CVE-2024-50623
- 5 Posts
- 31 Interactions
CVE Info
Fediverse
❗ Huntress Labs has shared new research regarding CVE-2024-50623, a vulnerability disclosed by Cleo Software on October 27th. The provided patch does not fully resolve the issue affecting versions of Cleo Harmony, LexiCom, and VLTrader prior to 5.8.0.21. There is evidence that this vulnerability is being exploited in the wild.
⚠️ Of note, successful exploitation of this vulnerability potentially allows remote code execution and requires access to the Cleo web server.
👏 Thanks for @rk for this Rapid Response post!
👉 Use runZero to find potentially vulnerable systems in minutes without rescanning: https://www.runzero.com/blog/cleo-software/
I'd imagine this is gonna change about three times an hour at the rate new info (and intel) is being shared, but Rapid7 is also investigating a bunch of incidents related to this. Our MDR folk have confirmed successful exploitation in customer environments and observed enumeration and post-exploitation behavior similar to what @huntress has already shared. https://www.rapid7.com/blog/post/2024/12/10/etr-widespread-exploitation-of-cleo-file-transfer-software-cve-2024-50623/
Rapid7 say "As of December 10, Rapid7 MDR has confirmed successful exploitation of this issue in customer environments; similar to Huntress, our team has observed enumeration and post-exploitation activity and is investigating multiple incidents." https://www.rapid7.com/blog/post/2024/12/10/etr-widespread-exploitation-of-cleo-file-transfer-software-cve-2024-50623/
In Cleo Harmony before 5.8.0.21, VLTrader before 5.8.0.21, and LexiCom before 5.8.0.21, there is an unrestricted file upload and download that could lead to remote code execution.
Threat Advisory: Oh No Cleo! Cleo Software Actively Being Exploited in the Wild
⚠️Vulnérabilité critique exploitée dans les logiciels de transfert de fichiers Cleo
Des attaquants exploitent activement des failles dans les logiciels de Cleo (Harmony, VLTrader, LexiCom) pour infiltrer les systèmes des entreprises.
Ces vulnérabilités incluent :
CVE-2024-50623 : Téléchargement et exécution de fichiers sans restriction, permettant l'installation de backdoors.
+
Exploit Autorun (Exécution de commandes arbitraires via des paramètres par défaut non sécurisés.
🔴 Impact :
Attaquer ransomware
👇
https://cyberplace.social/@GossiTheDog/113628339890303857Accès non autorisé
Possibilité d'exfiltration des données
Les chercheurs de Huntress ont identifié des compromissions dès le 3 décembre, avec une intensification des attaques le 8 décembre.
👇
https://www.huntress.com/blog/threat-advisory-oh-no-cleo-cleo-software-actively-being-exploited-in-the-wild
(Selon Onyphe et Shodan des instances publiques des logiciels Cleo sont aussi exposées en Europe)
[Advisory]
👇
https://support.cleo.com/hc/en-us/articles/27140294267799-Cleo-Product-Security-Advisory-CVE-2024-50623
"Widespread exploitation of Cleo file transfer software (CVE-2024-50623)"
👇
https://www.rapid7.com/blog/post/2024/12/10/etr-widespread-exploitation-of-cleo-file-transfer-software-cve-2024-50623/
Dans les news infosec
⬇️
Attackers actively exploiting flaw(s) in Cleo file transfer software (CVE-2024-50623)
👇
https://www.helpnetsecurity.com/2024/12/10/cve-2024-50623-cleo-file-transfer-software-vulnerabilities-exploited/
CVE-2024-54143
- 4 Posts
- 31 Interactions
CVE Info
Fediverse
Open source router firmware project fixes dusty old code.
The #OpenWrt project had to scramble to fix a critical vulnerability last week: The built-in firmware updater could be persuaded to install malicious code. But now it’s all fixed, the team can talk about it.
A Japanese researcher discovered OpenWrt used an incredibly weak hash; it also failed to sanitize inputs. In #SBBlogwatch, we make code not war. At @TechstrongGroup’s @SecurityBlvd: https://securityboulevard.com/2024/12/openwrt-cve-2024-54143-richixbw/?utm_source=richisoc&utm_medium=social&utm_content=richisoc&utm_campaign=richisoc
"OpenWrt developers were only able to verify the build logs for the past seven days. … Users [should do] in-place upgrades to the same version to eliminate any possibility of being affected": Critical OpenWrt Bug: Update Your Gear! https://securityboulevard.com/2024/12/openwrt-cve-2024-54143-richixbw/?utm_source=richisoc&utm_medium=social&utm_content=richisoc&utm_campaign=richisoc
#OpenWrt Sysupgrade flaw let #hackers push malicious firmware images
This was discovered by security researcher "RyotaK," tracked as CVE-2024-54143, was fixed within hours by OpenWRT developers. A vulnerability in how the input handling mechanism could allow arbitrary command injection.
No evidence of exploitation by threat actors according to OpenWRT (though, this scope is only limited to builds no older than 7 days), but users are encouraged to perform checks to ensure their firmware isn't malicious.
Exemple de réactivité communautaire exemplaire ! GG à l'équipe OpenWrt ! 💪
⬇️
Le 4 décembre 2024, suite au signalement confidentiel de RyotaK (Flatt Security), l'équipe OpenWrt a réagi en 3h pour :
⚙️ Désactiver le service vulnérable sysupgrade.openwrt.org
🔧 Appliquer un correctif
🛠️ Réinitialiser les serveurs affectés
( Aucune preuve d'exploitation de la CVE-2024-54143 sur les images officielles de downloads.openwrt.org ni d'impact sur les customs à partir de la v24.10.0-rc2. )
Si vous utilisez une instance ASU ( https://github.com/openwrt/asu ) publique/auto-hébergée, mettez là à jour pour éliminer tout risque résiduel! 🔄
Détails :
📜 Annonce OpenWrt
⬇️
Attended Sysupgrade Server CVE-2024-54143
👇
https://lists.openwrt.org/pipermail/openwrt-announce/2024-December/000061.html
🔍 Analyse complète Flatt Security (loved-it: comment bien faire chauffer une RTX 4090 avec hashcat :) )
⬇️
"Compromising OpenWrt Supply Chain via Truncated SHA-256 Collision and Command Injection"
👇
https://flatt.tech/research/posts/compromising-openwrt-supply-chain-sha256-collision/
📰 Dans les news infosec
👇
https://www.bleepingcomputer.com/news/security/openwrt-sysupgrade-flaw-let-hackers-push-malicious-firmware-images/
CVE-2024-11633
- 2 Posts
- 57 Interactions
CVE Info
Fediverse
Re CVE-2024-11633 ("Argument injection in Ivanti Connect Secure before version 22.7R2.4") ...
it "allows a remote authenticated attacker with admin privileges to achieve remote code execution"
(emphasis mine)
... should this warrant a 9.1 (Critical) ?
I mean, I guess if someone steals the creds for your admin user and then uses it to implant something under the hood, that would be bad, so ... maybe so.
CVE-2020-12271
KEV- 4 Posts
- 20 Interactions
CVE Info
Fediverse
U.S. Treasury: Treasury Sanctions Cybersecurity Company Involved in Compromise of Firewall Products and Attempted Ransomware Attacks
Related to DOJ toot above. The Department of the Treasury's Office of Foreign Assets Control (OFAC) is sanctioning cybersecurity company Sichuan Silence Information Technology Company, Limited (Sichuan Silence), and one of its employees, Guan Tianfeng, both based in People's Republic of China (PRC), for their roles in the April 2020 compromise of tens of thousands of firewalls worldwide. Many of the victims were U.S. critical infrastructure companies.
Between April 22 and 25, 2020, Guan Tianfeng used this zero-day exploit to deploy malware to approximately 81,000 firewalls owned by thousands of businesses worldwide. The purpose of the exploit was to use the compromised firewalls to steal data, including usernames and passwords. However, Guan also attempted to infect the victims' systems with the Ragnarok ransomware variant. This ransomware disables anti-virus software and encrypts the computers on a victim's network if they attempt to remedy the compromise.
Sichuan Silence is a Chengdu-based cybersecurity government contractor whose core clients are PRC intelligence services.
h/t: @metacurity ; cc: @nattothoughts
#china #sichuansilence #cyberespionage #zeroday #vulnerability #CVE_2020_12271 #pacificrim #sophos #infosec #cybersecurity #cyberthreatintelligence #cti #threatintel #GuanTianfeng #sanctions #treasury #doj
U.S. Department of Justice: China-Based Hacker Charged for Conspiring to Develop and Deploy Malware That Exploited Tens of Thousands of Firewalls Worldwide
Chinese national Guan Tianfeng was charged in connection with the mass exploitation of Sophos firewalls in 2020. Guan and his co-conspirators worked at the offices of Sichuan Silence Information Technology Co. Ltd., developing and subsequently exploiting a then-zero-day vulnerability CVE-2020-12271 (CVSSv3.0: perfect 10.0 🥳 @cR0w) Sophos SFOS SQL Injection Vulnerability.
According to court documents, Guan worked for Sichuan Silence, a PRC-based private company that has provided services to the PRC Ministry of Public Security, among other PRC organizations.
Sophos discovered the intrusion and remediated its customers' firewalls in approximately two days, which caused the co-conspirators to modify their malware. As modified, the malware was designed to deploy encryption software from a ransomware variant in the event the victims attempted to remove the malware.
See related Sophos "Pacific Rim" investigation: Pacific Rim: Inside the Counter-Offensive—The TTPs Used to Neutralize China-Based Threats. Also view the @nattothoughts blog post Sichuan Silence Information Technology: Great Sounds are Often Inaudible.
#china #sichuansilence #cyberespionage #zeroday #vulnerability #CVE_2020_12271 #pacificrim #sophos #infosec #cybersecurity #cyberthreatintelligence #cti #threatintel #GuanTianfeng
U.S. Department of State Rewards for Justice: Sichuan Silence Information Technology
People's Republic of China (PRC)-based Sichuan Silence Information Technology Co. Ltd. (Sichuan Silence) has provided services to China's Ministry of Public Security, among other Chinese government agencies. In 2020, Chinese national Guan Tianfeng and other employees of Sichuan Silence developed and tested intrusion techniques prior to deploying malicious software that allowed them to exploit a zero-day vulnerability in certain Sophos firewalls CVE-2020-12271 (CVSSv3.0: 10.0 critical). Sichuan Silence used the exploit to infiltrate approximately 81,000 firewall devices, infecting them with malware designed to not only retrieve and exfiltrate data from firewalls and computers behind them, but also encrypt files on infected computers if a victim attempted to remediate the infection.
#china #sichuansilence #cyberespionage #zeroday #vulnerability #CVE_2020_12271 #pacificrim #sophos #infosec #cybersecurity #cyberthreatintelligence #cti #threatintel #GuanTianfeng #sanctions #treasury #doj
U.S. Department of State: U.S. Takes Action in Response to Compromise of Firewall Products
The United States is imposing sanctions today on the Chengdu-based cybersecurity company Sichuan Silence Information Technology Company, Limited (Sichuan Silence), and one of its employees, Guan Tianfeng, for their roles in the compromise of tens of thousands of firewalls worldwide, including firewalls at U.S. critical infrastructure companies. Concurrently, the U.S. Department of State announced a Rewards for Justice reward offer of up to $10 million for information about Sichuan Silence or Guan. The Department of Justice also unsealed an indictment of Guan.
#china #sichuansilence #cyberespionage #zeroday #vulnerability #CVE_2020_12271 #pacificrim #sophos #infosec #cybersecurity #cyberthreatintelligence #cti #threatintel #GuanTianfeng #sanctions #treasury #doj
CVE-2024-53247
- 2 Posts
- 9 Interactions
CVE Info
Fediverse
@screaminggoat CVE-2024-53247 is because of an insecure usage of the jsonpickle library. Someone needs to create an exploit and name it PickleMilker.
Happy #PatchTuesday from Splunk:
- SVD-2024-1201 Information Disclosure in Mobile Alert Responses in Splunk Secure Gateway (CVE-2024-53243, 4.3 medium)
- SVD-2024-1202 Risky command safeguards bypass in "/en-US/app/search/report" endpoint through "s" parameter (CVE-2024-53244, 5.7 medium)
- SVD-2024-1203 Information Disclosure due to Username Collision with a Role that has the same Name as the User (CVE-2024-53245, 3.1 low)
- SVD-2024-1204 Sensitive Information Disclosure through SPL commands (CVE-2024-53246, 5.3 medium)
- SVD-2024-1205 Remote Code Execution through Deserialization of Untrusted Data in Splunk Secure Gateway app (CVE-2024-53247, 8.8 high)
- SVD-2024-1206 Third-Party Package Updates in Splunk Enterprise - December 2024 (multiple CVEs)
- SVD-2024-1207 Third-Party Package Updates in Splunk Universal Forwarder - December 2024 (CVE-2024-5535, 9.1 critical)
No verbiage of exploitation.
CVE-2024-26923
- 1 Post
- 5 Interactions
CVE Info
Fediverse
Happy #PatchTuesday from F5: K000148931: Linux kernel vulnerability CVE-2024-26923
CVE-2024-26923 (7.0 high) af_unix: Fix garbage collector racing against connect() An authenticated local attacker may be able to exploit this vulnerability to escalate privileges on the system. Impacted product is Traffix SDC 5.2.0 and fixes are introduced in ...none. It's not marked as End of Life, so I guess F5 just don't care? 🤷
CVE-2024-49138
KEV- 2 Posts
- 19 Interactions
CVE Info
Fediverse
CISA: CISA Adds One Known Exploited Vulnerability to Catalog
CVE-2024-49138 (7.8 high) Microsoft Windows Common Log File System (CLFS) Driver Heap-Based Buffer Overflow Vulnerability
This additional information was not disclosed in Microsoft's security advisory (see parent toot above).
#microsoft #CVE_2024_49138 #clfs #byovd #cisa #kev #cisakev #knownexploitedvulnerabilitiescatalog #vulnerability #eitw #activeexploitation #infosec #cybersecurity
Happy #PatchTuesday from Microsoft: 71 new vulnerabilities, ONE ZERO-DAY:
- CVE-2024-49138 (7.8 high) Windows Common Log File System Driver Elevation of Privilege Vulnerability (PUBLICLY DISCLOSED, EXPLOITED)
Update for CVE-2024-38033 (7.3 high, from 09 July 2024) PowerShell Elevation of Privilege Vulnerability was reissued a patch for all affected versions of Windows Server 2012 and Windows Server 2012 R2.
The Microsoft data arrived almost 10 minutes early.
#microsoft #msrc #vulnerability #cve #infosec #cybersecurity
CVE-2024-21944
- 1 Post
- 3 Interactions
CVE Info
Fediverse
#BadRAM / #CVE_2024_21944 #vulnerability seems quite far fetched to me. If your trust model includes #AMDSEV you hopefully also have assurances of physical security.
https://arstechnica.com/information-technology/2024/12/new-badram-attack-neuters-security-assurances-in-amd-epyc-processors/
CVE-2024-21542
- 1 Post
- 2 Interactions
CVE Info
Fediverse
Damn, another Luigi down: https://nvd.nist.gov/vuln/detail/CVE-2024-21542
CVE-2023-41990
KEV- 1 Post
CVE Info
Fediverse
"Triangulating TrueType Fonts On macOS: Reconstructing CVE-2023-41990" (Aleksandar Nikolic )
Fonts are so much more complicated than I thought. To handle low-resolution displays, fonts could specify how they should be displayed when they scaled up and down. This complicated code allowed for an out-of-bounds memory write.
CVE-2024-47578
- 1 Post
CVE Info
Fediverse
SAP released security patches for 16 vulnerabilities, including a critical SSRF bug in NetWeaver (Adobe Document Services). The bug, CVE-2024-47578, could lead to full system compromise if exploited. Users are advised to apply the security notes as soon as possible.
https://www.securityweek.com/sap-patches-critical-vulnerability-in-netweaver/
CVE-2024-38033
- 1 Post
- 14 Interactions
CVE Info
Fediverse
Happy #PatchTuesday from Microsoft: 71 new vulnerabilities, ONE ZERO-DAY:
- CVE-2024-49138 (7.8 high) Windows Common Log File System Driver Elevation of Privilege Vulnerability (PUBLICLY DISCLOSED, EXPLOITED)
Update for CVE-2024-38033 (7.3 high, from 09 July 2024) PowerShell Elevation of Privilege Vulnerability was reissued a patch for all affected versions of Windows Server 2012 and Windows Server 2012 R2.
The Microsoft data arrived almost 10 minutes early.
#microsoft #msrc #vulnerability #cve #infosec #cybersecurity
CVE-2024-8190
KEV- 1 Post
- 54 Interactions
CVE Info
Fediverse
CVE-2024-8963
KEV- 1 Post
- 54 Interactions
CVE Info
Fediverse
CVE-2024-9380
KEV- 1 Post
- 54 Interactions
CVE Info
Fediverse
CVE-2024-9381
- 1 Post
- 54 Interactions
CVE Info
Fediverse
CVE-2024-9379
KEV- 1 Post
- 54 Interactions
CVE Info
Fediverse
CVE-2024-23113
KEV- 1 Post
- 3 Interactions
CVE Info
Fediverse
Heads up: If you've used the https://github.com/puckiestyle/CVE-2024-23113 for testing Fortinet systems vulnerable to #CVE_2024_23113: The code is broken and does not reliably check for the #vulnerability. #infosec #cybersecurity
CVE-2024-11205
- 1 Post
- 1 Interaction
CVE Info
Fediverse
CVE-2024-11205: WPForms Plugin Vulnerability Exposes 6 Million WordPress Sites to Financial Risk
https://thecyberexpress.com/cve-2024-11205-vulnerability/?utm_source=flipboard&utm_medium=activitypub
Posted into Cybersecurity Today @cybersecurity-today-rhudaur
CVE-2024-21893
KEV- 2 Posts
CVE Info
Fediverse
Operation Digital Eye: il primo attacco cinese che sfrutta Visual Studio Code come C2
Sintesi
- Da fine giugno a metà luglio 2024, un presunto autore di minacce con legami con la Cina ha preso di mira grandi fornitori di servizi IT B2B nell’Europa meridionale, un cluster di attività che abbiamo soprannominato “Operation Digital Eye”.
- Le intrusioni avrebbero potuto consentire agli avversari di stabilire punti di appoggio strategici e compromettere le entità a valle. SentinelLabs e Tinexta Cyber hanno rilevato e interrotto le attività nelle loro fasi iniziali.
- Gli autori della minaccia hanno utilizzato una capacità di movimento laterale indicativa della presenza di un fornitore condiviso o di un quartiermastro digitale che si occupa della manutenzione e del provisioning degli strumenti all’interno dell’ecosistema APT cinese.
- Gli autori della minaccia hanno sfruttato in modo improprio Visual Studio Code e l’infrastruttura Microsoft Azure per scopi C2, tentando di eludere il rilevamento facendo apparire legittime le attività dannose.
- La nostra visibilità suggerisce che l’abuso di Visual Studio Code per scopi C2 era stato relativamente raro in natura prima di questa campagna. Operation Digital Eye segna il primo caso di un presunto gruppo APT cinese che utilizza questa tecnica che abbiamo osservato direttamente.
Panoramica
Tinexta Cyber e SentinelLabs hanno monitorato le attività di minaccia che hanno preso di mira i provider di servizi IT business-to-business nell’Europa meridionale. Sulla base del malware, dell’infrastruttura, delle tecniche utilizzate, della vittimologia e della tempistica delle attività, è altamente probabile che questi attacchi siano stati condotti da un attore di minacce China-nexus con motivazioni di cyberspionaggio.
Le relazioni tra i paesi europei e la Cina sono complesse, caratterizzate da cooperazione, competizione e tensioni sottostanti in settori quali commercio, investimenti e tecnologia. I gruppi di cyberspionaggio sospetti legati alla Cina prendono spesso di mira organizzazioni pubbliche e private in tutta Europa per raccogliere informazioni strategiche, ottenere vantaggi competitivi e promuovere interessi geopolitici, economici e tecnologici.
La campagna di attacco, che è stata soprannominata Operation Digital Eye, si è svolta da fine giugno a metà luglio 2024, per una durata di circa tre settimane. Le organizzazioni prese di mira forniscono soluzioni per la gestione di dati, infrastrutture e sicurezza informatica per clienti di vari settori, il che le rende obiettivi primari per gli attori del cyberspionaggio.
Una presenza sostenuta all’interno di queste organizzazioni fornirebbe agli attori di Operation Digital Eye un punto d’appoggio strategico, creando opportunità di intrusioni nella supply chain digitale e consentendo loro di esercitare il controllo sui processi IT critici all’interno delle entità compromesse a valle. Gli attacchi sono stati rilevati e interrotti durante le loro fasi iniziali.
Il gruppo esatto dietro Operation Digital Eye rimane poco chiaro a causa dell’ampia condivisione di malware, manuali operativi e processi di gestione delle infrastrutture all’interno del panorama delle minacce cinesi. Gli autori delle minacce hanno utilizzato una capacità pass-the-hash, probabilmente proveniente dalla stessa fonte delle modifiche Mimikatz personalizzate closed-source osservate esclusivamente in presunte attività di cyberspionaggio cinese, come Operation Soft Cell e Operation Tainted Love. Il malware e gli strumenti utilizzati in queste campagne sono stati collegati a diversi gruppi APT cinesi distinti. Ci riferiamo collettivamente a queste modifiche Mimikatz personalizzate come mimCN.
L’evoluzione a lungo termine e il versioning dei campioni mimCN, insieme a caratteristiche notevoli come le istruzioni rilevate per un team separato di operatori, suggeriscono il coinvolgimento di un fornitore condiviso o di un quartier generale digitale responsabile della manutenzione attiva e della fornitura di strumenti. Questa funzione all’interno dell’ecosistema APT cinese, corroborata dalla fuga di notizie I-Soon, probabilmente svolge un ruolo chiave nel facilitare le operazioni di cyberspionaggio China-nexus.
L’abuso di Visual Studio Code Remote Tunnels per scopi C2 è centrale in questa campagna. Originariamente progettata per abilitare lo sviluppo remoto, questa tecnologia fornisce un accesso completo agli endpoint, inclusa l’esecuzione dei comandi e la manipolazione del file system. Inoltre, il tunneling di Visual Studio Code coinvolge eseguibili firmati da Microsoft e dall’infrastruttura di rete di Microsoft Azure, entrambi spesso non monitorati attentamente e in genere consentiti dai controlli delle applicazioni e dalle regole del firewall. Di conseguenza, questa tecnica potrebbe essere difficile da rilevare e potrebbe eludere le difese di sicurezza. In combinazione con l’accesso completo agli endpoint che fornisce, ciò rende il tunneling di Visual Studio Code una capacità attraente e potente da sfruttare per gli attori delle minacce.
Tinexta Cyber e SentinelLabs hanno informato Microsoft dell’abuso di Visual Studio Code e dell’infrastruttura di Azure in relazione all’operazione Digital Eye.
Vettore di infezione e progressione dell’attacco
Gli aggressori hanno utilizzato l’iniezione di SQL (Structured Query Language) come vettore di accesso iniziale per infiltrarsi nei server Web e nei database connessi a Internet. Le intestazioni User-Agent delle richieste nei registri del traffico Web recuperate indicano che gli aggressori hanno utilizzato lo strumento sqlmap per automatizzare il rilevamento e lo sfruttamento delle vulnerabilità di iniezione di SQL.
Per stabilire un punto d’appoggio iniziale e mantenere un accesso persistente, gli autori della minaccia hanno distribuito una webshell basata su PHP. Relativamente semplice nella progettazione e nell’implementazione, la webshell utilizza la funzione assert per eseguire il codice PHP fornito dall’aggressore. La sua implementazione non assomiglia ad altre webshell con cui si ha familiarità. A questa webshell è stato dato il di PHPsert.
Per mascherare i file che implementano PHPsert e tentare di eludere il rilevamento in base all’attività del file system, gli aggressori hanno utilizzato nomi personalizzati su misura per gli ambienti infiltrati, facendo apparire legittimi i nomi dei file. Ciò includeva l’utilizzo della lingua locale e di termini allineati al contesto tecnologico delle organizzazioni prese di mira.
Dopo aver stabilito un punto d’appoggio iniziale, gli autori della minaccia hanno condotto una ricognizione utilizzando una varietà di strumenti di terze parti e utilità Windows integrate, come GetUserInfo e ping. Hanno anche distribuito lo strumento local.exe, che fa parte del Microsoft Windows NT Resource Kit e consente di visualizzare le appartenenze ai gruppi di utenti.
Per rubare le credenziali, gli aggressori hanno utilizzato lo strumento CreateDump per estrarre la memoria allocata al processo Local Security Authority Subsystem Service (LSASS) ed esfiltrare le credenziali. CreateDump fa parte della distribuzione di Microsoft .NET Framework. Gli autori della minaccia hanno anche recuperato le credenziali dal database Security Account Manager (SAM), che hanno estratto dal Registro di sistema di Windows utilizzando il comando reg save.
Gli attori della minaccia spesso nominano i file che distribuiscono utilizzando il pattern do.*. Esempi includono do.log (output dai comandi ping), do.exe (lo strumento CreateDump) e do.bat(uno script che esegue ed elimina l’eseguibile CreateDump).
Dagli endpoint inizialmente compromessi, gli aggressori si sono spostati lateralmente attraverso la rete interna, utilizzando principalmente connessioni RDP (Remote Desktop Protocol) e tecniche pass-the-hash. Per gli attacchi pass-the-hash, hanno utilizzato una versione modificata personalizzata di Mimikatz, implementata in un eseguibile denominato bK2o.exe.
Oltre alla webshell PHPsert, gli autori della minaccia hanno utilizzato due metodi per l’esecuzione di comandi remoti: l’accesso SSH, abilitato authorized_keys distribuendo file contenenti chiavi pubbliche per l’autenticazione, e Visual Studio Code Remote Tunnels.
Visual Studio Code Remote Tunnels, basato sulla tecnologia dev tunnel di Microsoft, consente agli sviluppatori di accedere e lavorare su sistemi remoti. Questo accesso include il terminale di comando e il file system, consentendo attività come l’esecuzione di comandi e la modifica di file. Gli attori di Operation Digital Eye hanno abusato di questa funzionalità per mantenere un accesso backdoor persistente ai sistemi compromessi.
Nel tentativo di eludere il rilevamento basato sull’attività del file system, gli autori della minaccia hanno utilizzato %System[url=https://www.redhotcyber.com/post/la-storia-della-superuser-la-storia-di-root]Root[/url]%\Temp e %ProgramData%\Visual Studio Code come directory di lavoro principali per l’archiviazione di strumenti e dati. %SystemRoot%\Temp è una directory in cui Windows archivia i file temporanei e spesso viene monitorata con minore attenzione. %ProgramData%\Visual Studio Code doveva apparire come una directory legittima associata a Visual Studio Code.
Le intrusioni sono state rilevate e interrotte prima che gli aggressori potessero procedere con fasi successive, come l’esfiltrazione dei dati.
Abuso di Visual Studio Code
Gli autori della minaccia hanno distribuito un eseguibile portatile di Visual Studio Code denominato code.exe, che è firmato digitalmente da Microsoft, e hanno utilizzato lo strumento winsw per eseguirlo come servizio Windows. Il file di configurazione winsw che è stato recuperato indica che gli aggressori hanno creato un servizio denominato Visual Studio Code Service, che viene eseguito code.exe con il parametro tunnel della riga di comando a ogni avvio del sistema.
Il file di configurazione rivela un approccio pragmatico da parte degli attori della minaccia, che hanno probabilmente modificato una configurazione disponibile al pubblico winsw. Ciò è suggerito dall’uso dell’identificativo myapp del servizio e della directory %BASE%\logs per l’archiviazione dei file winsw di registro, entrambi presenti nel file di configurazione pubblico e in quello recuperato.
file di configurazione winsw
Il parametro tunnel ordina a Visual Studio Code di creare un tunnel di sviluppo e di agire come server a cui gli utenti remoti possono connettersi. Dopo l’autenticazione al tunnel con un account Microsoft o GitHub, gli utenti remoti possono accedere all’endpoint che esegue il server di Visual Studio Code, tramite l’applicazione desktop di Visual Studio Code o la versione basata su browser, vscode.dev.
Dopo aver creato i tunnel di sviluppo, gli autori della minaccia si sono autenticati tramite account GitHub e hanno avuto accesso agli endpoint compromessi tramite la versione basata su browser di Visual Studio Code. Non si sa ancora se gli autori della minaccia abbiano utilizzato l’account GitHub auto registrato o compromesso per autenticarsi nei tunnel.
Infrastruttura di rete
Gli autori dell’Operazione Digital Eye hanno utilizzato infrastrutture situate esclusivamente in Europa, provenienti dal provider M247 e dalla piattaforma Cloud Microsoft Azure. Ciò faceva probabilmente parte di una strategia deliberata. Poiché le organizzazioni prese di mira hanno sede e operano in Europa, gli aggressori potrebbero aver cercato di ridurre al minimo i sospetti allineando la posizione della loro infrastruttura a quella dei loro obiettivi. Inoltre, l’infrastruttura Cloud comunemente utilizzata nei flussi di lavoro IT legittimi, come Microsoft Azure, spesso non è monitorata attentamente ed è frequentemente consentita tramite restrizioni firewall. Sfruttando l’infrastruttura Cloud pubblica per scopi dannosi, gli aggressori hanno fatto apparire legittimo il traffico, il che può essere difficile da rilevare e potrebbe eludere le difese di sicurezza.
Nelle fasi iniziali degli attacchi, gli autori della minaccia hanno utilizzato il server con indirizzo IP 146.70.161[.]78 per stabilire l’accesso iniziale rilevando e sfruttando le vulnerabilità di SQL injection, e il server con indirizzo IP 185.76.78[.]117 per gestire la webshell PHPsert. Entrambi gli indirizzi IP sono assegnati al provider di infrastrutture M247 e si trovano rispettivamente in Polonia e Italia.
Nelle fasi successive degli attacchi, gli autori della minaccia hanno utilizzato il server con indirizzo IP 4.232.170[.]137 per scopi C2 quando accedevano da remoto agli endpoint compromessi tramite il protocollo SSH. Questo server fa parte dell’infrastruttura Azure di Microsoft nella region del data center ( intervallo IP Azure :, tag di servizio 🙂 . Al momento non si hanno informazioni sul fatto che gli autori della minaccia abbiano utilizzato credenziali Azure auto-registrate o compromesse per accedere e gestire le risorse e 4.232.128[.]0/18 i servizi Azure learn.microsoft.com/en-us/azur…AzureCloud.italynorth.
L’abuso del tunneling di Visual Studio Code per scopi C2 si basa anche sull’infrastruttura di Microsoft Azure. La creazione e l’hosting di un tunnel di sviluppo richiedono la connessione a un server Microsoft Azure con un dominio di *.[clusterID].devtunnels.ms, dove [clusterID]corrisponde alla regione di Azure dell’endpoint che esegue il server di Visual Studio Code, come euw per West Europe. In Operation Digital Eye, la creazione di tunnel di sviluppo ha comportato l’instaurazione di connessioni al server con il dominio [REDACTED].euw.devtunnels[.]ms, che si è risolto nell’indirizzo IP 20.103.221[.]187. Questo server fa parte dell’infrastruttura di Microsoft Azure nella regione West Europe del data center (intervallo IP di Azure: 20.103.0[.]0/16, tag di servizio: AzureCloud.westeurope).
La Webshell PHPsert
PHPsert esegue il codice PHP fornito dall’attaccante utilizzando la funzione assert, che, nelle versioni PHP precedenti alla 8.0.0, interpreta ed esegue stringhe di parametri come codice PHP. Per ostacolare l’analisi statica ed eludere il rilevamento, la webshell utilizza varie tecniche di offuscamento del codice, tra cui la codifica XOR, la rappresentazione dei caratteri esadecimali, la concatenazione di stringhe e nomi di variabili randomizzati.
Implementazione PHPsert
La webshell PHPsert funziona come segue:
- PHPsert istanzia una classe con un singolo metodo regolare, che decodifica tramite XOR e concatena i caratteri esadecimali per generare la stringa assert. Il distruttore della classe (il metodo magico __destruct) usa questa stringa per invocare la funzione assert, passando il codice PHP fornito dall’attaccante come parametro.
- La webshell recupera il codice PHP fornito dall’attaccante da un parametro di richiesta HTTP POST, ad esempio, momomomo. Se il parametro id è presente nell’URL della richiesta, PHPsert decodifica il valore codificato in Base64 del parametro POST. Se il parametro id è assente, la webshell utilizza il valore raw del parametro.
- Infine, quando PHPsert termina l’esecuzione, viene richiamato il distruttore della classe, che a sua volta richiama la funzione assert per eseguire il codice PHP fornito dall’aggressore.
Abbiamo identificato diverse varianti di PHPsert, che sono state inviate a piattaforme di condivisione di malware da maggio 2023, da varie località tra cui Giappone, Singapore, Perù, Taiwan, Iran, Corea e Filippine. Queste varianti mostrano solo piccole differenze nella loro implementazione, come nomi di variabili e parametri di richiesta POST come mr6, brute, e qq. L’analisi suggerisce che PHPsert è distribuito non solo come file PHP autonomo, ma è anche integrato in vari tipi di contenuti Web, tra cui editor di testo Web e sistemi di gestione dei contenuti.
Una delle varianti di PHPsert contiene frammenti di codice commentati in cinese semplificato che descrivono il codice vicino. Questi commenti e frammenti non sono presenti nelle versioni di PHPsert osservate in Operation Digital Eye, né in nessuna delle altre varianti della webshell. Di seguito sono riportati i commenti del codice, tutti tradotti automaticamente dal cinese semplificato:
- 结果是"assert", che si traduce in The result is "assert".
- 验证 $this->rg 是否安全, che si traduce in Verify that $this->rg is safe.
- 验证和清理用户输入, che si traduce in Validating and sanitizing user input.
Frammenti di codice PHPsert con commenti in cinese
La presenza di questi commenti, insieme agli indicatori di codice rimosso nelle varianti di PHPsert, suggerisce il potenziale coinvolgimento di sviluppatori di lingua cinese che potrebbero aver semplificato la logica di esecuzione della webshell.
Capacità di Pass-the-Hash
L’eseguibile bK2o.exe (una versione modificata personalizzata di Mimikatz utilizzata in Operation Digital Eye per gli attacchi pass-the-hash) consente l’esecuzione di processi all’interno del contesto di sicurezza di un utente sfruttando un hash di password NTLM compromesso, bypassando la necessità della password effettiva dell’utente. Per ottenere ciò, bK2o.exe sovrascrive la memoria del processo LSASS. Lo strumento supporta i seguenti parametri della riga di comando:
- /c: Processo da eseguire; cmd.exe se non specificato, il valore predefinito è .
- /u: Nome utente dell’utente.
- /d: Il dominio dell’utente.
- /h: Hash della password NTLM.
bK2o.exe implementa una tecnica pass-the-hash sovrascrivendo la memoria LSASS in modo simile a Mimikatz, con la sua implementazione parzialmente sovrapposta alle funzioni Mimikatz come kuhl_m_sekurlsa_pth_luide kuhl_m_sekurlsa_msv_enum_cred_callback_pth. In sintesi, bK2o.exe esegue quanto segue:
- Crea un processo sospeso in una nuova sessione di accesso, specificando il processo fornito dall’aggressore, il nome utente, il dominio e una password vuota.
- In base all’identificatore univoco locale (LUID) della sessione, individua ed estrae dalla memoria del processo LSASS un blob di dati di credenziali crittografati contenente l’hash NTLM dell’utente e le chiavi di crittografia necessarie per decrittografare il blob.
- Decrittografa il blob di dati, sovrascrive l’hash NTLM dell’utente con l’hash fornito dall’aggressore e crittografa nuovamente il blob di dati.
- Riprende il processo sospeso.
bK2o.exe crea un nuovo processo e recupera il LUID della sessione di accesso
Per navigare nella memoria LSASS, bK2o.exe usa le firme di codice, rappresentate come sequenze di byte in formato esadecimale. Queste sequenze corrispondono a istruzioni LSASS note, che servono come punti di navigazione all’interno della memoria.
Per ostacolare l’analisi statica ed eludere il rilevamento, bK2o.exe offusca le firme del codice e le stringhe costruendole dinamicamente sullo stack in fase di esecuzione, anziché memorizzarle come dati statici.
bK2o.exe costruisce la firma del codice 33 ff 41 89 37 4c 8b f3 […] sullo stack
Dall’operazione Digital Eye a Tainted Love e Soft Cell
Sono stati quindi identificati altri due campioni e caricati su piattaforme di condivisione malware che costruiscono firme di codice sullo stack, che si chiamano wsx1.exe e wsx1.exe. Come bK2o.exe, entrambi wsx.exe e wsx1.exe sono versioni personalizzate modificate di Mimikatz e implementano la funzionalità pass-the-hash.
Segmenti di codice sostanziali in wsx.exe e wsx1.exe, che implementano la costruzione di firme di codice sullo stack, si sovrappongono a quelli in bK2o.exe, includendo dimensioni mov e valori di operandi di istruzione identici. Ciò suggerisce che wsx.exe, wsx1.exe, e bK2o.exe sono molto probabilmente derivati dalla stessa fonte.
Segmento di codice in bK2o.exe Segmento di codice in wsx1.exe
A loro volta, si è osservato sovrapposizioni tra i componenti wsx.exe, wsx1.exe e mim221. mim221 è uno strumento che esegue un “antifurto” di credenziali ben gestito e con più versioni, nonché una versione modificata personalizzata di Mimikatz, che SentinelLabs ha osservato nell’operazione Tainted Love, una campagna che ha preso di mira i fornitori di servizi di telecomunicazioni in Medio Oriente nel 2023.
Si è quindi attribuito Operation Tainted Love a un presunto gruppo cinese di cyberspionaggio all’interno del nesso tra Granite Typhoon (precedentemente noto come Gallium) e APT41, pur riconoscendo la possibilità di condivisione di strumenti tra attori di minacce sponsorizzati dallo stato cinese e il potenziale coinvolgimento di un fornitore condiviso o di un quartiermastro digitale. Si sta valutando che mim221 rappresenti un’evoluzione degli strumenti associati a Operation Soft Cell, come simplify_32.exe . Operation Soft Cell, che ha preso di mira i provider di telecomunicazioni nel 2017 e nel 2018, è stata collegata a Granite Typhoon e sono state suggerite anche possibili connessioni tra gli attori di Soft Cell e APT41.
mim221 ha un’architettura multi-componente, con un singolo eseguibile che organizza tre componenti — pc.dll, AddSecurityPackage64.dll, e getHashFlsa64.dll— usando tecniche come la decrittazione, l’iniezione e il caricamento di immagini riflettenti. Questi componenti condividono diverse sovrapposizioni con bK2o.exe, wsx.exe, e wsx1.exe.
Per ostacolare l’analisi statica, alcuni componenti mim221 offuscano anche le stringhe costruendole sullo stack in fase di esecuzione. Inoltre, i componenti mim221 AddSecurityPackage64.dlle getHashFlsa64.dll implementano la registrazione degli errori simile a quella di wsx.exe e wsx1.exe, inclusi messaggi di errore personalizzati identici, un formato di output coerente e gli stessi errori in lingua inglese.
Messaggi di errore in wsx.exe e wsx1.exe
Inoltre, le informazioni RTTI (Run-Time Type Information) memorizzate in wsx.exe, wsx1.exe, e nel componente mim221 getHashFlsa64.dll rivelano che classi con gli stessi nomi sono dichiarate in questi eseguibili. Non abbiamo osservato questi nomi di classe in strumenti open source o disponibili al pubblico.
L'articolo Operation Digital Eye: il primo attacco cinese che sfrutta Visual Studio Code come C2 proviene da il blog della sicurezza informatica.
Socks5Systemz : 250.000 dispositivi nella botnet che fornisce proxy anonimi ai criminali
Negli ultimi anni, le botnet hanno rappresentato una delle minacce più insidiose e difficili da contrastare nel panorama della cybersicurezza. Tra queste, una delle più persistenti e sofisticate è senza dubbio Socks5Systemz, una botnet attiva sin dal 2013. Questa rete malevola alimenta un servizio proxy illegale noto come PROXY.AM, utilizzando dispositivi compromessi per fornire a criminali informatici una rete anonima con cui occultare le loro attività illecite.
Indagini attraverso la threat Intelligence permettono di comprendere meglio l’ampiezza di questa minaccia e i meccanismi alla base del suo funzionamento. Vediamo come questa botnet è strutturata, quali sono le sue implicazioni sulla sicurezza globale e perché rappresenta un rischio concreto e costante.
Cos’è una Botnet e Come Funziona Socks5Systemz
Una botnet è una rete di dispositivi infettati da malware e controllati da remoto da un attaccante, noto come botmaster. I dispositivi compromessi, spesso chiamati bot o zombie, possono includere computer, smartphone, router e persino dispositivi IoT. L’attaccante utilizza questa rete per svolgere attività malevole come inviare spam, lanciare attacchi DDoS o, come nel caso di Socks5Systemz, fornire servizi di proxy anonimi.
La botnet Socks5Systemz ha una caratteristica distintiva: trasforma i dispositivi infetti in nodi di uscita proxy. Ciò significa che il traffico internet dei cybercriminali può essere instradato attraverso questi dispositivi, rendendo estremamente difficile risalire alla vera origine degli attacchi. Questo tipo di infrastruttura è fondamentale per garantire l’anonimato degli attaccanti e rendere le loro attività quasi impossibili da tracciare.
Il Servizio Proxy Illegale PROXY.AM
La botnet Socks5Systemz supporta il funzionamento di un servizio proxy illegale noto come PROXY.AM. Secondo il rapporto di The Hacker News, questo servizio offre ai cybercriminali l’accesso a proxy privati e anonimi dietro pagamento di una quota mensile che varia tra 126 e 700 dollari. PROXY.AM pubblicizza i suoi servizi come:
- “Elite” proxy server, garantendo elevate prestazioni e anonimato.
- “Privati” e “anonimi”, assicurando che le connessioni siano sicure e non tracciabili.
I clienti di PROXY.AM possono utilizzare questi proxy per nascondere le proprie attività malevole, come campagne di phishing, furti di dati, frodi online e diffusione di malware.
Declino e Rinascita della Botnet
Dal 2013, la botnet ha subito diverse trasformazioni. Inizialmente, contava circa 250.000 dispositivi compromessi. Tuttavia, grazie alle azioni delle autorità e alla perdita parziale di controllo da parte dei suoi gestori, la rete si è ridotta. Attualmente, si stima che la botnet sia composta da circa 85.000 dispositivi infetti, che continuano a essere utilizzati come nodi di uscita per il servizio PROXY.AM. Questo declino è stato seguito da una fase di ricostruzione, dimostrando la resilienza e la capacità di adattamento dei botmaster.
Analisi della Struttura della Botnet
L’immagine allegata fornisce una chiara rappresentazione visiva delle interconnessioni tra i vari elementi della botnet. Vediamo alcuni punti salienti:
Nodo Centrale: Socks5Systemz
- Socks5Systemz è il fulcro della rete, il nodo principale da cui si diramano numerose connessioni.
- Questo nodo controlla e gestisce il traffico che viene instradato attraverso i dispositivi infetti.
Servizi Collegati
- PROXY.AM e proxyam.one sono servizi direttamente collegati a Socks5Systemz. Essi rappresentano l’infrastruttura utilizzata per vendere accessi proxy ai criminali informatici.
- Questi servizi sono indicati come fonti di traffico malevolo, offrendo connessioni anonime e private per attività illegali.
Paesi Colpiti
Dalla mappa della rete, è evidente che la botnet colpisce dispositivi in diverse parti del mondo. I paesi più colpiti includono:
- India
- Indonesia
- Ucraina
- Brasile
- Bangladesh
- Federazione Russa
- Messico
- Stati Uniti
- Nigeria
Questi paesi fungono da base per i dispositivi compromessi che vengono utilizzati come nodi proxy, permettendo al traffico malevolo di apparire come proveniente da queste aree.
Implicazioni per la Sicurezza Informatica
L’esistenza di una botnet come Socks5Systemz evidenzia diverse criticità e implicazioni per la sicurezza globale:
- Difficoltà nel Tracciamento degli Attaccanti:
Poiché gli attaccanti utilizzano dispositivi compromessi come nodi di uscita proxy, risalire alla loro identità diventa estremamente difficile. Questo complica le indagini e favorisce l’impunità dei cybercriminali. - Frode e Criminalità Organizzata:
Servizi come PROXY.AM facilitano attività criminali su larga scala, inclusi attacchi di phishing, frodi finanziarie e campagne di spam. Il costo relativamente basso per l’accesso a questi servizi rende la criminalità informatica accessibile anche a individui con risorse limitate. - Rischi per le Vittime Inconsapevoli:
I dispositivi compromessi spesso appartengono a utenti ignari. Questi dispositivi possono essere utilizzati per scopi malevoli senza che i proprietari se ne accorgano, esponendoli a potenziali conseguenze legali e compromettendo la loro privacy. - Minacce per le Aziende:
Le aziende possono subire attacchi originati da queste reti proxy, mettendo a rischio dati sensibili, reputazione e stabilità operativa.
Come Proteggersi dalle Botnet
Per contrastare minacce come Socks5Systemz, è fondamentale adottare buone pratiche di sicurezza informatica:
- Mantenere sempre aggiornati i sistemi operativi e il software per ridurre le vulnerabilità sfruttabili dai malware.
- Utilizzare antivirus e soluzioni di sicurezza avanzate per rilevare e bloccare attività sospette.
- Monitorare il traffico di rete per individuare comportamenti anomali, come connessioni non autorizzate a server esterni.
- Eseguire backup regolari dei dati per mitigare i danni in caso di compromissione.
- Educare gli utenti sui rischi delle email di phishing e dei download non sicuri.
La botnet Socks5Systemz e il servizio proxy illegale PROXY.AM rappresentano una minaccia persistente e sofisticata per la sicurezza informatica globale. La capacità di questa rete di adattarsi e sopravvivere nel tempo dimostra quanto sia difficile contrastare efficacemente queste infrastrutture malevole. La collaborazione internazionale e l’adozione di misure preventive sono essenziali per mitigare l’impatto di queste minacce e proteggere utenti e aziende dagli attacchi dei cybercriminali.
L'articolo Socks5Systemz : 250.000 dispositivi nella botnet che fornisce proxy anonimi ai criminali proviene da il blog della sicurezza informatica.
CVE-2024-50393
- 1 Post
CVE Info
Fediverse
CVE-2024-5535
- 1 Post
- 5 Interactions
CVE Info
Fediverse
Happy #PatchTuesday from Splunk:
- SVD-2024-1201 Information Disclosure in Mobile Alert Responses in Splunk Secure Gateway (CVE-2024-53243, 4.3 medium)
- SVD-2024-1202 Risky command safeguards bypass in "/en-US/app/search/report" endpoint through "s" parameter (CVE-2024-53244, 5.7 medium)
- SVD-2024-1203 Information Disclosure due to Username Collision with a Role that has the same Name as the User (CVE-2024-53245, 3.1 low)
- SVD-2024-1204 Sensitive Information Disclosure through SPL commands (CVE-2024-53246, 5.3 medium)
- SVD-2024-1205 Remote Code Execution through Deserialization of Untrusted Data in Splunk Secure Gateway app (CVE-2024-53247, 8.8 high)
- SVD-2024-1206 Third-Party Package Updates in Splunk Enterprise - December 2024 (multiple CVEs)
- SVD-2024-1207 Third-Party Package Updates in Splunk Universal Forwarder - December 2024 (CVE-2024-5535, 9.1 critical)
No verbiage of exploitation.