Cyber Threat Pulse
#10, August 2024
Российские хакеры из APT29 используют эксплойты от NSO Group и Intellexa
В период с ноября 2023 по июль 2024 российская хакерская группа APT29 (Midnight Blizzard) проводила кибератаки на устройства iOS и Android с использованием эксплойтов, созданных коммерческими производителями шпионских программ, такими как Intellexa и NSO Group.
Хакеры использовали уязвимости в Safari и Chrome, уже исправленные, но все еще действительные на необновленных устройствах. Атаки были направлены на сайты правительства Монголии и использовали тактику "watering hole", когда вредоносный код внедряется в легитимные сайты, чтобы заражать устройства определенных пользователей.
APT29 эксплуатировала уязвимости CVE-2023-41993 (iOS), CVE-2024-5274 и CVE-2024-4671 (Chrome), чтобы красть данные, такие как файлы cookie, пароли и историю браузера. Эксплойты, использованные группой, были почти идентичны тем, что ранее применяли Intellexa и NSO Group. Это предполагает возможность утечки или продажи эксплойтов через посредников.
Подробнее: https://blog.google/threat-analysis-group/state-backed-attackers-and-commercial-surveillance-vendors-repeatedly-use-the-same-exploits/
Маскировка под Palo Alto Networks
Команда исследователей из Unit42 обнаружила схему распространения вредоносного ПО “WikiLoader”, маскируемого под корпоративный VPN-клиент Palo Alto Networks Global Protect. Для начального доступа злоумышленники используют технику SEO-poisoning, чтобы поднять вредоносный сайт на верхние позиции в результатах поисковой выдачи. Такой подход весьма эффективен, поскольку пользователи, как правило, доверяют сайтам, занимающим первые места в поисковой выдаче, и редко задумываются об их безопасности.
Вредоносный сайт злоумышленников является копией легитимного ресурса Palo Alto Networks и содержит ссылку на скачивание поддельного установщика Global Protect. На самом деле этот установщик содержит вредоносную программу "WikiLoader", приводящую к компрометации системы.
Unit42 раскрывает подробности работы WikiLoader, в частности техники обхода систем защиты: https://unit42.paloaltonetworks.com/global-protect-vpn-spoof-distributes-wikiloader/
Microsoft и уязвимость, связанная с IPv6
13 августа 2024 года компания Microsoft выпустила критически важный патч, устраняющий уязвимость в TCP/IP-стеке Windows. Уязвимость CVE-2024-38063 (CVSS оценка 9.8 Critical) может привести к удаленному выполнению кода (RCE) и затрагивает широкий спектр операционных систем Windows, включая Windows 10, Windows 11 и Windows Server (версии 2008-2022 годов). Уязвимость кроется в том, как ядро Windows обрабатывает заголовки расширения IPv6, что может быть использовано для переполнения буфера и выполнения произвольного кода.
Злоумышленники могут эксплуатировать CVE-2024-38063 удаленно и распространяться по компьютерным сетям без необходимости взаимодействия с пользователями.
Microsoft выпустила патч для устранения уязвимости. Настоятельно рекомендуется применить его как можно скорее.
Команда Picus Security провела подробное исследование данной уязвимости и поделилась результатами в своем блоге: https://www.picussecurity.com/resource/blog/cve-2024-38063-remote-kernel-exploitation-via-ipv6-in-windows
Рубрика «Пора обновиться»
Microsoft
Microsoft выпустила обновления, устранив 87 уязвимостей, включая 7 критических и 6 уязвимостей нулевого дня. Среди них:
● CVE-2024-38178: серьезная уязвимость в Microsoft Scripting Engine (Edge IE Mode), позволяющая удаленное выполнение кода из-за ошибки типа "Type Confusion". ● CVE-2024-38106: Повышение привилегий в Windows Kernel до уровня SYSTEM из-за ошибки типа "Race Condition", что позволяет атакующему получить полный контроль над системой. ● CVE-2024-38107: Уязвимость типа "Use After Free" в Windows Power Dependency Coordinator, позволяющая локальному атакующему повысить привилегии до уровня SYSTEM. ● CVE-2024-38189: Удаленное выполнение кода через уязвимость в Microsoft Project при открытии вредоносного файла из-за недостаточной валидации ввода пользователя. ● CVE-2024-38199: критическая уязвимость типа Use After Free в службе Windows Line Printer Daemon, которая позволяет удаленное выполнение кода на сервере.
Google Chrome
Chrome обновился до версии 127.0.6533.99/.100 для Windows, Mac и Linux. В обновлении исправлены 5 уязвимостей, включая критическую (CVE-2024-7532) в компоненте ANGLE, которая может позволить злоумышленникам выполнить произвольный код.
Mozilla Firefox
В Firefox версии 128 устранено 20 уязвимостей, включая 8 критических. Одной из ключевых является уязвимость на Android (CVE-2024-6605), позволяющая обходить механизмы защиты и получать несанкционированный доступ к камере, микрофону и локации пользователей.
Zero-Day уязвимость браузеров
Исследователи выявили уязвимость, существующую с 2006 года и позволяющую удаленно атаковать локальные сети. Уязвимыми являются все крупные браузеры, но на Windows ее невозможно эксплуатировать из-за встроенных механизмов защиты данной ОС.
VMware ESXi
Более 20 000 серверов ESXi содержат уязвимость CVE-2024-37085. Эта уязвимость позволяет злоумышленникам с достаточными правами AD получать полный контроль над серверами.
Android
Google устранила 46 уязвимостей, включая активно эксплуатируемую (CVE-2024-36971) в ядре Linux, позволяющую выполнить произвольный код без участия пользователя.
Apple
Apple выпустила обновления для всех платформ, исправив 35 уязвимостей в iOS и iPadOS 17.6 и 70 уязвимостей в macOS Sonoma 14.6. Также был обновлен браузер Safari, в котором было исправлено 9 уязвимостей, 8 из которых затрагивают компонент WebKit.
WhatsApp
В Windows-версии WhatsApp найдена серьезная уязвимость, позволяющая запускать скрипты Python и PHP при открытии вложений, при этом не отображая предупреждений безопасности.