Главная » Новости

Набор эксплойтов Novidade меняет настройки DNS SOHO-роутеров

Олег Иванов 12 Декабря 2018 - 17:31
...
Набор эксплойтов Novidade меняет настройки DNS SOHO-роутеров

Специалисты компании Trend Micro рассказали о новом наборе эксплойтов, который получил имя Novidade («новинка» по-португальски). С помощью этого набора злоумышленники атакуют SOHO-маршрутизаторы и компрометируют подключенные к Сети устройства.

В ходе своих атак эксплойт Novidade прибегает к эксплуатации уязвимости CSRF. С ее помощью он изменяет настройки DNS атакованных маршрутизаторов с целью перенаправления трафика на IP-адрес, который находится под контролем злоумышленников.

В настоящее время Novidade используется в нескольких отдельных вредоносных кампаниях. Эксперты полагают, что либо авторы продали свое детище нескольким киберпреступным группам, либо исходный код набора эксплойтов просочился в Сеть.

Большинство вредоносных кампаний, в которых используется Novidade, ориентированы на фишинговые рассылки, целью которых является кража учетных данных клиентов бразильских кредитных организаций.

«Мы обнаружили, что Novidade доставляется жертвам с помощью самых разнообразных методов, среди которых и malvertising [использование онлайн-рекламы для распространения вредоносных программ — прим. ред.], и скомпрометированные сайты, и сервисы мгновенных сообщений», — говорится в отчете Trend Micro.

После установки соединения Novidade отправляет запрос на определенный IP-адрес на загрузку пейлоада, зашифрованного в base64. Вредоносный код также пытается войти в систему атакуемого роутера, используя набор стандартных учетных данных.

Затем запускается атака вида CSRF, с помощью которой вредонос меняет настройки DNS.

Список атакуемых роутеров (а также используемые уязвимости) приводим ниже:

  • A-Link WL54AP3 / WL54AP2 (CVE-2008-6823)
  • D-Link DSL-2740R
  • D-Link DIR 905L
  • Medialink MWN-WAPR300 (CVE-2015-5996)
  • Motorola SBG6580
  • Realtron
  • Roteador GWR-120
  • Secutech RiS-11/RiS-22/RiS-33 (CVE-2018-10080)
  • TP-Link TL-WR340G / TL-WR340GD
  • TP-Link WR1043ND V1 (CVE-2013-2645)
Следующая главная новость »
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Microsoft Graph API используется как проводник вредоноса
Вероника Дубровская 06 Мая 2024 - 20:05
Целевые атакиТаргетированные атаки Корпорации
Microsoft Graph API используется как проводник вредоноса

Киберпреступники все чаще используют Microsoft Graph API во вредоносных кампаниях, чтобы избежать обнаружения. Как правило, вектор фигурирует в целевых атаках, организованных подготовленными группировками.

Из отчёта Symantec известно, что это делается для облегчения связи с командно-контрольной (C&C) инфраструктурой, размещенной на облачных сервисах Microsoft.

По данным специалистов, с января 2022 года несколько киберпреступных групп, включая APT28, Red Stinger, OilRig и другие, активно используют Microsoft Graph API.

В первый раз об использовании Microsoft Graph API в атаках стало известно в июне 2021. Тогда это связали с кластером активности под названием Harvester, в котором был обнаружен кастомный имплант Graphon, использующий API для взаимодействия с инфраструктурой Microsoft.

В Symantec рассказали, что эта же техника недавно фиксировалась в отношении неназванной организации на Украине. В атаке был применен ранее не задокументированный вредонос, именуемый BirdyClient (или OneDriveBirdyClient).

Обнаруженный во время кибератаки DLL-файл под названием «vxdiff.dll» совпадает с наименованием легитимного DLL, связанного с приложением Apoint («apoint.exe»). Именно он предназначен для подключения к Microsoft Graph API и использования OneDrive в качестве C&C-сервера для загрузки и скачивания файлов с него.

До сих пор неизвестен точный метод распространения DLL-файла, как и конечные цели злоумышленников.

В Symantec высказали свои мысли по поводу популярности Graph API среди хакеров. Специалисты отметили, что трафик к используемым облачным сервисам с меньшей вероятностью вызовет подозрения. Немаловажно, что это безопасный и дешёвый источник инфраструктуры, так как для таких сервисов, как OneDrive, базовые учетные записи бесплатны.

Компания Permiso показала, как злоумышленники могут злоупотреблять командами администрирования облака с привилегированным доступом для выполнения действий в виртуальных машинах.

Чаще всего это достигается путём компрометации сторонних внешних поставщиков или подрядчиков, имеющих привилегированный доступ для управления внутренними облачными средами.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Обновление KB5036980 для Windows 11 добавило рекламу в меню Пуск
Новость
Обновление KB5036980 для Windows 11 добавило рекламу в меню...
Роскомнадзор будет вести реестр запрещенных сайтов с помощью ИИ
Новость
Роскомнадзор будет вести реестр запрещенных сайтов с помощью...
В 2023 году кибервымогателям выплатили рекордный миллиард долларов
Новость
В 2023 году кибервымогателям выплатили рекордный миллиард до...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2024. Все права защищены.

Рекламные коды ОРД: JapBIIgg8, JapBINit6, JapBIR7iO, JapBIM8gm, LdtCKaTR6