Έναςερευνητής τεχνητής νοημοσύνης της Microsoft διέρρευσε κατά λάθος δεκάδες terabytes ευαίσθητων δεδομένων, συμπεριλαμβανομένων μυστικών κλειδιών και κωδικών πρόσβασης, ενώ δημοσίευσε έναν κάδο αποθήκευσης δεδομένων εκπαίδευσης ανοικτού κώδικα στο GitHub. Σε μια έρευνα που μοιράστηκε με το TechCrunch, η νεοσύστατη εταιρεία ασφάλειας cloud Wiz δήλωσε ότι ανακάλυψε το αποθετήριο GitHub που ανήκε στο τμήμα έρευνας AI της Microsoft στο πλαίσιο των συνεχιζόμενων εργασιών της σχετικά με την τυχαία έκθεση δεδομένων που φιλοξενούνται στο cloud.
Οι αναγνώστες του αποθετηρίου GitHub, το οποίο παρέχει κώδικα ανοικτού κώδικα και μοντέλα AI για την αναγνώριση εικόνων, έλαβαν οδηγίες να κατεβάσουν τα μοντέλα από μια διεύθυνση URL Azure Storage. Ωστόσο, η Wiz ανακάλυψε ότι αυτή η διεύθυνση URL είχε ρυθμιστεί ώστε να δίνειάδειαπρόσβασης σε ολόκληρο το λογαριασμό αποθήκευσης, εκθέτοντας κατά λάθος περαιτέρωπροσωπικά δεδομένα.
Τα δεδομένα περιλάμβανανκωδικούςπρόσβασης για υπηρεσίες της Microsoft, μυστικάκλειδιά και άλλα ευαίσθητα προσωπικά δεδομένα, συμπεριλαμβανομένων περισσότερων από 30.000 εσωτερικών μηνυμάτων του Microsoft Teams από εκατοντάδες υπαλλήλους της Microsoft.
Σύμφωναμετην Wiz, οιδιευθύνσειςURLστιςοποίες δημοσιεύθηκαν αυτά τα δεδομένα μετά το 2020είχανρυθμιστεί λανθασμένα ώστε να επιτρέπουν δικαιώματα “Πλήρους ελέγχου” αντί για “Μόνο για ανάγνωση”, γεγονόςπουθαμπορούσεναεπιτρέψεισεοποιονδήποτεήξερε πού να κοιτάξει να διαγράψει, να αντικαταστήσει ή να εισάγει κακόβουλο περιεχόμενο Ηεταιρεία δήλωσε ότι αυτό συνέβη.
Η Wiz επισημαίνει ότι ο λογαριασμός αποθήκευσης δεν ήταν άμεσα εκτεθειμένος-ταSAStokensείναι ένας μηχανισμός τηςAzure που επιτρέπει στους χρήστες να δημιουργούν κοινόχρηστους συνδέσμους γιαπρόσβαση σε δεδομένα στολογαριασμότους Azure Storage.
Η Wiz κοινοποίησετα ευρήματά της στηMicrosoft στις 22 Ιουνίου και η Microsoft δήλωσεότισυνέλεξετα κουπόνια SAS δύο ημέρες αργότερα, στις 24 Ιουνίου. Η Microsoft δήλωσε ότι ολοκλήρωσε την έρευνά της σχετικά με τις πιθανές οργανωτικές επιπτώσεις στις 16 Αυγούστου. Σε μια ανάρτηση στο blog που μοιράστηκε με το TechCrunch πριν από τη δημοσίευση, το Κέντρο Απόκρισης Ασφάλειας της Microsoft δήλωσε ότι “δεν εκτέθηκαν δεδομένα πελατών ωςαποτέλεσμααυτούτουπροβλήματοςκαιδενπαραβιάστηκανάλλεςεσωτερικέςυπηρεσίες.“Ωςαποτέλεσμα της έρευνας της Wiz, ηMicrosoftεπιβεβαίωσεότιτοGitHub‘sSecret Spanning Service, η οποία,όπως είπε, είχε επεκταθεί. Η υπηρεσία παρακολουθεί τις αλλαγές σεόλους τους δημόσιους κώδικες ανοικτού κώδικα καιδημοσιεύειδιαπιστευτήριακαι άλλαμυστικά σε απλό κείμενο, συμπεριλαμβανομένωντωνμαρκώνSAS που ενδέχεται να έχουν υπερβολικά επιτρεπτικέςημερομηνίεςλήξηςκαι δικαιώματα.
Δημιουργία ψεύτικου DOX για να προστατέψετε τον εαυτό σας
Σε αυτό το άρθρο θα σας δείξω πόσο εύκολο είναι να φτιάξετε ένα ψεύτικο δικό σας DOX για να κάνετε τη ζωή του “χακερ” ή του επιτήδειου που θέλει να βρει πληροφορίες για εσάς, ακόμα πιο δύσκολη.
Θα πω αρχικά τι είναι το DOX-ing
DOX-ing είναι η διαδικασία συγκέντρωσης πληροφοριών για ένα άτομο.Αυτό μπορεί να γίνει διαδικτυακά,μέσω τηλεφώνου ή και face2face.
Οι πληροφορίες που συλλέγει ένας DOX-er για το θύμα του μπορεί να περιέχουν όνομα,τηλέφωνο,e-mail,IP,στοιχεία σύνδεσης από διάφορους λογαριασμούς,διεύθυνση κατοικίας και πάρα πολλά ακόμα!
Όλες αυτές οι πληροφορίες συγκρουτούν ένα DOX.
Το DOX δηλαδή μπορούμε να πούμε ότι είναι και το “έγγραφο” με τις προσωπικές πληροφορίες κάποιου. Αφού κάποιος μαζέψει τις προσωπικές σας πληροφορίες θα τις μοιράσει δημόσια. Θα τις ανεβάσει δηλαδή σε δημόσιες ιστοσελίδες για να μπορεί να διαβάσει τις πληροφορίες σας ο οποιοσδήποτε. Τέτοιες σελίδες μπορεί να είναι το pastebin,το skidpaste,το doxbin και άλλες.
Έχουμε και λέμε λοιπόν.
Έχοντας “δώσει” δημόσια ένα DOX για τον εαυτό σας,με ψεύτικες όμως πληροφορίες,ο επιτήδιος όταν θα προσπαθεί να βρει πληροφορίες για να φτιάξει το DOX σας(να σας DOΧ-άρει δηλαδή) θα βρει ένα ήδη υπάρχων DOX.
Έε,εννοείτε ότι θα μπερδευτεί και θα πάρει πληροφορίες από το ήδη υπάρχων DOX.Επίσης μπορεί να τις συγκρίνει με τις πληροφορίες που έχει ήδη για να δει εαν συμπίπτουν.
Καλό είναι στο ψεύτικο DOX σας να βάλετε και κάποιο αληθινό σας στοιχείο, όπως όνομα,ηλικία,πόλη…κάτι δηλαδή πολύ γενικό(Όχι IP,e-mails,διαδικτιακούς λογαριασμούς επειδή μέσα από αυτα είναι εύκολο να βρει και άλλα!!)
Αν όμως διαθέτετε λογαριασμούς online,μέσω των οποίων ο επιτήδειάς μπορεί να βρει και άλλα στοιχεία μην το κάνετε!
Αν για παράδειγμα γράψετε στο DOX σας ότι λέγεστε Μιχάλης και ότι γεννηθήκατε 01/01/1990 και ότι ζείτε στη Καβάλα,ο επιτήδιως αν τυχαία σας βρει σε κάποια ιστοσελίδα online(π.χ. facebook) και δει ότι όλα αυτά τα στοιχεία συμπίπτουν θα υποψιαστεί ότι μπορεί να είστε εσείς ο τύπος που ψάχνει.
Έτσι μέσω του λογαριασμού στο Facebook σας θα βρει ακόμα περισσότερες πληροφορίες όπως διευθυνση,ενδιαφέροντα,φίλοι,e-mail κλπ κλπ.
Γιάυτό προσοχή!
Ένα ψεύτικο DOX μοιάζει κάπως έτσι:
Όπως βλέπετε αυτό είναι ένα αρκετά μικρό DOX.Δεν περιέχει δηλαδή πολλές πληροφορίες.
Ένα πιο “καλο” και αναλυτικότερο DOX περιέχει πολύ περισσότερες πληροφορίες όπως πιο προσωπικά στοιχεία.
Δεν μας ενδιαφέρει άμα θα φτιάξετε ένα ψεύτικο αναλυτικότατο DOX ή ένα πολύ γενικό με λίγες(και πάλι ψεύτικες)πληροφορίες.
Αρκεί να προσέξετε αυτά που σας είπα.Μπορεί να χρειαστεί αλλά μπορεί και να μην χρειάζεται να βάζετε αληθινές σας πληροφορίες στο ψεύτικο DOX.
Κάτι άλλο που πρέπει να προσέξετε είναι ότι καλό είναι το DOX σας να το γράφετε στα Αγγλικά και άμα το ανεβάσετε στο pastebin αν είστε σίγουροι ότι δεν είστε δυνδεδεμένοι στο λογαριασμό σας στο pastebin.
Μην φτιάξετε πολλά διαφορετικά DOX επειδή ο επιτηδείως θα υποψιαστεί ότι το έχετε κάνει ο ίδιος εσκεμένα.
Ανεβάστε το ψεύτικο DOX σας σε πολλές free paste ιστοσελίδες.
Αυτά από εμένα.Αν έχετε σκοπό να δημιουργήσετε κάποτε ένα ψεύτικο DOX για τον εαυτό σας,καλό είναι να το κάνετε όσο το δυνατόν νωρίτερα για να φαίνεται και πιο παλιό όταν ο άλλος θα ψάξει να βρει στοιχεία σας.
Οι ToddyCat χάκερς στοχεύσουν τις ασιατικές τηλεπικοινωνίες
Μια πρόσφατα ανακαλυφθείσα καμπάνια με την ονομασία “Stayin’ Alive” στοχεύει κυβερνητικούς οργανισμούς και παρόχους τηλεπικοινωνιακών υπηρεσιών σε ολόκληρη την Ασία από το 2021, χρησιμοποιώντας μια μεγάλη ποικιλία κακόβουλου λογισμικού “μίας χρήσης” για να αποφύγει την ανίχνευση.
Οι περισσότεροι από τους στόχους της εκστρατείας που είδε η εταιρεία κυβερνοασφάλειας Check Point εδρεύουν στο Καζακστάν, το Ουζμπεκιστάν, το Πακιστάν και το Βιετνάμ, ενώ η εκστρατεία βρίσκεται ακόμη σε εξέλιξη.
Οι επιθέσεις φαίνεται να προέρχονται από τον κινεζικό παράγοντα κατασκοπείας που είναι γνωστός ως “ToddyCat”, ο οποίος βασίζεται σε μηνύματα spear-phishing που μεταφέρουν κακόβουλα συνημμένα αρχεία για να φορτώσει μια ποικιλία φορτωτών κακόβουλου λογισμικού και backdoors.
Οι ερευνητές εξηγούν ότι οι απειλητικοί φορείς χρησιμοποιούν πολλούς διαφορετικούς τύπους προσαρμοσμένων εργαλείων, τα οποία πιστεύουν ότι είναι μιας χρήσης για να αποφύγουν την ανίχνευση και να αποτρέψουν τη σύνδεση των επιθέσεων μεταξύ τους.
“Το ευρύ σύνολο εργαλείων που περιγράφονται στην παρούσα έκθεση είναι κατά παραγγελία και πιθανότατα εύκολα αναλώσιμα. Ως αποτέλεσμα, δεν παρουσιάζουν σαφείς επικαλύψεις κώδικα με οποιοδήποτε γνωστό σύνολο εργαλείων, ούτε καν μεταξύ τους”, εξηγεί η Check Point.
Η επίθεση ξεκινά με ένα email
Η επίθεση ξεκινά με ένα spear-phishing email που έχει σχεδιαστεί για να στοχεύει συγκεκριμένα άτομα σε οργανισμούς-κλειδιά, προτρέποντάς τα να ανοίξουν το συνημμένο αρχείο ZIP.
Το αρχείο περιέχει ένα ψηφιακά υπογεγραμμένο εκτελέσιμο αρχείο με όνομα που ταιριάζει με το πλαίσιο του email και ένα κακόβουλο DLL που εκμεταλλεύεται μια ευπάθεια (CVE-2022-23748) στο λογισμικό Dante Discovery της Audinate για να φορτώσει το κακόβουλο λογισμικό “CurKeep” στο σύστημα.
Το CurKeep είναι μια κερκόπορτα 10kb που εγκαθιδρύει επιμονή στη συσκευή που έχει παραβιαστεί, στέλνει πληροφορίες συστήματος στον διακομιστή εντολών και ελέγχου (C2) και στη συνέχεια περιμένει εντολές.
Το backdoor μπορεί να εξαγάγει μια λίστα καταλόγων για τα αρχεία προγραμμάτων του θύματος, υποδεικνύοντας ποιο λογισμικό είναι εγκατεστημένο στον υπολογιστή, να εκτελεί εντολές και να στέλνει την έξοδο στον διακομιστή C2 και να χειρίζεται εργασίες που βασίζονται σε αρχεία, σύμφωνα με τις οδηγίες των χειριστών του.
Πέρα από το CurKeep, η εκστρατεία χρησιμοποιεί και άλλα εργαλεία, κυρίως φορτωτές, που εκτελούνται κυρίως μέσω παρόμοιων μεθόδων παράλληλης φόρτωσης DLL.
Στα αξιοσημείωτα περιλαμβάνονται οι φορτωτές CurLu, CurCore και CurLog, ο καθένας με μοναδικές λειτουργίες και μηχανισμούς μόλυνσης.
Το CurCore είναι το πιο ενδιαφέρον από τα δευτερεύοντα ωφέλιμα φορτία, καθώς μπορεί να δημιουργήσει αρχεία και να συμπληρώσει τα περιεχόμενά τους με αυθαίρετα δεδομένα, να εκτελέσει απομακρυσμένες εντολές ή να διαβάσει ένα αρχείο και να επιστρέψει τα δεδομένα του σε κωδικοποιημένη μορφή base64.
Ένα άλλο αξιοσημείωτο backdoor που ξεχωρίζει από τα υπόλοιπα είναι το ‘StylerServ’, το οποίο λειτουργεί ως παθητικός ακροατής που παρακολουθεί την κυκλοφορία σε πέντε θύρες (60810 έως 60814) για ένα συγκεκριμένο αρχείο ρυθμίσεων με κρυπτογράφηση XOR (‘stylers.bin’).
Η έκθεση δεν προσδιορίζει την ακριβή λειτουργία ή τον σκοπό του StylerServ ή του stylers.bin, αλλά είναι πιθανό να αποτελεί μέρος ενός κρυφού μηχανισμού εξυπηρέτησης ρυθμίσεων για άλλα στοιχεία κακόβουλου λογισμικού.
Η Check Point αναφέρει ότι το “Stayin’ Alive” χρησιμοποιεί διάφορα δείγματα και παραλλαγές αυτών των φορτωτών και ωφέλιμων φορτίων, συχνά προσαρμοσμένα σε συγκεκριμένους περιφερειακούς στόχους (γλώσσα, ονόματα αρχείων, θέματα).
Η εταιρεία ασφαλείας αναφέρει ότι η πρόσφατα εντοπισμένη συστάδα είναι πιθανότατα τμήμα μιας ευρύτερης εκστρατείας που περιλαμβάνει περισσότερα μη ανακαλυφθέντα εργαλεία και μεθόδους επίθεσης.
Κρίνοντας από τη μεγάλη ποικιλία διαφορετικών εργαλείων που παρατηρήθηκαν στις επιθέσεις και το επίπεδο προσαρμογής τους, φαίνεται ότι πρόκειται για εργαλεία μίας χρήσης.
Παρά τις διαφορές στον κώδικα αυτών των εργαλείων, όλα συνδέονται με την ίδια υποδομή, την οποία η Kaspersky συνέδεσε προηγουμένως με την ToddyCat, μια ομάδα κινεζικών κατασκόπων στον κυβερνοχώρο.
Ενημέρωση 10/12 – Λίγο μετά τη δημοσίευση αυτής της έκθεσης, η Kaspersky δημοσίευσε μια ενημέρωση σχετικά με την παρακολούθηση της APT ToddyCat, επισημαίνοντας νέες μεθόδους επίθεσης και ωφέλιμα φορτία που ανακάλυψαν πρόσφατα οι αναλυτές της.
Κατά τη διάρκεια του περασμένου έτους, η Kaspersky παρατήρησε μια παράλληλη συστάδα δραστηριότητας από τον ίδιο φορέα απειλής, διαφορετική από αυτή που είδε η Check Point, με δύο παραλλαγές επιθέσεων που χρησιμοποιούν νόμιμα εκτελέσιμα αρχεία VLC για να φορτώσουν κακόβουλο λογισμικό χρησιμοποιώντας την τεχνική DLL sideloading.
Ένα αξιοσημείωτο κακόβουλο λογισμικό που αναπτύχθηκε σε αυτές τις επιθέσεις είναι το “Ninja Agent”, ο οποίος διαθέτει διαχείριση αρχείων, αντίστροφο κέλυφος, διαχείριση διεργασιών και άλλα.
Άλλα εργαλεία που χρησιμοποίησε η ToddyCat σε αυτές τις επιθέσεις περιλαμβάνουν το LoFiSe (ανιχνευτής και κλέφτης αρχείων), το Cobalt Strike (σουίτα δοκιμών διείσδυσης), το DropBox Uploader και ένα παθητικό UDP backdoor.
Χάκερς τροποποιούν τις σελίδες 404 των ηλεκτρονικών καταστημάτων για να κλέψουν πιστωτικές κάρτες
Μια νέα μορφή επίθεσης κατά των καρτών της Magecart, καταλαμβάνει τις σελίδες σφαλμάτων 404 των ιστότοπων των διαδικτυακών πωλητών, κρύβοντας κακόβουλο κώδικα για να κλέψει τα στοιχεία των πιστωτικών καρτών των πελατών.
Η τεχνική αυτή είναι μία από τις τρεις παραλλαγές που παρατηρήθηκαν από ερευνητές της Akamai Security Intelligence Group, με τις άλλες δύο να κρύβουν τον κώδικα στο χαρακτηριστικό “onerror” της ετικέτας HTML και σε ένα δυαδικό αρχείο εικόνας για να φαίνεται ως το απόσπασμα κώδικα Meta Pixel.
Η Akamai αναφέρει ότι η επίθεση επικεντρώνεται σε ιστότοπους Magento και WooCommerce, με ορισμένα θύματα να συνδέονται με γνωστούς οργανισμούς στους τομείς των τροφίμων και του λιανικού εμπορίου.
Χειραγώγηση σελίδων 404
Όλοι οι ιστότοποι διαθέτουν σελίδες σφάλματος 404, οι οποίες εμφανίζονται στους επισκέπτες όταν έχουν πρόσβαση σε μια ιστοσελίδα που δεν υπάρχει, έχει μετακινηθεί ή έχει έναν νεκρό/σπασμένο σύνδεσμο.
Οι δράστες του Magecart αξιοποιούν την προεπιλεγμένη σελίδα “404 Not Found” για να κρύψουν και να φορτώσουν τον κακόβουλο κώδικα κλοπής καρτών, κάτι που δεν έχει παρατηρηθεί ξανά σε προηγούμενες εκστρατείες.
Ο φορτωτής skimmer είτε μεταμφιέζεται ως ένα απόσπασμα κώδικα Meta Pixel είτε κρύβεται μέσα σε τυχαία inline scripts που υπάρχουν ήδη στην παραβιασμένη ιστοσελίδα πληρωμής.
Ο φορτωτής ξεκινά ένα αίτημα λήψης σε μια σχετική διαδρομή με όνομα “icons”, αλλά καθώς αυτή η διαδρομή δεν υπάρχει στον ιστότοπο, το αίτημα καταλήγει σε σφάλμα “404 Not Found”.
Οι ερευνητές της Akamai υπέθεσαν αρχικά ότι το skimmer δεν ήταν πλέον ενεργό ή ότι η ομάδα Magecart είχε κάνει κάποιο λάθος στη διαμόρφωση. Ωστόσο, κατά την προσεκτικότερη εξέταση, διαπίστωσαν ότι ο φορτωτής περιείχε μια ταυτοποίηση κανονικής έκφρασης που αναζητούσε μια συγκεκριμένη συμβολοσειρά στην επιστρεφόμενη HTML της σελίδας 404.
Κατά τον εντοπισμό της συμβολοσειράς στη σελίδα, η Akamai βρήκε μια συνυφασμένη συμβολοσειρά κωδικοποιημένη με base64, κρυμμένη σε ένα σχόλιο. Η αποκωδικοποίηση αυτής της συμβολοσειράς αποκάλυψε το JavaScript skimmer, το οποίο κρύβεται σε όλες τις σελίδες 404.
Επειδή η αίτηση γίνεται σε μια διαδρομή πρώτου μέρους, τα περισσότερα εργαλεία ασφαλείας που παρακολουθούν ύποπτα αιτήματα δικτύου στη σελίδα πληρωμής θα το παραβλέψουν.
Κλέβοντας τα δεδομένα
Ο κώδικας skimmer εμφανίζει μια ψεύτικη φόρμα την οποία οι επισκέπτες του ιστότοπου αναμένεται να συμπληρώσουν με ευαίσθητα στοιχεία, όπως τον αριθμό της πιστωτικής τους κάρτας, την ημερομηνία λήξης και τον κωδικό ασφαλείας.
Μόλις τα δεδομένα αυτά εισαχθούν στην ψεύτικη φόρμα, το θύμα λαμβάνει ένα ψεύτικο σφάλμα “session timeout”.
Στο παρασκήνιο, όλες οι πληροφορίες κωδικοποιούνται με base64 και αποστέλλονται στον επιτιθέμενο μέσω μιας διεύθυνσης URL αίτησης εικόνας που φέρει τη συμβολοσειρά ως παράμετρο ερώτησης.
Αυτή η προσέγγιση βοηθά στην αποφυγή εντοπισμού από εργαλεία παρακολούθησης της κυκλοφορίας δικτύου, καθώς η αίτηση μοιάζει με ένα καλοήθες συμβάν ανάκτησης εικόνας. Ωστόσο, η αποκωδικοποίηση της συμβολοσειράς base64 αποκαλύπτει προσωπικές πληροφορίες και πληροφορίες πιστωτικής κάρτας.
Η περίπτωση της χειραγώγησης των σελίδων 404 αναδεικνύει τις εξελισσόμενες τακτικές και την ευελιξία των φορέων του Magecart, οι οποίοι συνεχώς δυσκολεύουν τους webmaster να εντοπίσουν τον κακόβουλο κώδικά τους σε παραβιασμένους ιστότοπους και να τον αποκαταστήσουν.