Если в вашей организации есть MikroTik, то у вас, вероятно, есть проблемы.

Специалистами Eclypsium выявлено более 300 000 устройств MikroTik, уязвимых для ошибок удаленного взлома. Самое парадоксальное, что баги давно исправлены популярным поставщиком сетевого оборудования.

В отчете компании по информационной безопасности говорится, что наибольшее число уязвимых устройств находятся в Китае, Бразилии, России, Италии, Индонезии, США.

Печальный факт, что MikroTik является популярной целью у злоумышленников и активно ими используются начиная от DDoS-атак и заканчивая туннелированем трафика. 

Ну еще бы, у вендора более двух миллионов девайсов развернуто по всему миру, что создает огромную поверхность для воздействия у хакерского контингента.

Как мы помним недавние сообщения о новом ботнете Mēris, который организовал рекордную распределенную DDoS-атаку на Яндекс, использовал как раз сетевые устройства Mikrotik в качестве вектора атаки и устраненную на данный момент уязвимость системы безопасности в операционной системе (CVE-2018-14847).

А вот еще четыре уязвимости, обнаруженные за последние три года, которые могут позволить полностью захватить ваш MikroTik, если вы до сих пор не воспользовались рекомендациями по безопасности производителя:

• CVE-2019-3977 (CVSS: 7,5) - недостаточная проверка происхождения пакета обновления, что позволяет сбросить все имена пользователей и пароли.
• CVE-2019-3978 (CVSS: 7,5) - уязвимость, связанная с возможностью отправлять DNS-запросы, что приводит к заражению кеша.
• CVE-2018-14847 (CVSS: 9,1) - уязвимость, связанная с обходом каталогов в интерфейсе WinBox.
• CVE-2018-7445 (CVSS: 9,8) - уязвимость переполнения буфера SMB.

Кроме того, исследователи Eclypsium обнаружили, что более 20 000 незащищенных устройств MikroTik запускали скрипты майнинга криптовалюты на веб-страницах, которые посещали пользователи.

Не будите лихо пока оно тихо, регулярно проведите ревизию своих сетей и не пренебрегайте рекомендациями производителей.

Merry Christmas!!!

В библиотеке log4j под Apache ночью вдруг нашлась 0-day уязвимость, приводящая к удаленному выполнению кода (RCE). К этому всему удовольствию прилагается рабочий PoC, опубликованный на GitHub.

На момент появления PoC у дырки не было даже CVE (сейчас уже есть - CVE-2021-44228). Известно, что уязвимость работает на куче сервисов, к примеру - Steam, iCloud и пр.

Эксплойту подвержены версии Apache log4j вплоть до 2.14.1. Сканирование сети на предмет уязвимых серверов уже идет (странно было бы ожидать другого при наличии рабочего PoC).

В качестве меры смягчения сначала предлагалось обновить log4j до версии 2.15.0-rc1, но буквально в течение нескольких часов был найден способ обхода исправления, поэтому теперь рекомендуют обновлять до 2.15.0-rc2. Кроме того, некоторые инфосек эксперты рекомендуют установить log4j2.formatMsgNoLookups в значение true.

Также LunaSec со ссылкой на китайцев говорят, что эксплойт не работает на версиях JDK выше 6u211, 7u201, 8u191 и 11.0.1.

Ну а вишенка на этом рождественском торте - эксплойт работает на всех версиях Minecraft начиная с 1.8.8.

Apache Foundation пьют валерьянку и молчат.

Merry Christmas, дорогие наши, Merry Christmas!!!

Вслед за Chrome обновления безопасности для браузера Firefox и почтового клиента Thunderbird выпустила Mozilla.

В общем исправлено 13 уязвимостей, в том числе 6 с высоким степенью серьезности (некоторые из этих патчей также были включены в Firefox ESR 91.4 и Thunderbird 91.4.0).

В случае эксплуатации ошибок безопасности злоумышленнику вполне будет под силу выполнить произвольный код в контексте уязвимого приложения, что потенциально может привести к полной компрометации системы.

Одна из критических уязвимостей может привести к тому, что целевой URL-адрес будет открыт во время навигации при выполнении асинхронных функций (CVE-2021-43536), другая проблема - переполнение буфера кучи, вызванное некорректным преобразованием размеров из 64-битных в 32-битные целые числа (CVE-2021-43537).

Mozilla также исправила потенциальную атаку спуфинга, при которой уведомление о полноэкранном режиме и блокировке указателя отсутствовало при запросе обоих (CVE-2021-43538) и использования после освобождения, вызванного некорректной работой активных указателей (CVE-2021-43539).

Производитель браузера также выпустил исправления для ошибок безопасности памяти с высокой степенью серьезности, которые были обнаружены в предыдущих итерациях его приложений, а также исправления для нескольких уязвимостей средней и низкой степени серьезности. Пропатченная версия Firefox 95 получила новую технологию RLBox, предназначенную для улучшения защиты от веб-атак путем изолирования потенциально проблемных подкомпонентов в песочнице.

Критичность некоторых из дыр побудило даже Агентство кибербезопасности и безопасности инфраструктуры США (CISA) напомнить пользователям о необходимости обновлений в Firefox, Firefox ESR и Thunderbird. Рекомендуем прислушаться.

В полку вымогателей пополнение.

Исследователи безопасности из Recorded Future и MalwareHunterTeam представили профессиональный ransomware картель с большим набором настраиваемых функций, позволяющих атаковать широкий спектр корпоративных сред. Знакомьтесь, ALPHV (или BlackCat)!

BlackCat - первая профессиональная группа программ-вымогателей, использующая профессиональный штамм на языке программирования Rust и насчитывающая к настоящему времени не менее 10 жертв в США, Австралии и Индии.

По мнению исследователей, автором ALPHV (BlackCat) может быть один из участников печально известной REvil.

Следуя модели REvil, с начала декабря новая программа как услуга под названием ALPHV продвигается на XSS и Exploit, предлагая сотрудничество и участие в купаных атаках с целью получения выкупа. По итогу аффилированным лицам выдают образцы ALPHV (BlackCat) с возможностью шифрования данных в системах Windows, Linux и VMWare eSXI, обещая комиссионные в зависимости от размера выкупа. Например, при выплате выкупа до 1,5 миллиона долларов партнерская программа зарабатывает 80%, 85% - до 3 миллионов и 90% выплат более 3 миллионов.

Установить начальный вектор входа BlackCat пока не удалось, дальнейшая схема работы вымогателей мало чем отличается от уже известных групп и включает двойное вымогательство с угрозой утечек похищенных конфиденциальных данных. В качестве дополнительного аргумента злоумышленники угрожают жертвам DDoS до тех пор, пока они не заплатят выкуп. BlackCat имеет несколько сайтов утечек с различными URL-адресами, на каждом из которых публикуются данные одной или двух жертв, что объясняется их обслуживанием филиалами ALPHV.

Программа-вымогатель BlackCat включает в себя множество расширенных функций, которые выделяют ее среди других программ-вымогателей. Ransomware полностью управляется из командной строки и имеет различные настройки, с возможностью использовать разные процедуры шифрования, распространения между компьютерами, уничтожения виртуальных машин и ESXi, а также способна автоматически стирать моментальные снимки ESXi для предотвращения восстановления.

Шифрование может быть реализовано с использованием 2 алгоритмов ChaCha20 или AES, а также в нескольких режимах:
⁃ Full: полное шифрование файлов.
⁃ Fast: шифрование первых N мегабайт.
⁃ DotPattern: шифрование N мегабайт через M шаг.
⁃ Auto: в зависимости от типа и размера файлов выбирается наиболее оптимальная (с точки зрения скорости и стойкости) модель шифрования.
⁃ SmartPattern: шифрование N мегабайт с шагом в процентах (по умолчанию он шифрует 10 мегабайт каждые 10% файла, начиная с заголовка).

BlackCat также использует API диспетчера перезапуска Windows для закрытия процессов или завершения работы служб Windows, сохраняя файл открытым во время шифрования. Заметки о выкупе предварительно настраиваются аффилированным лицом, выполняющим атаку, и различаются для каждой жертвы.

Изменения коснулись и процесса переговоров: разработчики ALPHV ввели токен, который используется для создания ключа доступа, необходимого для входа в переговорный чат на платежном сайте в Tor. Поскольку этот токен не включен в образец вредоносного ПО, при попадании на сайты анализа ВПО исследователи не смогут получать доступ доступ к переговорным чатам, как это было ранее.

Исследователи отмечают, что BlackCat смогли обойти предшественников, в частности BadBeeTeam, BuerLoader и FickerStealer, и создать по-настоящему боевой штамм ransomware в Rust, что значительно усложняет ПО с точки зрения поиска уязвимостей кода, позволяющих обнаружить возможные решения для дешифровки данных. Выводы подтвердил Майкл Гиллеспи, аналитик вредоносных программ в Emsisoft.

Похоже, что на поле зашли новые тяжеловесы.

​​—Партнерский пост—

Group-IB продолжают публиковать свои отчеты в рамках Hi-Tech Crime Trends 2021/22. В прошлый раз было про доступы в скомпрометированные сети, поэтому логичным продолжением стал отчет про ransomware.

Краткой истории становления современного рынка вымогателей касаться не будем, хотя она там тоже есть. Интересны тренды ransomware 2021 года, основанные на анализе партнерских программ (RaaS) и сливных сайтов (DLS) различных группировок.

А они следующие:
- за год появились 34 новых RaaS;
- RaaS и рынок доступов во взломанные сети стали катализатором развития друг для друга;
- количество появившихся за год DLS выросло более чем вдвое - с 13 до 28;
- на DLS были выставлены данные 2 371 компании, ставшей жертвами ransomware. Рост по сравнению с прошлым годом - "скромные" 935%.

Отдельного внимания заслуживает детальный разбор закрытой партнерской программы ransomware Hive (это те самые, которые требовали у MediaMarkt 240 млн. долларов выкупа), включающий скриншоты переписки с жертвами и реверс сэмпла Hive (подробности здесь).

Ботнет Dark Mirai нацелен на RCE в популярном роутере TP-Link.

Порой кажется, что рекомендациями по безопасности пользуются в основном только специалисты по безопасности, да и это далеко не всегда так.

Очередную исправленную производителем багу в маршрутизаторах взяли в оборот небезызвестные ботоводы Dark Mirai (он же MANGA) и используют уязвимость на TP-Link TL-WR840N EU V5, популярном недорогом домашнем маршрутизаторе, выпущенном в 2017 году.

Уязвимость отслеживается как CVE-2021-41653 и вызвана уязвимой переменной host, которую аутентифицированный пользователь может использовать для выполнения команд на устройстве.

Производитель исправил ошибку и выпустил обновление прошивки (TL-WR840N (EU) _V5_211109) еще 12 ноября 2021 года. Однако многие пользователи до сих пор не применили обновление безопасности. На самом деле, ну куда обычному обывателю до его роутера, который приколочен к потолку или стоит в шкафу. Тем не менее...

Ну и снова смехопанорама, когда исследователь, обнаруживший уязвимость, опубликовал эксплойт PoC для RCE, а злоумышленники благополучно использовали багу в своих не самых чистых намерениях.

Согласно отчету исследователей Fortinet, которые следили за деятельностью Dark Mirai, ботнет добавил конкретный RCE в свой арсенал всего через две недели после того, как TP-Link выпустила обновление прошивки.

Аналогичная история приключилась и с ботнетом Moobot, который распространяется через критическую уязвимость CVE-2021-36260 в камерах Hikvision, эксплуатируемую удаленно путем отправки специально созданных сообщений, содержащих вредоносные команды. Еще в сентябре Hikvision исправила ошибку, выпустив обновление прошивки (v 210628), но не все поспешили его применить.

Moobot использует эту уязвимость для компрометации непропатченных устройств и извлечения конфиденциальных данных от жертв. Среди различных полезных нагрузок Fortinet обнаружил загрузчик, замаскированный как macHelper, который выбирает и запускает Moobot с параметром hikivision. Вредоносная программа также блокирует возможность перезагрузки устройства.

Аналитики Fortinet обнаружили общие черты между Moobot и Mirai, например строку данных, используемую в функции генератора случайных буквенно-цифровых строк, использование отдельного загрузчика, разветвление процесса usr/sbin, подмена файла macHelper исполняемым файлом Moobot.

Впервые Moobot был замечен в дикой природе Unit42 еще в феврале 2021 года и до настоящего времени добавляет новые CVE, создавая новый потенциал для таргетинга. Изучая захваченные пакетные данные, Fortinet как раз смогли отследить канал в Телеге, который начал предлагать услуги DDoS в августе прошлого года.

Не будем возвращаться к очередному ликбезу на тему о том, как защитить свой маршрутизатор от Mirai или любого другого ботнета, мы уже неоднократно об этом говорили.

—Партнерский пост—

Сергей Голованов, главный эксперт Лаборатории Касперского, приглашает на открытую запись подкаста «Смени пароль!»

Компания подведет итоги года в инфосеке, раскроет уникальные данные и попробует заглянуть в будущее.

14 декабря, 11:00, онлайн. В прямом эфире можно будет задать вопросы ведущим подкаста. Присоединяйтесь по ссылке!

​​Судная ночь продолжается.

0-day уявимость Log4Shell получила оценку 10/10 по шкале CVSSv3, но в дикой природе, как мы и предполагали, оказалась куда более серьезной, чем предполагалось изначально, ведь на практике эксплуатация, как выяснили LunaSec, не требует серьезных технических навыков и укладывается в одну строчку кода.

Кроме того, CVE-2021-44228 затрагивает почти все корпоративные продукты Apache Software Foundation и присутствует фактически во всех основных корпоративных приложениях и серверах на основе Java. Apple, Amazon, Twitter, Cloudflare, Steam, Tencent, Baidu, DIDI, JD, NetEase и тысячи других компаний потенциально уязвимы для атак Log4Shell.

Все настолько плохо, что даже выпущенное Apache Software Foundation экстренное обновление безопасности никак не повлияло на ситуацию. К настоящему времени злоумышленники уже массово сканят сеть в надежде на LogJam.

Тем не менее, на помощь пришли частные специалисты: Cybereason представили вакцину Logout4Shell для удаленного устранения Log4Shell. Сценарий позволяет удаленно произвести настройку сервера LDAP на основе Java, по сути эксплуатируя уязвимый сервер и реализуя полезную нагрузку, которая отключает параметр trustURLCodebase на удаленном сервере Log4j. Все бы ничего, если Logout4Shell сам по себе не был бы подвержен злоупотреблениям, но, в бою все средства хороши, по мнению его авторов.

А тем временем, в полях хакеры всех мастей отрабатывают дыру вдоль и поперёк.

По данным Netlab 360, на уязвимые устройства грузят вредоносное ПО Mirai, Muhstik и Kinsing, ля развертывания криптомайнеров и выполнения крупномасштабных DDoS-атак. Microsoft 365 Defender Threat Intelligence фиксируют использование уязвимости Log4j для внедрения имплантата Cobalt Strike. Не менее активны и те, кто предпринимает попытки использования эксплойтов Log4Shell для эксфильтрации данных с сервера, включая имя хоста, имя пользователя в службе Log4j, наименование и номер версии ОС и др.

Но, пожалуй, реальные сливки снимались гораздо ранее, чем уязвимость была раскрыта публично 10 декабря. Впервые обнаружить уявимость в дикой природе удалось Cloudflare еще 1 декабря, а на следующий день об активности злоумышленников также упоминается в отчете Cisco Talos, что было до декабря - обнаружиться позже, равно и то, насколько все печально сейчас.

Ну, а пока, дорогие наши, Merry Christmas!!!

В результате атаки у шведского автопроизводителя Volvo украли передовые разработки.

Как и любая известная корпорация с доходами в миллиарды долларов, Volvo до последнего момента отрицала инцидент и ссылалась на потенциальную кибератаку. Однако после того, как данные просочились в сеть производитель сделал соответствующее официальное заявление, отметив, что инцидент может повлиять на работу компании.

Volvo Cars стало известно о незаконном доступе к одному из файловых репозиториев третьей стороной. На данный момент расследование подтверждают, что во время вторжения была украдена ограниченная часть научно-исследовательских работ. Что конкретно утекло не сообщается, но, как и известно, Volvo сейчас активно участвует в разработке передовых электромобилей.

25 ноября хакерская группа Snatch опубликовала запись с указанием Volvo Cars в качестве одной из своих жертв, а 30 ноября были преданы огласке образцы файлов из сети Volvo. Хакеры заявили, что не будут настаивать на переговорах, а вместо этого пообещали утечку данных, если Volvo не сможет разумно и всесторонне защитить от утечки.

Как правило, официальное признание обычно означает, что компания отказалась взаимодействовать с хакерами и готова смириться с последствиями утечки. Если бы не один нюанс 👇

​​В числе банд-вымогателей закрепились новички.

Исследователи из Accenture подробно описали деятельность новой группы киберпреступников под названием Karakurt, которая стоит за недавними атаками.

Впервые активность группы была зафиксирована в июне текущего года, но пик хакерских атаки пришелся на третий квартал. В период с сентября 2021 года по ноябрь 2021 года от этой группы пострадало более 40 компаний в различных отраслях.

В июне 2021 года банда зарегистрировала одноименные домены group и tech, на которых размещала добытые утечки от своей деятельности, а в августе у группы появился аккаунт в Twitteе под ником karakurtlair.

Как и большинство коллег по цеху, группа занимается кражей данных и вымогательством, но стоит отметить, что она не использует программы-вымогатели для шифрования данных своих жертв.

По мнению Accenture Security самопровозглашенная Karakurt Hacking Team финансово ориентирована и нацелена на более мелкие предприятия или дочерние компании, а не на крупные корпорации. Оно отчасти и правильно, за крупные потом и прилипаешь по-крупному, а за развертывание программ-вымогателей автоматически становишься объектом розыска всех спецслужб и инфосек сообществ мира.

Пока воздержимся от гипотез о геополитической принадлежности группы, но для справки большинство известных жертв проживают в Северной Америке (95%), а остальные 5% - в Европе.

Анализ вектора атак группы, показал, что они в первую очередь использует учетные данные VPN для получения первоначального доступа к сети жертвы. В своих атаках хакеры использовали Cobalt Strike и AnyDesk, а после получения доступа инструменты повышения привилегий, в том числе Mimikatz или PowerShell для кражи ntds.dit, содержащего данные Active Directory. Также специалисты заметили, что для кражи данных группа использовала 7zip и WinZip для сжатия и Rclone или FileZilla (SFTP) для загрузки данных в облачное хранилище Mega.io.

Отчет о тактике и методах MITER ATT & CK для этого злоумышленника, а также предлагаемые меры по их устранению можно посмотреть у исследователей Accenture.

Злоумышленники получили доступ к аккаунту премьер-министра Индии и попытались встряхнуть рынок криптовалют.

Ну еще бы, рынок не может не реагировать когда "сам" премьер-министр Индии опубликует в Twitter, что его страна приняла биткойн в качестве законного платежного средства и распределяет криптовалюту среди граждан. Нарендра Моди, конечно не Илон Маск, но для справки в Индии население 1,38 миллиарда человек, а у премьер-министра более 73 миллионов подписчиков и он является самым популярным политиком в социальной сети.

К разочарованию хакеров данный инцидент почти незаметно отразился на стоимости криптовалюты, так как твит о покупке и официальном принятии BTC был быстро удален, а контроль над учетной записью восстановлен. Возможно, хакерам удалось заработать некоторые крохи, так как в сообщении была размешена мошенническая ссылка.

Это был уже второй случай взлома одной из учетных записей Моди в Твиттере. Как известно, в прошлом году был взломан другой аккаунт, с которого был опубликован твит, призывающий общественность сделать пожертвования в "фонд помощи при коронавирусе".

По иронии судьбы воскресный взлом произошел, когда Индия готовилась как раз таки подавить новым законом процветающую в стране торговлю криптовалютой, который, вероятно, будет внесен в парламент в этом месяце. Детали закона пока не разглашаются, но правительство объявило о широком запрете на частные цифровые активы.

Видимо под грядущим железным занавесом, злоумышленники пытались отбить вложенные инвестиции, так как в памяти остался момент резкого роста на местных рынках после того, как Верховный суд Индии отменил предыдущий запрет, принятый в прошлом году.

Сам Моди заявил в прошлом месяце, что криптовалюты могут «испортить нашу молодость», а центральный банк неоднократно заявлял, что криптоиндустрия вызывает серьезные опасения по поводу макроэкономической и финансовой стабильности страны.

- Партнёрский пост -

Сегодня, 14 декабря компания Positive Technologies впервые покажет свой продукт PT XDR — это абсолютно новое решение для обнаружения киберугроз и реагирования на них. Оно помогает быстрее выявлять кибератаки, эффективнее реагировать на них и тратить при этом меньше ресурсов подразделения информационной безопасности - все благодаря автоматизации.

В честь этого Positive Technologies приглашает всех, кто интересуется рынком информационной безопасности, на презентацию решения в онлайн-формате.

Эксперты инфосек компании расскажут и продемонстрируют, что такое XDR-решения и как они позволяют ловить хакеров, каков «правильный» рецепт XDR, нацеленного на результативную для бизнеса безопасность. Кроме того, компания анонсирует финальный элемент своего XDR-решения — продукт для защиты конечных точек.

🎮 В программе — презентация PT XDR, квест и игровой формат онлайн-трансляции.

Участники Positive Launch Day 2021 смогут самостоятельно влиять на ход трансляции, а также получить ценные призы!

🗓 Мероприятие проходит сегодня, 14 декабря в 14:00 (мск), станьте участником по ссылке: Подробности и сюрприз от команды Positive Technologies

Под шумок log4shell компания Google решили устранить 0-day уязвимость в Chrome.

Обновление Chrome 96.0.4664.110 стало доступно для Windows, Mac и Linux сразу после того, как разработчики узнали о том, что эксплойт для CVE-2021-4102 уже появился и начал использоваться в дикой природе. Помимо прочего обновление содержит исправления и для других уязвимостей в веб-браузере:

- критическая CVE-2021-4098 (недостаточная проверка данных в Mojo, автор: Сергей Глазунов из Google Project Zero)
- высокой степени серьезности CVE-2021-4099 (ошибка в Swiftshader, автор: Аки Хелин из Solita)
- высокой степени серьезности CVE-2021-4100 (проблема жизненного цикла объекта в ANGLE, автор: Аки Хелин из Solita)
- высокой степени серьезности CVE-2021-4101 (переполнение буфера кучи в Swiftshader, автор: Абраруддин Хан и Омайр).

CVE-2021-4102 была раскрыта анонимным исследователем в движке JavaScript Chrome V8 и WebAssembly, его использование может привести к выполнению произвольного кода или повреждения данных. Google отказываются от разглашения деталей по поводу выявленных злоупотреблений дырой.

В этом году это уже 17-ая исправленная Google 0-day в Chrome, поэтому настоятельно рекомендуем пользователям Google Chrome установить обновление, как только оно станет доступным.

Международная логистическая компания Hellmann Worldwide Logistics до сих пор продолжает расследование и изо всех сил пытается восстановить свою деятельность после масштабной кибератаки, из-за которой пришлось изолировать свой центральный центр обработки данных от остальной среды.

Компания сообщает, что инцидент существенно повлиял на ее работу, в основном из-за разрыва соединения с центром обработки данных. Поставщик логистических услуг также сообщил, что привлек к работе внешних специалистов по информационной безопасности для оказания помощи в расследовании и процессе восстановления.

На сегодняшний день Hellmann не предоставил сведений об атаке, а также о возможных утечках. Учитывая, что была прервана связь с центральным центром обработки данных, вероятно в инциденте имела место работа с использованием программ-вымогателей.

Такой вот масштаб последствий. Для справки, немецкая компания предоставляет широкий спектр услуг, включая авиа и морские, а также железнодорожные и автомобильные перевозки в 173 странах.

В общем, ни дня без ransomware.

Не прошло и месяца после подачи иска против израильского производителя шпионского ПО NSO Group в суд Северной Калифорнии Apple выпустила крупное обновление для флагманской мобильной операционной системы iOS 15.2.

В то время как судебная претензия направлена на привлечение NSO Group к ответственности за взлом мобильной платформы iOS с использованием эксплойтов с нулевым щелчком, обновление, следуя логике разработчиков призвано качественно обезопасить яблочников от «сложной, спонсируемой государством технологии наблюдения, которая позволяет ее целевому шпионскому программному обеспечению следить за своими жертвами».

Акцент сделан на защите конфиденциальности приложений, исправлено не менее 42 CVEs, которые некоторые из которых достаточно серьезны, чтобы привести к атакам выполнения кода, если пользователи iPhone или iPad просто открывают изображения или аудиофайлы.

Большинство из них связаны с повреждением памяти, переполнением буфера и проблемами использования после освобождения в следующих компонентах: ColorSync, CoreAudio, ImageIO, Model I / O и WebKit.

При этом движок браузера WebKit был одним из наиболее уязвимых компонентов: Apple исправила 12 баг безопасности в памяти, которые могли привести к хакерским атакам через веб-контент.

Несмотря на то, что в Apple не сообщает об эксплуатации какой-либо из перечисленных 0-day, исследователи фиксировали не менее 17 атак на устройства под управлением macOS или iOS.

Кроме того, Apple также объявила об улучшениях, связанных с конфиденциальностью: новые настройки позволят пользователям получать  информацию о том, как часто приложения имеют доступ к местоположению, фотографиям, камере, микрофону, контактам в течение последних семи дней, а также сетевая активность приложения.

Помимо прочего Apple выделяет 10 миллионов долларов по bugbounty, но только за информацию о угрозах конфиденциальности и слежки. Ну ну, учитывая репутацию компании по выплатам вознаграждений, заявление компании следует больше рассматривать больше как пиар ход на фоне скандалов со взломами девайсов высокопоставленных лиц из ЕС и США.

Но, как бы то ни было, обновление весьма кстати и требует скорейшей инсталляции.

Внезапно ушедший из жизни в апреле этого года настоящий профессионал в сфере инфосек Дэн Камински был занесен в Зал славы Интернет-сообщества за уникальный вклад в безопасность DNS. Ранее в июле этого года Каминский был включен в зал славы FIRST по реагированию на инциденты.

Камински был известен исследованиями в области безопасности DNS, в частности именно он в 2008 году впервые описал DNS cache poisoning. В июне 2010 года Камински стал одним из самых доверенных представителей ICANN для корня DNSSEC. А кроме того, постоянно выступал на Black Hat и DEFCON, основал антифрод-стартап White Ops и многое другое.

Его безвременная смерть в возрасте 42 лет оборвала блестящую карьеру, которая к тому времени уже сделала Интернет сильнее и безопаснее.

​👤 Подборка поисковиков, обеспечивающих конфиденциальность.

🖖🏻 Приветствую тебя user_name.

• Выбор поисковой системы под наши потребности является субъективным процессом. Нельзя назвать какую-то одну поисковую систему, которая станет лучшей для всех. Нужно принимать во внимание множество факторов. В идеале поисковая система должна отвечать на ваши запросы и при этом уважать вашу конфиденциальность.

• Любая конфиденциальная поисковая система из этой статьи может подойти под ваши запросы. Нужно попробовать поработать с ними и выбрать ту, которая окажется наиболее подходящей:

• Brave Search - бета-версия поисковой системы, связанной с популярным браузером Brave.
• DuckDuckGo - вероятно, самая известная поисковая система, ориентированная на конфиденциальность.
• Disconnect Search - поддерживается DuckDuckGo, с прозрачной политикой конфиденциальности.
• eTools CH - агрегатор поисковых систем, ориентированный на конфиденциальность, в который в настоящее время входят 17 поисковых систем (многие из которых находятся в этом списке).
• Gibiru - Берет результаты своего поиска из измененного алгоритма Google. Позиционирует себя как свободную, быструю и приватную поисковую систему.
• Gigablast - частный поисковик новостей, изображений, каталогов и т.д. использует шифрование для обеспечения конфиденциальности.
• Intelligence X - многоцелевая, но специализированная поисковая система для чего угодно, от веб-инфраструктуры до утечек данных.
• Oscobo - не собирает никаких данных о пользователях; также есть специальный браузер.
• Privado - поисковая система, ориентированная на конфиденциальность.
• Private SH - обеспечивает конфиденциальность с помощью зашифрованных поисковых запросов. Подробное описание платформы.
• Searx - является метапоисковой системой с открытым исходным кодом, которая берёт результаты из других поисковых систем и обеспечивает конфиденциальность пользвоателей.
• StartPage - не собирает данные о пользователях. Позволяет анонимно открывать сайты из поисковой выдачи. блокирует трекеры, таргетинг рекламы и т.д.
• swisscows - частная поисковая система с нулевым отслеживанием, базирующаяся в Швейцарии и размещенная на защищенной швейцарской инфраструктуре.

• Дополнение: Search Engine Party — ресурс, где собраны всевозможные поисковые системы, ориентированные на приватность.

‼️ Список не претендует на полноту, другую дополнительную информацию ты всегда можешь найти по хештегу #OSINT. Твой S.E.

Кто работает по Ру, к тому приходят по утру.

Благо речь сейчас не о наших соотечественниках, а гражданине Румынии - подозреваемом, 41-летнем мужчине из Крайовы, который был арестован в понедельник рано утром в своем доме.

Когда утро началось не с кофе, а со знакомства с сотрудниками Европола и Румынской национальной полиции, которые считают тебя соучастником в операциях с ransomware, нацеленной на несколько известных организаций.

По данным Европола, задержанный участвовал в атаке на крупную ИТ-компанию в Румынии, предоставляющую услуги в различных секторах, включая энергетику, розничную торговлю и коммунальные платежи. После успешного взлома сети ИТ-компании подозреваемый якобы украл сведения у ее клиентов - как румынских, так и международных организаций - после чего благополучно развернул программу-вымогатель и пошифровал все данные. Похищенная информация включала от финансовых сведений о клиентах, до личных данных сотрудников и других конфиденциальных документов.

После, все как учили в автошколе: хакер связался с организациями жертв и потребовал выкуп, угрожая опубликовать украденные данные, если они откажутся платить.

Официальных версий о причастности злоумышленника к какой-либо хакерской группе пока не оглашалось, но учитывая, что в расследовании Европолу и румынской национальной полиции помогали ребята из ФБР США, очевидно, что смышленый румын провернул такую операцию не в одиночку.

Подтянулась тяжелая артиллерия: настоящий Jam, как мы и прогнозировали, еще впереди.

Все это даже после того, как CVE-2021-44228 была исправлена еще 6 декабря с выпуском Log4j 2.15.0, а вызванная этим патчем последующая CVE-2021-45046 (позволявшая эксплуатировать log4shell в некоторых нестандартных конфигурациях с возможностью атак с отказом в обслуживании) также была устранена выпуском самой последней версии Log4j 2.12.2 и 2.16.0, удаляющей функцию поиска сообщений и по умолчанию блокирующей доступ к JNDI.

Тем не менее, более 70 образцов, использующих эксплойт, обнаружено, что достаточно небольшой показатель по сравнению с тем, что, вероятно, уже присутствует в дикой природе.

Но что еще хуже, Bitdefender заметили, что за Log4Shell взялись первые вымогатели. Злоумышленники пытаются использовать ошибку для загрузки двоичного файла .NET с удаленного сервера, который шифрует файлы на целевой машине c расширением khonsari. Записка с требованием выкупа «КАК ПОЛУЧИТЬ СВОИ ФАЙЛЫ BACK.TXT» добавляется на рабочий стол.

Первый инцидент был зафиксирован 11 декабря, когда на уязвимый хост был загружен вредоносный двоичный файл с hxxp://3.145.115.94/zambo/groenhuyzen.exe. Это новое семейство программ-вымогателей, получивших название благодаря своему расширению в зашифрованных файлах. В реальности свое ПО хакеры нарекли именем владельца антикварного магазина в Луизиане. Почему – не ясно.

После запуска Khonsari сканит все диски и шифрует системные папки с документами, видео, изображениями, загрузками и рабочий стол. При этом не шифруются файлы с расширениями .ini и .lnk. Вредоносная программа использует AES 128 CBC с поддержкой алгоритма PaddingMode.Zeros для шифрования. Кроме того, как выяснили BitDefender в более поздних атаках хакеры использовали тот же сервер для распространения RAT Orcus.

Не обошлось и без китайских и иранских АРТ, следы которых выявили спецы из Mandiant. Воспользовавшись ситуацией всеобщего хаоса, АРТ занимались решением традиционных для них задач по кибершпионажу, но помимо прочего иранские субъекты выстраивались и под более агрессивные действия, преследуя подрывные цели. Представители Mandiant отказались сообщать подробную информацию о том, какие конкретно связанные АРТ принимали участие в атаках.

Согласно данным телеметрии Check Point с 44% корпоративных сетей обнаружено более 1,3 миллиона попыток использования уязвимости, большинство из которых были совершены известными вредоносными группами. Всеобщий хакерский ажиотаж и хаос во всем технологическом мире не вызывают удивления, исследование Wiz показывает, что более 89% всех сред имеют уязвимые библиотеки Log4j, разработчики которых в некоторых случаях даже не догадываются об этом. Настоящая черная пятница для хакеров всех мастей.

Учитывая, что Microsoft уже фиксировали имплантаты Cobalt Strike, не стоит считать первый пример эксплойта Log4j, непосредственно устанавливающего ransomware, последним. Вероятно, более увесистые акторы уже вовсю эксплуатируют Log4 Jam, но пока сосредоточены более на максимально широком таргетинге. А по истечении пары тройки недель мест на DLS, судя по всему, не будет хватать, чтоб упорядочить всех новых жертв ransomware.

Тем временем к настоящему моменту помимо исправления уязвимости, перед специалистами по ИБ стоит куда более сложная задача: выявить вероятного злоумышленника в сети.

​​Microsoft традиционно выпустил последний в 2021 году Patch Tuesday, исправив в общей сложности 67 уязвимостей во всей экосистеме Windows, из них 21 уязвимость связана с повышением привилегий, 26 - удаленным выполнением кода, 10 - с раскрытием информации, 3 - с отказом в обслуживании, 7 - спуфингом. 7 из пропатченных дыр оцениваются как «критические», а оставшимся 60 недостаткам присвоена «важная» степень серьезности.

Согласно данным брокера уязвимостей ZDI, последняя партия довела общее количество CVE в этом году до 887, что почти на 30% меньше, чем в 2020 году.

Отдельно Microsoft исправила 16 недостатков браузера в продукте Microsoft Edge (на основе Chromium), в результате чего общее количество ошибок CVE за декабрь составило 83.

Особое внимание разработчиками из Редмонда было уделено уязвимости подделки в установщике Windows AppX Installer - CVE-2021-43890, которая используется в различных кампаниях по распространению вредоносных программ, включая Emotet, TrickBot и BazarLoader. Ошибка позволяет злоумышленнику создавать вредоносные вложения для эффективных фишинговых кампаний и была обнаружена благодаря Эндрю Брандту из Sophos.

Помимо нее Microsoft также исправила пять публично раскрытых 0-day уязвимостей, которые, по официальным данным, не использовались в атаках:
- CVE-2021-43240 - уязвимость NTFS, связанная с повышением привилегий с помощью короткого имени;
- CVE-2021-41333 - уязвимость диспетчера очереди печати Windows, связанная с повышением привилегий;
- CVE-2021-43880 - уязвимость, связанная с повышением привилегий в системе управления устройствами Windows Mobile;
- CVE-2021-43883 - уязвимость установщика Windows, связанная с повышением привилегий;
- CVE-2021-43893 - уязвимость, связанная с повышением привилегий в шифрованной файловой системе Windows (EFS).

Исследователи также присвоили высокие оценки CVSS 9,8 и 9,6 ошибкам CVE-2021-43215 (критическая уязвимость удаленного выполнения кода на сервере iSNS путем специально созданного запроса) и CVE-2021-43899 (ошибка в адаптере беспроводного дисплея Microsoft 4K, связанная с риском атак удаленного выполнения кода).

Полное описание каждой уязвимости и систем, на которые она влияет, представлено здесь.