Check Point опубликовали отчет, в котором рассказали про выявленную киберкампанию китайской APT IndigoZebra, направленную на членов Совета национальной безопасности (СНБ) Афганистана.
Первичное заражение осуществлялось посредством фишинговых писем от лица Администрации Президента Афганистана сотрудникам афганского СНБ. Во вложенном архиве содержится дроппер, который подтягивает бэкдор BoxCaon, использующий Dropbox в качестве управляющего центра, что позволяет маскировать связь малвари с С2. После закрепления на атакованной машине актор начинает проводить разведку с помощью BoxCaon.
Проведя поиск по образцам исследователи обнаружили, что самый ранний из схожих датируется еще 2014 годом. Один из найденных образцов упоминался в отчете Лаборатории Касперского 2017 года под названием xCaon и атрибутировался как принадлежащий китайской APT IndigoZebra. Исходя из этого Check Point предположили, что найденный ими вредонос явлется обновленным вариантом xCaon.
Другие найденные штаммы, использующие для связи с управляющим центром HTTP, были нацелены на государственные структуры Киргизстана и Узбекистана.
Китайцам интересно все. Что же, при таком количестве и качестве активных APT они могут себе это позволить.
Первичное заражение осуществлялось посредством фишинговых писем от лица Администрации Президента Афганистана сотрудникам афганского СНБ. Во вложенном архиве содержится дроппер, который подтягивает бэкдор BoxCaon, использующий Dropbox в качестве управляющего центра, что позволяет маскировать связь малвари с С2. После закрепления на атакованной машине актор начинает проводить разведку с помощью BoxCaon.
Проведя поиск по образцам исследователи обнаружили, что самый ранний из схожих датируется еще 2014 годом. Один из найденных образцов упоминался в отчете Лаборатории Касперского 2017 года под названием xCaon и атрибутировался как принадлежащий китайской APT IndigoZebra. Исходя из этого Check Point предположили, что найденный ими вредонос явлется обновленным вариантом xCaon.
Другие найденные штаммы, использующие для связи с управляющим центром HTTP, были нацелены на государственные структуры Киргизстана и Узбекистана.
Китайцам интересно все. Что же, при таком количестве и качестве активных APT они могут себе это позволить.
Check Point Research
IndigoZebra APT continues to attack Central Asia with evolving tools - Check Point Research
Introduction Check Point research recently discovered an ongoing spear-phishing campaign targeting the Afghan government. Further investigation revealed this campaign was a part of a long-running activity targeting other Central-Asia countries, including…
Итак, логичное продолжение истории с уязвимостью PrintNightmare в диспетчере очереди печати Windows spoolsv.exe.
Microsoft таки выдали ошибке новый CVE-2021-34527, фактически подтвердив информацию о том, что это совершенно свежая дырка, отличная от CVE-2021-1675, которая таки была закрыта июньским патчем безопасности. Параллельно Microsoft сообщили, что уязвимость актуальна для всех версий Windows, а также то, что PrintNightmare уже эксплуатируется хакерами в дикой природе (еще бы, PoC-то уже давно в паблике).
Официальные рекомендации Microsoft по снижению уязвимости есть по приведенной ссылке.
Microsoft таки выдали ошибке новый CVE-2021-34527, фактически подтвердив информацию о том, что это совершенно свежая дырка, отличная от CVE-2021-1675, которая таки была закрыта июньским патчем безопасности. Параллельно Microsoft сообщили, что уязвимость актуальна для всех версий Windows, а также то, что PrintNightmare уже эксплуатируется хакерами в дикой природе (еще бы, PoC-то уже давно в паблике).
Официальные рекомендации Microsoft по снижению уязвимости есть по приведенной ссылке.
Telegram
SecAtor
История с критичной уязвимостью PrintNightmare становится все чудесатее и чудесатее, как сказала бы кэрроловская Алиса.
Изначально исследователи китайской Sangfor, которые выложили технические детали и PoC ошибки, предполагали, что найденная ими уязвимость…
Изначально исследователи китайской Sangfor, которые выложили технические детали и PoC ошибки, предполагали, что найденная ими уязвимость…
По всем новостным лентам понеслась информация от АНБ о том, что русские хакеры из ГЦСС ГРУ задействовали Kubernetes для брутфорса учетных данных сотрудников американских и европейских правительственных и коммерческих организаций еще с середины 2019 года. ГЦСС, если кто забыл, считается альма-матер APT 28 aka Fancy Bear.
Если кому интересно - то оригинал здесь. TTPs, как обычно, никаких - АНБ вообще товарищи на технические подробности скупые.
И что-то больше никаких новостей особо нет. Разве что Альперович радуется, что, по словам американского заместителя советника по нацбезопасности Энн Нойбергер, "Белый Дом вскоре официально возложит ответственность за масштабные атаки на Microsoft Exchange". На кого Нойбергер ответственность возложит в явном виде не сказано, но подразумевается, что на китайскую APT Hafnium. В обратную сторону подразумевается, что Китай положит на то, что Нойбергер что-то на кого-то возложит.
Для "скорого возложения" американской администрации понадобилось всего-то полгода - атаки ProxyLogon начались в январе этого года, а Microsoft официально прикрыла четыре 0-day уязвимости, которые эксплуатировались Hafnium, спустя два месяца. Для сравнения - про "причастность русских хакеров" к атаке Sunburst на SolarWinds американская администрация заявила чуть ли не раньше, чем FireEye рассказала о самой атаке.
Если кому интересно - то оригинал здесь. TTPs, как обычно, никаких - АНБ вообще товарищи на технические подробности скупые.
И что-то больше никаких новостей особо нет. Разве что Альперович радуется, что, по словам американского заместителя советника по нацбезопасности Энн Нойбергер, "Белый Дом вскоре официально возложит ответственность за масштабные атаки на Microsoft Exchange". На кого Нойбергер ответственность возложит в явном виде не сказано, но подразумевается, что на китайскую APT Hafnium. В обратную сторону подразумевается, что Китай положит на то, что Нойбергер что-то на кого-то возложит.
Для "скорого возложения" американской администрации понадобилось всего-то полгода - атаки ProxyLogon начались в январе этого года, а Microsoft официально прикрыла четыре 0-day уязвимости, которые эксплуатировались Hafnium, спустя два месяца. Для сравнения - про "причастность русских хакеров" к атаке Sunburst на SolarWinds американская администрация заявила чуть ли не раньше, чем FireEye рассказала о самой атаке.
Ну а в конце рабочей недели прекрасная история про монгольский инфосек. На конях и с Тамерланом. А поведала нам ее компания Avast.
В конце марта текущего года Avast обнаружили бэкдор, который, как выяснилось, был загружен с официального сайта MonPass - одного из основных центров сертификации в Монголии. Исследователи связались с MNCERT и MonPass, после чего центр сертификации скинул им образ своего веб-сервера для изучения.
Результаты были интересные - сервер был взломан предположительно 8 раз, поскольку эксперты Avast обнаружили 8 разных веб-шеллов и бэкдоров. Кроме того, в период с 8 февраля по 3 марта этого года доступный к загрузке клиент MonPass также был заряжен бэкдором на основе Cobalt Strike. В медицине такое называется "суперраспространитель", а в народе "трисичуха" - "трипер, сифилис, чума, холера".
В начале мая Avast сообщили о результатах исследования в MonPass, а к концу июня монгольские кибербатыры залатали дыры в своей площадке и уведомили клиентов об их возможной компрометации.
Остается добавить, что ответственных за атаки хакеров Avast не назвали, но, судя по геополитическому раскладу в этом районе Азии, можно с большой долей уверенности утверждать, что это таки Китай.
В конце марта текущего года Avast обнаружили бэкдор, который, как выяснилось, был загружен с официального сайта MonPass - одного из основных центров сертификации в Монголии. Исследователи связались с MNCERT и MonPass, после чего центр сертификации скинул им образ своего веб-сервера для изучения.
Результаты были интересные - сервер был взломан предположительно 8 раз, поскольку эксперты Avast обнаружили 8 разных веб-шеллов и бэкдоров. Кроме того, в период с 8 февраля по 3 марта этого года доступный к загрузке клиент MonPass также был заряжен бэкдором на основе Cobalt Strike. В медицине такое называется "суперраспространитель", а в народе "трисичуха" - "трипер, сифилис, чума, холера".
В начале мая Avast сообщили о результатах исследования в MonPass, а к концу июня монгольские кибербатыры залатали дыры в своей площадке и уведомили клиентов об их возможной компрометации.
Остается добавить, что ответственных за атаки хакеров Avast не назвали, но, судя по геополитическому раскладу в этом районе Азии, можно с большой долей уверенности утверждать, что это таки Китай.
Avast Threat Labs
Backdoored Client from Mongolian CA MonPass - Avast Threat Labs
Follow us in our journey analyzing Mongolian certificate authority breach and certificate client backdoored with Cobalt Strike.
Ну и ещё немного, расскажем вам о реальных достоинствах и прелести умных домов. В жизни максимальные бонусы от девайсов получают не только их жители, но и незванные гости.
Which совместно с NCC Group и Global Cyber Alliance выяснили, что современный умный дом за одну неделю подвергается 12 000 кибератак. Узнать об этом исследователи смогли благодаря эксперименту, в рамках которого был создан полигон с многочисленными устройствами IoT, включая телевизоры, термостаты, интеллектуальные системы безопасности и пр.
За неделю наблюдений удалось зафиксировать 12 807 попыток взломов и сканирований, подавляющее большинство из которых происходили из США, Индии, Китая и Нидерландов.
Наиболее распространенным методом была попытка входа в систему с использованием слабых имен пользователей и паролей по умолчанию, таких как admin: всего было совершено 2435 попыток перебора или же 14 в час. При этом большинство устройств показали высокую защищенность. Сплоховала беспроводная камера ieGeek от Amazon, к управлению которой злоумышленник получил полный доступ. Сразу после эксперимента устройство было снято с продажи на площадках Amazon, несмотря на почти 8 500 положительных отзывов покупателей.
Стоит отметки, что многие производители обезопасили будущих владельцев, следуя политике применения уникальных паролей по умолчанию. Отличились Epson, Yale, Samsung.
По оценкам Which, 97% всех атак на интеллектуальные устройства преследовали цель добавления их в ботнет Mirai, состоящий из множества небезопасных сетевых устройств и представляющий собой мощный хакерский инструмент. Например, только в 2016 году с его помощью были положены Twitter, Amazon и другие известные веб-сайты.
Ну вот, и отличное занятие нарисовалось на вечер пятницы: желаем поскорее добраться до админок и потереть заводские пароли к своим умным вещам, а самым замороченным - накатить свежие update.
Which совместно с NCC Group и Global Cyber Alliance выяснили, что современный умный дом за одну неделю подвергается 12 000 кибератак. Узнать об этом исследователи смогли благодаря эксперименту, в рамках которого был создан полигон с многочисленными устройствами IoT, включая телевизоры, термостаты, интеллектуальные системы безопасности и пр.
За неделю наблюдений удалось зафиксировать 12 807 попыток взломов и сканирований, подавляющее большинство из которых происходили из США, Индии, Китая и Нидерландов.
Наиболее распространенным методом была попытка входа в систему с использованием слабых имен пользователей и паролей по умолчанию, таких как admin: всего было совершено 2435 попыток перебора или же 14 в час. При этом большинство устройств показали высокую защищенность. Сплоховала беспроводная камера ieGeek от Amazon, к управлению которой злоумышленник получил полный доступ. Сразу после эксперимента устройство было снято с продажи на площадках Amazon, несмотря на почти 8 500 положительных отзывов покупателей.
Стоит отметки, что многие производители обезопасили будущих владельцев, следуя политике применения уникальных паролей по умолчанию. Отличились Epson, Yale, Samsung.
По оценкам Which, 97% всех атак на интеллектуальные устройства преследовали цель добавления их в ботнет Mirai, состоящий из множества небезопасных сетевых устройств и представляющий собой мощный хакерский инструмент. Например, только в 2016 году с его помощью были положены Twitter, Amazon и другие известные веб-сайты.
Ну вот, и отличное занятие нарисовалось на вечер пятницы: желаем поскорее добраться до админок и потереть заводские пароли к своим умным вещам, а самым замороченным - накатить свежие update.
Which?
How a smart home could be at risk from hackers - Which? News
We set up our own smart home and detected more than 12,000 scanning or hacking attempts in a single week
В пятницу вечером банда вымогателей REvil (или кто-то из их операторов) устроила дебош и провокацию. Первая информация свидетельствовала, что они сломали американского производителя и поставщика информационных технологий Kaseya (кто сказал SolarWinds?) и стали распространять вредоносное обновление для его VSA (Virtual System Administrator) серверов, через которое в сети клиентов компании развертывалось само ransomware.
Уже в этот же день появилась информация о том, что были взломаны около 40 VSA серверов, использовавшиеся MSP (Manage Service Provider), а через них зашифрованы сети от 200 до 10000 предприятий. Предъявленная сумма выкупа - от 50 тыс. до 5 млн. долларов. Kaseya призвали клиентов отключить VSA сервера и закрыли свое облако.
Вчера исследователи из Голландского университета раскрытия уязвимостей (DIVD) сообщили, что Kaseya как раз находились в процессе устранения 0-day уязвимости CVE-2021-30116, которую голландцы нашли за несколько недель до инцидента. Технических подробностей со стороны DIVD не было предоставлено, но в сети появились данные о том, что эксплуатация дырки приводит к обходу аутентификации в веб-интерфейсе VSA. Каким образом информация о CVE-2021-30116 попала в руки вымогателям - никто не сообщает.
После таких откровений первоначальную версию об атаке на цепочку поставок, ясное дело, можно ставить под сомнение. А Kaseya тем временем наняли FireEye, чтобы те помогли им расследовать инцидент.
И вчера же REvil сообщили, что в ходе атаки на ПО Kaseya было зашифровано более миллиона систем (тут они считают, имхо, не только сети, но и отдельные машины, отсюда такое большое число). И потребовали 70 млн. долларов за универсальный дешифратор.
Заплатят им такую сумму или нет мы говорить не беремся, но, как нам кажется, безымянный исследователь из DIVD или сотрудник Kaseya, сливший хакерам данные об уязвимости, недавно стал долларовым миллионером.
Уже в этот же день появилась информация о том, что были взломаны около 40 VSA серверов, использовавшиеся MSP (Manage Service Provider), а через них зашифрованы сети от 200 до 10000 предприятий. Предъявленная сумма выкупа - от 50 тыс. до 5 млн. долларов. Kaseya призвали клиентов отключить VSA сервера и закрыли свое облако.
Вчера исследователи из Голландского университета раскрытия уязвимостей (DIVD) сообщили, что Kaseya как раз находились в процессе устранения 0-day уязвимости CVE-2021-30116, которую голландцы нашли за несколько недель до инцидента. Технических подробностей со стороны DIVD не было предоставлено, но в сети появились данные о том, что эксплуатация дырки приводит к обходу аутентификации в веб-интерфейсе VSA. Каким образом информация о CVE-2021-30116 попала в руки вымогателям - никто не сообщает.
После таких откровений первоначальную версию об атаке на цепочку поставок, ясное дело, можно ставить под сомнение. А Kaseya тем временем наняли FireEye, чтобы те помогли им расследовать инцидент.
И вчера же REvil сообщили, что в ходе атаки на ПО Kaseya было зашифровано более миллиона систем (тут они считают, имхо, не только сети, но и отдельные машины, отсюда такое большое число). И потребовали 70 млн. долларов за универсальный дешифратор.
Заплатят им такую сумму или нет мы говорить не беремся, но, как нам кажется, безымянный исследователь из DIVD или сотрудник Kaseya, сливший хакерам данные об уязвимости, недавно стал долларовым миллионером.
Kaseya
Important Notice August 4th, 2021
August 4, 2021 - 4:00 PM EDT
VSA 9.5.7d Patch Update
Based on feedback, we have merged the functionality that was planned in the next two updates into the 9.5.7d VSA patch and adjusted the release ...
VSA 9.5.7d Patch Update
Based on feedback, we have merged the functionality that was planned in the next two updates into the 9.5.7d VSA patch and adjusted the release ...
Выйдем немного за пределы инфосека.
Тут редакция Незыгаря провела опрос среди своих подписчиков и выяснила, что из них 34% за обязательную вакцинацию, а 66% - за введение локдауна.
На основании этой информации журналисты вывели целую теорию про базовые потребности, коллективную безопасность, поляризацию общественных настроений и прочие умные вещи.
Мы же, в силу узконаправленности своего поля зрения, поняли лишь то, что в опрос к Незыгарю набежали боты.
Feel the difference, как говорится.
Тут редакция Незыгаря провела опрос среди своих подписчиков и выяснила, что из них 34% за обязательную вакцинацию, а 66% - за введение локдауна.
На основании этой информации журналисты вывели целую теорию про базовые потребности, коллективную безопасность, поляризацию общественных настроений и прочие умные вещи.
Мы же, в силу узконаправленности своего поля зрения, поняли лишь то, что в опрос к Незыгарю набежали боты.
Feel the difference, как говорится.
Telegram
НЕЗЫГАРЬ
В нашем опросе приняло участие более 78 тыс. чел. Опрос показывает, что большинство не готово к обязательной вакцинации. 66% респондентов считают, что в условиях возможного ухудшения ситуации с пандемией более предпочтительным является всеобщий локдаун. Этот…
Поскольку, несомненно, в ближайшие дни информационным поводом №1 в инфосеке будет взлом ПО от Kaseya бандой вымогателей REvil, то вот вам еще одна короткая новостишка.
Как сказано в стенограмме Белого Дома, в субботу Президент США Байден заявил журналистам во время мероприятия в штате Мичиган, что:
- он поручил Разведсообществу США разобраться с произошедшей на Kaseya атакой;
- возможно будет встречная кибератака на российские ресурсы со стороны США, если подтвердится, что российское правительство как-то связано с нападением на Kaseya (тут не до конца понятно, что именно подразумевает Байден под этой связью, но его вообще тяжело понять временами).
Подскажем, что Разведсообщество США - это 17 американских ведомств, среди которых такие товарищи, как ЦРУ, АНБ, ФБР, РУМО (а кто Tor сделал, вспоминаем) и много-много других.
Вечер перестает быть томным.
Как сказано в стенограмме Белого Дома, в субботу Президент США Байден заявил журналистам во время мероприятия в штате Мичиган, что:
- он поручил Разведсообществу США разобраться с произошедшей на Kaseya атакой;
- возможно будет встречная кибератака на российские ресурсы со стороны США, если подтвердится, что российское правительство как-то связано с нападением на Kaseya (тут не до конца понятно, что именно подразумевает Байден под этой связью, но его вообще тяжело понять временами).
Подскажем, что Разведсообщество США - это 17 американских ведомств, среди которых такие товарищи, как ЦРУ, АНБ, ФБР, РУМО (а кто Tor сделал, вспоминаем) и много-много других.
Вечер перестает быть томным.
The White House
Remarks by President Biden After Visiting King Orchards
King Orchards MarketCentral Lake, Michigan 3:30 P.M. EDT Q Mr. President, let me know if I can ask you a question. THE PRESIDENT: Sure. (Laughter.) Q Right now, sir? THE PRESIDENT: Yeah. Q With the most recent hack by the Russians, would you say that this…
Тем временем Wizard Spider тестирует новые разработки, развернув ботнет TrickBot с новым штаммом вымогателей под названием Diavol.
Аномалию заметили в FortiGuard Labs, которые обнаружили Diavol в ходе изучения неназванного инцидента у одного из их клиентов, на системах которого были развернуты полезные нагрузки программ-вымогателей Diavol и Conti.
Особенностью нового штамма вредоносного ПО являются асимметричные алгоритмы шифрования. Еще одним отличительным аспектом программы-вымогателя является то, что она эффективно скрывает свой код в виде растровых изображений, откуда подпрограммы загружаются в буфер с разрешениями на выполнение. Перед блокировкой файлов и изменением обоев рабочего стола с сообщением о выкупе Diavol реализует: регистрацию устройства жертвы на удаленном сервере, завершение запущенных процессов, поиск локальных дисков и файлов в системе для шифрования и предотвращение восстановление путем удаления теневых копий.
К аналогичной атрибуции ПО пришли специалисты Kryptos Logic Threat Intelligence, по мнению которых Wizard Spider стали все еще активнее переоснащать свой арсенал вредоносных программ.
Этих ребят не остановить.
Аномалию заметили в FortiGuard Labs, которые обнаружили Diavol в ходе изучения неназванного инцидента у одного из их клиентов, на системах которого были развернуты полезные нагрузки программ-вымогателей Diavol и Conti.
Особенностью нового штамма вредоносного ПО являются асимметричные алгоритмы шифрования. Еще одним отличительным аспектом программы-вымогателя является то, что она эффективно скрывает свой код в виде растровых изображений, откуда подпрограммы загружаются в буфер с разрешениями на выполнение. Перед блокировкой файлов и изменением обоев рабочего стола с сообщением о выкупе Diavol реализует: регистрацию устройства жертвы на удаленном сервере, завершение запущенных процессов, поиск локальных дисков и файлов в системе для шифрования и предотвращение восстановление путем удаления теневых копий.
К аналогичной атрибуции ПО пришли специалисты Kryptos Logic Threat Intelligence, по мнению которых Wizard Spider стали все еще активнее переоснащать свой арсенал вредоносных программ.
Этих ребят не остановить.
Fortinet Blog
Diavol - A New Ransomware Used By Wizard Spider?
FortiGuard Labs identified a new ransomware family, Diavol. Learn about the inner workings of Diavol and its possible attribution to the criminal group known as Wizard Spider. …
Как мы и предсказывали - новости про взлом Kaseya захавали весь доступный инфосек эфир и стали распространяться дальше.
В Швеции розничная сеть Coop закрыла 800 магазинов (20% шведской розничной торговли продуктами) из-за того, что их поставщик терминалов (по всей видимости, это Extenda Retail) работал с MSP, который использовал ПО от Kaseya. Пострадали местные аптечные сети и шведский ж/д оператор SJ.
Один из таких MSP, норвежская компания Visma EssCom, являющаяся клиентом Kaseya, заявила, что атака вымогателей является "глобальной кибератакой, затрагивающей розничную торговлю". В результате взлома фактически выведены все их устройства в розничных сетях, а таковых среди клиентов Visma EssCom немало.
Из последнего, что мы смогли найти - судя по сообщениям в сети уязвимость являла собой логическую ошибку в коде скрипта аутентификации VSA сервера. Кевин Бомонт пишет, что коду в обед 15 лет. Комментаторы задаются риторическим вопросом - а, собственно, где были пентестеры? Понятно, что ответить можно в рифму.
А в завершении - наиболее соответствующая текущему моменту картинка.
В Швеции розничная сеть Coop закрыла 800 магазинов (20% шведской розничной торговли продуктами) из-за того, что их поставщик терминалов (по всей видимости, это Extenda Retail) работал с MSP, который использовал ПО от Kaseya. Пострадали местные аптечные сети и шведский ж/д оператор SJ.
Один из таких MSP, норвежская компания Visma EssCom, являющаяся клиентом Kaseya, заявила, что атака вымогателей является "глобальной кибератакой, затрагивающей розничную торговлю". В результате взлома фактически выведены все их устройства в розничных сетях, а таковых среди клиентов Visma EssCom немало.
Из последнего, что мы смогли найти - судя по сообщениям в сети уязвимость являла собой логическую ошибку в коде скрипта аутентификации VSA сервера. Кевин Бомонт пишет, что коду в обед 15 лет. Комментаторы задаются риторическим вопросом - а, собственно, где были пентестеры? Понятно, что ответить можно в рифму.
А в завершении - наиболее соответствующая текущему моменту картинка.
Forwarded from Эксплойт | Live
Соцсеть сторонников Трампа Gettr взломали в первый день запуска
К тому моменту, как был взломан целый ряд аккаунтов пользователей Gettr, на площадке уже успело зарегистрироваться около 500 тыс. пользователей.
Взлому, в основном, подверглись аккаунты верифицированных пользователей — в том числе, бывших помощников Дональда Трампа.
Взломщики, когда получили доступ к этим аккаунтам, на всех из них изменили никнеймы на «@ JubaBaghdad was here :) ^^ free palestine ^^».
К счастью, «попытку» взлома (хотя, скорее, именно взлом, а не его попытку) смогли обнаружить и исправить уже в первые несколько минут.
К тому моменту, как был взломан целый ряд аккаунтов пользователей Gettr, на площадке уже успело зарегистрироваться около 500 тыс. пользователей.
Взлому, в основном, подверглись аккаунты верифицированных пользователей — в том числе, бывших помощников Дональда Трампа.
Взломщики, когда получили доступ к этим аккаунтам, на всех из них изменили никнеймы на «@ JubaBaghdad was here :) ^^ free palestine ^^».
К счастью, «попытку» взлома (хотя, скорее, именно взлом, а не его попытку) смогли обнаружить и исправить уже в первые несколько минут.
Голландский MSP Velzart, пострадавший от взлома Kaseya, на своем сайте ведет блог, в котором специалисты описывают все подробности и процесс восстановления.
Интересно почитать (хоть блог и на голландском).
Интересно почитать (хоть блог и на голландском).
VelzArt
Belangrijk bericht over recente ransomware aanval
Berichtgeving over de recente wereldwijde ransomware aanval.
И снова про взлом Kaseya (а мы предупреждали, что про это все новости и будут в ближайшие дни).
Оказывается одним из требований для нормального функционирования продуктов от Kaseya было внесение их рабочих папок и приложений в исключения антивирусов.
Что-то это нам напоминает - NMS Orion, отключение сканирования антивирусными решениями, SolarWinds...
Оказывается одним из требований для нормального функционирования продуктов от Kaseya было внесение их рабочих папок и приложений в исключения антивирусов.
Что-то это нам напоминает - NMS Orion, отключение сканирования антивирусными решениями, SolarWinds...
Богоспасаемый ProtonMail демонстрирует отрасли как надо относиться к вопросам приватности и безопасности пользователей:
- откройте код своих приложений;
- привлекайте независимых исследователей и пентестеров для проведения регулярных аудитов;
- публикуйте результаты аудитов своего ПО.
И в подтверждение своих statements швейцарцы выложили в паблик отчет по результатам проведенного инфосек компанией Securitum аудита (доступен по приведенной ссылке), который показал, что серьезных дырок в ProtonMail нет.
Российский ТГ может спать спокойно.
- откройте код своих приложений;
- привлекайте независимых исследователей и пентестеров для проведения регулярных аудитов;
- публикуйте результаты аудитов своего ПО.
И в подтверждение своих statements швейцарцы выложили в паблик отчет по результатам проведенного инфосек компанией Securitum аудита (доступен по приведенной ссылке), который показал, что серьезных дырок в ProtonMail нет.
Российский ТГ может спать спокойно.
Proton
The new Proton Mail has passed its independent security audit | Proton
Before we released the new Proton Mail, security experts conducted an independent audit of its open source code. You can read their report.
Отвлечемся на секунду и порадуемся: тайваньский производитель сетевых хранилищ QNAP исправил критическую ошибку в приложении резервного копирования и аварийного восстановления.
CVE-2021-28809 была обнаружена Ta-Lun Yen из TXOne IoT/ICS Security Research Labs в системе HBS 3 Hybrid, реализующей аварийное восстановление и резервное копирование данных.
Основная проблема безопасности обусловлена недостатками в организации контроля доступа, которые позволяют злоумышленнику повышать привилегии, удаленно выполнять команды или читать конфиденциальную информацию без авторизации.
Компания заявляет, что ошибка исправлена в версиях HBS: QTS 4.3.6: HBS 3 v3.0.210507; QTS 4.3.4: HBS 3 v3.0.210506; QTS 4.3.3: HBS 3 v3.0.210506 и новее, устройства QNAP под управлением QTS 4.5.x с HBS 3 v16.x не содержат уязвимости и не подвержены атакам.
Все хорошо, но есть нюанс, прямо как в анекдоте: успешно отчитались об исправлении, а примечания к продукту HBS 3 Hybrid Backup Sync содержат последние упоминания о модификациях кода, датированные 14 маем 2021. Печальный опыт эксплуатации вымогателями Qlocker и eCh0raix уязвимостей в HBS 3 Hybrid Backup Sync до сих пор снится в кошмарах владельцам хранилищ QNAP.
CVE-2021-28809 была обнаружена Ta-Lun Yen из TXOne IoT/ICS Security Research Labs в системе HBS 3 Hybrid, реализующей аварийное восстановление и резервное копирование данных.
Основная проблема безопасности обусловлена недостатками в организации контроля доступа, которые позволяют злоумышленнику повышать привилегии, удаленно выполнять команды или читать конфиденциальную информацию без авторизации.
Компания заявляет, что ошибка исправлена в версиях HBS: QTS 4.3.6: HBS 3 v3.0.210507; QTS 4.3.4: HBS 3 v3.0.210506; QTS 4.3.3: HBS 3 v3.0.210506 и новее, устройства QNAP под управлением QTS 4.5.x с HBS 3 v16.x не содержат уязвимости и не подвержены атакам.
Все хорошо, но есть нюанс, прямо как в анекдоте: успешно отчитались об исправлении, а примечания к продукту HBS 3 Hybrid Backup Sync содержат последние упоминания о модификациях кода, датированные 14 маем 2021. Печальный опыт эксплуатации вымогателями Qlocker и eCh0raix уязвимостей в HBS 3 Hybrid Backup Sync до сих пор снится в кошмарах владельцам хранилищ QNAP.
QNAP Systems, Inc. - Network Attached Storage (NAS)
Improper Access Control Vulnerability in Legacy HBS 3 (Hybrid Backup Sync) - Security Advisory
QNAP designs and delivers high-quality network attached storage (NAS) and professional network video recorder (NVR) solutions to users from home, SOHO to small, medium businesses.
Microsoft в кои-то веки оперативно отреагировали на попавшую в паблик 0-day уязвимость CVE-2021-34527 aka PrintNightmare и выпустили внеочередное обновление безопасности.
PrintNightmare позволяет осуществить RCE с позиции любого аутентифицированного пользователя через ошибку в службе spoolsv.exe. Так что всем срочно обновляться!
PrintNightmare позволяет осуществить RCE с позиции любого аутентифицированного пользователя через ошибку в службе spoolsv.exe. Так что всем срочно обновляться!
Docs
Windows message center
Никогда мы не доверяли менеджерам паролей. Даже от известных инфосек вендоров. И, как оказывается, правильно делали.
Жан-Батист Бедрун, исследователь Ledger Donjon, раскрыл технические подробности уязвимости CVE-2020-27020, которая была найдена в Kaspersky Password Manager (KPM) в июне 2019 года и исправлена спустя четыре месяца.
Итак, реализация KPM содержала в себе несколько упущений, но главная из них заключалась в использовании генератора псевдослучайных чисел (ГПСЧ) Mersenne Twister, который генерит пароль только лишь на основании текущего системного времени в секундах. Таким образом, каждый экземпляр KPM в мире генерирует один и тот же пароль в каждую конкретную секунду.
Всего за год, например, KPM мог сгенерить чуть больше 31,5 млн. паролей, брутфорс которых займет минуты, особенно если злоумышленник приблизительно знает время создания учетной записи (например, на форуме).
Как мы уже сказали, Касперские довольно оперативно устранили дырку, а вот уведомление пользователей о необходимости повторной генерации паролей вышло лишь спустя год.
Надеемся, ответственные за этот факап товарищи уже выпнуты с голым афедроном на негостеприимные российские морозы.
Жан-Батист Бедрун, исследователь Ledger Donjon, раскрыл технические подробности уязвимости CVE-2020-27020, которая была найдена в Kaspersky Password Manager (KPM) в июне 2019 года и исправлена спустя четыре месяца.
Итак, реализация KPM содержала в себе несколько упущений, но главная из них заключалась в использовании генератора псевдослучайных чисел (ГПСЧ) Mersenne Twister, который генерит пароль только лишь на основании текущего системного времени в секундах. Таким образом, каждый экземпляр KPM в мире генерирует один и тот же пароль в каждую конкретную секунду.
Всего за год, например, KPM мог сгенерить чуть больше 31,5 млн. паролей, брутфорс которых займет минуты, особенно если злоумышленник приблизительно знает время создания учетной записи (например, на форуме).
Как мы уже сказали, Касперские довольно оперативно устранили дырку, а вот уведомление пользователей о необходимости повторной генерации паролей вышло лишь спустя год.
Надеемся, ответственные за этот факап товарищи уже выпнуты с голым афедроном на негостеприимные российские морозы.
Ledger
Kaspersky Password Manager: All your passwords belong to us | Ledger
The password generator included in Kaspersky Password Manager had several problems. The most critical one is that it used a PRNG not suited for cryptographic purposes. Its single source of entropy was the current time. All the passwords it created could be…
Бесплатный сыр только в мышеловке: но как выяснилось для некоторых пользователей Android - за мышеловку все же пришлось заплатить, только сыра в ней не оказалось.
Исследователи инфсеккомпании Lookout обнаружили, что более 93000 пользователей, загрузивших себе на смартфоны приложения для майнинга криптовалюты, стали жертвами аферы.
Lookout нашли 172 платных приложения BitScam и CloudScam, в том числе 25 доступных в Google Play, с фейковыми функциями облачного майнинга. Разработчики «пустышек» заработали на ожиданиях предприимчивых пользователей более 350 000 долларов (300 000 долларов на продажу приложений и 50 000 долларов на поддельные обновления). При этом, как отмечают исследователи, приложения вредоносного кода не содержали.
Играя на алчности юзеров приложений, мошенники продавали за отдельный прайс дополнительные услуги, подписки и обновления через прямые переводы крипты на свои кошельки или возможности Play Store.
Некоторые из приложений до сих пор выставлены на продажу в популярных магазинах приложений по всему Интернету.
Видимо, в разрабы переквалифицировались, раньше эффективно пылесосы впаривали, передвигаясь по квартирам доверчивых бабулей и дедулей, а теперь - на удаленке. Всем увлеченным облачным майнингом рекомендуем внимательно изучить доклад👇
Исследователи инфсеккомпании Lookout обнаружили, что более 93000 пользователей, загрузивших себе на смартфоны приложения для майнинга криптовалюты, стали жертвами аферы.
Lookout нашли 172 платных приложения BitScam и CloudScam, в том числе 25 доступных в Google Play, с фейковыми функциями облачного майнинга. Разработчики «пустышек» заработали на ожиданиях предприимчивых пользователей более 350 000 долларов (300 000 долларов на продажу приложений и 50 000 долларов на поддельные обновления). При этом, как отмечают исследователи, приложения вредоносного кода не содержали.
Играя на алчности юзеров приложений, мошенники продавали за отдельный прайс дополнительные услуги, подписки и обновления через прямые переводы крипты на свои кошельки или возможности Play Store.
Некоторые из приложений до сих пор выставлены на продажу в популярных магазинах приложений по всему Интернету.
Видимо, в разрабы переквалифицировались, раньше эффективно пылесосы впаривали, передвигаясь по квартирам доверчивых бабулей и дедулей, а теперь - на удаленке. Всем увлеченным облачным майнингом рекомендуем внимательно изучить доклад👇
Продолжается реакция американских властей на атаку банды вымогателей REvil на американского поставщика IT-услуг и производителя ПО Kaseya.
Первая реакция от Президента США последовала еще в субботу, тогда Байден заявил, что поручил Разведсообществу США разобраться в ситуации, а также пробурчал что-то невнятное в отношении установления связи вымогателей с Россией.
Вчера пресс-секретарь Белого Дома небезизвестная Джейн Псаки заявила на очередной пресс-конференции в ответ на вопрос про атаку на Kaseya, что на встрече с Путиным американский Президент дал понять, что если российские власти не будут принимать меры против находящихся на территории страны киберпреступников, то США примут меры сами или оставят за собой право действовать по своему усмотрению.
Что скрывается за этой формулировкой неясно, не морских котиков же пришлют хакеров воровать - это casus belli в чистом виде. Но можем предположить, что в логике нынешней администрации Белого Дома (как красиво излагаем, прямо как общественно-политический канал какой) действия по своему усмотрению будут представлять демонстративные кибератаки по площадям - типа, Unknown живет в Саратове (это мы к примеру, мы не знаем где он живет, может вообще на Украине), поэтому мы сломали весь Саратов. Чтобы хакер не мог пользоваться сетью - мы потушили провайдеров, чтобы не баловался мобильной data - мы положили медный таз на коммутаторы сотовых операторов, а до кучи выключили саратовский водоканал, чтоб воды не пил.
Конечно же мы утрируем, эти хулиганства американцы делать вряд ли будут. Тем не менее, нам почему-то кажется, что направление их мышления именно таково - на показ бить намеренно широко по возможно имеющим хоть какое-то отношение к вымогателям объектам - хостингам, провайдерам и пр.
Как обычно - будем посмотреть.
Первая реакция от Президента США последовала еще в субботу, тогда Байден заявил, что поручил Разведсообществу США разобраться в ситуации, а также пробурчал что-то невнятное в отношении установления связи вымогателей с Россией.
Вчера пресс-секретарь Белого Дома небезизвестная Джейн Псаки заявила на очередной пресс-конференции в ответ на вопрос про атаку на Kaseya, что на встрече с Путиным американский Президент дал понять, что если российские власти не будут принимать меры против находящихся на территории страны киберпреступников, то США примут меры сами или оставят за собой право действовать по своему усмотрению.
Что скрывается за этой формулировкой неясно, не морских котиков же пришлют хакеров воровать - это casus belli в чистом виде. Но можем предположить, что в логике нынешней администрации Белого Дома (как красиво излагаем, прямо как общественно-политический канал какой) действия по своему усмотрению будут представлять демонстративные кибератаки по площадям - типа, Unknown живет в Саратове (это мы к примеру, мы не знаем где он живет, может вообще на Украине), поэтому мы сломали весь Саратов. Чтобы хакер не мог пользоваться сетью - мы потушили провайдеров, чтобы не баловался мобильной data - мы положили медный таз на коммутаторы сотовых операторов, а до кучи выключили саратовский водоканал, чтоб воды не пил.
Конечно же мы утрируем, эти хулиганства американцы делать вряд ли будут. Тем не менее, нам почему-то кажется, что направление их мышления именно таково - на показ бить намеренно широко по возможно имеющим хоть какое-то отношение к вымогателям объектам - хостингам, провайдерам и пр.
Как обычно - будем посмотреть.
The White House
Press Briefing by Press Secretary Jen Psaki, July 6, 2021
James S. Brady Press Briefing Room 1:04 P.M. EDT MS. PSAKI: Hi, everyone. Happy Tuesday. Happy July Fourth week. Okay, a couple of updates for you all at the top here. After the President is briefed by his COVID-19 Response Team this afternoon, he will…