ТОП-5 ИБ-событий недели по версии Jet CSIRT
Сегодня в ТОП-5 — новый вариант стилера Agent Tesla, бюллетень безопасности по продуктам Atlassian, взлом лаборатории ядерных исследований США группировкой SiegedSec, обход биометрической аутентификации Windows Hello и фишинговая атака на русскоязычных пользователей. Новости подготовил аналитик центра информационной безопасности «Инфосистемы Джет» Константин Маслов.
Эксперт компании G Data Software AG Анна Львова при исследовании фишинговой атаки обнаружила новый вариант стилера Agent Tesla. Отличительной особенностью новой версии является использование более эффективного формата сжатия ZPAQ. Цепочка атаки начинается с электронного письма с архивом, выдающим себя за документ формата PDF. Эффективное сжатие ZPAQ позволяет использовать искусственно увеличенный в размере .NET файл для обхода стандартных мер безопасности, а после загрузить вредоносный .wav и расшифровать его. Конечной целью является заражение устройства стилером Agent Tesla. Новая версия также отличается способом доставки информации до C2. Взаимодействие, а также отправка украденных данных осуществляются через API Telegram. Принцип работы стилера принципиально не изменился, но для отслеживания новой версии G DATA предоставили индикаторы компрометации.
Бюллетень безопасности по продуктам Atlassian
Atlassian выпустила рекомендации по последним обнаруженным уязвимостям в своих продуктах. Всего бюллетень включает 26 уязвимостей с высоким уровнем критичности, большинство из них относятся к типу DOS и RCE. Все они были исправлены в последних обновлениях продуктов: Confluence, Jira, Bamboo, Bitbucket и Crowd. Наиболее серьезная из них — CVE-2023-22515 с уровнем критичности CVSS 10. Уязвимость позволяет удаленному злоумышленнику, не прошедшему проверку подлинности, перезапускать процесс настройки и создавать учетные записи с правами администратора на уязвимом сервере. При отсутствии возможности обновиться рекомендуется последовательно выполнить все инструкции по временному исправлению каждой актуальной уязвимости.
SiegedSec взломала лабораторию ядерных исследований США
Группировка SiegedSec заявила о взломе национальных лабораторий Министерства энергетики США и опубликовала в сети украденные данные. С момента основания группировки (начало 2022 года) злоумышленники получили секретные данные как минимум 30 различных компаний. Среди многочисленных целей группы находятся Atlassian и NATO. Ранее киберпреступники размещали украденные данные на различных хакерских форумах, но не использовали программы-вымогатели и не продавали украденные данные с целью получения прибыли. Так же и в этот раз — все данные были сразу выложены в открытый доступ и включали в себя подробную информацию о сотрудниках лаборатории. Мотивация и повод для выбора целей у SiegedSec остаются неизвестными. Единственное предложение об удалении утечки из общего доступа было скорее саркастичным.
Обход биометрической аутентификации Windows Hello
Новое исследование Blackwing Intelligence выявило три гарантированных способа обхода аутентификации Windows Hello на ноутбуках Dell, Lenovo и Microsoft Surface. В устройствах используются датчики отпечатков пальцев, созданные ELAN, Synaptics и Goodix. Все они являются датчиками типа MoC (Match on Chip), т. е. отпечатки пользователя хранятся на самом чипе и не будут скомпрометированы даже при компрометации устройства. Однако они не способны предотвратить атаку типа MitM (Man-in-the-Middle) с подделкой легитимного датчика и отправкой сигнала от его имени. Специалисты также отметили, что на программном уровне данные уязвимости были устранены благодаря протоколу безопасного подключения устройств (SDCP), созданному Microsoft. Но, к сожалению, создатели датчиков не внедрили его поддержку в свои комплектующие по умолчанию.
Фишинговая атака на русскоязычных пользователей
Исследователь Fortinet FortiGuard Labs Кара Лин выявила фишинговую компанию, направленную на русскоязычных пользователей. Активность приписывают северокорейской APT под названием Konni. Жертва получает вредоносный документ Word со встроенным VBA-скриптом, который впоследствии запускает промежуточный пакетный сценарий, выполняет системные проверки и обход контроля учетных записей пользователей (UAC). В итоге устанавливается DLL-файл, который включает в себя возможности сбора и эксфильтрации информации с конечного устройства. После отправки данных скомпрометированное устройство находится в режиме ожидания команд от C2. Fortinet также предоставила список индикаторов компрометации, полученных в результате расследования.