Zlonamjerni softver Redline krade sačuvane lozinke

Koliko god bilo jednostavno i primamljivo čuvanje lozinki u Internet pregledaču, pokazalo se da je to loša ideja. Sigurnosna kompanija AhnLab je otkrila zlonamjerni softver pod nazivom Redline krade sačuvane lozinke u Internet pregledaču i šalje serverima pod kontrolom napadača. Naveden je primjer korisnika koji je radio od kuće, kod koga je  Redline ukrao podatke za VPN pristup kompaniji u kojoj radi, zaobilazeći antivirusni softver. Podaci su kasnije iskorišteni u napadu na kompaniju.

 

Redline izgled na Telegram kanalu

Prisutan je u sajber prostoru od 2020. godine i veoma aktivan tokom 2021. godine uz konstantno dodavanje novih mogućnosti predstavlja ozbiljnu prijetnju zbog svoje svestranosti. Provjerom na na Internet stranici Have I Been Pwned koja omogućava korisnicima da provjeri da li su njihovi podaci ugroženi, može se vidjeti da je trenutno ugroženo preko 441 500 korisničkih naloga.

 

Source: Have I Been Pwned

Ovaj zlonamjerni softver krade korisnička imena i lozinke, kolačiće, podatke platnih kartica sačuvane u Internet pregledačima, fajlove, kriptovalutne novčanike, FTP i VPN prijave preko pregledača kao što su Chrome, Edge, Firefox i Opera. Pored toga, može još da izvršava razne komande, pokreće druge zlonamjerne softvere (npr. ransomware) i pravi snimke korisničkog ekrana. Funkcioniše na pretplatničkom sistemu MaaS (malware-as-a-service) i dolazi u dvije verzije: lite sa cijenom od $150 i pro $200, uz mogućnost mjesečne preplate od $100.

 

Redline je svestran zlonamjerni softver sa različitim vektorima napada koje je teško identifikovati zbog mnogo malih napadačkih kampanja, na šta utiče pretplatnički sistem dajući većem broju napadača priliku za različite napade. Ipak neki od identifikovanih vektora su:

 

- Posebno izmijenjene instalacije popularnih aplikacija kao što su Telegram, Signal i Discord.

- Phishing napadi preko elektronske pošte.

- Zloupotrebom Google reklama i lažne Internet stranice.

- Kampanje sa zloupotrebom NFT-a (Non-Fungible Token).

- Distribucija uz drugi zlonamjerni softver.

 

Za korisnike bi bilo najbolje da koriste namjenske menadžere lozinke koji sve lozinke čuvaju u šifriranom fajlu zahtjevajući glavnu lozinku za otključavanje. Uz to bi trebalo koristi autentifikaciju u više koraka gdje god je dostupna, jer ovo može da onemogući napadača da preuzme kompromitovane naloge. 

Porast broja napada eCh0raix ransomware-a na QNAP NAS uređaje

Korisnici prijavljuju povećan broj napada na QNAP NAS uređaje, a riječ je o eCh0raix ransomware-u poznatom još kao QNAP Crypt.

eCh0raix ransomware; Design by Saša Đurić

Korisnici foruma BleepingComputer koji posjeduju QNAP i Synology NAS uređaje redovno prijavljuju napade eCh0raix ransomware-a, a od 20. decembra primjećen je porast broja napada na QNAP NAS uređaje. Još uvijek nije jasno koji vektor napada koriste napadači. Jedan broj korisnika je priznao da nije adekvatno zaštitio svoje uređaje, dok drugi tvrde da je u pitanju ranjivost u QNAP Photo Station (QTS) aplikaciji. Zvanično je još uvjek nema podataka o vektoru napada.

 

Bez obzira na vektor napada, napadač prilikom pristupa uređaju kreira korisnika sa administratorskim privilegijama, što mu omogućava da ekriptuje podatke na uređaju. Od korisnika se zahtjeva da uplate od .024 ($1,200) do .06 ($3,000) bitkoina da bi dobili svoje podatke nazad.

 

eCh0raix ransomware poruka; Source: BleepingComputer

eCh0raix ransomware cilja NAS uređaje već mnogo godina, prvi put primijećen u julu 2019, distribuiran preko Ransomware as a service modela. U avgustu 2021. godine nova verzija eCh0raix ransomware-a je korištena za napad na Synology i QNAP uređaje. Za verzije ovog  ransomware-a starijeg od 17.07.2019. godine postoje dostupni besplatni alati za dekripciju, ali za zadnje verzije (1.0.5 i 1.0.6) trenutno nema dostupnih alata za oporavak podataka.

 

Kompanija QNAP na svom portalu daje preporuke korisnicima kako da unaprijede sigurnost svojih uređaja. Između ostalog kompanija preporučuje uklanjanje nepoznatih i sumnjivih aplikacija, izbjegavanje korištenja podrazumijevanih (eng. default) portova za pristup sa Interneta, promjena lozinki za sve korisničke naloge. Porede toga je preporuka da QTS aplikacija bude ažurirana na zadnju dostupnu verziju.

Log4j: Praznični „poklon“ koji niko ne želi

Prošle sedmice, otkrivena je ranjivost CVE-2021-44228 nazvana Log4j ili Log4Shell koja omogućava napadaču daljinski izvršavanje proizvoljnog kôda i preuzimanje potpune kontrole nad ranjivim uređajima. Riječ je konkretno o Apache Log4j biblioteci za evidentiranje otvorenog koda koju koriste aplikacije i servisi širom Interneta čija ranjivost je označena sa kritično uz CVSS oznaku 10/10. Ranjivost pogađa sve sisteme i servise koji koriste Apache Log4j od verzije 2.0 do verzije 2.14.1. Kako bi se stekla slika cijelog problema, dovoljno je reći da su neke od pogođenih kompanija  Amazon, Twitter, Valve, Oracle, Cisco, IBM, Fortinet, VMware, Apple  i druge.

 

Log4j: Praznični „poklon“ koji niko ne želi

Nakon objavljivanja ove ranjivosti prošle sedmice, odmah je primijećeno masovno aktivno skeniranje kako bi se otkrili ranjivi serveri. Sigurnosni istraživači kažu da se otkrivena ranjivost koristi za instaliranje softvera za rudarenje kriptovaluta, pridruživanje uređaja Linux bot mrežama, instaliranje ransomware-a  i preuzimanje raznih osjetljivih informacija sa pogođenih servera. Posebnu brigu izaziva jednostavnost kojom se ovaj sigurnosna ranjivost može iskoristiti za pristup serverima bez potrebe za upisivanjem lozinki. Kompanija  Apache je odmah izdala sigurnosno ažuriranje u verziji 2.15.0, ali činilo se da s obzirom na kompleksnost okruženja i potrebno vrijeme da se implementira to neće biti brzo. Sigurnosni istraživači su upozorili da je ovo biblioteka koju koriste mnogi proizvodi, pa sama primjena ažuriranja neće riješiti problem. Sigurnosni timovi trebaju dodatnog vremena da urade temeljnu provjeru kako bi uočili da li u sada ažuriranom okruženju ima tragova uljeza, kao i za njegovo uklanjanje ako je prisutan.

 

Međutim, ispostavilo se da ažuriranje  u verziji 2.15.0 ne otklanja u potpunosti ranjivost pogođenih sistema, jer su sigurnosni istraživači na ažuriranoj verziji Log4J 2.15.0 otkrili ranjivost CVE-2021-45046 sa CVSS oznakom 9/10. Ova ranjivost omogućava napadaču da preuzme kontrolu nad Thread Context Map (MDC) što  rezultira uskraćivanjem servisa, odnosno onemogućavanje sistema koji pruža uslugu korisnicima kroz DDoS napad. Nije prošlo puno vremena, otkriven je i propust u  Log4J 2.16.0 verziji označen sa CVE-2021-45105 sa CVSS oznakom 7.5/10. Trenutno je dostupna Log4j 2.17.0 verzija ažuriranja koja za sada popravlja sve navedene sigurnosne propuste.

 

Paralelno sa navedenim dešavanjima, pogođene kompanije su počele da sprovode istragu u svojim proizvodima,da objavljuju rezultate i savjetuju o privremenim koracima zaštite. Navesti ćemo neke od kompanija:

 

Adobe: Kompanija aktivno ažurira svoje servere, a dostupne informacije pogledajte ovdje. Za proizvode za koje nije dostupno ažuriranje, preporuke za zaštitu možete pogledati ovdje.

 

Amazon: Kompanija aktivno ažurira svoje servere, a dostupne informacije pogledajte ovdje.

 

Broadcom: Kompanija je objavila podatke za pogođene Symantec proizvode, više informacija ovdje.

 

Cisco: Kompanija je objavila listu pogođenih proizvoda, a i plan ažuriranja ovdje.

 

Citrix: Kompanija sprovodi istragu, nema liste ranjivih proizvoda. Promjenu statusa pratite ovdje.

 

cPanel: Forum zajednica tvrdi da je jednino pogođen proizvod cPanel Solr plugin koji može biti iskorišten samo lokalno. Više informacija i preporuke za zaštitu možete pogledati ovdje.

 

Debian: Objavljeno je ažuriranje za Debian 9 (Stretch), 10 (Buster), 11 (Bullseye) i 12 (Bookworm). Više informacija ovdje.

 

FortiGuard: Objavljena je lista sa velikim brojem pogođenih uređaja. Dostupna su ažuriranja i preporuke za zaštitu. Više informacija ovdje.

 

IBM: Kompanija je objavila da je za sada pogođeni proizvod samo WebSphere Application Server u verziji 9.0 i 8.5. Više informacija ovdje.

 

Okta: Kompanija je izdala ažuriranje za Okta RADIUS Server Agent i Okta On-Prem MFA Agent i preporučuje da se odmah primjeni. Više informacija ovdje.

 

Oracle: Kompanija je izjavila da su brojni njeni proizvodi pogođeni, bez otkrivanja tačnog broja. Preporučuje da se svako dostupno ažuriranje primjeni što prije. Više informacija ovdje.

 

Red Hat: Kompanija je objavila ažuriranja i savjetuje hitnu primjenu. Više informacija ovdje.

 

Splunk: Kompanija kaže da proizvod Core Splunk Enterprise nije pogođen ako se ne koristi Data Fabric Search. Kompanija je izdala ažuriranja za neke od svoji proizvoda. Više informacija ovdje.

 

VMware: Kompanija je ispravila ranjivosti u nekoliko svojih proizvoda, a trenutno radi na izdavanju za još nešto više od 20 proizvoda. Više informacija i preporuke za zaštitu možete pogledati ovdje.

 

Ubiquiti:  Kompanija je objavila ažuriranja i  preporuke za zaštitu. Više informacija ovdje.

 

Ubuntu: Kompanija je objavila ažuriranja za Upstream, Ubuntu 18.04 LTS (Bionic Beaver), 20.04 LTS (Focal Fossa), 21.04 (Hirsute Hippo), i 21.10 (Impish Indri). Više informacija ovdje.

 

Ovo iznad nije ni približno lista svih pogođenih proizvođača i proizvoda. CISA je objavila listu na GitHub-u koju možete pogledati ovdje ili posjetite stranicu proizvođača. Kada sve sumiramo, razvoj situacije u kibernetičkom prostoru pokazuje da, ako već nije, moglo bi se desiti da se mnogima pokvari praznično raspoloženje.