all posts SecAtor

потому что ВСЕ ДОЛЖНО РАБОТАТЬ В КОМПЛЕКСЕ!

Исследователи из Лаборатории Касперского не на шутку продолжают бомбить новыми исследованиями, на этот раз повествуя о новом трояне для Windows названием Unicorn. В начале сентября ресерчерам ЛК удалось задетектить вредоносную рассылку, нацеленную на кражу конфиденциальных данных. Атаке подверглись российские энергетические компании и промышленные предприятия, а также поставщики и разработчики электронных компонентов. Как правило, в подобного рода атаках вредоносные ПО самоликвидируются сразу после кражи, однако в данном случае этого не произошло. Вредоносное ПО распространяется в виде почтовых вложений или файлов на Яндекс Диске через ссылку в письме. Рассылаемый таким образом файл представляет собой RAR-архив, внутри которого содержится файл с двойным расширением PDF + LNK. Вредоносный ярлык содержит команду на запуск приложения mshta, которое скачивает и выполняет файл HTML Application (HTA). Для маскировки трафика URL-адрес, с которого скачивается вредоносный HTA, оканчивается на .pdf. При запуске HTA выполняется вредоносный VBS-скрипт, который создает на диске два скрипта: update.vbs и upgrade.vbs, а также после этого - ключи на автозапуск этих скриптов в реестре. Дополнительно с использованием schtasks.exe в планировщике создаются две задачи для запуска этих же скриптов. Наконец, в реестре, в ветке HKCU\Software\ReaItek\Audio\ создаются дополнительные ключи: CID_SZ,GFI_SZ,IFE_SZ,AFI_SZ,SFP_SZ,UEC_SZ,UFP_SZ,UFS_SZ,SCP_SZ,EUP_SZ, в которых в зашифрованном виде содержится вредоносный VBS-код. Созданные на диске скрипты (update.vbs и upgrade.vbs) при запуске вычитывают значения ключей из ветки HKCU\Software\ReaItek\Audio\, расшифровывают и выполняют их. При запуске update.vbs расшифрованные им фрагменты скрипта создают папку %USERPROFILE%\AppData\Local\ReaItek, в которую затем копируют файлы из домашнего каталога пользователя. Троянца интересуют файлы размером менее 50 МБ с расширениями txt, pdf, doc, docx, xls, xlsx, png, rtf, jpg, zip и rar. Кроме того, туда же копируется содержимое из %USERPROFILE%\AppData\Roaming\Telegram Desktop\tdata. Информацию о скопированных файлах и дате их последней модификации скрипт сохраняет в текстовый файл iids.txt и постоянно сверяется с ним, чтобы при каждом запуске копировать только новые или измененные документы. Upgrade.vbs при помощи расшифрованного кода из реестра отправляет на сайт злоумышленников скопированные файлы, сверяя каждый раз при перезапуске информацию об отправленных данных, которая записывается в файл oids.txt. Оба скрипта после кражи остаются в системе и при перезапуске копируют и выгружают на сервер злоумышленников новые или изменненные файлы. Таким образом, вместо того чтобы один раз украсть данные и замести следы своего присутствия, Unicorn продолжает процедуру каждый раз, вероятно, до тех пор, пока ее не обнаружат. Связей с известными группировками не прослеживается. Индикаторы компрометации - в отчете Лаборатории Касперского.

По всей видимости, Microsoft передала эстафетную палочку инженерам Apple в гонке кривых обновлений. На днях Apple отозвала iPadOS 18, выпущенную на неделе после того, как обновление привело к выходу из строя iPad на базе чипов M4. Судя по всему, отмена произошла после жалоб некоторых владельцев iPad Pro, которые обнаружили, что обновление привело к неисправностям их устройств. Как сообщают на Reddit, некоторые из владельцев iPad Pro столкнулись со сбоем уже в процессе установки, после чего iPad перестал включаться и потребовалась полная замена. Причем не у всех пользователей M4 iPad Pro возникли проблемы с установкой обновления, что могло быть связано с промежуточной установкой iOS 17.7 перед инсталляцией iOS 18. Как сообщает сама Apple, ей пришлось временно удалить обновление ‌iPadOS 18 для моделей M4 ‌iPad Pro‌, компания работает над решением проблемы, затрагивающей ограниченное количество устройств. Обновленная прошивка появится как только, так сразу.

📰 The Privacy, Security, & OSINT Magazine. • Хорошие новости: в блоге Майкла Баззеля появился новый выпуск журнала "UNREDACTED Magazine", который содержит в себе очень много актуального материала для OSINT и ИБ специалистов. • Для тех кто не знаком с автором, Майкл является знаковой фигурой в сфере #OSINT, работал в правительстве США и ФБР, его приглашали в качестве технического эксперта в сериал «Мистер Робот», который считают достойным с точки зрения достоверности. ➡ Скачать | Читать журнал: https://inteltechniques.com • Предыдущие выпуски: https://inteltechniques.com/magazine.html S.E. ▪️ infosec.work ▪️ VT

Журналисты Bloomberg установили отправителя рекордного к настоящему времени выкупа, который был перечислен банде вымогателей Dark Angels. 75 миллионов долларов пришлось заплатить фармацевтическому гиганту Cencora, который столкнулся с масштабным ransomware-инцидентом в начале этого года. Cencora, компания из Коншохокена, штат Пенсильвания, имеет рыночную капитализацию около $46 млрд и получила $262 млрд дохода в прошлом финансовом году. Ранее она была известна как AmerisourceBergen. Согласно официальным данным, Cencora узнала, что данные были украдены в феврале. При этом изначально банда запросила 150 миллионов долларов, обещая предоставить ключ дешифрования и удалить данные, украденные из сети компании. Сообщения о выкупе в размере 75 миллионов долларов впервые появились в июле, когда Zscaler и Chainalysis заявили, что хакерская группа Dark Angels получила огромный платеж, не назвав при этом личность жертвы. Позже инсайдеры подтвердили, что оплата за взлом Cencora была произведена тремя платежами в биткоинах в марте. Тогда Cencora заверила SEC, что инцидент не повлияет ни на финансовое положение компании, ни на ее операции каким-либо существенным образом. А также, что нет никаких доказательств того, что какая-либо украденная информация «была или будет публично раскрыта». После вышедшей статьи Bloomberg, представитель Cencora отказался комментировать «слухи или домыслы», добавив, что придерживается общедоступной информации и указав на квартальный отчет за июнь, в котором были указаны расходы, связанные с инцидентом. Тем не менее, акции Cencora упали на 3,1% до сессионного минимума в $227,20 после сообщения Bloomberg о выплате выкупа, а котировки Dark Angels в киберподполье выросли, очевидно, до рекордного максимума. По данным Chainalysis, ожидается, что общая сумма выкупов в 2024 году превзойдет рекордный $1 млрд, который, по ее словам, был выплачен в прошлом году. Однако по данным SecAtor, это значение можно увеличить вдвое (или даже трое), если вспомнить, как после взлома инфраструктуры ФРС США вдруг оказалось на момент срабатывая таймера утечки, что хакеры на самом деле препарировали небольшой коммерческий банк. Так что текущие рекордные 75m, в парадигме инцидента ФРС - это 75m с еще одним нулем на конце, а реальная картина куда серьезнее.

Исследователи GreyNoise сообщают о необъяснимой активности, которую наблюдается с начала 2020 года. Компания называет ее шумовыми волнами и еще не определила ее происхождение и цель. Причем Noise Storms в основном состоят из пакетов ICMP и пакетов TCP на порт 443 (HTTPS), исходящих с миллионов поддельных IP-адресов из различных источников, таких как QQ, WeChat и WePay. Любопытным аспектом является наличие встроенной ASCII-строки «LOVE» в сгенерированных пакетах ICMP, что добавляет дополнительные предположения относительно их назначения и делает случай более интересным. Большая часть поддельного трафика создается так, чтобы выглядеть как исходящий из Бразилии, но GreyNoise утверждает, что обнаружила некоторые связи с некоторыми китайскими социальными платформами. Noise Storms при этом генерируют огромный трафик в адрес определенных интернет-провайдеров, таких как Cogent, Lumen и Hurricane Electric, но обходят стороной других, в первую очередь Amazon Web Services (AWS). Значения TTL, определяющие, как долго пакет остается в сети, устанавливаются в диапазоне от 120 до 200, чтобы имитировать реалистичные сетевые переходы. В целом форма и характеристики этих шумовых волн указывают на преднамеренные усилия со стороны осведомленного актора, нежели крупномасштабный побочный эффект неправильной конфигурации. У компании есть разные теории относительно происходящего, такие как неправильно настроенные маршрутизаторы, сложные серверы C2 или попытки проведения сложных DDoS-атак. GreyNoise решила раскрыть свои наблюдения публике в надежде на помощь со стороны сообщества в разгадке явления и выяснения истинных причин шумовых бурь, опубликовав на GitHub перехваченные пакеты PCAP для двух недавних волн.

🔐 Кибербез в одной папке В продолжение выпусков подкаста «Богатырёва о цифре» с Positive Technologies и BI.ZONE собрала папку с Telegram-каналами о кибербезопасности. Аналитика и полезные советы по защите от киберугроз, а также самые актуальные новости из мира ИБ. Если вы, как и я, заботитесь о сохранности своих данных и безопасности в Сети, эта подборка поможет вам 😉 Добавляйте к себе папку и делить с друзьями и коллегами

Тем временем американские силовики вновь наносят виртуальный удар, на этот раз по ботнету Raptor Train, за которым стоит китайская группа кибершпионажа Flax Typhoon (Ethereal Panda или RedJuliett). Но хакеры без боя не сдались, предпринимали попытки ответных ударов, задействовав весь DDoS-ресурс в отношении на операционной инфраструктуры нападавших для защиты своих активов, но потерпели фиаско. Пока титаны бились, оказывавшие техподдержку силовикам исследователи Black Lotus Labs из Lumen Technologies выкатили отчет в отношении Raptor Train и его операторов из APT Flax Typhoon, за которой, по данным спецслужб, стоит китайская компания Integrity Technology Group. Предполагается, что сложный ботнет начал функционировать по крайней мере с мая 2020 года, на пике развития в июне 2023 года ботнет насчитывал более 60 000 устройств. За последние четыре года ботнет Raptor Train смог захватить почти 260 000 маршрутизаторов SOHO, устройств NVR/DVR, серверов сетевых хранилищ (NAS) и IP-камер. В общей сложности было обнаружено более 1,2 миллиона записей об устройствах-ботах в базе данных MySQL ботнета. Среди затронутых производиетелей - ActionTec, ASUS, DrayTek, Fujitsu, Hikvision, Mikrotik, Mobotix, Panasonic, QNAP, Ruckus Wireless, Shenzhen TVT, Synology, Tenda, TOTOLINK, TP-LINK и Zyxel. По оценкам, инфраструктура, на которой работает ботнет, с момента своего создания охватила сотни тысяч устройств, а сама сеть основана на трехуровневой архитектуре. Первый уровень включал взломанные устройства SOHO/IoT (уровень 1, живучесть 17 дней), на втором уровне - серверы эксплуатации, полезной нагрузки и C2 (меняются каждые 75 дней). Главный уровень 3 представлял собой централизованные узлы управления и кроссплатформенный интерфейс приложения Electron, называемый Sparrow (Node Comprehensive Control Tool, или NCCT). Скомпрометированные устройства, более 20 моделей, в основном находились в США, Тайване, Вьетнаме, Бразилии, Гонконге и Турции, и были взломаны с использованием как нулей, так и n-day. Ботнет, использующий специальную версию известного вредоносного ПО Mirai (отлеживаемую как Nosedive), позволял операторам маршрутизировать трафик, проводить DDoS-атаки и доставлять другое вредоносное ПО. По данным Black Lotus Labs, ботнет Raptor Train задействовался для атак на критически важные объекты в США и на Тайване, включая армию, правительство, систему образование, телекоммуникации и оборонный сектор. Всего же c середины 2020 года с Raptor Train было связано не менее четырех различных кампаний, каждая из которых отличается корневыми доменами и целевыми устройствами (Crossbill, Finch, Canary и Oriole). Причем до настоящего времени не было зафиксировано ни одной DDoS-атаки, исходящей от ботнета. Кроме того, боты Raptor Train, вероятно, задействовались для сканирования и эксплуатации уязвимостей в серверах Atlassian Confluence и устройствах Ivanti Connect Secure (ICS). С санкции Минюста США в среду правоохранительные органы инициировали операцию по пресечению деятельности ботнета, включающую взятие под контроль инфраструктуры и отправку через нее команд для отключения вредоносного ПО на взломанных устройствах. Попытка, безусловно, заслуживает внимания, но мы не раз наблюдали возвращение ликвидированных ботнетов, а случае с участием APT - это почти неотвратимо.

Специалисты F.A.C.C.T. раскрыли новый необычный способ доставки майнера Xmrig при помощи настроенных автоматических ответов почтового адреса. Рассылка autoreply-писем велась с скомпрометированных почтовых адресов. Начиная с конца мая схема использовалась для атак на ведущие российские интернет-компании, ритейл и маркетплейсы, страховые и финансовые компании. Зафиксировано около 150 подобных писем. При этом в самих письмах находилась ссылка на облако, куда был сохранен файл, содержащий вредоносное ПО Xmrig. Xmrig – это кросплатформенный майнер криптовалют, который работает с видеокартами обоих производителей (AMD/Nvidia), поддерживает популярные алгоритмы майнинга и, в основном, используется для добычи Monero. Анализ почтовых адресов, на которых был установлен «вредоносный» автоответ показал, что раньше они использовались в легитимных целях и свидетельствовал о потенциальной массовой компрометации этих почтовых адресов, после чего ими и воспользовались злоумышленники. В процессе изучения используемых адресов было выяснено, что все они фигурировали в утечках как в открытом виде, так и в виде хэшей. Также многие пользователи взломанных почт, судя по данным из утечек, использовали одинаковые пароли в разных сервисах. Среди пользователей, чьи почтовые ящики были скомпрометированы, были замечены, в основном, физлица, однако также почты арбитражных управляющих, торговых и строительных компаний, мебельной фабрики и КФХ. Для маскировки атакующие также использовали скан реального счета на оплату оборудования, не совпадающего с тематикой писем. Таким образом жертвой может стать не только компания, но и обычные пользователи, которые будут взаимодействовать со взломанной почтой. Данный способ доставки ВПО опасен тем, что потенциальная жертва первая инициирует коммуникацию — вступает в переписку и ждет ответное письмо. В этом состоит главное отличие от традиционных рассылок, где получатель часто получает нерелевантное для него письмо и игнорирует. В данном случае, хотя письмо не выглядит убедительным, коммуникация уже установлена и сам факт распространения файла может не вызывать особого подозрения, а лишь пробудить интерес у жертвы.

Исследователи из Лаборатории Касперского сообщают об обнаружении кампании, нацеленной исключительно на итальянских пользователей. На разных этапах атаки вредоносное ПО убеждается, что оно выполняется именно на устройствах итальянских пользователей, а финальной полезной нагрузкой является новый троянец удаленного доступа, названный SambaSpy. При этом реализуется две цепочки заражения, которые незначительно отличались друг от друга. Более сложная из них включала фишинговые письма на итальянском языке от имени имени риелторской компании, но отправленные с адреса в немецком домене. Получателю предлагают перейти по ссылке, чтобы ознакомиться со счетом, перейдя на вредоносный веб-сайт. Причем во всех атаках в рамках этой кампании использовался единственный документ-приманка. Учитывая доверие пользователей к бренду компании, злоумышленники зарегистрировали более десятка вредоносных доменов, созвучных с ее названием. Благодаря данным из телеметрии ЛК, исследователям удалось найти вредоносный веб-сервер, доступный через ngrok, который возвращал HTML-страницу, содержащую JavaScript-код с комментариями на бразильском португальском языке. Если язык пользовательской системы был итальянским, а в качестве браузера использовался Edge, Firefox или Chrome, этот код перенаправлял жертву в хранилище OneDrive, все остальные пользователи оставались на текущей странице. Жертвы перенаправлялись на PDF-документ в хранилище Microsoft OneDrive, где им предлагалось нажать на ссылку просмотра документа, которая вела к вредоносному JAR-файлу на хостинге MediaFire, содержащему загрузчик или дроппер. Перед выполнением загрузчик проверяет, не находится ли он в виртуальной среде, а также языковые настройки на итальянский. Если все проверки успешно пройдены, он загружает и выполняет код финальной стадии. Дроппер выполняет те же проверки и отличается от загрузчика лишь тем, что он не скачивает вредоносное ПО, — оно уже вшито в JAR-файл. SambaSpy - это полнофункциональный RAT с широкими возможностями, написанный на Java и замаскированный с помощью обфускатора Zelix KlassMaster. Строки кода зашифрованы, а имена и методы классов обфусцированы, что позволяет избежать обнаружения и анализа. Специалистам ЛК пока еще предстоит установить связь между этой кампанией и известными группами злоумышленников. Из имеющихся данных можно сделать вывод, что атакующие говорят на бразильском португальском. Но в фарватере целей помимо итальянцев - пользователи из Испании и Бразилии. В ходе исследования Лаборатории удалось обнаружить вредоносные домены, связанные с этими же злоумышленниками и задействованные в других кампаниях. В отличие от итальянской кампании, где зловред проверял языковые настройки устройств перед атакой, в этих случаях таких проверок не проводилось. Индикаторы компрометации и технический разбор функционала SambaSpy - в отчете.

👮 Правоохранительные органы 🇩🇪Германии годами деанонили киберпреступников и следили за ними в TOR Как утверждают ARD-Politikmagazins Panorama и STRG_F, правоохранительные органы Германии нашли эффективный способ бороться с киберпреступниками через мониторинг нод в луковой сети TOR. Силовики уже несколько лет (приблизительно с 2022 года) применяют метод «Timing-Analyse», который позволяет им собирать статистические данные о трафике и анализировать временные корреляции передачи данных. Длительный мониторинг определённых узлов сети Tor и сбор больших объёмов данных даёт возможность установить связь между активностью отдельных пользователей и конкретными преступными действиями в даркнете. Один из ярких примеров - расследование Генеральной прокуратуры Франкфурта-на-Майне и ВКА в отношении педокриминальной платформы «Boystown». Благодаря «Timing-Analyse» удалось сдеанонить и арестовать преступников. Если верить описанию «Timing-Analyse» со стороны журналистов, то это разновидность тайминг-атаки. С помощью «Timing-Analyse» правоохранительные органы анализируют временные метки трафика между узлами Tor на протяжении длительного времени (ключевая особенность), чтобы выявить корреляции, ведущие к деанонимизации. В двух случаях удалось также выявить так называемые "серверы входа" из чат-сервиса "Ricochet", который использовал Г. - это стало прорывом для BKA. Для окончательной идентификации окружной суд Франкфурта-на-Майне обязал провайдера Telefónica выяснить у всех клиентов o2, кто из них подключался к одному из идентифицированных узлов Tor. 🚠 Временной анализ отдельных пакетов данных позволяет отследить анонимные соединения до пользователя Tor, несмотря на то, что данные в сети Tor шифруются многократно. 🖥 По заявлению экспертов, правоохранительные органы могут наблюдать за определёнными входными и выходными узлами сети Tor. Они фиксируют временные метки и объёмы передаваемых данных на этих узлах. Если наблюдается совпадение времени и объёма трафика на входном и выходном узлах, то это может указывать на связь между конкретным пользователем и ресурсом, который он посещает. Перед тем как накопить достаточную информацию для получения достоверных выводов, наблюдение может вестись на протяжении нескольких месяцев или даже лет. В настоящее время в 50 странах мира работает почти 8 000 узлов Tor. 🛡@Russian_OSINT

GitLab выпускает исправление для критической уязвимости обхода аутентификации SAML, влияющей на самоуправляемые установки GitLab Community Edition (CE) и Enterprise Edition (EE). Security Assertion Markup Language (SAML) - это протокол аутентификации с единым входом (SSO), который позволяет пользователям входить в различные службы, используя одни и те же учетные данные. CVE-2024-45409 обусловлена проблемой в библиотеках OmniAuth-SAML и Ruby-SAML, которые GitLab использует для обработки аутентификации на основе SAML. Уязвимость возникает, когда ответ SAML, отправленный поставщиком удостоверений (IdP) в GitLab, содержит неверную конфигурацию или подвергается манипуляциям. В частности, уязвимость заключается в недостаточной проверке ключевых элементов в утверждениях SAML, таких как extern_uid (внешний идентификатор пользователя), который используется для уникальной идентификации пользователя в разных системах. Злоумышленник может создать вредоносный ответ SAML, который обманом заставит GitLab распознать его как аутентифицированного пользователя, обойти аутентификацию SAML и получить доступ к экземпляру GitLab. CVE-2024-45409 затрагивает GitLab 17.3.3, 17.2.7, 17.1.8, 17.0.8, 16.11.10 и все предыдущие выпуски этих веток. Устранена в версиях GitLab 17.3.3, 17.2.7, 17.1.8, 17.0.8 и 16.11.10, где OmniAuth SAML обновлен до версии 2.2.1, а Ruby-SAML — до 1.17.0. Поставщик настоятельно рекомендует как можно скорее обновить все инсталляции, пользователям выделенных экземпляров GitLab на GitLab.com не нужно предпринимать никаких действий, поскольку проблема затрагивает только самостоятельно управляемые установки. Тем, кто не может немедленно перейти на безопасную версию, GitLab рекомендует включить 2FA для всех учетных записей и установить параметр обхода SAML 2FA на «не разрешать». При этом GitLab в бюллетене также публикует перечень признаков потенциальной эксплуатации, что позволяет предположить, что злоумышленники уже могут использовать уязвимость в реальных атаках. Среди них: - Ошибки, связанные с RubySaml::ValidationError (неудачные попытки). - Новые или необычные значения extern_uid в журналах аутентификации (успешные попытки). - Отсутствующая или неверная информация в ответах SAML. - Несколько значений extern_uid для одного пользователя (указывает на потенциальную компрометацию учетной записи). - Аутентификация SAML с незнакомого или подозрительного IP-адреса по сравнению с обычными схемами доступа пользователя.

CISO рассказывает о том, как он выстроил замечательную систему информационной безопасности в своей компании

Продолжаем следить за исследованиями в отношении уязвимостей и связанных с ними угроз. 1. Исследователи AppOmni обнаружили более 1000 серверов ServiceNow, которые раскрывают базы знаний клиентов (KB). 2. Tenable обнаружила уязвимость, которая могла позволить злоумышленникам запускать вредоносный код на серверах Google Cloud, позволяя перехватить внутреннюю зависимость ПО, которую Google предварительно устанавливает на серверах Google Cloud. Она повлияла на Google Composer. Google устранила проблему и заявила, что не нашла никаких доказательств активной эксплуатации. 3. Varonis опубликовала подробности об атаке с внедрением SOQL (Salesforce Object Query Language), которая позволяла извлечь данные и сведения о клиентах Salesforce через API Aura компании. Выявлена в январе и оперативно исправлена месяц спустя. 4. Исследователи AmberWolf обнаружили Skeleton Cookie (CVE-2024-45488), обход аутентификации в устройстве PAM Safeguard for Privileged Passwords компании One Identity. Уязвимость может быть использована для получения полного административного доступа к приложению и извлечения паролей и резервных копий. Поставщик заявляет, что исправит проблему в предстоящей версии приложения 8.0. 5. Исследователи Horizon3 опубликовали технический анализ CVE-2024-8190, активно эксплуатируемой 0-day в Ivanti Cloud Service Appliance (CSA). Правда, в предыдущий раз Horizon3 некосячила и исправила прошлонедельное сообщение в блоге с предполагаемыми подробностями по недавней ошибке Ivanti (CVE-2024-29847). На самом деле в отчете фигурировала CVE-2023-28324, которая была исправлена в июне прошлого года. Исследователи из Summoning Team утверждают, что Horizon3 в спешке пыталась присвоить себе раскрытие одной из ошибок, о которой они сообщали у себя в блоге. 6. Бизоны представили подробный технический анализ уязвимости CVE‑2024‑7965 (некорректная имплементация в V8), которая позволяет исполнять произвольный код в рендерере Google Chrome, показав как ее можно проэксплутатировать (PoC).

Recorded Future продолжает отслеживать активность группы киберпреступников Marko Polo, которая специализируюется на кампаниях, связанных с широким спектров инфокрадов. В первоначальном исследовании Recorded Future анализировала кластер ПО Vortax и задействуемые три инфокрада - Rhadamanthys, Stealc и Atomic macOS Stealer (AMOS). Масштабная кампания была нацелена на пользователей крипты, эксплуатируя уязвимости macOS. Управляемая markopolo кампания имела значительные последствия для безопасности macOS, указывая на потенциальный рост атак AMOS, о чем мы недавно также сообщали. Цели кампании коррелировались в рамках широкомасштабной операции по сбору учетных данных, потенциально позиционируя markopolo как первоначального брокера доступа или поставщика логов на таких площадках, как Russian Market или 2easy Shop. Новый отчет проливает свет на обширную сетью кибермошенничества, нацеленную как на отдельных лиц, так и на компании по всему миру с помощью сложного вредоносного ПО для кражи информации. Выдавая себя за популярные бренды, Marko Polo успешно реализует более 30 различных мошеннических схем , используя такие платформы, как Zoom, Discord и OpenSea и заражая десятки тысяч устройств по всему миру. Группа практикует тактику социальной инженерии, в первую очередь, атакуя влиятельных лиц в сфере крипты и онлайн-игр в ходе тщательно продуманных фишинговых атак, часто включающих поддельные вакансии или партнерства. В арсенал Marko Polo входит целый ряд вредоносных программ для Windows и macOS (HijackLoader, Stealc, Rhadamanthys и AMOS) с диверсификацией векторов атак, что делает его кроссплатформенной угрозой. Исследование Insikt Group выявило до 50 уникальных вредоносных полезных нагрузок, что указывает на способность группы быстро развиваться и масштабировать свои операции. Однако адаптивность увеличила и риски ее обнаружения для исследователей в части OpSec. Последствия мошенничества Marko Polo выходят за рамки индивидуальных финансовых потерь. Для предприятий угроза носит двойной характер: помимо компрометации конфиденциальных данных это ущерб репутации компании, обеспечивая возможность генерировать миллионы долларов незаконных доходов. Подробности атак и IOC - в отчете.

14 сентября Dr.Web подверглась целевой атаке, официально подтвердив инцидент с нарушением безопасности. Компания утверждает, что злоумышленник пытался нанести вред ее системам, после чего компания вынуждена была отключить инфраструктуру от Интернета для полной диагностики, приостановив больше чем на сутки выпуск антивирусных баз. Как позже пояснили в Dr.Web, им удалось «держать происходящее под контролем», но тем не менее пришлось «отключить серверы и запустить процесс всесторонней диагностики». Правда, атака началась 14-го числа, а признаки внешнего воздействия на инфраструктуру обнаружены 16-го, тогда же «оперативно отключили сервера». На протяжении этого времени исследователи Dr.Web «внимательно за угрозой наблюдали». Пока все в ожидании пояснительной бригады, Dr.Web на хайпе успевает еще и попиарить свои антивирусные решения. Как говорится, сам себя не похвалишь…

Broadcom предупреждает о критической уязвимости VMware vCenter, которую злоумышленники могут использовать для удаленного выполнения кода на неисправленных серверах через сетевой пакет. vCenter Server - это центральный узел для пакета VMware vSphere, обеспечивающий администраторам управление и контроль виртуализированной инфраструктурой. CVE-2024-38812 обнаружили исследователи TZL в ходе китайского хакерского конкурса Matrix Cup 2024. Она обусловлена проблемой переполнения кучи в реализации протокола DCE/RPC, затрагивая продукты, включающие vCenter, в том числе VMware vSphere и VMware Cloud Foundation. Неавторизованные злоумышленники могут использовать ее удаленно в атаках низкой сложности, не требующих взаимодействия с пользователем, путем отправки специально созданного сетевого пакета, потенциально приводящего к RCE. Меры по смягчению последствий могут варьироваться в зависимости от уровня безопасности в конкретной организации, стратегий глубокой защиты и конфигураций межсетевого экрана, каждая организация должна самостоятельно оценивать адекватность этих мер защиты. Чтобы обеспечить полную защиту следует установить одну из обновленных версий, перечисленных в рекомендациях по безопасности VMware. Исправления безопасности доступны через стандартные механизмы обновления vCenter Server. Broadcom утверждает, что не нашла доказательств того, что уязвимость CVE-2023-34048 RCE в настоящее время используется в атаках. Администраторы, которые не могут немедленно применить сегодняшние обновления безопасности, должны строго контролировать доступ по периметру сети к компонентам и интерфейсам управления vSphere, включая компоненты хранения и сети. Компания также устранила другую уязвимость высокой степени опасности, связанную с EoP (CVE-2024-38813), которую злоумышленники могут использовать для получения привилегий root на уязвимых серверах с помощью специально созданного сетевого пакета.

TechCrunch повествует о занимательной истории, как хакеру удалось обманом заставить ChatGPT выдать ему подробные инструкции по изготовлению самодельных бомб, полностью обойдя правила безопасности чат-бота. Главным героем стал хакер и по совместительству художник, известный под псевдонимом Амадон, который первоначально запросил подробные алгоритмы по созданию бомбы из удобрений, похожей на ту, что использовалась при взрыве в Оклахома-Сити в 1995 году. Однако чат-бот отказался реагировать в виду правил безопасности и этических норм, но Амадон все же нашел способ обмануть ChatGPT и обойти ограничения, назвав свой метод «взломом социальной инженерии». В реальности он задействовал технику джейлбрейка, замаскировав запрос под видом вымышленной игры. После чего использовал ряд соединительных подсказок, заставив бота создать подробный научно-фантастический мир, в котором ограничения не будут применяться. По итогу ChatGPT начал выдавать материалы для создания взрывчатых веществ, применяемых в минах или самодельных взрывных устройствах. Усовершенствовав подсказки, Амадон и вовсе заставил его генерировать все более конкретные инструкции. Оценка взрывотехниками представленных ChatGPT материалов подтвердила их полную практическую пригодность для создания бомбы. Как отметил исследователь, на самом деле пределов тому, что можно запросить нет, важно только обойти ограничения. В случае с ChatGPT - это похоже на работу с интерактивной головоломкой - понимание того, что запускает его защиту, а что нет. Речь идет о плетении повествований и создании контекстов, которые играют в рамках правил системы, раздвигая границы, не пересекая их. Так, разработанный научно-фантастический сценарий выводит ИИ из контекста, в котором он ищет цензурированный контент таким же образом. Амадон поделился результатами с OpenAI через BugBounty под управлением Bugcrowd, но ему отказали, мотивировав тем, что проблема связана с безопасностью модели и не соответствует критериям программы. В самой OpenAI от комментариев также отказываются.

D-Link пофиксила критические уязвимости в трех моделях маршрутизаторов, реализующих RCE и доступ к устройству с использованием жестко запрограммированных учетных данных. Затронутые модели пользуются широкой популярностью на рынке потребительских сетевых решений, особенно среди пользователей, которым нужны высокопроизводительные маршрутизаторы WiFi 6 (DIR-X) и системы ячеистых сетей (COVR). В бюллетене указаны 5 уязвимостей, 3 из которых критические, затрагивающие: - COVR-X1870 с прошивкой v1.02 и ниже, - DIR-X4860 с прошивкой v1.04B04_Hot-Fix и более ранней, - DIR-X5460 с v1.11B01_Hot-Fix или более ранней. Все недостатки отслеживаются как: - CVE-2024-45694 и CVE-2024-45695 (обе с CVSS 9.8): переполнение буфера стека, позволяющее неаутентифицированным удаленным злоумышленникам выполнять произвольный код на устройстве; - CVE-2024-45696 (CVSS 8.8): позволяет злоумышленнику принудительно включить службу Telnet, используя жестко запрограммированные учетные данные в локальной сети; - CVE-2024-45697 (CVSS 9.8): активация службы Telnet при подключении порта WAN, что позволяет осуществлять удаленный доступ с жестко заданными учетными данными; - CVE-2024-45698 (CVSS 8.8): неправильная проверка входных данных в службе Telnet позволяет удаленным злоумышленникам входить в систему и выполнять команды ОС с жестко запрограммированными учетными данными. Для устранения недостатков D-Link рекомендует клиентам обновиться до версии v1.03B01 для COVR-X1870, v1.04B05 для DIR-X4860 и DIR-X5460A1_V1.11B04 для DIR-X5460. В компании D-Link заявили, что узнали о недостатках от CERT (TWCERT) 24 июня и оперативно приступили к их устранению, ведь раскрытие состоялось преждевременно, без учета стандартного 90-дневного срока. Радует то, что по данным D-Link, каких-либо реальных случаев эксплуатации уязвимостей пока не замечено.

🔓 Облачный Ransomware: методы Scattered Spider, нацеленные на страховой и финансовый секторы. • Исследователи EclecticIQ выкатили очень интересный ресерч, где описали методы и тактики рансомварщиков Scattered Spider с фокусом на облачную инфраструктуру страховых и финансовых секторов. • В исследовании сказано, что Scattered Spider часто использует методы социальной инженерии с помощью устройств телефонии — вишинг и смишинг для обмана и манипуляций своих жертв, нацеливаясь на специалистов ИТ-поддержки и администраторов, которые имеют повышенные привилегии. Хакеры часто выдают себя за действующих сотрудников, чтобы завоевать доверие и получить доступ, а затем манипулировать настройками MFA и направлять жертв на фишинговые ресурсы. А еще Scattered Spider, вероятно, покупают украденные данные учеток, умеют в SIM-swap и используют инструменты для работы с облачными решениями, чтобы поддерживать постоянный доступ. • EclecticIQ подробно описали "жизненный цикл" и методы атак Ransomware в облачной среде, которые используются атакующими для взлома и закрепления. Стоит отметить, что доступность облачных решений открывают не только выгоду для бизнеса, но и новые возможности для финансово мотивированных киберпреступников, что и делает доступы к таким облачным решениям желаемой целью. ➡ https://blog.eclecticiq.com/ransomware-in-the-cloud S.E. ▪️ infosec.work ▪️ VT

Apple выкатила iOS 18 с исправлениями для 33 уязвимостей, которые подвергают iPhone и iPad различным вредоносным хакерским атакам. Согласно бюллетеню, в обновленной iOS 18 устранены проблемы в функциях спецвозможностей, Bluetooth, Центре управления и Wi-Fi, а также ряд недостатков, открывавших доступ к конфиденциальным данным и полному контролю над устройством. Обнаруженные уязвимости злоумышленникам с физическим доступом позволяли использовать Siri для доступа к конфиденциальным данным, управления ближайшими устройствами или просмотра последних фотографий без аутентификации.  Apple также задокументировала серьезную ошибку в Центре управления, которую можно было задействовать через приложением для записи экрана без отображения индикатора. Кроме того, iOS 18 устраняет уязвимость ядра Bluetooth, позволявшую вредоносному устройству ввода обходить сопряжение устройств. Закрыта уязвимость ядра, которая приводила к утечке сетевого трафика из VPN-туннеля и ошибка WiFi, которая позволяла злоумышленнику принудительно отключать устройство от защищенной сети, а также многочисленные обходы приватного просмотра и песочницы Safari. По данным Apple, ни одна из исправленных в iOS 18 уязвимостей не эксплуатировалась в дикой природе. Однако вспоминая Операцию Триангуляция, можно не сомневаться, что на этот счет у специалистов АНБ иное мнение. Помимо новой iOS Apple также выпустила macOS Sequoia 15 с огромным пакетом исправлений уязвимостей безопасности в различных компонентах операционной системы. Среди них множество критических, которые могут привести к несанкционированному доступу к конфиденциальным данным, EoP, модификации системы и сбоям приложений.

Продолжаем отслеживать трендовые уязвимости и отраслевые проблемы. 1. Ivanti, как и предполагалось, столкнулась с экаплатацией недавно исправленной уязвимости в Cloud Service Appliance (CSA). CVE-NaN представляет собой уязвимость внедрения команд ОС, которую компания исправила на прошлой неделе. Уязвимость затрагивает версии Ivanti CSA с истекшим сроком эксплуатации. Компания просит клиентов перейти на более новую версию ПО, чтобы избежать продолжающихся атак. 2. Horizon3 опубликовала анализ исправления для CVE-2024-29847, уязвимости RCE в Ivanti Endpoint Manager, исправленной на прошлой неделе. Так что и тут стоит ожидать эксплуатации. 3. Apple выпустила исправление для Vision Pro после того, как Исследователи из Университета Флориды и Техасского технологического университета показали, как злоумышленник может получить введенные пароли, просто взглянув на клавиши. Метод атаки получил название GAZEploit и его можно использовать для определения того, что печатает пользователь Vision Pro, путем отслеживания движения глаз. Атака была протестирована на 30 пользователях и показала значительную точность. Apple отслеживает уязвимость как CVE-2024-40865  и исправила ее с выпуском visionOS 1.3. Рекомендация по безопасности для visionOS 1.3 была опубликована в конце июля, но 5 сентября Apple обновила ее, включив CVE-NaN.  4. Еще по Apple: компания в iOS 18 расширяет функцию блокировки активации на основные аппаратные компоненты iPhone, такие как камеры, аккумуляторы и дисплеи. Помимо плюсов блокировка активации сулит сложности в ремонте устройств для частных мастерских. 5. Исследователь Габор Легради обнаружил критическую уязвимость в фреймворке Spring Java. CVE-2024-38816 позволяет получить доступ к любому файлу внутри приложения, созданного с использованием фреймворка. Атаки могут осуществляться удаленно через Интернет с использованием вредоносных HTTP-запросов. На прошлой неделе VMware выпустила исправления для устранения этой проблемы. 6. Микко Кенттяля выкатил отчет в отношении серии ошибок, найденных два года назад, которые могли быть использованы для Zero Click атак на среды календаря macOS. Все исправлены в период с 2022 по сентябрь 2023 года. 7. В Positive Technologies продолжают рассказывать про самые опасные уязвимости. В августе выделены следующие: - RCE-уязвимость в компоненте Windows Remote Desktop Licensing Service, получившая название MadLicense (CVE-NaN); - уязвимость обхода Mark of the Web в Windows, приводящая к возможности запуска вредоносных файлов (CVE-NaN); - EoP-уязвимости в ядре Windows (CVE-NaN), драйвере Ancillary Function (CVE-NaN) и компоненте Power Dependency Coordinator (CVE-NaN); - EoP-уязвимости без аутентификации в плагине LiteSpeed Cache для WordPress CMS (CVE-NaN).

Кстати, упоминавшийся у Aqua Security штамм ransomware Mallox был детально проанализирован исследователями из Лаборатории Касперского в одном из недавних отчетов. Как отмечают исследователи, Mallox (Tohnichi, Fargo или TargetCompany) - это опасное и сложное семейство вредоносного ПО, наносящее значительный ущерб организациям по всему миру и замеченное на пике атак в 2023 году, когда общее число обнаруженных образцов Mallox превысило 700. В первой половине 2024 года злоумышленники продолжали активно разрабатывать вредоносное ПО, выпуская новые версии несколько раз в месяц и рекламируя партнерку Mallox RaaS в киберподполье. Впервые Mallox появился в первой половине 2021 года, а первый известный образец был обнаружен в мае того же года. С самого начала это вредоносное ПО применялось в атаках на компании и организации, управляемых вручную. Образцы адаптировались под каждую жертву, а в сообщении о выкупе вручную указывалось название целевой компании и расширение зашифрованных файлов. Для подготовки отчета специалисты ЛК проанализировали более 700 образцов, вычленив имена всех разновидностей Mallox за всю историю существования этого семейства. В начале 2023 года SuspectFile публиковала интервью с владельцами Mallox, которые заявили, что приобрели исходный код троянца-шифровальщика в 2022 году, который ранее разрабатывала другая группа, чем объясняется переход от уникальных имен для каждой жертвы к единому «бренду». Исследование ЛК показало, что после запуска RaaS к ней быстро присоединилось 16 активных операторов, с которыми связано 500 образцов шифровальщика. Затем в первой половине 2024 года, их число сократилось, но на данный момент фиксируется всего 19 действующих партнеров Mallox RaaS. С момента обнаружения первой версии Mallox появилось несколько сотен различных образцов шифровальщика, которые условно разделены на 12 версий на основании изменений в функциональности или криптографии шифровальщиков.  В отчете ЛК подробно изучены первая и последняя известные версии. При этом разработчики продолжают улучшать троянца и добавлять новые функции. Для рекламы и продвижения своей RaaS злоумышленники Mallox ведут учетную запись в соцсети X, где регулярно публикуют новости о своих новых жертвах и ссылки для загрузки свежих порций украденных данных. Географическое распределение атак Mallox показывает, что операторы RaaS не ограничиваются одной страной и активно нацеливаются на компании по всему миру, наибольшее количество попыток заражения - в Бразилии, Вьетнаме и Китае. Связанные с Mallox IoC, подробный технических разбор ransomware и рекомендации - в отчете Лаборатории Касперского.

Исследователи Nautilus из Aqua Security сообщают о новой вредоносной ПО для Linux, которая нацелена на серверы Oracle WebLogic и связана с несколькими штаммами ransomware. Названная Hadooken вредоносная ПО используется в брут-атаках со слабыми пароли для первоначального доступа. После взлома сервера WebLogic загружают скрипт оболочки и скрипт Python, предназначенные для запуска вредоносного ПО. Оба скрипта имеют одинаковую функциональность, и их использование предполагает подтверждение запуска Hadooken на сервере: они оба доставляют вредоносное ПО во временную папку, а затем удаляют его. Aqua также обнаружила, что скрипт оболочки просматривает каталоги с данныеми SSH, используя эту информацию для выявления серверов и горизонтального перемещения с последующим распространением Hadooken в подключенных средах и чисткой журналов. После запуска Hadooken создает два файла: криптомайнер, который развертывается по трем путям с тремя разными именами, и вредоносную ПО Tsunami, которая размещается во временной папке со случайным именем. В свою очередь, Tsunami - вредоносная ПО Linux с функционалом DDoS-ботнета, которая заражает уязвимые SSH-серверы посредством брута слабых паролей. Ранее злоумышленники использовали ее для запуска DDoS-атак и удаленного управления взломанными серверами. Пока нет никаких признаков того, что злоумышленники использовали Tsunami, но они могли задействовать его на более позднем этапе атаки. Для достижения устойчивости вредоносная программа создавала несколько заданий cronjob с разными именами и разной частотой, а также сохраняла сценарий выполнения в разных каталогах cron. Дальнейший анализ атаки показал, что вредоносное ПО Hadooken было загружено с двух IP-адресов, один из которых в Германии и ранее ассоциировался с TeamTNT и Gang 8220, а другой в России и неактивен. На сервере с первым IP, исследователи обнаружили файл PowerShell, который распространяет вирус-вымогатель Mallox на системы Windows. Статический анализ двоичного файла Hadooken также выявил связи с семействами программ-вымогателей Rhombus и NoEscape, которые могут быть реализованы в атаках, нацеленных на серверы Linux. Aqua обнаружила более 230 000 подключенных к Интернету серверов Weblogic, большинство из которых защищены, за исключением нескольких сотен консолей администрирования c известными уязвимостями и некорректными конфигурациями. Рекомендации и меры по смягчению последствий представлены в отчете Aqua Security.

В долгоиграющем деле с NSO Group новый поворот: Apple дала заднюю и теперь пытается отклонить собственный же иск. В четверг юристы Apple выкатили ходатайство об отклонении иска против NSO Group, заявив, что дальнейшее рассмотрение дела приведет к раскрытию критически важной информации о безопасности. Apple отметила, что ее усилия и без того существенно ослабили позиции NSO Group, к тому же появились новые поставщики шпионского ПО, а это значит, что судебное преследование не окажет значимого влияния на отрасль в целом. При этом мощная шпионская ПО Pegasus от NSO Group, действующая Zero Click, продолжает оставаться одним из самых передовых и распространенных в мире коммерческих инструментов для слежки. Несмотря на доверие к суду, Apple все же оказалась не готовой поделиться своими секретами, ссылаясь на аналогичный процесс WhatsApp против NSO Group, в который вмешались израильские власти. По данным Apple со ссылкой на сообщения СМИ, NSO предположительно смогла получить строго контролируемые материалы, взломав Министерства юстиции Израиля, в связи с чем разработчик из Купертино свои секреты предпочел оставить при себе. Трехгодичная сага в борьбе за конфиденциальность и безопасность пользователей Apple закончилась фактически ничем, а вся суета, вероятно, была частью более серьезной закулисной игры, где интересы владельцев яблок - на заднем плане. Собственно, об этом мы говорили с самого начала - передел рынка spyware - в самом разгаре.

🌴🧳«Лаборатория Касперского» предупреждает о массовых почтовых атаках на отели в России Эксперты «Лаборатории Касперского» предупреждают, что с лета активно действуют злоумышленники, которые используют фишинговые рассылки для атак на российские отели, гостевые дома, санатории и другие объекты размещения. Сначала фишеры пишут отелю на корпоративную почту под видом потенциального гостя, а затем присылают сообщение с другого почтового адреса, мимикрируя под сервис бронирования. Несмотря на то что контент в письмах от «постояльцев» и «сервиса бронирования» не связан друг с другом, эксперты по кибербезопасности предполагают, что это этапы одной и той же кампании. ❗️Цель мошенников — кража доступа к бизнес-аккаунтам организаций на популярных сервисах онлайн-бронирования. В августе-сентябре 2024 года решения «Лаборатории Касперского» зафиксировали почти 1000 подобных сообщений. 🧠 Этап первый — «прогрев»: злоумышленники начинают переписку с гостиницей в почте под видом потенциальных постояльцев. 🎣🐠Этап второй — фишинг: следом на почту гостиницы приходит письмо с другого почтового адреса — якобы от сервиса онлайн-бронирования, который упоминали «потенциальные постояльцы». "Вероятно, атакующие пытаются получить доступ к аккаунтам отелей в сервисах онлайн-бронирования, чтобы в дальнейшем использовать полученные данные для мошеннических рассылок, выманивания платёжных данных и денег пользователей. Не исключаем, что злоумышленники могут пытаться шантажировать отели. Ранее похожую схему мы наблюдали в атаках на зарубежные гостиницы, теперь с ней столкнулись сотрудники индустрии гостеприимства в России" — комментирует Андрей Ковтун, руководитель группы защиты от почтовых угроз в «Лаборатории Касперского». В последнее время среди киберзлоумышленников в целом заметен тренд на двухступенчатые почтовые рассылки, вне зависимости от отрасли и масштаба атакуемых компаний. Например, первым письмом могут предлагать установить деловое партнёрство, а потом под видом списка требуемых товаров прислать вредоносный файл или фишинговую ссылку. 💡Подробнее тут. 🛡@Russian_OSINT

Тот самый случай, когда информационная безопасность накрылась пиз…й Как сообщает Boston.com, гинекологическая клиника из Этлборо, штат Массачусетс, подала в суд на соседний акушерский центр, обвиняя во взломе портала онлайн-бронирования. Four Women Health Services утверждает, что сотрудники Центра женского здоровья Этлборо связывались с ее пациентками каждый раз, когда они обращались через их виджет онлайн-контактов. Правда, Four Women заявляет, что пока точно не знает, как конкурентам удалось взломать ее инфраструктуру, но все же намерена добиться судебного запрета на доступ Центра женского здоровья Этлборо к своим системам и пациентам.

Если одни вендоры стабильно работают над ошибками и даже выпускают внеочередные патчи, то некоторые откровенно кладут известный предмет на своих клиентов. Пару дней назад исследователи Orange Cyberdefense опубликовали техническое описание для CVE-2023-27532, которая может использоваться для RCE-атак на решения Veeam для резервного копирования. Причем отчет был написан еще полтора года назад, а его публикация в блоге была отложена по просьбе Veeam. Однако после выхода аналогичного материала у Watchtowr, где подробно описывается почти точная уязвимость, моратории был снят. Первоначальное заявление Veeam относительно этой уязвимости указывает на то, что она позволяет злоумышленнику получить доступ к зашифрованным учетным данным с сервера, по позже исследователи показали, что и к незашифрованным тоже. Тогда Veeam оперативно выпустила патч, но исследователи смогли его обойти с помощью гаджета ObjRef, запросив новое обновление. Поставщик отметил о необходимости существенного изменения кода и ушел думать, так и не выпустив патч до настоящего времени, несмотря на многочисленные запросы со стороны исследователей. Другой пример - это приложение для знакомств Feeld (аналог Tinder и Bumble, но «на стероидах»), в котором Fortbridge обнаружила восемь уязвимостей, которые позволяют злоумышленникам получить доступ и выполнять различные конфиденциальные операции. Среди них - чтение личных чатов других пользователей, просмотр приватных фотографий, принудительное обновление профилей или доступ к истории их встреч. При этом Fortbridge своевременно уведомила разработчиков Feeld, но ни одна из проблем не была исправлена за последние полгода. Так что пользователей ждут новые знакомства, но на этот раз уже с киберподпольем, а поговорить определенно будет о чем.

GitLab выпустила экстренные обновления для устранения множества уязвимостей, самая серьезная из которых (CVE-NaN) позволяет злоумышленнику запускать конвейеры от имени произвольных пользователей при определенных условиях. Выпуск предназначен для версий 17.3.2, 17.2.5 и 17.1.7 как для GitLab Community Edition (CE), так и для Enterprise Edition (EE), исправляя 18 проблем безопасности. CVE-NaN с критическим уровнем серьезности 9,9 позволяет злоумышленнику выполнять действия по остановке среды в качестве владельца задания. Серьезность уязвимости обусловлена возможностью ее удаленной эксплуатации, отсутствием взаимодействия с пользователем и низким уровнем привилегий, необходимых для ее эксплуатации. GitLab предупреждает, что проблема затрагивает CE/EE от 8.14 до 17.1.7, версии от 17.2 до 17.2.5 и версии от 17.3 до 17.3.2. В бюллетене также перечислены четыре проблемы высокой степени серьезности с оценками от 6,7 до 8,5, которые потенциально могут позволить злоумышленникам нарушить работу служб, выполнить несанкционированные команды или поставить под угрозу конфиденциальные ресурсы. Среди них следующие: - CVE-NaN: обусловлена неправильной фильтрации входных данных. Злоумышленники могут внедрять команды в подключенный сервер Cube через конфигурацию YAML, что может поставить под угрозу целостность данных. Влияет на GitLab EE, начиная с версии 16.11. - CVE-NaN: злоумышленники могут использовать SSRF-уязвимость, создав собственный URL-адрес Maven Dependency Proxy для выполнения запросов к внутренним ресурсам, что ставит под угрозу внутреннюю инфраструктуру. Влияет на GitLab EE, начиная с версии 16.8. - CVE-NaN: злоумышленники могут инициировать DoS-атаку, отправив большой параметр 'glm_source', перегружая систему и делая ее недоступной. Влияет на GitLab CE/EE, начиная с 16.4. - CVE-NaN: злоумышленники могут использовать CI_JOB_TOKEN для получения доступа к токену сеанса GitLab жертвы, что позволит им перехватить сеанс. Влияет на GitLab CE/EE, начиная с версии 13.7. Инструкций по обновлению, исходный код и пакеты - на официальном портале загрузок GitLab, а последние пакеты GitLab Runner - здесь.

Исследователи сингапурской Group-IB сообщают об обнаружении новой вредоносной ПО для Android по названием Ajina.Banker, которая способна осуществлять кражу финансовых данных, обходя при этом 2FA через Telegram. Group-IB идентифицировала угрозу в мае 2024 года, отследив каналы распространения в Telegram под видом легитимных приложений для банков, платежных систем, госуслуг или коммунальных услуг. Пострадала преимущественно клиентура банковского сектора в регионе Центральной Азии, по крайней мере начиная с ноября 2023 года. Вообще же текущая кампания нацелена на такие страны, как Армения, Азербайджан, Исландия, Казахстан, Кыргызстан, Пакистан, Россия, Таджикистан, Украина и Узбекистан. Злоумышленник действует через сеть операторов, преследующих цель извлечения финансовой выгоды, которые реализуют распространение вредоносного ПО для Android-банкинга, нацеленное на обычных пользователей. При этом, как полагают исследователи, некоторые элементы процесса распространения вредоносного ПО в Telegram могли быть автоматизированы для повышения его эффективности. Задействовались многочисленные аккаунты Telegram для доставки сообщений с ссылками либо на другие каналы Telegram, либо на внешние источники и APK-файлы через массовые рассылки. Помимо злоупотребления доверием пользователей к легитимным сервисам с целью максимизации уровня заражения, в ходе кампании также использовались чаты Telegram, где вредоносные файлы выдавались как раздачи и рекламные акции с призами и эксклюзивным доступом к сервисам. Использование тематических сообщений и локализованных стратегий продвижения оказалось особенно эффективным каналом заражения в региональных чатах посредством адаптации к интересам и потребностям местного населения. Вредоносная программа сама по себе довольно проста, после загрузки устанавливает связь с С2 и запрашивает у жертвы разрешение на доступ к SMS, API телефонных соединений и текущей информации по сотовой сети, и др. Ajina.Banker способен собирать информацию о SIM-карте, установленных финансовых приложениях и SMS, которые затем передаются на сервер. Новые версии вредоносного ПО также разработаны с учетом поддержки фишинговых страниц для сбора банковской информации. Кроме того, реализована возможность доступа к журналам вызовов и контактам, а также злоупотреблению API служб доступности Android, чтобы предотвратить удаление и реализовать дополнительные разрешения. В свою очередь, Google сообщила, что не нашла никаких доказательств распространения вредоносного ПО через Google Play Store, а защита от угрозы обеспечнна с помощью Google Play Protect. По мнению Group-IB, Ajina.Banker находится в процессе активной разработки и имеет существенную поддержку от сети аффилированных лиц.

Исследователи из Dr.Web расчехлили гигантскую ботсеть, включающую более 1,3 миллиона телевизионных приставок Android TV в более чем 200 странах. Наибольшее число зараженных устройств было обнаружено в России, Бразилии, Марокко, Пакистане, Саудовской Аравии, Аргентине, Эквадоре, Тунисе, Малайзии, Алжире и Индонезии. Причем на Бразилию приходится треть всех текущих заражений. Устройства были заражены новым бэкдором под названием Vo1d, нацеленным на Android Open Source Project (AOSP), обеспечив таинственному злоумышленнику полный контроль над устройствами. Исследователям Dr.Web пока не удалось определить, каким образом произошли заражения заражены, но было установлено несколько случаев, когда взломанные приставки сообщали неверные версии ОС Android. По всей видимости, производители бюджетных устройств нередко используют старые версии ОС, выдавая их за более современные, чтобы сделать продукцию более привлекательной среди потребителей. Теоретически это могло бы объяснить, как именно были заражены устройства: операторы Vo1d могли задействовать устаревшие уязвимости Android, поскольку на приставках в реальности не были установлены соответствующие исправления. В зависимости от версии вредоносного ПО Vo1d изменяет install-recovery.sh, daemonsu или заменяет debuggerdфайлы операционной системы, которых представляют собой скрипты запуска в Android. Вредоносная ПО использует эти скрипты для сохранения и запуска Vo1d при загрузке. Сама вредоносная ПО при этом размещается в файлах wdи vo1d, в честь которых она и названа. Основная функциональность Vo1d скрыта в его компонентах vo1d (Android.Vo1d.1) и wd (Android.Vo1d.3), которые работают в тандеме. Модуль Android.Vo1d.1 отвечает за запуск Android.Vo1d.3 и контролирует активность, перезапуская его процесс при необходимости. Кроме того, он может загружать и запускать исполняемые файлы по команде С2. В свою очередь, Android.Vo1d.3 устанавливает и запускает демон Android.Vo1d.5, который зашифрован и хранится в его теле. Этот модуль также может загружать и запускать исполняемые файлы. Более того, он отслеживает указанные каталоги и устанавливает файлы APK, которые он в них находит. Тактические цели боднет пока неясны, вероятно, это может быть DDoS или мошенничество с рекламными кликами. Или же Vo1d все еще находится в стадии разработки, и дополнительный функционал будет добавлен позже. Список IOC для вредоносной кампании Vo1d можно найти на странице Dr. Web на GitHub.

🎙 Доклады с OFFZONE 2024. • 22 и 23 августа состоялась пятая конференция по практической кибербезопасности OFFZONE 2024, которая объединила безопасников, разработчиков, инженеров, исследователей, преподавателей и студентов из разных стран. • В общей сложности на конфе было 108 спикеров с очень интересными докладами и презентациями. Оставлю небольшое кол-во ссылок на самые интересные выступления (на мой взгляд), а остальной материал можно найти в общем списке: - Вредоносное ПО и закрепление в системе: как злоумышленники взламывают Windows? - Хроники red team: Wi‑Fi, 0-day и не только; - Побеги из контейнеров: Kubernetes 2024 edition; - Linux endpoint detection: актуальные угрозы и методы обнаружения; - Инструменты атакующих в 2023 и 2024 годах; - Ваше лицо кажется мне знакомым: разведка, анализ и методы атак на ML; - Подпольный цирк: арбитраж на теневых форумах; - Ломаем «Битрикс» через мобилку: как мобильные приложения помогают пробить инфраструктуру заказчика; - Заблокирован, но не сломлен: горизонтальное перемещение после блокировки пользователя в AD; - Одна атака у водопоя, чтоб править всеми. • Остальной материал доступен по этой ссылке. Ну и в качестве дополнения: Black Hat USA 2024. S.E. ▪️ infosec.work ▪️ VT

Исследователи Unit 42 Palo Alto Networks сообщают о крупномасштабных кампаниях, в которых фишинговые страницы доставлялись через заголовок ответа HTTP Refresh. С мая по июль ежедневно фиксировалось более 2000 вредоносных URL-адресов, которые были связаны с кампаниями этого типа. Пик пришелся на 10 мая 2024 года и продолжался около месяца. В целом, наблюдаемая кампания охватила более 3000 жертв в более чем 500 организациях. При этом более 34% атак были направлены на представителей сферы финансов и экономики, и почти 30% - на правительственный и образовательный сектор. В отличие от других видов фишинга через HTML-контент, в наблюдаемых атаках злоумышленники доставляли вредоносные ссылки через URL-адреса обновления заголовков, содержащие адреса электронной почты целевых получателей. В соответствии с доменом получателя электронной почты, конечная страница автоматически загружалась с вредоносным содержимым ссылки, когда жертва нажимала на ссылку в теле письма. При этом вредоносные ссылки заставляли браузер автоматически обновлять или перезагружать веб-страницу немедленно, не требуя взаимодействия с пользователем. При попадании на фишинговую веб-страницу жертвам предоставлялась страница входа, запрашивающая их учетные данные. Оригинальные и целевые URL-адреса часто находились под легитимными или скомпрометированными доменами и хостами, эффективно скрывая вредоносные строки URL. Кроме того, злоумышленники умело использовали персонализированный подход, увеличивая вероятность обмана жертвы. Исследователи перечислили несколько примеров поведения фишинговых веб-страниц с помощью HTML-контента, в частности, путем внедрения вредоносного URL-адреса в метаполе HTML-файла. Однако на текущий момент ни в одном источнике не рассматривались атаки с использованием записи обновления в заголовке ответа, отправленном сервером, которая происходит до того, как сервер обработает HTML-контент тела ответа. CSV-файл с 58 примерами цепочек URL-адресов с 1 мая по 2 июля 2024 года доступен в этом репозитории на GitHub.

Продолжаем отслеживать наиболее серьезные уязвимости: 1. CVE-NaN с CVSS Sore 10: уязвимость Use-After-Free в FreeBSD во всех поддерживаемых версиях может привести к полной компрометации системы. Параллельное удаление определенных анонимных сопоставлений разделяемой памяти с помощью подзапроса UMTX_SHM_DESTRUCTION UMTX_OP_SHM приводит к слишком частому уменьшению количества ссылок объекта, представляющего сопоставление, что приведет к его слишком раннему освобождению. Вредоносный код, выполняющий подзапрос UMTX_SHM_DESTRUCTION параллельно, может вызвать панику в ядре или разрешить дальнейшие атаки Use-After-Free, потенциально включая выполнение кода или выход из песочницы Capsicum. Обходного пути не существует, следует обновить уязвимую систему до поддерживаемой стабильной версии FreeBSD. 2. Adobe Patch Tuesday устраняет многочисленные уязвимости в продуктах компании, включая критические недостатки, которые могут позволить злоумышленникам выполнить произвольный код в системах Windows и macOS. Наиболее серьезными являются две критические ошибки повреждения памяти в Acrobat и PDF Reader: нуль CVE-NaN (CVSS 7,8) и CVE-NaN (CVSS 8,6). CVE-NaN - это проблема Use After Free, а недостаток CVE-NaN - ошибка Type Confusion. Злоумышленник может использовать эти уязвимости для выполнения произвольного кода. В последних версиях ПО эти недостатки уже исправлены. 0-day в Acrobat Reader была обнаружена в июне с помощью платформы EXPMON исследователем Хайфэем Ли. Как удалось выяснить исследователю, PoC-эксплойт для нее в наличии, но находится в стадии разработки. Ли намерен опубликовать подробности обнаружения ошибки в блоге EXPMON, а также дополнительную техническую информацию в предстоящем отчете Check Point Research. 3. Ivanti исправила уязвимость максимальной степени серьезности в своем ПО для управления конечными точками EPM, которая позволяет неавторизованным злоумышленникам удаленно выполнять код на основном сервере. Уязвимость (CVE-NaN) вызвана проблемой десериализации ненадежных данных в портале агента, которая была устранена в исправлениях Ivanti EPM 2024 и обновлении службы Ivanti EPM 2022 6 (SU6). На данный момент Ivanti не известно о каких-либо случаях эксплуатации уязвимостей, но учитывая репутацию вендора по этой части - не следует этого исключать.

Wordpress вводит новое требование безопасности: обязательная двухфакторная аутентификация (2FA) для авторов плагинов и тем, начиная с 1 октября 2024 года. В дополнение к обязательному 2FA мы вводим пароли SVN, заменяя пароль вашей учетной записи на специфический пароль SVN для фиксации изменений. 🛡@Russian_OSINT

Подкатили обновления ведущих поставщиков промышленных систем управления (ICS). Siemens опубликовала 17 новых рекомендаций, некоторые из которых теперь включают оценки CVSS 4.0. Наиболее серьезной из уязвимостей с оценкой 10 из 10 является критическая проблема обхода аутентификации в продукте Industrial Edge Management (все версии < V1.9.5). Эта уязвимость может позволить неаутентифицированному удаленному злоумышленнику выдавать себя за другие устройства, подключенные к системе. В список критических уязвимостей также вошли уязвимости неаутентифицированного удаленного выполнения кода в продуктах Simatic и уязвимость внедрения кода в продуктах Scalance W. Другие потенциально серьезные недостатки с рейтингом критическим и высоким уровнем серьезности включают ошибки DoS в Automation License Manager и Sicam, проблему EoP в Sinumerik, проблему RCE в Sinema Remote Connect Client, а также RCE и DoS - в Tecnomatix Plant Simulation. В различных продуктах Simatic были обнаружены DoS-ошибки высокой степени серьезности. Проблемы средней степени серьезности были устранены в продуктах Sinumerik, Sinema и Mendix. Компания Siemens еще не выпустила исправления для некоторых из этих уязвимостей, но доступны способы их устранения и обходные пути. Schneider Electric выпустила два новых бюллетеня для двух уязвимостей, одна из которых — это EoP высокой степени серьезности в Vijeo Designer. Вторая уязвимость - это ошибка XSS средней степени серьезности, которую может использовать аутентифицированный злоумышленник. Компания ABB представила один информационный бюллетень, информирующий о двух проблемах DoS средней степени серьезности в защитных реле Relion. Кроме того, следует обратить внимание на три критические и высокосерьёзные уязвимости в Viessmann Climate Solutions SE. Уязвимости связаны с жёстко закодированными учётными данными, принудительным просмотром и внедрением команд, а PoC находится в открытом доступе. И, наконец, еще три: серьезная уязвимость загрузки файлов в веб-сервере SpiderControl SCADA, серьезная ошибка DoS в Rockwell Automation SequenceManager и проблема раскрытия информации средней степени серьезности в приложениях BPL Medical Technologies для Android.

Однажды Генри Форд раскрыл свой секрет успеха, отметив, что он заключается в умении понять точку зрения другого человека и смотреть на вещи и с его, и со своей точек зрения. По все видимости, в Ford решили буквально проследовать совету своего основателя и намерены запатентовать рекламно-ориентированную систему, которая будет прослушивать все разговоры в автомобиле для последующей выдачи персонализированной рекламы. Так что можно смело констатировать, что ситуация с прослушиванием, похоже, выходит на новый уровень после недавней публикации патента Ford Global Technologies, в котором описаны системы и методы, помогающие показывать более целевую рекламу. В документе также четко раскрывается, что для достижения этой цели новая технология будет прослушивать разговоры водителя и пассажиров в транспортном средстве. Также будут анализироваться такие данные, как местонахождение транспортного средства, его скорость, по какой дороге оно движется и находится ли автомобиль в пробке. Система будет использовать информацию о пункте назначения и истории передвижения авто, чтобы более эффективно определять, какие рекламные объявления и какой продолжительности отображать для водителя. Прослушивание разговоров пассажиров также поможет компании узнать, как они реагируют на рекламу, и в какое время лучше всего показывать ее через мультимедиа и системы HMI, установленные в автомобиле. Например, система сможет сокращать количество рекламных объявлений, когда люди в машине разговаривают, или показывать их, когда в салоне автомобиля тихо. При этом в патенте не указано, каким образом собранные данные будут защищены. Пока еще рано говорить о том, будет ли вообще такая система реализована в будущем, на данном этапе речь идет лишь про патент. Но будем, конечно, посмотреть.

В даркнете одни ломают, другие предлагают. В первом случае MEOW Ransomware накернили израильские силы обороны. Банда утверждает, что имеет доступ к данным ЦАХАЛ, включая установочные данные, паспорта и военные документы. Причем, вместе с военными хакеры добавили на свой портал и Моссад. Тем временем, другие предприимчивые особы реализуют PreAuth RCE 0-day, который затрагивает Dolibarr Open Source ERP и CRM по цене в $50,000, а также SpamTitan RCE Exploit 0-day за 1 BTC.

Sekoia представила отчет в отношении ботнета Quad7, который активно эволюционирует, атакуя с помощью нового вредоносного ПО для VPN-устройств Zyxel, беспроводных маршрутизаторов Ruckus и медиасерверов Axentra. Замеченные новшества в работе Quad7 показывает, что его разработчики учли имевшиеся ошибки, выявленные исседователями, и теперь реализуют переход в сторону более скрытных технологий. Основная цель Quad7 остается до сих загадкой, есть лишь предположения о возможности его задействования в бруте паролей на VPN, Telnet, SSH и учетных записей Microsoft 365. Ботнет Quad7 состоит из нескольких подкластеров, идентифицированных как варианты *login, каждый из которых нацелен на определенные устройства и отображает свой приветственный баннер при подключении к порту Telnet. Полный список вредоносных кластеров состоит из: - xlogin – Telnet, привязанный к TCP-порту 7777 на маршрутизаторах TP-Link - alogin – Telnet привязан к TCP-порту 63256 на маршрутизаторах ASUS - rlogin – Telnet, привязанный к TCP-порту 63210 на беспроводных устройствах Ruckus - axlogin – баннер Telnet на устройствах Axentra NAS - zylogin – Telnet, привязанный к TCP-порту 3256 на устройствах Zyxel VPN. Некоторые из кластеров, такие как xlogin и alogin затрагивают до нескольких тысяч устройств. Другие, недавно появившиеся, такие как rlogin и zylogin, насчитывают значительно меньше - 298 и 2 заражения соответственно, а axlogin - вовсе по нулям. Тем не менее, эти новые подкластеры в самое ближайшее время могут выйти из экспериментальной фазы или переключиться на новые уязвимости, нацеленные на более распространенные модели. Последние результаты исследования Sekoia показывают, что ботнет Quad7 значительно усовершенствовал свои методы и тактику коммуникации, сосредоточившись на уклонении от обнаружения и повышении эффективности работы. Во-первых, постепенно прекращается использование открытых прокси-серверов SOCKS, в которых ботнет активно использовал предыдущие версии для ретрансляции вредоносного трафика. Вместо этого операторы Quad7 теперь используют протокол связи KCP для ретрансляции атак с помощью инструмента FsyNet, который осуществляет связь по протоколу UDP, что значительно затрудняет отслеживание. Кроме того, злоумышленники теперь используют новый бэкдор под названием UPDTAE, который устанавливает обратные HTTP-оболочки для удаленного управления зараженными устройствами, позволяя операторам управлять устройствами, не раскрывая интерфейсы входа в систему и не оставляя открытыми порты. Также разработчиками ведутся эксперименты с новым двоичным файлом netd, который использует протокол CJD route2, так что, скорее всего, на подходе еще более скрытый механизм связи. Будем посмотреть.

Исследователи Sophos отследили три связанных с КНР кластера угроз, нацеленных на правительственные организации в Юго-Восточной Азии в рамках операции кибершпионажа под названием Crimson Palace. Наблюдаемое исследователями кибернаступление включает следующие security threat activity cluster (STAC): Cluster Alpha (STAC1248), Cluster Bravo (STAC1870) и Cluster Charlie (STAC1305). Как отмечают в Sophos, злоумышленники постоянно использовали другие взломанные корпоративные и государственные сети в регионе в качестве ретрансляционной точки C2 для доставки вредоносного ПО и инструментов. Crimson Palace была впервые задокументирована в начале июня 2024 года, а атаки происходили в период с марта 2023 года по апрель 2024 года. Первоначальная активность, связанная с Bravo, который пересекается с группой угроз Unfading Sea Haze, была ограничена мартом 2023 года. Однако в период с января по июнь 2024 года была зафиксирована новая волна атак, нацеленная на 11 других организаций и агентств в том же регионе. В период с сентября 2023 года по июнь 2024 года был также выявлен ряд атак, организованных кластером Cluster Charlie (или Earth Longzhi). Некоторые из них также включали развертывание различных фреймворков C2, таких как Cobalt Strike, Havoc и XieBroC2, для реализации последующей эксплуатации и доставки дополнительных полезных нагрузок, в том числе SharpHound. Основная цель осталась прежней - кибершпионаж. Однако большая часть усилий, по-видимому, была сосредоточена на расширении присутствия в целевой сети путем обхода EDR и быстрого восстановления доступа, когда их импланты C2 блокировались. Другим важным аспектом является задействование Cluster Charlie метода перехвата DLL для выполнения вредоносного ПО, который ранее применялся злоумышленниками, стоящими за Cluster Alpha, что указывает на перекрестные TTPs. Среди других задействуемых злоумышленниками ПО с открытым исходным кодом - RealBlindingEDR и Alcatraz, которые позволяют деактивировать антивирусные процессы и скрывать переносимые исполняемые файлы (exe, dll и sys). Завершает арсенал вредоносного ПО кластера ранее неизвестный кейлоггер под названием TattleTale, который был первоначально обнаружен в августе 2023 года и способен собирать данные браузеров Google Chrome и Microsoft Edge. Вредоносная ПО может фиксировать данные взломанной системы и проверять наличие подключенных физических и сетевых дисков, выдавая себя за вошедшего в систему пользователя. TattleTale также осуществляет сбор сведений в отношении контроллера домена и крадет LSA, которая, как известно, содержит конфиденциальную информацию, связанную с политиками паролей и настройками безопасности. Таким образом, установлено, что все три кластера работают сообща, одновременно сосредотачиваясь на конкретных задачах в цепочке атак: проникновение в целевые среды и проведение разведки (Alpha), глубокое проникновение в сети с использованием различных механизмов C2 (Bravo) и извлечение ценных данных (Charlie).

Исследователи из Лаборатории Касперского продолжают кучно бомбить все новыми исследованиями, сообщая об обнаружении ранее неизвестного бэкдора Loki, который использовался в серии целевых атак в июле. Проанализировав вредоносный файл, исследователи смогли определить, что Loki - это, по всей видимости, модифицированная версия агента Mythic Agent, фреймворка Red Team с открытым исходным кодом. Обнаруженный ЛК агент Loki - это совместимая с Mythic версия агента для другого фреймворка, Havoc. Модификация Loki унаследовала различные методы от Havoc для усложнения анализа агента, такие как шифрование его образа памяти, косвенный вызов функций API системы, поиск функций API по хэшам и многое другое. Однако, в отличие от агента для Havoc, Loki был разделен на загрузчик и DLL, где реализована основная функциональность вредоносного ПО. Обе версии агента используют алгоритм хеширования djb2 для сокрытия функций и команд API с небольшими различиями. После выполнения загрузчик Loki формирует пакет с информацией о зараженной системе (версия ОС, внутренний IP, имя пользователя, архитектура процессора, путь к текущему процессу и его идентификатор) и отправляет его в зашифрованном виде на С2 https://y[.]nsitelecom[.]ru/certcenter. В ответ сервер отправляет DLL, которую загрузчик помещает в память зараженного устройства - обработка команд и дальнейшее общение с сервером С2 происходит внутри этой библиотеки. Замеченные версии используют одинаковые алгоритмы шифрования данных: сначала собранная информация шифруется алгоритмом AES, затем кодируется с помощью base64. Каждый экземпляр вредоносного ПО имеет уникальный UUID. В результате первого запроса к C2 возвращается полезная нагрузка в виде DLL с двумя экспортированными функциями: стандартной точкой входа DllMain и функцией Start, которую загрузчик вызывает для передачи дальнейшего управления библиотеке. Проведя детальный анализ, исследователям удалось обнаружить около 15 версий загрузчика и два активных C2, и в конечном итоге получить образец основного модуля из майской версии. Основной модуль, как и загрузчик, основан на версии агента Havoc, но список поддерживаемых команд частично заимствован из других агентов Mythic. Он не хранится в виде простого текста в DLL, вместо этого в коде библиотеки указывается ряд хэшей. Когда с сервера поступает команда, ее имя хэшируется и сравнивается с хэшем, хранящимся в DLL. Сам агент не поддерживает туннелирование трафика, поэтому для доступа к частным сегментам сети злоумышленники используют сторонние общедоступные утилиты: ngrok и gTunnel. Как отмечают в ЛК, с этой угрозой уже столкнулись более десятка российских компаний из разных отраслей, включая машиностроение и здравоохранение, однако число потенциальных жертв может быть больше. В виду недостаточности данных отнести Loki к какой-либо группе не удалось, индикаторы компрометации - в отчете.

Подкатил сентябрьский PatchTuesday от Microsoft с исправлениями для 79 уязвимостей, включая четыре активно эксплуатируемых и одну публично раскрытую 0-day. В целом устранено семь критических уязвимостей, связанных с RCE и EoP. Общее распределение: 30 - EoP, 4 - обход функций безопасности, 23 - RCE, 11 - раскрытие информации, 8 - DoS и 3 - спуфинг. Среди четыре активно эксплуатируемых нулей: - CVE-2024-38014: уязвимость в установщике Windows, которая позволяет получать привилегии SYSTEM в системах Windows. Ошибка была обнаружена Майклом Бэром из SEC Consult Vulnerability Lab. Подробности эксплуатации не разглашаются. - CVE-2024-38217: уязвимость обхода функции безопасности Windows Mark of the Web, раскрытая в прошлом месяце Джо Десимоном из Elastic Security и активно эксплуатировалась с 2018 года. Реализует метод LNK-stomping, позволяющий специально созданным LNK-файлам с нестандартными целевыми путями или внутренними структурами вызывать открытие файла, обходя предупреждения безопасности Smart App Control и Mark of the Web. - CVE-2024-38226: уязвимость обхода функции безопасности Microsoft Publisher, которая позволяет обходить средства защиты от встроенных макросов в Office. Microsoft не раскрыла, кто именно раскрыл уязвимость и как она была использована. - CVE-2024-43491: RCE-уязвимость в Центре обновления Microsoft Windows. Ошибка Servicing Stack привела к отмене исправлений некоторых уязвимостей, влияющих на дополнительные компоненты в Windows 10 версии 1507. Злоумышленник может воспользоваться ранее устраненными уязвимостями в системах Windows 10 версии 1507, на которых установлено мартовское обновление KB5035858 или другие, выпущенные до августа 2024 года. Все более поздние не уязвимы. Уязвимость стека обслуживания устраняется путем установки сентябрьских обновлений стека обслуживания (SSU KB5043936) и безопасности Windows (KB5043083), именно в таком порядке. Она затрагивает Windows 10 версии 1507 (поддержка завершилась в 2017 году) а также редакции Windows 10 Enterprise 2015 LTSB и Windows 10 IoT Enterprise 2015 LTSB (которые все еще находятся на стадии поддержки). Проблема интересна тем, что она приводит к откату дополнительных компонентов, таких как Active Directory Lightweight Directory Services, XPS Viewer, Internet Explorer 11, LPD Print Service, IIS и Windows Media Player, к их исходным версиям RTM. Это приводит к повторному внедрению в программу всех предыдущих CVE, которые затем могут быть использованы злоумышленниками. Более подробная информация об уязвимостях и полный список затронутых компонентов - здесь.

Как я ворвался в инфосек. Часть 6.

Исследователи из Университета Бен-Гуриона в Негеве (Израиль) продолжают удивлять все новыми вариантами атак по сторонним каналам, представив новую под названием PIXHELL. Как несложно догадаться по названию, PIXHELL задействует создаваемый пикселями шум экрана в качестве канала утечки информации из аудиозащищенных систем. Как в случае с недавно продемонстрированной RAMBO, в PIXHELL также используется вредоносное ПО, развернутое на скомпрометированном хосте, для создания акустического шума в диапазоне частот от 0 до 22 кГц. Вредоносный код использует звук, генерируемый катушками и конденсаторами, для управления частотами шума, исходящиего от экрана. Акустические сигналы могут кодировать и передавать конфиденциальную информацию. Атака примечательна тем, что для ее проведения не требуется никакого специализированного аудиооборудования на взломанном компьютере. Вместо этого для генерации акустических сигналов используется ЖК-экран. Внедрение вредного ПО может быть реализовано посредством инсайдера или компрометации цепочки поставок оборудования или программного обеспечения. Другой сценарий подразумевает вовлечение ничего не подозревающего сотрудника, который подключает зараженный USB-накопитель для доставки вредоносного ПО, способного запустить скрытый канал эксфильтрации данных. Атака стала возможной благодаря тому, что используемые ЖК-экранах в качестве компонентов и источника питания индукторы и конденсаторы при прохождении электричества через катушки способны издавать шум (т.н. свистом катушек). В частности, изменения в энергопотреблении могут вызывать механические вибрации или пьезоэлектрические эффекты в конденсаторах, создавая слышимый шум. Важнейшим аспектом, влияющим на модель потребления, является количество светящихся пикселей и их распределение по экрану, поскольку для отображения белых пикселей требуется больше энергии, чем для темных пикселей. Тщательно контролируя пиксельные узоры на экране, технология позволяет генерировать определенные акустические волны на определенных частотах от ЖК-экранов. Так что, злоумышленник может использовать эту технику для извлечения данных в виде акустических сигналов, которые затем модулируются и передаются на ближайшее устройство Windows или Android, где впоследствии они демодулируются. При этом следует отметить, что мощность и качество излучаемого акустического сигнала зависят, помимо прочих факторов, от конкретной конструкции экрана, его внутреннего источника питания, расположения катушек и конденсаторов. Еще один важный момент, который следует подчеркнуть, заключается в том, что атака PIXHELL по умолчанию визуально видна на ЖК-экране, поскольку подразумевает отображение растрового рисунка из чередующихся черных и белых строк. Однако атаку можно трансформировать в скрытую, уменьшив цвета пикселей до очень низких значений перед передачей (используя уровни RGB (1,1,1), (3,3,3), (7,7,7) и (15,15,15), тем самым создавая у пользователя впечатление, что экран черный.

По уязвимостям на неделе - не менее интересно. 1. SonicWall обнаружила активные атаки на свои брандмауэры и системы VPN с использованием недавно исправленной CVE-2024-40766. Уязвимость позволяет злоумышленникам обходить аутентификацию и получать доступ к управлению брандмауэром. SonicWall выпустила исправление в конце августа. Организациям, которые не могут оперативно установить исправление, рекомендовано ограничить доступ из Интернета к панели управления брандмауэром. 2. Fortinet изучила вредоносные нагрузки, реализованные в ходе атак на GeoServer. Среди замеченных штаммов: ряд майнеров, Condi, Mirai, SideWalk и GoReverse. 3. Исследователи Sector7 сообщают об обнаружении бэкдора в зарядных устройствах для электромобилей Autel MaxiCharger, которая может предоставить злоумышленникам контроль над устройством. Бэкдором в данном случае выступает жестко запрограммированный токен аутентификации в процессе сопряжения Bluetooth, который, по мнению исследователей, был создан преднамеренно. 4. Progress Software экстренно устранила серьезную уязвимость в устройствах балансировки нагрузки LoadMaster и LoadMaster Multi-Tenant (MT) Hypervisor, которая может позволить злоумышленникам запустить вредоносный код на устройстве. Уязвимость отслеживается как CVE-2024-7591 и представляет собой ошибку проверки ввода на панели управления устройством, позволяющую запускать команды ОС. Обновления выпущены на прошлой неделе, а сама уязвимость получила максимальную оценку 10 из 10 в виду простоты ее эксплуатации. На момент публикации бюллетеня сообщений об активной эксплуатации уязвимости не поступало, но, вероятно, ожидаются. 5. Немецкая SySS обнаружила 11 уязвимостей в ПО видеонаблюдения C-MOR, среди которых SQL-инъекции, XSS и ошибки внедрения команд ОС, которые можно использовать для получения административного доступа. В конце июля C-MOR выпустила исправления, но исправила только шесть обнаруженных ошибок. 6. Исследователи Theori представили подробности CVE-2024–27394, которую они обнаружили в ядре Linux в апреле этого года. 7. QNAP выпустила семь обновлений для устранения ряда серьезных проблем в своем ПО.

Исследователи F.A.C.C.T. задетектили новые атаки группы PhantomCore, нацеленные на российские организации в сфере финтеха, конструкторских разработок, производства высокотехнологичного оборудования беспроводной связи. Как известно, PhantomCore - кибершпионская группа, действующая с начала 2024 года в отношении российских организаций, была впервые раскрыта исследователями F.A.C.C.T. Группировка получила своё название согласно имени их уникального PhantomRAT. На протяжении весны и лета хакеры атаковали российские организации в различных отраслях, но большинство из них приходилось на промышленный сектор. Отличительной особенностью деятельности злоумышленников является то, что они предварительно компрометируют сторонние организации и используют их для проведения атак через фишинговые письма. На этот раз 5 сентября в поле зрения специалистов попало несколько рассылок со скомпрометированного адреса, принадлежащего компании, специализирующейся на строительстве и автоматизации объектов электроэнергетики и транспорта. Злоумышленники отправляли фишинговые письма с темой «Договор на поставку обр №00694723 от 04.09.2024» и вложенным защищенным паролем архивом. При этом злоумышленники усложнили пароль: если в прежних атаках в качестве пароля использовался год, даты рассылок, легкие цифровые комбинации, то в текущей рассылке использовался: He@k43M24v. Традиционно архив содержал легитимную PDF-приманку и исполняемый вредоносный файл .pdf.exe. При открытии архива задействовалась уязвимость CVE-NaN для автоматического запуска программы. В качестве основного инструмента использовалась вредоносная программа PhantomCore.KscDL_trim, а в качестве C2 - ip: 185[.]130[.]251[.]55:80. PhantomCore.KscDL_trim - это урезанная версия загрузчика PhantomCore.KscDL, написанная на языке C++ и упакованная инструментом UPX. Загрузчик имеет следующие возможности: загрузка и запуск файлов с C2-адреса, выполнение произвольных команд в интерпретаторе команд Windows. PhantomCore.KscDL_trim использует HTTP-протокол для взаимодействия с сервером и библиотеку Boost.Beast. В ходе анализа исследователям удалось получить несколько команд от управляющего сервера и установить, что атакующие предварительно профилируют жертву и решают, интересна ли она для развития атаки. Подробности новых атак PhantomCore с индикаторами компрометации в отчете.

Исследователи из Лаборатории Касперского обнаружили сложную кампанию под общим названием Tusk, инициируемую русскоязычными киберпреступниками, попутно отследив множество ее подкампаний. Каждая из них имитирует определенный легитимный проект: злоумышленники вносят незначительные изменения в названия и брендинг, а также используют многочисленные аккаунты в социальных сетях, дабы вызвать доверие у жертв. В ходе анализа исследователи обнаружили, что первичные загрузчики всех активных подкампаний размещаются на Dropbox. Через них образцы вредоносного ПО, включая стилеры Danabot, StealC и клипперы, попадают на устройство жертвы. Помимо этого, злоумышленники используют техники фишинга, чтобы обманом получить у пользователей конфиденциальную информацию, например учетные данные. Позже их реализуют в даркнете или используют для получения неправомерного доступа к игровым аккаунтам и криптокошелькам жертв, осуществляя кражу средств. На момент проведения исследования ЛК удалось идентифицировать три активных и шестнадцать уже неактивных подкампаний. Причем неактивные подкампании, - это либо уже отработанные, либо еще не реализованные. Все они в общей массе были названы в соответствии с обнаруженным в сообщениях логов загрузчиков упоминанием слова мамонт, которым злоумышленники обычно именуют свою жертву. В рамках первой кампании TidyMe злоумышленники имитировали peerme.io - платформу для создания децентрализованных автономных организаций (DAO) в блокчейне MultiversX и управления ими.  На вредоносном сайте вместо кнопки Create your Team now присутствует кнопка Download. При нажатии определяется подходящая версия вредоносного ПО для Windows или macOS, жертве направляется соответствующий файл. Первичный загрузчик - TidyMe.exe, приложение на основе Electron, а полезная нагрузка - updateload.exe и bytes.exe (образец использует модульный загрузчик HijackLoader), финальная - вариант вредоносного ПО семейства стилеров StealC. Вторая подкампания RuneOnlineWorld полагается на поддельный сайт MMO-игры, где расположена ссылка на первичный загрузчик. Логика подбора версии ПО, соответствующей устройству жертвы, также идентична используемой в TidyMe. Название образца - RuneOnlineWorld.exe (приложение на основе Electron, его логика и структура почти идентичны загрузчику первой кампании). В кампании RuneOnlineWorld две полезные нагрузки уже не собраны в один файл. Updateload.exe использует HijackLoader и внедряет код в легитимные программы. Финальный этап атаки реализует несколько стилеров семейств Danabot и StealC. В рамках третьей кампании Voico злоумышленники имитировали переводчик на базе ИИ под названием YOUS. Как и в двух предыдущих, на вредоносном веб-сайте расположена ссылка на первичный загрузчик, замаскированный под приложение, механизм заражения аналогичный, а образец вредоносного ПО носит название Voico.exe. Оба выполняемых файла в этой кампании (updateload.exe и bytes.exe) по поведению очень напоминают файл updateload.exe из второй подкампании, но с одним различием: скачанное вредоносное ПО StealC связывается с другим С2. Детальный разбор каждой из кампаний, цепочек заражений с индикаторами компрометации - в отчете.

Исследователи Palo Alto Networks сообщают о новой тактике китайской APT Mustang Panda, которая злоупотребляет Visual Studio Code в рамках шпионских операций, нацеленных на правительственные учреждения в Юго-Восточной Азии. Злоумышленники злоупотребляют встроенной функцией обратной оболочки Visual Studio Code, чтобы закрепиться в целевых сетях. Причем относительно новая техника впервые была задокументирована и продемонстрирована в сентябре 2023 года исследователем Трувисом Торнтоном. Mustang Panda, также известная как BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta и Red Lich, действует с 2012 года и регулярно реализует кибершпионаж в отношении правительственных и религиозных организации по всей Европе и Азии, прежде всего, в странах Южно-Китайского моря. Последняя наблюдаемая серия атак примечательна использованием обратной оболочки Visual Studio Code для выполнения произвольного кода и доставки дополнительных полезных данных. При этом эксплуатация Visual Studio Code в вредоносных целях осуществляется либо посредством локально установленного приложения или же путем использования портативной версии code.exe (исполняемый файл для Visual Studio Code). После завершения этого шага злоумышленник перенаправляется в веб-среду Visual Studio Code, подключенную к зараженному компьютеру, что позволяет ему выполнять команды или создавать новые файлы. Причем ранее в этом году mnemonic также фиксировала вредоносное использование этой техники в контексте эксплуатации 0-day в продуктах безопасности Check Point (CVE-NaN, оценка CVSS: 8,6). В свою очередь, Mustang Panda использовала механизм для доставки вредоносного ПО, проведения разведки и извлечения конфиденциальных данных. Кроме того, злоумышленник, как сообщается, задействовал OpenSSH для выполнения команд, передачи файлов и распространения по сети. Но и это еще не все: более детальный анализ зараженной среды выявил второй кластер активности, иногда даже на одних и тех же конечных точках, в котором использовался уже известный модульный бэкдор ShadowPad. В настоящее время неясно, связаны ли эти два типа вторжений друг с другом. Исследователи полагают, что эти два кластера исходят все же от одного и того же субъекта - Stately Taurus.

На прошлой неделе стали известны подробности нововведений, которые Microsoft намерена внедрить в свои продукты для повышения безопасности. Во-первых, Редмонд планирует в октябре отключить ActiveX в приложениях Office. Во-вторых, усилить защиту службы ведения журнала Windows CFLS от логических ошибок в будущих версиях Windows 11. Оба шага направлены на устранение некоторых из наиболее серьезных современных векторов атак в Windows. ActiveX, который был добавлен в Windows в 90-х годах для поддержки интерактивного контента, часто становился целью 0-day атак как со стороны APT, так и киберпреступности. Кроме того, элементы управления ActiveX, встроенные в документы Office (обычно доставляемые посредством фишинга), использовались для развертывания всех видов вредоносного ПО в течение последних десятилетий. Теперь же, как сообщает Microsoft, с запуском Office 2024 элементы управления ActiveX будут отключены по умолчанию в Word, Excel, PowerPoint и Visio. Новое изменение вступит в силу для четырех приложений Office в октябре, а версии Microsoft 365 получат поэтапное развертывание в апреле следующего года. После этого пользователи Office не смогут создавать новые объекты ActiveX, а старые будут отображаться как статические изображения. Кроме того, Microsoft также объявила об изменении принципа работы Common Log File System (CLFS) в Windows 11. Теперь все журналы, созданные в системе Windows, будут иметь в конце хэш, также известный как код аутентификации сообщений на основе хэша (HMAC). Идея этого изменения заключается в том, чтобы не допустить замены или редактирования злоумышленниками существующих журналов с целью создания логических ошибок в анализаторе журналов Windows CLFS. Ведь 19 из 25 уязвимостей, связанных с CFLS, за последние пять лет были связаны именно с ошибками логики анализа журналов. Разработчики надеются, что новая функция HMAC в файлах CFLS поможет устранить целый класс уязвимостей. В настоящее время функция тестируется в Windows Insiders Canary и позднее будет включена в основные установки Windows 11. Во всех новых установках драйвер CLFS будет переведен в режим принудительного применения, а в существующих установках драйвер CLFS сначала функционировать в «режиме обучения» на 90 дней, добавляя HMAC в журналы.

Исследователи Sophos X-Ops в новом отчете расчехлили новое вредоносное ПО Atomic MacOS Stealer (AMOS), которое буквально ломает парадигму безопасности macOS. Исторически сложилось мнение, что macOS менее восприимчива к вредоносному ПО, чем Windows, возможно, потому, что эта ОС имеет меньшую долю рынка, чем Windows, и имеет собственный набор функций безопасности. Однако ситуация изменилась. С момента своего появления в апреле прошлого года AMOS фактически стал одним из самых распространенных среди инфокрадов, на который приходится более 50% всех атак в отношении macOS за последние шесть месяцев. AMOS - это специализированный вредоносный инструмент для кражи различных конфиденциальных данных, будь то файлы cookie, аутентификационные данные, формы автозаполнения или содержимое криптокошельков. Достаточно часто собранная посредством инфокрада информация реализуется другим киберпреступникам для последующей эксплуатации. Вообще же рынок логов переживает, можно сказать, рассвет, что, безусловно, повышает и стоимость AMOS. За последний год стоимость AMOS выросла втрое до $3000 в месяц, что говорит как о заинтересованности киберподполья атаковать пользователей macOS, так и о ценности самого метода для киберпреступников. Реализуя AMOS в Telegram, хакеры хвастаются, что инфокрад способен собирать информацию из Notes, Keychain и SystemInfo, получать пароль MacOS и атаковать популярные браузеры, а также криптокошельки и плагины Electrum, Binance, Exodus, Atomic и Coinomi. Вредоносная программа, предположительно, запускается, когда консоль скрыта, а распространение реализуется различными методами: от традиционного фишинга до вредоносной рекламы и SEO-оптимизации. В число легитимных приложений, которые имитирует AMOS вошли Notion, Trello, браузер Arc, Slack и Todoist, а в некоторых случаях - Clean My Mac X. Для размещения двоичных файлов AMOS злоумышленники используют легитимную инфраструктуру, такую как GitHub. Чтобы избежать обнаружения, код AMOS запутан: вместо исполняемых файлов Mach-O, последние варианты включают скрипты Python. Как отмечают Sophos, создатели Atomic Malware теперь заявляют о его таргетировании и на iOS. Причем, со слов разработчиков, им удалось вскрыть iPhone и успешно протестировать новый продукт, который вскоре попадет в массы.

Ученые из Университета имени Бен-Гуриона в Негеве в Израиле разработали новую атаку по сторонним каналам, получившую название RAMBO (Radiation of Air-gapped Memory Bus for Offense). RAMBO генерирует электромагнитное излучение из оперативной памяти устройства и позволяет осуществлять кражу данных из изолированных сетей. Для этих целей может использоваться вредоносное ПО (как в случае с Stuxnet, Fanny и PlugX) для кодирования конфиденциальных данных, которые можно перехватывать на расстоянии с помощью оборудования SDR и стандартной антенны. Атака на практике позволяет злоумышленникам передавать закодированные файлы, ключи шифрования, изображения, нажатия клавиш и биометрическую информацию со скоростью 1000 бит в секунду. Тесты проводились на расстоянии до 7 метров. Как поясняет исследователь Мордехай Гури, вредоносное ПО в системах с воздушным зазором позволяет манипулировать оперативной памятью для генерации измененных, закодированных радиосигналов на тактовых частотах, которые затем можно принимать на расстоянии. Злоумышленник может использовать соответствующее оборудование для приема электромагнитных сигналов, декодирования данных и извлечения украденной информации. Атака RAMBO начинается с развертывания вредоносного ПО в изолированной системе через зараженный USB-накопитель или с использованием инсайдера, а также путем компрометации цепочки поставок для его внедрения в аппаратные или программные компоненты. Вторая фаза атаки включает сбор данных, их утечку через скрытый канал связи (в данном случае электромагнитное излучение от оперативной памяти) и извлечение на расстоянии. Быстрые изменения напряжения и тока, происходящие при передаче данных через оперативную память, создают электромагнитные поля, которые могут излучать электромагнитную энергию с частотой, зависящей от тактовой частоты, ширины данных и общей архитектуры. Исследователь поясняет, что передатчик может создать электромагнитный скрытый канал, модулируя шаблоны доступа к памяти таким образом, чтобы они соответствовали двоичным данным. Точно контролируя инструкции, связанные с памятью, ученый смог использовать этот скрытый канал для передачи закодированных данных, а затем извлечения их на расстоянии с помощью оборудования SDR и простой антенны.  Таким образом, как полагает Гури, используя этот метод, злоумышленники могут передавать данные с изолированных, изолированных друг от друга компьютеров на ближайший приемник со скоростью в сотни бит в секунду.

Исследователи McAfee обнаружили новый тип мобильного ПО SpyAgent для Android, реализующую технологию оптического распознавания символов OCR для кражи фраз мнемонических ключей из изображений на устройстве. Мнемонический ключ — это, по сути, фраза из 12-24 слов, которая обеспечивает восстановление доступа к криптокошельку в качестве резервного ключа. Такие секретные фразы являются крайне востребованной целью для злоумышленников, поскольку получение к ним доступа позволит им завладеть как кошельком, так и средствами на нем. Поскольку такой ключ трудно запомнить, его часто скриншотят и хранят в изображениях на мобильном устройстве, нежели чем отдельно выписанную фразу на бумажке в безопасном месте. Замеченная McAfee вредоносная кампания затронула как минимум 280 APK, распространяемых за пределами Google Play с помощью SMS или вредоносных сообщений в социальных сетях. Некоторые из заряженных приложений для Android выдают себя за государственные сервисы, сайты знакомств и порноресурсы. Основной таргет пришелся на Южную Корею, но McAfee заметила планвное расширение географии атака в сторону Великобритании. При этом выявлены также и признаки того, что версия для iOS находится на стадии разработки. После заражения нового устройства SpyAgent начинает отправлять на свой C2 следующую конфиденциальную информацию: список контактов (для дальнейшего распространения), входящие SMS с OTP, пригодные для OCR изображения, а также общую информацию об устройстве. SpyAgent также способна получать команды с C2 для изменения настроек звука или отправки SMS-сообщений, которые, вероятно, используются для рассылки фишинговых текстов с целью распространения вредоносного ПО. Как удалось выяснить McAfee, операторы SpyAgent особо не соблюдали надлежащие меры безопасности при настройке своих серверов, что позволило исследователям получить к ним доступ. Изучив панель администратора, а также украшенные файлы и данные, McAfee смогли идентифицировать ряд жертв вредоносного ПО, одной из которых оказалось устройство Apple iPhone c iOS 15.8.2 с системным языком, установленным на упрощенный китайский («zh»). При этом если изначально вредоносное ПО взаимодействовало со своим C2 посредством простых HTTP-запросов, то последняя версия использует соединения WebSocket. Украденные изображения обрабатываются и сканируются с помощью OCR на стороне сервера, а затем соответствующим образом организуются на панели администратора, что обеспечивает оперативность использования в атаках. Следует отметить, что технология OCR не нова в киберподполье, в июле 2023 Trend Micro находила два семейства вредоносных ПО для Android под названием CherryBlos и FakeTrade, распространявшихся через Google Play. Так что можно смело констатировать, что такая тактика начинает набирать популярность.

Лаборатория Касперского продолжает бомбить новыми отчетами. В одном из последних исследователи подробно анализируют целевую атаку китайской APT-группы Tropic Trooper, нацеленную на исследования в области прав человека на Ближнем Востоке. Действующая с 2011, Tropic Trooper, также известная как APT23, Earth Centaur, KeyBoy и Pirate Panda, известна своими атаками на правительственные, медицинские, транспортные и высокотехнологичные компании в Тайване, Гонконге и на Филиппинах. Имеет тесные связи с другой группой группировкой, отслеживаемой как FamousSparrow. Как сообщают исследователи, как минимум с июня 2023 года, Tropic Trooper реализует кампанию кибершпионажа, объектами которой являются неназванные государственные структуры на Ближнем Востоке и в Малайзии. Лаборатория задетектила активность в июне 2024 года, обнаружив новую версию веб-оболочки China Chopper - излюбленного многими китайскоязычными APT инструмента для удаленного доступа к взломанным серверам, - на общедоступном веб-сервере с размещенной Umbraco CMS. Цепочка атак предполагала внедрение вредоносного ПО под названием Crowdoor, варианта бэкдора SparrowDoor, задокументированного ESET еще в сентябре 2021 года. Последующая эксплуатация приводит к развертыванию инструментов для сканирования сети, бокового перемещения и обхода защиты с использованием методов боковой загрузки DLL (Fscan, Swor, Neo-reGeorg, ByPassGodzilla). При этом веб-оболочки доставляются путем эксплуатации известных уязвимостей в общедоступных веб-приложениях, таких как Adobe ColdFusion (CVE-2023-26360) и Microsoft Exchange Server (CVE-2021-34473, CVE-2021-34523 и CVE-2021-31207). В свою очередь, Crowdoor, впервые обнаруженный в июне 2023 года, также выполняет функцию загрузчика для установки Cobalt Strike и поддержания устойчивости на зараженных хостах. Кроме того, реализует функционал бэкдора для сбора конфиденциальной информации, запуска обратной оболочки, загрузки других файлов вредоносного ПО и завершения своей работы. Касаемо инцидента исследователи ЛК заметили, что после того, как злоумышленники узнали об обнаружении бэкдоров ими предпринимались попытки загрузить более новые образцы, прилагая все усилия для сохранения доступа. Помимо замеченного целевого вторжения в правительственный объект на Ближнем Востоке, исследователи увидели, что подмножество наблюдавшихся образцов использовалось для атаки на правительственный объект в Малайзии. Анализ целевого вторжения показал, что платформа с публикациями по тематике прав человека на Ближнем Востоке была единственной целью, свидетельствуя об особой стратегической заинтересованности актора в отношении конфликта между Израилем и ХАМАС. Индикаторы компрометации и подробный технический разбор - в отчете.

Продолжаем следить и делиться последними трендами по уязвимостям. Исследователь Mistymntncop выпустил PoC для CVE-2024-5274, уязвимости нулевого дня в Chrome, которую Google исправила еще в мае. QiAnXin представила отчет в отношении обнаруженной изначально Лабораторией Касперского и уже исправленной 0-day в Windows DWM Core, которая отслеживается как CVE-2024-30051 и задействовалась в атаках операторами ботнета Qakbot. Исследователи Jamf опубликовали обзор последних методов обхода Gatekeeper macOS для развертывания вредоносного ПО. Patchstack раскрыла подробности CVE-2024-44000, еще одной критической ошибки в плагине кэширования LiteSpeed WordPress, которая может использоваться для взлома учетных записей администратора. Первой подобной ошибкой стала CVE-2024-28000, которая была исправлена еще две недели назад и использовала функцию идентификатора пользователя. При этом новая уязвимость позволяет злоумышленникам извлекать файлы cookie администратора из функции отладки плагина. Она была обнаружена 22 августа 2024 года, исправление выпущено вчера с выпуском LiteSpeed Cache версии 6.5.0.1. Veeam выпустила обновления безопасности для 18 уязвимостей высокой и критической степени серьезности в Veeam Backup & Replication, Service Provider Console и One. Наиболее серьезной из рассмотренных проблем является CVE-2024-40711 - критическая (CVSS v3.1: 9,8) уязвимость удаленного выполнения кода в Veeam Backup & Replication, которая может быть использована без аутентификации. Apache выпустила обновления для исправления CVE-2024-45195 в своем ПО с открытым исходным кодом OFBiz (Open For Business), которая позволяет злоумышленникам выполнить произвольный код на уязвимых серверах Linux и Windows. Проблема была обнаружена исследователями Rapid7 и вызвана уязвимостью принудительного просмотра, которая открывает ограниченные пути для атак с использованием неаутентифицированных прямых запросов. Команда Apache исправила уязвимость в версии 18.12.16, добавив проверки авторизации. Вероятность эксплуатации высока, поскольку это связано с другими RCE в OFBiz, которые активно используются в дикой природе.

Исследователи Veriti предупреждают о вредоносной кампании, нацеленной на представителей киберподполья с помощью поддельного инфокрада OnlyFans, который якобы реализует кражу аккаунтов в одноименной сети, а по факту заражает его операторов Lumma Stealer. Учитывая популярность OnlyFans и характерный контент, пользователи ресурса часто становятся целями атак, которые нацеленных на кражу кражу аккаунт с последующим вымогательством выкупа или сливом приватного содержимого. Продвигаемый инструмент предназначены для чека больших наборов кредов, проверяя их актуальность и возможность использования для входа в учетную запись OnlyFans. Veriti обнаружила, как подобная утилита для OnlyFans якобы предназначалась проверку регистрационных данных, остатков на счетах, способах оплаты и определяла привилегии создателей, но вместо доставляла Lumma, доступный с 2022 года за 250–1000 долл. в месяц в рамках MaaS. Это достаточно продвинутый инфокрад с инновационными механизмами уклонения и функционалом загрузчика, способного внедрять дополнительные полезные данные в скомпрометированную систему и выполнять скрипты PowerShell. Полезная нагрузка под названием brtjgjsefd.exe извлекается из репозитория GitHub и загружается на компьютер жертвы. При запуске вредоносной нагрузки Lumma Stealer реализуется подключение к учетной записи GitHub под именем UserBesty, которую киберпреступник использует для размещения других вредоносных полезных нагрузок. Изучив более подробно коммуникации вредоносного ПО, исследователи Veriti обнаружили набор доменов .shop, которые действовали как серверы C2, отправляя команды Lumma и получая извлеченные данные. Обычно разрабатываемые киберпреступниками инструменты для киберподполья пользуются доверием со стороны заинтересантов, но, как показывает практика, в некоторых случаях это имеет обратный эффект.

Исследователи из JFrog раскрыли атака на цепочку поставок Revival Hijack, может быть использована для захвата 22 000 существующих пакетов PyPI и привести к сотням тысяч загрузок вредоносных пакетов. Злоумышленники в ходе Revival Hijack регистрируют новые проекты PyPi, используя имена ранее удаленных пакетов для проведения атак на цепочку поставок и доставляя вредоносный код разработчикам, извлекающим обновления. Разработчики, решившие удалить проект из PyPI, получают только предупреждение о возможных последствиях, включая сценарий атаки Revival Hijack, поскольку имя проекта после этого достаточно быстро станет доступным любому другому пользователю PyPI. Захвативший имя пользователь сможет выпускать новые версии под прежним названием проекта, если имена файлов дистрибутива не будут совпадать с именами файлов из ранее выпущенного дистрибутива. По данным исследователей JFrog, к настоящему времени на PyPI более 22 000 удаленных пакетов, уязвимых для атаки Revival Hijack, и некоторые из них довольно популярны. Исследователи утверждают, что среднемесячное количество удаленных пакетов на PyPI в среднем составляет 309, что указывает на постоянный поток новых возможностей для злоумышленников. В середине апреля JFrog обнаружили, обнаружили, что Revival Hijack уже использовался в реальных условиях, когда злоумышленник нацелился на pingdomv3 - реализацию службы мониторинга веб-сайтов Pingdom API. Пакет был удален 30 марта, а новый разработчик перехватил имя и в тот же день опубликовал обновление, указав, что злоумышленники знали о проблеме. В последующем обновлении пакет включал троян Python, который был замаскирован с помощью Base64 и нацелен на среды Jenkins CI/CD. Исследователи JFrog приняли меры для снижения риска атак Revival Hijack, создав новые проекты Python с именами наиболее популярных уже удаленных пакетов. JFrog поясняет, что PyPI ведет закрытый черный список, который реализует запрет на регистрацию определенных имен в новых проектах, однако большинство удаленных пакетов не попадают в этот список. Это побудило исследователей предпринять меры для смягчения угрозы Revival Hijack, зарегистриров наиболее популярные из удаленных/уязвимых пакетов под учетной записью с именем security_holding и изменив номера версий на 0.0.0.1. Примечательно, что три месяца спустя пакеты в репозитории имели около 200 000 загрузок из-за автоматизированных скриптов и пользовательских опечаток.

☎ История самого известного фрикера в мире... • Он ни разу в жизни не видел телефона, потому что родился слепым. Обладая абсолютным музыкальным слухом, он мог насвистеть в телефонную трубку последовательность сигналов, которая позволяла ему бесплатно звонить в любую точку земного шара. Его звали Джозеф Энгрессия, но сам он предпочитал называть себя Джойбаблз. • Считается, что именно Энгрессия был самым выдающимся фрикером, “технохиппи” эпохи 70-х и взломщиком телефонных сетей. Он наглядно доказал, что истинная магия технологий заключается не в машинах, а в людях, которые ими управляют. Джозеф вдохновил множество людей на исследование телекоммуникаций и поиск новых путей использования технологий, а главное, доказал, что даже представитель «киберподполья» может посвятить свою жизнь бескорыстной помощи другим. Вот его история: ➡ Читать статью [7 min]. S.E. ▪️ infosec.work ▪️ VT

В целом по уязвимостям на сегодня картина выглядит следующим образом. Google выпустила два обновления Chrome 128 для устранения 8 серьезных уязвимостей, включая 6 шесть высокой степени серьезности, о которых сообщили внешние исследователи. Причем по данным Microsoft, ранее исправленная в Chrome CVE-2024-7971 эксплуатировалась как нуль в рамках кампании, инициированной северокорейской Citrine Sleet, что для корейских хакеров стало уже традицией. Кроме того, PixiePoint опубликовала анализ CVE-2024-38106, нуле в ядре Windows, которая также широко использовалась Citrine Sleet в атаках, нацеленных на криптосообщество. SecureLayer7 выкатила описание CVE-2024-37084 в компоненте сервера Skipper Spring Cloud Data Flow, исправленную в июле. RCE-уязвимость обусловлена использованием стандартного конструктора Yaml, который позволяет десериализовать произвольные объекты, что подвергает системы потенциальным атакам, если предоставляются вредоносные данные YAML. VMware выпустила обновление безопасности для программного обеспечения Fusion, а для камер AVTech теперь появился новый PoC (старый здесь), нацеленный на неисправленную 0-day CVE-2024-7029, о которой сообщалось ранее. Исследователь Fudgedotdotdot опубликовал обзор самых последних методов обхода песочницы, используемых в реальных условиях. Порадовали исследователи СайберОК Александр Черненьков и Сергей Гордейчик, оказавшие помощь в обнаружении уязвимости в Webmin, которая могла быть использована для проведения атаки Loop DoS (CVE-2024-2169). При этом Webmin - это достаточно популярная система управления серверами с более чем 1 000 000 установок по всему миру. Webmin/Virtualmin используют обнаружение сервисов UDP, обычно работающее на порту UDP/10000. Эта служба отвечает на любой запрос UDP IP-адресом и портом, на котором доступна панель управления. Такое поведение может использоваться для реализации атаки Loop DoS путем отправки пакетов UDP с поддельным исходным ip-портом с использованием другого IP-адреса экземпляра Webmin, что может привести к бесконечному обмену трафиком между хостами, отказу в обслуживании (DOS) и/или злоупотреблению ресурсами.

Продолжаем обзор аналитики от Лаборатории Касперского по информационным угрозам во 2 квартале 2024 года с основными показателями по мобильной статистике и ПК. Согласно телеметрии Kaspersky Security Network во втором квартале 2024 года: - Предотвращено 7,7 млн атак с использованием вредоносного, рекламного или нежелательного мобильного ПО. - Самой распространенной угрозой для мобильных устройств стали программы класса RiskTool — 41% от всех обнаруженных угроз. - Было обнаружено 367 418 вредоносных установочных пакетов, из которых: 13 013 пакетов относились к мобильным банковским троянцам, 1392 пакета - к мобильным троянцам-вымогателям. Из основных трендов по мобильным угрозам: число атак с использованием вредоносного, рекламного или нежелательного ПО на мобильные устройства выросло относительного аналогичного периода прошлого года. В апреле этого года были обнаружены новые версии шпиона Mandrake. Также во втором квартале был найден нацеленный на пользователей в Корее банковский троянец IOBot. Число образцов вредоносного ПО для Android снизилось по сравнению с предыдущим кварталом и достигло уровня аналогичного периода в 2023 году. Статистика по ПК включала следующие основные цифры: - решения Лаборатории Касперского отразили более 664 миллионов атак с различных интернет-ресурсов; - веб-антивирус среагировал на 113,5 миллионов уникальных ссылок; - файловый антивирус заблокировал более 27 миллионов вредоносных и нежелательных объектов; - почти 86 тысяч пользователей столкнулись с атаками ransomware; - почти 12% всех жертв шифровальщиков, данные которых опубликованы на DLS-сайтах группировок, пострадали от группы вымогателей Play; - почти 340 тысяч пользователей столкнулись с майнерами. Инфографика, рейтинги по наиболее распространенным угрозам и обзор основных тенденций и событий квартала - в отчетах по мобильной статистике и ПК.

Cisco сегодня явно заслуживает отдельного внимания. Во-первых, в ПО для управления сетевым доступом к конечным точкам в корпоративных средах Cisco Identity Services Engine (ISE) была обнаружена и нейтрализована серьезная уязвимость с общедоступным PoC. Как предупреждает поставщик, уязвимость в определенных командах CLI в ISE может позволить локальному злоумышленнику, прошедшему аутентификацию, выполнять атаки путем внедрения команд в базовую ОС и повышать привилегии до уровня root. CVE-2024-20469 вызвана недостаточной проверкой вводимых пользователем данных, реализация возможна в атаках низкой сложности, которые не требуют взаимодействия с пользователем. Однако, как поясняет Cisco, злоумышленники могут успешно воспользоваться этой уязвимостью только в том случае, если у них уже есть права администратора на неисправленных системах. До настоящего времени этого еще никто не сделал. Во-вторых, Cisco также предупредила клиентов сегодня об удалении бэкдор-аккаунта в утилите Smart Licensing Utility для Windows, которую злоумышленники могут использовать для входа в необновленные системы с правами администратора. CSLU - это приложение Windows, которое помогает управлять лицензиями и связанными продуктами локально, не подключая их к облачному решению Cisco Smart Software Manager. Критическая CVE-2024-20439 позволяет неавторизованным злоумышленникам удаленно войти в уязвимую систему с правами администратора через API приложения Cisco Smart Licensing Utility. Поставщик также выпустил обновления для критической уязвимости раскрытия информации CLSU (CVE-2024-20440). Неаутентифицированные злоумышленники могут использовать для доступа к файлам журналов, содержащим конфиденциальные данные (включая учетные данные API), отправляя специально созданные HTTP-запросы на уязвимые устройства. Если все вышеперечисленные проблемы не использовались (во всяком случае пока), то сайт Cisco Merchandise Store по продаже товаров с корпоративной тематикой пережил атаку CosmicSting (CVE-2024-34102) и сейчас находится на техническом обслуживании. Иными словам был взломан и содержал код JavaScript, который крал конфиденциальные данные клиентов, предоставленные при оформлении заказа. Вероятно, взлом произошел в минувшие выходные. Сама компания пока никак не комментирует инцидент.

Исследователи Cisco Talos заметили новый тренд, связанный с задействованием MacroPack для развертывания вредоносных программ, включая Havoc, Brute Ratel и PhatomCore. MacroPack представляет собой разработанный в интересах Red Team французским разработчиком Эмериком Наси (dba BallisKit) фреймворк для моделирования действий противника. Он реализует расширенные функции, включая как обход защиты, поддержку методов антианализа, а также возможность создания различных полезных нагрузок с обфускацией кода и внедрением необнаруживаемых скриптов VB. В рамках инциированного исследования Cisco Talos удалось задетектить артефакты, загруженные на VirusTotal из разных стран, включая США, Россию, Китай и Пакистан, которые были созданы с помощью MacroPack. Все они использовались для доставки различных полезных нагрузок, таких как Havoc, Brute Ratel и нового варианта PhantomCore - RAT, приписываемого хактивистской группе Head Mare. Вредоносные документы различались по своим приманкам, сложности и векторам заражения, что указывает на то, что MacroPack, вероятно, используется сразу несколькими субъектами угроз и свидетельствует о наметившейся тенденции. Характерной чертой всех выявленных документов стало наличие четырех невредоносных подпрограмм VBA, что, по словам исследователей, указывает на их создание с помощью профессиональной версии MacroPack Pro. Некоторые из обнаруженных документов полагаются на расширенный функционал в составе MacroPack для обхода эвристических обнаружений вредоносных ПО путем сокрытия вредоносных функций с помощью цепей Маркова. Примечательно также и то, что документы-приманки охватывали достаточно широкий круг тематик: от общих тем до официальных документов из военных организаций, что подразумевает участие различных субъектов угроз. Цепочки атак, наблюдавшиеся в период с мая по июль 2024 года, следуют трехэтапному процессу, который включает отправку специально созданного документа Office, содержащего код MacroPack VBA, который затем декодирует полезную нагрузку следующего этапа для окончательного извлечения и выполнения финальной вредоносной ПО. Помимо названных также были замечены группы вымогателей, использующие взломанную версию инструмента для обхода EDR и AV во время атак. Злоупотребление MacroPack добавляет таким атакам еще один уровень скрытности и свидетельствует о переходе к более сложным подходам к выполнению кода.

͏CISO: я рулю процессами информационной безопасности в этой компании!

Исследователи из Лаборатории Касперского выкатили аналитику с результатами за 2 квартал 2024 года. В отчете по развитию информационных угроз представлены результаты исследований по целевых угрозам и вредоносному ПО. Достаточно четко описана хронология и разобраны основные особенности атаки на цепочку поставок в инциденте с бэкдором в XZ, если еще не ознакомились с первоначальным анализом, оценкой инцидента и углубленным анализом перехватчика. Раскрыты подробности обнаруженной в феврале вредоносной кампании DuneQuixote, нацеленной на правительственные организации на Ближнем Востоке с помощью бэкдора CR4T. Не оставлена без внимания и наблюдаемая ЛК активность группировки ToddyCat. В дополнение к предыдущему отчету по инструментам для эксфильтрации, было установлено, каким образом злоумышленники обеспечивают себе постоянный доступ к инфраструктуре, какая информация им интересна и с помощью каких инструментов они ее добывают. Найденная исследователями Лаборатории 0-day CVE-2024-30051 в библиотеке ядра DWM (Desktop Windows Manager), исправленная Microsoft после сообщения исследователей 14 мая, теперь используется вместе с QakBot и другими зловредами, по всей видимости, сразу несколькими злоумышленниками. Результаты прошлогоднего анализа билдера LockBit 3.0, показали, что его утечка в публичный доступ в 2022 году значительно упростила создание злоумышленниками модифицированных вариантов шифровальщиков. В одной из последних статей исследователи изучили файлы билдера LockBit 3.0 и проанализировали шаги, предпринятые злоумышленниками для компрометации сети. В ходе недавнего реагирования на инцидент в поле зрения Лаборатории Касперского попала программа-шифровальщик под названием ShrinkLocker, которая использует встроенную в Windows утилиту BitLocker для шифрования зараженных компьютеров. При этом ShrinkLocker не оставляет записку с требованием выкупа, а меняет метки всех системных дисков на адрес электронной почты злоумышленника. Учитывая, что в последнее время видное место в ландшафте угроз занимают стилеры, специалисты не оставляют без внимания подобные угрозы, представив два новых и один обновленный отчет об Acrid, ScarletStealer и Sys01. Все технические подробности с описанием каждой из угроз - в отчете.

Исследователи NinjaLab обнаружили атаку по сторонним каналам, нацеленную на уязвимость в криптографической библиотеке защищенных микроконтроллеров Infineon. Она оставалась незамеченной в течение 14 лет и затрагивает более 80 самых защищенных продуктов компании. Атака, получившая название EUCLEAK, может использоваться для извлечения закрытых ключей из устройств, использующих защищенные чипы Infineon. Среди затронутых продуктов — TPM, карты доступа Feitian и аппаратные ключи безопасности YubiKey. В частности, уязвимость позволяет злоумышленнику, имеющему физический доступ к ключу безопасности YubiKey, создать клон, который может быть использован для получения доступа к определенной учетной записи, принадлежащей жертве. Однако осуществить атаку непросто. В теоретическом сценарии атаки, описанном NinjaLab, злоумышленник получает имя пользователя и пароль учетной записи, защищенной аутентификацией FIDO. Злоумышленнику также нужен физический доступ к устройству YubiKey жертвы менее чем на час для доступа к микросхеме микроконтроллера безопасности Infineon и для проведения измерений с осциллографом. На втором этапе атаки данные, полученные осциллографом - электромагнитный сигнал побочного канала, поступающий от чипа во время криптографических вычислений - используются для выведения закрытого ключа ECDSA для клонирования. NinjaLab потребовалось 24 часа, чтобы завершить этот этап, но они считают, что его можно сократить до менее чем одного часа. Одним из примечательных аспектов атаки Eucleak является то, что полученный закрытый ключ можно использовать только для клонирования устройства YubiKey для той учетной записи, которая была специально атакована злоумышленником, а не для каждой, защищенной скомпрометированным аппаратным ключом безопасности.  Yubico была проинформирована о результатах NinjaLab в апреле, в ответ на результаты опубликовала рекомендации по безопасности и необходимые исправления. Infineon также была проинформирована и все еще работает над исправлением.  NinjaLab полагают, что некоторые криптокошельки, паспорта и некоторые смарт-автомобили все же могут быть уязвимы для атаки.

Позитивы выкатили аналитику по утечкам данных, выделив актуальные угрозы для компаний за первое полугодие 2024 года. Согласно собранной статистики, утечка данных произошла более чем в половине всех успешных атак на организации в 2023 и 2024 годах. Несанкционированное раскрытие критически важной информации организаций, их клиентов и контрагентов можно считать недопустимым событием (NTE), которое в большинстве случаев приводит к другим NTE, включая финансовые потери, нарушения бизнес-процессов или отдельных систем и последующие атаки на контрагентов. Злоумышленники проявляют ярко выраженный интерес к конфиденциальным данным, которые открывают им возможности получения значительной финансовой выгоды путем вымогательства, мошеннических операций и фишинговых кампаний, а также реализации их в даркнете. В своем обзоре Позитивы проследили основные тенденции в сфере утечек данных, оценили основные последствия и NTE, а также проанализировали методологию работы злоумышленников по части проникновения в инфраструктуру жертвы и извлечения данных. Материал достаточно объемный, в подробности вдаваться не будем, а выделим основные тренды в первой половине 2024 года: - Каждая вторая успешная атака заканчивалась утечкой конфиденциальных данных. В инцидентах в финансовом секторе и здравоохранении утечки следовали в каждых четырех из пяти успешных атак. - Наиболее частыми жертвами атак с утечкой конфиденциальной информации стали госучреждения. На них пришлось 13% от общего числа атак, что на 3% больше, чем в прошлом году. При этом в ряде случаев это случалось из-за утечек данных в системах подрядчиков и контрагентов. - Общее количество утечек сократилось на 4% по сравнению с предыдущими шестью месяцами, однако 2024 год может стать рекордным по объему информации, содержащейся в скомпрометированных базах данных. - Зафиксирован всплеск скомпрометированных учетных данных. Доля аутентификационных данных среди утечек других типов выросла на 9% по сравнению с прошлым годом и достигла рекордных 21%. Среди лидеров по утечкам - ИТ-компании. - Успешные атаки вновь чаще всего заканчивались утечкой персональных данных - в общей сложности 31% от всех украденных у организаций данных. Однако общая доля утечек персданных из организаций существенно снизилась (на 15%) по сравнению с прошлым годом, когда наблюдался всплеск подобных инцидентов, в том числе из-за массовых атак на защищенные системы передачи данных. - На втором месте по объему кражи - утечки коммерческой тайны и информации ограниченного доступа, увеличились на 3% и составили 24%. Лидируют госучреждения, ИТ-компании, промышленный сектор и транспорт: каждая третья утечка данных в этих секторах содержит коммерческую тайну и информацию ограниченного доступа. - В ряде успешных атак (в том числе на IT-компании) хакеры пытались похитить исходный код, что потенциально может повлечь за собой негативные последствия как для компании-разработчика, так и для ее клиентов. - Ransomware продолжали использоваться злоумышленниками почти в каждой третьей успешной атаке, которая привела к утечке конфиденциальной информации. - Наблюдается общий рост числа атак с использованием вредоносного ПО для удаленного управления.

Zyxel выпустила обновления для устранения критической уязвимости, затрагивающей несколько моделей маршрутизаторов и потенциально позволяющей неавторизованным злоумышленникам выполнять инъекцию команд ОС. CVE-2024-7261 имеет оценку CVSS v3 9,8 и представляет собой ошибку проверки входных данных, вызванную неправильной обработкой предоставленных пользователем данных. Она позволяет удаленным злоумышленникам выполнять произвольные команды в операционной системе хоста путем отправки специально созданного файла cookie на уязвимое устройство В числе затронутых маршрутизаторов представлены устройства следующих серий: NWA (все версии до 7.00), NWA1123-AC PRO (все версии до 6.28), NWA1123ACv3, WAC500, WAC500H (все версии до 6.28), WAC (все версии до 6.28), WAX (все версии до 7.00) и WBE (все версии до 7.00). Zyxel сообщает, что уязвимость затрагивает также маршрутизатор безопасности USG LITE 60AX под управлением версии 2.00(ACIP.2), но эта модель автоматически обновляется облаком до версии 2.00(ACIP.3), в которой реализован патч для CVE-NaN. Кроме того, Zyxel выпустила обновления для нескольких серьезных уязвимостей в брандмауэрах APT и USG FLEX, включая CVE-NaN, CVE-NaN, CVE-NaN-CVE-NaN. Наиболее интересной из них является CVE-2024-42057 (CVSS v3: 8.1), которая представляет собой уязвимость внедрения команд в функцию IPSec VPN, которая может быть эксплуатирована удаленно без аутентификации. Если с Zyxel все более менее понятно, то с D-Link в очередной раз приносит клинетам печальные вести. D-Link предупредила о четырех RCE-уязвимостях CVE-2024-41622, CVE-2024-44340, CVE-2024-44341 и CVE-2024-44342, влияющих на все версии оборудования и прошивки маршрутизатора DIR-846W, с которыми она не намерена ничего предпринимать. Все они, три из которых оценены как критические и не требуют аутентификации, были обнаружены исследователем yali-1002, который опубликовал минимальные подробности в своем репозитории на GitHub, воздержавшись пока от выпуска PoC. D-Link хотя и признала наличие проблем и их серьезность, но в связи с EoL затронутого продукта обновлений безопасности выпускать не будет, рекомендуя прекратить его использование. Однако операторы Mirai и Moobot, наоборот будут рады взять DIR-846W под свое обслуживание и оказывать необходимую поддержку, значительно расширяя функционал устройств.

Продолжаем следить за уязвимостями и на 3 сентября ситуация выглядит следующим образом. Двое исследователей из Тель-Авивского университета опубликовали подробности о новой атаке, которая задействует устаревшие криптографические алгоритмы для атаки на протокол Windows Kerberos. PoC также имеется. ZDI раскрыла подробное описание CVE-NaN, критической ошибки в VMWare vCenter, исправленной июне этого года. Удаленный, неаутентифицированный злоумышленник может воспользоваться этой уязвимостью, отправив специально созданный пакет DCERPC на целевой сервер. Успешная эксплуатация может привести к переполнению буфера кучи, что может привести к выполнению произвольного кода в контексте уязвимой службы. Patchstack обнаружила уязвимость SQL-инъекции в плагине Wishlist для WooCommerce, который используется более чем на 100 000 сайтах. Исследователь, известный как Hypr, выкатил описание четырех различных способов эксплуатации CVE-NaN, уязвимости RCE в службе MediaTek WLAN, первоначально исправленной еще в марте 2024. Исследователь Дивьяншу представил подробный анализ EoP-уязвимости CVE-2023-29360 в службе потоковой передачи Windows, которая эксплуатировалась в дикой природе и была исправлена в июне прошлого года. Михаил Жмайло из CICADA8 опубликовал исследование, в котором рассматриваются различные уязвимости в формате файлов Microsoft MSI. Microsoft обнаружила атаки с использованием комбинации нулей в Chrome и Windows, нацеленные на представителей криптосообщества. Злоумышленники использовали уязвимость нулевого дня Chrome для запуска вредоносного кода и выхода из браузера, а затем в Windows - для повышения привилегий и развертывания руткита FudModule. Обе 0-day были исправлены в начале августа. Исследователи связали кампанию с северокорейской APT, которую компания отслеживает как Citrine Sleet.

😕 41% компаний испытывают нехватку специалистов в области ИБ В «Лаборатории Касперского» провели глобальный опрос и выяснили, что 41% компаний в разных странах сталкиваются с нехваткой квалифицированных кадров в сфере ИБ. 💻Больше всего организациям не хватает (дефицит): ▶️Экспертов по угрозам информационной безопасности и аналитиков вредоносного ПО — 39%. ▶️SOC-аналитиков (сотрудники центров мониторинга безопасности) — 35%. ▶️Специалистов по анализу защищённости (Pentest) и экспертов по сетевой безопасности — 33%. ▶️TI-аналитиков (Threat Intelligence) — 32%. 💻Нехватка специалистов по отраслям (дефицит): ▶️Телекоммуникации и медиа — 39%. ▶️Ретейл и здравоохранение— 37%. ▶️ИТ — 31%. ▶️Финансы — 27%. *С точки зрения отраслей сильнее всего ощущается нехватка ИБ-специалистов в государственных секторах, где на момент опроса была не закрыта почти половина вакансий (46%) «Нехватка ИБ-специалистов разной направленности ощущается не только в мире, но и в России. Это обусловлено в том числе продолжающейся цифровизацией в компаниях, растущими потребностями расширяющегося бизнеса, увеличением количества кибератак. Мы видим высокий спрос, в частности, на инженеров внедрения средств защиты информации и SOC-аналитиков, а также специалистов по безопасной разработке. К тому же полагаем, что в ближайшем будущем начнёт расти потребность в экспертах в области безопасности ИИ и нейросетей» — комментирует Владислав Галимов, руководитель группы подбора персонала по направлению информационной безопасности в «Лаборатории Касперского». * Исследование было проведено компанией Grand View Research по заказу «Лаборатории Касперского» в 29 странах, в том числе в России. Всего было опрошено 1012 человек: ИТ-директора, руководители центров мониторинга безопасности (SOC), ведущие специалисты, руководители групп и эксперты по информационной безопасности с разным уровнем опыта. ✋ @Russian_OSINT

Исследователи из Лаборатории Касперского обнаружила сходство по инструментарию и TTPs между хактивистами BlackJack и Twelve, которые, по все видимости, относятся к единому кластеру активности. BlackJack - это хактивистская группировка, заявившая о себе в конце 2023 года и нацеленная на компании в России. В своем Telegram-канале группировка заявляет, что занимается поиском уязвимостей в сетях российских организаций и госучреждений. По состоянию на июнь 2024 года BlackJack публично взяла на себя ответственность за более чем десяток атак. При этом в телеметрии ЛК есть информация и о других, непубличных атаках, индикаторы которых указывают на BlackJack. Группировка использует только свободно распространяемое ПО, в том числе и с открытым исходным кодом, будь то SSH-клиент PuTTY или версию вайпера Shamoon, написанную на Go, код которого уже несколько лет доступен на GitHub. Помимо вайпера, для нанесения ущерба своим жертвам группировка использует утекшую версию шифровальщика LockBit, а для поддержания постоянного доступа - ngrok. Для обеспечения удаленного доступа к системе BlackJack устанавливает различные средства удаленного доступа: Radmin, AnyDesk. Как установили специалисты, описанные выше вредоносные и легитимные инструменты во многом пересекаются с арсеналом хактивистской группы Twelve, которая также полагается на общедоступное ПО и не использует в атаках собственные разработки. Так, обе группировки используют похожие образцы шифровальщика LockBit, а пути, по которым были обнаружены эти образцы, практически идентичны. По данным телеметрии Kaspersky Security Network (KSN), конкретный вариант Shamoon, фигурировавший в атаках группировки BlackJack, также был замечен в некоторых атаках Twelve. Помимо связей, выявленных на основе анализа образцов вредоносного ПО, нам также удалось обнаружить совпадения в командах и утилитах, используемых группировками. При этом в ходе исследований ресечерам также удалось обнаружить еще одну активность, которая сильно напоминает описанные выше, но имела некоторые отличные артефакты и процедуры. Точно определить, к какой конкретной группировке относится эта активность, не представилось возможным, однако образцы вредоносного ПО и TTPs явно указывают на то, что источником является исследуемый кластер активности. Таким образом, исходя из результатов исследований, нельзя быть увереным, что за деятельностью обеих групп стоят одни и те же злоумышленники, однако можно полагать, что BlackJack и Twelve являются частью единого кластера хактивистской активности, нацеленной на организации в России. Индикаторы компрометации и технический разбор - отчете.

Docker-OSX был удален из Docker Hub после того, как Apple подала запрос на удаление в соответствии с DMCA (Законом об авторском праве в цифровую эпоху), утверждая о нарушении ее авторских прав. Docker-OSX - проект с открытым исходным кодом, созданный исследователем Sick.Codes, который позволяет виртуализировать macOS на оборудовании, отличном от Apple, размещая на любой системе, поддерживающей Docker, включая Linux и Windows. Проект широко востребован среди разработчиков, которые задействуют его для тестирования ПО на macOS, или исследователей, которые пробуют различные конфигурации для выявления ошибок или аналитики вредоносного ПО. К настоящему времени Docker-OSX имел 750 000 загрузок и 500 звезд на Docker Hub, а также 40 000 звезд на GitHub. Однако начиная со среды прошлой недели пользователи Docker-OSX сообщают, что им не удалось загрузить последние образы macOS из репозитория Docker Hub, получая ошибку 404. Позже после публикации информации об удалении в X компания Docker подтвердила удаление в ответ на получение запроса в соответствии с DMCA от Apple. В запросе DMCA представляющая интересы Apple юридическая фирма Kilpatrick, Townsend and Stockton LLP, сообщила, что репозиторий docker-osx содержал образы установщика macOS от Apple, которые защищены авторским правом. В уведомлении указывается, что Docker-OSX воспроизводит контент Apple без разрешения, что является нарушением авторских прав в соответствии с законодательством США, и включает требование к Docker незамедлительно закрыть репозитории. Дело в том, что Apple обладает исключительными правами на свой установщик и установку macOS. Docker-OSX воспроизводит этот контент без разрешения, а несанкционированное воспроизведение контента Apple является нарушением DMCA. С юридической точки зрения у Apple в данном случае все ровно, поскольку ее лицензионное соглашение EULA для macOS ограничивает использование ОС только оборудованием под брендом Apple, и компания имеет право обеспечивать соблюдение этих условий лицензирования. Как отмечают разработчики, Apple, в первую очередь, сама себе противоречит и подрывают интересы исследователей, использующих Docker-OSX для повышения безопасности macOS, в том числе действующих в рамках Apple Bug Bounty. Сама же Apple никак не комментирует возникшую ситуацию.

А теперь минутка демократии на канале SecAtor. Власти города Колумбус с населением 2 140 000 (штат Огайо) подали иск к исследователю Дэвиду Лерою Россу (aka Connor Goodwolf), обвиняя его в незаконном распространении данных, украденных 18 июля из муниципальной сети бандой вымогателей Rhysida. Тогда администрация города опровергла шифрование систем, но признала кражу, а ответственность за инцидент спустя день взяла на себя банда Rhysida. Хакеры заявили о краже 6,5 ТБ баз данных, включая данные сотрудников, дампы серверов, записи с городских видеокамер и другую конфиденциальную информацию. Так и не договорившись относительно выкупа, они опубликовали 45% украденных данных, включающих 260 000 файлов (3,1 ТБ), раскрыв большую часть заявленной утечки. Среди них оказались две резервные базы, содержащие большой объем информации местной прокуроратуры и полиции, начиная как минимум с 2015 года, включая, среди прочего, личную информацию агентуры правоохранителей среди местного населения. Вместе с тем, мэр Колумбуса Эндрю Гинтер отрапортовал в СМИ, что раскрытая информация не представляет никакой ценности, а атака была успешно отражена. В свою очередь, Goodwolf решил все же поспорить и поделился со СМИ информацией о том, что реально содержалось в названной утечке. Гинтер решил также не отступать и заявил, что раскрытые в утечке данные были зашифрованы или повреждены, и поэтому не должны вызывать особого беспокойства у общественности. Исследователь же продолжил свою линию и в качестве аргумента своей критики выкатил образцы данных в СМИ, дабы наглядно проиллюстрировать, что среди них имеются незашифрованные и вполне читабельные персданные жителей Колумбуса, в том числе сотрудников полиции, жертв преступлений и пр. Вместо справедливости исследователь получил иск от властей Колумбуса с требованием запрета на дальнейшее размещение слитых данных и возмещение ущерба в размере 25 000 долл. Как сообщает NBC4, судья округа Франклин выдал временный приказ, запрещающий распространять украденные данные, а городской прокурор Зак Кляйн заверил об отсутствии основании считать иск посягательством на свободу слова. Без комментариев.

Минутка объективной инфосек журналистики на канале SecAtor. Расовый румынский инфосек журналист Каталин Чимпану докладывает, что российская проправительственная хакерская группа APT 28 aka Fancy Bear яростно напала на Управление воздушным движением Германии (DFS). Затронута административная IT-инфрастуктура, безопасность полетов не затронута. В качестве пруфа приводятся не данные расследования, не выявленные сходства в TTPs и даже не мнение конкретной инфосек компании или исследователя. Основанием служит публикация в баварском региональном новостном издании BR24. Там прямо так и написано - "по информации BR24, в атаке участвовала группа APT 28" (это законченная сентенция). В принципе это все, что нужно знать о современной объективной инфосек журналистике. Намедни газета Ревдинский гудок рассказала, что инфосек журналист Каталин Чимпану подрезал у одинокой пенсионерки Клавдии Федосовны три курицы и одного серого гуся. К ответу негодяя!

Исследователи Securonix сообщают о тщательно организованной и сложной атаке SLOW#TEMPEST с задействованием фишинга и Cobalt Strike, нацеленной на китаеязычных пользователей. В ходе скрытой кампании неустановленным злоумышленникам посредством вредоносных ZIP-файлов удалось реализовать цепочку заражения, которая привела к развертыванию набора инструментов для постэксплуатации. Затем - осуществить горизонтальное перемещение, закрепиться и оставаться незамеченными в системах более двух недель. ZIP-архив включал файл ярлыка Windows (LNK), замаскированный под файл Microsoft Word (违规远程控制软件人员名单.docx.lnk), мимикрирующий под официальный документ с указанием списка нарушивших регламент в отношении работы программного обеспечения для дистанционного управления. В совокупности, задействуемый китайский язык и содержание приманки, указывают на вероятные цели атаки, в числе которых выступают по всей видимости китайские предприятия или госучреждения. Файл LNK выступает в качестве канала для запуска легитимного двоичного файла Microsoft (LicensingUI.exe), который использует боковую загрузку DLL для выполнения мошеннической dui70.dll. Оба файла являются частью архива ZIP в каталоге с именем «\其他信息\.__MACOS__\._MACOS_\__MACOSX\_MACOS_». Эта атака является первым случаем, когда была зарегистрирована сторонняя загрузка DLL через LicensingUI.exe. Файл DLL представляет собой имплант Cobalt Strike, который обеспечивает постоянный и скрытый доступ к зараженному хосту, одновременно устанавливая связь с удаленным сервером (123.207.74[.]22). Сообщается, что удаленный доступ позволил злоумышленникам провести ряд действий, включая развертывание дополнительных полезных нагрузок для разведки и настройку прокси-соединений. Цепочка заражения также примечательна тем, что создает запланированную задачу для периодического запуска вредоносного исполняемого файла lld.exe, который может запускать произвольный шелл-код непосредственно в памяти, тем самым оставляя минимальные следы на диске. Кроме того, задействуемая гостевая учетная запись, обычно отключенная и имеющая минимальные привилегии, преобразуется злоумышленниками в мощную точку доступа путем добавления ее в критическую административную группу. Это позволяет сохранять доступ к системе с минимальным обнаружением, поскольку задействуемая гостевая учетная запись часто не отслеживается так же пристально, как другие учетные записи пользователей Горизонтальное перемещение по сети реализуется с использованием RDP и учетных данных, полученных с помощью инструмента Mimikatz, после чего устанавливается удаленные подключения к своему C2 на каждой из машин. Фаза постэксплуатации характеризуется выполнением нескольких команд сканирования и использования инструмента BloodHound для разведки Active Directory (AD), результаты которой затем извлекаются в виде ZIP-архива. Связи с Китаем подкрепляются тем фактом, что все C2 размещены в Shenzhen Tencent Computer Systems Company Limited. Кроме того, большинство артефактов, связанных с кампанией, происходят из Китая. Каких-либо убедительных доказательств, связывающих эту атаку с какой-либо известной APT-группировкой, не найдено. Однако можно точно считать, что организована она продвинутым злоумышленником с опытом использования передовых фреймворков и широкого спектра других инструментов постэксплуатации.

В новом отчете исследователи Proofpoint раскрывают вредоносную кампанию по распространению ранее не документированного бэкдора Voldemort среди организаций по всему миру, действуя под видом налоговых органов США, Европы и Азии. Кампания активна как минимум с 5 августа 2024 года и насчитывает более 20 000 писем в более чем 70 целевых организаций, а на пике активности число таких писем достигало 6 000 за день. Более половины всех целевых организаций относятся к страховому, аэрокосмическому, транспортному и образовательному секторам. Как полагают в Proofpoint, наиболее вероятной целью является кибершпионаж. В рассылаемых письмах утверждается, что имеется обновленная налоговая информация и содержатся ссылки на соответствующие документы. При нажатии на нее получатели переходят на целевую страницу, размещенную на InfinityFree, которая использует URL-адреса кэша Google AMP для перенаправления жертвы на страницу с кнопкой «нажмите, чтобы просмотреть документ». При нажатии кнопки страница проверит User Agent браузера и, если он для Windows, перенаправит цель на search-ms URI (протокол поиска Windows), который указывает на туннелируемый TryCloudflare URI. Пользователи, не являющиеся пользователями Windows, перенаправляются на пустой URL-адрес Google Drive, который не содержит вредоносного контента. В случае взаимодействия с файлом search-ms, проводник Windows отображает файл LNK или ZIP, замаскированный под PDF.  Такой прием в последнее время стал популярным в фишинге, поскольку файл размещен на внешнем ресурсе WebDAV/SMB, но создает впечатление, что находится локально в папке «Загрузки», чтобы обманом заставить жертву открыть его. При этом выполняется скрипт Python из другого общего ресурса WebDAV без его загрузки на хост, который собирает системную информацию для профилирования жертвы. Одновременно отображается поддельный PDF-файл. Скрипт также загружает легитимный исполняемый файл Cisco WebEx (CiscoCollabHost.exe) и вредоносную DLL (CiscoSparkLauncher.dll) для доставки Voldemort с помощью боковой загрузки DLL. Сам Voldemort - это бэкдор на языке C, который поддерживает широкий спектр команд и действий по управлению файлами, включая эксфильтрацию, внедрение новых полезных нагрузок в систему и удаление файлов. Примечательной особенностью Voldemort является то, что он использует Google Sheets в качестве C2, отправляя ему запросы на получение новых команд для выполнения на зараженном устройстве, а также в качестве хранилища украденных данных. Каждая зараженная машина записывает свои данные в определенные ячейки в Google Sheet, которые могут быть обозначены уникальными идентификаторами, такими как UUID, что обеспечивает изоляцию и более четкое управление взломанными системами. Voldemort использует API Google со встроенным идентификатором клиента, секретом и токеном обновления для взаимодействия с Google Sheets, которые хранятся в его зашифрованной конфигурации. Такой подход обеспечивает вредоносному ПО надежный и высокодоступный канал C2, а также снижает вероятность того, что сетевое взаимодействие будет отмечено средствами безопасности.

Исследователи Ян Кэрролл и Сэм Карри обнаружили SQL-уязвимость в FlyCASS, веб-сервисе, который авиакомпании используют для управления программой Known Crewmember (KCM) и системой безопасности доступа в кабину (CASS). Уязвимость в ключевой системе безопасности воздушного транспорта фактически позволяла неавторизованным злоумышленникам потенциально обходить досмотр в аэропорту и получать доступ к кабинам самолетов. KCM — это программа Администрации транспортной безопасности (TSA), которая позволяет пилотам и бортпроводникам обходить проверку безопасности, а CASS позволяет уполномоченным пилотам использовать откидные сиденья в кабинах. Система KCM, которой управляет ARINC (дочерняя компания Collins Aerospace), обеспечивает проверку учетных данных сотрудников авиакомпаний через онлайн-платформу. Процесс включает сканирование штрихкода KCM или ввод номера сотрудника, а затем перекрестную проверку с базой данных авиакомпании для предоставления доступа без необходимости прохождения проверки безопасности. Аналогичным образом система CASS проверяет пилотов на предмет доступа к откидному сиденью в кабине, если им нужно добираться на работу или в ходе частных поездок. Используя найденную уязвимость, исследователи смогли войти в FlyCASS в качестве администратора участвующей авиакомпании Air Transport International и манипулировать данными сотрудников в системе. В рамках исследования был добавлен фиктивный сотрудник Test TestOnly с предоставлением ему доступа к KCM и CASS, что фактически позволило обойти проверку безопасности и получить доступ в кабины коммерческих авиалайнеров. Исследователи немедленно приступили к раскрытию информации, связавшись с Министерством внутренней безопасности (DHS) 23 апреля 2024 года, минуя прямой контакт с FlyCASS. DHS признала серьезность уязвимости, отключив FlyCASS от системы KCM/CASS 7 мая 2024 года в качестве меры предосторожности. Вскоре после этого уязвимость была исправлена. После чего DHS прекратила контакты с исследователями и попытки дальнейшей координации безопасного раскрытия провалились. Не задался и диалог с TSA.

͏Тем временем, в киберподполье подкатили новинки в категории iOS RCE. KeeperZed предлагает приобрести iOS 0-day RCE эксплойт, который не требует взаимодействия с пользователем (ZeroClick) и обеспечивает полный контроль над устройствами под управлением iOS 17.xx и iOS 18.xx

Исследователи из ESET сообщают об обнаружении кибершпионской кампании южнокорейской APT-C-60, которая использовала 0-day в WPS Office для Windows для развертывания бэкдора SpyGlace на объекты в Восточной Азии. WPS Office - это пакет офисных приложений, разработанный китайской фирмой Kingsoft, который широко распространен в Азии и насчитывает более 500 миллионов активных пользователей по всему миру. Обозначенная CVE-2024-7262 использовалась в атаках по крайней мере с конца февраля 2024, но затрагивает лишь версии с 12.2.0.13110 (август 2023) по 12.1.0.16412 (март 2024). Kingsoft без официальных уведомлений исправила проблему в марте этого года, не сообщая клиентам, что уязвимость активно эксплуатировалась, что вместо нее сделали ESET, обнаружившую как кампанию, так и уязвимость. Помимо CVE-2024-7262 ESET отыскали и вторую серьезную уязвимость - CVE-2024-7263, которую Kingsoft исправила в конце мая 2024 года в версии 12.2.0.17119. CVE-2024-7262 связана с тем, как ПО обрабатывает пользовательские обработчики протоколов, в частности «ksoqing://», который позволяет выполнять внешние приложения через специально созданные URL-адреса в документах. В виду неправильной проверки и очистки этих URL-адресов уязвимость позволяет злоумышленникам создавать вредоносные гиперссылки, которые приводят к выполнению произвольного кода. Так, APT-C-60 создавала электронные таблицы (файлы MHTML), в которые встраивала вредоносные гиперссылки, скрытые под изображением-приманкой, чтобы заставить жертву щелкнуть по ним и активировать эксплойт. Обработанные параметры URL включают в себя закодированную в base64 команду для запуска определенного плагина (promecefpluginhost.exe), который пытается загрузить вредоносную DLL (ksojscore.dll), содержащую код злоумышленника. Эта DLL представляет собой компонент загрузчика APT-C-60, предназначенный для извлечения конечной полезной нагрузки (TaskControler.dll) с сервера злоумышленника, специального бэкдора под названием SpyGlace. В ходе расследования атак APT-C-60 была установлена вторая упоминавшаяся уязвимость WPS Office, которая явилась следствием недостаточно эффективного исправления CVE-2024-7262. Первоначальное решение проблемы включало добавление проверки определенных параметров, часть из которых, например, CefPluginPathU8, все еще не были достаточно защищены, что позволило снова указать пути вредоносных DLL через promecefpluginhost.exe. ESET поясняет, что данную уязвимость можно эксплуатировать локально или через сетевой ресурс с вредоносной DLL, но в реальных условиях эксплуатации не наблюдали. Полный перечень IoC, связанных с активностью APT-C-60, - в репозитории на GitHub.

Используете IP-камеры AVTECH - ошибка, не слышали про вредоносный IoT-ботнет Corona - фатальная ошибка. Исследователи Akamai сообщают о начавшейся с декабря 2023 активной эксплуатации IoT-ботнетами нуля в камерах видеонаблюдения AVTECH, который позволяет захватывать устройства и запускать DDoS-атаки. 0-day связан с внедрением команд (CVE-2024-7029, оценка CVSS v4: 8,7) в функции, которая предназначена для удаленной регулировки яркости камеры AVTECH. Уязвимость позволяет неавторизованным злоумышленникам вводить команды по сети с помощью специально созданных запросов. Она затрагивает все IP-камеры AVTECH AVM1203, работающие на версиях прошивки до Fullmg-1023-1007-1011-1009. Поскольку затронутые модели больше не поддерживаются тайваньским поставщиком уже с 2019 года, исправлений для устранения уязвимости CVE-2024-7029 нет, и их выпуск не ожидается. При этом PoC для данной уязвимости был доступен по крайней мере с февраля 2019 года, но CVE был присвоен только в этом месяце, ведь ранее активных эксплуатаций не наблюдалось. В свою очередь, ботнет Corona, вариант Mirai, теперь реализует распространение через RCE-уязвимость нулевого дня пятилетней давности в IP-камерах, которые которые все еще находятся в эксплуатации, несмотря на EoL. Первая активная кампания началась 18 марта 2024 года, но анализ показал возможную активность, начавшуюся еще в декабре 2023 года. Атаки Corona задействуют уязвимость CVE-2024-7029 для загрузки и выполнения файла JavaScript, который, в свою очередь, доставляет основную полезную нагрузку ботнета на устройство. После внедрения на устройство вредоносная ПО подключается к своим C2 и ожидает инструкций по выполнению распределенных атак типа DDoS. Среди других уязвимостей, на которые нацеливается Corona: - CVE-2017-17215: уязвимость в маршрутизаторах Huawei, которая позволяет удаленным злоумышленникам выполнять произвольные команды на уязвимых устройствах посредством эксплуатации ненадлежащей проверки в службе UPnP. - CVE-2014-8361: RCE в Realtek SDK, которая распространена в маршрутизаторах. Эксплуатация возможна через службу HTTP. - Hadoop YARN RCE: уязвимости в системе управления ресурсами Hadoop YARN (Yet Another Resource Negotiator), которые могут быть использованы для удаленного выполнения кода в кластерах Hadoop. Akamai уведомила AVTECH о нуле и замеченных атаках в начале этого года, но разработчик не отреагировал и не выпустил исправления. Пользователям IP-камер AVTECH AVM1203 рекомендуется немедленно отключить их и заменить более новыми и активно поддерживаемыми моделями.

Beckhoff Automation сообщает об исправлении уязвимостей в своей операционной системе TwinCAT/BSD для промышленных ПК, которые были найдены исследователями Nozomi Networks. TwinCAT/BSD объединяет среду выполнения TwinCAT с операционной системой FreeBSD с открытым исходным кодом. TwinCAT позволяет пользователям преобразовать практически любую систему на базе ПК в контроллер реального времени с возможностями полноценной ПЛК-системы. По данным Nozomi Networks, веб-компонент управления Device Manager, поставляемый с операционной системой и обеспечивающий удаленный мониторинг и настройку устройств Beckhoff, подвержен четырем уязвимостям. Две из них, CVE-2024-41173 и CVE-2024-41174, были отнесены к категории высокой степени серьезности и могут быть использованы для обхода аутентификации и проведения XSS-атак соответственно. По данным Nozomi, злоумышленник с ограниченными полномочиями может использовать уязвимость CVE-2024-41173 для того, чтобы сбросить пароль администратора ПЛК без необходимости в исходном пароле. Это позволит ему подключиться к ПЛК с административным доступом через стандартные инженерные инструменты и перепрограммировать устройство по своему усмотрению, потенциально нарушая контролируемый промышленный процесс. Две другие уязвимости, которым присвоен уровень средней степени серьезности, позволяют локальным злоумышленникам вызывать DoS ПЛК. Злоумышленник с ограниченными полномочиями может сделать так, что устройства перестанут отвечать на запросы (в том числе удаленно через сеть), пока не будет выполнен сброс питания. Возможности этой уязвимости можно комбинировать с другими атаками на устройство: злоумышленник может выполнить ранее упомянутую манипуляцию программированием ПЛК, чтобы инициировать нарушение производственного процесса. Впоследствии реализовать сценарий DoS, чтобы предотвратить доступ к устройству, блокируя любую попытку восстановить контроль. Beckhoff выпустила исправления и меры по устранению уязвимостей, а также рекомендации по каждой уязвимости.

👩‍💻 Изучаем Linux. • Ни для кого не секрет, что каждый профессионал в области информационной безопасности обязан знать Linux! В этом посте я собрал достаточное кол-во бесплатного материала для изучения, который будет полезен не только новичкам, но и опытным специалистам. • Начнем с того, что эта публикация составлена благодаря новой дорожной карте для изучения linux, которая опубликована в roadmap.sh, обязательно добавляйте в закладки и берите на вооружение. Все этапы кликабельны и описаны в достаточной мере: https://roadmap.sh/linux • Идем дальше! Курс "Введение в Linux", онлайн-книга «Эффективная консоль» и очень крутая серия статей на хабре "Кунг-фу стиля Linux". Благодаря этим источникам Вы познакомитесь с операционной системой Linux и её базовыми возможностями. А еще есть вот такой материал на хабре: "справочник по «всем-всем» командам Linux" - тут собраны 1110 команд на все случаи жизни. Пригодится и опытным специалистам, и новичкам. • На очереди два очень полезных и объемных курса по администрированию Linux: первый плейлист содержит в себе 84 урока (на данный момент) и постоянно обновляется, а второй плейлист от VK Team, тут Вы найдете 20 часов лекций по администрированию интернет-сервисов, обеспечению их отказоустойчивости, производительности и безопасности, а также особенности устройства ОС Linux, наиболее широко применяемой в подобных проектах. Рекомендую к изучению после изучения материала выше. • Еще один курс: основы GNU/Linux и подготовка к RHCSA. Более 800 страниц полезной информации по изучению операционных систем семейства Linux и подготовки к экзамену для сертификации системного администратора по RedHat. • Далее идет небольшое руководство, которое подсвечивает некоторые слабые места Linux. Основной упор сделан на повышении привилегий и закреплению в системе, а в качестве примера мы будем использовать несколько уязвимых виртуальных машин. Приступайте к изучению если изучили материал выше. Плюс ко всему, еще есть объемная статься с практическими советами по усилению безопасности Linux. • Учитывайте, что все вышеперечисленные источники я отбирал только на свой взгляд и усмотрение. Данная подборка не претендует на полноту, а в сети есть еще сотни подобных ресурсов, книг и курсов. S.E. ▪️ infosec.work ▪️ VT

BI.ZONE раскрывает новую хакерскую группу Stone Wolf, которая использует коммерческий инфостиллер Meduza для атак на российские организации. Злоумышленники рассылают фишинговые письма от лица легитимной организации, занимающейся промышленной автоматизацией с целью доставки в корпоративные инфраструктуры Meduza. Использование известных брендов для фишинговых рассылок - это широко распространенный ход со стороны атакующих. Причем чем известнее и успешнее компания, тем охотнее злоумышленники используют ее айдентику, ведь это значимо повышает доверие со стороны жертвы, подталкивая открыть письмо. Бизоны также отмечают, что атакующие продолжают расширять арсенал коммерческим ВПО, что в очередной раз подчеркивает важность регулярного мониторинга теневых ресурсов. В рамках обнаруженной кампании Stone Wolf распространял архив с именем Dostavka_Promautomatic.zip с тремя файлами под капотом: цифровая подпись (p7s), легитимный документ-приманка (docx), и вредоносная ссылка, замаскированная под PDF-документ (Scan_127-05_24_dostavka_13.05.2024.pdf.url). После активации вредоносной ссылки происходило обращение к находящемуся на удаленном SMB-сервере файлу для загрузки и запуска, доставляя в конечном итоге - Meduza Stealer. Стиллер был замечен в киберпольполье в июне 2023 года по цене 199 долларов за месячную подписку (399 долларов - за три месяца) и 1199 долларов - за бессрочную лицензию. В марте 2024 года стали доступны дополнительные возможности: приобретение загрузчика (вероятно, In2al5d P3in4er), а также выделенного сервера с выбором параметров количества ядер, оперативной памяти и места на диске. При покупке предоставляется билдер, а также веб‑панель, в которой можно отслеживать собранные данные с устройств жертв. В исполняемый файл, по заверениям разработчиков, встроен модуль, ограничивающий возможность реализации атак на территории СНГ. В исследуемом образце такая проверка отсутствует. Стилер собирает системную информацию: версию ОС, имя устройства, время, информацию о процессоре, оперативной памяти и графическом адаптере, разрешении экрана и внешнем IP устройства через обращение к https://api.ipify[.]org. Кроме того, обладает функционалом для кражи учетных данных из Outlook, браузеров, криптокошельков, сессии Telegram и Steam, токенов Discord, менеджеров паролей, данных из Windows Credential Manager и Windows Vault, а также считывания список активных процессов и установленных приложений. Собранные данные отправляются на управляющий сервер по протоколу TCP. Если ВПО не может подключиться к С2, работа программы завершается. Подробности атак, IOCs и MITRE ATT&CK - в отчете.

Исследователи Sophos в своем отчете констатируют, что вредоносный драйвер режима ядра Windows PoorTry теперь активно задействуется в атаках по нейтрализации EDR в реальных условиях, о чем предупрежадала Trend Micro еще в мае 2023. В последнем отчете Sophos изучается июльская атака RansomHub, в ходе которой Poortry был использован для удаления критически важных исполняемых файлов (EXE), динамически подключаемых библиотек (DLL) и других важных компонентов EDR. Вообще же, PoorTry используется сразу несколькими бандами вымогателей, включая BlackCat, Cuba и LockBit, для отключения EDR, превратившись в полнофункциональный очиститель решений безопасности. При этом замечены также и другие преступные группы, такие как Scattered Spider, аналогичным образом оперирующие инструментом в своих атаках, нацеленных на кражу учетных данных и подмену SIM-карт. Эта эволюция PoorTry из деактиватора EDR в очиститель представляет собой очень агрессивную смену тактики со стороны злоумышленников, которые теперь отдают приоритет более глубокой фазе настройки, чтобы обеспечить лучшие результаты на этапе шифрования. PoorTry, также известный как BurntCigar, был разработан в 2021 году как драйвер режима ядра для отключения EDR и другого ПО безопасности. Он впервые привлек внимание, когда его разработчики нашли способы подписывать свои вредоносные драйверы с помощью процесса подтверждения подписи Microsoft. В течение 2022-2023 гг. Poortry продолжал развиваться, оптимизируя свой код и используя инструменты обфускации, такие как VMProtect, Themida и ASMGuard, для упаковки драйвера и загрузчика Stonestop. В случае наблюдаемой Sophos атаки процесс начинался с компонента пользовательского режима PoorTry, который определял каталоги установки ПО безопасности и критические файлы в них. Затем он отправлял запросы компоненту режима ядра для систематического завершения процессов, связанных с безопасностью, а затем удалял их важные файлы. Пути к этим файлам жестко запрограммированы в PoorTry, в то время как компонент пользовательского режима поддерживает удаление как по имени файла, так и по типу, что обеспечивает ему некоторую эксплуатационную гибкость для охвата более широкого спектра EDR. Вредоносное ПО можно настроить только на удаление файлов, имеющих решающее значение для работы EDR, избегая излишней активности на первых этапах атаки. Sophos также отмечает, что последние варианты Poortry используют манипуляцию временными метками подписей, чтобы обойти проверки безопасности в Windows, и метаданные из другого ПО, в том числе Internet Download Manager от Tonec Inc. Злоумышленники, как было замечено, использовали тактику, известную как certificate roullete, развертывая несколько вариантов одной и той же полезной нагрузки, подписанных разными сертификатами, чтобы увеличить свои шансы на успешное выполнение хотя бы одного из них. Несмотря на попытки отследить эволюцию PoorTry и противодействовать его работе, разработчики инструмента продемонстрировали замечательную способность адаптации к новым мерам защиты. Функция очистки EDR дает инструменту преимущество перед защитниками, реагирующими на атаки, но также открывает и новые возможности для обнаружения атак на этапе, предшествующем шифрованию.

❗️🥷 Вредоносное ПО попало в официальный репозиторий плагинов мессенджера 🐦Pidgin 💬 Pidgin - модульный клиент мгновенного обмена сообщениями для GNU/Linux, Windows и BSD. Он совместим из коробки с Jabber/XMPP, Bonjour, Gadu-Gadu, IRC, Novell GroupWise Messenger, Lotus Sametime, SILC, SIMPLE и Zephyr. Pidgin удалил плагин "ScreenShareOTR" из своего официального списка сторонних плагинов после того, как было обнаружено, что он используется для установки 🤖кейлоггеров, стилеров информации и вредоносного ПО. Приветствую всех. С большим сожалением я пишу этот пост. Плагин ss-otr был добавлен в список сторонних плагинов 6 июля. 16 августа мы получили сообщение от 0xFFFC0000 о том, что плагин содержит кейлоггер и делится снимками экрана с нежелательными лицами. Мы незамедлительно удалили плагин из списка и начали расследование. 22 августа Джонни Хмас смог подтвердить наличие кейлоггера. Если вы случайно установили этот плагин, немедленно удалите его....В дальнейшем мы будем требовать, чтобы все плагины, на которые мы ссылаемся, имели лицензию OSI Approved Open Source License и чтобы был проведен определенный уровень проверки безопасности плагина для пользователей. - сообщается в блоге Pidgin. Несколько дней назад мессенджер Pidgin Instant Messenger опубликовал уведомление о вредоносном плагине (ScreenShareOTR), обнаруженном в списке сторонних плагинов. Компания ESETResearch исследовала эти плагины и подтверждает, что они действительно содержат вредоносный код... - пишет Eset Research. 🕷ESET утверждает, что вредоносный плагин был настроен на заражение ничего не подозревающих пользователей вредоносным ПО DarkGate. По данным ESET, программа установки плагина подписана действительным цифровым сертификатом, выданным INTERREX - SP. Z O.O., легитимной 🇵🇱польской компанией. Загружаемая полезная нагрузка представляет собой скрипты PowerShell, либо вредоносную программу DarkGate, которая также подписана сертификатом Interrex. На том же вредоносном сервере, который уже удален, находились дополнительные плагины под названиями OMEMO, Pidgin Paranoia, Master Password, Window Merge и HTTP File Upload. Эти плагины почти наверняка также поставлял DarkGate, что указывает на то, что ScreenShareOTR был лишь небольшой частью более масштабной кампании. - пишет Bleeping. Pidgin не представил публично статистику загрузок для ss-otr, поэтому точное количество жертв неизвестно. Отныне Pidgin будет одобрять только те сторонние плагины, которые имеют лицензию OSI Approved Open Source License, позволяющую тщательно изучить их код и внутреннюю функциональность. ✋ @Russian_OSINT

Вкратце по другим уязвимостям картина следующая. Критическая уязвимость CVE-2024-6386 (CVSS: 9,9) в плагине WPML делает сайты WordPress уязвимыми, затрагивая все версии плагина до 4.6.13, выпущенной 20 августа 2024 года. WPML - популярный плагин, используемый для создания многоязычных сайтов WordPress c миллионом активных установок. Обнаруживший уязвимость исследователь Stealthcopter отмечает, что проблема заключается в обработке плагином коротких кодов, которые используются для вставки контента постов: аудио, изображения и видео. Проблема, возникающая из-за отсутствия проверки и очистки входных данных, позволяет аутентифицированным злоумышленникам с доступом уровня Contributor и выше выполнять код на сервере. Исследователи нашли способ дампа корневого ключа обеспечения (или Fuse Key0) для Intel SGX. Метод работает только на некоторых сериях процессоров, поддержка которых уже прекращена. Этот ключ теперь можно использовать для извлечения и расшифровки данных из защищенного режима SGX с помощью собственных ключей Intel - или для размещения данных внутри. Проблема обусловлена ошибкой в микрокоде Intel. В частности, с невозможностью очистить внутренний буфер, содержащий все значения предохранителей, включая FK0. Исследователь Маркус Хатчинс представил статью в отношении CVE-2024-38063 (CVSS 9,8), в которой пришел к выводу, что надежных PoC (на данный момент) нет, за исключением этого, который вызывает DoS. Mobile Security Framework (MobSF) исправила уязвимость в мобильном продукте для пентестинга, которая может быть использована с помощью атак ZIP Slip для удаленного выполнения кода на сервере MobSF. Ошибка получила оценку CVSS 9,8 и проста в эксплуатации. RedTeam Pentensting опубликовала отчет по CVE-NaN - уязвимости удаленного выполнения кода, которая была исправлена в системе управления доступом Moodle. Стал доступен PoC для CVE-NaN, RCE до аутентификации в Apache OFBiz, исправленный в начале этого месяца. Ошибка добавлена в базу активно эксплуатируемых ошибок CISA KEV. Microsoft исправила возможность атаки, в которой задействовались символы ASCII для кражи данных клиентов из Copilot AI. Исследовательская группа Trend Micro раскрывает подробности CVE-NaN в VMware vCenter Server, описывая основную причину этой ошибки и показывая, как ее можно использовать для RCE. Пока не было обнаружено ни одной атаки в дикой природе, при этом эксплуатация не тривиальна.

Fortra предупреждает о критической уязвимости жестко запрограммированного пароля в FileCatalyst Workflow, которая позволяет получить несанкционированный доступ к внутренней базе Workflow HyperSQL (HSQLDB), выкрасть данные и получить привилегии администратора. Кроме того, учетные данные базы данных могут быть использованы для создания новых пользователей-администраторов, открывая доступ на уровне администратора к приложению FileCatalyst Workflow и по факту полный контроль над системой. Проблема отслеживается как CVE-NaN (CVSS v3.1: 9.8) и затрагивает FileCatalyst Workflow 5.1.6 Build 139 и более ранние выпуски. Пользователям рекомендуется обновиться до версии 5.1.7 или более поздней. Fortra отметила в своем бюллетене, что HSQLDB включен только для реализации процесса установки и не предназначен для производственного использования, рекомендуя пользователям настроить альтернативные решения после установки. Однако пользователи, которые не настроили FileCatalyst Workflow для использования альтернативной базы данных в соответствии с рекомендациями, уязвимы для атак из любого источника, который может достичь HSQLDB. Методов смягчения или обходных путей не существует, поэтому системным администраторам рекомендуется как можно скорее применить доступные обновления безопасности. CVE-NaN была обнаружена исследователями Tenable 1 июля 2024 года, когда был найден один и тот же статический пароль GOSENSGO613 во всех развертываниях FileCatalyst Workflow. Tenable пояснила, что внутренний рабочий процесс HSQLDB доступен удаленно через порт TCP 4406 при настройках продукта по умолчанию, что свидетельствует о критичности уязвимости. Следует отметить, что конечные пользователи не могут изменить этот пароль обычными способами, поэтому единственным решением является обновление до версии 5.1.7 или более поздней. Высокий уровень доступа, простота эксплуатации и потенциально значимая эффективность для киберпреступников, использующих CVE-NaN, делают эту уязвимость чрезвычайно опасной для пользователей FileCatalyst Workflow. Ведь как известно, решения Fortra традиционно находятся под прицелом злоумышленников, поскольку критические проблемы в них могут привести к массовым взломам одновременно нескольких важных корпоративных сетей. Что, по всей видимости, и произойдет в ближайшее время, но будем посмотреть.

Исследователь SafeBreach Алон Левиев выкатил Windows Downdate, который можно использовать для атак с понижением версии на современные системы Windows 10, Windows 11 и Windows Server. Как мы ранее сообщали, в ходе таких атак злоумышленники могут заставить целевые полностью обновленные устройства откатиться к старым версиям ПО, тем самым вновь создавая уязвимости, которые можно использовать для взлома системы. Windows Downdate доступен в виде программы с открытым исходным кодом на основе Python и предварительно скомпилированного исполняемого файла Windows. Ресерчер также поделился примерами использования инструмента, которые позволяют понизить версию гипервизора Hyper-V (до двухлетней версии), ядра Windows, драйвера NTFS и драйвера Filter Manager (до их базовых версий), а также других компонентов Windows, а также ранее примененных исправлений безопасности. Помимо пользовательских понижений, Windows Downdate реализует простые в использовании примеры отката исправлений для CVE-NaN, CVE-NaN, CVE-NaN и PPLFault, а также примеры понижения версии гипервизора, ядра и обхода блокировок UEFI VBS. Ранее Левиев презентовал атаку понижения версии Windows Downdate с использованием CVE-2024-21302 и CVE-2024-38202 на конференции Black Hat 2024. Причем использование инструмента невозможно обнаружить, поскольку его невозможно заблокировать с помощью EDR, а Центр обновления Windows будет сообщать, что целевая система обновлена (несмотря на понижение версии). Несмотря на то, что 7 августа Microsoft выпустила обновление (KB5041773) для исправления уязвимости повышения привилегий Windows Secure Kernel Mode CVE-NaN, до сих пор нет исправления для CVE-NaN - уязвимости повышения привилегий в стеке обновлений Windows. До тех пор, пока не будет выпущено обновление, Редмонд советует клиентам следовать рекомендациям по защите от атак с понижением версии Windows.

Исследователи Solar 4RAYS связывают недавние расследованные инциденты с проукраинскими группировками, которые продолжают оставаться основным источником угроз для российских организаций. При этом, как отмечают ресерчеры, активно реализуются три ключевые уязвимости в практиках защиты ИТ-инфраструктур, а именно: - несвоевременное устранение брешей, связанных с уязвимостями в распространенном корпоративном ПО; - недостаточный контроль над уровнем доступа подрядчиков в инфраструктуры организаций; - продолжающиеся практики хранения аутентификационных данных в открытом виде. При этом за целевыми кибератаками не всегда стоят профессиональные атакующие, но даже они из-за недостатков в защите способны добиться результата. Кроме того, атакующие продолжают исследовать проблемные аспекты в распространенном корпоративном ПО, задействуя особенности взаимодействия Windows с сертификатами драйверов, от которой еще предстоит найти надежный способ защиты. В первом случае атакующие зашифровали инфраструктуру промышленной компании и повредили серверы виртуализации ESXI. Финал атаки пришелся на май, в инфраструктуру злоумышленники проникли еще в начале марта. Первоначальной точкой входа послужила система с установленной TeamCity с CVE-2024-27198, позволившая создать учетные записи с правами администратора без предварительной аутентификации и установить вредоносный плагин. Развивая атаку, злоумышленники продолжили использовать функциональные возможности Team City, переместившись на следующую систему, которая предназначалась для диспетчеризации. Она обеспечила им разведку сети и сбор данных, включая логины и пароли в открытом виде. Также с системы осуществлялось множество доступов на другие системы жертвы по протоколу RDP, включая и ключевую систему, которая принадлежала администратору домена. В конечном счете атакующие зашифровали инфраструктуру. Во второй атаке, начавшейся в конце апреля, атакующие также повредили виртуализацию и зашифровали множество различных систем.  Артефакты, обнаруженные в ходе первого инцидента, напомнили поведение Morbid Trickster (также известной как Morlock), а по итогам расследования второй атаки всё ещё недостаточно данных, чтобы отнести ее к какой-то известной нам группировке. Основываясь на комбинации использованных утилит, таких как Lockbit, Anydesk, gs-netcat, chisel, а также характерному наименованию утилит (kis.exe, kas.exe, mim.exe) можно предположить, что за двумя инцидентами стоят проукраинские группы. Подробный технический разбор двух инцидентов с хронологией, аналитикой по ВПО, IOCs и MITRE - в отчете.

Исследователи из Лаборатории Касперского сообщают об обнаружении macOS-версии бэкдора HZ Rat, нацеленного на пользователей китайских приложений DingTalk и WeChat. При этом замеченный артефакты практически в точности повторяют функционал Windows-версии бэкдора и различаются лишь полезной нагрузкой, которая доставляется в виде shell-скриптов с сервера злоумышленников HZ RAT был впервые задокументирован немецкой DCSO в ноябре 2022 года и распространялся через zip-архивы или вредоносные RTF, предположительно созданные с использованием Royal Road RTF Weaponizer. Цепочки атак с использованием RTF-документов разработаны для развертывания версии вредоносного ПО для Windows, которая выполняется на скомпрометированном хосте благодаря давней CVE-2017-11882 в Microsoft Office. Другой метод распространения задействует установщик легального ПО OpenVPN, PuTTYgen или EasyConnect, который, помимо фактической установки программы-приманки, также выполняет сценарий Visual Basic (VBS), отвечающий за запуск RAT. Функциональность HZ RAT довольно проста. После подключения к C2 реализуются дальнейшие инструкции, включая выполнение команд и скриптов PowerShell, запись и отправка файлов, проверка доступности жертвы. Учитывая ограниченную функциональность инструмента, есть предположение, что вредоносное ПО в основном используется для сбора учетных данных и разведки систем. Факты свидетельствуют о том, что первые версии вредоносного ПО были обнаружены еще в июне 2020 года. По данным DCSO, сама кампания активизировалась как минимум с октября 2020 года. Последний образец, обнаруженный Лабораторией Касперского, был загружен на VirusTotal в июле 2023 года, выдавая себя за OpenVPN Connect (OpenVPNConnect.pkg), который при запуске устанавливает связь с C2 в соответствии со списком из указанных в бэкдоре IP-адресов. Для общения с C2 используется XOR-шифрование с ключом 0x42. Бэкдор поддерживает всего четыре основные команды, как в версии для Windows. В рамках исследования удалось получить с управляющего сервера shell-команды, направленные на сбор следующих данных о жертве: статус System Integrity Protection (SIP), информации о системе и устройстве, список приложений, информация по WeChat и DingTalk, а также креды из менеджера паролей Google. Дальнейший анализ инфраструктуры атаки показал, что почти все C2 расположены в Китае, за исключением двух, которые находятся в США и Нидерландах. Кроме того, сообщается, что ZIP-архив, содержащий установочный пакет OpenVPNConnect.zip, ранее был загружен с домена, принадлежащего китайскому разработчику видеоигр miHoYo, известному по Genshin Impact и Honkai. В настоящее время неясно, как файл был загружен на домен, о котором идет речь ("vpn.mihoyo[.]com"), и был ли сервер скомпрометирован в какой-то момент в прошлом. Также неясно, насколько широко распространена кампания, но последняя найденная версия HZ Rat для macOS показывает, что злоумышленники, стоявшие за предыдущими атаками, все еще активны.

Можно вечно смотреть на три вещи, как горит огонь, как течет вода и как из года в год пользователям втирают, что микрофоны устройств втайне никогда не записывают звук, приговаривая при этом: бл… буду. Однако бережно выстраиваемая последнее десятилетие легенда была в одночасье разрушена сливом презентации Cox Media Group (CMG) с описанием разработанного компанией сервиса Active Listening. Новый продукт CMG позволяет реализовать таргетированную рекламу потенциальным клиентам, основываясь на данных, полученных с микрофонов устройств, расположенных в их непосредственном окружении. Журналисты впервые узнали о существовании Active Listening еще в декабре прошлого года непосредственно с сайта CMG, откуда вся информации в отношении новой технологии была сразу удалена. Полученная через источников презентация указывает на то, что для работы Active Listening задействуется ИИ и умные устройства, позволяющие фиксировать Voice Data в режиме реального времени из более чем 470 источников (не раскрываются). Полученные сведения пользователи системы смогут сочетать с поведенческими данными, что позволит значительно улучшить таргетинг и эффективность рекламной кампании. Заявленные разработчиками ТТХ: за 100 долларов в день CMG может нацелиться на людей в радиусе 10 миль или 200 долларов в день на радиусе 20 миль. Но интереснее другое - в презентации утверждается о сотрудничестве CMG с Google, Amazon и Facebook. Причем некоторые слайды прямо отсылают на интеграцию Active Listening с продуктами трио. При этом CMG является партнером Google Premier, была первым медиа-партнером Amazon Advertising и одной из первых медиакомпаний, которая стала маркетинговым партнером Facebook. После выхода публикации, Google была вынуждена официально изгнать CMG из своей партнерской программы, аналогичным образом поступила Amazon, утверждающая, что вообще не имела дел с разработчиком. Meta (признана в России экстремистской) же инициировала расследование и пытается выяснить, нарушила ли CMG какие-либо условия сотрудничества. Так что, никаких нарушений, можно выдохнуть.

Microsoft сообщает о намерении провести закрытый саммит с поставщиками EDR, который запланирован на 10 сентября. Главная цель встречи - предотвращение возможности повторения инцидентов, аналогичных CrowdStrike. Участники планируют обсудить новые направления разработки решений EDR, ориентированные более на пользовательский режим, нежели на драйверы ядра. Кроме того, будет обсуждаться внедрение технологии eBPF и языков программирования с безопасным доступом к памяти, таких как Rust. Следующую встречу компания Microsoft планирует провести с компанией Microsoft, чтобы уменьшить количество ошибок в выпускаемых обновлениях.

͏Как обычно устраняются проблемы с информационной безопасностью

У Microsoft, как обычно, вечно что-то отваливается. На этот раз Exchange Online ошибочно помечала электронные письма с изображениями как вредоносное ПО, отправляя их карантин. По сообщениям системных администраторов, проблема ухудшения качества обслуживания отслеживается под номером EX873252, и, по-видимому, была широко распространена. Особенно, влияет только на исходящий трафик, особенно на ответы и пересылку ранее отправленных внешних писем, как уточнил один из администраторов. Другие же сообщали, что это были как входящие, так и внутриорганизационные сообщения. По сути все внутренние сообщения были отмечены как входящие, исходя из заголовка сообщения tbr. Микромягким пришлось изучать телеметрию мониторинга услуг, чтобы выявить первопричину и разработать план устранения неполадок. Потрудившись, разработчикам удалось идентифицировать проблему и начать выправлять ситуацию по выводу из карантина легитимных писем, ошибочно помеченных как вредоносные. Внедренные меры по смягчению последствий позволили разблокировать легитимные электронные письма, которые были ошибочно помещены в карантин. В настоящее время Microsoft продолжает выполнять воспроизведение затронутых электронных писем. Как заявляют в компании, телеметрия показывает, что более 99% затронутых писем были разблокированы и автоматически воспроизведены. Причем в октябре 2023 года Microsoft уже сталкивалась с похожей проблемой, вызванной некорректным правилом защиты от спама, из-за которого почтовые ящики администраторов Microsoft 365 были переполнены скрытыми копиями (BCC) исходящих писем, ошибочно помеченных как спам. Одним словом, ничего не меняется, те же детские грабли.

Исследователи Lumen Technologies обнаружили, что китайская APT Volt Typhoon задействовала новую 0-day в серверах Versa Director для кражи учетных данных и проникновения в сети интернет-провайдеров и MSP. Серверы Versa Director используются для управления сетевыми конфигурациями клиентов, использующих ПО SD-WAN, и широко применяется провайдерами и MSP-поставщиками, что делает их привлекательной целью для злоумышленников. Уязвимость высокой степени серьезности отслеживается как CVE-2024-39717 и позволяла взломать графический интерфейс пользователя Versa Director для внедрения вредоносного ПО на уязвимые устройства. CVE-2024-39717 затрагивает функцию «изменение значка сайта» программного обеспечения и позволяет злоумышленникам с правами администратора загружать вредоносные файлы, замаскированные под изображения PNG. Как отмечает разработчик, уязвимость CVE-2024-39717 затрагивает только клиентов, которые не выполнили требования по усилению защиты системы и рекомендации по использованию брандмауэров (доступны с 2017 и 2015 годов). Пострадавшие клиенты не внедрили вышеупомянутые рекомендации, в результате чего порт управления оказался открытым в Интернете, что предоставило злоумышленникам первоначальный доступ. По данным Versa, уязвимость была реализована APT-злоумышленником «как минимум» в одной атаке. В свою очередь,вала новую 0-day в серобнаружила активную эксплуатацию уязвимости в Versa Director версии до 22.1.4, заметив при этом уникальную веб-оболочку, которая реализует перехват учетных данных для доступа к сетям клиентов в качестве аутентифицированного пользователя. На основе известных TTPs Black Lotus Labs связала эксплуатацию нулевого дня с Volt Typhoon, а выявленные эксплойты датируются как минимум 12 июня 2024 года. При этом исследователи полагают, что эта кампания Volt Typhoon по-прежнему остается целенаправленной и затронула несколько жертв в штатах с неисправленными системами Versa Director. На этой неделе команда Black Lotus Labs намерена опубликовать подробный отчет с индикаторами компрометации и данными телеметрии.

Самая хайповая тема сейчас - это, конечно, арест Дурова во Франции. Нас тоже просят прокомментировать. Ну, окэй. Множество анонимных и не очень ТГ-каналов понеслись обсасывать арест и придумывать какие-то подробности, которые они лично услышали сидя под столом у Макрона (это минимум). Например, куча анонимов пишет, что приехавшая с Дуровым во Францию девушка, специалист по консумации, оказалась агентом Моссада (!). Об этом им доложил непосредственно Нетаньяху, не иначе. А на самом деле Дурова завербовал Путин на даче у Алиева, чтобы Дуров полетел во Францию и сел в Бастилию, где в секретном подвале хранятся накладные груди Бриджит Макрон и рецепт круасанов с ливерной колбасой... (ну вы поняли) Мы не сторонники процесса преумножения сущностей, поэтому не будем фантазировать, а попробуем провести простой анализ, чтобы попытаться спрогнозировать последствия сего увлекательного мероприятия, которые на нас с вами могут повлиять. Вариантов видим два - Дурова сажают и Дурова не сажают. 1. Дурова сажают. В этом случае владельцы и топы социальных сервисов встают перед выбором вилкой в глаз или лечь безусловно под действующие власти ЕС или резко свинтить из Европы и больше там никогда не появляться. Собственно, Крис Павловски, основатель Rumble, так уже поступил. Появляется ряд сервисов, которые не будут сотрудничать с властями ЕС ни под каким предлогом вообще. То есть если раньше запросы по педофилии или терроризму могли быть отработаны, то теперь этого не будет совсем, из принципа. Ес-но, что туда сразу полезет целевой контингент из несознательных граждан. И у европейских властей будет два путя - или смириться с неподконтрольными сервисами, или начать их резать на уровне точек обмена трафиком. Наше мнение, что будет выбран второй путь, а из этого следует, что сегментация глобальной сети, про которую мы вещаем практически с самого начала существования канала, будет все более явной. Что в этом случае будет с Телеграмом в России? Какие-то ограничения на мессенджер будут точно, возможно полный бан, поскольку вероятность терморектального криптоанализа во французских пенитенциарных заведениях еще никто не отменял. Правда есть еще вариант, при котором, испугавшись европейских демократических ценностей, команда Телеграм рванет в Москву и сдастся в анальное рабство кровавой гебне, тогда с Телегой все будет хорошо. И даже возможно в США (если Трамп придет к власти) - располовинят сервера, одну половину мира будет АНБ окормлять, вторую - ФСБ. Но в ЕС Телеграма скорее всего не останется. Ах, да. Есть еще фантастический вариант с обменом Дурова на какого-нибудь хулигана. Или на Женю Беркович. 2. Дурова не сажают, отделывается штрафом/условкой/whatever. В этом случае Телеграм как независимый конфиденциальный сервис в принципе заканчивается. Не, ну понятно, что работать он будет, аудитория останется, но это будет уже WhatsApp N2, а не передовая платформа, заботящаяся о приватности пользователей. Смелости у анонимных каналов тоже поубавится. Параллельно с этим группа стран-оппонентов западной либеральной модели - Россия, Иран, Китай и иже с ними - будет последовательно сворачивать присутствие Телеграма на своей территории. И это будет не фейковая борьба в виде изъятия приложения из AppStore, а реальные блокировки по протоколу. Потому что даже если Дуров ничего не передаст французским спецслужбам, то все будут думать что передаст. Так что Телеграма в России в обозримом будущем скорее всего будет меньше. Но мы-то из него никуда не денемся 😉

Google предупреждает об эксплуатации в дикой природе новой уязвимости высокой степени серьезности в Chrome, которая была исправлена в последней версии Chrome 128. Менее чем через неделю после выпуска стабильной версии Chrome 128 для устранения 0-day компания сообщает, что другая ошибка, исправленная в обновлении, эксплуатируется в реальных условиях. Проблема отслеживается как CVE-2024-7965 с CVSS 8,8 и описывается как ненадлежащая реализация в движке JavaScript V8, которая позволяет удаленному злоумышленнику эксплуатировать повреждение кучи с помощью специально созданных HTML-страниц. По сути, если жертва посещает скомпрометированную или вредоносную страницу, уязвимость может позволить злоумышленнику выполнить код или получить доступ к конфиденциальной информации. При этом о фактической эксплуатации уязвимости Google уведомила в обновленном сообщении, однако не упоминается, использовалась ли уязвимость как нуль. Ошибка также может повлиять на веб-браузеры, использующие Chromium, такие как Edge и Opera. CVE-2024-7965 затрагивает версии Chrome до 128.0.6613.84, которая была выпущена на прошлой неделе с исправлениями для 37 уязвимостей, включая CVE-2024-7971 - ошибку путаницы типов в V8, которая использовалась как 0-day. Доказательствами эксплуатации уязвимости CVE-2024-7971 в реальных условиях располагает и CISA, однако и она не приводит подробностей о наблюдаемых атаках.

Бразильские СМИ со ссылкой на CrowdStrike сообщают о раскрытии личности авторитетного в киберподполье USDoD, который оказался 33-летний бразилец по имени Луан Б.Г. из в штата Минас-Жерайс. По данным CrowdStrike, бразилец был вовлечен в хакерскую среду с 2017 года, когда изначально присоединился к местной группе хактивистов, а затем переключился на киберпреступность и стал завсегдатаем легендарного Breach Forums. На счету USDoD авиакомпания Airbus, Агентство по охране окружающей среды США, программа ФБР InfraGard, LinkedIn и рейтинговое агентство TransUnion Credit, а также Lockheed Martin и Raytheon. Последней резонансной атакой стала кампания в отношении Jericho Inc (National Data Public) из США. В результате инцидента было похищено 2,9 миллиарда записей, реализованные впоследствии за за 3,5 млн. долл. При этом CrowdStrike отслеживает USDoD с конца 2022 года, когда субъект впервые заявил, что получил доступ к данным государственно-частного партнерства США по обмену разведданными. CrowdStrike отмечает, что, поскольку Луан Б.Г. в начале своей карьеры не имел особых технических познаний в хакерской деятельности, его идентификация не вызвала значительных трудностей. Причем ряд представленных в отчете обстоятельств совпадает с деталями, которые USDoD предоставлял в своих интервью за последние годы. Последнее интервью DataBreaches еще больше помогло его идентифицировать, в совокупности с утечками Breach Forums. Подготовленный исследователями отчет, полученный TecMundo через анонимных источников, включает различные детали, связывающие USDoD с его личностью предполагаемого хакера. Как сообщается, вся информация в отношении хакера, уже передана властям и включает: налоговую регистрацию, адреса электронной почты, зарегистрированные домены, IP-адреса, аккаунты в соцсетях, номера телефона и локации. Но, как полагают в CrowdStrike, публикация информации о личности USDoD вряд ли повлияет на его деятельность краткосрочной перспективе и заставит остановиться.

По всей видимости, мощная кибератака вынесла инфраструктуру одной из крупнейших энергетических компании в США - Halliburton, которая подтверждает инцидент, рапортуя о случившемся в Комиссию по ценным бумагам и биржам США (SEC). Основанная в 1919 году, компания Halliburton насчитывает более 40 000 сотрудников и реализует нефтяные технологии, продукты и услуги энергетическим компаниям по всему миру. По состоянию на июль, выручка Halliburton составила 5,8 млрд долларов при операционной марже в размере 18% за второй квартал 2024 года. Проблемы начались 21 августа, когда после обнаружения несанкционированного доступа Halliburton была вынуждена повернуть рубильник и отключить некоторые из своих систем. Как заявляют в компании, на настоящий момент активирован план реагирования на киберугрозы и инициировано внутреннее расследование при поддержке внешних консультантов для оценки и устранения несанкционированной активности. Компания Halliburton также сообщила о взломе в соответствующие правоохранительные органы, а ее ИТ-специалисты в настоящее время работают над восстановлением пострадавших устройств и оценкой последствий атаки. Поставщик нефткепродуктов пока не раскрыл характер атаки, а представитель Министерства энергетики подтвердил в четверг, что точная природа инцидента на данный момент неизвестна. Все это, конечно, напоминает сюжет с Colonial Pipeline, которую в 2021 году препарировала банда вымогателей DarkSide, нанеся колоссальный ущерб и оперативно ретировавшись на фоне мощного резонанса. Но смогут ли превзойти своих коллег инициаторы атаки на Halliburton, будем, конечно, посмотреть.

Stroz Friedberg, входящая в состав Aon Insurance, раскрыла вредоносную ПО для Linux под названием sedexp, которая в течение двух лет избегала обнаружения, используя технику стойкости, незадокументированную в MITRE ATT&CK. Sedexp - это сложная угроза, которая скрывается на обычном сайте и позволяет операторам создавать обратные оболочки для удаленного доступа и дальнейшего проведения атаки. Обнаруженный метод уклонения подразумевает задействование правил Udev, где /dev/random выступает важным системным компонентом Linux, который не отслеживается решениями безопасности, а его злоупотребление гарантирует надежный обход. Вредоносная программа называет свой процесс kdevtmpfs, что имитирует легитимный системный процесс, еще больше сливаясь с обычной деятельностью и затрудняя его обнаружение с помощью обычных методов. Что касается ее операционных возможностей, вредоносная ПО использует либо forkpty, либо pipe и разветвленный новый процесс для создания обратной оболочки, позволяющей злоумышленнику получить удаленный доступ к зараженному устройству. Sedexp также использует методы манипуляции памятью, чтобы скрыть любой файл, содержащий строку sedexp, от стандартных команд, таких как ls или find, скрывая его присутствие в системе. Он также способен изменять содержимое памяти для внедрения вредоносного кода или изменения поведения существующих приложений и системных процессов. Исследователи отмечают, что вредоносное ПО используется в реальных условиях по крайней мере с 2022 года. Они обнаружили его во многих онлайн-песочницах, но не нашли на VirusTotal, где только два антивирусных движка отмечают как вредоносные три образца sedexp, представленные в отчете. Как полагают в Stroz Friedberg, вредоносное ПО использовалось для сокрытия кода и сбора данных кредитных карт на взломанных веб-серверах, что указывает на причастность к финансово мотивированным атакам.

Пожалуй, начнем неделю с обзора исследований по уязвимостям, подробно останавливаться на каждой смысла особого нет, но ссылочки для более детального изучения оставим. Исследователи Horizon3 опубликовали отчет по двум критическим уязвимостям в системе GPS-отслеживания с открытым исходным кодом Traccar. CVE-2024-24809 (CVSS: 8,5) и CVE-2024-31214 (CVSS: 9,7) потенциально могут быть использованы неавторизованными злоумышленниками для RCE при определенных обстоятельствах. Конечный результат - возможность произвольного размещения файлов в системе. Кроме того, Horizon3 представила подробное описание уязвимости в трех приложениях Python, которые могут быть использованы для кражи учетных данных NTLM. Исследователи Traceable обнаружили незащищенный API в Honeywell BEDQ, используемой сотрудниками и партнерами. По данным исследователей, использованная ошибка позволила им получить полный контроль над всей системой. DEVCORE выкатили первую часть исследования в отношении проблем безопасности в Microsoft Kernel Streaming Service (MSKSRV). Авторы обращают внимание на упущенную из виду поверхность атаки, которая позволила найти более десяти уязвимостей за 2 месяца. Zoho выпустила обновление для исправления RCE-уязвимости в пользовательском интерфейсе ManageEngine OpManager. SonicWall исправила уязвимость ненадлежащего контроля доступа в SonicOS. Ошибка могла привести к несанкционированному доступу к ресурсам брандмауэра или могла привести к сбою устройства. Исследователи Cymulate представили описание уязвимости в Microsoft Entra ID (ранее Azure AD), потенциально допускающей несанкционированный доступ. Однако для ее эксплуатации необходимы привилегии локального администратора. Microsoft планирует устранить эту проблему, но без особой спешки. Prompt Armor раскрыла метод атаки, который включает в себя злоупотребление Slack AI для извлечения данных из частных каналов В ряде случаев злоумышленнику нужен доступ к среде Slack целевого объекта, но некоторые недавно представленные функции могут позволить проводить атаки и без него. В Python Pip Pandas v2.2.2 нашли уязвимость произвольного чтения файлов. PoC также в наличии.

Исследователи Cato Security обнаружили новый инфостиллер, нацеленный на хосты Apple macOS для кражи широкого спектра данных. Вредоносная ПО, получившая название Cthulhu Stealer, доступна по модели MaaS за 500 долларов в месяц с конца 2023 года, способна атаковать архитектуры x86_64 и Arm. Cthulhu Stealer - это образ диска Apple (DMG), который поставляется с двумя двоичными файлами в зависимости от архитектуры. Она написана на Golang и маскируется под легальное ПО, включая CleanMyMac, Grand Theft Auto IV и Adobe GenP. Пользователям, которые в конечном итоге запускают неподписанный файл после явного разрешения на его запуск (обхода Gatekeeper), предлагается ввести системный пароль - метод на основе osascript, который был реализован Atomic Stealer, Cuckoo, MacStealer и Banshee Stealer. На следующем этапе предлагается ввести второй пароль MetaMask. Cthulhu Stealer также предназначен для сбора системной информации и дампа паролей iCloud Keychain с помощью инструмента с открытым исходным кодом под названием Chainbreaker. Украденные данные, которые также включают файлы cookie браузера и сведения аккаукнта Telegram, сжимаются и сохраняются в архивном файле ZIP, после чего передаются на C2. Основная функция Cthulhu Stealer - кража учетных данных и криптокошельков из различных магазинов, включая игровые аккаунты. Функциональность и особенности Cthulhu Stealer очень похожи на Atomic Stealer, что указывает на то, что разработчик Cthulhu Stealer, вероятно, взял Atomic Stealer и изменил код. Причем реализация метода использования osascript для запроса пароля пользователя в Atomic Stealer и Cthulhu очень схожа, даже включая те же самые орфографические ошибки. Злоумышленники, стоящие за вредоносным ПО, больше не активны, отчасти из-за споров по поводу платежей, которые привели к обвинениям в мошенничестве со стороны операторов, в результате чего основной разработчик был заблокирован в даркнете. Cthulhu Stealer не особенно сложен и не имеет методов антианализа, которые могли бы позволить ему действовать скрытно. Он также лишен каких-либо изысков, которые отличали бы его от других подобных предложений в киберподполье. Появление все большего числа вредоносных ПО для macOS не осталось незамеченным Apple, которая объявила о выпуске обновлений для следующей версии ОС для усложнения вариантов запуска ПО, которое не подписано должным образом.