Cyber Threat Pulse
#10, August 2024
Російські хакери з APT29 використовують експлойти від NSO Group та Intellexa
У період з листопада 2023 по липень 2024 російська хакерська група APT29 (Midnight Blizzard) проводила кібератаки на пристрої iOS і Android з використанням експлойтів, створених комерційними виробниками шпигунських програм, такими як Intellexa та NSO Group.
Хакери використовували вразливості в Safari та Chrome, вже виправлені, але все ще дійсні на неоновлених пристроях. Атаки були спрямовані на сайти уряду Монголії та використовували тактику "watering hole", коли шкідливий код впроваджується в легітимні сайти, щоб заражати пристрої певних користувачів.
APT29 експлуатувала вразливості CVE-2023-41993 (iOS), CVE-2024-5274 і CVE-2024-4671 (Chrome), щоб красти дані, такі як файли cookie, паролі та історію браузера. Експлойти, використані групою, були майже ідентичні тим, що раніше застосовували Intellexa та NSO Group. Це передбачає можливість витоку чи продажу експлойтів через посередників.
Докладніше: https://blog.google/threat-analysis-group/state-backed-attackers-and-commercial-surveillance-vendors-repeatedly-use-the-same-exploits/
Маскування під Palo Alto Networks
Команда дослідників з Unit42 виявила схему поширення шкідливого ПЗ "WikiLoader", що маскується під корпоративний VPN-клієнт Palo Alto Networks Global Protect. Для початкового доступу зловмисники використовують техніку SEO-poisoning, щоб підняти шкідливий сайт на верхні позиції в результатах пошукової видачі. Такий підхід дуже ефективний, оскільки користувачі, як правило, довіряють сайтам, що займають перші місця в пошуковій видачі, і рідко замислюються про їхню безпеку.
Шкідливий сайт зловмисників є копією легітимного ресурсу Palo Alto Networks і містить посилання на завантаження підробленого установника Global Protect. Насправді цей установник містить шкідливу програму "WikiLoader", що веде до компрометації системи.
Unit42 розкриває подробиці роботи WikiLoader, зокрема техніки обходу систем захисту: https://unit42.paloaltonetworks.com/global-protect-vpn-spoof-distributes-wikiloader/
Microsoft і вразливість, пов'язана з IPv6
13 серпня 2024 року компанія Microsoft випустила критично важливий патч, що усуває вразливість у TCP/IP-стеку Windows. Вразливість CVE-2024-38063 (CVSS оцінка 9.8 Critical) може призвести до віддаленого виконання коду (RCE) та зачіпає широкий спектр операційних систем Windows, включно з Windows 10, Windows 11 та Windows Server (версії 2008-2022 років). Уразливість полягає в тому, як ядро Windows обробляє заголовки розширення IPv6, що може бути використане для переповнення буфера та виконання довільного коду.
Зловмисники можуть експлуатувати CVE-2024-38063 віддалено та поширюватися комп'ютерними мережами без необхідності взаємодії з користувачами.
Microsoft випустила патч для усунення вразливості. Наполегливо рекомендується застосувати його якнайшвидше.
Команда Picus Security провела докладне дослідження цієї вразливості та поділилася результатами у своєму блозі: https://www.picussecurity.com/resource/blog/cve-2024-38063-remote-kernel-exploitation-via-ipv6-in-windows
Рубрика «Час оновитися»
Microsoft
Microsoft випустила оновлення, усунувши 87 вразливостей, включно з 7 критичними та 6 вразливостями нульового дня. Серед них:
● CVE-2024-38178: серйозна вразливість у Microsoft Scripting Engine (Edge IE Mode), що дозволяє віддалене виконання коду через помилку типу "Type Confusion". ● CVE-2024-38106: Підвищення привілеїв у Windows Kernel до рівня SYSTEM через помилку типу "Race Condition", що дозволяє нападнику отримати повний контроль над системою. ● CVE-2024-38107: Вразливість типу "Use After Free" у Windows Power Dependency Coordinator, що дозволяє локальному нападнику підвищити привілеї до рівня SYSTEM. ● CVE-2024-38189: Віддалене виконання коду через вразливість у Microsoft Project під час відкривання шкідливого файлу через недостатню валідацію введення користувача. ● CVE-2024-38199: Критична вразливість типу Use After Free у службі Windows Line Printer Daemon, яка дозволяє віддалене виконання коду на сервері.
Google Chrome
Chrome оновився до версії 127.0.6533.99/.100 для Windows, Mac та Linux. В оновленні виправлено 5 вразливостей, включно з критичною (CVE-2024-7532) у компоненті ANGLE, яка може дозволити зловмисникам виконувати довільний код.
Mozilla Firefox
У Firefox версії 128 усунуто 20 вразливостей, включно з 8 критичними. Однією з ключових є вразливість на Android (CVE-2024-6605), що дозволяє обходити механізми захисту та отримувати несанкціонований доступ до камери, мікрофону й локації користувачів.
Zero-Day вразливість браузерів
Дослідники виявили вразливість, яка існує з 2006 року та дозволяє віддалено атакувати локальні мережі. Вразливими є всі великі браузери, але на Windows її неможливо експлуатувати через вбудовані механізми захисту цієї ОС.
VMware ESXi
Понад 20 000 серверів ESXi містять вразливість CVE-2024-37085. Вона дозволяє зловмисникам із достатніми правами AD отримувати повний контроль над серверами.
Android
Google усунула 46 вразливостей, включно з активною (CVE-2024-36971) у ядрі Linux, що дозволяє виконувати довільний код без участі користувача.
Apple
Apple випустила оновлення для всіх платформ, виправивши 35 вразливостей в iOS та iPadOS 17.6 та 70 вразливостей у macOS Sonoma 14.6. Також було оновлено браузер Safari, в якому було виправлено 9 вразливостей, 8 з яких зачіпають компонент WebKit.
WhatsApp
У Windows-версії WhatsApp знайдено серйозну вразливість, що дозволяє запускати скрипти Python і PHP під час відкривання вкладень, не відображаючи попереджень безпеки.