MKD-CIRT National Centre for Computer Incident Response

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Сајбер-криминалците започнаа да го таргетираат VSCode Marketplace на Microsoft, поставувајќи три малициозни екстензии на Visual Studio кои програмерите на Windows ги преземале 46.600 пати.

Според Check Point, чии аналитичари ги откриле малициозните екстензии и ги пријавиле на Microsoft, малициозниот софтвер им овозможил на хакерите да украдат ингеренции, системски информации и да воспостават remote shells на машината на жртвата.

Екстензиите беа откриени и пријавени на 4 мај 2023 година, а потоа беа отстранети од VSCode marketplace на 14 мај 2023 година.

Сепак, сите развивачи на софтвер кои сè уште ги користат малициозните екстензии мора рачно да ги отстранат од нивните системи и да извршат целосно скенирање за да детектираат било какви остатоци од инфекцијата.

Visual Studio Code (VSC) е уредувач со изворен код објавен од страна на Microsoft и се користи од значителен процент од професионални развивачи на софтвер ширум светот.

Microsoft, исто така, управува со пазар на екстензии за IDE наречен VSCode Marketplace, кој нуди над 50.000 додатоци кои ја прошируваат функционалноста на апликацијата и обезбедуваат повеќе опции за прилагодување.

Малициозните екстензии откриени од страна на истражувачите на Check Point се следниве:

„Theme Darcula dark“ – Опишан како „обид да се подобри конзистентноста на боите на Dracula на VS Code“, оваа екстензија беше искористена за кражба на основни информации за системот на развивачот, вклучувајќи име на домаќин, оперативен систем, платформа на процесорот, вкупна меморија и информации за процесорот.

Иако наставката не содржи друга малициозна активност, тоа не е типично однесување поврзано со пакет со теми.

Оваа екстензија имаше најмногу тираж досега, преземена над 45.000 пати.

„python-vscode“ – Оваа екстензија беше преземена 1.384 пати и покрај празниот опис и името на подигнувачот „testUseracc1111“, што покажува дека имањето добро име е доволно за да привлече одреден интерес.

Анализата на неговиот код покажа дека се работи за C# shell вметнувач кој може да изврши код или команди на машината на жртвата.

„prettiest java“ – Врз основа на името и описот на екстензијата, најверојатно е создадена за да ја имитира популарната ,,prettier java” алатка за форматирање код.

Во реалноста, тој украл зачувани акредитиви или токени за автентикација од Discord и Discord Canary, Google Chrome, Opera, Brave Browser и Yandex Browser, кои потоа биле испратени до хакерите преку Discord webhook.

Екстензијата има 278 инсталации.

Check Point откри и повеќе сомнителни екстензии, кои не можеа со сигурност да се окарактеризираат како малициозни, но покажаа небезбедно однесување, како што е преземање код од приватни складишта или преземање датотеки.

Софтверските складишта кои дозволуваат придонеси на корисниците, како што се NPM и PyPi, постојано се покажаа како ризични за користење бидејќи станаа популарна мета за заканите.

Додека VSCode Marketplace штотуку почнува да се таргетира, AquaSec во јануари покажа дека е прилично лесно да се прикачат малициозни екстензии на VSCode Marketplace и претстави некои многу сомнителни случаи. Сепак, тие не беа во можност да најдат никаков малициозен софтвер.

Случаите откриени од страна на Check Point покажуваат дека хакерите сега активно се обидуваат да ги заразат програмерите на Windows со малициозни поднесоци, токму како што тоа го прават во другите складишта на софтвер како што се NPM и PyPI.

На корисниците на VSCode Marketplace и на сите складишта поддржани од корисникот, им се советува да инсталираат екстензии само од доверливи издавачи со многу преземања и оценки од заедницата, да читаат прегледи од корисниците и секогаш да го проверуваат изворниот код на екстензијата пред да ја инсталираат.

Извор: BleepingComputer

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Финансиски мотивираната сајбер група забележана од страна на Mandiant како „UNC3944“ користи phishing и SIM swapping напади за да ги хакира административните сметки на Microsoft Azure и да добие пристап до виртуелните машини.

Оттаму, напаѓачите ја злоупотребуваат Azure Serial Console за да инсталираат софтвер за далечинско управување за злоупотреба на Azure Extensions за прикриен надзор.

Mandiant известува дека UNC3944 е активен од мај 2022 година, а нивната кампања има за цел да краде податоци од организациските жртви кои ја користат Microsoft cloud computing услугатa.

UNC3944 претходно беше припишан на создавањето на STONESTOP (loader) и POORTRY (kernel-mode driver) за да се прекине безбедносниот софтвер.

Напаѓачите ги користеа украдените сметки од развивачите на хардвер на Microsoft за да ги потпишат своите драјвери на кернелот.

Почетниот пристап до сметката на Azure администраторот се одвива со користење на украдени акредитиви стекнати во СМС phishing , вообичаена тактика на UNC3944.

Следно, напаѓачите го имитираат администраторот кога контактираат со помошните агенти со цел да ги измамат да испратат код за ресетирање со повеќе фактори преку СМС на телефонскиот број на жртвата.

Сепак, напаѓачот веќе го заменил бројот на администраторот со SIM-картичката и го префрлил на нивниот уред, па го добиле 2FA токенот без жртвата да го сфати пробивањето.

Mandiant допрва треба да утврди како напаѓачите ја извршуваат фазата на замена на SIM-картичката од нивното работење. Сепак, претходните случаи покажаа дека познавањето на телефонскиот број на жртвата и заговорот со бескрупулозните вработени во telecom е доволно за да се олеснат незаконските порти со броеви.

Откако напаѓачите ќе навлезат во Azure околината на таргетираната организација, тие ги користат нивните администраторски привилегии за да соберат информации, да ги менуваат постоечките сметки на Azure по потреба или да создадат нови.

Во следната фаза на напад, UNC3944 користи Azure Extensions за да спроведе надзор и да собира информации, да ги маскира малициозните дејства како навидум безопасни дневни задачи.

Azure Extensions се „додатни“ функции и услуги кои можат да се интегрираат во Azure Virtual Machine (VM) за да помогнат во проширувањето на можностите, автоматизирањето на задачите итн.

Бидејќи овие екстензии се извршуваат внатре во VM и обично се користат за легитимни цели, тие се и прикриени и помалку сомнителни.

Во овој случај, напаѓачот ги злоупотребил вградените дијагностички екстензии на Azure, како што е „CollectGuestLogs“, што беше искористено за собирање log датотеки од пробиената крајна точка. Дополнително, Mandiant пронајде докази за напаѓачот кој се обидува да ги злоупотреби следните дополнителни екстензии:

– Azure Network Watcher
– Guest Agent Automatic Log Collection
– VMSnapshot
– Guest configuration

Следно, UNC3944 користи Azure Serial Console за да добие пристап до административната конзола на VM и да изврши команди на командната линија преку сериската порта.

„Овој метод на напад беше единствен по тоа што избегнуваше многу од традиционалните методи за детекција користени во Azure и му обезбеди на напаѓачот целосен административен пристап до VM“, стои во извештајот на Mandiant.

Mandiant забележа дека „whoami“ е првата команда што напаѓачите ја извршуваат за да го идентификуваат моментално најавениот корисник и да соберат доволно информации за да ја продолжат експлоатацијата.

Повеќе информации за тоа како да се анализираат дневниците за Azure Serial Console може да се најдат во прилогот на извештаите.

Следно, напаѓачите користат PowerShell за да ја подобрат својата сила на VM и да инсталираат повеќе комерцијално достапни далечински администраторски алатки кои не се именувани во извештајот.

„За да го одржи присуството на VM, напаѓачот често распоредува повеќе комерцијално достапни алатки за далечинско администрирање преку PowerShell“, стои во извештајот на Mandiant.

„Предноста на користењето на овие алатки е тоа што тие се легитимно потпишани апликации и му обезбедуваат далечински пристап на напаѓачот без да активираат предупредувања во многу платформи за детектирање крајни точки.

Следниот чекор за UNC3944 е да создаде reverse SSH тунел до нивниот C2 сервер, за да се одржи таен и постојан пристап преку безбеден канал и да се заобиколат мрежните ограничувања и безбедносните контроли.

Напаѓачот го конфигурира reverse тунелот со пренасочување на портата, олеснувајќи го директното поврзување со Azure VM преку далечинска работна површина. На пример, секоја влезна врска со далечинската машинска порта 12345 ќе биде препратена до локалната порта домаќин 3389 (Remote Desktop Protocol Service Port).

Конечно, напаѓачите ги користат ингеренциите на компромитирана корисничка сметка за да се логираат на компромитираниот Azure VM преку reverse shell и дури потоа продолжуваат да ја прошируваат својата контрола во пробиената околина, крадејќи податоци.

Нападот претставен од страна на Mandiant го покажува длабокото разбирање на UNC3944 за Azure околината и како тие можат да ги користат вградените алатки за да избегнат детекција.

Кога ова техничко знаење се комбинира со вештини за social engineering на високо ниво кои им помагаат на напаѓачите да извршат замена на SIM-картичката, ризикот се зголемува.

Во исто време, недостигот на разбирање за cloud технологиите од организациите кои применуваат недоволни безбедносни мерки, како што е повеќефакторска автентикација базирана на СМС, создава можности за ваков тип напади.

Извор: BleepingComputer

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Новата APT хакерска група  наречена Lancefly користи прилагоден „Merdoor“ backdoor малвер за да ги таргетира владините, авијацијата и телекомуникациските организации во Јужна и Југоисточна Азија.

Symantec Threat лабораториите открија дека Lancefly распоредува таен Merdoor backdoor во високо таргетирани напади од 2018 година за да воспостави сила, да извршува команди и да врши keylogging на корпоративните мрежи.

„Прилагодениот Lancefly малвер, кој го нарековме Merdoor, е моќен backdoor кој постои од 2018 година“, открива новиот извештај на Symantec.

„Истражувачите на Symantec забележаа дека се користи во некоја активност во 2020 и 2021 година, како и оваа понова кампања, која продолжи во првиот квартал од 2023 година. Се верува дека мотивацијата зад двете кампањи е собирањето разузнавачки информации“.

Се верува дека Lancefly се фокусира на сајбер-шпионажа, со цел да собира разузнавачки информации од мрежите на своите жртви во долги периоди.

Symantec не го откри иницијалниот вектор на инфекција што го користеше Lancefly. Сепак, откри докази дека хакерската група користи phishing-мејлови, brute forcing на SSH ингеренциите и искористување на пропустите на серверот со кои се соочува јавноста за неовластен пристап со текот на годините.

Откако напаѓачите ќе влезат во системот на жртвата, тие вметнуваат Merdoor backdoor преку DLL странично вчитување или во „perfhost.exe“ или „svchost.exe“, двата легитимни Windows процеси што му помагаат на малициозниот софтвер да избегне детекција.

Merdoor му помага на Lancefly да го одржи својот пристап и да се зацврсти на системот на жртвата, инсталирајќи се како услуга што опстојува помеѓу рестартирањето.

Потоа Merdoor воспоставува комуникација со C2 серверот користејќи еден од неколкуте поддржани комуникациски протоколи (HTTP, HTTPS, DNS, UDP и TCP) и чека инструкции.

Освен што поддржува размена на податоци со C2 серверот, Merdoor може да прифаќа команди и со слушање на локални порти; сепак, аналитичарите на Symantec не дадоа конкретни примери.

Backdoor, исто така, снима притискање на копчињата на корисникот со цел да сними потенцијално вредни информации како што се кориснички имиња, лозинки или други тајни.

Исто така, забележано е дека Lancefly ја користи „Atexec“ функцијата на Impacket за да може веднаш да изврши закажана задача на оддалечена машина преку SMB. Се верува дека напаѓачите ја користат оваа функција со цел да се шират странично на други уреди на мрежата или да ги бришат излезните датотеки креирани од други команди.

Lancefly ги шифрира украдените датотеки користејќи маскирана верзија на алатката за архивирање WinRAR и потоа ги ексфилтрира податоците, најверојатно користејќи Merdoor.

Употребата на понова, полесна и побогата верзија на ZXShell rootkit беше забележана и во Lancefly нападите.

Rootkit вчитувачот, „FormDII.dll“, извезува функции што може да се користат за испуштање payloads што одговараат на системската архитектура на домаќинот, читање и извршување на shell кодот од датотека, убивање процеси и многу повеќе.

Rootkit исто така користи алатка за инсталација и ажурирање што споделува заеднички код со Merdoor вчитувачот, што покажува дека Lancefly користи заедничка база на кодови за нивните алатки.

Инсталационата функционалност на ZXShell поддржува креирање услуга, хакирање и лансирање, модификација на регистарот и компресирање на копија од сопствената извршна датотека заради затајување и издржливост.

ZXShell rootkit го поврзува Lancefly со другите кинески APT групи кои ја користеле алатката во напади, вклучувајќи ги APT17 и APT41.

Сепак, врската е слаба бидејќи изворниот код на rootkit е јавно достапен веќе неколку години.

Името „formdll.dll“ на Lancefly за rootkit вчитувачот беше претходно пријавено во кампања на APT27, aka „Budworm“.

Сепак, не е јасно дали ова е намерен избор за погрешно насочување на аналитичарите и за отежнување на атрибуцијата.

Елемент кој дополнително ја поддржува хипотезата дека Lancefly има кинеско потекло е забележаната употреба на PlugX и ShadowPad RAT (тројанци за далечински пристап), кои се споделуваат меѓу неколку кинески APT групи.

Извор: BleepingComputer