut ранливост беше објавена која ги заобиколува сите познати правила за откривање.

PaperCut ранливоста, следена како CVE-2023-27350, е критичен неавтентициран remote code execution пропуст во PaperCut MF или NG верзиите 8.0 или понова која била искористена во ransomware напади.

Пропустот за прв пат беше откриен во март 2023 година, предупредувајќи дека им овозможува на напаѓачите да извршат код преку PaperCut вградениот скриптен интерфејс. Подоцнежното ажурирање на советот во април предупреди дека ранливоста активно се искористува во напади.

Истражувачите набрзо објавија PoC експлоатации за RCE пропустот, при што Microsoft потврди дека бил експлоатиран од страна на Clop и LockBit ransomware групите за првичен пристап неколку дена подоцна.

Оттогаш, повеќе безбедносни компании објавија правила за детекција за PaperCut експлоатацијата и индикатори за компромис, вклучувајќи детекција преку Sysmon, log датотеки и мрежни потписи.

Сепак, новиот метод на напад откриен од страна на VulnCheck кој може да ги заобиколи постоечките детекции, дозволувајќи им на напаѓачите непречено да го искористуваат CVE-2023-27350.

„Овој извештај покажува дека детекциите кои се фокусираат на еден метод на извршување код или се фокусираат на мала подгрупа техники што ги користи еден хакер, се бескорисни во следната рунда напади“, стои во извештајот на VulnCheck.

VulnCheck објаснува дека откривањата базирани на Sysmon кои се потпираат на анализата на создавање процес веќе се победени од постојните PoC-и кои користат алтернативни child процеси за креирање патеки.

Во случај на детекција на log датотеки, VulnCheck објаснува дека не може да им се верува како дефинитивни показатели за компромис, бидејќи тие го означуваат нормалното евидентирање на администраторите, плус постои начин да се искористи CVE-2023-27350 без да се остават записи во log датотеките.

Наместо да го користи вградениот интерфејс за скриптирање, новообјавениот PoC ја злоупотребува „User/Group Sync“ функцијата во PaperCut NG, што му овозможува на администраторот да наведе приспособена програма за автентикација на корисникот.

PoC на VulnCheck користи „/usr/sbin/python3“ за Linux и „C:\Windows\System32\ftp.exe“ за Windows и обезбедува малициозен влез што ќе изврши code execution во акредитациите при обид за најавување.

Овој пристап не создава директни child процеси или не генерира карактеристични записи во дневникот, така што Sysmon и Log File детекциите се заобиколуваат.

Што се однесува до методите за детектирање мрежен потпис, тие може тривијално да се заобиколат ако напаѓачот го измени малициозното HTTP барање со додавање дополнителна коса црта или произволен параметар во него.

Пристапот на VulnCheck ги комбинира сите горенаведени трикови за заобиколување за да се искористи ранливоста на PaperCut NG и MF без да се активираат аларми.

Истражувачите, исто така, објавија видео кое го демонстрира создавањето на reverse shell на целта.

Иако VulnCheck не обезбеди алтернативни методи за откривање кои функционираат за сите PoCs, тие предупредија дека напаѓачите внимателно ги следат методите за детекција што ги користат бранителите и ги прилагодуваат нивните напади за да ги направат незабележливи во секој случај.

Затоа, најдобриот начин да се справите со оваа закана е да ги примените препорачаните безбедносни ажурирања, кои се PaperCut MF и PaperCut NG верзии 20.1.7, 21.2.11 и 22.0.9 и понови.

Извор: BleepingComputer

Новиот Cactus ransomware се шифрира за да избегне антивирус

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Новата ransomware операција, наречена Cactus, ги искористува пропустите во Fortinet VPN за првичен пристап до мрежите на жртвите.

Cactus ransomware операцијата е активна од март и бара големи исплати од своите жртви.
Додека новиот хакер ја усвои вообичаената тактика која се користи во ransomware нападите – шифрирање датотеки и кражба на податоци – тој додаде свој придонес за да избегне откривање.

Истражувачите од Kroll фирмата за корпоративни истраги и консултантски ризици веруваат дека Cactus добива првичен пристап до мрежата на жртвите со искористување на познатите пропусти во Fortinet VPN уредите.

Она што го издвојува Cactus од другите операции е употребата на енкрипција за заштита на бинарната верзија на ransomware. Хакерот користи серија скрипти за да го добие бинарниот енкриптор користејќи 7-Zip.

Оригиналната ZIP архива е отстранета и бинарната е распоредена со специфично знаменце што му овозможува да се изврши.

Во технички извештај, истражувачите од Kroll објаснуваат дека постојат три главни начини на извршување, секој од нив избран со употреба на специфичен прекинувач на командната линија: setup (-s), read configuration (-r) и encryption (-i).

Аргументите -s и -r на хакерите им овозможуваат да воспостават сила и да складираат податоци во C:\ProgramData\ntuser.dat датотеката што подоцна се чита од енкрипторот кога работи со аргументот на командната линија -r.

Меѓутоа, за да може шифрирањето на датотеката да биде возможно, уникатен клуч AES познат само на хакерите мора да се обезбеди со помош на аргументот на командната линија -i.

Овој клуч е неопходен за дешифрирање на конфигурациската датотека на ransomware и јавниот клуч RSA потребен за шифрирање на датотеките. Достапно е како HEX низа хардкодирана во бинарниот енкриптор.

Декодирањето на HEX низата обезбедува дел од шифрирани податоци што се отклучуваат со AES клучот.

„CACTUS во суштина се шифрира себеси, што го отежнува откривањето и помага да ги избегне антивирусните и мрежните алатки за следење“, изјави Laurie Iacono, Асоцијативен директор за сајбер ризик во Kroll.

Извршувањето на бинарната со точниот клуч за параметарот -i (encryption) ги отклучува информациите и му овозможува на малициозниот софтвер да бара датотеки и да започне процес на шифрирање со повеќе нишки.

Ransomware експертот Michael Gillespie, исто така, анализираше како Cactus ги шифрира податоците и за BleepingComputer изјави дека малициозниот софтвер користи повеќе екстензии за датотеките што ги таргетира, во зависност од состојбата на обработка.

Кога подготвува датотека за шифрирање, Cactus ја менува својата екстензија во .CTS0. По шифрирањето, наставката станува .CTS1.

Gillespie објасни дека Cactus може да има и „брз режим“. Работењето на малициозен софтвер во брз и нормален режим последователно резултира со шифрирање на истата датотека двапати и додавање нова екстензија по секој процес (на пр. .CTS1.CTS7).

Kroll забележал дека бројот на крајот од .CTS екстензијата варира во повеќе инциденти кои му се припишуваат на Cactus ransomware.

Штом навлезе во мрежата, хакерот користеше закажана задача за постојан пристап користејќи SSH backdoor достапна од command & control (C2) серверот.

Според истражувачите од Kroll, Cactus се потпирал на SoftPerfect Network Scanner (netscan) за да бара интересни цели на мрежата.

За подлабоко извидување, хакерот ги користел PowerShell командите за да ги набројува крајните точки, да ги идентификува корисничките сметки со прегледување на успешни најавувања во Windows Event Viewer и да пингува далечински хостови.

Истражувачите, исто така, открија дека Cactus ransomware користи модифицирана варијанта на PSnmap алатката со отворен код, што е PowerShell еквивалент на мрежниот скенер nmap.

За лансирање на различни алатки потребни за нападот, истражувачите изјавија дека Cactus ransomware испробува повеќе методи за далечински пристап преку легитимни алатки (на пр. Splashtop, AnyDesk, SuperOps RMM) заедно со Cobalt Strike и Go-базираната proxy алатка Chisel.

Истражувачите од Kroll изјавија дека по зголемувањето на привилегиите на машината, Cactus хакерите извршуваат серија скрипти што ги деинсталира најчесто користените антивирусни производи.

Како и повеќето ransomware операции, така и Cactus краде податоци од жртвата. За овој процес, хакерот ја користи Rclone алатката за пренос на датотеки директно за складирање во облак.

По ексфилтрација на податоците, хакерите користеле PowerShell скрипта наречена TotalExec, често забележана во BlackBasta ransomware нападите, за да го автоматизираат ширењето на процесот на шифрирање.

Gillespie изјави дека рутината за шифрирање во Cactus ransomware нападите е уникатна. И покрај тоа, се чини дека таа не е посебна за Cactus бидејќи сличен процес на шифрирање исто така неодамна беше усвоен од страна на BlackBasta ransomware групата.

Во моментов нема јавни информации за откупите што Cactus ги бара од своите жртви, но за BleepingComputer изјавија дека тие се во милиони.

Хакерот им се заканува на жртвите дека ќе ги објави украдените датотеки доколку не му се плати.

Пошироки детали за Cactus операцијата, жртвите што ги таргетираат и дали хакерите ќе си го одржат зборот и обезбедат сигурен декриптор доколку им се плати, во моментов не се достапни.

Она што е јасно е дека досегашните упади на хакерите веројатно ги искористиле пропустите во Fortinet VPN уредот и го следат стандардниот пристап за двојно изнудување со кражба на податоци пред да ги шифрираат.

Примената на најновите софтверски ажурирања од продавачот, следењето на мрежата и брзото реагирање треба да заштити од последната и најштетна фаза на ransomware нападот.

Извор: BleepingComputer

Cisco телефонските адаптери ранливи на RCE напади, не е достапна поправка

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Cisco откри ранливост во веб-интерфејсот за управување на Cisco SPA112 2-портните телефонски адаптери, дозволувајќи на неавтентициран, далечински напаѓач да изврши произволен код на уредите.

Следена како CVE-2023-20126 и „критична“ оцена на CVSS од 9,8, оваа ранливост е предизвикана од недостапен автентикациски процес во функцијата за надградба на фирмверот.

„Напаѓачот може да ја искористи оваа ранливост со надградба на засегнатиот уред на изработена верзија на фирмверот“, стои во безбедносниот билтен на Cisco.
„Успешна експлоатација може да му овозможи на напаѓачот да изврши произволен код на засегнатиот уред со целосни привилегии.

Овие телефонски адаптери се популарен избор во индустријата за инкорпорирање на аналогни телефони во VoIP мрежите без надградба.

Иако овие адаптери може да се користат во многу организации, тие веројатно не се изложени на Интернет, што ги прави овие недостатоци претежно да се експлоатираат од локалната мрежа.

Сепак, добивањето пристап до овие уреди може да му помогне на напаѓачот да се шири странично на мрежата без откривање, бидејќи безбедносниот софтвер вообичаено не ги следи овие типови уреди.

Бидејќи Cisco SPA112 го достигна крајот на својот животен век, тој повеќе не е поддржан од продавачот и нема да добие безбедносно ажурирање. Исто така, Cisco не обезбеди никакви ублажувања за CVE-2023-20126.

Безбедносниот билтен на Cisco има за цел да ја подигне свеста за потребата да се заменат погодените телефонски адаптери или да се имплементираат дополнителни безбедносни слоеви за да се заштитат од напади.

Препорачаниот модел за замена е аналоген телефонски адаптер од серијата Cisco ATA 190, кој има назначен датум на крај на работен век на 31 март 2024 година.

Компанијата не знае за какви било случаи на активна експлоатација на CVE-2023-20126, но тоа може да се промени во секое време, па затоа на администраторите им се препорачува итно да ги преземат соодветните мерки на претпазливост.

Недостатоците од критичната сериозност на некогаш популарните уреди се потенцијални кандидати за употреба во напади, што потенцијално ќе доведе до безбедносни инциденти од големи размери.

Извор: BleepingComputer

Добредојдовте на веб-страницата на Националниот центар за одговор на компјутерски инциденти на Република Македонија.

Со член 26-а од Законот за електронските комуникации во состав на Агенцијата за електронски комуникации се формира посебна организациона единица – Национален центар за одговор на компјутерски инциденти (MKD-CIRT), која ќе претставува официјална национална точка за контакт и координација во справувањето со безбедносните инциденти кај мрежите и информациските системи и кој ќе идентификува и ќе обезбедува одговор на безбедносни инциденти и ризици.

Јавниот клуч и неговите потписи може да се најдат на големите меѓународни јавни сервери за клучеви.

  • Key ID: 0x333C00DB
  • Key Type: RSA 4096
  • Key Fingerprint: 0FB9 3DA3 E008 FA8B FC6A 9C71 0741 17A1 333C 00DB