Symantec обнаружили новую высокопрофессиональную АРТ Harvester, деятельность которой направлена на сбор разведданных в рамках целенаправленных шпионских кампаний с упором на ИТ, телекоммуникации и государственные учреждения в Южной Азии.
Группа активна с июня 2021 года по настоящее время. Вредоносный арсенал Harvester ранее не встречался в дикой природе, что указывает на то, что это злоумышленник, не связан с уже известными акторами.
На вооружении Harvester сосредоточены как пользовательские вредоносные программы, так и общедоступные инструменты, в том числе Backdoor.Graphon, Custom Downloader, Custom Screenshotter, Cobalt Strike Beacon, Metasploit и др. В качестве первоначального вектора атака, по предположению Symantec, используется вредоносный URL-адрес.
Graphon предоставляет хакерам удаленный доступ к сети и маскирует свое присутствие, смешивая коммуникационную активность командного управления (C2) с легитимным сетевым трафиком из CloudFront и инфраструктуры Microsoft.
Интересная деталь обнаружена в работе загрузчика, который создает необходимые файлы в системе, добавляя значение реестра для новой точки загрузки и, в конечном итоге, открывает встроенный веб-браузер по адресу hxxps: // usedust [.] com.
Пользовательский инструмент для создания снимков экрана производит скрины рабочего стола и копирует их в защищенный паролем ZIP-архив, который затем пересылается через Graphon. Каждый ZIP-файл хранится в течение недели, более старые данные автоматически удаляются.
К настоящему времени Harvester работает в сегменте Афганистана, телекоммуникационный кластер которого активно окучивают китайские АРТ, следы которых обнаружили совсем недавно Future's Insikt Group. Кроме того, согласно расследованию компании Kaspersky Lab, на правительственные учреждения и телекоммуникационные компании Юго-Восточной Азии нацелена китайская APT GhostEmperor.
Учитывая тренд, полагаем, что атрибуция Harvester также не заставит себя долго ждать.
Группа активна с июня 2021 года по настоящее время. Вредоносный арсенал Harvester ранее не встречался в дикой природе, что указывает на то, что это злоумышленник, не связан с уже известными акторами.
На вооружении Harvester сосредоточены как пользовательские вредоносные программы, так и общедоступные инструменты, в том числе Backdoor.Graphon, Custom Downloader, Custom Screenshotter, Cobalt Strike Beacon, Metasploit и др. В качестве первоначального вектора атака, по предположению Symantec, используется вредоносный URL-адрес.
Graphon предоставляет хакерам удаленный доступ к сети и маскирует свое присутствие, смешивая коммуникационную активность командного управления (C2) с легитимным сетевым трафиком из CloudFront и инфраструктуры Microsoft.
Интересная деталь обнаружена в работе загрузчика, который создает необходимые файлы в системе, добавляя значение реестра для новой точки загрузки и, в конечном итоге, открывает встроенный веб-браузер по адресу hxxps: // usedust [.] com.
Пользовательский инструмент для создания снимков экрана производит скрины рабочего стола и копирует их в защищенный паролем ZIP-архив, который затем пересылается через Graphon. Каждый ZIP-файл хранится в течение недели, более старые данные автоматически удаляются.
К настоящему времени Harvester работает в сегменте Афганистана, телекоммуникационный кластер которого активно окучивают китайские АРТ, следы которых обнаружили совсем недавно Future's Insikt Group. Кроме того, согласно расследованию компании Kaspersky Lab, на правительственные учреждения и телекоммуникационные компании Юго-Восточной Азии нацелена китайская APT GhostEmperor.
Учитывая тренд, полагаем, что атрибуция Harvester также не заставит себя долго ждать.
Security
Harvester: Nation-State-Backed Group Uses New Toolset to Target Victims in South Asia
Previously unseen attack group targets victims in the IT, telecoms, and government sectors in espionage campaign.
Продолжаем разбор атак в отношении учреждений здравоохранений Израиля.
В минувшие выходные зафиксирован всплеск атак ransomware, жертвами которых стали 9 больниц и медицинских организаций Израиля. Активность хакеров произошла сразу после атаки на медицинский центр Гилель Яффе, о котором мы оперативно сообщали.
Официально Министерство здравоохранения и Национальное управление киберпространства не сообщает о каких-либо серьезных серьезных последствиях атак, что ожидаемо.
Но вот незадача, израильтяне приписали атаки китайской группе вымогателей DeepBlueMagic, активность которых была замечена в августе 2021 года. Как известно, DeepBlueMagin отключает системы безопасности у жертв, использует инструмент шифрования жесткого диска BestCrypt для шифрования устройств. Мотивами нападений стала финансовая заинтересованность групп. В виду того, что большая часть учреждений относится к госсектору выплатить выкуп хакерам не получится.
Тем не менее, медицинский центр Гиллель Яффе все еще не смог оправится от атаки и перешел на бумагу для продолжения работы. При этом, согласно заявлению администрации, больница навсегда распрощалась с некоторыми данными. Это связано с тем, что злоумышленники, получили доступ к системе резервного копирования и подтерли все копии, хранящиеся в ней, на случай чрезвычайных ситуаций, таких как кибератаки.
Отбросив все драматические элементы инцидента, это, пожалуй, на практике первый инцидент с применением ransomware китайскими хакерами. Первый не первый - а ответный ход израильских спецслужб, как мы полагаем, будет последним. Посмотрим.
В минувшие выходные зафиксирован всплеск атак ransomware, жертвами которых стали 9 больниц и медицинских организаций Израиля. Активность хакеров произошла сразу после атаки на медицинский центр Гилель Яффе, о котором мы оперативно сообщали.
Официально Министерство здравоохранения и Национальное управление киберпространства не сообщает о каких-либо серьезных серьезных последствиях атак, что ожидаемо.
Но вот незадача, израильтяне приписали атаки китайской группе вымогателей DeepBlueMagic, активность которых была замечена в августе 2021 года. Как известно, DeepBlueMagin отключает системы безопасности у жертв, использует инструмент шифрования жесткого диска BestCrypt для шифрования устройств. Мотивами нападений стала финансовая заинтересованность групп. В виду того, что большая часть учреждений относится к госсектору выплатить выкуп хакерам не получится.
Тем не менее, медицинский центр Гиллель Яффе все еще не смог оправится от атаки и перешел на бумагу для продолжения работы. При этом, согласно заявлению администрации, больница навсегда распрощалась с некоторыми данными. Это связано с тем, что злоумышленники, получили доступ к системе резервного копирования и подтерли все копии, хранящиеся в ней, на случай чрезвычайных ситуаций, таких как кибератаки.
Отбросив все драматические элементы инцидента, это, пожалуй, на практике первый инцидент с применением ransomware китайскими хакерами. Первый не первый - а ответный ход израильских спецслужб, как мы полагаем, будет последним. Посмотрим.
Heimdal Security Blog
New DeepBlueMagic Ransomware Strain Found by Heimdal™
Our team of malware analysts has discovered a new strain of ransomware, DeepBlueMagic, with an innovative method of encrypting server partitions.
На продажу выставлена база сотрудников какой никакой компании, а целой Microsoft, включающая более 230 тысяч записей с указанием имени, должности, уровня подчиненности, отдела и электронной почты.
Неизвестный разместил объявление на Эксплойте, правда не указав цену. Примечательно, что сообщения на русском языке хакер публикует с помощью Google-переводчика.
Уверены на такое добро клиент найдется совсем скоро, а в перспективе появятся и более пикантные материалы. Microsoft же в самое ближайшее время предстоит большая работа над ошибками и, вероятно, судебными исками.
Неизвестный разместил объявление на Эксплойте, правда не указав цену. Примечательно, что сообщения на русском языке хакер публикует с помощью Google-переводчика.
Уверены на такое добро клиент найдется совсем скоро, а в перспективе появятся и более пикантные материалы. Microsoft же в самое ближайшее время предстоит большая работа над ошибками и, вероятно, судебными исками.
Twitter
vx-underground
A user on Exploit forum is selling Microsoft employee names and Microsoft emails. * Claims to have 230,000+ names/emails including department * Individual used Google translate to translate to Russian, non-native speaker * Was issued moderator warning for…
Брокеры эксплойтов Zerodium намерены приобрести 0-day уязвимости в приложениях крупнейших облачных VPN-сервисов ExpressVPN, NordVPN и Surfshark VPN. Соответсвующее предложение уже размещено, цена не разглашается, и клиенты, собственно, тоже.
Если ранее Zerodium интересовали дыры в маршрутизаторах, облачных сервисах и мобильных IM-клиентах. То сейчас ее интересуют эксплойты для получения данных в отношений пользователей VPN, установлению их реальных IP-адресов, а также позволяющих удаленно выполнять код в системах пользователей на базе Windows.
Как известно, основными клиентами Zerodium являются правоохранители, спецслужбы и другие правительственные структуры, а сотрудничающие с ней исследователи зарабатывали до 2,5 миллионов долларов в зависимости от типа и характера выявленных ими уязвимостей.
Поэтому интерес брокеров и их клиентов вполне понятен. А переживающим за конфиденциальность пользователям теперь также вполне ясно, от использования каких сервисов стоит отказаться.
Если ранее Zerodium интересовали дыры в маршрутизаторах, облачных сервисах и мобильных IM-клиентах. То сейчас ее интересуют эксплойты для получения данных в отношений пользователей VPN, установлению их реальных IP-адресов, а также позволяющих удаленно выполнять код в системах пользователей на базе Windows.
Как известно, основными клиентами Zerodium являются правоохранители, спецслужбы и другие правительственные структуры, а сотрудничающие с ней исследователи зарабатывали до 2,5 миллионов долларов в зависимости от типа и характера выявленных ими уязвимостей.
Поэтому интерес брокеров и их клиентов вполне понятен. А переживающим за конфиденциальность пользователям теперь также вполне ясно, от использования каких сервисов стоит отказаться.
Twitter
Zerodium
We're looking for #0day exploits affecting VPN software for Windows: - ExpressVPN - NordVPN - Surfshark Exploit types: information disclosure, IP address leak, or remote code execution. Local privilege escalation is out of scope. Contact us: submit.zerodium.com
Большое уважение вызывают разработчики богоспасаемого браузера Brave, которым удалось сдержать свои обещания и запустить свой собственный поисковик, призванный защищать интересы и приватность пользователей.
В июне мы писали обо всех достоинствах новой поисковой системы, которая заменила в браузере Brave сервис от Google и теперь Brave Search установлен по умолчанию при поиске из адресной строки. Правда пока, что опция доступна для пользователей в США, Канаде и Великобритании (в версиях 1.31 для Android и ПК, 1.32 для iOS).
Разработчики Brave search гарантируют:
- отсутствие отслеживания или профилирования пользователей;
- на первом месте интересы пользователя, а не реклама или Big Data;
- собственный независимый поисковый индекс;
- отсутствие непрозрачных методов или алгоритмов в работе поисковика и пр.
Кроме того, Brave Search запустил Web Discovery, при активации которого пользователем Brave Browser загрузит анонимные данные о поисках и посещениях веб-страниц. Эти данные будут использоваться для уточнения индекса Brave Search и отображения более релевантных результатов поиска.
Пока что в Brave Search не отображается реклама, но вскоре показ конфиденциальной рекламы будет реализован на базе собственной системы Brave Ads. Но расстраиваться не стоит, ведь в будущем станет доступна премиум-версия без рекламы.
С момента запуска в июне бета-версию поисковика уже затестили более 80 миллионов пользователей. Цифра небольшая, но гуглу можно начинать волноваться.
Но все же вызывают определённый скепсис приватные технологии: если вас не отслеживают трекеры, то это вовсе не означает, что за вами не следит куратор проекта из спецслужб.
В июне мы писали обо всех достоинствах новой поисковой системы, которая заменила в браузере Brave сервис от Google и теперь Brave Search установлен по умолчанию при поиске из адресной строки. Правда пока, что опция доступна для пользователей в США, Канаде и Великобритании (в версиях 1.31 для Android и ПК, 1.32 для iOS).
Разработчики Brave search гарантируют:
- отсутствие отслеживания или профилирования пользователей;
- на первом месте интересы пользователя, а не реклама или Big Data;
- собственный независимый поисковый индекс;
- отсутствие непрозрачных методов или алгоритмов в работе поисковика и пр.
Кроме того, Brave Search запустил Web Discovery, при активации которого пользователем Brave Browser загрузит анонимные данные о поисках и посещениях веб-страниц. Эти данные будут использоваться для уточнения индекса Brave Search и отображения более релевантных результатов поиска.
Пока что в Brave Search не отображается реклама, но вскоре показ конфиденциальной рекламы будет реализован на базе собственной системы Brave Ads. Но расстраиваться не стоит, ведь в будущем станет доступна премиум-версия без рекламы.
С момента запуска в июне бета-версию поисковика уже затестили более 80 миллионов пользователей. Цифра небольшая, но гуглу можно начинать волноваться.
Но все же вызывают определённый скепсис приватные технологии: если вас не отслеживают трекеры, то это вовсе не означает, что за вами не следит куратор проекта из спецслужб.
Brave
Privacy-preserving Brave Search Replaces Google as the Default Search Engine in the Brave Browser | Brave
Starting today, new Brave users will have the search functionality in the Brave browser powered by Brave Search, giving them the privacy and independence of a search/browser alternative to Big Tech.
Специалисты из Sentinel Labs пришли к выводу, что банда вымогателей Karma - это все те же самые ребята, что явили миру JSWorm, Nemty, Nefilim, Fusion, Milihpen и совсем недавно Gangbang. Этакий ребрендинг в ногу с эволюцией ransomvare.
Karma использовалась злоумышленниками еще в 2016 году, а JSWorm впервые появился в 2019 году и в течение следующих двух лет претерпел серию ребрендингов, при этом всегда сохраняя сходство кода, которого было достаточно для исследователей, чтобы установить связь.
Отчет Sentinel Labs основан на анализе восьми образцов, взятых из различных инцидентов с ransomvare в июне 2021 года. Все они имеют заметные сходства с кодом группировки Milihpen, которые появились примерно в январе 2021 года. Степень сходства вплоть до содержимого папок, типов файлов и отладочных сообщений. Еще одно примечательное сходство можно заметить при проведении «bindiff» (адаптивное сравнение бинарных файлов) на образцах Karma и Gangbang, у которых почти аналогичная функция main ().
Эволюция произошла в используемой схеме шифрования: более ранние вредоносные программы использовали алгоритм шифрования Chacha20, а самые последние образцы переключились на Salsa20. Еще одно изменение, заключалось в создании нового потока для перечисления и шифрования, возможно, для достижения более надежного результата. Авторы вредоносной программы также добавили поддержку параметров командной строки в последних версиях.
Что касается потерпевшей стороны от вымогательства, то подход Karma мало чем отличается от типичного подхода остальных программ-вымогателей: письма счастья с выкупом на BTC и кража данных.
Все эта кутерьма с переименовывающими группами говорит о том, что Karma всего лишь ширма для продолжения долгосрочной работы группировки, которая притворяется меньше, чем они есть на самом деле. Как говориться – разделяй и зарабатывай, а популизм в данном деле точно не к чему.
Karma использовалась злоумышленниками еще в 2016 году, а JSWorm впервые появился в 2019 году и в течение следующих двух лет претерпел серию ребрендингов, при этом всегда сохраняя сходство кода, которого было достаточно для исследователей, чтобы установить связь.
Отчет Sentinel Labs основан на анализе восьми образцов, взятых из различных инцидентов с ransomvare в июне 2021 года. Все они имеют заметные сходства с кодом группировки Milihpen, которые появились примерно в январе 2021 года. Степень сходства вплоть до содержимого папок, типов файлов и отладочных сообщений. Еще одно примечательное сходство можно заметить при проведении «bindiff» (адаптивное сравнение бинарных файлов) на образцах Karma и Gangbang, у которых почти аналогичная функция main ().
Эволюция произошла в используемой схеме шифрования: более ранние вредоносные программы использовали алгоритм шифрования Chacha20, а самые последние образцы переключились на Salsa20. Еще одно изменение, заключалось в создании нового потока для перечисления и шифрования, возможно, для достижения более надежного результата. Авторы вредоносной программы также добавили поддержку параметров командной строки в последних версиях.
Что касается потерпевшей стороны от вымогательства, то подход Karma мало чем отличается от типичного подхода остальных программ-вымогателей: письма счастья с выкупом на BTC и кража данных.
Все эта кутерьма с переименовывающими группами говорит о том, что Karma всего лишь ширма для продолжения долгосрочной работы группировки, которая притворяется меньше, чем они есть на самом деле. Как говориться – разделяй и зарабатывай, а популизм в данном деле точно не к чему.
SentinelOne
Karma Ransomware | An Emerging Threat With A Hint of Nemty Pedigree
Exploring the links between Karma and other well-known malware families such as NEMTY and JSWorm, we find further IoCs and an evolving threat.
Forwarded from Social Engineering
👁 OSINT: Подборка полезных инструментов и ресурсов.
➖ Статьи:
OSINT в пентесте.
Собираем информацию о сайте.
Собираем информацию по Email.
Сбор информации о владельце сайта.
OSINT через телефонный справочник.
Гайд по поиску электронной почты в 2021.
OSINT и атаки на медицинские учреждения.
Архив интернета. Находим информацию из прошлого.
Ловим самого разыскиваемого преступника Голландии.
Определение местоположения по фотографии.
Определение местоположения по фотографии. Обратный поиск изображений.
Как использовать приложения-телефонные справочники для исследований.
➖ Поиск по определенным данным:
Поиск информации по фото лица.
Находим имя цели по номеру телефона.
Поиск информации по номеру телефона.
Поиск информации с помощью документов.
Поиск информации о цели, зная Email адрес.
Поиск цели по ip, MAC и Физическому адресу.
OSINT по номеру кошелька + подборка поисковиков.
Поиск информации о цели, имея данные о транспорте.
➖ Инструменты и подборки:
IP Logger.
Telegram OSINT.
Snoop Project 1.3
TiDos — Разведка и сбор информации.
h8mail. Находим пароль от почты в слитых базах.
Поиск цели в социальных сетях с помощью Sherlock.
GHunt — вытаскиваем информацию о пользователе Google аккаунта.
OSINT в Telegram. Находим чаты в которых состоит наша цель.
Сервисы для сбора информации.
Инструменты для поиска поддоменов.
Коллекция из 150+ инструментов OSINT.
Подборка поисковиков в сегменте ONION.
Браузерные расширения для OSINT-специалистов.
Находим интересующую информацию об организации.
Инструменты для поиска информации по никнейму в RU сегменте.
Огромный список инструментов OSINT с открытым исходным кодом.
Подборка инструментов для поиска информации в социальных сетях.
Подборка полезных поисковиков для поиска нужной информации о цели.
Полное руководство по OSINT с использованием Maltego.
• Что такое Maltego и зачем оно вообще нужно;
• Интерфейс и базовое устройство;
• Maltego и OSINT в Facebook;
• Maltego и OSINT в ВК, Instagram, LinkedIN и других соцсетях;
• Применение системы распознавания лиц для OSINT в Maltego;
• Поиск информации с применением геолокации;
• DarkNet matter.
• Отслеживание криптовалютных транзакций при помощи Maltego.
➖ Дорки:
TOP #Shodan Dorks.
Дорки на любой вкус.
Дорки для Intelligence X и Google.
➖ Книги, Курсы, Cheat Sheet:
OSIN Encyclopedia
OSINT. Курс: Зеркало интернета.
Bellingcat Online Investigation Toolkit.
Bellingcat. OSINT и подборка инструментов.
Social Engineering: руководство этичного хакера.
Operator Handbook: Red Team + OSINT + Blue Team Reference.
➖ ОС и VM:
Tsurugi Linux.
Trace Labs OSINT VM.
OffenOsint Virtual Machine.
‼️ Список не является полным, дополнительную информацию ты можешь найти по хештегу #OSINT. Твой S.E.
🖖🏻 Приветствую тебя user_name.
• Собрал для тебя подборку полезных инструментов, ресурсов, полезных статей и другой необходимой информации, касательно #OSINT.➖ Статьи:
OSINT в пентесте.
Собираем информацию о сайте.
Собираем информацию по Email.
Сбор информации о владельце сайта.
OSINT через телефонный справочник.
Гайд по поиску электронной почты в 2021.
OSINT и атаки на медицинские учреждения.
Архив интернета. Находим информацию из прошлого.
Ловим самого разыскиваемого преступника Голландии.
Определение местоположения по фотографии.
Определение местоположения по фотографии. Обратный поиск изображений.
Как использовать приложения-телефонные справочники для исследований.
➖ Поиск по определенным данным:
Поиск информации по фото лица.
Находим имя цели по номеру телефона.
Поиск информации по номеру телефона.
Поиск информации с помощью документов.
Поиск информации о цели, зная Email адрес.
Поиск цели по ip, MAC и Физическому адресу.
OSINT по номеру кошелька + подборка поисковиков.
Поиск информации о цели, имея данные о транспорте.
➖ Инструменты и подборки:
IP Logger.
Telegram OSINT.
Snoop Project 1.3
TiDos — Разведка и сбор информации.
h8mail. Находим пароль от почты в слитых базах.
Поиск цели в социальных сетях с помощью Sherlock.
GHunt — вытаскиваем информацию о пользователе Google аккаунта.
OSINT в Telegram. Находим чаты в которых состоит наша цель.
Сервисы для сбора информации.
Инструменты для поиска поддоменов.
Коллекция из 150+ инструментов OSINT.
Подборка поисковиков в сегменте ONION.
Браузерные расширения для OSINT-специалистов.
Находим интересующую информацию об организации.
Инструменты для поиска информации по никнейму в RU сегменте.
Огромный список инструментов OSINT с открытым исходным кодом.
Подборка инструментов для поиска информации в социальных сетях.
Подборка полезных поисковиков для поиска нужной информации о цели.
Полное руководство по OSINT с использованием Maltego.
• Что такое Maltego и зачем оно вообще нужно;
• Интерфейс и базовое устройство;
• Maltego и OSINT в Facebook;
• Maltego и OSINT в ВК, Instagram, LinkedIN и других соцсетях;
• Применение системы распознавания лиц для OSINT в Maltego;
• Поиск информации с применением геолокации;
• DarkNet matter.
• Отслеживание криптовалютных транзакций при помощи Maltego.
➖ Дорки:
TOP #Shodan Dorks.
Дорки на любой вкус.
Дорки для Intelligence X и Google.
➖ Книги, Курсы, Cheat Sheet:
OSIN Encyclopedia
OSINT. Курс: Зеркало интернета.
Bellingcat Online Investigation Toolkit.
Bellingcat. OSINT и подборка инструментов.
Social Engineering: руководство этичного хакера.
Operator Handbook: Red Team + OSINT + Blue Team Reference.
➖ ОС и VM:
Tsurugi Linux.
Trace Labs OSINT VM.
OffenOsint Virtual Machine.
‼️ Список не является полным, дополнительную информацию ты можешь найти по хештегу #OSINT. Твой S.E.
Gigabyte Technology вновь пала жертвой ransomware. На этот раз атаку совершили AvosLocker.
В качестве пруфа хакеры продемонстрировали Barracuda NDA.
Это уже вторая утечка на счету Gigabyte после того, как в ее сети побывали RansomEXX.
В качестве пруфа хакеры продемонстрировали Barracuda NDA.
Это уже вторая утечка на счету Gigabyte после того, как в ее сети побывали RansomEXX.
Twitter
DarkTracer : DarkWeb Criminal Intelligence
[ALERT] AvosLocker ransomware gang has announced "Gigabyte" on the victim list. Last time, it was on the list of victims of RansomEXX gang. This is the second leaked.
Бюро промышленности и безопасности (BIS) Министерства торговли США вводит новые правила экспорта и реализации программных и аппаратных технологий в сфере кибершпионажа и безопасности.
Вводимые ограничения мотивируются соображениями национальной безопасности (NS) и борьбы с терроризмом (AT), а по факту почва для этого готовилась еще в ходе кампаний по дискредитации NSO Group действующими под кураторством запада правозащитниками и международными организациями, которую мы наблюдали не так давно.
Новый порядок экспорта вступит в силу через 90 дней, 45 из которых дается компаниям для внесения корректив и поправок.
По истечении этого срока американским компаниям будет запрещено экспортировать и перепродавать без особой лицензии (ACE) хакерские инструменты, которые, по мнению национальных спецслужб, могут использоваться для злонамеренных хакерских действий и нарушений прав человека представителями авторитарных государств, в число которых относят также Россию и КНР.
Полный список попавших под неофициальные американские санкции включает фактически все государства, обладающие или разрабатывающие оружие массового поражения или находящиеся под эмбарго США на поставки оружия. Под запрет попадут любые технологии, которые могут быть использованы для нацеливания на американские организации или каким-либо образом угрожать национальной безопасности США.
Этим шагом США намерены взять под себя перспективный рынок кибертехнологий, используемых в работе, прежде всего, силовых и военных структур, создавая новые правила для ведущих зарубежных игроков, что было продемонстрировано на примере израильской NSO, которая не стеснялась международного сотрудничества вопреки политическим раскладам.
Вероятно, что вскоре российские официальные структуры вовсе утратят доступ к привычным инструментам и будут вынуждены смотреть в сторону импортозамещения, ведь ассортимент отечественных разработок, скажем так, достаточно скромен.
Вводимые ограничения мотивируются соображениями национальной безопасности (NS) и борьбы с терроризмом (AT), а по факту почва для этого готовилась еще в ходе кампаний по дискредитации NSO Group действующими под кураторством запада правозащитниками и международными организациями, которую мы наблюдали не так давно.
Новый порядок экспорта вступит в силу через 90 дней, 45 из которых дается компаниям для внесения корректив и поправок.
По истечении этого срока американским компаниям будет запрещено экспортировать и перепродавать без особой лицензии (ACE) хакерские инструменты, которые, по мнению национальных спецслужб, могут использоваться для злонамеренных хакерских действий и нарушений прав человека представителями авторитарных государств, в число которых относят также Россию и КНР.
Полный список попавших под неофициальные американские санкции включает фактически все государства, обладающие или разрабатывающие оружие массового поражения или находящиеся под эмбарго США на поставки оружия. Под запрет попадут любые технологии, которые могут быть использованы для нацеливания на американские организации или каким-либо образом угрожать национальной безопасности США.
Этим шагом США намерены взять под себя перспективный рынок кибертехнологий, используемых в работе, прежде всего, силовых и военных структур, создавая новые правила для ведущих зарубежных игроков, что было продемонстрировано на примере израильской NSO, которая не стеснялась международного сотрудничества вопреки политическим раскладам.
Вероятно, что вскоре российские официальные структуры вовсе утратят доступ к привычным инструментам и будут вынуждены смотреть в сторону импортозамещения, ведь ассортимент отечественных разработок, скажем так, достаточно скромен.
Twitter
U.S. Commerce Dept.
#NEWS: Commerce's @BISgov tightens export controls on items used in surveillance of Private Citizens and other Malicious Cyber Activities. More ⬇️ commerce.gov/news/press-rel…
Последняя порция обновлений Critical Patch Update в этом году от Oracle, которая включает в себя в общей сложности 419 исправлений безопасности во всех продуктах компании.
Oracle объявила, что больше половины исправлений устраняют уязвимости, связанные с возможностью удаленного использования без аутентификации.
Из 419 исправлений безопасности 36 связаны с критическими уязвимостями, при этом одна из них имеет оценку CVSS 10. С оценкой CVSS от 8 до 9, исправлено 60 уязвимостей.
Антилидером по количеству исправлений стал продукт Oracle Communications, где 56 уязвимостей могли использоваться удаленно без аутентификации. За ним MySQL, где также эксплуатировались 10 дыр.
Общий перечень продуктов достаточно внушительный, от приложений для финансовых услуг и розничной торговли, до коммерческих решений серверов баз данных, Essbase, Enterprise Manager, GoldenGate, приложений для коммунальных служб и систем виртуализации.
Как обычно, Oracle призывает пользователей и администраторов своевременно устанавливать выпущенные обновления, предупреждая, что злоумышленники не спят и постоянно сканят сеть на известные уязвимости в ее продуктах.
Факты компрометации после опубликованных исправлений, к сожалению, явление не редкое. Так что в темпе вальса проводим ревизию своих сетей, внимательно ознакамливаемся с Critical Patch Update и обновляемся.
Oracle объявила, что больше половины исправлений устраняют уязвимости, связанные с возможностью удаленного использования без аутентификации.
Из 419 исправлений безопасности 36 связаны с критическими уязвимостями, при этом одна из них имеет оценку CVSS 10. С оценкой CVSS от 8 до 9, исправлено 60 уязвимостей.
Антилидером по количеству исправлений стал продукт Oracle Communications, где 56 уязвимостей могли использоваться удаленно без аутентификации. За ним MySQL, где также эксплуатировались 10 дыр.
Общий перечень продуктов достаточно внушительный, от приложений для финансовых услуг и розничной торговли, до коммерческих решений серверов баз данных, Essbase, Enterprise Manager, GoldenGate, приложений для коммунальных служб и систем виртуализации.
Как обычно, Oracle призывает пользователей и администраторов своевременно устанавливать выпущенные обновления, предупреждая, что злоумышленники не спят и постоянно сканят сеть на известные уязвимости в ее продуктах.
Факты компрометации после опубликованных исправлений, к сожалению, явление не редкое. Так что в темпе вальса проводим ревизию своих сетей, внимательно ознакамливаемся с Critical Patch Update и обновляемся.
Google выпустила исправления 19 уязвимостей в своем флагманском браузера Chrome, лишь 3 из которых удалось обнаружить самим разработчикам, за другие 16 компании пришлось отвалить бонусы сторонним специалистам.
Самая серьезная CVE-2021-37981, связанная с переполнением буфера в Skia, обошлась Google в 20 000 долларов. Ошибки CVE-2021-37982 и CVE-2021-37983, связанные с проблемами в компонентах Incognito и инструментах разработчика обошлись по 10 000 долларов за каждую.
Ниже по прайсу стоили дыры с высокой степенью серьезности CVE-2021-37984 (переполнение буфера в PDFium) и CVE-2021-37985 (ошибки в V8): за них были выплачены 7500 и 5000 долларов соответственно.
Кроме того, устранены 3 уязвимости средней степени серьезности в выпуске Chrome 95 (в сетевых API, профилях и сервисах расширенного доступа PDF), компонентах Blink, WebView, V8 и WebAudio, а также 2 уязвимости с низкой степенью серьезности в iFrame Sandbox и WebApp Installer.
Отдельно Google заявила, что улучшила общую безопасность Chrome, удалив несколько функций, таких как поддержка протоколов TLS 1.0 / 1.1 и FTP, для URL-адресов с именами хостов, не относящихся к IPv4, заканчивающимися цифрами, и для U2F.
В новой версии браузера также введены ограничения на размер файлов cookie.
Самая серьезная CVE-2021-37981, связанная с переполнением буфера в Skia, обошлась Google в 20 000 долларов. Ошибки CVE-2021-37982 и CVE-2021-37983, связанные с проблемами в компонентах Incognito и инструментах разработчика обошлись по 10 000 долларов за каждую.
Ниже по прайсу стоили дыры с высокой степенью серьезности CVE-2021-37984 (переполнение буфера в PDFium) и CVE-2021-37985 (ошибки в V8): за них были выплачены 7500 и 5000 долларов соответственно.
Кроме того, устранены 3 уязвимости средней степени серьезности в выпуске Chrome 95 (в сетевых API, профилях и сервисах расширенного доступа PDF), компонентах Blink, WebView, V8 и WebAudio, а также 2 уязвимости с низкой степенью серьезности в iFrame Sandbox и WebApp Installer.
Отдельно Google заявила, что улучшила общую безопасность Chrome, удалив несколько функций, таких как поддержка протоколов TLS 1.0 / 1.1 и FTP, для URL-адресов с именами хостов, не относящихся к IPv4, заканчивающимися цифрами, и для U2F.
В новой версии браузера также введены ограничения на размер файлов cookie.
Chrome Releases
Stable Channel Update for Desktop
The Chrome team is delighted to announce the promotion of Chrome 95 to the stable channel for Windows, Mac and Linux . This will roll out o...
Forwarded from Эксплойт | Live
Facebook не может определиться с новым названием
Марк Цукерберг должен будет рассказать о ребрендинге соцсети на конференции Connect, которая состоится уже 28 октября.
По имеющимся данным, Марк расскажет о таких больших переменах в своей компании 25 октября.
В Bloomberg предположили, что компания может использовать для этого уже зарегистрированный адрес meta.com, но название Skynet, конечно, было бы куда лучше.
Ранее он сообщал, что хочет создать на основе Facebook «метавселенную», а сама соцсеть, как следствие, перестанет играть ключевую роль в компании (как WhatsApp или Instagram).
Марк Цукерберг должен будет рассказать о ребрендинге соцсети на конференции Connect, которая состоится уже 28 октября.
По имеющимся данным, Марк расскажет о таких больших переменах в своей компании 25 октября.
В Bloomberg предположили, что компания может использовать для этого уже зарегистрированный адрес meta.com, но название Skynet, конечно, было бы куда лучше.
Ранее он сообщал, что хочет создать на основе Facebook «метавселенную», а сама соцсеть, как следствие, перестанет играть ключевую роль в компании (как WhatsApp или Instagram).
Огнем и мечом Google отстаивает интересы YouTube-блоггеров. Корпорация заявила, что предотвратила массовую кампанию фишинговых атак, в ходе которых хакеры использовали вредоносное ПО для кражи файлов cookie, с целю захватить учетные записи YouTube в интересах своих мошеннических целей, в том числе с криптовалютой.
Рассылка фишинговых писем продолжается с 2019 года, причем преимущественно в русскоязычном сегменте, с ложными предложениями о сотрудничестве. Письма рассылались на адреса электронной почты, которые владельцы каналов YouTube публиковали сами в коммерческих целях.
Завоевав доверие жертвы, хакеры отправляли URL-адрес либо по электронной почте, либо в формате PDF на Google Диске с последующим редиректом на целевую страницу с вредоносным ПО, которое крадет файлы cookie из браузера жертвы с последующим захватом учетной записи. На рынке теневых услуг такие аккаунты продаются от 3 до 4000 долларов, в зависимости от количества подписчиков, либо монетизируются хакерами в других мошеннических схемах.
В число вредоносных программ, использованных в этих атаках, входили Azorult, Grand Stealer, Kantal, Masad, Nexus stealer, Predator The Thief, RedLine, Raccoon, Vikro Stealer и Vidar, а также инструменты с открытым исходным кодом, такие как Sorano и AdamantiumThief. По примерным подсчётам в рамках своей схемы хакеры зарегистрировали около 15 000 учетных записей, а также фейковые домены, связанные с крупными компаниями и более 1000 сайтов, которые использовались для доставки вредоносного ПО.
Поисковый гигант заявил, что заблокировал более 1,6 миллиона таких сообщений, отобразил около 62 000 предупреждений о безопасном просмотре выявленных фишинговых страниц, заблокировал 2400 файлов и восстановил примерно 4000 взломанных аккаунтов.
Специалисты из Google отметили, что злоумышленники перешли с почтовых сервисов Gmail на других поставщиков электронной почты. Дабы разделить ответственность и попытать удачу каким-то образом выявить и наказать злоумышленников Google передали сведения об инцидентах в ФБР для дальнейшего расследования.
Рассылка фишинговых писем продолжается с 2019 года, причем преимущественно в русскоязычном сегменте, с ложными предложениями о сотрудничестве. Письма рассылались на адреса электронной почты, которые владельцы каналов YouTube публиковали сами в коммерческих целях.
Завоевав доверие жертвы, хакеры отправляли URL-адрес либо по электронной почте, либо в формате PDF на Google Диске с последующим редиректом на целевую страницу с вредоносным ПО, которое крадет файлы cookie из браузера жертвы с последующим захватом учетной записи. На рынке теневых услуг такие аккаунты продаются от 3 до 4000 долларов, в зависимости от количества подписчиков, либо монетизируются хакерами в других мошеннических схемах.
В число вредоносных программ, использованных в этих атаках, входили Azorult, Grand Stealer, Kantal, Masad, Nexus stealer, Predator The Thief, RedLine, Raccoon, Vikro Stealer и Vidar, а также инструменты с открытым исходным кодом, такие как Sorano и AdamantiumThief. По примерным подсчётам в рамках своей схемы хакеры зарегистрировали около 15 000 учетных записей, а также фейковые домены, связанные с крупными компаниями и более 1000 сайтов, которые использовались для доставки вредоносного ПО.
Поисковый гигант заявил, что заблокировал более 1,6 миллиона таких сообщений, отобразил около 62 000 предупреждений о безопасном просмотре выявленных фишинговых страниц, заблокировал 2400 файлов и восстановил примерно 4000 взломанных аккаунтов.
Специалисты из Google отметили, что злоумышленники перешли с почтовых сервисов Gmail на других поставщиков электронной почты. Дабы разделить ответственность и попытать удачу каким-то образом выявить и наказать злоумышленников Google передали сведения об инцидентах в ФБР для дальнейшего расследования.
Google
Phishing campaign targets YouTube creators with cookie theft malware
Google’s Threat Analysis Group tracks actors involved in disinformation campaigns, government backed hacking, and financially motivated abuse. Since late 2019, our team has disrupted financially motivated phishing campaigns targeting YouTubers with Cookie…
Как мы и предполагали, в деле REvil не обошлось без спецслужб.
Случилось это ровным счетом после того, как заместитель генерального прокурора США Джон Карлин выступил с инициативой признать терроризмом кибератаки с использованием ransomware на критически важные объекты инфраструктуры, что позволило официально подключить к делу американские спецслужбы и Министерство обороны.
Согласно источникам Reuters, весь трюк с отключением и восстановлениям инфраструктуры вымогателей REvil является частью продолжающейся операции с участием ФБР, Киберкомандования, Секретной службы, а также правоохранителей и разведок ряда стран. Целью являлось установление участников и нейтрализация деятельности банды.
Спецслужбам удалось расшарить доступ к некоторым серверам REvil и запилить пиксели в резервные копии, после развертывания которых позволили, вероятно, отдеанонить ключевых кодеров и админов, о чем сообщал совсем недавно один из лидеров, известный как 0_neday. И, собственно, об этом умалчивал Директор ФБР США в ходе встречи с конгрессменами, объясняя трехнедельное промедление передачи ключа дешифрования.
По иронии судьбы, излюбленная тактика банды компрометировать резервные копии была обращена правоохранителями против самих же хакеров.
С ними все понятно, как мы и заявляли, поимка и наказание - дело времени и техники, однако до настоящего времени остается невыясненным судьба Unknown, после исчезновения которого и начались известные события.
Случилось это ровным счетом после того, как заместитель генерального прокурора США Джон Карлин выступил с инициативой признать терроризмом кибератаки с использованием ransomware на критически важные объекты инфраструктуры, что позволило официально подключить к делу американские спецслужбы и Министерство обороны.
Согласно источникам Reuters, весь трюк с отключением и восстановлениям инфраструктуры вымогателей REvil является частью продолжающейся операции с участием ФБР, Киберкомандования, Секретной службы, а также правоохранителей и разведок ряда стран. Целью являлось установление участников и нейтрализация деятельности банды.
Спецслужбам удалось расшарить доступ к некоторым серверам REvil и запилить пиксели в резервные копии, после развертывания которых позволили, вероятно, отдеанонить ключевых кодеров и админов, о чем сообщал совсем недавно один из лидеров, известный как 0_neday. И, собственно, об этом умалчивал Директор ФБР США в ходе встречи с конгрессменами, объясняя трехнедельное промедление передачи ключа дешифрования.
По иронии судьбы, излюбленная тактика банды компрометировать резервные копии была обращена правоохранителями против самих же хакеров.
С ними все понятно, как мы и заявляли, поимка и наказание - дело времени и техники, однако до настоящего времени остается невыясненным судьба Unknown, после исчезновения которого и начались известные события.
Reuters
EXCLUSIVE Governments turn tables on ransomware gang REvil by pushing it offline
The ransomware group REvil was itself hacked and forced offline this week by a multi-country operation, according to three private sector cyber experts working with the United States and one former official.
После того, как в 2019 году Evil Corp попали под американские санкции и получить выкуп от жертв своих атак фактически стало невозможным, хакеры для их обхода стали ребрендировать свои новые ransomware-кампании. Атрибутировать с Evil Corp удалось WastedLocker, Hades, Phenoix, CryptoLocker и PayloadBin.
Еще одним штаммом программ-вымогателей, который, хоть и бездоказательно, но приписывается к Evil Corp - DoppelPaymer, переименованный недавно в Grief.
Но это мы к чему, как вы помните мы писали о последних серьезных инцидентах с Olympus и Sinclair Broadcast Group, за которым стоила новая банда Macaw Locker. Специалисты Emsisoft, изучая код ransomware, пришли к выводу, что MacawLocker является последним ребрендингом семейства программ-вымогателей Evil Corp, которым под новым брендом удалось отработать только двух указанных жертв и запросить выкуп 28 миллионов и 40 миллионов долларов соответственно.
В целом, изучение кода ransomware несет в себе достаточно важную функцию, которая позволяет находить ошибки и уязвимости в работе алгоритмов шифрования, давая возможность не только создавать утилиты для расшифровки, но и следить за развитием программ-вымогателей.
Все это является важным элементом в борьбе с бизнес-моделью ransomware. Именно такое мнение высказал известный ресерчер Will Bushido, которому удалось обобщить результаты исследований и наглядно представить эволюцию наиболее популярных программ-вымогателей 👇👇👇
Еще одним штаммом программ-вымогателей, который, хоть и бездоказательно, но приписывается к Evil Corp - DoppelPaymer, переименованный недавно в Grief.
Но это мы к чему, как вы помните мы писали о последних серьезных инцидентах с Olympus и Sinclair Broadcast Group, за которым стоила новая банда Macaw Locker. Специалисты Emsisoft, изучая код ransomware, пришли к выводу, что MacawLocker является последним ребрендингом семейства программ-вымогателей Evil Corp, которым под новым брендом удалось отработать только двух указанных жертв и запросить выкуп 28 миллионов и 40 миллионов долларов соответственно.
В целом, изучение кода ransomware несет в себе достаточно важную функцию, которая позволяет находить ошибки и уязвимости в работе алгоритмов шифрования, давая возможность не только создавать утилиты для расшифровки, но и следить за развитием программ-вымогателей.
Все это является важным элементом в борьбе с бизнес-моделью ransomware. Именно такое мнение высказал известный ресерчер Will Bushido, которому удалось обобщить результаты исследований и наглядно представить эволюцию наиболее популярных программ-вымогателей 👇👇👇
Twitter
Catalin Cimpanu
Rebranded ransomware strains blog.bushidotoken.net/2021/10/ransom…
Bitdefender обнаружили, что руткит FiveSys имеет цифровую подпись, выпущенную Microsoft, и может незаметно проникать в системы пользователей Windows благодаря ей.
Несмотря на то, что Microsoft ввела строгие требования к цифровой подписи WHQL (Windows Hardware Quality Labs) для пакетов драйверов и начиная с Windows 10 build 1607 запретила загрузку драйверов режима ядра без такого сертификата, это вовсе не мешает разработчикам вредоносных программ обходить сертификацию Microsoft, получая цифровые подписи для своих руткитов.
Достаточно вспомнить руткит Netfilter, который сертифицировали через программу совместимости оборудования Windows.
Согласно отчету исследователей, FiveSys похожа на вредоносную программу Undead, и как и Netfilter, нацелена на игровой сектор в Китае. Отнести ВПО к какому-либо конкретному китайскому актору Bitdefender не удалось, поскольку их инструменты имеют одинаковую функциональность, но сильно отличаются по реализации.
Что известно о новом рутките: благодаря периодически обновляемому сценарию автоконфигурации, который содержит список доменов / URL-адресов, руткит направляет Интернет-трафик на настраиваемый прокси-сервер. Используя список цифровых подписей, руткит может предотвратить загрузку драйверов из семейств вредоносных программ Netfilter и fk_undead.
Кроме того, FiveSys включает встроенный список из 300 предположительно сгенерированных случайным образом доменов, которые хранятся в зашифрованном виде и предназначены для предотвращения потенциальных попыток удаления.
Bitdefender идентифицировали несколько двоичных файлов пользовательского режима, которые используются для извлечения и выполнения вредоносных драйверов на целевых машинах. В целом, FiveSys использует в общей сложности четыре драйвера.
Конечно, Microsoft оперативно отозвала цифровую подпись для FiveSys, но тенденция с сертификацией настораживает.
Несмотря на то, что Microsoft ввела строгие требования к цифровой подписи WHQL (Windows Hardware Quality Labs) для пакетов драйверов и начиная с Windows 10 build 1607 запретила загрузку драйверов режима ядра без такого сертификата, это вовсе не мешает разработчикам вредоносных программ обходить сертификацию Microsoft, получая цифровые подписи для своих руткитов.
Достаточно вспомнить руткит Netfilter, который сертифицировали через программу совместимости оборудования Windows.
Согласно отчету исследователей, FiveSys похожа на вредоносную программу Undead, и как и Netfilter, нацелена на игровой сектор в Китае. Отнести ВПО к какому-либо конкретному китайскому актору Bitdefender не удалось, поскольку их инструменты имеют одинаковую функциональность, но сильно отличаются по реализации.
Что известно о новом рутките: благодаря периодически обновляемому сценарию автоконфигурации, который содержит список доменов / URL-адресов, руткит направляет Интернет-трафик на настраиваемый прокси-сервер. Используя список цифровых подписей, руткит может предотвратить загрузку драйверов из семейств вредоносных программ Netfilter и fk_undead.
Кроме того, FiveSys включает встроенный список из 300 предположительно сгенерированных случайным образом доменов, которые хранятся в зашифрованном виде и предназначены для предотвращения потенциальных попыток удаления.
Bitdefender идентифицировали несколько двоичных файлов пользовательского режима, которые используются для извлечения и выполнения вредоносных драйверов на целевых машинах. В целом, FiveSys использует в общей сложности четыре драйвера.
Конечно, Microsoft оперативно отозвала цифровую подпись для FiveSys, но тенденция с сертификацией настораживает.
Безусловно, до сих пор вы помните, как ботнет Mēris поразил российского технологического гиганта Яндекс крупнейшей DDoS-атакой в истории. Однако сейчас стало понятно, что атака была всего лишь тест-драйвом: потренились на пушистых - взялись за реальные цели.
Миллионы южнокорейцев остались без доступа к Интернету в около 11 часов утра в понедельник в результате интенсивной DDoS-атаки на крупнейшего национального оператора связи KT Corp. Полегла вся сеть по всей стране, услуги связи были приостановлены на 40 минут.
Перестали работать все электронные системы и сервисы, беспроводной и проводной доступ в Интернет, а также службы телефонной связи. KT Corp смогли оперативно отреагировать на инцидент и восстановить работу сетей достаточно быстро.
Начато расследование, компания не раскрывает деталей произошедшего инцидента, равно как и последствий. Ситуация однозначно получит развитие: после хакеров - следующий ход за властями страны.
Миллионы южнокорейцев остались без доступа к Интернету в около 11 часов утра в понедельник в результате интенсивной DDoS-атаки на крупнейшего национального оператора связи KT Corp. Полегла вся сеть по всей стране, услуги связи были приостановлены на 40 минут.
Перестали работать все электронные системы и сервисы, беспроводной и проводной доступ в Интернет, а также службы телефонной связи. KT Corp смогли оперативно отреагировать на инцидент и восстановить работу сетей достаточно быстро.
Начато расследование, компания не раскрывает деталей произошедшего инцидента, равно как и последствий. Ситуация однозначно получит развитие: после хакеров - следующий ход за властями страны.
The Korea Herald
KT suffers major network outage nationwide
South Korean telecommunications operator KT suffered a nationwide network outage on Monday, causing widespread disruptions to daily tasks requiring connectivity. Virtual classrooms were down, food delivery orders were lost, and clinics couldn’t access patient…
Cisco исправили серьезную ошибку внедрения команд ОС в Cisco SD-WAN.
Cisco SD-WAN - это облачная оверлейная архитектура WAN, которая обеспечивает цифровую и облачную интеграцию на предприятиях, а также позволяет соединять разрозненные офисные помещения через облако.
Уязвимость CVE-2021-1529 с оценкой CVSS 7,8 связана с недостаточной проверкой ввода системным CLI. Злоумышленник может воспользоваться этой уязвимостью, аутентифицируясь на уязвимом устройстве и отправив созданные входные данные в системный интерфейс командной строки. Успешный эксплойт может позволить злоумышленнику выполнять команды в базовой операционной системе с привилегиями root.
Cisco выпустила обновления ПО для устранения дыры, для которой не существует обходных путей, которые могли бы исправить эту проблему. Cisco PSIRT не сообщает об эксплуатации уязвимости в дикой природе. Однако рекомендации по безопасности для устранения этой уязвимости и требования к клиентам Cisco по ее устранению озвучили даже CISA, что не может не настораживать.
Поэтому и добавить нечего: update now!
Cisco SD-WAN - это облачная оверлейная архитектура WAN, которая обеспечивает цифровую и облачную интеграцию на предприятиях, а также позволяет соединять разрозненные офисные помещения через облако.
Уязвимость CVE-2021-1529 с оценкой CVSS 7,8 связана с недостаточной проверкой ввода системным CLI. Злоумышленник может воспользоваться этой уязвимостью, аутентифицируясь на уязвимом устройстве и отправив созданные входные данные в системный интерфейс командной строки. Успешный эксплойт может позволить злоумышленнику выполнять команды в базовой операционной системе с привилегиями root.
Cisco выпустила обновления ПО для устранения дыры, для которой не существует обходных путей, которые могли бы исправить эту проблему. Cisco PSIRT не сообщает об эксплуатации уязвимости в дикой природе. Однако рекомендации по безопасности для устранения этой уязвимости и требования к клиентам Cisco по ее устранению озвучили даже CISA, что не может не настораживать.
Поэтому и добавить нечего: update now!
Cisco
Cisco Security Advisory: Cisco IOS XE SD-WAN Software Command Injection Vulnerability
A vulnerability in the CLI of Cisco IOS XE SD-WAN Software could allow an authenticated, local attacker to execute arbitrary commands with root privileges.
The vulnerability is due to insufficient input validation by the system CLI. An attacker could exploit…
The vulnerability is due to insufficient input validation by the system CLI. An attacker could exploit…
Хах. Интересная история с удалением из репозитория NPM трёх вредоносных пакетов, копировавших код библиотеки UAParser.js, получила неожиданное продолжение - неизвестные злоумышленники получили контроль над учётной записью Фейсала Салмана - автора проекта UAParser.js и выпустили обновления, содержащие код для кражи паролей и майнинга криптовалют.
О вредоносном ПО для криптомайнинга, которое хакеры внедрили в популярную библиотеку JavaScript NPM UAParser.js предупредило Агентство по кибербезопасности США (CISA) в конце предыдущей недели.
Масштаб угроз впечатляющий, так как у библиотеки миллионы загрузок в неделю, и только в октябре их было более 24 миллионов. Библиотека используется в различных популярных проектах, в том числе в Facebook, Microsoft, Google, Slack, Amazon, Instagram, Mozilla, Discord, Elastic, Intuit, Reddit и много где еще.
Атака была совершена через взлом учётной записи разработчика проекта, который заподозрил неладное после необычной волны спама, свалившейся в его почтовый ящик. Как именно была взломана учётная запись разработчика, пока не сообщается.
Атакующие сформировали выпуски 0.7.29, 0.8.0 и 1.0.0, внедрив в них вредоносный код. Контроль над проектом разработчики конечно вернули, устранили проблемы и выкатили экстренные обновления 0.7.30, 0.8.1 и 1.0.1.
Но всем пользователям, установившим проблемные версии, коих оказалось с десяток и более миллионов при обнаружении в Linux файла jsextension, а в Windows файлов jsextension.exe и create.dll, рекомендуется считать систему скомпрометированной и поменять на ней пароли, ключи и сертификаты безопасности.
Неожиданно удивила хакерская избирательность своих целей, так как вредоносный скрипт проверял IP-адреса в сервисе freegeoip.app и не запускал вредоносное приложение для пользователей из России, Украины, Беларуси и Казахстана.
Тенденция атак на цепочки поставок продолжается.
О вредоносном ПО для криптомайнинга, которое хакеры внедрили в популярную библиотеку JavaScript NPM UAParser.js предупредило Агентство по кибербезопасности США (CISA) в конце предыдущей недели.
Масштаб угроз впечатляющий, так как у библиотеки миллионы загрузок в неделю, и только в октябре их было более 24 миллионов. Библиотека используется в различных популярных проектах, в том числе в Facebook, Microsoft, Google, Slack, Amazon, Instagram, Mozilla, Discord, Elastic, Intuit, Reddit и много где еще.
Атака была совершена через взлом учётной записи разработчика проекта, который заподозрил неладное после необычной волны спама, свалившейся в его почтовый ящик. Как именно была взломана учётная запись разработчика, пока не сообщается.
Атакующие сформировали выпуски 0.7.29, 0.8.0 и 1.0.0, внедрив в них вредоносный код. Контроль над проектом разработчики конечно вернули, устранили проблемы и выкатили экстренные обновления 0.7.30, 0.8.1 и 1.0.1.
Но всем пользователям, установившим проблемные версии, коих оказалось с десяток и более миллионов при обнаружении в Linux файла jsextension, а в Windows файлов jsextension.exe и create.dll, рекомендуется считать систему скомпрометированной и поменять на ней пароли, ключи и сертификаты безопасности.
Неожиданно удивила хакерская избирательность своих целей, так как вредоносный скрипт проверял IP-адреса в сервисе freegeoip.app и не запускал вредоносное приложение для пользователей из России, Украины, Беларуси и Казахстана.
Тенденция атак на цепочки поставок продолжается.
В копилку к уже раскрытым в первой половине 2021 года более 600 серьезным уязвимостям в системах промышленного контроля (АСУТП) компания Claroty добавила еще 17, которые были обнаружены в ПО Versiondog, разработанном немецкой компанией AUVESY.
AUVESY специализируется на разработках в области управления данными для автоматизации производства. Versiondog реализует функции автоматического резервного копирования данных, контроля и хранения версий различного ПО, интегрируясь в широкий спектр промышленных систем. К настоящему времени активно применяется в таких крупных компаниях, как Nestle, Coca Cola, Kraft Foods, Merck и др.
Выявленные уязвимости в компонентах OS Server API, Scheduler и WebInstaller могут использоваться удаленными злоумышленниками для обхода аутентификации, повышения привилегий, получения жестко закодированных криптографических ключей, выполнения произвольного кода, манипулирования файлами и данными и вызова отказа в обслуживании. Шести уязвимостям была присвоена критическая степень серьезности, а девяти уязвимостям - высокая степень серьезности.
При этом, по экспертному мнению разработчика, любое вмешательство в работу Versiondog может иметь разрушительные последствия для безопасности и целостности промышленных процессов.
Немецкий производитель со свойственной педантичностью не только выпустил исправления для уязвимостей (версия 8.1), но также устранил основные причины их возникновения.
Со своей стороны, Claroty дали высокую оценку оперативности AUVESY, поскольку в последнее время производители стали попросту забивать и устранять дыры только под давлением экспертного сообщества или СМИ, а по факту – чаще оставляя потенциально серьезные недостатки без исправлений.
Так что клиентам AUVESY, скажем так, повезло с выбором решения.
AUVESY специализируется на разработках в области управления данными для автоматизации производства. Versiondog реализует функции автоматического резервного копирования данных, контроля и хранения версий различного ПО, интегрируясь в широкий спектр промышленных систем. К настоящему времени активно применяется в таких крупных компаниях, как Nestle, Coca Cola, Kraft Foods, Merck и др.
Выявленные уязвимости в компонентах OS Server API, Scheduler и WebInstaller могут использоваться удаленными злоумышленниками для обхода аутентификации, повышения привилегий, получения жестко закодированных криптографических ключей, выполнения произвольного кода, манипулирования файлами и данными и вызова отказа в обслуживании. Шести уязвимостям была присвоена критическая степень серьезности, а девяти уязвимостям - высокая степень серьезности.
При этом, по экспертному мнению разработчика, любое вмешательство в работу Versiondog может иметь разрушительные последствия для безопасности и целостности промышленных процессов.
Немецкий производитель со свойственной педантичностью не только выпустил исправления для уязвимостей (версия 8.1), но также устранил основные причины их возникновения.
Со своей стороны, Claroty дали высокую оценку оперативности AUVESY, поскольку в последнее время производители стали попросту забивать и устранять дыры только под давлением экспертного сообщества или СМИ, а по факту – чаще оставляя потенциально серьезные недостатки без исправлений.
Так что клиентам AUVESY, скажем так, повезло с выбором решения.
Claroty
Secure Your VersionDog: Essential Cyber Security Measures
Protect your critical systems with robust cyber security measures for VersionDog. Learn about vulnerabilities and effective defense strategies in this comprehensive guide.