Предлагаем ознакомиться с Symantec Threat Landscape Bulletin, чтобы узнать подробнее о новостях из мира кибербезопасности за 14, 17-19 февраля 2025.
Ошибка в FortiOS позволяет повысить привилегии супер-админа
Компания Fortinet выпустила обновления для устранения уязвимости высокой степени опасности в FortiOS Security Fabric, интегрированной платформе кибербезопасности компании. Эксплуатация уязвимости (CVE-2024-40591 – CVSS score: 8.0) может позволить аутентифицированному администратору с правами Security Fabric повысить свои привилегии до уровня супер-админа.
Уязвимость вызвана некорректным назначением привилегий и затрагивает множество версий FortiOS, включая 7.6.0, 7.4.0–7.4.4, 7.2.0–7.2.9, 7.0.0–7.0.15 и все версии 6.4.
Злоумышленник, получивший контроль над вышестоящим устройством FortiGate, может использовать уязвимость, подключив целевой FortiGate к скомпрометированному вышестоящему устройству. Затем, воспользовавшись неправильным назначением привилегий, он может получить доступ супер-админа. С таким уровнем доступа злоумышленник получает обширный контроль над пораженной системой.
Пользователям настоятельно рекомендуется немедленно обновить свои системы FortiOS, чтобы снизить этот риск. Для каждого затронутого релиза выпущены специальные исправления: версии 7.6.1, 7.4.5, 7.2.10 и 7.0.16, соответственно. Пользователям, работающим с версией 6.4, рекомендуется перейти на исправленный выпуск.
Новая атака whoAMI может заставить пользователей AWS загружать вредоносные изображения
Исследователи обнаружили уязвимость, связанную с путаницей имен в способе, с помощью которого программные проекты AWS получают идентификаторы Amazon Machine Image (AMI). Проблема, которую исследователи назвали «whoAMI», затрагивает пользователей AWS при поиске и загрузке AMI при трех обстоятельствах:
- При получении AMI с помощью API «ec2:DescribeImages» без указания владельца.
- При использовании подстановочных знаков для указания AMI вместо конкретных идентификаторов AMI в сценариях.
- При использовании инструментов инфраструктуры, таких как Terraform, с параметром «most_recent=true», который автоматически выбирает самый новый AMI, соответствующий указанному фильтру.
Чтобы осуществить атаку, злоумышленнику достаточно создать вредоносный AMI с такими функциями, как бэкдор, опубликовать его под именем, похожим на другие легитимные образы в публичном каталоге Community AMI, а затем дождаться, пока кто-нибудь случайно запустит его. Любой может опубликовать AMI и сделать их доступными на рынке, поэтому злоумышленнику не нужно компрометировать другую учетную запись AWS, чтобы осуществить эту атаку.
По словам исследователей, до 1% организаций, которые они отслеживают, восприимчивы к этой проблеме, но пока нет никаких доказательств того, что эта техника была использована в реальных условиях.
Пользователям AWS рекомендуется пересмотреть свой код, конфигурации и скрипты, чтобы убедиться, что они используют безопасные методы для получения AMI. Они также могут использовать новую функцию под названием «Allowed AMIs», которая позволяет создать список доверенных поставщиков AMI. Terraform 5.77 также был обновлен, чтобы предупреждать пользователей, когда параметр «most_recent = true» используется без указания фильтра владельца.
Связанные с Россией хакеры используют фишинг кодов устройств для захвата учетных записей – Microsoft
Согласно отчету Центра анализа угроз Microsoft, хакеры, предположительно связанные с Россией, используют фишинг кодов устройств для захвата учетных записей 365 в организациях, представляющих интерес.
Люди, на которых направлена эта кампания, работают в правительстве, неправительственных организациях, в сфере ИТ-услуг и технологий, обороны, телекоммуникаций, здравоохранения, энергетики/нефти и газа в Европе, Северной Америке, Африке и на Ближнем Востоке.
Microsoft отслеживает злоумышленников, стоящих за этой активностью, под кодовым обозначением Storm-237, и на основе их интересов, выбора жертв и методов работы считает, что данная деятельность связана с операцией государственного уровня, которая соответствует интересам России.
В рамках фишинговых атак с использованием кода устройства, которые продолжаются как минимум с августа 2024 года, злоумышленники генерируют запросы на ввод кода устройства и обманом заставляют целевых пользователей вводить эти коды на страницах входа в приложения для повышения производительности. По данным Microsoft, эксплуатация механизма аутентификации через код устройства позволила Storm-2372 получить доступ к целевым системам, захватить токены аутентификации и использовать эти действительные токены для осуществления латерального перемещения и кражи данных.
Storm-237 начинает атаку, сначала устанавливая контакт с целью, «выдавая себя за известное лицо, связанное с целью», через популярные мессенджеры. Спустя некоторое время злоумышленники отправляют поддельное приглашение на онлайн-встречу по электронной почте или через сообщение.
«Эти приглашения заманивают пользователя завершить процесс аутентификации через код устройства, имитируя интерфейс мессенджера. Это предоставляет Storm-2372 первоначальный доступ к учетным записям жертв и позволяет собирать данные через Graph API, такие как сбор электронной переписки», — объясняет Microsoft.
Это дает злоумышленникам доступ к сервисам Microsoft жертвы без необходимости ввода пароля, пока украденные токены остаются действительными. Однако, поскольку злоумышленники используют уникальный идентификатор клиента (client ID) Microsoft Authentication Broker в процессе входа с помощью кода устройства, это позволяет им генерировать новые токены.
Чтобы противодействовать фишинговым атакам с использованием кодов устройств, применяемым Storm-2372, Microsoft рекомендует блокировать механизм аутентификации через код устройства, где это возможно, и применять политики условного доступа в Microsoft Entra ID, чтобы ограничить его использование доверенными устройствами или сетями.
Новая уязвимость нулевого дня в Windows эксплуатируется китайской APT, утверждают исследователи
Исследователи из ClearSky Cyber Security утверждают, что новая уязвимость нулевого дня в Windows эксплуатируется китайской продвинутой постоянной угрозой (APT), известной как Fireant (она же APT31, Mustang Panda).
В четверг (13 февраля) компания ClearSky заявила, что обнаружила APT, связанную с Китаем, эксплуатирующую новую уязвимость Windows, и пообещала поделиться дополнительными подробностями в ближайшем блоге. Однако сообщения компании в Twitter свидетельствуют о том, что уязвимость Windows была использована как «нулевой день», поскольку ей еще не присвоен CVE.
Исследователи описали ошибку как «уязвимость пользовательского интерфейса» и заявили, что нашли свидетельства его эксплуатации связанной с Китаем APT-группой Fireant. Технические подробности, предоставленные компанией по безопасности, включают следующее:
- «При извлечении файлов из сжатых файлов ‘RAR’ они скрываются от пользователя. Если сжатые файлы извлечены в папку, то в графическом интерфейсе проводника Windows эта папка отображается пустой.»
- «При использовании команды ‘dir’ для вывода списка всех файлов и папок в целевой папке извлеченные файлы и папки становятся «невидимыми/скрытыми» для пользователя. Злоумышленники или пользователи также могут выполнить эти сжатые файлы из приглашения командной строки, если им известен точный путь.»
- «В результате выполнения команды ‘attrib -s -h’ для защищенных системой файлов создается файл неизвестного типа с компонентом ActiveX типа ‘Unknown’».
ClearSky заявила, что Microsoft знает об уязвимости, но классифицирует ее как низкую степень серьезности.
Исследователь получил вознаграждение в 10 тысяч долларов за атаку YouTube на адреса Gmail
Исследователь получил кругленькую сумму в 10 633 доллара за то, что обнаружил способ извлечения частных адресов Gmail с YouTube-каналов путем последовательного выполнения ряда шагов.
Для этого необходимо воспользоваться функцией чата YouTube, чтобы заблокировать целевого пользователя, или просто вызвать контекстное меню чата и перехватить обмен данными на задней панели. Это может привести к тому, что Google раскроет обфусцированный идентификатор Gaia ID, который является идентификатором аккаунта Google для целевого пользователя. Однако этот обфусцированный Gaia ID можно легко расшифровать, поскольку это просто данные, упакованные в Base64-кодированный protobuf.
После того, как удалось надежно получить идентификаторы Gaia ID для любого канала YouTube, следующим шагом было выяснение адреса электронной почты, на который они указывают. Для этого исследователь воспользовался старым приложением Pixel Recorder (приложение для записи голоса на телефонах Pixel), которое имело серверную конечную точку API, позволявшую пользователям делиться записями голоса с другими пользователями. Конечная точка принимала идентификаторы Gaia в качестве входного параметра. В ответ сервер включал адрес электронной почты аккаунта Gmail для указанного идентификатора Gaia.
Обычно, когда это делается, целевой аккаунт Gmail получает уведомление об общей записи, что может вызвать подозрения. Однако исследователь также обнаружил, что если указать чрезвычайно длинное название записи, состоящее из 2,5 миллионов символов, то уведомление не будет отправлено, оставив пользователя в неведении. Извлечение адресов электронной почты может помочь тем, кто хочет провести фишинговые атаки на пользователей Gmail.
Исследователь передал данные Google в сентябре 2024 года, а исправления были выпущены в феврале 2025 года. Изначально Google заплатила исследователю 3 133 доллара, но позже решила увеличить сумму на 7 500 долларов, поскольку, по ее мнению, атака могла бы иметь большой эффект, если бы ее обнаружили злоумышленники.
Кампания по рассылке вредоносных программ по электронной почте использует черновики Outlook для C&C-коммуникаций
Обнаружена новая кампания по рассылке вредоносных программ по электронной почте под названием REF7707, использующая вредоносное ПО под названием FinalDraft. Атака использует первый этап под названием PathLoader, который подготавливает начальную среду перед загрузкой второго этапа – вредоносной программы FinalDraft.
FinalDraft получил свое название благодаря использованию черновиков электронной почты в Microsoft Outlook для скрытых командно-контрольных (C&C) коммуникаций. Это позволяет замаскировать обмен данными между злоумышленником и взломанным компьютером под легитимный трафик. FinalDraft поддерживает широкий набор команд, включающий все обычные возможности, такие как перехват данных для получения файлов, учетных данных и системной информации. Он также может запускать другие команды и скрипты, внедрять код в другие процессы, выполнять операции с файловой системой и выступать в роли прокси-сервера.
Были замечены версии FinalDraft, работающие на операционных системах Windows и Linux, что говорит о том, что злоумышленники не ограничиваются только пользователями Windows.
Главной жертвой кампании, судя по всему, стало министерство иностранных дел Южной Америки, однако анализ инфраструктуры, использованной для проведения атаки, показывает, что жертвами могли стать и представители Юго-Восточной Азии.
Защита
Последние обновления о защите можно найти в бюллетене Symantec Protection Bulletin.
Ошибки в работе принтеров Xerox позволяют совершать латеральные перемещения
Уязвимости, обнаруженные в многофункциональных принтерах (МФУ) Xerox VersaLink, могут позволить злоумышленникам получить учетные данные для аутентификации с помощью атак pass-back, направленных на сервисы LDAP и SMB/FTP, сообщают исследователи Rapid7.
«Эта pass-back атака использует уязвимость, которая позволяет злоумышленнику изменить конфигурацию МФУ и заставить устройство МФУ отправить учетные данные аутентификации обратно злоумышленнику», – объясняют исследователи. «Если злоумышленник сможет успешно воспользоваться этими ошибками, это позволит ему перехватить учетные данные для Windows Active Directory. Это означает, что в дальнейшем они смогут перемещаться в среде организации и компрометировать другие критически важные серверы и файловые системы Windows».
Список уязвимостей:
- CVE-2024-12510 (CVSS score: 6.7) – атака через LDAP в режиме pass-back
- CVE-2024-12511 (CVSS оценка: 7.6) – атака через адресную книгу пользователя.
Ошибки затрагивают версии прошивки 57.69.91 и более ранние и были устранены компанией Xerox в рамках пакета обновления 57.75.53, выпущенного в конце января для принтеров серий VersaLink C7020, 7025 и 7030.
Обнаружен новый вариант вредоносной программы XCSSET для macOS
Исследователи обнаружили новый вариант модульного вредоносного ПО XCSSET для macOS, целью которого является конфиденциальная информация пользователей, включая цифровые кошельки и данные из легитимного приложения Notes.
« Это первая известная с 2022 года разновидность вредоносной программы XCSSET, которая отличается улучшенными методами обфускации, обновленными механизмами сохранения и новыми стратегиями заражения», – говорится в сообщении группы аналитики угроз Microsoft, опубликованном на сайте X.
Впервые обнаруженный в августе 2020 года, XCSSET представляет собой сложное модульное вредоносное ПО для macOS, известное тем, что заражает пользователей через проекты Apple Xcode.
Новые и расширенные функции дополняют ранее известные возможности XCSSET, такие как атака на цифровые кошельки, сбор данных из приложения Notes, а также утечка системной информации и файлов.
Результаты последних исследований Microsoft – это первая серьезная ревизия вредоносной программы с 2022 года.
Новый бэкдор на базе Golang использует Telegram для C&C
Исследователи Netskope обнаружили новый бэкдор на базе Golang, использующий Telegram для командно-административной связи (C&C).
По словам исследователей, вредоносная программа (Trojan.Generic.37477095), предположительно российского происхождения, является функциональной, но, скорее всего, все еще находится в стадии разработки.
«Вредоносная программа скомпилирована на языке Golang и после запуска действует как бэкдор, – говорит Леандро Фроес (Leandro Fróes) из Netskope. После запуска бэкдор проверяет, запущен ли он в определенном месте и под определенным именем (C:\Windows\Temp\svchost.exe), и если нет, он считывает свое содержимое, записывает его в это место, создает новый процесс для запуска скопированной версии и завершает свою работу».
Вредоносная программа использует библиотеку с открытым исходным кодом, которая предлагает привязку Golang для Telegram Bot API в целях C&C. Это предполагает взаимодействие с Telegram Bot API для получения новых команд, поступающих из чата, контролируемого злоумышленником.
Пользователи предупреждены о новом вредоносном ПО для macOS, выдаваемом за обновления браузера
Вредоносная кампания, проводимая группой, отслеживаемой как TA2727, использует взломанные веб-сайты, чтобы заставить ничего не подозревающих пользователей установить поддельные обновления. В зависимости от местоположения посетителя и используемой платформы/браузера пользователь может быть перенаправлен службами распределения трафика (TDS) на различные поддельные сайты, которые просят его установить обновление для браузера.
Если пользователь, посетивший взломанный сайт, является пользователем macOS, он будет перенаправлен на сайт, предлагающий поддельное обновление для используемого им браузера, например Safari или Chrome. При нажатии на кнопку обновления на поддельном сайте загружается DMG-файл, содержащий FrigidStealer. При открытии он отображает инструкции по установке обновления. Инструкция предлагает пользователю щелкнуть правой кнопкой мыши на файле и открыть его, что позволяет обойти macOS Gatekeeper, который должен защищать компьютер от потенциально вредоносных приложений.
После установки и выполнения FrigidStealer запрашивает у пользователя пароль для «обновления файлов», после чего собирает различную информацию, файлы, учетные данные, cookies и все, что может представлять потенциальную ценность, а затем пересылает ее на командно-контрольный (C&C) сервер по адресу askforupdate[.]org.
Пользователям Windows также предлагается MSI-файл, при установке которого запускается DOILoader, который, в свою очередь, декодирует и запускает широко используемую вредоносную программу Lumma Stealer.
Пользователям Android также может быть предложено установить обновления через APK-файл. Установка обновления приведет к инсталляции более старого банковского трояна Marcher, существующего с 2013 года.
Защита
Последние обновления защиты можно найти в бюллетене Symantec Protection Bulletin.
Juniper исправляет критическую ошибку обхода авторизации в маршрутизаторах Session Smart
Компания Juniper Networks выпустила обновления для устранения критической уязвимости в своих продуктах Session Smart Router, Session Smart Conductor и WAN Assurance Router.
Уязвимость (CVE-2025-21589) представляет собой обход аутентификации, связанный с «уязвимостью альтернативного пути или канала», говорится в сообщении Juniper. Эксплуатация этой ошибки может позволить сетевому злоумышленнику получить административный контроль над целевым устройством.
Уязвимость затрагивает следующие продукты и версии:
- Сессия Smart Router: С 5.6.7 до 5.6.17, с 6.0.8, с 6.1 до 6.1.12-lts, с 6.2 до 6.2.8-lts, и с 6.3 до 6.3.3-r2
- Сессия Smart Conductor: С 5.6.7 до 5.6.17, с 6.0.8, с 6.1 до 6.1.12-lts, с 6.2 до 6.2.8-lts, и с 6.3 до 6.3.3-r2
- Управляемые маршрутизаторы WAN Assurance: С 5.6.7 до 5.6.17, с 6.0.8, с 6.1 до 6.1.12-lts, с 6.2 до 6.2.8-lts, и с 6.3 до 6.3.3-r2
Организациям, использующим затронутые продукты, рекомендуется как можно скорее обновить их. Компания Juniper заявила, что ей ничего не известно о вредоносной эксплуатации.
Читайте Symantec Protection Bulletin, чтобы узнать больше о том, как продукты Symantec защищают вас от угроз.
