В прошлом году банковская вредоносная программа Carbanak наделала много шума в СМИ, ее анализ публиковался компаниями Group-IB и Fox-IT, а также Kaspersky здесь и здесь. Оба отчета освещали вредоносную программу, с помощью которой кибербанда украла несколько сотен миллионов долларов из различных финансовых институтов. Незадолго до выхода нашего отчета, security-компания CSIS опубликовала детали анализа новых образцов Carbanak, которые им удалось обнаружить.



Деятельность кибербанды интересна не только с точки зрения украденной суммы, но также и с технической точки зрения. Ее отличительной особенностью является тот факт, что банда действует уже как зрелая APT-группа, направленно заражая большое количество компьютеров и получая с этого фактическую выгоду. Она специализируется на компрометации крупных финансовых организаций, а также других учреждений. Наш аналитик Антон Черепанов (@cherepanov74) проанализировал деятельность Carbanak.

Google выпустила новую версию веб-браузера Chrome 45, для которого было исправлено 29 различных security-уязвимостей. Ряд исправленных уязвимостей относится к типу Cross-origin bypass и use-after-free в различных компонентах веб-браузера. С использованием этих уязвимостей атакующий может удаленно исполнить код через специальным образом сформированную веб-страницу.



Скачать новую версию веб-браузера для различных платформ можно по этой ссылке. В случае уже установленного Chrome, он должен обновиться автоматически, либо для этого следует зайти в меню «О браузере Google Chrome». Для современных 64-битных версий Windows мы рекомендуем использовать «родную» 64-битную версию веб-браузера.

Microsoft выпустила экстренное обновление MS15-093 для всех версий своего веб-браузера Internet Explorer 7-11. Обновление закрывает критическую уязвимость CVE-2015-2502 в HTML-движке веб-браузера mshtml.dll на всех ОС от Windows Vista SP2 до Windows 10. Уязвимость относится к типу Remote Code Execution (RCE) и уже используется злоумышленниками для установки вредоносного ПО с использованием 0day эксплойта (drive-by download).



Уязвимость не позволяет атакующим обойти настройку безопасности IE11 под названием «Расширенный защищенный режим» (EPM), который заставляет процесс вкладки работать на низком уровне привилегий. Кроме этого, действия эксплойта также могут быть заблокированы активным EMET.

Apple выпустила обновление APPLE-SA-2015-08-13-2 для OS X, которое закрывает ряд важных уязвимостей. В частности, речь идет об опасной уязвимости CVE-2015-3760 в компоненте dyld, которая относится к работе компонента с переменной окружения DYLD_PRINT_TO_FILE. Уязвимость была публично раскрыта известным исследователем безопасности OS X Stefan Esser (@i0n1c). Затем эксплойт для этой уязвимости был обнаружен in-the-wild и использовался для установки adware на компьютеры под управлением OS X.



Компания также выпустила iOS 8.4.1, исправив значительное количество уязвимостей, которые делали возможным jailbreak iOS и запуск неподписанного кода в системе. Список таких уязвимостей указан ниже.

Компания выпустила набор обновлений для своих продуктов Windows, Internet Explorer, Edge, .NET Framework, Office, Lync, Silverlight. Всего было выпущено 4 обновления со статусом Critical и 10 Important, они закрывают более 50 уязвимостей. MS выпустила первое критическое обновление MS15-091 для веб-браузера Edge, в рамках которого было закрыто 4 уязвимости в этом веб-браузере. 3 уязвимости относятся к типу Remote Code Execution и могут быть использованы атакующими для удаленного исполнения кода в веб-браузере, еще одна уязвимость CVE-2015-2449 относится к типу ASLR bypass и может использоваться атакующими для обхода ASLR.



В отличие от Internet Explorer 11, Edge по умолчанию работает с высокими настройками безопасности: процессы вкладок запускаются как 64-битные и работают на Integrity-уровне AppContainer. В рамках MS15-079 был обновлен также и IE, в котором было закрыто 13 уязвимостей, большинство из которых относятся к типу RCE.

Ранее мы писали, что сообщество Mozilla Foundation опубликовало уведомление безопасности MFSA2015-78, в котором сообщалось об атаках на пользователей с использованием 0day эксплойта для веб-браузера Firefox. Уязвимость присутствовала в плагине браузера, который отвечал за просмотр PDF-файлов — PDF.js. Уязвимость позволяет злоумышленникам обойти механизм безопасности same-origin policy и исполнить удаленный JavaScript в системе пользователя. Скрипт позволяет злоумышленникам получать доступ к локальным файлам пользователя, а также загружать их на удаленный сервер.



Mozilla Foundation рекомендовали пользователям обновиться до актуальной версии веб-браузера, в которой эта уязвимость уже исправлена. Наш аналитик Антон Черепанов (@cherepanov74) подготовил анализ двух версий вредоносного скрипта и ассоциированных с ними кибератак на пользователей Windows, Linux и OS X.

Google выпустила бюллетень безопасности Nexus Security Bulletin (August 2015) для Android, в котором указываются исправленные уязвимости в рамках обновления, о котором мы писали ранее на прошлой неделе. Компания перешла к выпуску ежемесячных security-обновлений для своих продуктов, для них будут публиковаться бюллетени безопасности с информацией об исправленных уязвимостях.



Обновление относится к типу over-the-air (OTA), т. е. может быть установлено по беспроводному подключению, и предназначено для установки на фирменные смартфоны Nexus 4/5/6/7/9/10. Обновление также было выпущено для репозитория исходных текстов Android Open Source Project (AOSP). Всего было исправлено шесть уязвимостей в Android.

Adobe выпустила обновление APSB15-19 для своего проигрывателя Flash Player, которым было закрыто 35 различных уязвимостей. Большинство из них позволяют атакующим удаленно исполнять код через уязвимую версию проигрывателя, а также имеют тип use-after-free и memory-corruption.



Ранее мы писали, что Adobe добавила дополнительные функции безопасности для Flash Player под названием vector.uint exploit hardening. Они позволяют блокировать попытки злоумышленников использовать «хрупкие», с точки зрения безопасности, структуры в памяти, которые могут использоваться для срабатывания уязвимостей. Новая версия проигрывателя содержит дополнительные усовершенствованные механизмы для блокирования подобного рода эксплойтов.

Компания Microsoft выпустила security-обновление MS15-085, которое закрывает опасную LPE уязвимость CVE-2015-1769 (Mount Manager Elevation of Privilege Vulnerability). Уязвимость присутствует на клиентских и серверных версиях Windows, начиная с Windows Vista, и заканчивая Windows 10. Она относится к типу Stuxnet-like-уязвимостей и срабатывает при подключении к компьютеру съемного диска. Для эксплуатации, в корне съемного диска должны быть расположены специальным образом сформированный файл или файлы (symbolic links).



Обновлению подлежат значительное количество системных файлов Windows (Windows 8.1+), включая, драйвер монтирования дисков и ядро ОС: Mountmgr.sys, Ntdll.dll, Ntoskrnl.exe. Уязвимость позволяет атакующим запускать свой код с носителя, причем с системными привилегиями SYSTEM. Видимо, обновлению не присвоен уровень серьезности Critical лишь потому, что эксплуатация может быть выполнена только за счет физического доступа к ПК, т. е. с использованием съемного носителя.

Компания FireEye сообщила о том, что кибергруппа Hacking Team использовала Masque уязвимость в iOS для компрометации iDevice без jailbreak. Для этого были созданы фальшивые приложения, имитирующие всевозможные их легитимные аналоги для социальных сервисов, включая, WhatsApp, Twitter, Facebook, Facebook Messenger, WeChat, Google Chrome, Viber, Blackberry Messenger, Skype, Telegram, VK. Приложения содержали идентичный оригинальному идентификатор Bundle ID, что позволяло им получать доступ ко всем данным уже установленного легитимного приложения.



Оригинальная Masque уязвимость (CVE-2014-4493) была закрыта Apple с выходом iOS 8.1.3 еще в начале этого года. С выходом iOS 8.4 были закрыты еще несколько схожих с Masque уязвимостей, которые позволяли приложениям с существующим Bundle ID получать доступ к данным установленного приложения.

В Лас-Вегасе завершилась самая известная и уважаемая в мире конференция для security-ресерчеров Black Hat 2015. В этом году было представлено большое количество докладов на самые актуальные темы эксплуатации различных уязвимостей в ПО, начиная от Windows и Android, заканчивая встроенным ПО для автомобилей.



Компанию ESET на конференции представлял security-ресерчер Евгений Родионов (@vxradius), вместе со своими коллегами из Intel Security Александром Матросовым (@matrosov, Intel Advanced Threat Research), Rodrigo Branco (@bsdaemon) и Gabriel Negreira Barbosa. Они представляли большой доклад под названием Distributing the Reconstruction of High-Level Intermediate Representation for Large Scale Malware об анализе и восстановлении логики работы сложных типов угроз.

На security-блоге Mozilla появилась информация об обнаруженных кибератаках на пользователей с использованием уязвимости нулевого дня в веб-браузере Firefox. В связи с этим также было опубликовано уведомление безопасности Mozilla Foundation Security Advisory 2015-78 (MFSA2015-78). Сама уязвимость (Same origin violation and local file stealing via PDF reader) не позволяет атакующим удаленно исполнить код в системе пользователя, однако, она позволяет им запустить на исполнение вредоносный скрипт и похитить с его помощью информацию с компьютера пользователя.



Уязвимость связана со встроенным в веб-браузер плагином PDF Viewer, поэтому ОС, для которых Firefox поставляется без этого плагина (напр. Android), эта уязвимость не касается. Сегодня компания выпустила обновление, которое закрывает эту уязвимость. Пользователям следует обновить веб-браузер.

Компания Microsoft довольно тихо и без всякой шумихи выпустила первое большое по размеру обновление для Windows 10 (KB3081424). Обновление не относится к типу security, а специализируется на исправлении различных недоработок в ОС. Для 64-битной версии Windows 10 размер обновления составляет около 325MB. Примечателен тот факт, что MS переработала формат своих статей о выпускаемых обновлениях для Windows 10 и теперь там не публикуется, фактически, никакой информации о выпущенном исправлении.



Само обновление (Cumulative Update for Windows 10: August 5, 2015) направлено на исправление различных системных файлов, включая, драйверы. Полный список исправляемых файлов приведен в статье KB3081424, однако, о его назначении остается только гадать.

Компания Google сегодня объявила о выпуске долгожданного для пользователей Android обновления, которое исправляет набор печально известных Remote Code Execution уязвимостей под общим названием Stagefright (Google Stagefright Media Playback Engine Multiple Remote Code Execution Vulnerabilities). Stagefright позволяла атакующим удаленно исполнять код на устройстве с максимальными правами в системе через отправку жертве специальным образом сформированного MMS-сообщения, причем пользователю даже не требовалось открывать его.



Google также указала, что Android будет обновляться ежемесячно и для него будут регулярно выходить обновления, закрывающие security-уязвимости (Monthly Over-the-Air Android Security Updates). Известно, что первыми такими обновления получают устройства самой Google, т. е. серии Nexus. Далее, на плечи производителей других устройств ложится ответственность за обновление выпущенных ими устройств.

С точки зрения своих возможностей, вредоносная программа Win32/Potao имеет много общих характеристик с трояном BlackEnergy. Перед тем как начать рассматривать технические возможности Potao, рассмотрим происхождение названия этого семейства вредоносных программ.



Первые образцы Potao содержали в своем теле зашифрованную строку GlobalPotao. Другие образцы Potao, которые также обнаруживаются антивирусными продуктами ESET, содержат названия Sapotao и node69. Эти слова использовались в именах файлов DLL библиотек Potao, а также в строках путей PDB внутри исполняемых файлов. Ниже перечислены примеры строк с путями к PDB-файлу с отладочными символами Potao.

Аналитики нашей антивирусной лаборатории провели расследование серии кибератак и вредоносных кампаний с использованием вредоносного ПО Win32/Potao. Несмотря на то, что антивирусные продукты нашей компании, а также некоторые другие антивирусные вендоры, уже обнаруживали это вредоносное ПО, оно оставалось вне публичного поля. Первые образцы Win32/Potao датируются 2011 г.



Кибератаки с использованием Potao относятся к типу направленных атак, некоторые примеры которых мы уже рассматривали ранее. Речь идет о вредоносном ПО BlackEnergy (a.k.a. Sandworm, Quedagh), которое преобладает на Украине, в России, а также в некоторых странах СНГ, включая, Грузию и Беларусь.

Новейшая версия Google Chrome поддерживает использование AppContainer sandbox для своих вкладок на Windows 8+. Схожий метод изоляции процессов вкладок браузера от выполнения деструктивных функций эксплойтов и вредоносного ПО также используется в MS Internet Explorer 11 (EPM) и MS Edge на Windows 10 (по умолчанию). Ранее Chrome для реализации sandbox опирался на использование низкого Integrity Level (Low IL), запрещенных групп в маркере доступа, а также специального restricted объекта-задания. Теперь Low IL был заменен на AppContainer.



Можно утверждать, что на сей раз Google Chrome обошел по своим security-возможностям одного из основных конкурентов, веб-браузер MS IE11. В отличие от Chrome, IE11 использует 64-битные процессы для вкладок и AppContainer sandbox только в случае включения специальных security-механизмов в настройках (по умолчанию выключено), о которых мы уже много раз писали ранее в блоге. Веб-браузер Chrome, как и новый MS Edge, использует такие возможности по умолчанию.

Недавно мы писали о закрытии правоохранительными органами известного подпольного форума киберпреступников под названием Darkode. Кроме закрытия самого форума, множество его пользователей, которые являются известными киберпреступниками, были арестованы. Многие, но не все, поскольку один из администраторов Darkode под ником «Sp3cial1st» избежал ареста и перезапустил форум по новому адресу.



По информации известного malware/cybercrime исследователя MalwareTech для новой реинкарнации форума существенно усилены меры безопасности: доступ к форуму для пользователей возможен через Tor, а аутентификация реализуется с использованием специального Blockchain API.

В середине апреля 2015 г. наша антивирусная лаборатория получила в распоряжение исполняемый PE-файл с названием «Liberty2-0.exe», который обнаруживается нашими антивирусными продуктами как Python/Liberpy.A. Эта программа представляла из себя клавиатурный шпион (кейлоггер), который отправлял злоумышленникам информацию о нажатых пользователем клавишах на клавиатуре, а также о перемещениях курсора мыши.



Мы смогли обнаружить в нашей коллекции файлов еще один исполняемый файл с похожим именем – «Liberty1-0.exe». Этот файл обнаруживался нашими антивирусными продуктами как Python/Spy.Keylogger.G. Первый упоминавшийся нами образец кейлоггера предоставил нам важные подсказки о происхождении этой кампании, которые мы смогли подтвердить с помощью наших собственных данных.

Ниже представлены обнаружения AV-продуктов ESET для вредоносных файлов Hacking Team к различным ОС.

Windows

Win32/TrojanDropper.Morcut.A
Win32/TrojanDropper.Morcut.B

Linux

Linux/Spy.Morcut.A
Linux/Spy.Morcut.B

Andoid

Android/Morcut.A
Android/Morcut.B
Android/Morcut.C
Android/Morcut.D