Как мы уже отмечали совсем недавно, атаки на цепочки поставок становятся все больше востребованы со стороны АРТ.
Свои опасения относительно иранских хакерских групп высказали Microsoft Threat Intelligence Center (MSTIC) и Microsoft Digital Security Unit (DSU), поводом стала серия дерзких кибератак на компании в Индии и Израиле, которые реализуют ПО для управления бизнесом и интеграции миллионам глобальных организаций, подобно SolarWinds, для компрометации последующих клиентов.
Microsoft зафиксировали значительный рост числа таких атак: отправлено 1788 уведомлений в адрес около в 40 IT-компаний (80% всех уведомлений), попавших под иранский таргетинг. Для сравнения в 2020 году их было всего 48. В сферу заинтересованности хакеров попали организации в сфере обороны, энергетики и юстиции.
Все это логично, ведь Индия и другие страны становятся крупными центрами IT-услуг, что сделало их весьма привлекательными целями для прогосударственных АРТ, нацеленных на их клиентов из государственного и частного секторов по всему миру, активность фиксируется начиная с середины августа 2021 года.
В качестве одного из доводов Microsoft приводит инцидент, произошедший в июле 2021 года, когда специалистам удалось обнаружить иранскую АРТ DEV-0228, скомпрометировавшую израильскую софтверную компанию-поставщика ПО для бизнеса. Закрепившись, хакеры предприняли ряд атак на ее клиентов в оборонном, энергетическом и юридическом секторах Израиля.
В другом случае несколько месяцев спустя АРТ DEV-0056 взломала учетные записи электронной почты бахрейнского интегратора, занимавшегося господрядами.
Аналогичная участь постигла госкомпанию на Ближнем Востоке, которая предоставляет информационные и коммуникационные технологии для оборонного и транспортного секторов. DEV-0056 сохранял активность до октября.
Что сказать? Иранцы, определено в тренде.
Свои опасения относительно иранских хакерских групп высказали Microsoft Threat Intelligence Center (MSTIC) и Microsoft Digital Security Unit (DSU), поводом стала серия дерзких кибератак на компании в Индии и Израиле, которые реализуют ПО для управления бизнесом и интеграции миллионам глобальных организаций, подобно SolarWinds, для компрометации последующих клиентов.
Microsoft зафиксировали значительный рост числа таких атак: отправлено 1788 уведомлений в адрес около в 40 IT-компаний (80% всех уведомлений), попавших под иранский таргетинг. Для сравнения в 2020 году их было всего 48. В сферу заинтересованности хакеров попали организации в сфере обороны, энергетики и юстиции.
Все это логично, ведь Индия и другие страны становятся крупными центрами IT-услуг, что сделало их весьма привлекательными целями для прогосударственных АРТ, нацеленных на их клиентов из государственного и частного секторов по всему миру, активность фиксируется начиная с середины августа 2021 года.
В качестве одного из доводов Microsoft приводит инцидент, произошедший в июле 2021 года, когда специалистам удалось обнаружить иранскую АРТ DEV-0228, скомпрометировавшую израильскую софтверную компанию-поставщика ПО для бизнеса. Закрепившись, хакеры предприняли ряд атак на ее клиентов в оборонном, энергетическом и юридическом секторах Израиля.
В другом случае несколько месяцев спустя АРТ DEV-0056 взломала учетные записи электронной почты бахрейнского интегратора, занимавшегося господрядами.
Аналогичная участь постигла госкомпанию на Ближнем Востоке, которая предоставляет информационные и коммуникационные технологии для оборонного и транспортного секторов. DEV-0056 сохранял активность до октября.
Что сказать? Иранцы, определено в тренде.
Microsoft Security Blog
Iranian targeting of IT sector on the rise | Microsoft Security Blog
Microsoft has observed multiple Iranian threat actors targeting the IT services sector in attacks that aim to steal sign-in credentials belonging to downstream customer networks to enable further attacks.
Forwarded from Social Engineering
🎉 3 года Social Engineering.
• https://news.1rj.ru/str/Social_engineering/1
🖖🏻 Приветствую тебя user_name.• Сегодня исполняется 3 года нашему проекту. За это время, я смог собрать десятки тысяч единомышленников и опубликовать сотни статей, основная часть которых, относится к теме канала — Социальной Инженерии. Спасибо всем кто развивается вместе со мной, всем кто читает канал, предоставляет отзывы и указывает на недостатки. Искренне Вам благодарен 🖤
• https://news.1rj.ru/str/Social_engineering/1
Поздравляем уважаемых коллег https://news.1rj.ru/str/Social_engineering и желаем дальнейшего роста!
Telegram
Social Engineering
Делаем уникальные знания доступными.
Вакансии - @infosec_work
Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot
Сотрудничество — @SEAdm1n
РКН: https://vk.cc/cN3VwI
Вакансии - @infosec_work
Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot
Сотрудничество — @SEAdm1n
РКН: https://vk.cc/cN3VwI
Conti взломали и отлеживали в течение месяца. Специалистам швейцарской компании Prodaft удалось определить реальный IP-адрес одного из своих наиболее уязвимых серверов, а затем получить консольный доступ к уязвимой системе.
Речь идет о т.н. платежным портале или сайте восстановления, который используется жертвой и вымогателями для ведения переговоров о выкупе. Ресурс был размещен на украинском хостере ITL LLC с IP 217.12.204.135. Кроме того, исследователям удалось задетектить ОС сервера Conti и его htpasswd, который содержал хешированную версию пароля сервера.
За время контроля Prodaft снифила весь сетевой трафик, фиксируя как подключения жертв и посредников, но и IP-адреса SSH-соединений админов. По заявлениям компании, все IP-адреса принадлежали выходным узлам Tor.
Через несколько часов после выхода отчета Prodaft скомпрометированные ресурсы были отключены вымогателями. При том, что clearweb и Tor домены сайта утечки продолжали светиться онлайн. Такое поведение Conti не осталось незамеченным со стороны многих исследователей, в том числе MalwareHunterTeam, которые характеризовали инфраструктуру вымогателей как, более менее стабильную и профессионально управляемую.
После исправления дыр, Conti запустили пропеченную версию своего ресурса в пятницу вечером, то есть хакерам потребовалось около суток на исправление. Столь печальное событие для вымогателей не осталось без комментариев, раздосадованные злоумышленники обрушились критическим отзывом на действия Prodaft: «Похоже, европейцы также решили отказаться от своих манер и пойти на полную, просто пытаясь взломать наши системы».
Компания Prodaft, конечно же, ответила на заявление хакеров тем, что информация со всеми выводами передана в правоохранительные органы. Безусловно, надо полагать, что Prodaft и не предпринимали бы действия, без согласования своей операции со своими кураторами из национальных или вовсе зарубежных спецслужб.
Это обстоятельство, как мы полагаем, должно сгладить негативные оценки коллег по инфосек цеху, обвинивших швейцарцев фактически в пособничестве Conti, ресурсы которой теперь стали более защищены. В целом же, ситуация указывает на то, что скоро список обезвреженных банд вымогателей совсем скоро может пополниться новым наименованием.
Речь идет о т.н. платежным портале или сайте восстановления, который используется жертвой и вымогателями для ведения переговоров о выкупе. Ресурс был размещен на украинском хостере ITL LLC с IP 217.12.204.135. Кроме того, исследователям удалось задетектить ОС сервера Conti и его htpasswd, который содержал хешированную версию пароля сервера.
За время контроля Prodaft снифила весь сетевой трафик, фиксируя как подключения жертв и посредников, но и IP-адреса SSH-соединений админов. По заявлениям компании, все IP-адреса принадлежали выходным узлам Tor.
Через несколько часов после выхода отчета Prodaft скомпрометированные ресурсы были отключены вымогателями. При том, что clearweb и Tor домены сайта утечки продолжали светиться онлайн. Такое поведение Conti не осталось незамеченным со стороны многих исследователей, в том числе MalwareHunterTeam, которые характеризовали инфраструктуру вымогателей как, более менее стабильную и профессионально управляемую.
После исправления дыр, Conti запустили пропеченную версию своего ресурса в пятницу вечером, то есть хакерам потребовалось около суток на исправление. Столь печальное событие для вымогателей не осталось без комментариев, раздосадованные злоумышленники обрушились критическим отзывом на действия Prodaft: «Похоже, европейцы также решили отказаться от своих манер и пойти на полную, просто пытаясь взломать наши системы».
Компания Prodaft, конечно же, ответила на заявление хакеров тем, что информация со всеми выводами передана в правоохранительные органы. Безусловно, надо полагать, что Prodaft и не предпринимали бы действия, без согласования своей операции со своими кураторами из национальных или вовсе зарубежных спецслужб.
Это обстоятельство, как мы полагаем, должно сгладить негативные оценки коллег по инфосек цеху, обвинивших швейцарцев фактически в пособничестве Conti, ресурсы которой теперь стали более защищены. В целом же, ситуация указывает на то, что скоро список обезвреженных банд вымогателей совсем скоро может пополниться новым наименованием.
PRODAFT
PRODAFT – Cyber Threat Intelligence and Risk Intelligence
Explore advanced cybersecurity solutions, providing proactive defense against emerging threats. Learn more about our tailored intelligence, and cybercrime investigation solutions.
Пацан к успеху шел, не получилось, не фартануло...
Канадский подросток был арестован по обвинению в хищении криптовалюты на сумму около 36,5 миллионов долларов. Схема конечно не новая, да и схемой сложно назвать. Подросток применил SIM Swapping, то есть замену SIM-карты через оператора связи, тем самым успешно преодолел второй фактор и благополучно опустошил криптовалютный портфель американского гражданина.
Об аресте сообщили канадские полицейские из Гамильтона. Операция по разоблачению злоумышленника проводилась совместно с ФБР и специальной группой по борьбе с электронными преступлениями Секретной службы США, которая началась еще в марте 2020 года.
Потерпевший явно был не самый подкованный в инфобезе, когда использовал SIM, как второй фактор, но вероятно далеко не самый простой человек, раз разработкой занялись представители из Секретной службы США.
Можно сказать парень спалился почти случайно, так как полиция выявила, что часть украденной криптовалюты была использована для покупки имени пользователя в игровом комьюнити. Анализ соответствующей транзакции, позволил правоохранителям разоблачить владельца аккаунта с редким username.
Тем, не менее парень прославился и помимо уникальности среди игроманов, завоевал репутацию в средt хакерского анедграунда единолично украв достаточно внушительную сумму крипты.
Канадский подросток был арестован по обвинению в хищении криптовалюты на сумму около 36,5 миллионов долларов. Схема конечно не новая, да и схемой сложно назвать. Подросток применил SIM Swapping, то есть замену SIM-карты через оператора связи, тем самым успешно преодолел второй фактор и благополучно опустошил криптовалютный портфель американского гражданина.
Об аресте сообщили канадские полицейские из Гамильтона. Операция по разоблачению злоумышленника проводилась совместно с ФБР и специальной группой по борьбе с электронными преступлениями Секретной службы США, которая началась еще в марте 2020 года.
Потерпевший явно был не самый подкованный в инфобезе, когда использовал SIM, как второй фактор, но вероятно далеко не самый простой человек, раз разработкой занялись представители из Секретной службы США.
Можно сказать парень спалился почти случайно, так как полиция выявила, что часть украденной криптовалюты была использована для покупки имени пользователя в игровом комьюнити. Анализ соответствующей транзакции, позволил правоохранителям разоблачить владельца аккаунта с редким username.
Тем, не менее парень прославился и помимо уникальности среди игроманов, завоевал репутацию в средt хакерского анедграунда единолично украв достаточно внушительную сумму крипты.
Специалисты JFrog обнаружили 11 вредоносных пакетов Python в репозитории Python Package Index (PyPI), предназначенных для проведения атак на зависимости, потенциально реализуя возможности похищать токены доступа Discord, пароли и творить прочие пакости.
В списке таких пакетов оказались: importantpackage, pptest, ipboards, owlmoon, DiscordSafety, trrfab, 10Cent10, 10Cent11, yandex-yt, yiffparty.
К примеру, пакеты importantpackage, 10Cent10 и 10Cent11 позволили исследователям запилить бэкдор на взломанную машину, выкрасть данные в ходе манипуляций с TLS CDN, используя Fastly CDN, чтобы замаскировать связь с сервером C2 под соединения с pypi.org. Такой HTTPS-запрос на pypi.python.org фактически неотличим от реального, однако позже перенаправляется CDN как HTTP-запрос к серверу C2: psec forward io global prod fastly net, и наоборот, обеспечивая двустороннюю связь.
С помощью пакетов ipboards и trrfab авторы исследования смогли извлекать конфиденциальную информацию с помощью методики путаницы зависимостей, ведь этот метод гарантирует загрузку и установку вредоносного модуля целевым диспетчером пакетов.
Кроме того, пакеты ipboards и pptest содержали баги для кражи данных путем DNS-туннелирования. Причем, это первый случай, когда этот метод был использован вредоносным pac в ПО, загруженном в PyPI.
Наглядное продолжение набирающего популярность типа атак, которые мы совсем недавно разбирали.
В списке таких пакетов оказались: importantpackage, pptest, ipboards, owlmoon, DiscordSafety, trrfab, 10Cent10, 10Cent11, yandex-yt, yiffparty.
К примеру, пакеты importantpackage, 10Cent10 и 10Cent11 позволили исследователям запилить бэкдор на взломанную машину, выкрасть данные в ходе манипуляций с TLS CDN, используя Fastly CDN, чтобы замаскировать связь с сервером C2 под соединения с pypi.org. Такой HTTPS-запрос на pypi.python.org фактически неотличим от реального, однако позже перенаправляется CDN как HTTP-запрос к серверу C2: psec forward io global prod fastly net, и наоборот, обеспечивая двустороннюю связь.
С помощью пакетов ipboards и trrfab авторы исследования смогли извлекать конфиденциальную информацию с помощью методики путаницы зависимостей, ведь этот метод гарантирует загрузку и установку вредоносного модуля целевым диспетчером пакетов.
Кроме того, пакеты ipboards и pptest содержали баги для кражи данных путем DNS-туннелирования. Причем, это первый случай, когда этот метод был использован вредоносным pac в ПО, загруженном в PyPI.
Наглядное продолжение набирающего популярность типа атак, которые мы совсем недавно разбирали.
JFrog
Python Malware Imitates Signed PyPI Traffic in Novel Exfiltration Technique
Software supply chain security threat: automated scanning of Python packages in the PyPI repository uncovered stealthy malware and more. Find out about our latest findings.
Несмотря на все известные трудности, с которыми пришлось столкнуться Group-IB @group_ib в последнее время, компания продолжает расследования, что определенно не может не радовать. В поле зрения экспертов попали новые атаки группировки RedCurl, специализирующейся на кибершпионаже в корпоративном секторе.
Спустя семь месяцев с начала 2021 года RedCurl провели 4 атаки (в общем этой группе атрибутируют 30 нападений за период с 2018 года), две из них были направлены на российскую оптовую компанию.
В целом Group-IB идентифицировала 14 организаций-жертв в разных странах и отраслях. Среди жертв были компании в области строительства, финансов, консалтинга, розничной торговли, страхования и права, расположенные в Великобритании, Германии, Канаде, Норвегии, России и Украине.
За время перерыва, RedCurl переоснастили свой хакерских арсенал. Группа добавила новый инструмент разведки, код которого имеет много общего с модулем FirstStageAgent (Group-IB назвал инструмент FSABIN), а также загрузчик PowerShell для этого инструмента. Цепочка kill chain для «нулевого пациента» (между получением фишингового письма и запуском модуля, ответственного за его выполнение) выросла с трех до пяти этапов.
Перед атакой RedCurl тщательно исследует свою жертву по открытым источникам. Впоследствии конструирует целевые фишинговые письма, якобы исходящие от отдела кадров организации-жертвы. После закрепления на хосте в сети жертвы RedCurl проводит анализ инфраструктуры, собирая имена и версии систем, список сетевых и логических дисков, а также список паролей. При этом информация о зараженном устройстве хранилась в отдельном файле на стороне сервера с корректировкой по часовому поясу Минска (UTC + 3).
Отличительной чертой АРТ являются долгосрочные операции: от заражения «нулевого пациента» до кражи данных могут пройти месяцы. Кроме того, группа не использует популярные постэксплуатационные инструменты, такие как CobaltStrike и Meterpreter, а также традиционные схемы удаленного управления и монетизации (шифрование, вывод денежных средств или получение выкупа).
Вместо этого применяются инструменты собственной разработки и некоторые общедоступные программы для получения начального доступа, достижения устойчивости, горизонтального перемещения и извлечения конфиденциальной документации.
Group-IB отмечают, что хакеры сосредоточены на получении корпоративной информации следующего содержания: деловая электронная почта, служебная переписка, юридические документы, бухгалтерские файлы, судебные записи и другие внутренние сведения. В некоторых случаях жертвы RedCurl даже не догадывается о своей компрометации.
Корпоративный кибершпионаж остается редким и во многом уникальным явлением, которое, по мнению специалистов, перетекает в новую тенденцию в сфере киберпреступности. Мы же настоятельно рекомендуем специалистам ИБ ознакомиться с отчетом Group-IB о деятельности RedCurl, особенно что касается индикаторов взлома.
Спустя семь месяцев с начала 2021 года RedCurl провели 4 атаки (в общем этой группе атрибутируют 30 нападений за период с 2018 года), две из них были направлены на российскую оптовую компанию.
В целом Group-IB идентифицировала 14 организаций-жертв в разных странах и отраслях. Среди жертв были компании в области строительства, финансов, консалтинга, розничной торговли, страхования и права, расположенные в Великобритании, Германии, Канаде, Норвегии, России и Украине.
За время перерыва, RedCurl переоснастили свой хакерских арсенал. Группа добавила новый инструмент разведки, код которого имеет много общего с модулем FirstStageAgent (Group-IB назвал инструмент FSABIN), а также загрузчик PowerShell для этого инструмента. Цепочка kill chain для «нулевого пациента» (между получением фишингового письма и запуском модуля, ответственного за его выполнение) выросла с трех до пяти этапов.
Перед атакой RedCurl тщательно исследует свою жертву по открытым источникам. Впоследствии конструирует целевые фишинговые письма, якобы исходящие от отдела кадров организации-жертвы. После закрепления на хосте в сети жертвы RedCurl проводит анализ инфраструктуры, собирая имена и версии систем, список сетевых и логических дисков, а также список паролей. При этом информация о зараженном устройстве хранилась в отдельном файле на стороне сервера с корректировкой по часовому поясу Минска (UTC + 3).
Отличительной чертой АРТ являются долгосрочные операции: от заражения «нулевого пациента» до кражи данных могут пройти месяцы. Кроме того, группа не использует популярные постэксплуатационные инструменты, такие как CobaltStrike и Meterpreter, а также традиционные схемы удаленного управления и монетизации (шифрование, вывод денежных средств или получение выкупа).
Вместо этого применяются инструменты собственной разработки и некоторые общедоступные программы для получения начального доступа, достижения устойчивости, горизонтального перемещения и извлечения конфиденциальной документации.
Group-IB отмечают, что хакеры сосредоточены на получении корпоративной информации следующего содержания: деловая электронная почта, служебная переписка, юридические документы, бухгалтерские файлы, судебные записи и другие внутренние сведения. В некоторых случаях жертвы RedCurl даже не догадывается о своей компрометации.
Корпоративный кибершпионаж остается редким и во многом уникальным явлением, которое, по мнению специалистов, перетекает в новую тенденцию в сфере киберпреступности. Мы же настоятельно рекомендуем специалистам ИБ ознакомиться с отчетом Group-IB о деятельности RedCurl, особенно что касается индикаторов взлома.
Group-IB
The awakening: Group-IB uncovers new corporate espionage attacks by RedCurl
Group-IB, one of the leading solution providers dedicated to detecting and preventing cyberattacks, identifying online fraud, investigating high-tech crimes, and intellectual property protection, detected new attacks by RedCurl, a corporate cyber espionage…
Поставщик решений для менеджеров паролей Nordpass опубликовал рейтинг 200 самых слабых паролей по итогам 2020 года. Список паролей был составлен при поддержке независимых исследователей, специализирующихся на анализе утечки данных.
Вниманию спецов были представлены 275 699 516 паролей, которые оказались раскрыты при утечках данных в 2020 году. Выяснилось, что только 44% из них были уникальными. Отчет показывает, что повсеместно продолжают использоваться слабые пароли.
Традиционно лидерами верхних строчек по-прежнему являются: 123456, 123456789, 12345, qwerty и «пароль» (password). Далее по уровню сложности следуют пароли, в качестве которых выбрались собственные имена, наименования автомобилей, городов и прочих ассоциированных с пользователем наименований.
Но вот, что точно не укладывается в уме так это: Марина, занимающая 41 место в рейтинге среди пользователей из России, который сразу следует за Samsung (40-ая позиция). При этом 46 место взял Nikita, который смог на одну позицию подняться выше Stalker. А вот Sergey и Andrey разделили 51 и 58 места.
69 место у Adidas, Spartak смог занять 77 позицию, а lokomotiv - на 100 ниже (177 место). 82 и 94 позиции взяли vkontakte и rambler (yandex и mail в рейтинг предпочтений не попали). И, наконец, нижнюю строчку антирейтинга взяла комбинация 123321, не сложная, но вместе с тем.
Поэтому как бы не был хорош ваш пароль, а второй фактор все же лучше.
Вниманию спецов были представлены 275 699 516 паролей, которые оказались раскрыты при утечках данных в 2020 году. Выяснилось, что только 44% из них были уникальными. Отчет показывает, что повсеместно продолжают использоваться слабые пароли.
Традиционно лидерами верхних строчек по-прежнему являются: 123456, 123456789, 12345, qwerty и «пароль» (password). Далее по уровню сложности следуют пароли, в качестве которых выбрались собственные имена, наименования автомобилей, городов и прочих ассоциированных с пользователем наименований.
Но вот, что точно не укладывается в уме так это: Марина, занимающая 41 место в рейтинге среди пользователей из России, который сразу следует за Samsung (40-ая позиция). При этом 46 место взял Nikita, который смог на одну позицию подняться выше Stalker. А вот Sergey и Andrey разделили 51 и 58 места.
69 место у Adidas, Spartak смог занять 77 позицию, а lokomotiv - на 100 ниже (177 место). 82 и 94 позиции взяли vkontakte и rambler (yandex и mail в рейтинг предпочтений не попали). И, наконец, нижнюю строчку антирейтинга взяла комбинация 123321, не сложная, но вместе с тем.
Поэтому как бы не был хорош ваш пароль, а второй фактор все же лучше.
NordPass
Top 200 Most Common Passwords
For the seventh year in a row, NordPass presents its list of the top 200 most common passwords. Discover how common password trends differ across generations of users.
Forwarded from SecurityLab.ru
Этичные хакеры спасли $27 млрд, прорыв deepfake технологий. Security-новости #40
Александр Антипов в очередном Youtube ролике рассказывает о главных новостях из мира IT, актуальных угрозах и событиях прошедших за последнюю неделю. Узнай первым как выжить в цифровом кошмаре! А также еженедельные конкурсы с крутыми призами для подписчиков нашего канала!
https://www.youtube.com/watch?v=NwmPZghRrcU
Александр Антипов в очередном Youtube ролике рассказывает о главных новостях из мира IT, актуальных угрозах и событиях прошедших за последнюю неделю. Узнай первым как выжить в цифровом кошмаре! А также еженедельные конкурсы с крутыми призами для подписчиков нашего канала!
https://www.youtube.com/watch?v=NwmPZghRrcU
YouTube
Этичные хакеры спасли $27 млрд, прорыв deepfake технологий. Security-новости #40 | 12+
💰📊👉 Новости об инвестициях в кибербезопасность предоставлены каналом It’s positive investing - https://news.1rj.ru/str/positive_investing
0:00 Здравствуйте с вами Александр Антипов, ваш бессменный ведущий самых жарких новостей по информационной безопасности
0:55…
0:00 Здравствуйте с вами Александр Антипов, ваш бессменный ведущий самых жарких новостей по информационной безопасности
0:55…
Никто даже не удивился и не сомневался.
Исследователю Абдельхамиду Насери удалось успешно применить эксплойт для 0-day уязвимости Windows CVE-2021-41379, которая была исправлена Microsoft в рамках Patch Tuesday.
Все дело в том, что он обнаружил обход исправления, тем самым отрыв по факту более серьезную уязвимость для повышения локальных привилегий, которая дает права администратора во всех поддерживаемых версиях Windows, включая Windows 10, Windows 11 и Windows Server 2022. Бага работает даже если настроить групповые политики таким образом, чтобы «стандартные» пользователи не могли выполнять операции установщика MSI.
Рабочий экспериментальный эксплойт был на днях опубликован на GitHub. На самом деле, со слов исследователя, мир бы не увидел InstallerFileTakeOver, если бы микромягкие не экономили на программе вознаграждений за ошибки.
Драматизма ситуации добавляет и тот факт, что обходного пути для уязвимости нет, а напрямую исправить двоичный файл достаточно оперативно не получится из-за сложности уязвимости, любая попытка приведет к неработоспособности установщика Windows.
Пока же пользователям придется ожидать очередной Patch Tuesday. Но в случае с Microsoft мы бы не питали особых надежд.
Убедиться в том, что эксплойт реально работает можно прямо на видео (тест при этом проводился на полностью обновленной Windows 10 21H1 build 19043.1348)
Исследователю Абдельхамиду Насери удалось успешно применить эксплойт для 0-day уязвимости Windows CVE-2021-41379, которая была исправлена Microsoft в рамках Patch Tuesday.
Все дело в том, что он обнаружил обход исправления, тем самым отрыв по факту более серьезную уязвимость для повышения локальных привилегий, которая дает права администратора во всех поддерживаемых версиях Windows, включая Windows 10, Windows 11 и Windows Server 2022. Бага работает даже если настроить групповые политики таким образом, чтобы «стандартные» пользователи не могли выполнять операции установщика MSI.
Рабочий экспериментальный эксплойт был на днях опубликован на GitHub. На самом деле, со слов исследователя, мир бы не увидел InstallerFileTakeOver, если бы микромягкие не экономили на программе вознаграждений за ошибки.
Драматизма ситуации добавляет и тот факт, что обходного пути для уязвимости нет, а напрямую исправить двоичный файл достаточно оперативно не получится из-за сложности уязвимости, любая попытка приведет к неработоспособности установщика Windows.
Пока же пользователям придется ожидать очередной Patch Tuesday. Но в случае с Microsoft мы бы не питали особых надежд.
Убедиться в том, что эксплойт реально работает можно прямо на видео (тест при этом проводился на полностью обновленной Windows 10 21H1 build 19043.1348)
Vimeo
New Windows zero-day local privilege elevation vulnerability
Demonstration of a new Windows zero-day local privilege elevation vulnerability
Спешим вас обрадовать еще одной неприятностью, связанной с популярным среди хакеров (и в особенности для АРТ) Microsoft Exchange. Но в данной ситуации - все исправимо.
В минувшие выходные исследователем Janggggg был опубликован PoC для уязвимости высокой степени серьезности CVE-2021-42321, которая затрагивает локальные Exchange Server 2016 и Exchange Server 2019 (включая те, которые используются клиентами в гибридном режиме Exchange). Ошибка была пропатчена после выхода Patch Tuesday.
Успешная эксплуатация RCE позволяет авторизованным в Exchange злоумышленникам удаленно выполнять код на уязвимых серверах.
Пока Microsoft трубят о необходимости применения последних обновлений, админы Exchange вовсю наблюдают, как хакеры сканируют уязвимые системы и пытаются взломать их.
Помня о том, как с начала 2021 года Exchange подвергались массовым атакам с использованием уязвимостей ProxyLogon и ProxyShell, рекомендуем поскорее актуализировать состояние Exchange и просмотреть события в журнале на предмет выявления попыток эксплуатации CVE-2021-42321, после чего накатить все предложенные разработчиком патчи.
В минувшие выходные исследователем Janggggg был опубликован PoC для уязвимости высокой степени серьезности CVE-2021-42321, которая затрагивает локальные Exchange Server 2016 и Exchange Server 2019 (включая те, которые используются клиентами в гибридном режиме Exchange). Ошибка была пропатчена после выхода Patch Tuesday.
Успешная эксплуатация RCE позволяет авторизованным в Exchange злоумышленникам удаленно выполнять код на уязвимых серверах.
Пока Microsoft трубят о необходимости применения последних обновлений, админы Exchange вовсю наблюдают, как хакеры сканируют уязвимые системы и пытаются взломать их.
Помня о том, как с начала 2021 года Exchange подвергались массовым атакам с использованием уязвимостей ProxyLogon и ProxyShell, рекомендуем поскорее актуализировать состояние Exchange и просмотреть события в журнале на предмет выявления попыток эксплуатации CVE-2021-42321, после чего накатить все предложенные разработчиком патчи.
Twitter
Kevin Beaumont
Just caught somebody in the wild trying to exploit CVE-2021-42321 to execute code on MailPot, by chaining it with ProxyShell (no, I don't know why either - it doesn't work).
Напряженная ситуация с газом и нехваткой электроэнергии обострилась в результате атаки ransomware, целью вымогателей на этот раз стал Vestas Wind Systems, лидер в производстве ветряных турбин с установленной мощностью 40 000 МВт, реализующий в том числе и их обслуживание на территории США и Канады.
Компания Vestas насчитывает 25 000 сотрудников на производственных предприятиях в 16 странах мира и имеет годовой доход более миллиарда долларов США.
19 ноября инфраструктура компании была пошифрована и отключена, а цеха незначительно замедлили работу. В результате предварительного расследования установлено, что данные были украдены.
Но главное даже не в том, что ветряки как-то медленнее стали крутить киловатт или порушились инвестиционные программы в области возобновляемых источников энергии, а то, что атака была направлена по факту на объекты КИИ. Что в нынешней ситуации является табу.
Зато по реакции властей можно будет оценить реальную роль зеленой энергетики.
Компания Vestas насчитывает 25 000 сотрудников на производственных предприятиях в 16 странах мира и имеет годовой доход более миллиарда долларов США.
19 ноября инфраструктура компании была пошифрована и отключена, а цеха незначительно замедлили работу. В результате предварительного расследования установлено, что данные были украдены.
Но главное даже не в том, что ветряки как-то медленнее стали крутить киловатт или порушились инвестиционные программы в области возобновляемых источников энергии, а то, что атака была направлена по факту на объекты КИИ. Что в нынешней ситуации является табу.
Зато по реакции властей можно будет оценить реальную роль зеленой энергетики.
Зачем ломать сайт, когда можно взломать хостинг, где он находится. Собственно, так и получилось (у кого-то), когда в очередной раз был скомпрометирован крупнейший регистратор доменов и хостер GoDaddy.
По предварительной оценке, злоумышленнику в течение более трех месяцев были доступны данные клиентов примерно 1,2 миллиона пользователей WordPress. О чем компания сообщила в документации SEC и подтвердила, что у миллионов пользователей ее управляемого хостинга WordPress были украдены конфиденциальные данные, включая имена пользователей, пароли баз данных, адреса электронной почты и закрытые ключи SSL.
Пока нет никаких подробностей о взломе, но компания заявила, что ее расследование продолжается и что со всеми потерпевшими клиентами свяжутся напрямую и сообщат конкретные детали. Начальник службы безопасности GoDaddy Деметриус Комес сказал, что компания предпринимает шаги по усилению своей системы безопасности дополнительными уровнями защиты.
Увы это не первый раз, когда GoDaddy уведомляет клиентов об утечке данных. Еще в мае 2020 года компания подтвердила инцидент, в котором были обнаружены учетные данные клинетов веб-хостинга.
И чего уж греха таить, вероятно, все базы ресурсов слиты, бэкдоры установлены, бэклинки проставлены, а кардеры потирают руки перед Black Friday и грядущим Happy New Year.
По предварительной оценке, злоумышленнику в течение более трех месяцев были доступны данные клиентов примерно 1,2 миллиона пользователей WordPress. О чем компания сообщила в документации SEC и подтвердила, что у миллионов пользователей ее управляемого хостинга WordPress были украдены конфиденциальные данные, включая имена пользователей, пароли баз данных, адреса электронной почты и закрытые ключи SSL.
Пока нет никаких подробностей о взломе, но компания заявила, что ее расследование продолжается и что со всеми потерпевшими клиентами свяжутся напрямую и сообщат конкретные детали. Начальник службы безопасности GoDaddy Деметриус Комес сказал, что компания предпринимает шаги по усилению своей системы безопасности дополнительными уровнями защиты.
Увы это не первый раз, когда GoDaddy уведомляет клиентов об утечке данных. Еще в мае 2020 года компания подтвердила инцидент, в котором были обнаружены учетные данные клинетов веб-хостинга.
И чего уж греха таить, вероятно, все базы ресурсов слиты, бэкдоры установлены, бэклинки проставлены, а кардеры потирают руки перед Black Friday и грядущим Happy New Year.
В ходе анализа решений на основе OpenVPN компания Claroty обнаружили серьезные уязвимости выполнения кода: CVE-2020-14498 (CVSS 9.6 - eCatcher HMS Industrial Networks AB), CVE-2021-27406 (CVSS 8.8 - OpenVPN-клиент PerFact), CVE-2021-31338 (CVSS 7.8 - клиент SINEMA RC от Siemens), а также CVE-2021-33526 и CVE-2021-33527 (CVSS 7.8 - MB connect line GmbH mbConnect Dialup).
Решения VPN предназначены для предоставления пользователям средств шифрования трафика, проходящего между их устройствами и конкретной сетью, чтобы гарантировать безопасную передачу потенциально конфиденциальных данных, а OpenVPN является наиболее распространенной реализацией решения VPN.
Как правило, архитектура клиент-сервер VPN включает в себя наличие внешнего интерфейса (приложение с графическим интерфейсом пользователя), серверной части (которая получает команды от внешнего интерфейса) и OpenVPN (служба, управляемая серверной частью и отвечающая за VPN связь).
Выяснилось, что поставщики обычно развертывают VPN как службу с привилегиями SYSTEM, создавая риски для безопасности, поскольку любые удаленные или локальные приложения могут управлять экземпляром OpenVPN для инициирования или завершения защищенного соединения.
Поскольку в большинстве случаев протокол открытого текста используется в выделенном канале сокета, через который интерфейсная часть управляет серверной частью, без какой-либо формы аутентификации, «любой, у кого есть доступ к локальному TCP-порту, к которому конектится серверная часть, потенциально может загрузить конфигурацию OpenVPN и заставить серверную часть создать новый экземпляр OpenVPN с этой конфигурацией.
Злоумышленнику для успешной эксплуатации уязвимости необходимо заставить жертву получить доступ к вредоносному веб-сайту, содержащему встроенный JavaScript, предназначенный для локальной отправки слепого запроса POST локально и ввода команд в серверную часть VPN-клиента. Это классический случай подделки запросов на стороне сервера (SSRF).
Поскольку внутренний сервер будет автоматически анализировать и выполнять любые допустимые команды, ему можно направить команду загрузить файл удаленной конфигурации, содержащий определенные команды, в том числе ведущие к выполнению кода. При этом злоумышленнику не нужно настраивать собственный выделенный сервер OpenVPN, потому что команда директивы up OpenVPN выполняется до того, как происходит соединение с сервером OpenVPN.
Однако для достижения удаленного выполнения кода необходим доступ к SMB-серверу, а это означает, что злоумышленник потенциально должен находиться либо в доменной сети с целевой системой, либо на компьютере жертвы с доступом SMB на внешние сервера.
Решения VPN предназначены для предоставления пользователям средств шифрования трафика, проходящего между их устройствами и конкретной сетью, чтобы гарантировать безопасную передачу потенциально конфиденциальных данных, а OpenVPN является наиболее распространенной реализацией решения VPN.
Как правило, архитектура клиент-сервер VPN включает в себя наличие внешнего интерфейса (приложение с графическим интерфейсом пользователя), серверной части (которая получает команды от внешнего интерфейса) и OpenVPN (служба, управляемая серверной частью и отвечающая за VPN связь).
Выяснилось, что поставщики обычно развертывают VPN как службу с привилегиями SYSTEM, создавая риски для безопасности, поскольку любые удаленные или локальные приложения могут управлять экземпляром OpenVPN для инициирования или завершения защищенного соединения.
Поскольку в большинстве случаев протокол открытого текста используется в выделенном канале сокета, через который интерфейсная часть управляет серверной частью, без какой-либо формы аутентификации, «любой, у кого есть доступ к локальному TCP-порту, к которому конектится серверная часть, потенциально может загрузить конфигурацию OpenVPN и заставить серверную часть создать новый экземпляр OpenVPN с этой конфигурацией.
Злоумышленнику для успешной эксплуатации уязвимости необходимо заставить жертву получить доступ к вредоносному веб-сайту, содержащему встроенный JavaScript, предназначенный для локальной отправки слепого запроса POST локально и ввода команд в серверную часть VPN-клиента. Это классический случай подделки запросов на стороне сервера (SSRF).
Поскольку внутренний сервер будет автоматически анализировать и выполнять любые допустимые команды, ему можно направить команду загрузить файл удаленной конфигурации, содержащий определенные команды, в том числе ведущие к выполнению кода. При этом злоумышленнику не нужно настраивать собственный выделенный сервер OpenVPN, потому что команда директивы up OpenVPN выполняется до того, как происходит соединение с сервером OpenVPN.
Однако для достижения удаленного выполнения кода необходим доступ к SMB-серверу, а это означает, что злоумышленник потенциально должен находиться либо в доменной сети с целевой системой, либо на компьютере жертвы с доступом SMB на внешние сервера.
Claroty
All Roads Lead to OpenVPN: Pwning Industrial Remote Access Clients
Claroty's researchers discovered a new attack concept to target VPNs. Learn more.
Продолжаем внимательно следить за противостоянием Ирана и его геополитических противников в киберпространстве.
Мы уже видели разрушительные атаки на газораспределительную компанию NIOPDC и ж/д-объекты Ирана, после чего проиранская АРТ BlackShadow взломали израильскую хостинговую компанию Cyberserve и выложили в сеть базу данных крупнейшего ЛГБТ-сайта под названием Atraf и видеороликами с сайта с участием VIP-персон страны.
На этот раз Иран получил ответку.
Одна из крупнейших национальных частных авиакомпаний Mahan Air подверглась хакерской атаке. Администрация хоть и признала инцидент, но точно не раскрывает всех возможных ее последствий. Несмотря на отсутствие доступа к веб-сайту перевозчика, все международные и внутренние рейсы выполняются в обычном режиме без изменений и задержек.
Ответственность за атаку взяли хактивисты Hooshyarane Vatan, которые борются за права иранского арабского меньшинства Ахваза и Хузестана. Хакеры утверждают, что украли конфиденциальные документы, раскрывающие схемы работы Mahair Air с КСИР, пригрозив опубликовать все имена, явки, пароли и обещая мощное серьезное разоблачение режима. Они уже анонсировали доказательства того, что авиакомпания тайно перевозила военные грузы на гражданских рейсах.
И их заявления скорее всего являются правдой, ведь Mahan Air уже была добавлена в санкционный список США в 2011 году за поддержку КСИР, а в 2019 году Казначейство США публиковало материалы о перевозке Mahan Air боевиков КСИР, оружия, оборудования и денежных средства в поддержку региональных операций, в том числе в интересах Хезболлы. Кроме того, штаты сообщали, что Mahan Air регулярно доставляла истребители и технику в Сирию, чтобы поддержать режим Асада.
Так что публикация новых данных явно не станет откровением и вряд ли спровоцирует население на бунт, в то время как отсутствие бензина - сможет. Именно поэтому и мобилизованы все силы проиранских АРТ, о чем мы уже упоминали, касаясь отчета Microsoft об их операциях в сфере IT.
Что ж, будем дальше следить за развитием ситуации.
Мы уже видели разрушительные атаки на газораспределительную компанию NIOPDC и ж/д-объекты Ирана, после чего проиранская АРТ BlackShadow взломали израильскую хостинговую компанию Cyberserve и выложили в сеть базу данных крупнейшего ЛГБТ-сайта под названием Atraf и видеороликами с сайта с участием VIP-персон страны.
На этот раз Иран получил ответку.
Одна из крупнейших национальных частных авиакомпаний Mahan Air подверглась хакерской атаке. Администрация хоть и признала инцидент, но точно не раскрывает всех возможных ее последствий. Несмотря на отсутствие доступа к веб-сайту перевозчика, все международные и внутренние рейсы выполняются в обычном режиме без изменений и задержек.
Ответственность за атаку взяли хактивисты Hooshyarane Vatan, которые борются за права иранского арабского меньшинства Ахваза и Хузестана. Хакеры утверждают, что украли конфиденциальные документы, раскрывающие схемы работы Mahair Air с КСИР, пригрозив опубликовать все имена, явки, пароли и обещая мощное серьезное разоблачение режима. Они уже анонсировали доказательства того, что авиакомпания тайно перевозила военные грузы на гражданских рейсах.
И их заявления скорее всего являются правдой, ведь Mahan Air уже была добавлена в санкционный список США в 2011 году за поддержку КСИР, а в 2019 году Казначейство США публиковало материалы о перевозке Mahan Air боевиков КСИР, оружия, оборудования и денежных средства в поддержку региональных операций, в том числе в интересах Хезболлы. Кроме того, штаты сообщали, что Mahan Air регулярно доставляла истребители и технику в Сирию, чтобы поддержать режим Асада.
Так что публикация новых данных явно не станет откровением и вряд ли спровоцирует население на бунт, в то время как отсутствие бензина - сможет. Именно поэтому и мобилизованы все силы проиранских АРТ, о чем мы уже упоминали, касаясь отчета Microsoft об их операциях в сфере IT.
Что ж, будем дальше следить за развитием ситуации.
Twitter
Mahan Air | هواپیمایی ماهان
با سلام در پی انتشار خبر حمله سایبری به سیستم های شرکت هواپیمایی ماهان به اطلاع میرساند با نظر به جایگاه هواپیمایی ماهان در صنعت حمل و نقل هوایی کشور اینگونه حملات به دفعات مختلف و در زمان های گوناگون نسبت به این شرکت انجام یافته تا شاید بتوانند خدشه ای بر…
Forwarded from Social Engineering
🖨 Взлом принтера. От дефолтных учетных данных до администратора домена.
• Одни ищут в принтерах конфиденциальные данные, другие используют как точку проникновения в корпоративную сеть, а третьи пытаются извлечь прибыль из массовых рассылок.
• Если рассматривать RU сегмент, то очень часто, встречаются организации, в которых не особо следят за безопасностью. Вспомните хотя бы новость: Исследователи взломали 28 000 принтеров, чтобы привлечь внимание к их небезопасности.
Если мы говорим на тему принтеров, то в большинстве случаев, в компании будет установлен дефолтный пароль, который ты можешь найти вот тут: https://passwordsdatabase.com/
• Cегодня речь пойдет немного о другом, да и в принципе, демонстрация атаки в представлен материале относится не только к принтерам, но и ко всему #IoT в целом. Материал достаточно интересный, но опубликован на английском языке. Но если тебе интересна данная тема, то ты можешь перевести статью на русский язык с помощью переводчика. Да, качество перевода будет плохим, но всю суть и смысл понять будет легко.
• Читать статью.
📌 Дополнительный материал:
• Praeda — эта программа предназначена для аудита безопасности при проверке настроек подключения сетевых принтеров. Умеет выполнять автоматический поиск и скачивать документы из памяти принтера.
• PRET — фреймворк на Python для эксплуатации известных уязвимостей в службах удаленной печати.
• Hijetter — кросс-платформенная утилита с открытым исходным кодом, которая позволяет отправлять команды на языке PJL, включая недокументированные. Например, задействовать функцию RFU (remote firmware update), выполняющую удаленную перепрошивку устройства. Вместо официальной прошивки можно подсунуть свою (модифицированную).
• http://hacking-printers.net — включает в себя подборку полезных статей (доступ к памяти, доступ к файловой системе, раскрытие учетных данных, переполнение буфера, обновления прошивки, программные пакеты, манипуляции с заданиями на печать и многое другое).
• Статья, в которой рассказывается об извлечении пароля администратора из файла конфигурации устройства: https://blog.compass-security.com/2021/05/printer-tricks-episode-ii-attack-of-the-clones/
‼️ Другую дополнительную информацию и литературу, ты можешь найти по хештегам #Hack #Пентест и #Red_team. Твой S.E.
🖖🏻 Приветствую тебя user_name.
• Уязвимости сетевых принтеров рассматривались со времен их появления, но за прошедшие годы положение дел нисколько не улучшилось. Почти в каждом принтере сейчас есть Wi-Fi и функция автоматического обновления прошивки через интернет, а в МФУ подороже теперь есть встроенная память, зачастую хранящая копии сканированных и распечатанных документов за длительный период. Как думаешь, что можно сделать с этой информацией, если получить доступ к памяти устройства?• Одни ищут в принтерах конфиденциальные данные, другие используют как точку проникновения в корпоративную сеть, а третьи пытаются извлечь прибыль из массовых рассылок.
• Если рассматривать RU сегмент, то очень часто, встречаются организации, в которых не особо следят за безопасностью. Вспомните хотя бы новость: Исследователи взломали 28 000 принтеров, чтобы привлечь внимание к их небезопасности.
Если мы говорим на тему принтеров, то в большинстве случаев, в компании будет установлен дефолтный пароль, который ты можешь найти вот тут: https://passwordsdatabase.com/
• Cегодня речь пойдет немного о другом, да и в принципе, демонстрация атаки в представлен материале относится не только к принтерам, но и ко всему #IoT в целом. Материал достаточно интересный, но опубликован на английском языке. Но если тебе интересна данная тема, то ты можешь перевести статью на русский язык с помощью переводчика. Да, качество перевода будет плохим, но всю суть и смысл понять будет легко.
• Читать статью.
📌 Дополнительный материал:
• Praeda — эта программа предназначена для аудита безопасности при проверке настроек подключения сетевых принтеров. Умеет выполнять автоматический поиск и скачивать документы из памяти принтера.
• PRET — фреймворк на Python для эксплуатации известных уязвимостей в службах удаленной печати.
• Hijetter — кросс-платформенная утилита с открытым исходным кодом, которая позволяет отправлять команды на языке PJL, включая недокументированные. Например, задействовать функцию RFU (remote firmware update), выполняющую удаленную перепрошивку устройства. Вместо официальной прошивки можно подсунуть свою (модифицированную).
• http://hacking-printers.net — включает в себя подборку полезных статей (доступ к памяти, доступ к файловой системе, раскрытие учетных данных, переполнение буфера, обновления прошивки, программные пакеты, манипуляции с заданиями на печать и многое другое).
• Статья, в которой рассказывается об извлечении пароля администратора из файла конфигурации устройства: https://blog.compass-security.com/2021/05/printer-tricks-episode-ii-attack-of-the-clones/
‼️ Другую дополнительную информацию и литературу, ты можешь найти по хештегам #Hack #Пентест и #Red_team. Твой S.E.
Еще вчера мы писали о 0-day уязвимости локального повышения привилегий в установщике Microsoft Windows (CVE-2021-41379), обнаруженную как обход исправлений последнего Patch Tuesday, который и должен был исправить ту самую дыру.
А сегодня опубликованную исследователем Абдельхамидом Насери рабочую версию эксплойта хакеры уже сконвертировали в вредоносное ПО, образцы которого обнаружили специалисты Cisco Talos Security Intelligence & Research Group.
Характер проводимых злоумышленниками работ при этом указывает на то, что ведется проверка кода, настройка и тестирование экспериментального эксплойта для будущих полномасштабных кампаний.
Как мы уже отмечали, ситуацию еще более накаляет то, что патчей или обхода для новой уязвимости нет. Поэтому, в самое ближайшее время мы станем свидетелями этих самых атак.
А сегодня опубликованную исследователем Абдельхамидом Насери рабочую версию эксплойта хакеры уже сконвертировали в вредоносное ПО, образцы которого обнаружили специалисты Cisco Talos Security Intelligence & Research Group.
Характер проводимых злоумышленниками работ при этом указывает на то, что ведется проверка кода, настройка и тестирование экспериментального эксплойта для будущих полномасштабных кампаний.
Как мы уже отмечали, ситуацию еще более накаляет то, что патчей или обхода для новой уязвимости нет. Поэтому, в самое ближайшее время мы станем свидетелями этих самых атак.
Cisco Talos Blog
Attackers exploiting zero-day vulnerability in Windows Installer — Here’s what you need to know and Talos’ coverage
Cisco Talos is releasing new SNORTⓇ rules to protect against the exploitation of a zero-day elevation of privilege vulnerability in Microsoft Windows Installer. This vulnerability allows an attacker with a limited user account to elevate their privileges…
Достаточно часто звучала в свое время композиция группы Чайф с припевом «Какая боль, какая боль, Аргентина…».
Сегодня у Аргентины реальная боль: свой аккомпанемент исполнили Everest. Официальный портал Правительства Аргентины стал жертвой ramsomeware. За 200к баксов хакеры продают доступ к базе данных всех сервисов госпортала, отдельно массивы документов не реализуются.
Ранее Everest покоряли ресурсы Минфина Перу, опубликовав ведомство в списке своих жертв.
Сегодня у Аргентины реальная боль: свой аккомпанемент исполнили Everest. Официальный портал Правительства Аргентины стал жертвой ramsomeware. За 200к баксов хакеры продают доступ к базе данных всех сервисов госпортала, отдельно массивы документов не реализуются.
Ранее Everest покоряли ресурсы Минфина Перу, опубликовав ведомство в списке своих жертв.
Twitter
DarkTracer : DarkWeb Criminal Intelligence
[ALERT] Everest ransomware gang has announced "Argentina Government" on the victim list.
Обещали и вспомнили ту самую фразу "пока наши пацаны гибли на ханипотах», которая красочно описывает результаты шокирующего исследования подразделения Unit42 Palo Altos Networks.
Исследователи раскидали по сети, в том числе в Северной Америке, Азиатско-Тихоокеанском регионе и Европе, 320 ханипотов и обнаружили, что 80% из них были взломаны в течение первых 24 часов после сканирования сети на предмет обнаружения незащищенных служб.
Развернутые ханипоты включали в себя приманки с протоколом удаленного рабочего стола (RDP), протоколом защищенной оболочки (SSH), блоком сообщений сервера (SMB) и службами баз данных Postgres, и они поддерживались с июля по август 2021 года.
Для SSH-приманок, которые были наиболее уязвимыми, среднее время первого взлома составило три часа, а среднее время между двумя последовательными атаками - около 2 часов. Unit 42 также столкнулись с тем, что злоумышленник скомпрометировал 96% из 80 экспериментальных приманок Postgres всего за 30 секунд.
Подавляющее большинство (85%) IP-адресов злоумышленников наблюдались в течение одного дня, что означает, что субъекты редко (15%) повторно используют один и тот же IP-адрес при последующих атаках. Постоянное изменение IP-адреса делает правила межсетевого экрана третьего уровня неэффективными против большинства злоумышленников.
Дабы проверить на практике насколько помогает блокировка вредоносных IP-адресов и в целом эффективность брандмауэров, Unit 42 выделили подгруппу из 48 ханипотов. И что обнаружили: блокировка более 700 000 IP-адресов не имела существенной разницы в количестве атак между подгруппой и контрольной группой.
Таким образом, мы пришли к новому правилу 24 часов, которые потребуются, чтобы обнаружить и проэксплуатировать дыру в уязвимых открытых облачных сервисах, не упуская из виду упомянутое ранее правило 72 часов на реинжиниринг обновлений и разработку эксплойта.
Исследователи раскидали по сети, в том числе в Северной Америке, Азиатско-Тихоокеанском регионе и Европе, 320 ханипотов и обнаружили, что 80% из них были взломаны в течение первых 24 часов после сканирования сети на предмет обнаружения незащищенных служб.
Развернутые ханипоты включали в себя приманки с протоколом удаленного рабочего стола (RDP), протоколом защищенной оболочки (SSH), блоком сообщений сервера (SMB) и службами баз данных Postgres, и они поддерживались с июля по август 2021 года.
Для SSH-приманок, которые были наиболее уязвимыми, среднее время первого взлома составило три часа, а среднее время между двумя последовательными атаками - около 2 часов. Unit 42 также столкнулись с тем, что злоумышленник скомпрометировал 96% из 80 экспериментальных приманок Postgres всего за 30 секунд.
Подавляющее большинство (85%) IP-адресов злоумышленников наблюдались в течение одного дня, что означает, что субъекты редко (15%) повторно используют один и тот же IP-адрес при последующих атаках. Постоянное изменение IP-адреса делает правила межсетевого экрана третьего уровня неэффективными против большинства злоумышленников.
Дабы проверить на практике насколько помогает блокировка вредоносных IP-адресов и в целом эффективность брандмауэров, Unit 42 выделили подгруппу из 48 ханипотов. И что обнаружили: блокировка более 700 000 IP-адресов не имела существенной разницы в количестве атак между подгруппой и контрольной группой.
Таким образом, мы пришли к новому правилу 24 часов, которые потребуются, чтобы обнаружить и проэксплуатировать дыру в уязвимых открытых облачных сервисах, не упуская из виду упомянутое ранее правило 72 часов на реинжиниринг обновлений и разработку эксплойта.
Unit 42
Observing Attacks Against Hundreds of Exposed Services in Public Clouds
Insecurely exposed services are common misconfigurations in cloud environments. We used a honeypot infrastructure to learn about attacks against them.
Возможно, Ваш принтер служит не только Вам.
Итальянские исследователи составили серию из 3 атак под названием Printjack, предупреждающая пользователей о серьезных последствиях чрезмерного доверия к своему принтеру. Специалисты организовали DDoS, добились отказа в обслуживании устройства и нарушили конфиденциальность сведений.
К сожалению, современные принтеры по-прежнему уязвимы и значительно отстают от других IoT устройств, которые так или иначе начинают соответствовать требованиям кибербезопасности и конфиденциальности данных. Специалистами установлено банальное несоответствие требованиям стандартов GDPR и ISO/IEC 27005: 2018 (структура управления киберрисками). О массовости распространения принтеров и соответствующих угрозах комментарии излишне.
В ходе эксперимента итальянцы Джампаоло Белла и Пьетро Бионди использовали Shodan для сканирования европейских стран на наличие устройств с общедоступным TCP-портом 9100, обычно используемым для заданий на печать необработанных TCP/IP. Этот поиск привел к тому, что на запрос порта ответили десятки тысяч IP-адресов, причем наиболее уязвимые устройства были в Германии, России, Франции, Нидерландах и Великобритании. Хотя порт 9100 можно настроить для других заданий, помимо печати, но это порт по умолчанию для этой службы, поэтому большинство этих результатов, вероятно, связано с печатью.
Первый тип атаки Printjack заключался в использовании принтера в DDoS, когда потенциальные злоумышленники могут реализовать такой сценарий используя известную уязвимость RCE с общедоступным PoC. В эксперименте исследователи использовали CVE-2014-3741 в качестве полезной нагрузки, но как мы знаем, имеется как минимум несколько десятков подобных уязвимостей.
Учитывая, что только в первой десятке стран ЕС было обнаружено более 50 000 незащищенных устройств, привлечь их для DDoS-атак уже дело техники.
Вторая атака была связана с отказом в обслуживании, а если быть точнее, то с DoS-атакой на бумагу, которая достигается путем повторной отправки заданий на печать до тех пор, пока у жертвы не закончится бумага из всех лотков. Подобный инцидент, конечно, не катастрофа, но все равно может вызвать сбои в работе компании, простоях в обслуживании и реагировании на инциденты.
В самом же серьезном типе атак Printjack есть вероятность MITM, связанная с "прослушиванием" печатных материалов. Поскольку данные для печати отправляются в не зашифрованном виде и злоумышленник, используя уязвимость, может получить данные в виде открытого текста. Разумеется, для реализации этой атаки нужно иметь локальный доступ и использовать уязвимость в узле целевой сети.
Как известно, проблема отсутствия надежных систем безопасности на принтерах далеко не новая и неоднократно поднималась в инфосек сообществах, особенно после того, когда принтеры стали активно подключаться к глобальной сети.
Еще остались в памяти инциденты, когда в 2018 году хакер TheHackerGiraffe вызвал массовые беспорядки, угнав 100000 принтеров для продвижения канала PewDiePie на YouTube. В 2020 году CyberNews сделала нечто подобное, заставив 28000 принтеров распечатать инструкции по их защите. Ну и в 2021 году, когда исследователи обнаружили серьезную ошибку в миллионах принтерах различных производителей, которая оставалась незамеченной и исправлялась в течение целых 16 лет.
В общем относитесь к принтеру, как к домашнему животному - всегда должен быть под присмотром и в ограниченном периметре.
Итальянские исследователи составили серию из 3 атак под названием Printjack, предупреждающая пользователей о серьезных последствиях чрезмерного доверия к своему принтеру. Специалисты организовали DDoS, добились отказа в обслуживании устройства и нарушили конфиденциальность сведений.
К сожалению, современные принтеры по-прежнему уязвимы и значительно отстают от других IoT устройств, которые так или иначе начинают соответствовать требованиям кибербезопасности и конфиденциальности данных. Специалистами установлено банальное несоответствие требованиям стандартов GDPR и ISO/IEC 27005: 2018 (структура управления киберрисками). О массовости распространения принтеров и соответствующих угрозах комментарии излишне.
В ходе эксперимента итальянцы Джампаоло Белла и Пьетро Бионди использовали Shodan для сканирования европейских стран на наличие устройств с общедоступным TCP-портом 9100, обычно используемым для заданий на печать необработанных TCP/IP. Этот поиск привел к тому, что на запрос порта ответили десятки тысяч IP-адресов, причем наиболее уязвимые устройства были в Германии, России, Франции, Нидерландах и Великобритании. Хотя порт 9100 можно настроить для других заданий, помимо печати, но это порт по умолчанию для этой службы, поэтому большинство этих результатов, вероятно, связано с печатью.
Первый тип атаки Printjack заключался в использовании принтера в DDoS, когда потенциальные злоумышленники могут реализовать такой сценарий используя известную уязвимость RCE с общедоступным PoC. В эксперименте исследователи использовали CVE-2014-3741 в качестве полезной нагрузки, но как мы знаем, имеется как минимум несколько десятков подобных уязвимостей.
Учитывая, что только в первой десятке стран ЕС было обнаружено более 50 000 незащищенных устройств, привлечь их для DDoS-атак уже дело техники.
Вторая атака была связана с отказом в обслуживании, а если быть точнее, то с DoS-атакой на бумагу, которая достигается путем повторной отправки заданий на печать до тех пор, пока у жертвы не закончится бумага из всех лотков. Подобный инцидент, конечно, не катастрофа, но все равно может вызвать сбои в работе компании, простоях в обслуживании и реагировании на инциденты.
В самом же серьезном типе атак Printjack есть вероятность MITM, связанная с "прослушиванием" печатных материалов. Поскольку данные для печати отправляются в не зашифрованном виде и злоумышленник, используя уязвимость, может получить данные в виде открытого текста. Разумеется, для реализации этой атаки нужно иметь локальный доступ и использовать уязвимость в узле целевой сети.
Как известно, проблема отсутствия надежных систем безопасности на принтерах далеко не новая и неоднократно поднималась в инфосек сообществах, особенно после того, когда принтеры стали активно подключаться к глобальной сети.
Еще остались в памяти инциденты, когда в 2018 году хакер TheHackerGiraffe вызвал массовые беспорядки, угнав 100000 принтеров для продвижения канала PewDiePie на YouTube. В 2020 году CyberNews сделала нечто подобное, заставив 28000 принтеров распечатать инструкции по их защите. Ну и в 2021 году, когда исследователи обнаружили серьезную ошибку в миллионах принтерах различных производителей, которая оставалась незамеченной и исправлялась в течение целых 16 лет.
В общем относитесь к принтеру, как к домашнему животному - всегда должен быть под присмотром и в ограниченном периметре.
Базирующаяся в НАТО АРТ ATW (Againstthewest) проникла и получила контроль над китайской телестанцией.
ATW - это хактивистская группа, в первую очередь, нацеленная на китайское правительство. ATW взломал Народный банк Китая, Alibaba, Tencent и другие известные цели.
Хакеры даже запланировали прямую телевизионную трансляцию в 53 минуты. Может, что интересное покажут, поглядим.
ATW - это хактивистская группа, в первую очередь, нацеленная на китайское правительство. ATW взломал Народный банк Китая, Alibaba, Tencent и другие известные цели.
Хакеры даже запланировали прямую телевизионную трансляцию в 53 минуты. Может, что интересное покажут, поглядим.
Twitter
vx-underground
ATW (AgainstTheWest), a NATO based Threat Actor, has claimed to have breached and hijacked a Chinese TV station. They have scheduled a live television broadcast in approx. 53 minutes.