News
Анализ вредоносного кода в бэкдоре XZ Utils - как хакеры эксплуатируют популярный архиватор для атак
Анализ вредоносного кода в бэкдоре XZ Utils - как хакеры эксплуатируют популярный архиватор для атак
Citizen
Citizen Sec, 16-07-2024
В конце марта в популярной библиотеке XZ Utils был обнаружен бэкдор, который получил идентификатор CVE-2024-3094. Вредоносный код был внедрён в версии утилиты 5.6.0 и 5.6.1, что привело к серьёзной уязвимости цепочек поставок программного обеспечения.
Злоумышленником, стоящим за этой атакой, оказался хакер (или даже группа хакеров) под псевдонимом Цзя Тан. Этот инцидент сразу привлёк внимание специалистов по безопасности, так как бэкдор позволял удалённо выполнять код на скомпрометированных серверах, обходя аутентификацию в OpenSSH, пишет Securitylab.
«Лаборатория Касперского» проводит подробный анализ этого бэкдора и недавно опубликовала уже третью часть своего отчёта. Эксперты исследовали различные аспекты работы вредоносного кода, выявив множество уникальных функций и техник, использованных злоумышленниками.
Специалисты выявили следующие особенности бэкдора, внедрённого в XZ Utils:Основной целью бэкдора являются функции «RSA_public_decrypt» и «RSA_get0_key», используемые при аутентификации с RSA-сертификатом. Бэкдор анализирует RSA-ключ, извлекает информацию из его частей и выполняет свою полезную нагрузку, что позволяет злоумышленникам получить доступ к зашифрованным данным и выполнять свои команды.Кроме того, злоумышленники применили уникальную технику для восстановления ключей, скрытых в бинарном коде. Алгоритм восстановления сканирует определённые функции бэкдора в поисках инструкций «регистр-регистр», каждая из которых восстанавливает определённую часть зашифрованного ключа.
«Всего в ходе выполнения бинарного кода обрабатывается 456 инструкций, и к концу этого процесса зашифрованный открытый ключ восстанавливается целиком», — отмечают эксперты. Бэкдор предоставляет злоумышленникам возможность входить на сервер под любым пользователем, выполнять системные команды через функцию «system» и завершать сеанс предварительной аутентификации. Команды активируют вход атакующего на SSH-сервер, даже если использование конкретных пользователей запрещено настройками сервера. Также бэкдор использует хэш SHA-256 открытого ключа сервера для создания и проверки подписи полезной нагрузки, что предотвращает атаки повторного воспроизведения. Это дополнительный шаг, который защищает данные от повторного использования на других серверах. Анализ «Лаборатории Касперского» показал, что бэкдор XZ является сложной угрозой с уникальными техниками сокрытия и выполнения команд.
Хотя инцидент с бэкдором в XZ Utils выявил серьёзную уязвимость в цепочках поставок программного обеспечения, быстрое обнаружение и устранение данной угрозы демонстрирует осмотрительность сообщества разработчиков. Это внушает оптимизм и подчёркивает важность постоянной бдительности в сфере кибербезопасности для защиты критически важных систем.
You will be interested
Как защитить детей в цифровом мире: почему безопасность в интернете — это важно
Современные дети растут в эпоху цифровых технологий — смартфоны, планшеты, социальные сети и онлайн-игры стали неотъемлемой частью их жизни. Интернет открывает массу возможностей для учёбы, творчества и общения, но вместе с этим приносит и серьёзные риски.
@citizensec
30-05-2025Регламент по использованию корпоративной электронной почты
Правила использования корпоративной почты: что разрешено, что запрещено, меры безопасности и ответственность.
@CitizenSec
19-05-2025Women in cybersecurity from Kazakhstan
The special edition is dedicated to women in cybersecurity who overcome challenges, inspire others, and make the world safer. We share the stories of three professionals, their paths in cybersecurity, career advice, and tips on online security. Learn how to start your journey in cybersecurity and grow in this dynamic field.
@citizensec
03-05-2025Attention to Everyday IT Tools: New Tactic of a Chinese Spy Group
Microsoft Warns: Chinese Spy Group Uses Everyday IT Tools to Hack Networks
@turin.medet
06-03-2025Zebo-0.1.0 and Cometlogger-0.1: Dangerous Programs Stealing Data and Controlling Computers
Experts have discovered two dangerous programs that seem harmless at first. These programs can steal personal data, monitor computer activity, and even take control of the system.
@CitizenSec
26-12-2024Postman Workspaces Expose Over 30,000 API Keys and Sensitive Tokens
Thousands of Postman workspaces accidentally revealed sensitive data such as API keys and access tokens. Learn how to secure your API development environment and protect your organization's data.
@CitizenSec
21-11-2024New SteelFox Trojan mimics software activators, stealing sensitive data and mining cryptocurrency
SteelFox was first identified in August 2023, but its activity has increased markedly. More than 11,000 infection attempts have been recorded in recent months.
@CitizenSec
11-11-2024Critical vulnerability CVE-2024-43093 threatens the security of Android users
This problem allows hackers to gain unauthorized access to important Android system folders.
@CitizenSec
05-11-2024ChatGPT was persuaded to create an exploit by slipping instructions in 16-bit format
A Mozilla researcher has proposed a new way to bypass content filters in large language models (LM) used to prevent abuse.
@CitizenSec
01-11-2024A new tool to bypass cookie encryption in Google Chrome: how does it work and what does it mean for your online security?
Recently, cybersecurity researcher Alexander Hagen has developed a tool that can bypass a new security feature in Google Chrome called App-Bound Encryption.
@CitizenSec
30-10-2024