Сезон охоты официально открыт. А неофициально: мы уже неоднократно говорили, что фронт борьбы с ransomware может быть реализован двумя способами.
И, стало быть, пока решили обойтись без треша и гуро, а просто объявить за головы вознаграждение в размере до 10 000 000 долларов за информацию, позволяющую идентифицировать или установить местонахождение хакеров, стоящих за DarkSide, ну и собственно, BlackMatter. Предложение озвучено Госдепартаментом США.
Кроме того, назначена награда в размере 5 000 000 долларов за информацию, которая позволит арестовать или осудить любого участника, причастного (и даже попытавшегося поучаствовать) к атакам Darkside. При этом неважно, в какой стране разыскиваемый будет привлечен к уголовной ответственности.
Видимо, не зря, на прошлой неделе хакеры так быстро запаковали чемоданы и слились.
И, стало быть, пока решили обойтись без треша и гуро, а просто объявить за головы вознаграждение в размере до 10 000 000 долларов за информацию, позволяющую идентифицировать или установить местонахождение хакеров, стоящих за DarkSide, ну и собственно, BlackMatter. Предложение озвучено Госдепартаментом США.
Кроме того, назначена награда в размере 5 000 000 долларов за информацию, которая позволит арестовать или осудить любого участника, причастного (и даже попытавшегося поучаствовать) к атакам Darkside. При этом неважно, в какой стране разыскиваемый будет привлечен к уголовной ответственности.
Видимо, не зря, на прошлой неделе хакеры так быстро запаковали чемоданы и слились.
Telegram
SecAtor
Ну и закончим новостную ленту ransomware постом про взлом FujiFilm, которая сделала вчера об этом официальное заявление.
Рассказывать про Fuji долго не будем, про них и так все знают. Отметим лишь, что наряду с различной периферией и оргтехникой (например…
Рассказывать про Fuji долго не будем, про них и так все знают. Отметим лишь, что наряду с различной периферией и оргтехникой (например…
История с лондонской ювелиркой Graff и хакерской группировкой Conti принимает интересный поворот.
По неведанному стечению обстоятельств, может из солидарности, а может из-за банального страха быть публично забитыми камнями, представители банды вымогателей решили принести официальные извинения...Хм, дежавю.
Как мы писали ранее, Conti опубликовали образец базы данных всемирно известных ювелиров, в которой находилось более 69 000 конфиденциальных документов, списков клиентов, счетов-фактур и кредитовых авизо. Чтобы доказать, что утечка содержит реальные данные были обнародованы покупки Дэвида Бекхэма и Дональда Трампа, но как известно, в базе было очень много и других не менее именитых имен, в том числе и данные о членах королевских семей из Саудовской Аравии, ОАЭ и Катара.
«Наша команда приносит свои извинения Его Королевскому Высочеству принцу Мохаммеду бен Салману и любым другим членам королевских семей, чьи имена были упомянуты в обществе…»
Хакеры пообещали защитить конфиденциальность правителей с Ближнего Востока, а отыграться на гражданах ЕС, США и Великобритании. Видимо Европол и ФБР нынче не в фаворе.
PS: Но мы прекрасно знаем, кто заставил хакеров извиниться…
По неведанному стечению обстоятельств, может из солидарности, а может из-за банального страха быть публично забитыми камнями, представители банды вымогателей решили принести официальные извинения...Хм, дежавю.
Как мы писали ранее, Conti опубликовали образец базы данных всемирно известных ювелиров, в которой находилось более 69 000 конфиденциальных документов, списков клиентов, счетов-фактур и кредитовых авизо. Чтобы доказать, что утечка содержит реальные данные были обнародованы покупки Дэвида Бекхэма и Дональда Трампа, но как известно, в базе было очень много и других не менее именитых имен, в том числе и данные о членах королевских семей из Саудовской Аравии, ОАЭ и Катара.
«Наша команда приносит свои извинения Его Королевскому Высочеству принцу Мохаммеду бен Салману и любым другим членам королевских семей, чьи имена были упомянуты в обществе…»
Хакеры пообещали защитить конфиденциальность правителей с Ближнего Востока, а отыграться на гражданах ЕС, США и Великобритании. Видимо Европол и ФБР нынче не в фаворе.
PS: Но мы прекрасно знаем, кто заставил хакеров извиниться…
Twitter
DarkFeed
🌐 Cnoti (Ryuk) #Ransomware group just apologized for attacking the wrong target 🤣 "Our Team apologizes to His Royal Highness Prince Mohammed bin Salman and any other members of the Royal Families whose names were mentioned in the publication for any inconvenience"…
Мода на атаки на цепочки поставок среди хакеров набирает популярность.
После нашумевшей в конце октября истории с удалением из репозитория NPM трёх вредоносных пакетов, копировавших код библиотеки UAParser.js, оказались скомпрометированы и оснащены вредоносным ПО для кражи паролей два популярных менеджера npm - парсер Command-Option-Argument и загрузчик конфигурации rc.
Сoa - это синтаксический анализатор параметров командной строки для проектов Node.js. Последняя стабильная версия 2.0.2 для проекта вышла в декабре 2018 года. Но несколько подозрительных версий 2.0.3, 2.0.4, 2.1.1, 2.1.3 и 3.1.3 начали появляться на npm совсем недавно, влияя на пакеты React, которые зависят от coa. Библиотека используется почти 5 миллионами репозиториев с открытым исходным кодом на GitHub и имеет около 8,8 миллионов загрузок в неделю.
В свою очередь, в пакете rc также были опубликованы версии с вредоносным кодом (1.2.9, 1.3.9 и 2.3.9), при том, что библиотека широко распространена в среде крупных IT-компаний и насчитывает более 14 миллионов загрузок в неделю.
Согласно чрезвычайно срочному предупреждению GitHub, в результате атаки любой компьютер, на котором установлен или запущен вредоносный пакет, следует считать полностью скомпрометированным. Пакет должен быть удален, все важные данные, токены и ключи, хранящиеся на этом компьютере, должны быть немедленно заменены с другого компьютера.
Будем считать произошедшее вторым серьезным прецедентом с npm, связанным распространением вредоносного ПО через популярные библиотеки JavaScript.
Но вот, что выяснилось в ходе расследования: вредоносная программа, содержащаяся во взломанных версиях библиотек является троянцем Danabot для кражи паролей для Windows и практически идентична коду, обнаруженному в скомпрометированных версиях UAParser.js, что потенциально указывает на единого актора атак, которые стали возможны после взлома учетной записи npm.
К настоящему времени NPM удалил скомпрометированные версии, исправлений не требуется, безопасными считаются версии: для rc - 1.2.8, для coa - 2.0.2.
После нашумевшей в конце октября истории с удалением из репозитория NPM трёх вредоносных пакетов, копировавших код библиотеки UAParser.js, оказались скомпрометированы и оснащены вредоносным ПО для кражи паролей два популярных менеджера npm - парсер Command-Option-Argument и загрузчик конфигурации rc.
Сoa - это синтаксический анализатор параметров командной строки для проектов Node.js. Последняя стабильная версия 2.0.2 для проекта вышла в декабре 2018 года. Но несколько подозрительных версий 2.0.3, 2.0.4, 2.1.1, 2.1.3 и 3.1.3 начали появляться на npm совсем недавно, влияя на пакеты React, которые зависят от coa. Библиотека используется почти 5 миллионами репозиториев с открытым исходным кодом на GitHub и имеет около 8,8 миллионов загрузок в неделю.
В свою очередь, в пакете rc также были опубликованы версии с вредоносным кодом (1.2.9, 1.3.9 и 2.3.9), при том, что библиотека широко распространена в среде крупных IT-компаний и насчитывает более 14 миллионов загрузок в неделю.
Согласно чрезвычайно срочному предупреждению GitHub, в результате атаки любой компьютер, на котором установлен или запущен вредоносный пакет, следует считать полностью скомпрометированным. Пакет должен быть удален, все важные данные, токены и ключи, хранящиеся на этом компьютере, должны быть немедленно заменены с другого компьютера.
Будем считать произошедшее вторым серьезным прецедентом с npm, связанным распространением вредоносного ПО через популярные библиотеки JavaScript.
Но вот, что выяснилось в ходе расследования: вредоносная программа, содержащаяся во взломанных версиях библиотек является троянцем Danabot для кражи паролей для Windows и практически идентична коду, обнаруженному в скомпрометированных версиях UAParser.js, что потенциально указывает на единого актора атак, которые стали возможны после взлома учетной записи npm.
К настоящему времени NPM удалил скомпрометированные версии, исправлений не требуется, безопасными считаются версии: для rc - 1.2.8, для coa - 2.0.2.
Twitter
npm
following ongoing investigations, we identified in real time multiple versions of the “rc” package containing identical malware to the “coa” package. malicious versions of “rc” were immediately removed from the registry and we have published an advisory:…
Linux Foundation выпустила исправление ошибки безопасности в модуле ядра , который поставляется со всеми основными дистрибутивами ОС и и затрагивает версии ядра между 5.10 и 5.15.
Уязвимостью CVE-2021-43267 можно воспользоваться как локально, так и удаленно, в случае успешной эксплуатации она позволяет злоумышленнику получить полный контроль над уязвимой системой.
Проблема кроется в модуле TIPC (Transparent Inter-Process Communication) ядра Linux, который обеспечивает обмен данными между узлами в кластерах в отказоустойчивом режиме.
Дыру в ядре Linux обнаружил Ван Амеронген из SentinelOne еще в сентябре 2020 года, когда был добавлен новый тип пользовательского сообщения под названием MSG_CRYPTO, позволяющий одноранговым узлам отправлять криптографические ключи. Используя механизм семантического анализа кода от Microsoft CodeQL, исследователь почти случайно смог заметить «явное переполнение буфера кучи ядра» с последствиями для удаленного использования.
В то время как локальная эксплуатация достаточно проста благодаря большему контролю над объектами, размещенными в куче ядра, удаленная эксплуатация может быть достигнута благодаря TIPC.
Немного при этом спасает положение то, что уязвимый модуль TIPC не загружается системой автоматически и требует предварительной активации в системе конечным пользователем, а доказательств эксплуатации в дикой природе до настоящего времени не получено.
Вместе с тем, существующая возможность для непривилегированного злоумышленника локально настроить TIPC и в последующем удаленно проэксплуатировать - все же делает эту уязвимость опасной в сетевом исполнении.
Но лучше не испытывать судьбу, а сразу накатить обновления.
Уязвимостью CVE-2021-43267 можно воспользоваться как локально, так и удаленно, в случае успешной эксплуатации она позволяет злоумышленнику получить полный контроль над уязвимой системой.
Проблема кроется в модуле TIPC (Transparent Inter-Process Communication) ядра Linux, который обеспечивает обмен данными между узлами в кластерах в отказоустойчивом режиме.
Дыру в ядре Linux обнаружил Ван Амеронген из SentinelOne еще в сентябре 2020 года, когда был добавлен новый тип пользовательского сообщения под названием MSG_CRYPTO, позволяющий одноранговым узлам отправлять криптографические ключи. Используя механизм семантического анализа кода от Microsoft CodeQL, исследователь почти случайно смог заметить «явное переполнение буфера кучи ядра» с последствиями для удаленного использования.
В то время как локальная эксплуатация достаточно проста благодаря большему контролю над объектами, размещенными в куче ядра, удаленная эксплуатация может быть достигнута благодаря TIPC.
Немного при этом спасает положение то, что уязвимый модуль TIPC не загружается системой автоматически и требует предварительной активации в системе конечным пользователем, а доказательств эксплуатации в дикой природе до настоящего времени не получено.
Вместе с тем, существующая возможность для непривилегированного злоумышленника локально настроить TIPC и в последующем удаленно проэксплуатировать - все же делает эту уязвимость опасной в сетевом исполнении.
Но лучше не испытывать судьбу, а сразу накатить обновления.
Не можем пройти мимо и не порадоваться за участников Pwn2Own Austin 2021, традиционно проводимого Trend Micro в рамках инициативы Zero Day Initiative. В этом году было получено 58 заявок и зарегистрировано 22 участника.
По факту Pwn2Own - это самый крупный турнир Pwn2Own на сегодняшний день. Призовой фонд в общей сложности составил 1 081 250 долларов: 362 500 - в первый день конкурса, 415 000 - во второй, 238 750 - в третий и 60 000 - в последний.
Участником удалось успешно проэксплуатировать 61 уязвимость нулевого дня, взломав NAS-устройства, мобильные телефоны, принтеры, маршрутизаторы и динамики от Canon, Cisco, HP, NETGEAR, Samsung, Sonos, TP-Link и Western Digital.
Победу одержала команда Synacktiv с 20 очками и выигрышем 197 000 долларов наличными за свои 0-day, опередив команду DEVCORE на шесть очков, которая заработала в общей сложности 140 000 долларов. Самые высокие награды были выплачены за 0-day эксплойты для smart-колонки Sonos One, две команды заработали по 60 000 долларов каждая за проблемы с выполнением кода.
Впервые в истории хакерских соревнований участники продемонстрировали эксплойты под принтеры, опробовав 11 различных способов взлома устройств, а на третий день хакеры смогли воспроизвести композицию AC/DC «Thunderstruck» на HP LaserJet, используя переполнение буфера на основе стека.
Samsun Galaxy S21 вовсе был дважды взломан (из трех попыток). Первый раз Сэмом Томасом из Pentest Limited, который для этого использовал цепочку эксплойтов для последней версии Android 11, заработав 50 000 долларов. Вторая попытка, правда с использованием известной производителю ошибки была также успешно реализована представителями команды STARLabs Team (занявшей по итогу 3 место в турнире), которым также был вручен гонорар в размере 25000 долларов.
Теперь у поставщиков есть 120 дней на то, чтобы исправить все обнаруженные уязвимости. Всем читателям настоятельно рекомендуем увидеть все своими глазами: видеообзоры легендарного Pwn2Own доступны по ссылкам: 1 день, 2 день, 3 день и 4 день.
По факту Pwn2Own - это самый крупный турнир Pwn2Own на сегодняшний день. Призовой фонд в общей сложности составил 1 081 250 долларов: 362 500 - в первый день конкурса, 415 000 - во второй, 238 750 - в третий и 60 000 - в последний.
Участником удалось успешно проэксплуатировать 61 уязвимость нулевого дня, взломав NAS-устройства, мобильные телефоны, принтеры, маршрутизаторы и динамики от Canon, Cisco, HP, NETGEAR, Samsung, Sonos, TP-Link и Western Digital.
Победу одержала команда Synacktiv с 20 очками и выигрышем 197 000 долларов наличными за свои 0-day, опередив команду DEVCORE на шесть очков, которая заработала в общей сложности 140 000 долларов. Самые высокие награды были выплачены за 0-day эксплойты для smart-колонки Sonos One, две команды заработали по 60 000 долларов каждая за проблемы с выполнением кода.
Впервые в истории хакерских соревнований участники продемонстрировали эксплойты под принтеры, опробовав 11 различных способов взлома устройств, а на третий день хакеры смогли воспроизвести композицию AC/DC «Thunderstruck» на HP LaserJet, используя переполнение буфера на основе стека.
Samsun Galaxy S21 вовсе был дважды взломан (из трех попыток). Первый раз Сэмом Томасом из Pentest Limited, который для этого использовал цепочку эксплойтов для последней версии Android 11, заработав 50 000 долларов. Вторая попытка, правда с использованием известной производителю ошибки была также успешно реализована представителями команды STARLabs Team (занявшей по итогу 3 место в турнире), которым также был вручен гонорар в размере 25000 долларов.
Теперь у поставщиков есть 120 дней на то, чтобы исправить все обнаруженные уязвимости. Всем читателям настоятельно рекомендуем увидеть все своими глазами: видеообзоры легендарного Pwn2Own доступны по ссылкам: 1 день, 2 день, 3 день и 4 день.
Twitter
Zero Day Initiative
That brings #Pwn2Own Austin to a close. In total, we awarded $1,081,250 for 61 unique 0-days. It's been an amazing 4 days of pwnage. Thanks again to our partner Western Digital, sponsor Synology, and all the contestants who participated. See in you Miami!
Вчера уважаемые коллеги из SecurityLab сделали репост нашего мнения по поводу опубликованного СБУ отчета в отношении принадлежности APT Gamaredon одному из подразделений ФСБ по Крыму. За что отдельное им спасибо.
И мы пожалели, что не открыли в свое время у себя на канале комменты, как это сделали SecurityLab, Потому что там начался Адъ и Израиль.
Так вот, отвечаем выборочно на сделанные предъявы.
Во-первых, мы никогда не говорили, что в России нет APT. Более того, мы считали и продолжаем считать, о чем не раз писали, что наличие прогосударственных хакерских групп - это в современных реалиях то, что отличает серьезных технологичных мировых игроков от полупокеров. И если ты хочешь занять роль в геополитическом партере, то тебе просто необходимо заиметь свое ламповое APT. А лучше несколько.
Во-вторых, мы за свою бытность данных по APT перевидали больше, чем все вместе взятые комментаторы прочитали статей по ИБ. Потому заявляем ответственно, что серьезные APT в своей стране C2 не держат.
А то ишь ты, "APT группы работающие на гос сектор не будут размещать свои активы (активы, Карл!) на территории других стран, слишком много переменных, которые они там не контролируют". Ага, видимо, целых две - X и Y. Инфосек-специалисты, my ass. Идите диффуры учите.
Ну и в-третьих, там в комментах похоже ДКИБ СБУ порвался по поводу того, что мы им "угрожаем".
Товарищи, учитесь военному делу настоящим образом, а ньюфагов гоните прочь! (с) В.И. Ленин.
А именно - прежде чем начинать работать в информационном пространстве, необходимо его изучить. Там, например, присутствуют такие интересные штуки, как мемы и копипасты.
Dixi.
И мы пожалели, что не открыли в свое время у себя на канале комменты, как это сделали SecurityLab, Потому что там начался Адъ и Израиль.
Так вот, отвечаем выборочно на сделанные предъявы.
Во-первых, мы никогда не говорили, что в России нет APT. Более того, мы считали и продолжаем считать, о чем не раз писали, что наличие прогосударственных хакерских групп - это в современных реалиях то, что отличает серьезных технологичных мировых игроков от полупокеров. И если ты хочешь занять роль в геополитическом партере, то тебе просто необходимо заиметь свое ламповое APT. А лучше несколько.
Во-вторых, мы за свою бытность данных по APT перевидали больше, чем все вместе взятые комментаторы прочитали статей по ИБ. Потому заявляем ответственно, что серьезные APT в своей стране C2 не держат.
А то ишь ты, "APT группы работающие на гос сектор не будут размещать свои активы (активы, Карл!) на территории других стран, слишком много переменных, которые они там не контролируют". Ага, видимо, целых две - X и Y. Инфосек-специалисты, my ass. Идите диффуры учите.
Ну и в-третьих, там в комментах похоже ДКИБ СБУ порвался по поводу того, что мы им "угрожаем".
Товарищи, учитесь военному делу настоящим образом, а ньюфагов гоните прочь! (с) В.И. Ленин.
А именно - прежде чем начинать работать в информационном пространстве, необходимо его изучить. Там, например, присутствуют такие интересные штуки, как мемы и копипасты.
Dixi.
Lurkmore
Не стоит вскрывать эту тему
Ребята, не стоит вскрывать эту тему. Вы молодые, шутливые, вам все легко. Это не то. Это не Чикатило и даже не архивы спецслужб. Сюда лучше не лезть. Серьезно, любой из вас будет жалеть. Лучше закройте тему и забудьте, что тут писалось. Я вполне понимаю,…
Forwarded from SecurityLab.ru
Новый спецвыпуск security-новостей с Александром Антиповым, главредом Securitylab.ru 🚀
Темы нового ролика:
🔸Поставщики ПО до сих пор угрожают ИБ-специалистам судом из-за обнаружения уязвимостей. Как меняется ситуация?
🔸Что значит «хакер»? Варианты ответов: клевый журнал, киберпреступник, пентестер, исследователь уязвимостей;
🔸Почему крупным корпорациям выгодно поощрять деятельность «белых» хакеров и самим создавать такие команды исследователей безопасности?
🔸Кто и как может стать этичным хакером? Как попасть в «команду мечты»?
🔸Этический выбор: как избежать соблазнов темной стороны? Серая зона хакерства;
🔸Конкурс: самое интересное мошенничество в сфере финансов.
https://www.youtube.com/watch?v=JnCl3qBU8U8
Темы нового ролика:
🔸Поставщики ПО до сих пор угрожают ИБ-специалистам судом из-за обнаружения уязвимостей. Как меняется ситуация?
🔸Что значит «хакер»? Варианты ответов: клевый журнал, киберпреступник, пентестер, исследователь уязвимостей;
🔸Почему крупным корпорациям выгодно поощрять деятельность «белых» хакеров и самим создавать такие команды исследователей безопасности?
🔸Кто и как может стать этичным хакером? Как попасть в «команду мечты»?
🔸Этический выбор: как избежать соблазнов темной стороны? Серая зона хакерства;
🔸Конкурс: самое интересное мошенничество в сфере финансов.
https://www.youtube.com/watch?v=JnCl3qBU8U8
YouTube
Спецвыпуск самых жарких новостей #2. Этичный хакер - кто он и в чем его польза? | 12+
💰📊👉 Новости об инвестициях в кибербезопасность предоставлены каналом It’s positive investing - https://news.1rj.ru/str/positive_investing
В новом спецвыпуске «Security-новостей» главред SecurityLab.ru Александр Антипов и старший эксперт Positive Technologies Тимур…
В новом спецвыпуске «Security-новостей» главред SecurityLab.ru Александр Антипов и старший эксперт Positive Technologies Тимур…
День ransomware на канале SecAtor.
Чуть позже мы дадим большой обзорный пост на тему последних модных трендов из мира вымогательских банд, а сейчас срочная новость от японцев из DarkTracer .
По их данным, в списке жертв на сайте для утечек ransomware Pysa появились правительство Великобритании и ЮАР. Видимо в качестве выкупа потребуют Мэри Поппинс и немножечко апартеида.
А если без шуток - тенденция неприятная.
Чуть позже мы дадим большой обзорный пост на тему последних модных трендов из мира вымогательских банд, а сейчас срочная новость от японцев из DarkTracer .
По их данным, в списке жертв на сайте для утечек ransomware Pysa появились правительство Великобритании и ЮАР. Видимо в качестве выкупа потребуют Мэри Поппинс и немножечко апартеида.
А если без шуток - тенденция неприятная.
Twitter
DarkTracer : DarkWeb Criminal Intelligence
[ALERT] Pysa ransomware gang has announced South Africa and UK government sites on the victim list.
Сегодня последовало продолжение вчерашней истории c вознаграждением размером в 10 млн. долларов за информацию о хакерах, связанных с бандой ransomware DarkSide (aka BlackMatter). Такой же прайс в рамках специализированной американской программы TOCRP был назначен информацию, которая может привести к установлению личности или местонахождения руководителей группировки REvil (Sodinokibi).
Как мы преполагали почти полгода назад, за головы хакеров, наносящих колоссальные убытки крупным корпорациям стали назначать не менее колоссальные награды. Правда, мы думали, что это будут все-таки частный капитал, но в реале деньги обещают госструктуры.
Параллельно с этим США в составе широкой коалиции со своими традиционными партнерами начали фактически крестовый поход против вымогателей в рамках операции под условным наименованием GoldDust.
По наводке американских спецслужб румынские спецслужбы при поддержке полиции арестовали в Констанце двух операторов REvil, ответственных приблизительно за 5000 атак с общей суммой выкупа до полумиллиона евро. В тот же день правоохранители Кувейта арестовали еще одного злоумышленника, подозреваемого в партнерстве с вымогателями. Ему вменяется около 7000 кибератак с общим объемом выкупа на сумму более 200 млн. евро.
Всего в мероприятиях были задействованы силовики из 17 стран, Европола, Евроюста и Интерпола, которым удалось установить личности хакеров, взять под их наблюдение и прослушивать коммуникации. Ранее в октябре подозреваемый в связях с REvil был также захвачен в Южной Корее.
Помимо текущих арестов, в прошлом месяце на основании ордера США при переходе из Украины в Польшу был задержан 22-летний украинец Ярослав Васинский, который работал в качестве оператора REvil еще с 2019 года. Именно он был виновником серии резонансных атак: на его счету инциденты с мясоперерабатывающей компанией JBS SA и поставщиком ПО Kaseya. В ходе последнего хакер смог пошифровать тысячи ее клиентов, что фактически равносильно военной агрессии и было воспринято Белым домом как соответствующий вызов.
ФБР объявили в розыск также его подельника - гражданина России, 28-летнего жителя Барнаула Евгения Полянина, помогавшего накатывать полезные нагрузки в виде ransomware в зараженных системах. Ему вменяют около 3000 атак, в том числе эпизод со взломом в 2019 году провайдера управляемых услуг из Техаса TSM Consulting, который позволил ему пошифровать более двух десятков местных правительственных учреждений. Кроме того, на основании требования Минюста США спецслужбам удалось конфисковать активы Полянина в криптовалюте на сумму 6,1 миллиона долларов, которые он хранил на счете FTX.
Все это подтверждает нашу версию о том, что возрождение инфраструктуры REvil было четко спланированной операцией американских спецслужб совместно со специалистами из частного сектора, нацеленная на вскрытие операторов и иных связанных с вымогателями лиц.
Параллельно удары наносятся по карманам вымогателей, в связи с чем США также объявили о второй волне санкций (первая накрыла биржу SUEX OTC) против криптобиржи Chatex, которая, по мнению финрегулятора, используется в интересах для обналичивания средств хакеров. В число будущих черносписочников также относят фигурантов недавнего расследования Bloomberg - EggChange и CashBank.
Вместе с тем, по последним данным, вымогатели из Hive объявили невиданный размер первоначального выкупа в рекордные 240 миллионов долларов, счет был выставлен торговому гиганту электроники MediaMarkt, ИТ-системы которого после атаки были зашифрованы и отключены.
Вы удивлены, мы нет: это является подтверждением нашего мнения о том, что вымогатели будут хеджировать риски, связанные с высокой активностью властей по их поиску, выкупы будут и дальше расти. По всей видимости, уходить с темы хакеры не намерены и уже задали новый тренд совершения кибератак.
Как мы преполагали почти полгода назад, за головы хакеров, наносящих колоссальные убытки крупным корпорациям стали назначать не менее колоссальные награды. Правда, мы думали, что это будут все-таки частный капитал, но в реале деньги обещают госструктуры.
Параллельно с этим США в составе широкой коалиции со своими традиционными партнерами начали фактически крестовый поход против вымогателей в рамках операции под условным наименованием GoldDust.
По наводке американских спецслужб румынские спецслужбы при поддержке полиции арестовали в Констанце двух операторов REvil, ответственных приблизительно за 5000 атак с общей суммой выкупа до полумиллиона евро. В тот же день правоохранители Кувейта арестовали еще одного злоумышленника, подозреваемого в партнерстве с вымогателями. Ему вменяется около 7000 кибератак с общим объемом выкупа на сумму более 200 млн. евро.
Всего в мероприятиях были задействованы силовики из 17 стран, Европола, Евроюста и Интерпола, которым удалось установить личности хакеров, взять под их наблюдение и прослушивать коммуникации. Ранее в октябре подозреваемый в связях с REvil был также захвачен в Южной Корее.
Помимо текущих арестов, в прошлом месяце на основании ордера США при переходе из Украины в Польшу был задержан 22-летний украинец Ярослав Васинский, который работал в качестве оператора REvil еще с 2019 года. Именно он был виновником серии резонансных атак: на его счету инциденты с мясоперерабатывающей компанией JBS SA и поставщиком ПО Kaseya. В ходе последнего хакер смог пошифровать тысячи ее клиентов, что фактически равносильно военной агрессии и было воспринято Белым домом как соответствующий вызов.
ФБР объявили в розыск также его подельника - гражданина России, 28-летнего жителя Барнаула Евгения Полянина, помогавшего накатывать полезные нагрузки в виде ransomware в зараженных системах. Ему вменяют около 3000 атак, в том числе эпизод со взломом в 2019 году провайдера управляемых услуг из Техаса TSM Consulting, который позволил ему пошифровать более двух десятков местных правительственных учреждений. Кроме того, на основании требования Минюста США спецслужбам удалось конфисковать активы Полянина в криптовалюте на сумму 6,1 миллиона долларов, которые он хранил на счете FTX.
Все это подтверждает нашу версию о том, что возрождение инфраструктуры REvil было четко спланированной операцией американских спецслужб совместно со специалистами из частного сектора, нацеленная на вскрытие операторов и иных связанных с вымогателями лиц.
Параллельно удары наносятся по карманам вымогателей, в связи с чем США также объявили о второй волне санкций (первая накрыла биржу SUEX OTC) против криптобиржи Chatex, которая, по мнению финрегулятора, используется в интересах для обналичивания средств хакеров. В число будущих черносписочников также относят фигурантов недавнего расследования Bloomberg - EggChange и CashBank.
Вместе с тем, по последним данным, вымогатели из Hive объявили невиданный размер первоначального выкупа в рекордные 240 миллионов долларов, счет был выставлен торговому гиганту электроники MediaMarkt, ИТ-системы которого после атаки были зашифрованы и отключены.
Вы удивлены, мы нет: это является подтверждением нашего мнения о том, что вымогатели будут хеджировать риски, связанные с высокой активностью властей по их поиску, выкупы будут и дальше расти. По всей видимости, уходить с темы хакеры не намерены и уже задали новый тренд совершения кибератак.
Europol
Five affiliates to Sodinokibi/REvil unplugged – Suspected of about 7 000 infections, the arrested affiliates asked for more than…
Updated on 8 November at 18:30 On 4 November, Romanian authorities arrested two individuals suspected of cyber-attacks deploying the Sodinokibi/REvil ransomware. They are allegedly responsible for 5 000 infections, which in total pocketed half a million euros…
И один в поле воин!
Немного смелости, смекалки и душевного разговора со службой поддержки достаточно чтоб получить миллионы персональных данных от известной американской торговой платформы Robinhood Markets, Inc.
Как известно хакер, обнаружил уязвимость в мобильной платформе для торговли акциями Robinhood и путем социальной инженерии смог развести сотрудника службы поддержки клиентов, чтобы заиметь в своем активе миллионы имен и адреса электронных почт пользователей, а также более подробные сведения о зарегистрированных учетных записях.
После успешной реализации своего коварного замысла, разумеется злоумышленник стал вымогать положенный ему за это гонорар.
Представителей компании такой расклад явно не устроил и они уведомили правоохранительные органы, а также обратились за помощью в расследовании инцидента к специалистам из Mandiant. Идти на поводу у вымогателей нынче не в моде, да и хакер понимал, что тут либо много, либо ноль.
Может вовсе замысел был шортить на бирже и сыграть на понижение, так как после публикации акции самой компании упали на 3% (NASDAQ: HOOD).
Компания явно преуменьшает масштабы бедствия и уверяет, что был украден только ограниченный объем личной информации для небольшой части клиентов, номера банковских карт не были раскрыты и финансовых потерь для клиентов пока не зафиксировано.
Но как мы знаем в умелых руках и полученных данных будет достаточно, чтоб минимально монетизировать добытую утечку.
Немного смелости, смекалки и душевного разговора со службой поддержки достаточно чтоб получить миллионы персональных данных от известной американской торговой платформы Robinhood Markets, Inc.
Как известно хакер, обнаружил уязвимость в мобильной платформе для торговли акциями Robinhood и путем социальной инженерии смог развести сотрудника службы поддержки клиентов, чтобы заиметь в своем активе миллионы имен и адреса электронных почт пользователей, а также более подробные сведения о зарегистрированных учетных записях.
После успешной реализации своего коварного замысла, разумеется злоумышленник стал вымогать положенный ему за это гонорар.
Представителей компании такой расклад явно не устроил и они уведомили правоохранительные органы, а также обратились за помощью в расследовании инцидента к специалистам из Mandiant. Идти на поводу у вымогателей нынче не в моде, да и хакер понимал, что тут либо много, либо ноль.
Может вовсе замысел был шортить на бирже и сыграть на понижение, так как после публикации акции самой компании упали на 3% (NASDAQ: HOOD).
Компания явно преуменьшает масштабы бедствия и уверяет, что был украден только ограниченный объем личной информации для небольшой части клиентов, номера банковских карт не были раскрыты и финансовых потерь для клиентов пока не зафиксировано.
Но как мы знаем в умелых руках и полученных данных будет достаточно, чтоб минимально монетизировать добытую утечку.
Популярная система управления контентом корпоративного уровня с аналитикой данных (CMS) Sitecore XP имеет активно эксплуатируемую уязвимость CVE-2021-42237. Продуктом пользуются такие известные компании, как American Express, IKEA, Carnival Cruise Lines, L'Oréal и Volvo.
Исправленная 13 октября уязвимость удаленного выполнения кода затрагивает Sitecore Experience Platform (Sitecore XP) в версиях 7.5 (с Update-2), 8.0 (с Update-7), 8.1 (с Update-3), 8.2 (с Update-7).
Дырявым компонентом в Sitecore XP является Report.ashx, который реализует аналитический функционал платформы по SEO. Он используется для управления панелью управления Executive Insight, которая в исполнении версии 8.0 попросту устарела после того, как Microsoft прекратила поддержку Silverlight. CVE не требует аутентификации и позволяет любому удаленному злоумышленнику использовать уязвимый сервер и получить полный контроль над ним.
Дело в том, что на прошлой неделе подробный технический обзор RCE выпустила Assetnote, что и позволило хакерам воспроизвести необходимые эксплойты и приступить к активной эксплуатации уязвимых веб-сайтов.
Рекомендуем пользователям платформы поскорее обновиться до безопасной версии, в идеале - Sitecore XP 9.0 или выше. Или в качестве альтернативы удалить файл Report.ashx из /sitecore/shell/ClientBin/Reporting/ на всех экземплярах сервера.
Исправленная 13 октября уязвимость удаленного выполнения кода затрагивает Sitecore Experience Platform (Sitecore XP) в версиях 7.5 (с Update-2), 8.0 (с Update-7), 8.1 (с Update-3), 8.2 (с Update-7).
Дырявым компонентом в Sitecore XP является Report.ashx, который реализует аналитический функционал платформы по SEO. Он используется для управления панелью управления Executive Insight, которая в исполнении версии 8.0 попросту устарела после того, как Microsoft прекратила поддержку Silverlight. CVE не требует аутентификации и позволяет любому удаленному злоумышленнику использовать уязвимый сервер и получить полный контроль над ним.
Дело в том, что на прошлой неделе подробный технический обзор RCE выпустила Assetnote, что и позволило хакерам воспроизвести необходимые эксплойты и приступить к активной эксплуатации уязвимых веб-сайтов.
Рекомендуем пользователям платформы поскорее обновиться до безопасной версии, в идеале - Sitecore XP 9.0 или выше. Или в качестве альтернативы удалить файл Report.ashx из /sitecore/shell/ClientBin/Reporting/ на всех экземплярах сервера.
В конце сентября мы писали об атаке неизвестной АРТ на критическую инфраструктуру США. Под ударом оказался один из крупнейших портов - Хьюстон, находящийся в Хьюстонском судоходном канале, на берегу Мексиканского залива.
В расследовании инцидента принимали участие CISA, ФБР и киберкомандование береговой охраны (CGCYBER), которые обнаружили, что атаки совершались с использованием известной 0-day уязвимости CVE-2021-40539 в Zoho ManageEngine, ADSelfService Plus, исправленной еще 8 сентября. Инцидент даже обсуждался на слушаниях в Конгрессе США, и, как мы и предполагали, неспроста.
По данным Palo Alto Networks, после сканирования 17 сентября сотен уязвимых развертываний ADSelfService Plus посредством арендованной инфраструктуры в Штатах, злоумышленники 22 сентября приступили к эксплуатации, успев скомпрометировать до начала октября как минимум девять глобальных организаций в сфере технологий, обороны, здравоохранения, энергетики и образования. Анализ телеметрии показал, что злоумышленники нацеливались как минимум на 370 серверов Zoho ManageEngine в США.
Хакеры действовали по следующему сценарию: после эксплуатации CVE на уязвимые системы инсталлировалась веб-оболочка Godzilla. После ее развертывания злоумышленники использовали дополнительные инструменты: заражался собственный вариант бэкдора с открытым исходным кодом, написанный на языке Go, - NGLite, реализующий связь с С2 через децентрализованную сеть NKN. На контроллерах домена устанавливался инструмент для кражи учетных данных KdcSponge, который подключался к Windows LSASS API внутри процесса LSASS для кражи учетных данных от входящих попыток аутентификации через службу Kerberos, позволяя захватывать доменное имя, имя пользователя и пароль.
Далее злоумышленники отфильтровывали интересующие данные с локальных контроллеров домена. Интересующие файлы при этом эксфильтровались через защищенные паролем многотомные архивы RAR в каталоге Recycler, которые загружались непосредственно с внешних веб-серверов через прямые запросы HTTP GET.
По мнению исследователей, целью хакеров была организация постоянного доступа к сети, позволяющего осуществлять им сбор и уничтожение конфиденциальных документов внутри скомпрометированной организации.
Даже несмотря на то, что однозначно атрибутировать активность Palo Alto Networks не удалось, виноватыми назначили китайскую APT27, которая, как выяснилось, в ходе расследования ее прошлых атак также использовала веб-оболочки (ChinaChopper) и схожие инструменты для эксфильтрации.
Получается, что почти пальцем в небо и как бы в точку.
В расследовании инцидента принимали участие CISA, ФБР и киберкомандование береговой охраны (CGCYBER), которые обнаружили, что атаки совершались с использованием известной 0-day уязвимости CVE-2021-40539 в Zoho ManageEngine, ADSelfService Plus, исправленной еще 8 сентября. Инцидент даже обсуждался на слушаниях в Конгрессе США, и, как мы и предполагали, неспроста.
По данным Palo Alto Networks, после сканирования 17 сентября сотен уязвимых развертываний ADSelfService Plus посредством арендованной инфраструктуры в Штатах, злоумышленники 22 сентября приступили к эксплуатации, успев скомпрометировать до начала октября как минимум девять глобальных организаций в сфере технологий, обороны, здравоохранения, энергетики и образования. Анализ телеметрии показал, что злоумышленники нацеливались как минимум на 370 серверов Zoho ManageEngine в США.
Хакеры действовали по следующему сценарию: после эксплуатации CVE на уязвимые системы инсталлировалась веб-оболочка Godzilla. После ее развертывания злоумышленники использовали дополнительные инструменты: заражался собственный вариант бэкдора с открытым исходным кодом, написанный на языке Go, - NGLite, реализующий связь с С2 через децентрализованную сеть NKN. На контроллерах домена устанавливался инструмент для кражи учетных данных KdcSponge, который подключался к Windows LSASS API внутри процесса LSASS для кражи учетных данных от входящих попыток аутентификации через службу Kerberos, позволяя захватывать доменное имя, имя пользователя и пароль.
Далее злоумышленники отфильтровывали интересующие данные с локальных контроллеров домена. Интересующие файлы при этом эксфильтровались через защищенные паролем многотомные архивы RAR в каталоге Recycler, которые загружались непосредственно с внешних веб-серверов через прямые запросы HTTP GET.
По мнению исследователей, целью хакеров была организация постоянного доступа к сети, позволяющего осуществлять им сбор и уничтожение конфиденциальных документов внутри скомпрометированной организации.
Даже несмотря на то, что однозначно атрибутировать активность Palo Alto Networks не удалось, виноватыми назначили китайскую APT27, которая, как выяснилось, в ходе расследования ее прошлых атак также использовала веб-оболочки (ChinaChopper) и схожие инструменты для эксфильтрации.
Получается, что почти пальцем в небо и как бы в точку.
Unit 42
Targeted Attack Campaign Against ManageEngine ADSelfService Plus Delivers Godzilla Webshells, NGLite Trojan and KdcSponge Stealer
A malicious campaign against ManageEngine ADSelfService Plus used Godzilla webshells, the NGLite backdoor and KdcSponge, a credential stealer.
Forwarded from S.E.Reborn
Dark Web Queries для #Shodan
В данном видео, описаны методы и инструменты, благодаря которым мы можем найти луковые сервера с помощью Shodan.
https://youtu.be/IOblaXyY2U0
#OSINT
В данном видео, описаны методы и инструменты, благодаря которым мы можем найти луковые сервера с помощью Shodan.
https://youtu.be/IOblaXyY2U0
#OSINT
YouTube
Shodan Dark Web Queries for OSINT Investigations
Three searching techniques for locating servers on Shodan that are hosting .onion website on the Dark Web.
𝐓𝐨𝐨𝐥𝐬 𝐮𝐬𝐞𝐝 𝐢𝐧 𝐭𝐡𝐞 𝐯𝐢𝐝𝐞𝐨
http://explorerzydxu5ecjrkwceayqybizmpjjznk5izmitf2modhcusuqlid.onion/
https://www.shodan.io/
https://faviconhash.com/
𝐌𝐨𝐫𝐞…
𝐓𝐨𝐨𝐥𝐬 𝐮𝐬𝐞𝐝 𝐢𝐧 𝐭𝐡𝐞 𝐯𝐢𝐝𝐞𝐨
http://explorerzydxu5ecjrkwceayqybizmpjjznk5izmitf2modhcusuqlid.onion/
https://www.shodan.io/
https://faviconhash.com/
𝐌𝐨𝐫𝐞…
Microsoft выпустили традиционный PatchTuesday, исправив 6 критических 0-day уязвимостей и еще 49 важных, в общей сложности исправлено 55: в том числе 20 уязвимостей, связанных с повышением привилегий, 2 - с обходом функций безопасности, 15 - с удаленным выполнением кода, 10 - с раскрытием информации, 3 - с отказом в обслуживании, 4 - со спуфингом.
Текущий Patch закрывает 2 активно эксплуатирующиеся в дикой природе уязвимости: CVE-2021-42292 (связанная с обходом функций безопасности Microsoft Excel) и CVE-2021-42321 (связанная с удаленным выполнением кода в Microsoft Exchange Server).
Примечательно, что ошибку удаленного выполнения кода с проверкой подлинности в Microsoft Exchange обнаружили участники хакерского конкурса Tianfu Cup, о котором мы писали в прошлом месяце.
Разработчики не раскрывают подробностей известных им инцидентов, однако заверяют, что атаки носили ограниченный характер и связаны с ошибками после аутентификации в Exchange 2016 и 2019, затрагивая локальный Microsoft Exchange Server, включая также и серверы, используемые клиентами в гибридном режиме Exchange. Но прекрасно помним претензии США и их союзников, включая ЕС, Великобританию и НАТО, в адрес китайских властей относительно широкомасштабной хакерской кампании на Microsoft Exchange.
Второй 0-day был замечен в популярном инструменте повышения производительности Microsoft Excel и описан как уязвимость обхода функций, которая позволяет выполнять код с помощью специально созданных электронных таблиц. Дыра была обнаружена собственным Центром аналитики угроз и активно использовалась в злонамеренных атаках, но компания не предоставила никаких дополнительных сведений.
Ноябрьский патч также содержит исправление для CVE-2021-3711, критического недостатка переполнения буфера в функции дешифрования SM2 OpenSSL, который обнаружился в конце августа 2021 года и может быть использован злоумышленниками для запуска произвольного кода и отказа в доступе. состояние обслуживания (DoS).
Другие важные исправления включают исправления нескольких ошибок в Chakra Scripting Engine (CVE-2021-42279), Microsoft Defender (CVE-2021-42298), Microsoft Virtual Machine Bus (CVE-2021-26443), RDP (CVE-2021-38631 и CVE-2021-41371), средствах 3D-просмотра (CVE-2021-43208 и CVE-2021-43209).
Обновления Microsoft Patch Tuesday включают и исправления серьезных недостатков, затрагивающих Azure, Microsoft Edge, Visual Studio и других компонентов Windows.
Кроме того, в Patch Tuesday также включены исправления от Adobe, исправляющие как минимум 4 недостатка в безопасности продукта, в том числе устранен самый серьезный недостаток CVE-2021-39858 в RoboHelp Server (RHS2020.0.1 и более ранние версии под Windows) и получил оценку «критический», поскольку подвергает корпоративную среду атакам с выполнением произвольного кода.
Полный перечень устраненных уязвимостей и выпущенных рекомендаций по отдельным проблемам безопасности за ноябрь 2021 года представлен здесь.
Обновления безопасности для Mac пока еще не выпущены, даже несмотря на то, что уязвимость Excel затрагивает Microsoft Office для macOS.
Рекомендуем владельцам Windows без промедления установить все доступные обновления, а пользователям macOS уповать на удачу и терпение.
Текущий Patch закрывает 2 активно эксплуатирующиеся в дикой природе уязвимости: CVE-2021-42292 (связанная с обходом функций безопасности Microsoft Excel) и CVE-2021-42321 (связанная с удаленным выполнением кода в Microsoft Exchange Server).
Примечательно, что ошибку удаленного выполнения кода с проверкой подлинности в Microsoft Exchange обнаружили участники хакерского конкурса Tianfu Cup, о котором мы писали в прошлом месяце.
Разработчики не раскрывают подробностей известных им инцидентов, однако заверяют, что атаки носили ограниченный характер и связаны с ошибками после аутентификации в Exchange 2016 и 2019, затрагивая локальный Microsoft Exchange Server, включая также и серверы, используемые клиентами в гибридном режиме Exchange. Но прекрасно помним претензии США и их союзников, включая ЕС, Великобританию и НАТО, в адрес китайских властей относительно широкомасштабной хакерской кампании на Microsoft Exchange.
Второй 0-day был замечен в популярном инструменте повышения производительности Microsoft Excel и описан как уязвимость обхода функций, которая позволяет выполнять код с помощью специально созданных электронных таблиц. Дыра была обнаружена собственным Центром аналитики угроз и активно использовалась в злонамеренных атаках, но компания не предоставила никаких дополнительных сведений.
Ноябрьский патч также содержит исправление для CVE-2021-3711, критического недостатка переполнения буфера в функции дешифрования SM2 OpenSSL, который обнаружился в конце августа 2021 года и может быть использован злоумышленниками для запуска произвольного кода и отказа в доступе. состояние обслуживания (DoS).
Другие важные исправления включают исправления нескольких ошибок в Chakra Scripting Engine (CVE-2021-42279), Microsoft Defender (CVE-2021-42298), Microsoft Virtual Machine Bus (CVE-2021-26443), RDP (CVE-2021-38631 и CVE-2021-41371), средствах 3D-просмотра (CVE-2021-43208 и CVE-2021-43209).
Обновления Microsoft Patch Tuesday включают и исправления серьезных недостатков, затрагивающих Azure, Microsoft Edge, Visual Studio и других компонентов Windows.
Кроме того, в Patch Tuesday также включены исправления от Adobe, исправляющие как минимум 4 недостатка в безопасности продукта, в том числе устранен самый серьезный недостаток CVE-2021-39858 в RoboHelp Server (RHS2020.0.1 и более ранние версии под Windows) и получил оценку «критический», поскольку подвергает корпоративную среду атакам с выполнением произвольного кода.
Полный перечень устраненных уязвимостей и выпущенных рекомендаций по отдельным проблемам безопасности за ноябрь 2021 года представлен здесь.
Обновления безопасности для Mac пока еще не выпущены, даже несмотря на то, что уязвимость Excel затрагивает Microsoft Office для macOS.
Рекомендуем владельцам Windows без промедления установить все доступные обновления, а пользователям macOS уповать на удачу и терпение.
TECHCOMMUNITY.MICROSOFT.COM
Released: November 2021 Exchange Server Security Updates | Microsoft Community Hub
We are releasing a set of security updates for Exchange Server 2013, 2016 and 2019.
SAP объявила об исправлении критических уязвимостей в своих программных продуктах, а также в свет вышли 5 новых и 2 обновленных примечания по безопасности.
Наиболее серьезная угроза безопасности была связана с эксплуатацией уязвимости CVE-2021-40501 (оценка CVSS 9,6), где отсутствовала проверка авторизации в ядре платформы ABAP.
Таким образом, аутентифицированный бизнес-пользователь мог использовать уязвимость для повышения своих привилегий, что позволило бы ему читать, изменять, а также ограничивать данные, так как уязвимость затрагивает доверенные соединения с другими системами через RFC и HTTP.
Также производитель программного обеспечения устранил проблему отсутствия авторизации в SAP Commerce, которая позволяла аутентифицированному пользователю повысить привилегии. Ошибка CVE-2021-40502 (CVSS 8,3) затрагивает все установки, использующие Commerce Organization.
Кроме того, SAP выпустила обновленные примечания по безопасности, касающиеся жестко закодированных учетных данных в CA Introscope Enterprise Manager, а также известных уязвимостей, связанных с отказом в обслуживании (DoS) в зависимостях с открытым исходным кодом, используемых функцией прогнозирования и пополнения для розничной торговли (FRP или F&R).
Ряд примечаний касается угрозы раскрытия информации в графическом интерфейсе пользователя для Windows, отсутствия проверок авторизации в ERP HCM и ERP Financial Accounting, а также использования разрешений на сервере приложений NetWeaver для ABAP и ABAP Platform.
Наиболее серьезная угроза безопасности была связана с эксплуатацией уязвимости CVE-2021-40501 (оценка CVSS 9,6), где отсутствовала проверка авторизации в ядре платформы ABAP.
Таким образом, аутентифицированный бизнес-пользователь мог использовать уязвимость для повышения своих привилегий, что позволило бы ему читать, изменять, а также ограничивать данные, так как уязвимость затрагивает доверенные соединения с другими системами через RFC и HTTP.
Также производитель программного обеспечения устранил проблему отсутствия авторизации в SAP Commerce, которая позволяла аутентифицированному пользователю повысить привилегии. Ошибка CVE-2021-40502 (CVSS 8,3) затрагивает все установки, использующие Commerce Organization.
Кроме того, SAP выпустила обновленные примечания по безопасности, касающиеся жестко закодированных учетных данных в CA Introscope Enterprise Manager, а также известных уязвимостей, связанных с отказом в обслуживании (DoS) в зависимостях с открытым исходным кодом, используемых функцией прогнозирования и пополнения для розничной торговли (FRP или F&R).
Ряд примечаний касается угрозы раскрытия информации в графическом интерфейсе пользователя для Windows, отсутствия проверок авторизации в ERP HCM и ERP Financial Accounting, а также использования разрешений на сервере приложений NetWeaver для ABAP и ABAP Platform.
Домен REvil снова в сети. На сайте опубликована форма авторизации с сообщением о том, что «они не такие уж профи, какими себя считают», «у нас есть навыки и опыт».
Заключительным выражением неизвестный автор послания предлагает посетившему ресурс выбрать: «быть со спецами или с проигравшими».
CSS и PNG сайта указывают на то, что это дефейс, по всей видимости, провозглашающий победу спецслужб над хакерами.
Заключительным выражением неизвестный автор послания предлагает посетившему ресурс выбрать: «быть со спецами или с проигравшими».
CSS и PNG сайта указывают на то, что это дефейс, по всей видимости, провозглашающий победу спецслужб над хакерами.
Twitter
vx-underground
REvil domain is back online with a message. "They are not the masters they think they are" "We have the skills and experience" "Do you want to be with the most qualified or losers?" *site CSS and PNG indicates this is a defacement Information courtesy of…
Опубликована последняя часть масштабного исследования Project Memoria, над которым потрудились специалисты Forescout совместно с Medigate, специализирующейся на безопасности устройств в сфере медицины. Проект длился 18 месяцев и привел к обнаружению 78 уязвимостей в 14 стеках TCP/IP, представленных в исследованиях: AMNESIA:33, NUMBER:JACK, NAME:WREC и INFRA:HALT.
Раскрытый набор из 13 уязвимостей в операционной системе Nucleus (RTOS), разработанной Siemens, получил наименование NUCLEUS:13 и затрагивает стек Nucleus TCP/IP, позволяя злоумышленникам получать возможность удаленного выполнения кода на уязвимых устройствах, вызова отказа в обслуживании или получения информации, которая может привести к разрушительным последствиям. Все дело в том, что ОС используется в устройствах, используемых в медицине, промышленности, автомобилестроении и авиакосмической отрасли.
Выявленные 13 уязвимостей получили среднюю и высокую степень серьезности, одна из которых CVE-2021-31886 - критическая и затрагивает компонент FTP-сервера, позволяя злоумышленникам получить контроль над уязвимым устройством. Проблема связана с неправильной проверкой FTP-сервером длины команды «USER». Это приводит к переполнению буфера на основе стека, что может привести к DoS и удаленному выполнению кода (RCE).
Две другие уязвимости с высокой степенью серьезности (CVE-2021-31887 и CVE-2021-31888) имеют потенциальное влияние на RCE, и обе влияют на компоненты FTP-сервера.
Nucleus RTOS развернут на более чем 3 миллиардах устройств в сфере здравоохранения и других критических системах. При этом по данным Forescout, более 5000 устройств в реальном времени используют уязвимую версию Nucleus RTOS.
Исследователи продемонстрировали два практических сценария атак NUCLEUS:13. Один был нацелен на автоматизацию здания больницы, чтобы вывести из строя контроллер, который автоматически включал вентилятор и свет, когда кто-то входил в палату пациента.
Во втором случае целью был датчик, который определял приближение поезда к станции и контролировал его стоянку. Используя любую из ошибок в пакете NUCLEUS:13, вызывающую DoS на контроллере, злоумышленник мог заставить поезд проехать мимо станции и потенциально столкнуться с другим поездом или объектом на пути.
Компания Siemens оперативно выпустила обновления, которые исправляют NUCLEUS:13 в Nucleus ReadyStart версий 3 (обновление до v2017.02.4 или новее) и 4 (обновление до v4.1.1 или более поздней версии), а CISA и Forescout выкатили целую систему общих мер по снижению риска возможных атак, главной из которых обозначили инструмент индикации угроз, что достаточно актуально для организаций, в которых установка исправлений в настоящий момент невозможна из-за критического характера затронутых устройств.
Для наглядности Forescout отсняли даже видео с демонстрацией разрушительных возможностей NUCLEUS:13 👇
Раскрытый набор из 13 уязвимостей в операционной системе Nucleus (RTOS), разработанной Siemens, получил наименование NUCLEUS:13 и затрагивает стек Nucleus TCP/IP, позволяя злоумышленникам получать возможность удаленного выполнения кода на уязвимых устройствах, вызова отказа в обслуживании или получения информации, которая может привести к разрушительным последствиям. Все дело в том, что ОС используется в устройствах, используемых в медицине, промышленности, автомобилестроении и авиакосмической отрасли.
Выявленные 13 уязвимостей получили среднюю и высокую степень серьезности, одна из которых CVE-2021-31886 - критическая и затрагивает компонент FTP-сервера, позволяя злоумышленникам получить контроль над уязвимым устройством. Проблема связана с неправильной проверкой FTP-сервером длины команды «USER». Это приводит к переполнению буфера на основе стека, что может привести к DoS и удаленному выполнению кода (RCE).
Две другие уязвимости с высокой степенью серьезности (CVE-2021-31887 и CVE-2021-31888) имеют потенциальное влияние на RCE, и обе влияют на компоненты FTP-сервера.
Nucleus RTOS развернут на более чем 3 миллиардах устройств в сфере здравоохранения и других критических системах. При этом по данным Forescout, более 5000 устройств в реальном времени используют уязвимую версию Nucleus RTOS.
Исследователи продемонстрировали два практических сценария атак NUCLEUS:13. Один был нацелен на автоматизацию здания больницы, чтобы вывести из строя контроллер, который автоматически включал вентилятор и свет, когда кто-то входил в палату пациента.
Во втором случае целью был датчик, который определял приближение поезда к станции и контролировал его стоянку. Используя любую из ошибок в пакете NUCLEUS:13, вызывающую DoS на контроллере, злоумышленник мог заставить поезд проехать мимо станции и потенциально столкнуться с другим поездом или объектом на пути.
Компания Siemens оперативно выпустила обновления, которые исправляют NUCLEUS:13 в Nucleus ReadyStart версий 3 (обновление до v2017.02.4 или новее) и 4 (обновление до v4.1.1 или более поздней версии), а CISA и Forescout выкатили целую систему общих мер по снижению риска возможных атак, главной из которых обозначили инструмент индикации угроз, что достаточно актуально для организаций, в которых установка исправлений в настоящий момент невозможна из-за критического характера затронутых устройств.
Для наглядности Forescout отсняли даже видео с демонстрацией разрушительных возможностей NUCLEUS:13 👇
YouTube
NUCLEUS:13 - Dissecting the Nucleus TCP/IP stack
In the fifth study of Project Memoria – NUCLEUS:13 – Forescout Research Labs and Medigate identified a set of 13 new vulnerabilities affecting the Nucleus TCP/IP stack.
Nucleus is currently owned by Siemens. Its original release was in 1993 and, since then…
Nucleus is currently owned by Siemens. Its original release was in 1993 and, since then…
Абстрагируясь от NUCLEUS:13, отметим, что промышленный гигант Siemens выпустил исправления и рекомендации в целом для 36 уязвимостей для широкой линейки своих продуктов.
Не обошел производтель стороной критические и серьезные недостатки в SIMATIC, позволяющие локальному злоумышленнику использовать их для повышения привилегий, а также для чтения, записи или удаления файлов.
Аналогичные проблемы также были выявлены в точках прямого доступа на базе контроллера SCALANCE W1750D, которые представляют собой устройства с фирменной маркировкой от Aruba. Бреши в безопасности могут быть использованы в некоторых случаях без аутентификации - для удаленного выполнения кода, чтения файлов или вызова DoS.
Кроме того, рекомендации Siemens касаются серьезных недостатков в Siveillance Video DLNA Server (обход пути), SENTRON powermanager V3 (выполнение локального кода и повышение привилегий), NX (выполнение кода), а также в продуктах PSS, SICAM и SIMATIC (DoS). Проблемы средней степени серьезности решены в Climatix POL909 (раскрытие информации), SIMATIC RTLS Locating Manager (DoS и раскрытие информации), Mendix (раскрытие информации и манипулирование содержимым) и NX (выполнение кода).
Не отстает и Schneider Electric, устранивший в общей сложности 17 уязвимостей, затрагивающих такие продукты, как SCADAPack 300E, Schneider Electric Software Update (SESU), карты сетевого управления (NMC), EcoStruxure Process Expert, TelevisAir Dongle BTLE, Eurotherm GUIcon и др. Отдельные рекомендации даны относительно уязвимостей PrintNightmare и BadAlloc.
Внимания заслуживают две ошибки с высокой степенью серьезности и одна ошибка со средней степенью серьезности в инструменте настройки GUIcon для продуктов PenGUIn HMI. Их успешная эксплуатация может привести к DoS-атакам, выполнению кода и раскрытию информации, но исправления выпускаться не будут, поскольку продукты больше не поддерживаются. Также в линейке RTU серии SCADAPack 300E исправлена DoS-уязвимость высокой степени серьезности.
Кроме того, Schneider также посоветовал организациям, использующим TelevisAir BTLE, заменить свои устройства из-за уязвимости Bluetooth, которая дает возможность находящемуся поблизости злоумышленнику перехватывать сообщения.
Такой сегодня богатый на Zero day.
Не обошел производтель стороной критические и серьезные недостатки в SIMATIC, позволяющие локальному злоумышленнику использовать их для повышения привилегий, а также для чтения, записи или удаления файлов.
Аналогичные проблемы также были выявлены в точках прямого доступа на базе контроллера SCALANCE W1750D, которые представляют собой устройства с фирменной маркировкой от Aruba. Бреши в безопасности могут быть использованы в некоторых случаях без аутентификации - для удаленного выполнения кода, чтения файлов или вызова DoS.
Кроме того, рекомендации Siemens касаются серьезных недостатков в Siveillance Video DLNA Server (обход пути), SENTRON powermanager V3 (выполнение локального кода и повышение привилегий), NX (выполнение кода), а также в продуктах PSS, SICAM и SIMATIC (DoS). Проблемы средней степени серьезности решены в Climatix POL909 (раскрытие информации), SIMATIC RTLS Locating Manager (DoS и раскрытие информации), Mendix (раскрытие информации и манипулирование содержимым) и NX (выполнение кода).
Не отстает и Schneider Electric, устранивший в общей сложности 17 уязвимостей, затрагивающих такие продукты, как SCADAPack 300E, Schneider Electric Software Update (SESU), карты сетевого управления (NMC), EcoStruxure Process Expert, TelevisAir Dongle BTLE, Eurotherm GUIcon и др. Отдельные рекомендации даны относительно уязвимостей PrintNightmare и BadAlloc.
Внимания заслуживают две ошибки с высокой степенью серьезности и одна ошибка со средней степенью серьезности в инструменте настройки GUIcon для продуктов PenGUIn HMI. Их успешная эксплуатация может привести к DoS-атакам, выполнению кода и раскрытию информации, но исправления выпускаться не будут, поскольку продукты больше не поддерживаются. Также в линейке RTU серии SCADAPack 300E исправлена DoS-уязвимость высокой степени серьезности.
Кроме того, Schneider также посоветовал организациям, использующим TelevisAir BTLE, заменить свои устройства из-за уязвимости Bluetooth, которая дает возможность находящемуся поблизости злоумышленнику перехватывать сообщения.
Такой сегодня богатый на Zero day.
Siemens
Siemens ProductCERT and Siemens CERT
The central expert teams for immediate response to security threats and issues affecting Siemens products, solutions, services, or infrastructure.
Исследователь и директор компании Certitude Consulting Вольфганг Эттлингер раскрыл коды подтверждения концепции (PoC) для атаки Trojan Source, которую не так давно анонсировали исследователи Кембриджского университета, о чем мы сообщали ранее.
Исследователь пролил свет на то, как невидимые символы могут быть имплементированы в JavaScript для внедрения уязвимостей в исходный код таким образом, чтобы скрыть бэкдор в программном обеспечении.
В одном случае он использовал необязательный параметр HTTP timeout, спрятав бэкдор в строках, где находится Hangul Filler, который будучи "буквой" Unicode можно тривиально использовать в качестве имени переменной JavaScript. Это возможно, поскольку, как казалось, параметр тайм-аута был единственным параметром, распаковываемым из атрибута req.query, но на самом деле также извлекается дополнительная переменная, обозначаемая невидимым символом.
Все это означает, что если созданный по такой схеме код JavaScript будет размещен на веб-сервере, злоумышленник может получить доступ к параметру GET, представляющему невидимую переменную в ее закодированной URL-адресом форме, для выполнения произвольного кода.
Еще один интересный пример PoC, который приводит Эттлингер - это условное выражение, в котором используются гомоглифы. Например, символ «ǃ» - это не восклицательный знак, а символ Unicode, известный как Alveolar click.
Атака требует, чтобы IDE/текстовый редактор (и используемый шрифт) правильно отображали невидимые символы.
Исследователь упоминает, что по крайней мере, Notepad ++ и VS Code отображают его правильно (в VS Code невидимый символ немного шире, чем символы ASCII). Некоторые IDE, похоже, явно выделяют эти невидимые символы, в том числе JetBrains WebStorm и PhpStorm, что затрудняет выполнение атаки.
Однако, как бы ни хотелось, не все текстовые редакторы могут выделять невидимые символы, что приводит к известным уже инцидентам.
Так, в прошлом месяце была взломана популярная библиотека Node.js ua-parser-js и злоумышленники внедряли код в выпуски npm для установки криптомайнеров и кражи паролей, а буквально на прошлой неделе вредоносные выпуски затронули coa и rc, повлияв на конвейеры React по всему миру. Точно так же в апреле этого года исследователями из Университета Миннесоты вносили уязвимости в ядра Linux в ходе своего не совсем удачного эксперимента.
Кембриджская команда предлагает ограничить символы Bidi Unicode в качестве решения для Trojan Source, запретив использование любых символов, отличных от ASCII.
А, как нам кажется, голос ученных будет реально услышан лишь после того, как научная мысль будет подкреплена практической составляющей. Так, что следующий шаг, вероятно, за хакерами.
Исследователь пролил свет на то, как невидимые символы могут быть имплементированы в JavaScript для внедрения уязвимостей в исходный код таким образом, чтобы скрыть бэкдор в программном обеспечении.
В одном случае он использовал необязательный параметр HTTP timeout, спрятав бэкдор в строках, где находится Hangul Filler, который будучи "буквой" Unicode можно тривиально использовать в качестве имени переменной JavaScript. Это возможно, поскольку, как казалось, параметр тайм-аута был единственным параметром, распаковываемым из атрибута req.query, но на самом деле также извлекается дополнительная переменная, обозначаемая невидимым символом.
Все это означает, что если созданный по такой схеме код JavaScript будет размещен на веб-сервере, злоумышленник может получить доступ к параметру GET, представляющему невидимую переменную в ее закодированной URL-адресом форме, для выполнения произвольного кода.
Еще один интересный пример PoC, который приводит Эттлингер - это условное выражение, в котором используются гомоглифы. Например, символ «ǃ» - это не восклицательный знак, а символ Unicode, известный как Alveolar click.
Атака требует, чтобы IDE/текстовый редактор (и используемый шрифт) правильно отображали невидимые символы.
Исследователь упоминает, что по крайней мере, Notepad ++ и VS Code отображают его правильно (в VS Code невидимый символ немного шире, чем символы ASCII). Некоторые IDE, похоже, явно выделяют эти невидимые символы, в том числе JetBrains WebStorm и PhpStorm, что затрудняет выполнение атаки.
Однако, как бы ни хотелось, не все текстовые редакторы могут выделять невидимые символы, что приводит к известным уже инцидентам.
Так, в прошлом месяце была взломана популярная библиотека Node.js ua-parser-js и злоумышленники внедряли код в выпуски npm для установки криптомайнеров и кражи паролей, а буквально на прошлой неделе вредоносные выпуски затронули coa и rc, повлияв на конвейеры React по всему миру. Точно так же в апреле этого года исследователями из Университета Миннесоты вносили уязвимости в ядра Linux в ходе своего не совсем удачного эксперимента.
Кембриджская команда предлагает ограничить символы Bidi Unicode в качестве решения для Trojan Source, запретив использование любых символов, отличных от ASCII.
А, как нам кажется, голос ученных будет реально услышан лишь после того, как научная мысль будет подкреплена практической составляющей. Так, что следующий шаг, вероятно, за хакерами.
Telegram
SecAtor
Ученые из Кембриджского университета в Соединенном Королевстве раскрыли обнаруженный еще 25 июля вектор атаки Trojan Source, позволяющий внедрять уязвимости в исходный код программного обеспечения таким образом, чтобы рецензенты не могли их обнаружить, что…
Trend Micro разоблачили хакерскую группу Void Balaur, которая с 2014 года предоставляла в даркнете услуги пробива и взлома, зарекомендовав себя авторитетами мира киберпреступности.
Целями хакеров был широкий пул юзеров: сотрудники телекома, общественные активисты, политики, журналисты и религиозные деятели. Среди других целей атак Void Balaur были: операторы связи, диллеры мобильного оборудования, дистрибьюторы банкоматов, торговые точки (POS), финтехкомпании, банки, авиакомпании, страховые организации, медцентры, лаборатории ДНК и др.
Спектр услуг включал возможности взлома аккаунтов соцсетей, электронной почты (причем по некоторым российским почтовым клиентам продавались зеркала или архивы переписки).
Начиная с 2019 года группа добавила в арсенал возможности продажи персданных, включая данные паспортов, водительских прав, личных телефонных разговоров и пр.
Отдельным направлением бизнеса Void Balaur стал мобильный пробив с возможностью реализации: записей телефонных разговоров, биллинга (в том числе и с указанием базовых станций), услуг блокировки телефонных номеров, установления принадлежности номеров и др.
Trend Micro сообщили о обнаружении списка из 3500 адресов электронной почты, ставших жертвами хакеров за последние несколько лет в ходе целевых атак.
Хакерам приписывают резонансную серию нападений на журналистов и правозащитников в Узбекистане в 2016 и 2017 годах (и продолжаются до сих пор в рамках долгосрочной кампании). После чего атаки на политические цели усилились: в 2020 году хакеры нацелились на кандидатов в президенты на выборах 2020 года в Беларуси.
В августе 2021 года группа также работала по политикам и чиновникам Украины, Словакии, России, Казахстана, Армении, Норвегии, Франции и Италии. А в сентябре 2021 года группа также попыталась получить доступ к электронной почте бывшего главы разведывательного агентства, пяти действующих министров правительства (включая министра обороны) и двух членов национального парламента неназванной восточноевропейской страны.
Исследователи заявили, что помимо политических заказов Void Balaur принимали и частные. Хакеры отрабатывали членов совета директоров, руководителей и директоров одного из крупнейших конгломератов в России, а также российского миллиардера и членов его семьи.
На вооружении хакеров состояло разнообразное вредоносное ПО для кражи информации, связанное с их инфраструктурой. С 2018 года Void Balaur вела администрирование нескольких фишинговых сайтов под пользователей крипты.
Работу хакеры вели в соответствии со строгим графиком работы. Начинали рабочий день около 6 часов утра по Гринвичу и работали примерно до 19 часов. В выходные дни хакеры, как положено, отдыхали, длительные отпуска не брали.
Как обычно, одним из главных лейтмотивов расследования Trend Micro стали обвинения в адрес российской ГРУ в причастности к деятельности Void Balaur, цели которой, по мнению спецов, коррелируются с орудовавшей в период с 2014 по 2015 год Pawn Storm. В качестве пруфов обозначили дюжину целевых адресов. Что примечательно, хакеры совершили эти нападения еще до того, как начали размещать объявления на подпольных форумах.
Однако при более детальном изучении выяснилось, что некоторые из этих атак могут быть связаны с инфраструктурой RocketHackMe, рекламирующей услуги взлома на заказ, ссылки на которую размещались с 2017 года практически на всех русскоязычных хакерских форумах: Probiv, Tenec и Darkmoney.
Несмотря на столь подробный отчет, мы полагаем на многие вопросы расследователям еще предстоит ответить, однако Void Balaur представляет собой уникальный пример организации бизнеса киберуслуг через хакерский андеграунд.
Целями хакеров был широкий пул юзеров: сотрудники телекома, общественные активисты, политики, журналисты и религиозные деятели. Среди других целей атак Void Balaur были: операторы связи, диллеры мобильного оборудования, дистрибьюторы банкоматов, торговые точки (POS), финтехкомпании, банки, авиакомпании, страховые организации, медцентры, лаборатории ДНК и др.
Спектр услуг включал возможности взлома аккаунтов соцсетей, электронной почты (причем по некоторым российским почтовым клиентам продавались зеркала или архивы переписки).
Начиная с 2019 года группа добавила в арсенал возможности продажи персданных, включая данные паспортов, водительских прав, личных телефонных разговоров и пр.
Отдельным направлением бизнеса Void Balaur стал мобильный пробив с возможностью реализации: записей телефонных разговоров, биллинга (в том числе и с указанием базовых станций), услуг блокировки телефонных номеров, установления принадлежности номеров и др.
Trend Micro сообщили о обнаружении списка из 3500 адресов электронной почты, ставших жертвами хакеров за последние несколько лет в ходе целевых атак.
Хакерам приписывают резонансную серию нападений на журналистов и правозащитников в Узбекистане в 2016 и 2017 годах (и продолжаются до сих пор в рамках долгосрочной кампании). После чего атаки на политические цели усилились: в 2020 году хакеры нацелились на кандидатов в президенты на выборах 2020 года в Беларуси.
В августе 2021 года группа также работала по политикам и чиновникам Украины, Словакии, России, Казахстана, Армении, Норвегии, Франции и Италии. А в сентябре 2021 года группа также попыталась получить доступ к электронной почте бывшего главы разведывательного агентства, пяти действующих министров правительства (включая министра обороны) и двух членов национального парламента неназванной восточноевропейской страны.
Исследователи заявили, что помимо политических заказов Void Balaur принимали и частные. Хакеры отрабатывали членов совета директоров, руководителей и директоров одного из крупнейших конгломератов в России, а также российского миллиардера и членов его семьи.
На вооружении хакеров состояло разнообразное вредоносное ПО для кражи информации, связанное с их инфраструктурой. С 2018 года Void Balaur вела администрирование нескольких фишинговых сайтов под пользователей крипты.
Работу хакеры вели в соответствии со строгим графиком работы. Начинали рабочий день около 6 часов утра по Гринвичу и работали примерно до 19 часов. В выходные дни хакеры, как положено, отдыхали, длительные отпуска не брали.
Как обычно, одним из главных лейтмотивов расследования Trend Micro стали обвинения в адрес российской ГРУ в причастности к деятельности Void Balaur, цели которой, по мнению спецов, коррелируются с орудовавшей в период с 2014 по 2015 год Pawn Storm. В качестве пруфов обозначили дюжину целевых адресов. Что примечательно, хакеры совершили эти нападения еще до того, как начали размещать объявления на подпольных форумах.
Однако при более детальном изучении выяснилось, что некоторые из этих атак могут быть связаны с инфраструктурой RocketHackMe, рекламирующей услуги взлома на заказ, ссылки на которую размещались с 2017 года практически на всех русскоязычных хакерских форумах: Probiv, Tenec и Darkmoney.
Несмотря на столь подробный отчет, мы полагаем на многие вопросы расследователям еще предстоит ответить, однако Void Balaur представляет собой уникальный пример организации бизнеса киберуслуг через хакерский андеграунд.
Trendmicro
The Far-Reaching Attacks of the Void Balaur Cybermercenary Group
Our research paper takes a close look at the cybermercenary group Void Balaur's services, activities, and targets.