Новые приемы и новые жертвы загадочной кампании кибершпионажа

Новые приемы и новые жертвы загадочной кампании кибершпионажа

«Лаборатория Касперского» зафиксировала возобновление активности кампании кибершпионажа, известной как Wild Neutron (а также как Jripbot и Morpho) и впервые обнаруженной в 2013 году – тогда от нее пострадало несколько известных компаний, включая Apple, Facebook, Twitter и Microsoft.

После того как эти инциденты получили огласку, организаторы кибершпионской операции «свернули» свою деятельность. Однако в 2015 году они вновь активизировались.

Цель Wild Neutron – получить конфиденциальную информацию различных организаций. Исследователи «Лаборатории Касперского» выяснили, что жертвами кампании кибершпионажа стали пользователи в 11 странах и территориях, а именно в России, Франции, Швейцарии, Германии, Австрии, Словении, Палестине, ОАЭ, Казахстане, Алжире и США. Среди пострадавших юридические фирмы, инвестиционные компании, организации, работающие с криптовалютой Bitcoin, группы компаний и предприятия, вовлеченные в сделки слияния и поглощения, IT-компании, учреждения здравоохранения, риэлтерские компании, а также индивидуальные пользователи.

Вредоносное ПО попадает в системы жертв через уязвимость в Flash Player – заражение осуществляется при помощи программ-эксплойтов, размещенных на скомпрометированных веб-сайтах. Эти эксплойты в свою очередь доставляют в инфицированную систему загрузчик вредоносного ПО, который подписан легитимным сертификатом, по всей видимости, украденным у известного разработчика потребительской электроники. Наличие действительного сертификата позволяет зловреду избегать детектирования некоторыми антивирусными решениями. Именно поэтому этот сертификат сейчас отзывается.

Организаторы кампании кибершпионажа приложили много усилий для того, чтобы защитить свою вредоносную инфраструктуру. Так, им удалось скрыть адрес своего командно-контрольного сервера, при помощи которого они контролируют все зараженные системы. Кроме того, они добились того, что сервер восстанавливает свою работу даже после отключения.

Исходя из целей Wild Neutron, аналитики предполагают, что за этой кампанией не стоят никакие госструктуры или спецслужбы. Тем не менее использование уязвимостей нулевого дня, наличие кроссплатформенных зловредов и ряд других продвинутых техник позволяют думать, что за атаками стоит мощная группировка, возможно, движимая экономическими интересами.

Происхождение самих атакующих также остается загадкой. В некоторых экземплярах вредоносного кода встречается строка на румынском языке “La revedere”, что значит «до свидания». Эта команда используется для окончания сессии коммуникации с командно-контрольным сервером. Кроме того, специалисты «Лаборатории Касперского» обнаружили команду и на русском языке – написанное латиницей слово «успешно».

«Wild Neutron – опытная кибергруппировка, использующая разнообразные техники атак. Она активна с 2011 года и каждый раз использует по меньшей мере одну уязвимость нулевого дня, созданное под конкретные задачи вредоносное ПО и инструменты для систем Windows и OS X. Несмотря на то что в прошлом эта группировка атаковала известные на весь мир компании, в целом эти люди предпочитают не связываться с громкими именами и старательно защищают свои вредоносные операции, из-за чего до сих пор не удалось установить их происхождение. А вообще группа, атакующая крупные IT-компании, разработчиков шпионского ПО (FlexiSPY), исламистские форумы и Bitcoin-компании, позволяет предположить, что у нее гибкие и крайне необычные интересы и цели», – рассказывает Костин Райю, руководитель Глобального центра исследований и анализа угроз «Лаборатории Касперского».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Две уязвимости в ksmbd Linux позволяют получить root через SMB

Без лишней мистики: исследователь в области кибербезопасности BitsByWill подробно разобрал две критические уязвимости в ksmbd — встроенном в ядро Linux SMB-сервере. Речь о CVE-2023-52440 и CVE-2023-4130 — и самое неприятное, что они отлично склеиваются в рабочую эксплойт-цепочку.

Первая уязвимость, CVE-2023-52440, описывается как контролируемое SLUB-переполнение в функции ksmbd_decode_ntlmssp_auth_blob().

Как пишет BitsByWill, длина sess_key_len контролируется пользователем, и при определённой подаче данных можно переполнить фиксированный буфер sess_key во время вызова cifs_arc4_crypt. Проще говоря — достаточно модифицировать одну строку в ntlm-клиентской библиотеке (в примере — Impacket), чтобы сгенерировать специально подготовленное NTLM-сообщение и получить неаутентифицированное удалённое переполнение буфера с контролем размера и содержимого.

Вторая уязвимость, CVE-2023-4130, — это чтение за пределами буфера (OOB read) в smb2_set_ea(). Из-за плохой проверки расширенных атрибутов (EA) злоумышленник с правом записи на шаре может заставить ksmbd неправильно интерпретировать структуру и считать дополнительные записи. В результате соседние данные кучи попадают в xattr, откуда их можно извлечь через SMB3 queryInfo. То есть брешь позволяет вытянуть части памяти ядра и, например, сломать KASLR.

И вот где всё становится опасно: переполнение даёт запись, чтение даёт утечку. Связав CVE-2023-52440 и CVE-2023-4130, BitsByWill показал рабочий путь до реального ROP-эксплойта.

Для демонстрации потребовались учётные данные пользователя с правом записи на шару, поэтому исследователь пишет о 0-click с аутентификацией — формулировка спорная, но смысл понятен: если админ разрешил анонимную запись в шаре, шанс эксплуатации становится ещё выше.

Авторы анализа подчёркивают практические сценарии: модификация таблиц страниц для произвольного чтения/записи, вынимание секретов из соседних процессов или подготовка ROP-цепочки для исполнения кода в контексте ядра. Всё это — классика эскалации привилегий, но в данном случае — прямо через SMB-интерфейс ядра.

Патчи уже вышли, и производители/поддерживающие дистрибутивы закрывали эти баги, но реальная угроза — не только в уязвимом коде, а в конфигурациях и устаревших системах. Как обычно, напомним: открытые для записи шар-ресурсы, устаревшее ПО и несвоевременное обновление — идеальная среда для подобных атак.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru