Как сообщает исследовательская фирма Volexity, хакеры пытались скомпрометировать некоторые компании, использующие VPN-клиент от Cisco. Очевидно, злоумышленники хотели перехватить контроль над сетями жертв и похитить конфиденциальные данные.

Исследователи утверждают, что атаки осуществлялись через брешь в Cisco Clientless SSL VPN (WebVPN), благодаря которому пользователи Cisco Adaptive Security Appliance (ASA) могут получать доступ к корпоративным файлам и веб-ресурсам через VPN. Хакеры воспользовались двумя различными методами, компрометирующими страницу для ввода учетных данных.

На руку злоумышленникам сыграло наличие в клиенте уязвимости времен 2014 года, связанной с механизмом авторизации фреймворка (CVE-2014-3393). Она вызвана некорректным методом аутентификации и открывает злоумышленнику возможность изменять контент портала WebVPN, не требуя аутентификации. Эта возможность сохраняется даже при перезагрузке устройства или изменениях в ASA.

После того как Cisco закрыла эту брешь, исследователь Алек Стюарт-Мюрк (Alec Stuart-Muirk), который и доложил ранее об этой уязвимости, нашел и опубликовал дополнительные детали о баге наряду с эксплойтом.

К февралю атаки, использующие CVE-2014-3393, были зарегистрированы itw. Cisco официально предупредила клиентов, сопроводив бюллетень информацией, необходимой для обнаружения и нейтрализации вредоносного кода.

Как сообщил тогда менеджер ИБ-команды Cisco Стефано де Крессенсо (Stefano De Crescenzo), эксплойт позволяет хакеру обойти средства авторизации и аутентификации портала и использовать вредоносный код для ряда атак, в том числе XSS, похищения учетных данных и внедрения вредоносного ПО. В известных случаях злоумышленники использовали эксплойт для модификации страницы регистрации учетных данных; исследователи не исключают, что некоторые хакеры внедрили код для получения доступа с правами администратора. Также есть вероятность, что модификация страницы ввода данных, напротив, произошла после получения преступниками прав администратора.

«Атакующие используют различные методы для получения легитимных учетных данных с правами администратора — через кейлоггеры, похищение базы данных, получение доступа к файлам, содержащим пароли, а также благодаря слабым паролям, которые часто используются администраторами для нескольких учетных записей», — объяснил Стивен Эйдар (Steven Adair), основатель Volexity.

Volexity обнаружила, что злоумышленники внедрили вредоносный JavaScript в логин-страницы компаний, ставших целями атаки. Код вызывал удаленный скрипт, который и осуществлял кражу учетных данных. В другом случае исследователи выбрали для хостинга вредоносного скрипта легитимный веб-сайт одной из НКО. Под прицел хакеров попали различные организации, в том числе медицинские учреждения, вузы, а также японские мультинациональные промышленные компании и корпорации, работающие в сфере электроники.

Хакеры, атаковавшие японские компании, использовали код JavaScript, имеющий отношение к разведывательной инфраструктуре Scanbox. Эта инфраструктура используется, в основном, китайскими APT-группировками, которые уже были замечены в атаках на японские промышленные предприятия, ориентированный на США аналитический центр, проживающих в Китае уйгуров, а также на корейскую компанию, работающую в гостиничной отрасли. Scanbox имеет возможности установки клавиатурных шпионов и сбора cookie-файлов.

Анализ имен хостов и доменов, которыми воспользовались злоумышленники, показал, что они маскировались под Google, Symantec и Novartis. Некоторые из них уже были замечены в атаках с использованием PlugX — также излюбленного инструмента китайских киберпреступников.

Категории: Главное, Уязвимости, Хакеры