Информзащита выпустила рекомендации в связи с утечкой из АНБ

Информзащита выпустила рекомендации в связи с утечкой из АНБ

Информзащита выпустила рекомендации в связи с утечкой из АНБ

В пятницу 14 апреля в сети Интернет был обнаружен архив, состоящий из большого количества неизвестных до этого момента эксплойтов. Архив состоит из трех основных частей, которые относятся к операционной системе Windows, к системе международных платежей SWIFT и к некой системе ODDJOB.

В части анализа папки SWIFT можно предположить, что это копия части рабочих материалов проекта JEEPFLEA_MARKET. В ней содержится информация об инфраструктуре SWIFT Service Bureau of the Middle East: EastNets, а именно:

  • конфигурационные файлы сетевого оборудования, в которых указаны учетные записи, пароли администраторов и пользователей, ключи IPSec для публичных IP, признаки использования незащищенных протоколов, например, telnet, а также признаки использования ресурсов, относящихся\подключенных к системе SWIFT;
  • полное описание доменной инфраструктуры, включая домены, поддомены, хосты, группы пользователей;
  • SQL-скрипты для получения информации из БД Oracle о пользователях, правах, сообщениях формата SWIFT;
  • рабочие записи, включая ресурсы, статус получения доступа к ним, атрибуты доступа;
  • рабочие материалы АНБ для подготовки презентации о статусе\результатах проекта.

По результатам анализа этих материалов, эксперты компании «Информзащита» предполагают, что речь идет об инфраструктуре компании www.eastnets.com. На это указывает адресация. EastNets Group – международная компания, специализирующаяся на создании программного обеспечения для финансовых организаций. Компания тесно сотрудничает со SWIFT, участвуя в разработке продуктов, решений и технологических платформ. Также удалось выяснить, что проект JEEPFLEA_MARKET стартовал в 2012 и продолжался как минимум до августа 2013 года, и в ходе проекта был получен полный доступ к ИТ-инфраструктуре исследуемой организации.

В свою очередь EastNets Group заявила, что провела полную проверку и не обнаружила уязвимостей, признаков компрометации и взлома.

Анализ папки, касающейся ОС Windows, показал, что найденные эксплойты используют множество уязвимостей, в том числе и уязвимости широко использующегося протокола SMB. Все предоставленные эксплойты доступны в сети Интернет для пользователей, не обладающих специальными навыками и знаниями.

Пример таких эксплойтов, а также закрывающих уязвимости обновлений приведен ниже:

Eclipsedwing — Удаленное выполнение кода (RCE) для SMB. Microsoft Windows 2000, Windows XP, Windows Server 2003. Обновление безопасности: MS08–67.

Educatedscholar — Удаленное выполнение кода (RCE) для SMBv2. Windows Vista (SP0, SP1), Windows Server 2008 SP2 (x64, x86). Обновление безопасности: MS09–050.

Emeraldthread — Удаленное выполнение кода (RCE) для службы очереди печати принтера через RPC. Атакующий должен быть аутентифицирован в домене. Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 и Windows Server 2008 R2. Обновление безопасности: MS10–061.

Eskimoroll — Эксплойт, направленный на контроллер домена и использующий Kerberos для повышения привилегий с обычного пользователя домена до доменного администратора. Windows Server 2000, 2003, 2008 и 2008 R2. Обновление безопасности: MS14–068.

Отдельно стоит отметить эксплойты, для которых обновления безопасности работают частично, либо не будут выпущены вообще:

Esteemaudit — Удаленное выполнение кода (RCE) в RDP (Remote Desktop). Эксплуатирует уязвимость в аутентификации по смарт-карте. Устанавливает имплант (бэкдор). Windows XP, Windows Server 2003. Вероятнее всего уязвимость относится к типу 0day, обновление безопасности выпущено не будет, т.к. системы больше не поддерживаются.

Etternalblue - Удаленное выполнение кода (RCE) для SMBv1. Подвержена любая система Windows, начиная с Windows XP и заканчивая Windows 10 и Windows Server 2016. Обновление безопасности: MS17-010. Уязвимость не будет закрыта для Windows XP и Windows Server 2003.

Eternalromance - Удаленное выполнение кода (RCE) для SMBv1. Подвержена любая система Windows, начиная с Windows XP и заканчивая Windows 10 и Windows Server 2016. Обновление безопасности: MS17-010. Уязвимость не будет закрыта для Windows XP и Windows Server 2003.

Eternalsynergy — Удаленное выполнение кода (RCE) для SMBv1. Подвержена любая система Windows, начиная с Windows XP и заканчивая Windows 10 и Windows Server 2016. Обновление безопасности: MS17-010. Уязвимость не будет закрыта для Windows XP и Windows Server 2003.

Explodingcan — Удаленное выполнение кода (RCE) в Microsoft IIS 6. Эксплуатирует уязвимость в WebDav. Windows Server 2003. Для данной уязвимости обновление безопасности не будет выпущено.

Eternalchampion — Удаленное выполнение кода (RCE) для SMBv1. Степень подтвержденности не установлена, работает на Windows XP, 7, Windows Server 2008. Обновление безопасности: MS17-010. Уязвимость не будет закрыта для Windows XP и Windows Server 2003.

Englishmansdentist — Эксплойт Exchange/OWA. На данный момент не исследован, возможно является 0day.

Erraticgopher — Удаленное выполнение кода (RCE) в SMB. Windows XP, Windows Server 2003. Вероятнее всего уязвимость относится к типу 0day, обновление безопасности выпущено не будет, т.к. системы больше не поддерживаются.

Компания «Информзащита» рекомендует всем организациям и банковскому сектору в частности принять необходимые меры для защиты своих ресурсов и обеспечения информационной безопасности.

Особенное внимание следует уделить следующим рекомендациям:

  1. До момента выпуска официального обновления безопасности от Microsoft для ОС Windows 7 и выше, запретить использование трех протоколов:
    • протокол SMB ver1 и ver2
    • протокол RDP
    • протокол WebDAV
  1. установить обновления систем безопасности для защиты внешнего периметра.
  2. произвести внеочередное резервное копирование критичных информационных ресурсов
  3. проверить защищенность сервисов удаленного доступа
  4. выполнить сканирование ресурсов на предмет наличия указанных уязвимостей и отсутствия установленных обновлений
  5. произвести внеочередную смену паролей для учетных записей с административными полномочиями, это относится также и к сетевому оборудованию, настроить безопасные методы доступа и провести аудит текущих настроек и аккаунтов.
  6. обновить сигнатуры на используемых средствах защиты и проверить функционирование всех средств защиты, в частности систем сигнатурного и эвристического анализа.

В долгосрочной перспективе (НЕ более одной недели) рекомендуется рассмотреть возможность отказа от использования ОС Windows XP и Windows Server 2003, поскольку компания Microsoft больше не обеспечивает поддержку этих операционных систем и не выпускает для них обновления безопасности. В случае если это невозможно, необходимо провести мероприятия по защите операционной системы с использованием средств защиты класса IPS, антивирусов и средств защиты от таргетированных атак.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Инфостилер Jarka прожил год на PyPI под видом инструментов интеграции ИИ

Эксперты «Лаборатории Касперского» нашли на PyPI два схожих пакета, якобы реализующих доступ к API популярных ИИ-моделей — GPT-4 Turbo и Claude AI. Анализ показал, что истинной целью в обоих случаях является внедрение зловреда JarkaStealer.

Вредоносные библиотеки gptplus и claudeai-eng были загружены в репозиторий Python-кодов в ноябре прошлого года, притом из-под одного и того же аккаунта. До удаления с подачи Kaspersky их скачали более 1700 раз пользователи из 30 стран (в основном жители США, Китая, Франции, Германии и России).

 

Описания содержали инструкции по созданию чатов для ИИ-ботов и примеры работы с большими языковыми моделями (БЯМ, LLM). Для имитации заявленной функциональности в код был встроен механизм взаимодействия с демопрокси ChatGPT.

При запуске параллельно происходит загрузка с GitHub файла JavaUpdater.jar — инфостилера Jarka. При отсутствии у жертвы софта Java с Dropbox скачивается JRE.

Внедряемый таким образом вредонос умеет выполнять следующие действия в системе:

  • собирать системную информацию;
  • воровать информацию из браузеров;
  • прерывать процессы Google Chrome и Microsoft Edge (чтобы вытащить сохраненные данные);
  • отыскивать сессионные токены в Telegram, Discord, Steam, чит-клиенте Minecraft;
  • делать скриншоты.

Украденные данные архивируются и передаются на C2-сервер. После этого файл с добычей удаляется с зараженного устройства, чтобы скрыть следы вредоносной активности.

Как оказалось, владельцы JarkaStealer продают его в Telegram по модели MaaS (Malware-as-a-Service, «вредонос как услуга»), однако за доступ уже можно не платить: исходники были опубликованы на GitHub. В рекламных сообщениях и коде зловреда обнаружены артефакты, позволяющие заключить, что автор стилера владеет русским языком.

«Обнаруженная кампания подчёркивает постоянные риски, связанные с атаками на цепочки поставок, — отметил эксперт Kaspersky GReAT Леонид Безвершенко. — При интеграции компонентов с открытым исходным кодом в процессе разработки критически важно проявлять осторожность. Мы рекомендуем организациям внедрять строгую проверку целостности кода на всех этапах разработки, чтобы убедиться в легитимности и безопасности внешнего программного обеспечения или внешних компонентов».

Тем, кто успел скачать gptplus или claudeai-eng, рекомендуется как можно скорее удалить пакет, а также обновить все пароли и сессионные токены.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru