Самые громкие события инфобеза за апрель 2023 года

Всем привет! Это наш традиционный дайджест самых громких новостей информационной безопасности за ушедший месяц. Апрель был богат на интересные события: двойная атака на цепочку поставок от северокорейцев из Lazarus, перехват ФБР Genesis Market, взлом MSI с далеко идущими последствиями, новинки от мира малвари под MacOs… Об этом и других главных апрельских новостях из мира инфобеза читайте ниже!

Двойная атака на цепочку поставок от Lazarus

В начале месяца появились интересные подробности недавней атаки по 3CX. Так, выяснилось, что злоумышленники из Lazarus закидывали бэкдор в криптокомпании. Исследователи обнаружили Gopuram, визитную карточку северокорейских хакеров, на некоторых заражённых машинах. При этом их было меньше десятка, так что бэкдор засылали с хирургической точностью. На фоне этого массовая рассылка инфостилера, как считают исследователи, выглядит как разведоперация для поиска нужных целей с полноценным бэкдором в качестве конечной нагрузки.

Об успешности атаки пока судить рано. Но крупные криптокражи сезона 2023 от северокорейских стахановцев вполне могут стать последствиями этой атаки. Кроме того, анализ сетей показал, что северокорейцы работали над этой операцией ещё с осени прошлого года. И здесь взлом 3CX отметился кое чем ранее в диких сетевых дебрях не встречавшимся: к атаке на цепочку поставок по компании привела… другая атака на цепочку поставок от Lazarus.

А началось всё с того, что злоумышленники скомпрометировали установщик софта для трейдинга X_Trader, который в 2022-м установил сотрудник 3CX. А его взломанный компьютер уже привёл к пошедшей через софт 3CX атаке – уже через пару дней после установки софта Lazarus впервые заглянули на машину сотрудника. А в дальнейшем скомпрометировали девелоперскую среду компании и устроили через неё следующую атаку на цепочку поставок. Исследователи из Mandiant сообщили, что видят такое впервые.

Помимо этого, позже выяснилось, что скомпрометированные версии X_Trader попали и в другие компании, а сама атака, прошедшая с сентября по ноябрь 2022-го года, затронула в том числе и критическую инфраструктуру. Как сообщили исследователи, скомпрометированы оказались две энергетические компании и две неназванных трейдинговых фирмы. Между тем северокорейцам надо отдать должное – они не перестают удивлять. Эй, приятель, мы слышали, тебе нравятся атаки на цепочку поставок…

Взлом MSI с далеко идущими последствиями

В ушедшем месяце MSI подтвердила ударившую по компании рансомварь-атаку. За ней стояла новая группировка Money Message, информация о которой появилась совсем недавно. Злоумышленники утверждают, что стянули 1,5TB документов, ключей и исходников, включая прошивку. Группировка потребовала $4 миллиона, угрожая через несколько дней опубликовать украденное на своём сайте.

Компания, конечно, пытается сохранить лицо и отрицала какой-либо серьёзный ущерб своим системам. Подробностями атаки они тоже не спешила делиться. Между тем в сухом заявлении MSI интересно было другое: настойчивый призыв к юзерам ставить обновления BIOS/прошивки только с официального сайта. Так что было очевидно, что исходники компании действительно оказались в руках у злоумышленников. Что, конечно, пользователям MSI ничего хорошего не сулит в форме вредоноса в липовых обновлениях прошивки, которые в скором времени могут начать циркулировать по сети.

И на днях подоспели первые последствия недавнего взлома: не получив выкупа от компании, злоумышленники выложили исходники в открытый доступ, и среди них ключи для прошивки самой MSI (57 штук) и от Intel Boot Guard (166 штук). Утёкшие ключи могут быть использованы злоумышленниками для подписи малвари в UEFI-буткитах. Ключевая проблема в том, что ключи зашиты в интеловское железо и сменить их нельзя. Так что одним взломом Intel Boot Guard превращается в тыкву – скомпрометированы модели MSI на процессорах с 11 по 13 поколения.

Между тем исследователи ещё в процессе разбора слива и обнаружили в нём, например, интеловский OEM-ключ, которым, как утверждают безопасники из Binarly, подписаны устройства от HP, Lenovo, AOPEN, CompuLab… Иными словами, утечка затрагивает не только модели от самой MSI, но, судя по всему, также и продукты компаний по всей индустрии. И её масштабы ещё только предстоит оценить, в то время как упомянутые техгиганты не спешат комментировать проблему, а Intel отделалась только сухим отчётом, что начала расследование по следам утечки. К слову, Fwhunt.run обнаруживает подписанные слитыми ключами прошивки. Так что все желающие могут проверить своё устройство на предмет скомпрометированного ключа.

Genesis Market перехвачен ФБР

В начале апреля ФБР перехватило домены Genesis Market, крупного маркета по торговле паролями и данными, украденными инфостилерами с миллионов компьютеров по всему миру. Маркет торговал ботами с логами, куки и отпечатками браузеров со скомпрометированных устройств. На март 2023-го на продажу были выставлены почти полмиллиона ботов. Самыми дорогими, естественно, были устройства с доступом к Coinbase и прочим финансовым платформам. Сама же киберпреступная платформа была активна с 2018-го года.

Genesis Market отметился несколькими инновациями и громкими взломами. Так, взлом EA в июне 2021-го – и стянутые затем исходники – произошёл благодаря боту с маркета за 10 баксов с доступом к Slack-аккаунту компании. А из инновационных наработок площадки можно отметить, к примеру, Genesis Security, настраиваемый плагин для веб-браузера, который позволял браузеру злоумышленников имитировать практически все важные аспекты устройства жертвы, от размера экрана и частоты обновления до уникальной строки агента пользователя, привязанной к браузеру жертвы.

Однако теперь история Genesi Market подошла к концу: в первые дни месяца можно было в прямом эфире наблюдать, как в США и других странах выдают десятки ордеров на арест операторов и брокеров маркета. Ну а заглушка от любителей чертовски хорошего кофе жизнерадостно призывает всех желающих сдать ФБР администраторов сайта. В общем, операция «Cookie Monster» полностью состоялась.

Анализ кода на основе ИИ-модели от VirusTotal

В ушедшем месяце на VirusTotal запустили новую фичу по анализу кода на основе языковой модели. Работающий на Google Cloud Security AI Workbench инструмент, получивший название Code Insight, анализирует файлы на предмет вредоносного поведения, причём работает независимо от антивирусного скана. Что в свою очередь позволяет в отдельных случаях выловить зловред и в ложноотрицательных результатах.

Пока новая фича работает только по некоторым PowerShell-файлам и пропускает ранее анализированные и слишком большие файлы для экономии ресурсов. Кроме того, точность результатов может варьироваться. Тем не менее, интеграция языковой модели в анализ кода уже сейчас позволит улучшить обнаружение угроз. На скрине пример обнаружения искусственным уже-почти-не-болванчиком инфостилера в файле, который ни один из антивирусов на VirusTotal не задетектил. А здесь Code Insight описывает бота для кражи токенов в Discord.

За развитием инструмента будет как минимум любопытно следить. В статье по следам его запуска можно посмотреть другие примеры детального разбора моделью различных вредоносных файлов.

MacOS под прицелом у злоумышленников

Апрель принёс любопытные новости, касающиеся MacOs. Так, исследователи наткнулись на наработки LockBit, представляющие из себя раннюю версию энкриптора под яблочные системы. Архив с образцами зловреда обнаружился на VirusTotal, а разработка рассчитана и под новые Маки на Apple Silicon, и под старые версии. Что, собственно, делает LockBit первой крупной рансомварь-группировкой, нацелившейся на Макось.

Между тем обнаруженное исследователями – это пока очень ранние тестовые билды, набитые отсылками на VMware ESXi и расширения файлов под Windows. Более того, энкриптор крашится из-за бага на переполнение буфера, не подписан и не учитывает TCC/SIP. Так что сначала злоумышленникам предстоит придумать как обойти TCC и заверить энкриптор, прежде чем он пойдёт в работу.

Представитель LockBit же заявил журналистам, что рансомварь под MacOs находится в активной разработке. Но пока неясно, увидим ли мы от этого какой-то выхлоп в будущем. В случае если наработки группировки превратятся в полноценную рансомварь, целями злоумышленников, увы, станут простые пользователи и малый бизнес.

В дополнение к разработкам LockBit в апреле всплыла ещё одна заслуживающая упоминания малварь под MacOs. Как оказалось, атомными бывают не только кошельки, но и инфостилеры: под macOS засветился новый вредонос Atomic, он же AMOS. Распространяют его через Телеграм в виде dmg-файла за солидный ценник в 1000 долларов в месяц. Веб-панель между тем висит на ru-домене.

Малварь написана на Go и при запуске выдаёт фейковое окно под кражу системного пароля. А затем тянет пароли с Keychain, файлы с Desktop и Documents, плюс данные, куки и кредитки из браузеров. А заодно и данные с 50 криптоприложений и кошельков. В веб-панели брутфорсер под MetaMask, установщик дополнительных dmg, функционал под крипту и отправка логов в Телеграм. Свежая версия от 25 апреля, так что малварь в активной разработке.

Между тем и энкриптор от Lockbit, и упомянутая выше малварь продолжают тревожный тренды криптостилеров и прочего зловреда под MacOS, которых становится всё больше. Стоит упомянуть, что в атаке на цепочку поставок по 3CX Lazarus тоже использовали вредонос под MacOS, ранее не замеченный в их арсенале. Как считают исследователи, в дальнейшем мы увидим больше малвари под яблочные системы, становящиеся всё более привлекательной нишей для всевозможных злоумышленников.

Владелец прокси-сервиса Faceless обзавёлся лицом

И напоследок классика OSINT-расследований по владельцам киберпреступных сервисов от Брайана Кребса. В апреле лицо появилось у Faceless, работающего на малвари прокси-сервиса, который уже семь лет обеспечивает анонимностью злоумышленников. Ну а владельцем Faceless является MrMurza, наш соотечественник, на которого Кребс, предположительно, нарыл всю подноготную, тщательно изучив оставленные им за последние десять лет в интернете следы.

MrMurza был замечен на многих российских киберпреступных площадках как минимум с сентября 2012-го года. Он занимался работой по ботнетам и дропам, был активен на хакерском форуме Verified, и в 2016-м начал пиарить Faceless среди пользователей iSocks. В слитой же переписке с Verified MrMurza упомянул другой свой ник и аккаунт в закрытой в 2013-м электронной платёжной системе Liberty Reserve. Собственно, с этого аккаунта и привязанного к нему ящика началось путешествие Брайана Кребса по следам героя этой истории.

По цепочке профилей, сообщений, ящиков и паролей Кребс вышел на некоего Дениса Викторовича Панкова. На предполагаемого владельца Faceless нашлись и фото, и дата рождения, и открытые ИП, и зарегистрированное авто в Подмосковье. Герой истории постил о проксях и брутфорсе на хакерских форумах под ником Gaihnik25, был забанен в WoT за ботоводство и искал любовь на сайтах знакомств под игривым прозвищем Дэнчик. В общем, жил активной полноценной жизнью. На вопросы Кребса по всем адресам товарищ, увы, не ответил, но, должно быть, знатно удивился. Подробнее о Дэнчике со всеми подробностями и детальной схемой его аккаунтов и паролей читайте в отчёте.