Microsoft не были бы сами собой, если бы опять не накосячили.
Как оказалось, вчерашнее внеочередное обновление KB5004945 для Windows, которое должно было исправить уязвимость PrintNightmare, на самом деле ее не исправляло. Точнее исправляло, но не до конца.
Сначала Уилл Дорман из CERT/CC сообщил, что патч устранил возможность RCE, но повышение локальных привилегий до SYSTEM путем эксплуатации ошибки по-прежнему возможно. Однако в дальнейшем выяснилось, что при определенных условиях (включение политики "Point and Print Restrictions" и при выключенном уведомлении о запросе на повышение прав в параметре "When installing drivers for a new connection") все еще возможно и RCE.
И уже ночью Microsoft выпустили новый патч KB5004948 для устранения уязвимости в Windows 10 1607 и Windows Server 2019, который, как мы понимаем, для остальных версий проблемы не решает.
А мы-то уж было обрадовались, что Microsoft исправляются со своими срочными фиксами дырок. Но нет, мелкомягкие верны себе! Опять Print Spooler выключать надо...
Как оказалось, вчерашнее внеочередное обновление KB5004945 для Windows, которое должно было исправить уязвимость PrintNightmare, на самом деле ее не исправляло. Точнее исправляло, но не до конца.
Сначала Уилл Дорман из CERT/CC сообщил, что патч устранил возможность RCE, но повышение локальных привилегий до SYSTEM путем эксплуатации ошибки по-прежнему возможно. Однако в дальнейшем выяснилось, что при определенных условиях (включение политики "Point and Print Restrictions" и при выключенном уведомлении о запросе на повышение прав в параметре "When installing drivers for a new connection") все еще возможно и RCE.
И уже ночью Microsoft выпустили новый патч KB5004948 для устранения уязвимости в Windows 10 1607 и Windows Server 2019, который, как мы понимаем, для остальных версий проблемы не решает.
А мы-то уж было обрадовались, что Microsoft исправляются со своими срочными фиксами дырок. Но нет, мелкомягкие верны себе! Опять Print Spooler выключать надо...
Twitter
Will Dormann
And based on testing of the first VM of mine that completed the install of the update (Windows 8.1), it looks like it works against both the SMB and the RPC variants in the @cube0x0 github repo. I don't think that LPE is fixed, though. @hackerfantastic 's…
Большой брат следит за тобой, а между наблюдениями периодически получает за это, в этот раз прилетело конкретно.
Группа технологических компаний, ориентированных на конфиденциальность, в том числе Vivaldi Technologies, Fastmail Pty, Conva Ventures Inc, Fathom Analytics, Proton Technologies, Tutao, DuckDuckGo, Disconnect, Mojeek Limited, Ecosia, Startpage & StartMail, Nextcloud, Kobler, Strossle International, Mailfence, опубликовали открытое письмо с просьбой к регулирующим органам ЕС и США принять меры и запретить рекламные технологии, нарушающие конфиденциальность пользователей в сети.
Практика слежения в рекламной индустрии стара как сам Интернет и последнее время с развитием цифровизацией вызывает все больше критики. Помимо защиты прав и личных свобод пользователей на неприкосновенность частной жизни IT-альянс аппелирует к необходимости ограничения монополии крупных технологических гигантов в рекламной экосистеме, выступая с инициативой введения запретов на законодательном уровне.
Кроме того, подписанты разразились обвинениями в злоупотреблении доминирующими игроками своим положением для продвижения собственных услуг и сервисов, а также в манипуляциях рынком. При этом альянс не ограничился сугубо экономикой, приплели и политику: по их мнению, основанная на слежке реклама используется для влияния на общественное мнение, допускает масштабную дискриминацию, и применяется для кибератак и шпионажа.
Борьба за конфиденциальность в мире набирает обороты, а значит некоторым компаниям (все поняли) на отечественном рынке стоит начинать волноваться.
Группа технологических компаний, ориентированных на конфиденциальность, в том числе Vivaldi Technologies, Fastmail Pty, Conva Ventures Inc, Fathom Analytics, Proton Technologies, Tutao, DuckDuckGo, Disconnect, Mojeek Limited, Ecosia, Startpage & StartMail, Nextcloud, Kobler, Strossle International, Mailfence, опубликовали открытое письмо с просьбой к регулирующим органам ЕС и США принять меры и запретить рекламные технологии, нарушающие конфиденциальность пользователей в сети.
Практика слежения в рекламной индустрии стара как сам Интернет и последнее время с развитием цифровизацией вызывает все больше критики. Помимо защиты прав и личных свобод пользователей на неприкосновенность частной жизни IT-альянс аппелирует к необходимости ограничения монополии крупных технологических гигантов в рекламной экосистеме, выступая с инициативой введения запретов на законодательном уровне.
Кроме того, подписанты разразились обвинениями в злоупотреблении доминирующими игроками своим положением для продвижения собственных услуг и сервисов, а также в манипуляциях рынком. При этом альянс не ограничился сугубо экономикой, приплели и политику: по их мнению, основанная на слежке реклама используется для влияния на общественное мнение, допускает масштабную дискриминацию, и применяется для кибератак и шпионажа.
Борьба за конфиденциальность в мире набирает обороты, а значит некоторым компаниям (все поняли) на отечественном рынке стоит начинать волноваться.
Vivaldi Browser
Open letter: Ban surveillance-based advertising | Vivaldi Browser
This letter has been sent by the undersigned to EU & US regulators, to urge them to take action on banning surveillance-based ads, as recommended by the NCC.
Forwarded from SecurityLab.ru (Pipiggi)
С 2016 года правозащитные организации предупреждают об online-наблюдении за разговорами в социальных сетях, проводимом городскими властями и полицейскими управлениями. Такие сервисы, как Media Sonar, Social Sentinel и Geofeedia, анализируют разговоры, сообщая полиции и городским властям, о чем говорят в интернете сотни тысяч пользователей.
Израильская аналитическая компания Zencity позиционирует себя как менее агрессивную альтернативу, поскольку предлагает только агрегированные данные и запрещает целевое наблюдение за массовыми движениями и протестами. Американские города Феникс, Новый Орлеан и Питтсбург используют этот сервис для борьбы с дезинформацией и оценки реакции общественности на такие темы, как соблюдение правил социального дистанцирования или правила дорожного движения.
https://www.securitylab.ru/news/522029.php
Израильская аналитическая компания Zencity позиционирует себя как менее агрессивную альтернативу, поскольку предлагает только агрегированные данные и запрещает целевое наблюдение за массовыми движениями и протестами. Американские города Феникс, Новый Орлеан и Питтсбург используют этот сервис для борьбы с дезинформацией и оценки реакции общественности на такие темы, как соблюдение правил социального дистанцирования или правила дорожного движения.
https://www.securitylab.ru/news/522029.php
SecurityLab.ru
ИИ Zencity помогает полиции анализировать разговоры в соцсетях
В крупных городах США ИИ используется для борьбы с дезинформацией.
Вчера Cisco Talos выпустили отчет о новой киберкампании APT SideCopy, направленной на сотрудников индийских правительственных учреждений.
В кибероперации ничего сверхъестественного нет. Фишинг, используемый для доставки дропперов и RAT, четыре из которых исследователи называют авторскими вредоносами SideCopy. Тут более интересен сам актор и используемые им тактики.
Напомним, что SideCopy впервые были замечены в сентябре прошлого года индийскими исследователями из инфосек компании Quick Heal, которые обратили внимание на то, что группа достаточно много копирует TTPs индийской же APT SideWinder (отсюда, собственно, и название - SideCopy).
Некоторые же признаки, в частности использование Crimson RAT, указывали на связь вновь появившихся хакеров с известной пакистанской группой Transparent Tribe aka APT 36, про которую мы писали ранее.
В новой кампании SideCopy продолжили придерживаться той же тактики по имитации цепочек заражения, которые ранее использовали хакеры из SideWinder. Вряд ли это рассчитано на введение исследователей в заблуждение, ведь все уже в курсе существования SideCopy, нам кажется, что это, скорее, эдакий хакерский стеб над индийцами.
Остается добавить, что сама SideWinder - это индийская прогосударственная APT, работающая преимущественно на пакистанском и китайском направлениях. Видели ее и нападающей на афганские объекты, а также на страны Юго-Восточной Азии. У хакерской группы даже есть персональный инфосек присматривающий - это китайская компания Shadow Chaser Group, которая в прошлом году выдала в паблик развернутый материал про активность SideWinder.
Вот такие они, киберстрасти между двумя частями некогда единого государства.
В кибероперации ничего сверхъестественного нет. Фишинг, используемый для доставки дропперов и RAT, четыре из которых исследователи называют авторскими вредоносами SideCopy. Тут более интересен сам актор и используемые им тактики.
Напомним, что SideCopy впервые были замечены в сентябре прошлого года индийскими исследователями из инфосек компании Quick Heal, которые обратили внимание на то, что группа достаточно много копирует TTPs индийской же APT SideWinder (отсюда, собственно, и название - SideCopy).
Некоторые же признаки, в частности использование Crimson RAT, указывали на связь вновь появившихся хакеров с известной пакистанской группой Transparent Tribe aka APT 36, про которую мы писали ранее.
В новой кампании SideCopy продолжили придерживаться той же тактики по имитации цепочек заражения, которые ранее использовали хакеры из SideWinder. Вряд ли это рассчитано на введение исследователей в заблуждение, ведь все уже в курсе существования SideCopy, нам кажется, что это, скорее, эдакий хакерский стеб над индийцами.
Остается добавить, что сама SideWinder - это индийская прогосударственная APT, работающая преимущественно на пакистанском и китайском направлениях. Видели ее и нападающей на афганские объекты, а также на страны Юго-Восточной Азии. У хакерской группы даже есть персональный инфосек присматривающий - это китайская компания Shadow Chaser Group, которая в прошлом году выдала в паблик развернутый материал про активность SideWinder.
Вот такие они, киберстрасти между двумя частями некогда единого государства.
Cisco Talos Blog
InSideCopy: How this APT continues to evolve its arsenal
By Asheer Malhotra and Justin Thattil.
* Cisco Talos is tracking an increase in SideCopy's activities targeting government personnel in India using themes and tactics similar to APT36 (aka Mythic Leopard and Transparent Tribe).
* SideCopy is an APT group…
* Cisco Talos is tracking an increase in SideCopy's activities targeting government personnel in India using themes and tactics similar to APT36 (aka Mythic Leopard and Transparent Tribe).
* SideCopy is an APT group…
Софта Accellion FTA уже нет, а скомпрометированные с его помощью жертвы до сих разгребают последствия серии атак, которые были предприняты Clop в конце 2020 года.
На этот раз инвестиционная компания Morgan Stanley уведомила генерального прокурора Нью-Гэмпшира об краже пользовательских данных своих клиентов посредством компрометации FTA. Уязвимым элементом оказалась Guidehouse, которая предоставляет услуги по обслуживанию счетов компании Morgan Stanley из числа участников StockPlan Connect.
В Morgan Stanley признались, что в руки злоумышленников попали сведения в отношении 108 жителей Нью-Гэмпшира, а именно: имена, адреса, даты рождения, номера социального страхования и названия компаний. Точнее был украден защищенный файл с личными и контактными данными акционеров, бумаги которых должны были участвовать в торгах. Никто и не сомневался, украденные файлы были зашифрованы, но вот досада: злоумышленник все же смог получить ключ дешифрования во время инцидента из-за уязвимости именно в FTA.
Guidehouse при этом заметили утечку лишь в марте 2021 году и в течение 5 дней закрыли дыру, а проинформировали Morgan Stanley только в мае. После уже полугодовых разборок инцидента все сошлись во мнении: доказательств того, что данные Morgan Stanley были распространены за пределы объекта угрозы. Заметим, что западный инфосек-истеблишмент полагает об обратном.
Дабы погасить скандал компания раздала плюшки жертвам инцидента в Нью-Гэмпшире в виде бесплатных услуг по мониторингу кредитоспособности от Experian и прочих услуг. В целом, грамотные финансисты оперативно зарешали вопрос со всеми интересантами и свели к минимуму репутационыне потери. Не без Clop конечно же: вы ведь помните реальный объём доходов вымогателей.
На этот раз инвестиционная компания Morgan Stanley уведомила генерального прокурора Нью-Гэмпшира об краже пользовательских данных своих клиентов посредством компрометации FTA. Уязвимым элементом оказалась Guidehouse, которая предоставляет услуги по обслуживанию счетов компании Morgan Stanley из числа участников StockPlan Connect.
В Morgan Stanley признались, что в руки злоумышленников попали сведения в отношении 108 жителей Нью-Гэмпшира, а именно: имена, адреса, даты рождения, номера социального страхования и названия компаний. Точнее был украден защищенный файл с личными и контактными данными акционеров, бумаги которых должны были участвовать в торгах. Никто и не сомневался, украденные файлы были зашифрованы, но вот досада: злоумышленник все же смог получить ключ дешифрования во время инцидента из-за уязвимости именно в FTA.
Guidehouse при этом заметили утечку лишь в марте 2021 году и в течение 5 дней закрыли дыру, а проинформировали Morgan Stanley только в мае. После уже полугодовых разборок инцидента все сошлись во мнении: доказательств того, что данные Morgan Stanley были распространены за пределы объекта угрозы. Заметим, что западный инфосек-истеблишмент полагает об обратном.
Дабы погасить скандал компания раздала плюшки жертвам инцидента в Нью-Гэмпшире в виде бесплатных услуг по мониторингу кредитоспособности от Experian и прочих услуг. В целом, грамотные финансисты оперативно зарешали вопрос со всеми интересантами и свели к минимуму репутационыне потери. Не без Clop конечно же: вы ведь помните реальный объём доходов вымогателей.
Пока Администрация Президента США угрожает России предпринять жесткие меры в отношении акторов нашумевших кибератак, а специалисты Kaseya судорожно пытаются восстановить работу серверов VSA и SaaS, подвергшихся нападению REvil, мошенники уровнем пониже выкатили свои обновления для клиентов компании.
Malwarebytes обнаружили фишинговые письма, содержащие поддельные информационные сообщения Kaseya, в которых клиентам предлагается загрузить и выполнить вложение под названием SecurityUpdates.exe, чтобы устранить уязвимость в программном обеспечении VSA и защититься от программ-вымогателей.
На самом деле исполняемый файл Windows являлся пакетом Cobalt Strike, а сам образец письма также содержал прямую ссылку на вредоносный исполняемый файл.
К настоящему времени в свете этого потенциального риска безопасности компания отключила своих крикетов от услуг и официально отказалась от использования электронной почты для доставки обновлений. Возобновить работу Kaseya намерены в это в 16:00 по восточному времени.
Ждемс.
Malwarebytes обнаружили фишинговые письма, содержащие поддельные информационные сообщения Kaseya, в которых клиентам предлагается загрузить и выполнить вложение под названием SecurityUpdates.exe, чтобы устранить уязвимость в программном обеспечении VSA и защититься от программ-вымогателей.
На самом деле исполняемый файл Windows являлся пакетом Cobalt Strike, а сам образец письма также содержал прямую ссылку на вредоносный исполняемый файл.
К настоящему времени в свете этого потенциального риска безопасности компания отключила своих крикетов от услуг и официально отказалась от использования электронной почты для доставки обновлений. Возобновить работу Kaseya намерены в это в 16:00 по восточному времени.
Ждемс.
Twitter
Malwarebytes Threat Intelligence
A #malspam campaign is taking advantage of Kaseya VSA #ransomware attack to drop #CobaltStrike. It contains an attachment named "SecurityUpdates.exe" as well as a link pretending to be security update from Microsoft to patch Kaseya vulnerability!
Традиционно об уязвимостях: Rapid7 обнаружили баги в продукте планирования ресурсов предприятия ERP Sage X3, включая недостатки, которые можно использовать удаленно без аутентификации для получения полного контроля над системой. Отметим, что больше тысячи средних и крупных организаций по всему миру используют Sage X3: поисковые запросы в Censys, например, выдаёт более 1800 результатов.
Из четырех выявленных исследователями уязвимостей CVE-2020-7387 - CVE-2020-7390 одна 7388 наиболее критическая: описывается как проблема с удаленным выполнением команд без аутентификации и связана со службой для удаленного управления Sage ERP через консоль Sage X3.
При этом применив CVE-2020-7387, которая представляет собой проблему раскрытия пути установки, злоумышленник может получить необходимую ему для реализации CVE-2020-7388: злоумышленник может сначала узнать путь установки уязвимого программного обеспечения, а затем использовать эту информацию для передачи команд в хост-систему для запуска. Два оставшихся недостатка были описаны как внедрение аутентифицированных команд ОС и постоянные проблемы межсайтового скриптинга XSS.
О дырах в системе безопасности поставщику сообщили ещё в феврале 2021 года, и в следующем месяце они были исправлены. В мае все клиенты были оповещены о наличии исправлений: Sage X3 Version 9 (Syracuse 9.22.7.2), Sage X3 HR & Payroll Version 9 (Syracuse 9.24.1.3), Sage X3 Version 11 (Syracuse 11.25.2.6) и Sage X3 Version 12 (Syracuse 12.10.2.8). Кроме того, исследователи рекомендуют работать с Sage X3 через VPN и настоятельно накатывать обновления.
Из четырех выявленных исследователями уязвимостей CVE-2020-7387 - CVE-2020-7390 одна 7388 наиболее критическая: описывается как проблема с удаленным выполнением команд без аутентификации и связана со службой для удаленного управления Sage ERP через консоль Sage X3.
При этом применив CVE-2020-7387, которая представляет собой проблему раскрытия пути установки, злоумышленник может получить необходимую ему для реализации CVE-2020-7388: злоумышленник может сначала узнать путь установки уязвимого программного обеспечения, а затем использовать эту информацию для передачи команд в хост-систему для запуска. Два оставшихся недостатка были описаны как внедрение аутентифицированных команд ОС и постоянные проблемы межсайтового скриптинга XSS.
О дырах в системе безопасности поставщику сообщили ещё в феврале 2021 года, и в следующем месяце они были исправлены. В мае все клиенты были оповещены о наличии исправлений: Sage X3 Version 9 (Syracuse 9.22.7.2), Sage X3 HR & Payroll Version 9 (Syracuse 9.24.1.3), Sage X3 Version 11 (Syracuse 11.25.2.6) и Sage X3 Version 12 (Syracuse 12.10.2.8). Кроме того, исследователи рекомендуют работать с Sage X3 через VPN и настоятельно накатывать обновления.
Rapid7
CVE-2020-7387.7390: Multiple Sage X3 Vulnerabilities | Rapid7 Blog
Наш скептицизм оправдался: в минувшее воскресенье Kaseya так и не удалось перезапустить сервера SaaS, но определенные сподвижки наметились.
Выпущено обновление 9.5.7a (9.5.7.2994) с исправлением уязвимостей в Virtual System Administrator: CVE-2021-30116 (утечка учетных данных), CVE-2021-30119 (уязвимость межсайтового скриптинга) и CVE-2021-30120 (обход 2FA), которые, по предположению разработчика, использовались REvil в ходе нашумевшей атаки.
Технологический гигант отметил, что развертывание идет «по плану», 95%клиентов SaaS компании уже активны, а серверы «в ближайшие часы выйдут в сеть для остальных наших клиентов».
В целом, компания наконец-то отказалась от устаревших решений. Обновленный API теперь будет скрывать значение пароля: в прошлом исполнении некоторые ответы API содержали его хэш. Исправлена ошибка, связанная с использованием флага безопасности для пользовательского портала, устранены потенциальные возможности для несанкционированной загрузки файлов на сервер VSA.
Кроме того, клиентам компании перед началом инсталляции предлагается предварительно просканить свои системы с помощью Compromise Detection Tool для поиска возможно скомпрометированных agent.crt и agent.exe, а в ходе обновления ограничить доступ к веб-интерфейсу VSA.
Вся эта история с Kaseya - пример того, как многие годы руководство в погоне за выручкой и оптимизациями, долгое время не уделяла должного внимания наболевшим проблемам в сфере информационной безопасности, включая устаревший код, слабое шифрование и отсутствие надежных процедур установки исправлений. Так, по данным Bloomberg, в 2018 и 2019 хакеры уже использовали продукты Kaseya для развертывания ransomware.
На деле экономия оборачивается серьезными убытками.
Выпущено обновление 9.5.7a (9.5.7.2994) с исправлением уязвимостей в Virtual System Administrator: CVE-2021-30116 (утечка учетных данных), CVE-2021-30119 (уязвимость межсайтового скриптинга) и CVE-2021-30120 (обход 2FA), которые, по предположению разработчика, использовались REvil в ходе нашумевшей атаки.
Технологический гигант отметил, что развертывание идет «по плану», 95%клиентов SaaS компании уже активны, а серверы «в ближайшие часы выйдут в сеть для остальных наших клиентов».
В целом, компания наконец-то отказалась от устаревших решений. Обновленный API теперь будет скрывать значение пароля: в прошлом исполнении некоторые ответы API содержали его хэш. Исправлена ошибка, связанная с использованием флага безопасности для пользовательского портала, устранены потенциальные возможности для несанкционированной загрузки файлов на сервер VSA.
Кроме того, клиентам компании перед началом инсталляции предлагается предварительно просканить свои системы с помощью Compromise Detection Tool для поиска возможно скомпрометированных agent.crt и agent.exe, а в ходе обновления ограничить доступ к веб-интерфейсу VSA.
Вся эта история с Kaseya - пример того, как многие годы руководство в погоне за выручкой и оптимизациями, долгое время не уделяла должного внимания наболевшим проблемам в сфере информационной безопасности, включая устаревший код, слабое шифрование и отсутствие надежных процедур установки исправлений. Так, по данным Bloomberg, в 2018 и 2019 хакеры уже использовали продукты Kaseya для развертывания ransomware.
На деле экономия оборачивается серьезными убытками.
Kaseya
Update Regarding VSA Security Incident
От слов к делу: связанный с Агентством по кибербезопасности и безопасности инфраструктуры США Джек Кейбл, по совместительству - эксперт из компании Krebs Stamos Group, запустил сайт https://ransomwhe.re для публичного мониторинга финансовой активности операторов ransomware.
Мы уже упоминали, что в качестве приемов борьбы с вымогателями Администрация Байдена рассматривает экономическое и административное стимулирование отказов от выкупов у их жертв и оказались правы.
Открытый краудсорсинговый трекер платежей ransomwhe.re - формально частный проект, который аккумулирует подгружаемые пользователями данные о платежных реквизитах вымогателей и общедоступные сведения о транзакциях криптовалюты. Такой публичный банк данных, по мнению автора, позвонит раскрыть объемы рынка вымогателей и повлиять на поведение жертв.
Очень сомнительно, что в бункерах спецслужб таких данных еще нет, поэтому даже не сомневаемся, что самую посильную помощь в наполнении проекту окажут спецслужбы и связанные с ними инфосек-компании.
А в перспективе Ransomwhere может пригодиться и самому Байдену в переговорах с Россией, с территории которой, по мнению американцев, безнаказанно орудуют широкоизвестные хакеры. Во всяком случае ссылочками точно поделятся.
На наш взгляд, проект определено заслуживает внимания специалистов инфосека с точки зрения аналитики и реальной оценки исходящих от ransomware угроз.
Мы уже упоминали, что в качестве приемов борьбы с вымогателями Администрация Байдена рассматривает экономическое и административное стимулирование отказов от выкупов у их жертв и оказались правы.
Открытый краудсорсинговый трекер платежей ransomwhe.re - формально частный проект, который аккумулирует подгружаемые пользователями данные о платежных реквизитах вымогателей и общедоступные сведения о транзакциях криптовалюты. Такой публичный банк данных, по мнению автора, позвонит раскрыть объемы рынка вымогателей и повлиять на поведение жертв.
Очень сомнительно, что в бункерах спецслужб таких данных еще нет, поэтому даже не сомневаемся, что самую посильную помощь в наполнении проекту окажут спецслужбы и связанные с ними инфосек-компании.
А в перспективе Ransomwhere может пригодиться и самому Байдену в переговорах с Россией, с территории которой, по мнению американцев, безнаказанно орудуют широкоизвестные хакеры. Во всяком случае ссылочками точно поделятся.
На наш взгляд, проект определено заслуживает внимания специалистов инфосека с точки зрения аналитики и реальной оценки исходящих от ransomware угроз.
Twitter
Jack Cable
Today, I'm excited to launch Ransomwhere, the open, crowdsourced ransomware payment tracker. Check out the site and contribute data at ransomwhe.re and follow @ransomwhere_ for updates. Thread on where I see this going:
Forwarded from Эксплойт | Live
Создатель бота «Глаз Бога» обвинил Telegram в незаконных действиях
После того, как Telegram удалил его канал более чем с миллионом подписчиков, он собирается выпустить собственную соцсеть и переманивать туда пользователей.
Сами пользователи, кстати, активно «клонируют» новых ботов так, что администрация Telegram не успевает их блокировать.
По словам создателя «Глаза Бога», администрация Telegram якобы сливает информацию «всем подряд», занимается коррупцией и тесно сотрудничает с Роскомнадзором.
После того, как Telegram удалил его канал более чем с миллионом подписчиков, он собирается выпустить собственную соцсеть и переманивать туда пользователей.
Сами пользователи, кстати, активно «клонируют» новых ботов так, что администрация Telegram не успевает их блокировать.
По словам создателя «Глаза Бога», администрация Telegram якобы сливает информацию «всем подряд», занимается коррупцией и тесно сотрудничает с Роскомнадзором.
Мы внимательно следим за реакцией американских властей на атаку банды вымогателей REvil на американского поставщика IT-услуг и производителя ПО Kaseya.
После поручений Разведсообществу США разобраться в ситуации Президент США на встрече с Путиным дал понять, что если российские власти не будут принимать меры против находящихся на территории страны киберпреступников, то США примут меры сами или оставят за собой право действовать по своему усмотрению.
Что бы это значило - неясно.
Но буквально на днях в ходе телефонного звонка Байден вновь обсудили с Путиным продолжающиеся атаки с использованием ransomware. Президент США призвал Россию остановить деятельность действующих на ее территории хакерских групп, по факту - озвучил последнее китайское предупреждение, сославшись на то, что они предпримут все необходимые действия для защиты своей критической инфраструктуры.
Однако Владимир Путин посетовал на то, что, несмотря на готовность российской стороны к силовым действиям, за последний месяц по линии спецслужб от США не поступало обращений по этим вопросам.
Еще большую пикантность ситуации придает состоявшееся вчера назначение Джен Истерли на пост директора Агентства по кибербезопасности и безопасности инфраструктуры (CISA).
До назначения Истерли работала специальным помощником президента и старшим директором по борьбе с терроризмом в АНБ. Ранее более 20 лет служила в армии США, отвечая за разведку и киберопераций, под ее началом было создан первый кибербатальон, а позже - Киберкомандование США.
Бэкграунд нового главы CISA говорит сам за себя. Тем не менее, как обычно выводов делать не будем - ждем.
После поручений Разведсообществу США разобраться в ситуации Президент США на встрече с Путиным дал понять, что если российские власти не будут принимать меры против находящихся на территории страны киберпреступников, то США примут меры сами или оставят за собой право действовать по своему усмотрению.
Что бы это значило - неясно.
Но буквально на днях в ходе телефонного звонка Байден вновь обсудили с Путиным продолжающиеся атаки с использованием ransomware. Президент США призвал Россию остановить деятельность действующих на ее территории хакерских групп, по факту - озвучил последнее китайское предупреждение, сославшись на то, что они предпримут все необходимые действия для защиты своей критической инфраструктуры.
Однако Владимир Путин посетовал на то, что, несмотря на готовность российской стороны к силовым действиям, за последний месяц по линии спецслужб от США не поступало обращений по этим вопросам.
Еще большую пикантность ситуации придает состоявшееся вчера назначение Джен Истерли на пост директора Агентства по кибербезопасности и безопасности инфраструктуры (CISA).
До назначения Истерли работала специальным помощником президента и старшим директором по борьбе с терроризмом в АНБ. Ранее более 20 лет служила в армии США, отвечая за разведку и киберопераций, под ее началом было создан первый кибербатальон, а позже - Киберкомандование США.
Бэкграунд нового главы CISA говорит сам за себя. Тем не менее, как обычно выводов делать не будем - ждем.
Telegram
SecAtor
Продолжается реакция американских властей на атаку банды вымогателей REvil на американского поставщика IT-услуг и производителя ПО Kaseya.
Первая реакция от Президента США последовала еще в субботу, тогда Байден заявил, что поручил Разведсообществу США…
Первая реакция от Президента США последовала еще в субботу, тогда Байден заявил, что поручил Разведсообществу США…
Несмотря ни на что Positive Technologies не оставляют идею провести IPO. Сегодня Коммерсант сообщил, что компания провела неожиданную рокировку: вместо Юрия Максимова пост генерального директора занял специалист с техническим бэкграундом Денис Баранов, который займётся подготовкой к выводу на Московскую фондовую биржу. Максимов, в свою очередь, сосредоточится на визионерском управлении и стратегическом менеджменте.
Немного в сторону, но тоже по теме: в Лаборатории Касперского прошло внутреннее объявление об уходе директора по продажам и маркетингу Александра Моисеева и переподчинении его структуры директору по R&D Андрею Ефремову. Технари начинают рулить инфосек-бизнесом.
А к новости о Позитивах добавить и убавить практически нечего. Мы только выразим осторожную обеспокоенность их IPO-одержимостью, которая в сложившихся условиях может выйти компании горькими слезами: или громким провалом на выводе или слишком низкой ценой 10-процентного пакета, который предполагается выставить на продажу. Видимо кому-то из топ-менеджмента уж очень сильно хочется обкэшиться несмотря ни на что.
Немного в сторону, но тоже по теме: в Лаборатории Касперского прошло внутреннее объявление об уходе директора по продажам и маркетингу Александра Моисеева и переподчинении его структуры директору по R&D Андрею Ефремову. Технари начинают рулить инфосек-бизнесом.
А к новости о Позитивах добавить и убавить практически нечего. Мы только выразим осторожную обеспокоенность их IPO-одержимостью, которая в сложившихся условиях может выйти компании горькими слезами: или громким провалом на выводе или слишком низкой ценой 10-процентного пакета, который предполагается выставить на продажу. Видимо кому-то из топ-менеджмента уж очень сильно хочется обкэшиться несмотря ни на что.
Почти нарицательная и до боли известная SolarWinds оперативно выпустила обновления безопасности, устраняющие CVE-2021-35211. Ошибка традиционно эффективно эксплуатировалась в дикой природе, пока специалисты Microsoft не начали бить тревогу.
Уязвимость представляет собой ошибку удаленного выполнения кода RCE в технологии передачи файлов Serv-U в версиях до 15.2.3 HF1 включительно, которую можно эксплуатировать через SSH для запуска вредоносного кода с повышенными привилегиями в приложениях SolarWinds. Ее реализация позволяет устанавливать программы, изменять или удалять данные или запускать программы в уязвимой системе. Технология Serv-U имеет ограниченное применение и задействовалась исключительно в продуктах Serv-U Managed File Transfer и Serv-U Secure FTP.
Сведения об инцидентах и жертвах атак не разглашаются. Microsoft лишь отметила потенциальную ограниченную целевую группу клиентов, которые могли пострадать от действий единственного обнаруженного актора. Ну ну.
Уязвимость представляет собой ошибку удаленного выполнения кода RCE в технологии передачи файлов Serv-U в версиях до 15.2.3 HF1 включительно, которую можно эксплуатировать через SSH для запуска вредоносного кода с повышенными привилегиями в приложениях SolarWinds. Ее реализация позволяет устанавливать программы, изменять или удалять данные или запускать программы в уязвимой системе. Технология Serv-U имеет ограниченное применение и задействовалась исключительно в продуктах Serv-U Managed File Transfer и Serv-U Secure FTP.
Сведения об инцидентах и жертвах атак не разглашаются. Microsoft лишь отметила потенциальную ограниченную целевую группу клиентов, которые могли пострадать от действий единственного обнаруженного актора. Ну ну.
Буквально вчера 👆мы предполагали, что новый инцидент с SolarWinds обещает быть весьма интересным. Так и получилось.
По-началу, обстоятельства инцидента оставались нераскрытыми, однако отъехать по-тихому, даже оперативно выпустив патч Serv-U (v15.2.3 HF2), SolarWinds не удалось.
Под давлением инфосек-сообщества Microsoft заявили, что к серии атак с использованием CVE-2021-35211 была причастна китайская APT, именуемая DEV-0322.
Согласно отчету Microsoft телеметрия Defender зафиксировала аномальные вредоносные процессы, инициируемые приложением Serv-U, что в конечном итоге привело к расследованию и обнаружению серии продолжающихся атак.
Выдав в паблик подробный отчет, Microsoft не сообщили, на какие системы конкретно были направлены атаки. Но, предположить несложно, особенно зная, что в ходе предшествующих атак DEV-0322 были нацелены на компании в сфере ВПК США (DIB).
В общем, компании, использующие FTP-серверы Serv-U, могут защитить себя от возможных атак, установив патч компании или отключив SSH-доступ к серверу. Однако, принимая во внимание заявленный локальный характер инцидента и единственного актора, клиентам Serv-U за пределами DIB переживать сильно не стоит.
Но, мы по-прежнему в предвкушении нового геополитического скандала.
По-началу, обстоятельства инцидента оставались нераскрытыми, однако отъехать по-тихому, даже оперативно выпустив патч Serv-U (v15.2.3 HF2), SolarWinds не удалось.
Под давлением инфосек-сообщества Microsoft заявили, что к серии атак с использованием CVE-2021-35211 была причастна китайская APT, именуемая DEV-0322.
Согласно отчету Microsoft телеметрия Defender зафиксировала аномальные вредоносные процессы, инициируемые приложением Serv-U, что в конечном итоге привело к расследованию и обнаружению серии продолжающихся атак.
Выдав в паблик подробный отчет, Microsoft не сообщили, на какие системы конкретно были направлены атаки. Но, предположить несложно, особенно зная, что в ходе предшествующих атак DEV-0322 были нацелены на компании в сфере ВПК США (DIB).
В общем, компании, использующие FTP-серверы Serv-U, могут защитить себя от возможных атак, установив патч компании или отключив SSH-доступ к серверу. Однако, принимая во внимание заявленный локальный характер инцидента и единственного актора, клиентам Serv-U за пределами DIB переживать сильно не стоит.
Но, мы по-прежнему в предвкушении нового геополитического скандала.
Microsoft News
Microsoft discovers threat actor targeting SolarWinds Serv-U software with 0-day exploit
Microsoft has detected a 0-day remote code execution exploit being used to attack SolarWinds Serv-U FTP software in limited and targeted attacks. The Microsoft Threat Intelligence Center (MSTIC) attributes this campaign with high confidence to DEV-0322, a…
Сегодня взбудораженные поклонники инфосека пытаются понять, что же случилось на самом деле: сразу после телефонного разговора лидеров РФ и США веб-сайты и сервера банды вымогателей REvil странным образом закрылись.
По сведениям Аль Смита из Tor Project, записи DNS для доменов, используемых хакерами, были извлечены или внутренняя инфраструктура DNS была отключена, попросту - стёрта.
LockBit отметили на хакерском форуме XSS, что, по слухам, REvil стерли свои сервера после того, как узнали о претензиях к ним со стороны спецслужб. Согласно другим сведениям, исчезновение было вызвано запросами со стороны органов, в котором фигурировала используемая хакерами серверная инфраструктура. Сразу после этого аккаунт REvil на XSS также ушел в бан, при этом админы в даркнете традиционно блокируют своих пользователей в случае попадания их в разработку правоохранителями.
А вообще, мы подробно писали о том, что происходит сейчас с Revil: вспомните ровно два возможных выхода из сложившейся с ransomware ситуации, ведь подобный порядок вещей сильные мира сего долго терпеть уже не в состоянии.
А для протокола конечно же найдутся где-то в Магадане или Ростове, или еще где парочка студентов с компами и жесткими, из которых вываливались бы исходники ransomware, а в придачу и постеры Anonymous.
А как вы хотели? Кина для взрослых не будет.
По сведениям Аль Смита из Tor Project, записи DNS для доменов, используемых хакерами, были извлечены или внутренняя инфраструктура DNS была отключена, попросту - стёрта.
LockBit отметили на хакерском форуме XSS, что, по слухам, REvil стерли свои сервера после того, как узнали о претензиях к ним со стороны спецслужб. Согласно другим сведениям, исчезновение было вызвано запросами со стороны органов, в котором фигурировала используемая хакерами серверная инфраструктура. Сразу после этого аккаунт REvil на XSS также ушел в бан, при этом админы в даркнете традиционно блокируют своих пользователей в случае попадания их в разработку правоохранителями.
А вообще, мы подробно писали о том, что происходит сейчас с Revil: вспомните ровно два возможных выхода из сложившейся с ransomware ситуации, ведь подобный порядок вещей сильные мира сего долго терпеть уже не в состоянии.
А для протокола конечно же найдутся где-то в Магадане или Ростове, или еще где парочка студентов с компами и жесткими, из которых вываливались бы исходники ransomware, а в придачу и постеры Anonymous.
А как вы хотели? Кина для взрослых не будет.
Немецкий разработчик SAP выпустил 12 исправлений безопасности, а также обновления для трех ранее выпущенных.
Наиболее важные из них касаются серьёзных уязвимостей в NetWeaver: CVE-2021-33671 (отсутствие проверки авторизации), CVE-2021-33670 (отказ в обслуживании).
Первый недостаток затрагивает управляемые процедуры SAP NetWeaver (SAP GP) в компоненте Composite Application Framework (CAF), который обеспечивает доступ к серверным системам. Отсутствие авторизации было обнаружено в средстве централизованного администрирования для GP и могло привести к несанкционированному доступу и манипулированию данными.
Вторая уязвимость была связана с некорректной работой Java (http-service) в SAP NetWeaver AS и позволяла потенциальному злоумышленнику манипулировать HTTP-запросами, вызывая состояние отказа в обслуживании.
SAP также выпустила девять исправлений уязвимостей в CRM ABAP, NetWeaver AS ABAP и ABAP Platform, Lumira Server, Web Dispatcher и Internet Communication Manager, NetWeaver AS для Java (Enterprise Portal), Business Objects Web Intelligence (BI Launchpad) и 3D Visual Enterprise Viewer.
Кроме того, компания выпустила обновления для Hot News: одно из них касается браузера Chromium в SAP Business Client, а другое - NetWeaver ABAP Server и ABAP Platform.
Исправлена уязвимость XML External Entity (XXE) в интеграции процессов SAP (ESR Java Mappings).
Наиболее важные из них касаются серьёзных уязвимостей в NetWeaver: CVE-2021-33671 (отсутствие проверки авторизации), CVE-2021-33670 (отказ в обслуживании).
Первый недостаток затрагивает управляемые процедуры SAP NetWeaver (SAP GP) в компоненте Composite Application Framework (CAF), который обеспечивает доступ к серверным системам. Отсутствие авторизации было обнаружено в средстве централизованного администрирования для GP и могло привести к несанкционированному доступу и манипулированию данными.
Вторая уязвимость была связана с некорректной работой Java (http-service) в SAP NetWeaver AS и позволяла потенциальному злоумышленнику манипулировать HTTP-запросами, вызывая состояние отказа в обслуживании.
SAP также выпустила девять исправлений уязвимостей в CRM ABAP, NetWeaver AS ABAP и ABAP Platform, Lumira Server, Web Dispatcher и Internet Communication Manager, NetWeaver AS для Java (Enterprise Portal), Business Objects Web Intelligence (BI Launchpad) и 3D Visual Enterprise Viewer.
Кроме того, компания выпустила обновления для Hot News: одно из них касается браузера Chromium в SAP Business Client, а другое - NetWeaver ABAP Server и ABAP Platform.
Исправлена уязвимость XML External Entity (XXE) в интеграции процессов SAP (ESR Java Mappings).
Отличился не только SAP, отметился и Microsoft своим эпическим патчем, включающим исправления в общей сложности 117 уязвимостей безопасности, включая 9 ошибок нулевого дня, которые эксплуатируются в дикой природе.
В общем расклад такой: 13 имеют рейтинг критических, 103 - важных, а 1 - средней степени серьезности.
Обновления охватывают Windows, Bing, Dynamics, Exchange Server, Office, Scripting Engine, Windows DNS и Visual Studio Code.
Под закаточный конвейер разработчиков конечно же попал проблемный диспетчер очереди печати (CVE-2021-34527), уязвимости ядра Windows, связанные с повышением привилегий (CVE-2021-31979 и 33771), косяки модуля сценариев, приводящие к повреждению памяти (CVE-2021-34448).
Исправленные уязвимостей нулевого дня также затрагивают: Microsoft Exchange Server (CVE-2021-34473 - удаленное выполнение кода и CVE-2021-34523 - повышение привилегий), Active Directory (CVE-2021-33781 - обход функций безопасности), Windows ADFS (CVE-2021-33779 - аналогично), Windows (CVE-2021-34492 - подделка сертификатов и CVE-2021-34458 - удаленное выполнение кода), Windows DNS Server (CVE-2021-34494 - удаленное выполнение кода).
Кроме того, Microsoft также устранила уязвимость обхода безопасности в биометрической аутентификации Windows hello (CVE-2021-34466), которая позволяла подделать лицо и получить доступ в систему.
MSFT в целом уже близки в тому состоянию, когда количество трансформируется в качество: в мае и июне они закрыли 55 и 50 дыр соответственно. Но, что-то зная мелкомягких, думает, что им ещё долго вести бой в тенью.
В общем расклад такой: 13 имеют рейтинг критических, 103 - важных, а 1 - средней степени серьезности.
Обновления охватывают Windows, Bing, Dynamics, Exchange Server, Office, Scripting Engine, Windows DNS и Visual Studio Code.
Под закаточный конвейер разработчиков конечно же попал проблемный диспетчер очереди печати (CVE-2021-34527), уязвимости ядра Windows, связанные с повышением привилегий (CVE-2021-31979 и 33771), косяки модуля сценариев, приводящие к повреждению памяти (CVE-2021-34448).
Исправленные уязвимостей нулевого дня также затрагивают: Microsoft Exchange Server (CVE-2021-34473 - удаленное выполнение кода и CVE-2021-34523 - повышение привилегий), Active Directory (CVE-2021-33781 - обход функций безопасности), Windows ADFS (CVE-2021-33779 - аналогично), Windows (CVE-2021-34492 - подделка сертификатов и CVE-2021-34458 - удаленное выполнение кода), Windows DNS Server (CVE-2021-34494 - удаленное выполнение кода).
Кроме того, Microsoft также устранила уязвимость обхода безопасности в биометрической аутентификации Windows hello (CVE-2021-34466), которая позволяла подделать лицо и получить доступ в систему.
MSFT в целом уже близки в тому состоянию, когда количество трансформируется в качество: в мае и июне они закрыли 55 и 50 дыр соответственно. Но, что-то зная мелкомягких, думает, что им ещё долго вести бой в тенью.
Обновлением могут похвастаться и владельцы вредоносного ПО BIOPASS, новые функции которого обнаружили спецы из Trend Micro.
Они установили, что с виду обычный троян удаленного доступа (RAT) на Python обладает совершенно новой функцией, которой нет ни в одной другой вредоносной программе: он реализует потоковую передачу видео с экранов жертв. Функция реализована благодаря применению OBS Studio RTMP (протокол обмена сообщениями в реальном времени) для записи экрана пользователя и трансляции его на панель управления злоумышленника.
Он был замечен в ходе расследования атак китайские сайты, связанные с азартными играми. RAT маскировался под дистрибутивы Adobe Flash Player или Microsoft Silverlight, которые все еще юзаются в Китае, несмотря на то, что срок их службы истек. Распространялись заражённые установщики через вредоносный JavaScript на страницах технической поддержки игровых ресурсов.
Несмотря на отсутствие официальной атрибуции Trend Micro заявила, что к атакам с использованием BIOPASS причастна китайская Winnti или APT41, что соответствует ее почерку. Как известно помимо кибершпионажа в сферу интересов хакеров также входили игровые онлайн-компании по всей Юго-Восточной Азии.
Согласно исследованию Trend Micro значительная часть функций BIOPASS была заточена под местные китайские организации. Вероятно, APT41 задействовалась кураторами для решения внутренних задач, связанных с получением личных данных пользователей популярных веб-браузеров и мессенджеров, используемых обычно в материковом Китае.
Они установили, что с виду обычный троян удаленного доступа (RAT) на Python обладает совершенно новой функцией, которой нет ни в одной другой вредоносной программе: он реализует потоковую передачу видео с экранов жертв. Функция реализована благодаря применению OBS Studio RTMP (протокол обмена сообщениями в реальном времени) для записи экрана пользователя и трансляции его на панель управления злоумышленника.
Он был замечен в ходе расследования атак китайские сайты, связанные с азартными играми. RAT маскировался под дистрибутивы Adobe Flash Player или Microsoft Silverlight, которые все еще юзаются в Китае, несмотря на то, что срок их службы истек. Распространялись заражённые установщики через вредоносный JavaScript на страницах технической поддержки игровых ресурсов.
Несмотря на отсутствие официальной атрибуции Trend Micro заявила, что к атакам с использованием BIOPASS причастна китайская Winnti или APT41, что соответствует ее почерку. Как известно помимо кибершпионажа в сферу интересов хакеров также входили игровые онлайн-компании по всей Юго-Восточной Азии.
Согласно исследованию Trend Micro значительная часть функций BIOPASS была заточена под местные китайские организации. Вероятно, APT41 задействовалась кураторами для решения внутренних задач, связанных с получением личных данных пользователей популярных веб-браузеров и мессенджеров, используемых обычно в материковом Китае.
Trend Micro
BIOPASS RAT New Malware Sniffs Victims via Live Streaming
We discovered a new malware that targets online gambling companies in China via a watering hole attack, in which visitors are tricked into downloading a malware loader disguised as a legitimate installer for well-known apps such as Adobe Flash Player or Microsoft…
Панику среди своих клиентов наводит SonicWall, распространяя срочное сообщение о готовящейся атаках ransomware с использованием украденных учетных данных.
Разработчик рекомендовал немедленно отключить от сети Secure Mobile Access (SMA) серии 100 и Secure Remote Access (SRA) с устаревшей прошивкой 8.x. Для более глубокого внушения клиентам были даже разосланы персональные email.
Решение действовать на упреждение руководством SonicWall было принято после консультаций Mandiant и другими авторитетными ребятами.
Эксплуатация нацелена на известную уязвимость, которая была исправлена в более новых версиях микропрограммы. Так, в прицел хакеров попали: SRA 4600/1600 (EOL 2019), SRA 4200/1200 (EOL 2016) или SSL-VPN200/2000/400 (EOL 2013/2014). Им в безальтернативном формате рекомендуется обновиться до последней доступной прошивки и сменить пароли.
При этом если устройство не поддерживает обновление до прошивки 9.x, то дальнейшее использование невозможно и неизбежно, по мнению SonicWall, приведёт к целенаправленной атаке вымогателей. В этой ситуации разработчик готов предоставить бесплатный виртуальный SMA 500v до 31 октября 2021 года.
Компания не раскрывает актора и характера имеющихся у них сведений о деятельности вымогателей.
Но две недели об уязвимости в Network Security Manager представителям SonicWall сообщали Positive Technologies, в июне критические ошибки в SonicWall Network Security Appliance (NSA) выявили Tripwire.
Кроме того, ранее в этом году исследователи из команды NCC Group вскрыли инциденты с применением программ-вымогателей FiveHands, а FireEye - с использованием и SOMBRAT.
Воодушевляет представителей SonicWall лишь незначительное число неисправленных устройств. Как бы ни было - любая атака в последнее время лишь усиливает общее напряжение, вызванное ransomware.
Разработчик рекомендовал немедленно отключить от сети Secure Mobile Access (SMA) серии 100 и Secure Remote Access (SRA) с устаревшей прошивкой 8.x. Для более глубокого внушения клиентам были даже разосланы персональные email.
Решение действовать на упреждение руководством SonicWall было принято после консультаций Mandiant и другими авторитетными ребятами.
Эксплуатация нацелена на известную уязвимость, которая была исправлена в более новых версиях микропрограммы. Так, в прицел хакеров попали: SRA 4600/1600 (EOL 2019), SRA 4200/1200 (EOL 2016) или SSL-VPN200/2000/400 (EOL 2013/2014). Им в безальтернативном формате рекомендуется обновиться до последней доступной прошивки и сменить пароли.
При этом если устройство не поддерживает обновление до прошивки 9.x, то дальнейшее использование невозможно и неизбежно, по мнению SonicWall, приведёт к целенаправленной атаке вымогателей. В этой ситуации разработчик готов предоставить бесплатный виртуальный SMA 500v до 31 октября 2021 года.
Компания не раскрывает актора и характера имеющихся у них сведений о деятельности вымогателей.
Но две недели об уязвимости в Network Security Manager представителям SonicWall сообщали Positive Technologies, в июне критические ошибки в SonicWall Network Security Appliance (NSA) выявили Tripwire.
Кроме того, ранее в этом году исследователи из команды NCC Group вскрыли инциденты с применением программ-вымогателей FiveHands, а FireEye - с использованием и SOMBRAT.
Воодушевляет представителей SonicWall лишь незначительное число неисправленных устройств. Как бы ни было - любая атака в последнее время лишь усиливает общее напряжение, вызванное ransomware.