Критическая инфраструктура все чаще становится целью вымогателей, поскольку компании в этой сфере попросту не могут позволить себе сбои или простои в работе, поэтому зачастую вынуждены оперативно выплачивать выкуп.
Буквально на днях государственная энергетическая компания CS Energy в штате Квинсленд Австралии подверглась атаке с использованием ransomware, рискуя оставить более 4 млн. жителей без электричества.
CS Energy смогли оперативно среагировать и изолировать корпоративную сеть от других внутренних сетей, внедрив процессы обеспечения непрерывности бизнеса и избежав таким образом негативных последствий для процессов выработки и снабжения электроэнергией через подстанции Callide и Kogan Creek.
Легко отделались: если бы хакерам удалось добраться до АСУТП и остановить работу электростанции, CS Energy пришлось выстраивать всю IT заново, ведь следуя законодательству Австралии договориться с хакерами не получилось, поскольку выплаты в адрес ransomware запрещены и наказуемы.
А может и нелегко, из всех правил есть исключения.
Буквально на днях государственная энергетическая компания CS Energy в штате Квинсленд Австралии подверглась атаке с использованием ransomware, рискуя оставить более 4 млн. жителей без электричества.
CS Energy смогли оперативно среагировать и изолировать корпоративную сеть от других внутренних сетей, внедрив процессы обеспечения непрерывности бизнеса и избежав таким образом негативных последствий для процессов выработки и снабжения электроэнергией через подстанции Callide и Kogan Creek.
Легко отделались: если бы хакерам удалось добраться до АСУТП и остановить работу электростанции, CS Energy пришлось выстраивать всю IT заново, ведь следуя законодательству Австралии договориться с хакерами не получилось, поскольку выплаты в адрес ransomware запрещены и наказуемы.
А может и нелегко, из всех правил есть исключения.
www.csenergy.com.au
CS Energy responds to cyber security incident
We're responding to a ransomware incident that occurred on our corporate ICT network on 27 November.
Zoom экстренно латает дыры в безопасности своих программных продуктов. Стали доступны исправления для пары критических уязвимостей, которые подвергают пользователей Windows, macOS, Linux, iOS и Android угрозам хакерского воздействия.
Об угрозах сообщил исследователь из Google Project Zero, который обнаружил, что выявленные им недостатки затрагивают флагманский клиент для онлайн-конференций почти на всех основных платформах и могут быть использованы для атак, связанных с RCE.
Уязвимость CVE-2021-34423 потенциально может позволить злоумышленнику вызвать сбой службы или приложения, а также использовать эту уязвимость для выполнения произвольного кода в достаточно широком спектре компонентов и SDK продуктов компании. Ошибка связана с переполнением буфера и имеет оценку по CVSS 7,3.
Вторая исправленная уязвимость CVE-2021-34424 приводила к повреждению памяти и позволяла выявить состояние памяти процесса в некоторых продуктах и компонентах Zoom. С помощью баги потенциально возможно получить сведения из произвольных областей памяти продукта.
В целях обеспечения максимальной и своевременной безопасности своих клиентов Zoom добавил механизм автоматического обновления в desktop версии, собственно, которым целесообразно воспользоваться всем пользователям платформы.
Об угрозах сообщил исследователь из Google Project Zero, который обнаружил, что выявленные им недостатки затрагивают флагманский клиент для онлайн-конференций почти на всех основных платформах и могут быть использованы для атак, связанных с RCE.
Уязвимость CVE-2021-34423 потенциально может позволить злоумышленнику вызвать сбой службы или приложения, а также использовать эту уязвимость для выполнения произвольного кода в достаточно широком спектре компонентов и SDK продуктов компании. Ошибка связана с переполнением буфера и имеет оценку по CVSS 7,3.
Вторая исправленная уязвимость CVE-2021-34424 приводила к повреждению памяти и позволяла выявить состояние памяти процесса в некоторых продуктах и компонентах Zoom. С помощью баги потенциально возможно получить сведения из произвольных областей памяти продукта.
В целях обеспечения максимальной и своевременной безопасности своих клиентов Zoom добавил механизм автоматического обновления в desktop версии, собственно, которым целесообразно воспользоваться всем пользователям платформы.
Zoom
Zoom Security Bulletins
View the latest Zoom Security Bulletins and make sure to update your Zoom app to the latest version in order to get the latest fixes and security improvements.
Не можем не рассказать про новые подвиги вымогателей Hive, взявших на себя ответственность за разрушительную атаку на биофармацевтическую компанию Supernus Pharmaceuticals из Роквилля, штат Мэриленд. Атака состоялась в День благодарения, 14 ноября, злоумышленники смогли эксфильтровать в общей сложности 1 268 906 файлов общим объемом 1,5 Тб данных.
Представители фармацевтического гиганта подтвердили инцидент, в результате которого у компании пропал значительный объем данных, а скорее, был зашифрован. Несмотря на это, Supernus Pharmaceuticals заявляет, что произошедшее не оказало значимого влияния на ее бизнес и текущую деятельность и выплачивать выкуп они не намерены.
По сообщению самой Supernus Pharmaceuticals, им удалось восстановить поврежденные файлы, зашифрованные вымогателями. Но вместе с тем, компания считает, что злоумышленники, скорее всего, попытаются использовать неправомерно полученную информацию.
Прибегая к новым формам давления на жертв, хакерская группа объявила на своем сайте утечек, что украденная информация вскоре будет опубличена, указав, что фармацевты не раскрыли инцидент в своей последней форме 8-K, поданной в Комиссию по ценным бумагам и биржам (SEC), после чего Supernus Pharmaceuticals все же упомянули об инциденте в новой форме.
Все бы ничего, но Hive намекнули, каким образом Supernus Pharmaceuticals смогли так быстро восстановить свои данные: с момента атаки представители фирмы послушно вели переговоры с вымогателями, вероятно, успев отправить в адрес хакеров несколько первоначальных траншей.
На таких переговорах и строится вся современная ransomware-индустрия, к которой примкнула новая группа ROOK, она же ладья, на счету которой уже первая жертва. А в целом, тенденция неутешительная и выглядит следующим образом
Представители фармацевтического гиганта подтвердили инцидент, в результате которого у компании пропал значительный объем данных, а скорее, был зашифрован. Несмотря на это, Supernus Pharmaceuticals заявляет, что произошедшее не оказало значимого влияния на ее бизнес и текущую деятельность и выплачивать выкуп они не намерены.
По сообщению самой Supernus Pharmaceuticals, им удалось восстановить поврежденные файлы, зашифрованные вымогателями. Но вместе с тем, компания считает, что злоумышленники, скорее всего, попытаются использовать неправомерно полученную информацию.
Прибегая к новым формам давления на жертв, хакерская группа объявила на своем сайте утечек, что украденная информация вскоре будет опубличена, указав, что фармацевты не раскрыли инцидент в своей последней форме 8-K, поданной в Комиссию по ценным бумагам и биржам (SEC), после чего Supernus Pharmaceuticals все же упомянули об инциденте в новой форме.
Все бы ничего, но Hive намекнули, каким образом Supernus Pharmaceuticals смогли так быстро восстановить свои данные: с момента атаки представители фирмы послушно вели переговоры с вымогателями, вероятно, успев отправить в адрес хакеров несколько первоначальных траншей.
На таких переговорах и строится вся современная ransomware-индустрия, к которой примкнула новая группа ROOK, она же ладья, на счету которой уже первая жертва. А в целом, тенденция неутешительная и выглядит следующим образом
Twitter
DarkTracer : DarkWeb Criminal Intelligence
History of Ransomware gang activities in Darkweb from the very first leak on Darkweb in 2019 until today. Increasing phase again in 4Q and might continue on December. Check out the latest Darkweb threats in darktracer.com.
Буквально через пару недель после того, как злоумышленники начали активно эксплуатировать уязвимость CVE-2021-41773 удаленного выполнения кода на HTTP-серверах Apache, возникла новая проблема.
Федеральное управление по информационной безопасности (BSI) Германии и Cisco сообщили о появлении нескольких PoC для новой критической уязвимости CVE-2021-40438.
Ошибка представляет собой подделку запроса на стороне сервера (SSRF), которая может быть использована против веб-серверов httpd, на которых включен модуль mod_proxy.
Злоумышленник может использовать эту критическую уязвимость, используя специально созданный запрос, чтобы заставить модуль перенаправить запрос на произвольный исходный сервер, тем самым позволяя злоумышленникам извлекать секреты (например, метаданные или ключи инфраструктуры) или получать доступ к другим внутренним серверам (которые могут быть менее защищенными, чем внешние).
Проблема была обнаружена группой безопасности Apache HTTP при исследовании другой уязвимости. Она затрагивает версию 2.4.48 и более ранние версии и была исправлена в середине сентября с выпуском версии 2.4.49. Уязвимость при этом, в основном затрагивает организации, которые ведут самостоятельное управление серверами httpd (облачные сервисы AWS, Microsoft Azure и Google Cloud Platform обеспечивают защиту от таких атак).
Cisco отмечают, что на данный момент Prime Collaboration Provisioning, Security Manager, Expressway и сервер видеосвязи TelePresence уязвимы для 5 ошибок HTTP-серверов Apache.
С свою очередь, BSI предупреждают о ставшем им известном случае эксплуатации уязвимости в дикой природе, когда злоумышленник, воспользовавшийся дырой, чтобы получить хэш-значения учетных данных пользователя из адресной системы.
Уверены на подходе и новые примеры, о которых пока еще не известно широкой публике.
Федеральное управление по информационной безопасности (BSI) Германии и Cisco сообщили о появлении нескольких PoC для новой критической уязвимости CVE-2021-40438.
Ошибка представляет собой подделку запроса на стороне сервера (SSRF), которая может быть использована против веб-серверов httpd, на которых включен модуль mod_proxy.
Злоумышленник может использовать эту критическую уязвимость, используя специально созданный запрос, чтобы заставить модуль перенаправить запрос на произвольный исходный сервер, тем самым позволяя злоумышленникам извлекать секреты (например, метаданные или ключи инфраструктуры) или получать доступ к другим внутренним серверам (которые могут быть менее защищенными, чем внешние).
Проблема была обнаружена группой безопасности Apache HTTP при исследовании другой уязвимости. Она затрагивает версию 2.4.48 и более ранние версии и была исправлена в середине сентября с выпуском версии 2.4.49. Уязвимость при этом, в основном затрагивает организации, которые ведут самостоятельное управление серверами httpd (облачные сервисы AWS, Microsoft Azure и Google Cloud Platform обеспечивают защиту от таких атак).
Cisco отмечают, что на данный момент Prime Collaboration Provisioning, Security Manager, Expressway и сервер видеосвязи TelePresence уязвимы для 5 ошибок HTTP-серверов Apache.
С свою очередь, BSI предупреждают о ставшем им известном случае эксплуатации уязвимости в дикой природе, когда злоумышленник, воспользовавшийся дырой, чтобы получить хэш-значения учетных данных пользователя из адресной системы.
Уверены на подходе и новые примеры, о которых пока еще не известно широкой публике.
Bundesamt für Sicherheit in der Informationstechnik
Schwachstelle im Modul "mod_proxy" von Apache HTTP-Server
Mit CVE-2021-40438 wurde eine "Server-Side Request Forgery" Schwachstelle bekannt, welche es entfernten und nicht authentifizierten Angreifenden mittels speziell präparierten uri-Path-Anfragen ermöglicht, den httpd-Server dazu zu bringen, diese Anfragen an…
Всеобщее негодование вызвали новости о «законном доступе» американских спецслужб к аккаунтам пользователей в популярных мессенджерах, по сути, окончательно развеяв миф о борьбе технологических гигантов за конфиденциальность.
Основываясь на законе о свободе информации США, Property of the People получила и опубликовала внутреннюю директиву ФБР США от 7 января 2021 года, в которой содержится информация о том, какие виды данных может на законных основаниях (по запросу и при наличии ордера) запрашивать у разработчиков WhatsApp, iMessenger, Weechat, Threema, Signal, Telegram, Viber и Wickr.
Результат анализа документа, честно, был предсказуем: к содержанию самих сообщений доступ никто не представляет.
Спецслужбам доступны метаданные: IP-адрес, время регистрации и посещения акаунтов, имена и номера привязанных телефонов пользователей, а также контакт-лист, в разном объеме и на разных условиях доступ предоставляют почти все сервисы.
Полный расклад оцените сами в оригинале.
Мы же отметим, разглашение директив не является победой демократии и полагаться на законный доступ ФБР и их более старшие коллеги в оперативной работе точно не станут: для извлечения переписки и контроля за пользователями применяются другие уже проверенные варианты, которые, по логике документа, законными назвать будет достаточно сложно.
Именно таким образом, например, ФБР получили доступ к криптокошельку Exodus и арестовали почти 40 биткойнов на сумму примерно 2,3 миллиона долларов у связанного с REvil хакера.
При этом, как вы уже поняли, ФБР не сообщает, как это им удалось, ведь для авторизации необходим закрытый ключ или секретная кодовая фраза.
Конфискованные криптосредства являлись долей выкупа аффилированного лица REvil, которым оказался владелец электронной почты engfog1337@gmail.com некий Александр Сикерин. В даркнете он широко известен как Lalartu, давний последовательный партнер GandCrab, REvil.
Собственно, как мы уже упоминали, спецоперация американских спецслужб, которым удалось заманить в связанных с вымогателями хакеров через скомпрометированную инфраструктуру REvil дает свои плоды.
Одно дело, когда ты при деньгах, при деле и под маской - другое, когда ты в списках розыска Минюста и ФБР, под прицелом ЦРУ и АНБ, с арестованными активами и подпорченной репутацией.
Основываясь на законе о свободе информации США, Property of the People получила и опубликовала внутреннюю директиву ФБР США от 7 января 2021 года, в которой содержится информация о том, какие виды данных может на законных основаниях (по запросу и при наличии ордера) запрашивать у разработчиков WhatsApp, iMessenger, Weechat, Threema, Signal, Telegram, Viber и Wickr.
Результат анализа документа, честно, был предсказуем: к содержанию самих сообщений доступ никто не представляет.
Спецслужбам доступны метаданные: IP-адрес, время регистрации и посещения акаунтов, имена и номера привязанных телефонов пользователей, а также контакт-лист, в разном объеме и на разных условиях доступ предоставляют почти все сервисы.
Полный расклад оцените сами в оригинале.
Мы же отметим, разглашение директив не является победой демократии и полагаться на законный доступ ФБР и их более старшие коллеги в оперативной работе точно не станут: для извлечения переписки и контроля за пользователями применяются другие уже проверенные варианты, которые, по логике документа, законными назвать будет достаточно сложно.
Именно таким образом, например, ФБР получили доступ к криптокошельку Exodus и арестовали почти 40 биткойнов на сумму примерно 2,3 миллиона долларов у связанного с REvil хакера.
При этом, как вы уже поняли, ФБР не сообщает, как это им удалось, ведь для авторизации необходим закрытый ключ или секретная кодовая фраза.
Конфискованные криптосредства являлись долей выкупа аффилированного лица REvil, которым оказался владелец электронной почты engfog1337@gmail.com некий Александр Сикерин. В даркнете он широко известен как Lalartu, давний последовательный партнер GandCrab, REvil.
Собственно, как мы уже упоминали, спецоперация американских спецслужб, которым удалось заманить в связанных с вымогателями хакеров через скомпрометированную инфраструктуру REvil дает свои плоды.
Одно дело, когда ты при деньгах, при деле и под маской - другое, когда ты в списках розыска Минюста и ФБР, под прицелом ЦРУ и АНБ, с арестованными активами и подпорченной репутацией.
Rolling Stone
FBI Document Says the Feds Can Get Your WhatsApp Data — in Real Time
A FBI document reveals that "private" messaging apps WhatsApp and iMessage are deeply vulnerable to law enforcement searches.
Александр Большев и Тимо Хирвонен, спецы из F-Secure, расковыряли по-настоящему досадные ошибки 8-летней давности.
Речь идет об уязвимостях принтеров Hewlett Packard, которые датируются 2013 годом и затрагивают 150 моделей многофункциональных устройств: CVE-2021-39237 и CVE-2021-39238.
Первая уязвимость касается двух открытых физических портов, которые предоставляют полный доступ к устройству, ее эксплуатация требует физического доступа и может привести к раскрытию информации.
Вторая связана с переполнением буфера в парсере шрифтов, которая намного более серьезна и имеет оценку CVSS 9,3. Ее использование дает злоумышленникам возможность удаленного выполнения кода, позволяя также злоумышленниу быстро распространиться с одного принтера на всю сеть.
F-Secure на примере МФУ HP M725z откатали все возможные вектора атак с использованием выявленных уязвимостей (прямая атака через открытые порты UART, отправка эксплойта на принтер непосредственно из браузера с помощью HTTP POST на порт JetDirect 9100/TCP, печать вредоносного документа и др.) и установили, чтобы использовать CVE-2021-39238 хакеру потребуется несколько секунд, в то время как опытный злоумышленник может осуществить взлом на основе CVE-2021-39237 менее чем за 5 минут.
Своими результатами они поделились с HP еще 29 апреля 2021 года, обнаружив значительное число и других уязвимых моделей. К 1 ноября 2021 года HP выпустили обновления прошивок для устранения этих баг.
Таким образом, в течение нескольких лет пользователи HP оставались открыты для различного вида атак. Радует, что F-Secure не зафиксировали использования уязвимостей в дикой природе. Тем не менее, владельцам МФУ настоятельно требуется обновить прошивки своих устройств как можно скорее.
Поможет также и отключение печати с USB, выделение принтера в отдельную VLAN за брандмауэром, ограничить исходящие соединения от принтера списком выделенных адресов, установка выделенного сервера печати для связи между рабочими станциями и принтерами.
Как когда-то, мы уже шутили, держите свой принтер на коротком поводке.
Речь идет об уязвимостях принтеров Hewlett Packard, которые датируются 2013 годом и затрагивают 150 моделей многофункциональных устройств: CVE-2021-39237 и CVE-2021-39238.
Первая уязвимость касается двух открытых физических портов, которые предоставляют полный доступ к устройству, ее эксплуатация требует физического доступа и может привести к раскрытию информации.
Вторая связана с переполнением буфера в парсере шрифтов, которая намного более серьезна и имеет оценку CVSS 9,3. Ее использование дает злоумышленникам возможность удаленного выполнения кода, позволяя также злоумышленниу быстро распространиться с одного принтера на всю сеть.
F-Secure на примере МФУ HP M725z откатали все возможные вектора атак с использованием выявленных уязвимостей (прямая атака через открытые порты UART, отправка эксплойта на принтер непосредственно из браузера с помощью HTTP POST на порт JetDirect 9100/TCP, печать вредоносного документа и др.) и установили, чтобы использовать CVE-2021-39238 хакеру потребуется несколько секунд, в то время как опытный злоумышленник может осуществить взлом на основе CVE-2021-39237 менее чем за 5 минут.
Своими результатами они поделились с HP еще 29 апреля 2021 года, обнаружив значительное число и других уязвимых моделей. К 1 ноября 2021 года HP выпустили обновления прошивок для устранения этих баг.
Таким образом, в течение нескольких лет пользователи HP оставались открыты для различного вида атак. Радует, что F-Secure не зафиксировали использования уязвимостей в дикой природе. Тем не менее, владельцам МФУ настоятельно требуется обновить прошивки своих устройств как можно скорее.
Поможет также и отключение печати с USB, выделение принтера в отдельную VLAN за брандмауэром, ограничить исходящие соединения от принтера списком выделенных адресов, установка выделенного сервера печати для связи между рабочими станциями и принтерами.
Как когда-то, мы уже шутили, держите свой принтер на коротком поводке.
Американская компания по ДНК-тестированию DNA Diagnostics Center (DDC) из Огайо признала себя жертвой атаки, судя по всему, вымогателей, а данные в отношении 2,1 миллионов человек из числа ее клиентов утекли в сеть. DDC с 1995 года провела более 20 миллионов тестов ДНК, предлагая все виды услуг по изучению ДНК.
Инцидент был обнаружен 6 августа, после расследования стало понятно, что хакеры получили доступ к архивной базе данных, содержащей личную информацию за в период с 2004 по 2012 гг, которая передавалась в национальную систему организации генетического тестирования. Система не использовалась в работе DDC с 2012 года.
По заявлению учреждения, хакеры могли скопировать определенные файлы и папки в период с 24 мая по 28 июля 2021 года, до систем и баз данных, с которыми активно работает DDC злоумышленники не добрались.
Однако в Генеральную прокуратуру штата Мэн пострадавший DNA Diagnostics Center представил немного иные сведения, сообщив о 2,1 миллионах потенциальных жертв утечки, сведения о именах, номерах социального страхования, номерах банковских счетов и данных платежных карт попали в даркнет.
Результаты тестов на отцовство (родство), непременно должны были, забыть упомянуть, но если так – хакеры напомнят их результаты.
Инцидент был обнаружен 6 августа, после расследования стало понятно, что хакеры получили доступ к архивной базе данных, содержащей личную информацию за в период с 2004 по 2012 гг, которая передавалась в национальную систему организации генетического тестирования. Система не использовалась в работе DDC с 2012 года.
По заявлению учреждения, хакеры могли скопировать определенные файлы и папки в период с 24 мая по 28 июля 2021 года, до систем и баз данных, с которыми активно работает DDC злоумышленники не добрались.
Однако в Генеральную прокуратуру штата Мэн пострадавший DNA Diagnostics Center представил немного иные сведения, сообщив о 2,1 миллионах потенциальных жертв утечки, сведения о именах, номерах социального страхования, номерах банковских счетов и данных платежных карт попали в даркнет.
Результаты тестов на отцовство (родство), непременно должны были, забыть упомянуть, но если так – хакеры напомнят их результаты.
Forwarded from SecurityLab.ru
В сорок первом выпуске «Топа Security-новостей» главред SecurityLab.ru Александр Антипов расскажет о самых заметных инцидентах безопасности и важных событиях в мире технологий за неделю.
В Канаде подросток украл рекордную сумму в биткоинах, но попался на покупке редких ников, исследователи опубликовали данные сервера, где кибервымогатели Conti ведут переговоры с жертвами, ИИ уже используют для выявления новых синтетических наркотиков, а отпечатки пальца – далеко не надежный метод авторизации.
Суд оштрафовал Oriflame на 30 тыс. рублей за утечку персональных данных клиентов, а Apple обвинила производителя шпионского ПО NSO Group в злоупотреблении Pegasus для взлома и слежки. Украинский Днепр превратился в настоящую столицу телефонных мошенников, длинные пароли, если их не слили в Сеть, защищены от большинства брутфорс-атак, а вот доверять принтерам становится все опаснее.
План Минэкономразвития по поддержке ИТ-стартапов включает льготные кредиты и компенсацию 50% затрат на IPO, крупнейшая китайская компания в сфере ИИ SenseTime получила разрешение на IPO на Гонконгской бирже, а платформа Lacework привлекает $1,3 млрд для укрепления своего лидерства в облачной безопасности.
А также конкурсы с крутыми призами для подписчиков нашего канала:
https://www.youtube.com/watch?v=kbeysiKvS_Q
В Канаде подросток украл рекордную сумму в биткоинах, но попался на покупке редких ников, исследователи опубликовали данные сервера, где кибервымогатели Conti ведут переговоры с жертвами, ИИ уже используют для выявления новых синтетических наркотиков, а отпечатки пальца – далеко не надежный метод авторизации.
Суд оштрафовал Oriflame на 30 тыс. рублей за утечку персональных данных клиентов, а Apple обвинила производителя шпионского ПО NSO Group в злоупотреблении Pegasus для взлома и слежки. Украинский Днепр превратился в настоящую столицу телефонных мошенников, длинные пароли, если их не слили в Сеть, защищены от большинства брутфорс-атак, а вот доверять принтерам становится все опаснее.
План Минэкономразвития по поддержке ИТ-стартапов включает льготные кредиты и компенсацию 50% затрат на IPO, крупнейшая китайская компания в сфере ИИ SenseTime получила разрешение на IPO на Гонконгской бирже, а платформа Lacework привлекает $1,3 млрд для укрепления своего лидерства в облачной безопасности.
А также конкурсы с крутыми призами для подписчиков нашего канала:
https://www.youtube.com/watch?v=kbeysiKvS_Q
YouTube
ИИ-предсказатель запрещенных веществ, позорный слив кибервымогателей. Security-новости #41 | 12+
💰📊👉 Новости об инвестициях в кибербезопасность предоставлены каналом It’s positive investing - https://news.1rj.ru/str/positive_investing
0:00 Здравствуйте с вами Александр Антипов, ваш бессменный ведущий самых жарких новостей по информационной безопасности
0:55…
0:00 Здравствуйте с вами Александр Антипов, ваш бессменный ведущий самых жарких новостей по информационной безопасности
0:55…
Ни дня без ransomware.
Mandiant препарировали недавно дебютировавшую в июне 2021 года группу вымогателей Sabbath (отслеживаемую как UNC2190), нацеленную на критически важную инфраструктуру в США и Канаде, включая сферу образования, здравоохранения и добычи природных ресурсов. Первой же атакой Sabbath положили целый округ в США, выкатив сумму первоначальна выкупа в несколько лямов.
Как выяснили исследователи, ранее группа ранее действовала под именами Arcane и Eruption, а в прошлом году использовала ransomware ROLLCOAST. Группа не один раз меняла не только свое название, логотип и цветовые схемы в рамках ребрендинга, yj вносиkf при этом определенные технические изменения в свою партнерскую модель.
Но дело в том, что как бы вымогатели не меняли маски они допускали схожие грамматические ошибки в сообщениях на форумах, оставляя образцы Cobalt Strike и инфраструктуру без изменений. Лишь с июня 2021 года Cobalt Strike стал включать уникальные элементы профиля, а в июле хакеры стали использовать Themida для упаковки образцов вредоносного ПО и обхода обнаружения.
Анализ используемой хакерами ROLLCOAST также указал на ее сходство с Tycoon, например, AES в режиме GCM для шифрования и перекрытие каталогов, файлов и расширений, которые игнорируются в процессе шифрования. Все говорит о том, что элементы из Tycoon были взяты в разработку ROLLCOAST.
В целом, Mandiant подчеркивают, что благодаря неоднократному ребрендингу и более избирательному подходу к выбору целей Sabbath долгое время оставалась незамеченной и избегала пристального внимания, при этом прибегая лишь к косметическим изменениям схемы своей работы.
А специалистам из Symantec удалось отследить некоторые особенности вымогателя Yanluowang. Ransomware используется злоумышленником, который проводит целевые атаки на корпорации США, по крайней мере, с августа 2021 года. При этом финансовый сектор является основной целью хакеров, но они также работают по промышленным, ИТ, консалтинговым и инженерным компаниям.
Как выяснили исследователи, используемые злоумышленником TTP, похожи на те, что используются операторами вымогателя Thieflock, за которой стоит группа FiveHands. Symantec полагает, что в настоящее время Yanluowang может управлять бывшим филиалом Thieflock. При этом авторство двух семейств программ-вымогателей не имеет общего авторства.
Однако атрибуция строится на использовании в атаках специальных инструментов восстановления пароля, инструментов сканирования сети с открытым исходным кодом и бесплатных браузеров.
В рамках атак противник применяет PowerShell для загрузки различных полезных данных на скомпрометированные машины, а протокол RDP включается в реестре для удаленного доступа к скомпрометированной машине. Также развертывается инструмент удаленного доступа ConnectWise.
Злоумышленники используют AdFind для запроса Active Directory и выявления систем, представляющих интерес для бокового перемещения. Также используется SoftPerfect Network Scanner вместе с различными инструментами для кражи учетных данных, включая GrabFF, GrabChrome, BrowserPassView и KeeThief.
Symantec также выявила использование средств захвата экрана и эксфильтрации файлов, наличие Cobalt Strike Beacon в системах одной организации и использование таких инструментов, как ProxifierPE.
В целом, все это указывает на управление Yanluowang злоумышленником, ранее входившим в группу FiveHands.
Mandiant препарировали недавно дебютировавшую в июне 2021 года группу вымогателей Sabbath (отслеживаемую как UNC2190), нацеленную на критически важную инфраструктуру в США и Канаде, включая сферу образования, здравоохранения и добычи природных ресурсов. Первой же атакой Sabbath положили целый округ в США, выкатив сумму первоначальна выкупа в несколько лямов.
Как выяснили исследователи, ранее группа ранее действовала под именами Arcane и Eruption, а в прошлом году использовала ransomware ROLLCOAST. Группа не один раз меняла не только свое название, логотип и цветовые схемы в рамках ребрендинга, yj вносиkf при этом определенные технические изменения в свою партнерскую модель.
Но дело в том, что как бы вымогатели не меняли маски они допускали схожие грамматические ошибки в сообщениях на форумах, оставляя образцы Cobalt Strike и инфраструктуру без изменений. Лишь с июня 2021 года Cobalt Strike стал включать уникальные элементы профиля, а в июле хакеры стали использовать Themida для упаковки образцов вредоносного ПО и обхода обнаружения.
Анализ используемой хакерами ROLLCOAST также указал на ее сходство с Tycoon, например, AES в режиме GCM для шифрования и перекрытие каталогов, файлов и расширений, которые игнорируются в процессе шифрования. Все говорит о том, что элементы из Tycoon были взяты в разработку ROLLCOAST.
В целом, Mandiant подчеркивают, что благодаря неоднократному ребрендингу и более избирательному подходу к выбору целей Sabbath долгое время оставалась незамеченной и избегала пристального внимания, при этом прибегая лишь к косметическим изменениям схемы своей работы.
А специалистам из Symantec удалось отследить некоторые особенности вымогателя Yanluowang. Ransomware используется злоумышленником, который проводит целевые атаки на корпорации США, по крайней мере, с августа 2021 года. При этом финансовый сектор является основной целью хакеров, но они также работают по промышленным, ИТ, консалтинговым и инженерным компаниям.
Как выяснили исследователи, используемые злоумышленником TTP, похожи на те, что используются операторами вымогателя Thieflock, за которой стоит группа FiveHands. Symantec полагает, что в настоящее время Yanluowang может управлять бывшим филиалом Thieflock. При этом авторство двух семейств программ-вымогателей не имеет общего авторства.
Однако атрибуция строится на использовании в атаках специальных инструментов восстановления пароля, инструментов сканирования сети с открытым исходным кодом и бесплатных браузеров.
В рамках атак противник применяет PowerShell для загрузки различных полезных данных на скомпрометированные машины, а протокол RDP включается в реестре для удаленного доступа к скомпрометированной машине. Также развертывается инструмент удаленного доступа ConnectWise.
Злоумышленники используют AdFind для запроса Active Directory и выявления систем, представляющих интерес для бокового перемещения. Также используется SoftPerfect Network Scanner вместе с различными инструментами для кражи учетных данных, включая GrabFF, GrabChrome, BrowserPassView и KeeThief.
Symantec также выявила использование средств захвата экрана и эксфильтрации файлов, наличие Cobalt Strike Beacon в системах одной организации и использование таких инструментов, как ProxifierPE.
В целом, все это указывает на управление Yanluowang злоумышленником, ранее входившим в группу FiveHands.
Google Cloud Blog
Kitten.gif: Meet the Sabbath Ransomware Affiliate Program, Again | Google Cloud Blog
Mozilla выпустила исправления для устранения критической уязвимости в Network Security Services (NSS), которая потенциально может быть использована для вызова сбоя приложения и выполнения произвольного кода. Ошибка была обнаружена Тэвисом Орманди из Google Project Zero и получила наименованием BigSig.
NSS - это набор криптографических компьютерных библиотек с открытым исходным кодом, предназначенных для кроссплатформенной разработки клиент-серверных приложений с поддержкой SSL v3, TLS, PKCS5, PKCS7, PKCS11, PKCS12, X.509 v3 и других стандартов безопасности. NSS используется многими компаниями, включая AOL, Red Hat и Google.
CVE-2021-43527 затрагивает актуальные версии NSS до 3.73 или 3.68.1 ESR и заключается в переполнение буфера на основе кучи при проверке цифровых подписей DSA и RSA-PSS, которые закодированы с использованием двоичного формата DER.
BigSig не оказывает никакого влияния на сам Mozilla Firefox, а вот почтовые клиенты, программы просмотра PDF-файлов и другие приложения, в основе которых реализован NSS для проверки подписи, такие как Red Hat, Thunderbird, LibreOffice, Evolution и Evince можно считать уязвимыми.
Сама уязвимость, по мнению экспертов, уникальна своей простотой и возрастом (начиная с версии 3.14, выпущенной в октябре 2012 года).
Так что разработчикам решений на основе NSS в ближайшее время предстоит своя работа над ошибками и обновлением своих библиотек.
NSS - это набор криптографических компьютерных библиотек с открытым исходным кодом, предназначенных для кроссплатформенной разработки клиент-серверных приложений с поддержкой SSL v3, TLS, PKCS5, PKCS7, PKCS11, PKCS12, X.509 v3 и других стандартов безопасности. NSS используется многими компаниями, включая AOL, Red Hat и Google.
CVE-2021-43527 затрагивает актуальные версии NSS до 3.73 или 3.68.1 ESR и заключается в переполнение буфера на основе кучи при проверке цифровых подписей DSA и RSA-PSS, которые закодированы с использованием двоичного формата DER.
BigSig не оказывает никакого влияния на сам Mozilla Firefox, а вот почтовые клиенты, программы просмотра PDF-файлов и другие приложения, в основе которых реализован NSS для проверки подписи, такие как Red Hat, Thunderbird, LibreOffice, Evolution и Evince можно считать уязвимыми.
Сама уязвимость, по мнению экспертов, уникальна своей простотой и возрастом (начиная с версии 3.14, выпущенной в октябре 2012 года).
Так что разработчикам решений на основе NSS в ближайшее время предстоит своя работа над ошибками и обновлением своих библиотек.
Mozilla
Memory corruption in NSS via DER-encoded DSA and RSA-PSS signatures
Полный разбор кибербитвы The Standoff: приглашаем всех желающих на онлайн-митап
6 декабря аналитики центра предотвращения киберугроз CyberART ГК Innostage и Positive Technologies проведут совместную онлайн-встречу, на которой расскажут об устройстве киберполигона The Standoff, подходе к практической киберзащите, ходе киберучений, а также подробно разберут два примера реализованных атак: на транспортную компанию и предприятие нефтехимии.
Митап будет полезен специалистам и руководителям ИБ-служб, обеспечивающим практическую корпоративную и промышленную кибербезопасность.
Программа встречи:
• The Standoff: что это, для чего нужен и как проходил
• Чем этот The Standoff отличается от предыдущих
• Инфраструктура государства F: риски и отрасли
• Как проходила подготовка SOC CyberART к мероприятию
• Цепочка реализации риска в транспортной компании
• Цепочка реализации риска в нефтехимической компании
• Ответы на вопросы участников
Для участия в онлайн-митапе необходимо зарегистрироваться
6 декабря аналитики центра предотвращения киберугроз CyberART ГК Innostage и Positive Technologies проведут совместную онлайн-встречу, на которой расскажут об устройстве киберполигона The Standoff, подходе к практической киберзащите, ходе киберучений, а также подробно разберут два примера реализованных атак: на транспортную компанию и предприятие нефтехимии.
Митап будет полезен специалистам и руководителям ИБ-служб, обеспечивающим практическую корпоративную и промышленную кибербезопасность.
Программа встречи:
• The Standoff: что это, для чего нужен и как проходил
• Чем этот The Standoff отличается от предыдущих
• Инфраструктура государства F: риски и отрасли
• Как проходила подготовка SOC CyberART к мероприятию
• Цепочка реализации риска в транспортной компании
• Цепочка реализации риска в нефтехимической компании
• Ответы на вопросы участников
Для участия в онлайн-митапе необходимо зарегистрироваться
Исследователи голландской компании по кибербезопасности Sansec, которые ранее разбирали CronRAT, который злоупотреблял системой планирования задач cron, на этот раз обнаружили новую угрозу.
Угроза получила название NginRAT - некое коллаборация целевого приложения и возможностей удаленного доступа, используемая в атаках на стороне сервера для кражи данных платежных карт Интернет-магазинов. Следы вредоносного ПО были обнаружены на серверах США, Германии и Франции, которые были также заражены CronRAT.
Sansec смог изучить NginRAT после создания пользовательского CronRAT и наблюдения за обменом данными с C2, расположенным в Китае. Новое вредоносное ПО в скомпрометированную систему поставляется CronRAT посредством специальной команды dwn, которая загружает вредоносную системную библиотеку Linux в папку dev/shm/php-shared. Затем библиотека запускается с использованием функции отладки LD_PRELOAD в Linux.
Оба, несмотря на использование очень разных методов для поддержания своей скрытности, выполняют одну и ту же роль, выступая в качестве резервной копии для сохранения удаленного доступа.
NginRAT, по сути, захватывает хост-приложение Nginx, чтобы оставаться незамеченным. Для этого NginRAT изменяет основные функции хост-системы Linux. Когда веб-сервер Nginx использует такую функциональность (например, dlopen), NginRAT перехватывает его, чтобы внедриться. Затем процесс Nginx встраивает вредоносное ПО для удаленного доступа таким образом, что его практически невозможно отличить от легитимного. NginRAT скрывается как обычный процесс Nginx, а код существует только в памяти сервера.
Обнаружить активные вредоносные процессы можно используя опечатку в командах с переменными LD_PRELOAD и LD_L1BRARY_PATH. При этом Sansec отмечает, если на сервере обнаружен NginRAT, администраторам также необходимо проверить систему задач cron, и, вероятно, там также прячется вредоносное ПО, добавленное CronRAT.
Угроза получила название NginRAT - некое коллаборация целевого приложения и возможностей удаленного доступа, используемая в атаках на стороне сервера для кражи данных платежных карт Интернет-магазинов. Следы вредоносного ПО были обнаружены на серверах США, Германии и Франции, которые были также заражены CronRAT.
Sansec смог изучить NginRAT после создания пользовательского CronRAT и наблюдения за обменом данными с C2, расположенным в Китае. Новое вредоносное ПО в скомпрометированную систему поставляется CronRAT посредством специальной команды dwn, которая загружает вредоносную системную библиотеку Linux в папку dev/shm/php-shared. Затем библиотека запускается с использованием функции отладки LD_PRELOAD в Linux.
Оба, несмотря на использование очень разных методов для поддержания своей скрытности, выполняют одну и ту же роль, выступая в качестве резервной копии для сохранения удаленного доступа.
NginRAT, по сути, захватывает хост-приложение Nginx, чтобы оставаться незамеченным. Для этого NginRAT изменяет основные функции хост-системы Linux. Когда веб-сервер Nginx использует такую функциональность (например, dlopen), NginRAT перехватывает его, чтобы внедриться. Затем процесс Nginx встраивает вредоносное ПО для удаленного доступа таким образом, что его практически невозможно отличить от легитимного. NginRAT скрывается как обычный процесс Nginx, а код существует только в памяти сервера.
Обнаружить активные вредоносные процессы можно используя опечатку в командах с переменными LD_PRELOAD и LD_L1BRARY_PATH. При этом Sansec отмечает, если на сервере обнаружен NginRAT, администраторам также необходимо проверить систему задач cron, и, вероятно, там также прячется вредоносное ПО, добавленное CronRAT.
Sansec
NginRAT parasite targets Nginx
A new parasitic malware targets the popular Nginx web server, Sansec discovered. This novel code injects itself into a host Nginx application and is nearly i...
Сведения об отцовстве (в том числе планируемом) более 400000 пациентов были украдены вымогателями из отделения Planned Parenthood в Лос-Анджелесе.
В результате атаки, состоявшейся в период с 9 по 17 октября, злоумышленники эксфильтровали файлы, содержащие имена пациентов, их адреса, страховую и медицинскую информацию, включая истории их меднаблюдения, выписанные рецепты и поставленные диагнозы.
По сообщению медорганизации, инцидент расследуется, о деталях переговорах и выплате выкупа умалчивается.
Отметим, что компанию уже взламывали. В этом году утечка была обнаружена подразделением в Вашингтоне, специалисты которого обнаружили кражу информации о пациентах и донорах, произошедшую в 2020 году. А в 2015 году хакеры и вовсе размещали в Интернет имена и другую информацию о сотнях сотрудников службы планирования семьи.
Пока неясно, кто именно несет ответственность за атаку на будущих отцов, пока не решился окончательно вопрос выкупа, и, стало быть, дальнейшая судьба столь интересной для мошенников Data.
В результате атаки, состоявшейся в период с 9 по 17 октября, злоумышленники эксфильтровали файлы, содержащие имена пациентов, их адреса, страховую и медицинскую информацию, включая истории их меднаблюдения, выписанные рецепты и поставленные диагнозы.
По сообщению медорганизации, инцидент расследуется, о деталях переговорах и выплате выкупа умалчивается.
Отметим, что компанию уже взламывали. В этом году утечка была обнаружена подразделением в Вашингтоне, специалисты которого обнаружили кражу информации о пациентах и донорах, произошедшую в 2020 году. А в 2015 году хакеры и вовсе размещали в Интернет имена и другую информацию о сотнях сотрудников службы планирования семьи.
Пока неясно, кто именно несет ответственность за атаку на будущих отцов, пока не решился окончательно вопрос выкупа, и, стало быть, дальнейшая судьба столь интересной для мошенников Data.
Forwarded from Эксплойт | Live
Теперь мошеннические сайты будут блокировать без суда
Как только будет обнаружен очередной сайт с финансовой пирамидой или поддельным банковским приложением, он будет заблокирован в течение нескольких дней.
Раньше это можно было реализовать только по решению суда, что, очевидно, занимало немало времени.
В некоторых случаях фактическая блокировка сайта наступала больше, чем через месяц, благо теперь такое долгое ожидание будет попросту невозможно.
Этот закон, к слову, приняли очень вовремя, ведь именно в последние месяцы подобные сайты стали появляться чаще, чем обычно.
Как только будет обнаружен очередной сайт с финансовой пирамидой или поддельным банковским приложением, он будет заблокирован в течение нескольких дней.
Раньше это можно было реализовать только по решению суда, что, очевидно, занимало немало времени.
В некоторых случаях фактическая блокировка сайта наступала больше, чем через месяц, благо теперь такое долгое ожидание будет попросту невозможно.
Этот закон, к слову, приняли очень вовремя, ведь именно в последние месяцы подобные сайты стали появляться чаще, чем обычно.
Сервера Microsoft Exchange вновь под ударом.
Red Canary сообщают об атаках BlackByte, которые взламывают корпоративные сети, эксплуатируя серверы Microsoft Exchange с помощью уязвимостей ProxyShell.
Все мы помним о комбинации трех уязвимостей Microsoft Exchange, включая CVE-2021-34473, CVE-2021-34523 и CVE-2021-31207, которые хоть и были исправлены в апреле-мае этого года, но на непропатченных системах позволяют удаленно выполнять код без проверки подлинности на сервере.
Действуя по накатанной технологии, BlackByte с помощью ProxyShell устанавливают веб-шеллы на скомпрометированные сервера Microsoft Exchange, затем цепляют Cobalt Strike, а после захвата учетных данных в системе приступают к работе со своим софтом, что отличает BlackByte от коллег, которые в основном используют сторонние инструменты для получения повышенных привилегий или развертывания ransomware.
Исполняемый файл BlackByte играет ключевую роль, обеспечивая как повышение привилегий, так и возможность бокового перемещения в скомпрометированной среде. ПО устанавливает три значения реестра: одно для повышения локальных привилегий, одно для включения совместного использования сетевого подключения между всеми уровнями привилегий и одно для разрешения длинных значений пути для путей к файлам.
Перед шифрованием malware удаляет задачу Raccine Rules Updater и стирает теневые копии напрямую через WMI с помощью обфусцированной команды PowerShell. В то время как, украденные файлы извлекаются с помощью WinRAR для архивирования файлов и анонимных платформ обмена файлами, таких как file.io или anonymfiles.com.
Результаты исследований Red Canary вряд ли порадуют, ведь стало понятно, что выпущенный Trustwave в октябре 2021 года декриптор уже бесполезен перед множеством появившихся в дикой природе более свежих версий BlackByte.
Конечно, атаками с использованиям ProxyShell к настоящему времени, казалось бы, уже никого не удивишь, но все же схема работает с точки зрения вымогателей, а значит время для применения обновлений безопасности наступило еще позавчера, прежде всего, для тех, кто еще не знаком с ransomware.
Red Canary сообщают об атаках BlackByte, которые взламывают корпоративные сети, эксплуатируя серверы Microsoft Exchange с помощью уязвимостей ProxyShell.
Все мы помним о комбинации трех уязвимостей Microsoft Exchange, включая CVE-2021-34473, CVE-2021-34523 и CVE-2021-31207, которые хоть и были исправлены в апреле-мае этого года, но на непропатченных системах позволяют удаленно выполнять код без проверки подлинности на сервере.
Действуя по накатанной технологии, BlackByte с помощью ProxyShell устанавливают веб-шеллы на скомпрометированные сервера Microsoft Exchange, затем цепляют Cobalt Strike, а после захвата учетных данных в системе приступают к работе со своим софтом, что отличает BlackByte от коллег, которые в основном используют сторонние инструменты для получения повышенных привилегий или развертывания ransomware.
Исполняемый файл BlackByte играет ключевую роль, обеспечивая как повышение привилегий, так и возможность бокового перемещения в скомпрометированной среде. ПО устанавливает три значения реестра: одно для повышения локальных привилегий, одно для включения совместного использования сетевого подключения между всеми уровнями привилегий и одно для разрешения длинных значений пути для путей к файлам.
Перед шифрованием malware удаляет задачу Raccine Rules Updater и стирает теневые копии напрямую через WMI с помощью обфусцированной команды PowerShell. В то время как, украденные файлы извлекаются с помощью WinRAR для архивирования файлов и анонимных платформ обмена файлами, таких как file.io или anonymfiles.com.
Результаты исследований Red Canary вряд ли порадуют, ведь стало понятно, что выпущенный Trustwave в октябре 2021 года декриптор уже бесполезен перед множеством появившихся в дикой природе более свежих версий BlackByte.
Конечно, атаками с использованиям ProxyShell к настоящему времени, казалось бы, уже никого не удивишь, но все же схема работает с точки зрения вымогателей, а значит время для применения обновлений безопасности наступило еще позавчера, прежде всего, для тех, кто еще не знаком с ransomware.
Red Canary
ProxyShell exploitation leads to BlackByte ransomware | Red Canary
BlackByte ransomware leverages ProxyShell Microsoft Exchange vulnerabilities for initial access and Cobalt Strike for lateral movement.
Unit42 Palo Alto Networks сообщают о новых атаках на клиентов Zoho.
Новое расследование Palo Alto дополняет их выводы о причастности китайской APT27 к нападениям на более чем 370 серверов Zoho ManageEngine в США. Как мы сообщали, атаки совершались с использованием известной 0-day уязвимости CVE-2021-40539 в ADSelfService Plus, исправленной еще 8 сентября.
Теперь же, согласно отчету Unit42, АРТ переориентировалась на эксплуатацию другой уязвимости CVE-2021-44077 в Zoho ServiceDesk Plus версий 11305 и более ранних, для которой, как известно, не существует общедоступного PoC. Группа APT самостоятельно разработала код эксплойта и использует его исключительно в своих интересах.
Уязвимость эксплуатируется отправкой двух запросов к REST API: один для загрузки исполняемого файла (msiexec.exe), а второй - для запуска полезной нагрузки. Этот процесс выполняется удаленно и не требует аутентификации на уязвимом сервере ServiceDesk. Когда ServiceDesk выполняет полезную нагрузку, создается мьютекс, и жестко запрограммированный модуль Java записывается в lib/tomcat/tomcat-postgres.jar (одна из разновидностей Godzilla), который загружается в процессы ServiceDesk.
При этом злоумышленники использовали тот же секретный ключ веб-оболочки, что и в атаках на ADSelfService Plus, но на этот раз он устанавливается как фильтр сервлетов Apache Tomcat Java, что отсутствие определенного URL-адреса, на который субъект будет отправлять свои запросы при взаимодействии с веб-оболочкой, что в целом позволит обойти фильтр безопасности в ServiceDesk Plus для сохранения доступа к файлам веб-оболочки. Для создания фильтра использовался общедоступный код под названием tomcat-backdoor, а затем к нему была добавлена модифицированная веб-оболочка Godzilla.
Несмотря на устранение RCE еще 16 сентября и публикацию 22 ноября 2021 года всех необходимых рекомендаций по безопасности, клиенты не спешат обновляться. К настоящему времени обнаружено более 600 уязвимых систем в США и еще 2100 в Индии, России, Великобритании, Турции и других странах. Причем многие из уязвимых решений применяются в госсекторе и ни объектах критической инфраструктуры. А 9 компании уже пали жертвой АРТ.
И вновь, виноватыми назначили китайскую APT27, ТТР которой, как полагают Unit42, соответствуют расследуемым кампаниям и полностью коррелируют с выводами Microsoft Threat Intelligence Center (MSTIC) в отношении DEV-0322. Но несмотря на громкие заявления, официально Palo Alto продолжают атрибуцию.
Организациям же настоятельно рекомендуется как можно скорее исправить дыры в ПО Zoho и изучить файлы в каталогах ServiceDesk Plus в ретроспективе октября 2021 года.
Новое расследование Palo Alto дополняет их выводы о причастности китайской APT27 к нападениям на более чем 370 серверов Zoho ManageEngine в США. Как мы сообщали, атаки совершались с использованием известной 0-day уязвимости CVE-2021-40539 в ADSelfService Plus, исправленной еще 8 сентября.
Теперь же, согласно отчету Unit42, АРТ переориентировалась на эксплуатацию другой уязвимости CVE-2021-44077 в Zoho ServiceDesk Plus версий 11305 и более ранних, для которой, как известно, не существует общедоступного PoC. Группа APT самостоятельно разработала код эксплойта и использует его исключительно в своих интересах.
Уязвимость эксплуатируется отправкой двух запросов к REST API: один для загрузки исполняемого файла (msiexec.exe), а второй - для запуска полезной нагрузки. Этот процесс выполняется удаленно и не требует аутентификации на уязвимом сервере ServiceDesk. Когда ServiceDesk выполняет полезную нагрузку, создается мьютекс, и жестко запрограммированный модуль Java записывается в lib/tomcat/tomcat-postgres.jar (одна из разновидностей Godzilla), который загружается в процессы ServiceDesk.
При этом злоумышленники использовали тот же секретный ключ веб-оболочки, что и в атаках на ADSelfService Plus, но на этот раз он устанавливается как фильтр сервлетов Apache Tomcat Java, что отсутствие определенного URL-адреса, на который субъект будет отправлять свои запросы при взаимодействии с веб-оболочкой, что в целом позволит обойти фильтр безопасности в ServiceDesk Plus для сохранения доступа к файлам веб-оболочки. Для создания фильтра использовался общедоступный код под названием tomcat-backdoor, а затем к нему была добавлена модифицированная веб-оболочка Godzilla.
Несмотря на устранение RCE еще 16 сентября и публикацию 22 ноября 2021 года всех необходимых рекомендаций по безопасности, клиенты не спешат обновляться. К настоящему времени обнаружено более 600 уязвимых систем в США и еще 2100 в Индии, России, Великобритании, Турции и других странах. Причем многие из уязвимых решений применяются в госсекторе и ни объектах критической инфраструктуры. А 9 компании уже пали жертвой АРТ.
И вновь, виноватыми назначили китайскую APT27, ТТР которой, как полагают Unit42, соответствуют расследуемым кампаниям и полностью коррелируют с выводами Microsoft Threat Intelligence Center (MSTIC) в отношении DEV-0322. Но несмотря на громкие заявления, официально Palo Alto продолжают атрибуцию.
Организациям же настоятельно рекомендуется как можно скорее исправить дыры в ПО Zoho и изучить файлы в каталогах ServiceDesk Plus в ретроспективе октября 2021 года.
Unit 42
APT Expands Attack on ManageEngine With Active Campaign Against ServiceDesk Plus
A persistent and determined APT actor has expanded beyond Zoho ManageEngine ADSelfService Plus and begun an active campaign against ServiceDesk Plus.
IoT Inspector в сотрудничестве с журналом CHIP решили затестить наиболее популярные среди миллионов пользователей модели WiFi маршрутизаторов: Asus, AVM, D-Link, Netgear, Edimax, TP-Link, Synology и Linksys.
И ужаснулись.
Исследователи прогнали устройства по известным 5000 CVE и другим проблемам безопасности. Обнаружили в них в общей сложности 226 потенциальных уязвимостей. Лидерами антирейтинга по количеству уязвимостей стали TP-Link Archer AX6000 (32 ошибки) и Synology RT-2600ac (30 ошибок). Многие маршрутизаторы по-прежнему остаются уязвимыми для уже публично раскрытых уязвимостей даже при использовании последней версии встроенного ПО.
Из общих проблем исследователи выяв или следующие: устаревшее ядро Linux в прошивке, устаревшие функции мультимедиа и VPN, чрезмерное использование старых версий BusyBox, использование слабых паролей по умолчанию (таких как admin), наличие жестко запрограммированных учетных данных в текстовой форме.
Отдельно в качестве знакового результата тестов исследователями была представлена атака, в результате которой им удалось извлечь ключ шифрования для образов прошивки маршрутизатора D-Link.
Команда нашла способ получить локальные привилегии на D-Link DIR-X1560, обеспечив доступ к оболочке через физический интерфейс отладки UART. Затем они сбросили всю файловую систему с помощью встроенных команд BusyBox и обнаружили двоичный файл, отвечающий за процедуру дешифрования.
Анализируя соответствующие переменные и функции, исследователи в конечном итоге извлекли ключ AES для шифрования прошивки. Используя его, злоумышленник может накатывать прошивки без прохождения проверочных проверок на устройстве, заражая маршрутизатор вредоносным ПО.
Все участвовавшие в тестировании производители оперативно отреагировали на выводы исследователей и выпустили исправления для прошивки, устранили большинство недостатков безопасности, выявленных рабочей группой, но не все из них.
Главной общей проблемой безопасности остаются принцип подключи, играй и забудь, которым руководствуется большая часть пользователей. Просто ответьте на вопрос: меняли ли вы дефолтный пароль от админки при первой настройке и когда в последний раз устанавливали обновления прошивки на своем роутере.
Затрудняетесь? Тогда независимо от результатов исследования IoT Inspector и CHIP следует применить доступные обновления, включить автоматическое обновление системы и поменять пароль по умолчанию. Кроме того, следует отключить удаленный доступ, функции UPnP (Universal Plug and Play) и WPS (Wi-Fi Protected Setup), если вы не пользуетесь ими.
И ужаснулись.
Исследователи прогнали устройства по известным 5000 CVE и другим проблемам безопасности. Обнаружили в них в общей сложности 226 потенциальных уязвимостей. Лидерами антирейтинга по количеству уязвимостей стали TP-Link Archer AX6000 (32 ошибки) и Synology RT-2600ac (30 ошибок). Многие маршрутизаторы по-прежнему остаются уязвимыми для уже публично раскрытых уязвимостей даже при использовании последней версии встроенного ПО.
Из общих проблем исследователи выяв или следующие: устаревшее ядро Linux в прошивке, устаревшие функции мультимедиа и VPN, чрезмерное использование старых версий BusyBox, использование слабых паролей по умолчанию (таких как admin), наличие жестко запрограммированных учетных данных в текстовой форме.
Отдельно в качестве знакового результата тестов исследователями была представлена атака, в результате которой им удалось извлечь ключ шифрования для образов прошивки маршрутизатора D-Link.
Команда нашла способ получить локальные привилегии на D-Link DIR-X1560, обеспечив доступ к оболочке через физический интерфейс отладки UART. Затем они сбросили всю файловую систему с помощью встроенных команд BusyBox и обнаружили двоичный файл, отвечающий за процедуру дешифрования.
Анализируя соответствующие переменные и функции, исследователи в конечном итоге извлекли ключ AES для шифрования прошивки. Используя его, злоумышленник может накатывать прошивки без прохождения проверочных проверок на устройстве, заражая маршрутизатор вредоносным ПО.
Все участвовавшие в тестировании производители оперативно отреагировали на выводы исследователей и выпустили исправления для прошивки, устранили большинство недостатков безопасности, выявленных рабочей группой, но не все из них.
Главной общей проблемой безопасности остаются принцип подключи, играй и забудь, которым руководствуется большая часть пользователей. Просто ответьте на вопрос: меняли ли вы дефолтный пароль от админки при первой настройке и когда в последний раз устанавливали обновления прошивки на своем роутере.
Затрудняетесь? Тогда независимо от результатов исследования IoT Inspector и CHIP следует применить доступные обновления, включить автоматическое обновление системы и поменять пароль по умолчанию. Кроме того, следует отключить удаленный доступ, функции UPnP (Universal Plug and Play) и WPS (Wi-Fi Protected Setup), если вы не пользуетесь ими.
Onekey
Resources | ONEKEY
Automate your process with our all-in-one platform and expert services. Seamless SBOM management, vulnerability analysis, and compliance reporting. Book a call!
Исследователи ESET представили результаты изучения вредоносных фреймворков, которые встречались последние 15 лет в ходе атак на сети с воздушным зазором.
Как удалось выяснить, все фреймворки предназначены для ведения шпионажа в той или иной форме. При этом только в первой половине 2020 года были обнаружены 4 различных вредоносных фреймворка, предназначенных для атак на сети с воздушным зазором, в результате чего общее количество таких наборов инструментов достигло 17.
Все фреймворки использовали USB-накопители в качестве физической среды передачи для передачи данных в целевые сети с воздушными зазорами и из них, за все время не было обнаружено ни одного случая фактического или предполагаемого использования скрытой физической передачи.
Основное различие между подключенными и автономными фреймворками заключается в том, как в первую очередь используется накопитель. В то время как подключенные работают путем развертывания вредоносного ПО в подключенной системе, который отслеживает вставку новых USB-накопителей и автоматически размещает код атаки, необходимый для компрометации системы с воздушными зазорами, автономные фреймворки, такие как Brutal Kangaroo, EZCheese и ProjectSauron, полагаются на злоумышленников, умышленно заражающих собственные USB-накопителей с целью взлома целевой машины.
Более 75% всех фреймворков использовали вредоносные LNK-файлы или AutoRun на USB-накопителях, чтобы выполнить начальную компрометацию системы с воздушным зазором либо для бокового перемещения внутри сети с воздушным зазором.
За последние 10 лет было обнаружено более 10 уязвимостей удаленного выполнения кода в Windows критической степени серьезности, связанных с LNK, которые затем были исправлены Microsoft. При этом все фреймворки были созданы для атак на системы Windows. Исследователи не обнаружили никаких доказательств наличия реальных или предполагаемых вредоносных компонентов, предназначенных для других ОС.
Учитывая, что воздушный зазор является одним из наиболее распространенных способов защиты SCADA и промышленных систем управления (ICS), многие APT все чаще обращают внимание на критически важную инфраструктуру в «воздухе».
Так, некоторые фреймворки были отнесены к четко определенным, хорошо известным злоумышленникам: Retro (DarkHotel aka APT-C-06 or Dubnium), Ramsay (DarkHotel), USBStealer (Fancy Bear), USBFerry (Tropic Trooper aka APT23 or Pirate Panda), Fanny (Equation Group), USBCulprit (Goblin Panda aka Hellsing or Cycldek), PlugX (Mustang Panda) и Agent.BTZ (Turla Group).
В качестве мер противодействия подобным атакам компаниям рекомендуется предотвращать прямой доступ к электронной почте в подключенных системах, отключать USB-порты и проверять USB-накопители, ограничивая выполнение файлов на съемных дисках и проводить периодический анализ закрытых систем на наличие каких-либо признаков аномальной активности.
Ведь, даже воздушные зазоры не спасут от устаревшего ПО или самого банального человеческого фактора.
Как удалось выяснить, все фреймворки предназначены для ведения шпионажа в той или иной форме. При этом только в первой половине 2020 года были обнаружены 4 различных вредоносных фреймворка, предназначенных для атак на сети с воздушным зазором, в результате чего общее количество таких наборов инструментов достигло 17.
Все фреймворки использовали USB-накопители в качестве физической среды передачи для передачи данных в целевые сети с воздушными зазорами и из них, за все время не было обнаружено ни одного случая фактического или предполагаемого использования скрытой физической передачи.
Основное различие между подключенными и автономными фреймворками заключается в том, как в первую очередь используется накопитель. В то время как подключенные работают путем развертывания вредоносного ПО в подключенной системе, который отслеживает вставку новых USB-накопителей и автоматически размещает код атаки, необходимый для компрометации системы с воздушными зазорами, автономные фреймворки, такие как Brutal Kangaroo, EZCheese и ProjectSauron, полагаются на злоумышленников, умышленно заражающих собственные USB-накопителей с целью взлома целевой машины.
Более 75% всех фреймворков использовали вредоносные LNK-файлы или AutoRun на USB-накопителях, чтобы выполнить начальную компрометацию системы с воздушным зазором либо для бокового перемещения внутри сети с воздушным зазором.
За последние 10 лет было обнаружено более 10 уязвимостей удаленного выполнения кода в Windows критической степени серьезности, связанных с LNK, которые затем были исправлены Microsoft. При этом все фреймворки были созданы для атак на системы Windows. Исследователи не обнаружили никаких доказательств наличия реальных или предполагаемых вредоносных компонентов, предназначенных для других ОС.
Учитывая, что воздушный зазор является одним из наиболее распространенных способов защиты SCADA и промышленных систем управления (ICS), многие APT все чаще обращают внимание на критически важную инфраструктуру в «воздухе».
Так, некоторые фреймворки были отнесены к четко определенным, хорошо известным злоумышленникам: Retro (DarkHotel aka APT-C-06 or Dubnium), Ramsay (DarkHotel), USBStealer (Fancy Bear), USBFerry (Tropic Trooper aka APT23 or Pirate Panda), Fanny (Equation Group), USBCulprit (Goblin Panda aka Hellsing or Cycldek), PlugX (Mustang Panda) и Agent.BTZ (Turla Group).
В качестве мер противодействия подобным атакам компаниям рекомендуется предотвращать прямой доступ к электронной почте в подключенных системах, отключать USB-порты и проверять USB-накопители, ограничивая выполнение файлов на съемных дисках и проводить периодический анализ закрытых систем на наличие каких-либо признаков аномальной активности.
Ведь, даже воздушные зазоры не спасут от устаревшего ПО или самого банального человеческого фактора.
—Партнерский пост—
Несмотря на жизненные ненастья Group-IB умеет и продолжает в инфосек.
Вчера на ежегодном CyberCrimeCon’2021 компания представила традиционный отчет Hi-Tech Crime Trends, который теперь выходит в формате нескольких частей (для лучшего усвоения материала).
Основываясь на данных системы Threat Intelligence&Attribution, про которую мы уже рассказывали, исследователи проанализировали рынок продаж доступов в скомпрометированные сети за последние 15 лет (пацаны вообще ребята). В полученных результатых встречаются любопытные скриншоты даже от 2006 года.
Из актуального:
- в даркнете выставлено на продажу 1099 доступов к сетям различных компаний;
- за год количество продавцов выросло на 205% (!), основная часть — русскоязычные;
- в этот же период были атакованы компании из 68 стран, по российскому сегменту почти не работают. А в Азербайджане подломили нефтяной холдинг;
- объем мирового рынка продаж взломов - $7 млн, но это нижняя планка. Вероятнее всего сумма существенно больше;
- лидеры по подломам - финсектор, производство и образование;
- партнерские программы вымогателей (RaaS) - серьезный бустер для рынка продаж взломов.
Про ransomware подробнее обещают в следующей части отчета. План публикаций очередных частей следующий:
9 декабря — отчет “Киберимперия шифровальщиков”
13 декабря — отчет “Киберугрозы для финсектора”
16 декабря — отчет “Военные операции” (ограниченный доступ)
20 декабря — отчет “Скам и фишинг”.
Несмотря на жизненные ненастья Group-IB умеет и продолжает в инфосек.
Вчера на ежегодном CyberCrimeCon’2021 компания представила традиционный отчет Hi-Tech Crime Trends, который теперь выходит в формате нескольких частей (для лучшего усвоения материала).
Основываясь на данных системы Threat Intelligence&Attribution, про которую мы уже рассказывали, исследователи проанализировали рынок продаж доступов в скомпрометированные сети за последние 15 лет (пацаны вообще ребята). В полученных результатых встречаются любопытные скриншоты даже от 2006 года.
Из актуального:
- в даркнете выставлено на продажу 1099 доступов к сетям различных компаний;
- за год количество продавцов выросло на 205% (!), основная часть — русскоязычные;
- в этот же период были атакованы компании из 68 стран, по российскому сегменту почти не работают. А в Азербайджане подломили нефтяной холдинг;
- объем мирового рынка продаж взломов - $7 млн, но это нижняя планка. Вероятнее всего сумма существенно больше;
- лидеры по подломам - финсектор, производство и образование;
- партнерские программы вымогателей (RaaS) - серьезный бустер для рынка продаж взломов.
Про ransomware подробнее обещают в следующей части отчета. План публикаций очередных частей следующий:
9 декабря — отчет “Киберимперия шифровальщиков”
13 декабря — отчет “Киберугрозы для финсектора”
16 декабря — отчет “Военные операции” (ограниченный доступ)
20 декабря — отчет “Скам и фишинг”.
Group-IB
Research Hub
Deep dives on previously unknown APTs, insights into the most recent cybersecurity trends and technologies, and predictions and recommendations that can help shape your security strategy.
Энергетическая компания Delta-Montrose Electric Association в Колорадо США уже месяц пытается оправиться от разрушительной кибератаки, в результате которой было выведено из строя почти 90% ее внутренних систем, потеряны данные за последние 25 лет, а телефонная связь и электронная почта не работали в течение нескольких недель.
Со слов представителей компании, первые проблемы возникли 7 ноября, когда в результате атаки было отключено большинство внутренних сетевых сервисов. Атака затронула все системы поддержки, процессинговый центр обработки платежей, биллинговые платформы и другие инструменты, предоставляемые клиентам.
Руководство заявило, что хакеры были нацелены на определенные части внутренней сети и повредили сохраненные документы, электронные таблицы и формы с 25-летней историей!, что указывает на то, что это мог быть инцидент с ransomware. Для пресечения угрозы и расследования инцидента энергетическая компания наняла экспертов по кибербезопасности, но почти за месяц работы до сих пор возникают проблемы с восстановлением. Интересно, почему-то компания не заявляет, что инфраструктура была зашифрована, а тактично говорит, что данные были "повреждены". Кем, как и какие преследовались интересы пока умалчивается.
Тем не менее в компании считают, что конфиденциальные данные клиентов и сотрудников не были скомпрометированы, но для полноценного контроля и тарификации услуг всем придется пройти поэтапное восстановление. Добрые энергетики предупредили, что какое-то время большинство клиентов могут получать повторные счета за электроэнергию и что они не будут отключать услуги за неуплату или начислять пени до 31 января 2022 года.
Ждем результатов расследования, так как интересно узнать мотивы кибератаки, ведь требований о выкупе до сих пор не поступало.
Со слов представителей компании, первые проблемы возникли 7 ноября, когда в результате атаки было отключено большинство внутренних сетевых сервисов. Атака затронула все системы поддержки, процессинговый центр обработки платежей, биллинговые платформы и другие инструменты, предоставляемые клиентам.
Руководство заявило, что хакеры были нацелены на определенные части внутренней сети и повредили сохраненные документы, электронные таблицы и формы с 25-летней историей!, что указывает на то, что это мог быть инцидент с ransomware. Для пресечения угрозы и расследования инцидента энергетическая компания наняла экспертов по кибербезопасности, но почти за месяц работы до сих пор возникают проблемы с восстановлением. Интересно, почему-то компания не заявляет, что инфраструктура была зашифрована, а тактично говорит, что данные были "повреждены". Кем, как и какие преследовались интересы пока умалчивается.
Тем не менее в компании считают, что конфиденциальные данные клиентов и сотрудников не были скомпрометированы, но для полноценного контроля и тарификации услуг всем придется пройти поэтапное восстановление. Добрые энергетики предупредили, что какое-то время большинство клиентов могут получать повторные счета за электроэнергию и что они не будут отключать услуги за неуплату или начислять пени до 31 января 2022 года.
Ждем результатов расследования, так как интересно узнать мотивы кибератаки, ведь требований о выкупе до сих пор не поступало.
Исследователь безопасности Nusenu отследил тайного оператора тысяч вредоносных серверов сети Tor, позволявших ему проводить Sybil attack.
Опытный и достаточно обеспеченный специалист, которого условно именуют KAX17, по крайней мере с 2017 года запустил и админил тысячи вредоносных серверов на входных, промежуточных и выходных позициях сети Tor.
По скромным подсчетам злоумышленник запускал более 900 вредоносных серверов в Tor, в то время как на в среднем сеть включала до 9 000–10 000 в день таких узлов, реализующих шифрование и анонимизацию пользовательского трафика.
Как правило, добавленные в сеть Tor серверы имеют контактную информацию: по минимуму - email для связи с администрацией для решения различных вопросов, связанных с неправильной конфигурацией или различными злоупотреблениями.
Nusenu еще в 2019 году удалось выявить закономерность ретрансляторов Tor без контактной информации и проанализировать ее вплоть до 2017 года. Группируя серверы, стало понятно, что злоумышленник постоянно добавлял серверы без контактных данных в сеть Tor в промышленных масштабах, администрируя по несколько сотен узлов одновременно.
Размещались сервера в ЦОДах по всему миру, получая конфигурацию, в первую очередь, как входные и средние точки, что не соответствует обычным преступным устремлениям хакеров, которые предпочитают контролировать выходные узлы, что позволяет им изменять трафик пользователя. Например, злоумышленник, отслеживаемый как BTCMITM20, запускал тысячи вредоносных выходных узлов Tor, чтобы заменять адреса биткойн-кошельков в веб-трафике и перехватывать платежи пользователей.
По его наводке Nusenu руководство проекта Tor, в октябре 2020 года группа безопасности Tor удалила все реле выхода KAX17.
Однако следующая партия выходных ретрансляторов была вновь подключена сразу после чистки. В 2021 году представители Tor Project вновь отключали до сотни серверов KAX17 в октябре и ноябре, инициировав собственное расследование.
Вместе с тем, Nusenu благодаря ошибке OpSec, смогли отследить реальный адрес электронной почты злоумышленника. KAX17 использовал его для подписки на рассылки Tor Project, а также принимал участие в обсуждениях, пытаясь понять причины удаления вредоносных серверов.
Таким образом, KAX17 обладал возможностью контроля посредством собственных узлов трафика любого подключенного к сети пользователя с вероятностью до 35%. Исследователи пришли к выводу о том, что злоумышленник занимался деанонимизацией и идентификацией как пользователей Tor, так и сервисов внутри сети, обладая для этого серьезным техническим и финансовым потенциалом.
Опытный и достаточно обеспеченный специалист, которого условно именуют KAX17, по крайней мере с 2017 года запустил и админил тысячи вредоносных серверов на входных, промежуточных и выходных позициях сети Tor.
По скромным подсчетам злоумышленник запускал более 900 вредоносных серверов в Tor, в то время как на в среднем сеть включала до 9 000–10 000 в день таких узлов, реализующих шифрование и анонимизацию пользовательского трафика.
Как правило, добавленные в сеть Tor серверы имеют контактную информацию: по минимуму - email для связи с администрацией для решения различных вопросов, связанных с неправильной конфигурацией или различными злоупотреблениями.
Nusenu еще в 2019 году удалось выявить закономерность ретрансляторов Tor без контактной информации и проанализировать ее вплоть до 2017 года. Группируя серверы, стало понятно, что злоумышленник постоянно добавлял серверы без контактных данных в сеть Tor в промышленных масштабах, администрируя по несколько сотен узлов одновременно.
Размещались сервера в ЦОДах по всему миру, получая конфигурацию, в первую очередь, как входные и средние точки, что не соответствует обычным преступным устремлениям хакеров, которые предпочитают контролировать выходные узлы, что позволяет им изменять трафик пользователя. Например, злоумышленник, отслеживаемый как BTCMITM20, запускал тысячи вредоносных выходных узлов Tor, чтобы заменять адреса биткойн-кошельков в веб-трафике и перехватывать платежи пользователей.
По его наводке Nusenu руководство проекта Tor, в октябре 2020 года группа безопасности Tor удалила все реле выхода KAX17.
Однако следующая партия выходных ретрансляторов была вновь подключена сразу после чистки. В 2021 году представители Tor Project вновь отключали до сотни серверов KAX17 в октябре и ноябре, инициировав собственное расследование.
Вместе с тем, Nusenu благодаря ошибке OpSec, смогли отследить реальный адрес электронной почты злоумышленника. KAX17 использовал его для подписки на рассылки Tor Project, а также принимал участие в обсуждениях, пытаясь понять причины удаления вредоносных серверов.
Таким образом, KAX17 обладал возможностью контроля посредством собственных узлов трафика любого подключенного к сети пользователя с вероятностью до 35%. Исследователи пришли к выводу о том, что злоумышленник занимался деанонимизацией и идентификацией как пользователей Tor, так и сервисов внутри сети, обладая для этого серьезным техническим и финансовым потенциалом.
Medium
The Growing Problem of Malicious Relays on the Tor Network
Background