Хакеры UNC1945 взламывали сети компаний через 0-day в Oracle Solaris
3 ноября 2020 года
Специалисты подразделения Mandiant ИБ-компании FireEye опубликовали отчет о деятельности киберпреступной группировки UNC1945, эксплуатирующей уязвимость нулевого дня в Oracle Solaris для получения доступа к корпоративным сетям. Как правило, группировка атакует телекоммуникационные, финансовые и консалтинговые компании.
Хотя UNC1945 активна еще с 2018 года, специалисты Mandiant обратили внимание на группировку только в нынешнем году, когда она начала эксплуатировать ранее неизвестную уязвимость в Oracle Solaris ( CVE-2020-14871 ). Уязвимость присутствует в модуле Pluggable Authentication Module (PAM) и позволяет обойти процедуры аутентификации. С ее помощью хакеры UNC1945 устанавливали на подключенные к интернету уязвимые серверы Solaris бэкдор SLAPSTICK. Бэкдор служил точкой входа для проведения разведывательных операций внутри корпоративных сетей и бокового перемещения на другие системы.
Для обхода обнаружения киберпреступники загружали и устанавливали виртуальную машину QEMU, работающую под управлением Tiny Core Linux. Эта кастомизированная виртуальная Linux-машина поставляется по умолчанию с целым рядом хакерских инструментов, в том числе с сетевыми сканерами, сборщиками паролей и эксплоитами, использующимся UNC1945 для сканирования корпоративных сетей на предмет наличия в них уязвимостей и бокового перемещения на другие компьютеры, независимо от того, работают они под управлением Windows или *NIX-систем.
В своих атаках группировка использует как легитимные ИБ-инструменты и инструменты для тестирования на проникновение с открытым исходным кодом (Mimikatz, Powersploit, Responder, Procdump, CrackMapExec, PoshC2, Medusa, и JBoss Vulnerability Scanner), так и кастомизированное вредоносное ПО. Среди «авторских» вредоносов исследователи отмечают EVILSUN, LEMONSTICK, LOGBLEACH, OKSOLO, OPENSHACKLE, ProxyChains, PUPYRAT, STEELCORGI, SLAPSTICK и TINYSHELL.
По мнению исследователей, UNC1945 приобрела инструмент EVILSUN для эксплуатации уязвимости нулевого дня в Oracle Solaris с последующей установкой бэкдора SLAPSTICK на киберпреступном форуме. Еще в апреле нынешнего года эксперты обнаружили сайт, рекламирующий «Oracle Solaris SSHD Remote Root Exploit» за $3 тыс.
Специалисты Mandiant уведомили Oracle об уязвимости ранее в нынешнем году, и в октябре компания выпустила для нее исправление.
Источники
править| Эта статья содержит материалы из статьи «Хакеры UNC1945 взламывали сети компаний через 0-day в Oracle Solaris», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |  |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
