​​Судная ночь продолжается.

0-day уявимость Log4Shell получила оценку 10/10 по шкале CVSSv3, но в дикой природе, как мы и предполагали, оказалась куда более серьезной, чем предполагалось изначально, ведь на практике эксплуатация, как выяснили LunaSec, не требует серьезных технических навыков и укладывается в одну строчку кода.

Кроме того, CVE-2021-44228 затрагивает почти все корпоративные продукты Apache Software Foundation и присутствует фактически во всех основных корпоративных приложениях и серверах на основе Java. Apple, Amazon, Twitter, Cloudflare, Steam, Tencent, Baidu, DIDI, JD, NetEase и тысячи других компаний потенциально уязвимы для атак Log4Shell.

Все настолько плохо, что даже выпущенное Apache Software Foundation экстренное обновление безопасности никак не повлияло на ситуацию. К настоящему времени злоумышленники уже массово сканят сеть в надежде на LogJam.

Тем не менее, на помощь пришли частные специалисты: Cybereason представили вакцину Logout4Shell для удаленного устранения Log4Shell. Сценарий позволяет удаленно произвести настройку сервера LDAP на основе Java, по сути эксплуатируя уязвимый сервер и реализуя полезную нагрузку, которая отключает параметр trustURLCodebase на удаленном сервере Log4j. Все бы ничего, если Logout4Shell сам по себе не был бы подвержен злоупотреблениям, но, в бою все средства хороши, по мнению его авторов.

А тем временем, в полях хакеры всех мастей отрабатывают дыру вдоль и поперёк.

По данным Netlab 360, на уязвимые устройства грузят вредоносное ПО Mirai, Muhstik и Kinsing, ля развертывания криптомайнеров и выполнения крупномасштабных DDoS-атак. Microsoft 365 Defender Threat Intelligence фиксируют использование уязвимости Log4j для внедрения имплантата Cobalt Strike. Не менее активны и те, кто предпринимает попытки использования эксплойтов Log4Shell для эксфильтрации данных с сервера, включая имя хоста, имя пользователя в службе Log4j, наименование и номер версии ОС и др.

Но, пожалуй, реальные сливки снимались гораздо ранее, чем уязвимость была раскрыта публично 10 декабря. Впервые обнаружить уявимость в дикой природе удалось Cloudflare еще 1 декабря, а на следующий день об активности злоумышленников также упоминается в отчете Cisco Talos, что было до декабря - обнаружиться позже, равно и то, насколько все печально сейчас.

Ну, а пока, дорогие наши, Merry Christmas!!!

В результате атаки у шведского автопроизводителя Volvo украли передовые разработки.

Как и любая известная корпорация с доходами в миллиарды долларов, Volvo до последнего момента отрицала инцидент и ссылалась на потенциальную кибератаку. Однако после того, как данные просочились в сеть производитель сделал соответствующее официальное заявление, отметив, что инцидент может повлиять на работу компании.

Volvo Cars стало известно о незаконном доступе к одному из файловых репозиториев третьей стороной. На данный момент расследование подтверждают, что во время вторжения была украдена ограниченная часть научно-исследовательских работ. Что конкретно утекло не сообщается, но, как и известно, Volvo сейчас активно участвует в разработке передовых электромобилей.

25 ноября хакерская группа Snatch опубликовала запись с указанием Volvo Cars в качестве одной из своих жертв, а 30 ноября были преданы огласке образцы файлов из сети Volvo. Хакеры заявили, что не будут настаивать на переговорах, а вместо этого пообещали утечку данных, если Volvo не сможет разумно и всесторонне защитить от утечки.

Как правило, официальное признание обычно означает, что компания отказалась взаимодействовать с хакерами и готова смириться с последствиями утечки. Если бы не один нюанс 👇

​​В числе банд-вымогателей закрепились новички.

Исследователи из Accenture подробно описали деятельность новой группы киберпреступников под названием Karakurt, которая стоит за недавними атаками.

Впервые активность группы была зафиксирована в июне текущего года, но пик хакерских атаки пришелся на третий квартал. В период с сентября 2021 года по ноябрь 2021 года от этой группы пострадало более 40 компаний в различных отраслях.

В июне 2021 года банда зарегистрировала одноименные домены group и tech, на которых размещала добытые утечки от своей деятельности, а в августе у группы появился аккаунт в Twitteе под ником karakurtlair.

Как и большинство коллег по цеху, группа занимается кражей данных и вымогательством, но стоит отметить, что она не использует программы-вымогатели для шифрования данных своих жертв.

По мнению Accenture Security самопровозглашенная Karakurt Hacking Team финансово ориентирована и нацелена на более мелкие предприятия или дочерние компании, а не на крупные корпорации. Оно отчасти и правильно, за крупные потом и прилипаешь по-крупному, а за развертывание программ-вымогателей автоматически становишься объектом розыска всех спецслужб и инфосек сообществ мира.

Пока воздержимся от гипотез о геополитической принадлежности группы, но для справки большинство известных жертв проживают в Северной Америке (95%), а остальные 5% - в Европе.

Анализ вектора атак группы, показал, что они в первую очередь использует учетные данные VPN для получения первоначального доступа к сети жертвы. В своих атаках хакеры использовали Cobalt Strike и AnyDesk, а после получения доступа инструменты повышения привилегий, в том числе Mimikatz или PowerShell для кражи ntds.dit, содержащего данные Active Directory. Также специалисты заметили, что для кражи данных группа использовала 7zip и WinZip для сжатия и Rclone или FileZilla (SFTP) для загрузки данных в облачное хранилище Mega.io.

Отчет о тактике и методах MITER ATT & CK для этого злоумышленника, а также предлагаемые меры по их устранению можно посмотреть у исследователей Accenture.

Злоумышленники получили доступ к аккаунту премьер-министра Индии и попытались встряхнуть рынок криптовалют.

Ну еще бы, рынок не может не реагировать когда "сам" премьер-министр Индии опубликует в Twitter, что его страна приняла биткойн в качестве законного платежного средства и распределяет криптовалюту среди граждан. Нарендра Моди, конечно не Илон Маск, но для справки в Индии население 1,38 миллиарда человек, а у премьер-министра более 73 миллионов подписчиков и он является самым популярным политиком в социальной сети.

К разочарованию хакеров данный инцидент почти незаметно отразился на стоимости криптовалюты, так как твит о покупке и официальном принятии BTC был быстро удален, а контроль над учетной записью восстановлен. Возможно, хакерам удалось заработать некоторые крохи, так как в сообщении была размешена мошенническая ссылка.

Это был уже второй случай взлома одной из учетных записей Моди в Твиттере. Как известно, в прошлом году был взломан другой аккаунт, с которого был опубликован твит, призывающий общественность сделать пожертвования в "фонд помощи при коронавирусе".

По иронии судьбы воскресный взлом произошел, когда Индия готовилась как раз таки подавить новым законом процветающую в стране торговлю криптовалютой, который, вероятно, будет внесен в парламент в этом месяце. Детали закона пока не разглашаются, но правительство объявило о широком запрете на частные цифровые активы.

Видимо под грядущим железным занавесом, злоумышленники пытались отбить вложенные инвестиции, так как в памяти остался момент резкого роста на местных рынках после того, как Верховный суд Индии отменил предыдущий запрет, принятый в прошлом году.

Сам Моди заявил в прошлом месяце, что криптовалюты могут «испортить нашу молодость», а центральный банк неоднократно заявлял, что криптоиндустрия вызывает серьезные опасения по поводу макроэкономической и финансовой стабильности страны.

- Партнёрский пост -

Сегодня, 14 декабря компания Positive Technologies впервые покажет свой продукт PT XDR — это абсолютно новое решение для обнаружения киберугроз и реагирования на них. Оно помогает быстрее выявлять кибератаки, эффективнее реагировать на них и тратить при этом меньше ресурсов подразделения информационной безопасности - все благодаря автоматизации.

В честь этого Positive Technologies приглашает всех, кто интересуется рынком информационной безопасности, на презентацию решения в онлайн-формате.

Эксперты инфосек компании расскажут и продемонстрируют, что такое XDR-решения и как они позволяют ловить хакеров, каков «правильный» рецепт XDR, нацеленного на результативную для бизнеса безопасность. Кроме того, компания анонсирует финальный элемент своего XDR-решения — продукт для защиты конечных точек.

🎮 В программе — презентация PT XDR, квест и игровой формат онлайн-трансляции.

Участники Positive Launch Day 2021 смогут самостоятельно влиять на ход трансляции, а также получить ценные призы!

🗓 Мероприятие проходит сегодня, 14 декабря в 14:00 (мск), станьте участником по ссылке: Подробности и сюрприз от команды Positive Technologies

Под шумок log4shell компания Google решили устранить 0-day уязвимость в Chrome.

Обновление Chrome 96.0.4664.110 стало доступно для Windows, Mac и Linux сразу после того, как разработчики узнали о том, что эксплойт для CVE-2021-4102 уже появился и начал использоваться в дикой природе. Помимо прочего обновление содержит исправления и для других уязвимостей в веб-браузере:

- критическая CVE-2021-4098 (недостаточная проверка данных в Mojo, автор: Сергей Глазунов из Google Project Zero)
- высокой степени серьезности CVE-2021-4099 (ошибка в Swiftshader, автор: Аки Хелин из Solita)
- высокой степени серьезности CVE-2021-4100 (проблема жизненного цикла объекта в ANGLE, автор: Аки Хелин из Solita)
- высокой степени серьезности CVE-2021-4101 (переполнение буфера кучи в Swiftshader, автор: Абраруддин Хан и Омайр).

CVE-2021-4102 была раскрыта анонимным исследователем в движке JavaScript Chrome V8 и WebAssembly, его использование может привести к выполнению произвольного кода или повреждения данных. Google отказываются от разглашения деталей по поводу выявленных злоупотреблений дырой.

В этом году это уже 17-ая исправленная Google 0-day в Chrome, поэтому настоятельно рекомендуем пользователям Google Chrome установить обновление, как только оно станет доступным.

Международная логистическая компания Hellmann Worldwide Logistics до сих пор продолжает расследование и изо всех сил пытается восстановить свою деятельность после масштабной кибератаки, из-за которой пришлось изолировать свой центральный центр обработки данных от остальной среды.

Компания сообщает, что инцидент существенно повлиял на ее работу, в основном из-за разрыва соединения с центром обработки данных. Поставщик логистических услуг также сообщил, что привлек к работе внешних специалистов по информационной безопасности для оказания помощи в расследовании и процессе восстановления.

На сегодняшний день Hellmann не предоставил сведений об атаке, а также о возможных утечках. Учитывая, что была прервана связь с центральным центром обработки данных, вероятно в инциденте имела место работа с использованием программ-вымогателей.

Такой вот масштаб последствий. Для справки, немецкая компания предоставляет широкий спектр услуг, включая авиа и морские, а также железнодорожные и автомобильные перевозки в 173 странах.

В общем, ни дня без ransomware.

Не прошло и месяца после подачи иска против израильского производителя шпионского ПО NSO Group в суд Северной Калифорнии Apple выпустила крупное обновление для флагманской мобильной операционной системы iOS 15.2.

В то время как судебная претензия направлена на привлечение NSO Group к ответственности за взлом мобильной платформы iOS с использованием эксплойтов с нулевым щелчком, обновление, следуя логике разработчиков призвано качественно обезопасить яблочников от «сложной, спонсируемой государством технологии наблюдения, которая позволяет ее целевому шпионскому программному обеспечению следить за своими жертвами».

Акцент сделан на защите конфиденциальности приложений, исправлено не менее 42 CVEs, которые некоторые из которых достаточно серьезны, чтобы привести к атакам выполнения кода, если пользователи iPhone или iPad просто открывают изображения или аудиофайлы.

Большинство из них связаны с повреждением памяти, переполнением буфера и проблемами использования после освобождения в следующих компонентах: ColorSync, CoreAudio, ImageIO, Model I / O и WebKit.

При этом движок браузера WebKit был одним из наиболее уязвимых компонентов: Apple исправила 12 баг безопасности в памяти, которые могли привести к хакерским атакам через веб-контент.

Несмотря на то, что в Apple не сообщает об эксплуатации какой-либо из перечисленных 0-day, исследователи фиксировали не менее 17 атак на устройства под управлением macOS или iOS.

Кроме того, Apple также объявила об улучшениях, связанных с конфиденциальностью: новые настройки позволят пользователям получать  информацию о том, как часто приложения имеют доступ к местоположению, фотографиям, камере, микрофону, контактам в течение последних семи дней, а также сетевая активность приложения.

Помимо прочего Apple выделяет 10 миллионов долларов по bugbounty, но только за информацию о угрозах конфиденциальности и слежки. Ну ну, учитывая репутацию компании по выплатам вознаграждений, заявление компании следует больше рассматривать больше как пиар ход на фоне скандалов со взломами девайсов высокопоставленных лиц из ЕС и США.

Но, как бы то ни было, обновление весьма кстати и требует скорейшей инсталляции.

Внезапно ушедший из жизни в апреле этого года настоящий профессионал в сфере инфосек Дэн Камински был занесен в Зал славы Интернет-сообщества за уникальный вклад в безопасность DNS. Ранее в июле этого года Каминский был включен в зал славы FIRST по реагированию на инциденты.

Камински был известен исследованиями в области безопасности DNS, в частности именно он в 2008 году впервые описал DNS cache poisoning. В июне 2010 года Камински стал одним из самых доверенных представителей ICANN для корня DNSSEC. А кроме того, постоянно выступал на Black Hat и DEFCON, основал антифрод-стартап White Ops и многое другое.

Его безвременная смерть в возрасте 42 лет оборвала блестящую карьеру, которая к тому времени уже сделала Интернет сильнее и безопаснее.

​👤 Подборка поисковиков, обеспечивающих конфиденциальность.

🖖🏻 Приветствую тебя user_name.

• Выбор поисковой системы под наши потребности является субъективным процессом. Нельзя назвать какую-то одну поисковую систему, которая станет лучшей для всех. Нужно принимать во внимание множество факторов. В идеале поисковая система должна отвечать на ваши запросы и при этом уважать вашу конфиденциальность.

• Любая конфиденциальная поисковая система из этой статьи может подойти под ваши запросы. Нужно попробовать поработать с ними и выбрать ту, которая окажется наиболее подходящей:

• Brave Search - бета-версия поисковой системы, связанной с популярным браузером Brave.
• DuckDuckGo - вероятно, самая известная поисковая система, ориентированная на конфиденциальность.
• Disconnect Search - поддерживается DuckDuckGo, с прозрачной политикой конфиденциальности.
• eTools CH - агрегатор поисковых систем, ориентированный на конфиденциальность, в который в настоящее время входят 17 поисковых систем (многие из которых находятся в этом списке).
• Gibiru - Берет результаты своего поиска из измененного алгоритма Google. Позиционирует себя как свободную, быструю и приватную поисковую систему.
• Gigablast - частный поисковик новостей, изображений, каталогов и т.д. использует шифрование для обеспечения конфиденциальности.
• Intelligence X - многоцелевая, но специализированная поисковая система для чего угодно, от веб-инфраструктуры до утечек данных.
• Oscobo - не собирает никаких данных о пользователях; также есть специальный браузер.
• Privado - поисковая система, ориентированная на конфиденциальность.
• Private SH - обеспечивает конфиденциальность с помощью зашифрованных поисковых запросов. Подробное описание платформы.
• Searx - является метапоисковой системой с открытым исходным кодом, которая берёт результаты из других поисковых систем и обеспечивает конфиденциальность пользвоателей.
• StartPage - не собирает данные о пользователях. Позволяет анонимно открывать сайты из поисковой выдачи. блокирует трекеры, таргетинг рекламы и т.д.
• swisscows - частная поисковая система с нулевым отслеживанием, базирующаяся в Швейцарии и размещенная на защищенной швейцарской инфраструктуре.

• Дополнение: Search Engine Party — ресурс, где собраны всевозможные поисковые системы, ориентированные на приватность.

‼️ Список не претендует на полноту, другую дополнительную информацию ты всегда можешь найти по хештегу #OSINT. Твой S.E.

Кто работает по Ру, к тому приходят по утру.

Благо речь сейчас не о наших соотечественниках, а гражданине Румынии - подозреваемом, 41-летнем мужчине из Крайовы, который был арестован в понедельник рано утром в своем доме.

Когда утро началось не с кофе, а со знакомства с сотрудниками Европола и Румынской национальной полиции, которые считают тебя соучастником в операциях с ransomware, нацеленной на несколько известных организаций.

По данным Европола, задержанный участвовал в атаке на крупную ИТ-компанию в Румынии, предоставляющую услуги в различных секторах, включая энергетику, розничную торговлю и коммунальные платежи. После успешного взлома сети ИТ-компании подозреваемый якобы украл сведения у ее клиентов - как румынских, так и международных организаций - после чего благополучно развернул программу-вымогатель и пошифровал все данные. Похищенная информация включала от финансовых сведений о клиентах, до личных данных сотрудников и других конфиденциальных документов.

После, все как учили в автошколе: хакер связался с организациями жертв и потребовал выкуп, угрожая опубликовать украденные данные, если они откажутся платить.

Официальных версий о причастности злоумышленника к какой-либо хакерской группе пока не оглашалось, но учитывая, что в расследовании Европолу и румынской национальной полиции помогали ребята из ФБР США, очевидно, что смышленый румын провернул такую операцию не в одиночку.

Подтянулась тяжелая артиллерия: настоящий Jam, как мы и прогнозировали, еще впереди.

Все это даже после того, как CVE-2021-44228 была исправлена еще 6 декабря с выпуском Log4j 2.15.0, а вызванная этим патчем последующая CVE-2021-45046 (позволявшая эксплуатировать log4shell в некоторых нестандартных конфигурациях с возможностью атак с отказом в обслуживании) также была устранена выпуском самой последней версии Log4j 2.12.2 и 2.16.0, удаляющей функцию поиска сообщений и по умолчанию блокирующей доступ к JNDI.

Тем не менее, более 70 образцов, использующих эксплойт, обнаружено, что достаточно небольшой показатель по сравнению с тем, что, вероятно, уже присутствует в дикой природе.

Но что еще хуже, Bitdefender заметили, что за Log4Shell взялись первые вымогатели. Злоумышленники пытаются использовать ошибку для загрузки двоичного файла .NET с удаленного сервера, который шифрует файлы на целевой машине c расширением khonsari. Записка с требованием выкупа «КАК ПОЛУЧИТЬ СВОИ ФАЙЛЫ BACK.TXT» добавляется на рабочий стол.

Первый инцидент был зафиксирован 11 декабря, когда на уязвимый хост был загружен вредоносный двоичный файл с hxxp://3.145.115.94/zambo/groenhuyzen.exe. Это новое семейство программ-вымогателей, получивших название благодаря своему расширению в зашифрованных файлах. В реальности свое ПО хакеры нарекли именем владельца антикварного магазина в Луизиане. Почему – не ясно.

После запуска Khonsari сканит все диски и шифрует системные папки с документами, видео, изображениями, загрузками и рабочий стол. При этом не шифруются файлы с расширениями .ini и .lnk. Вредоносная программа использует AES 128 CBC с поддержкой алгоритма PaddingMode.Zeros для шифрования. Кроме того, как выяснили BitDefender в более поздних атаках хакеры использовали тот же сервер для распространения RAT Orcus.

Не обошлось и без китайских и иранских АРТ, следы которых выявили спецы из Mandiant. Воспользовавшись ситуацией всеобщего хаоса, АРТ занимались решением традиционных для них задач по кибершпионажу, но помимо прочего иранские субъекты выстраивались и под более агрессивные действия, преследуя подрывные цели. Представители Mandiant отказались сообщать подробную информацию о том, какие конкретно связанные АРТ принимали участие в атаках.

Согласно данным телеметрии Check Point с 44% корпоративных сетей обнаружено более 1,3 миллиона попыток использования уязвимости, большинство из которых были совершены известными вредоносными группами. Всеобщий хакерский ажиотаж и хаос во всем технологическом мире не вызывают удивления, исследование Wiz показывает, что более 89% всех сред имеют уязвимые библиотеки Log4j, разработчики которых в некоторых случаях даже не догадываются об этом. Настоящая черная пятница для хакеров всех мастей.

Учитывая, что Microsoft уже фиксировали имплантаты Cobalt Strike, не стоит считать первый пример эксплойта Log4j, непосредственно устанавливающего ransomware, последним. Вероятно, более увесистые акторы уже вовсю эксплуатируют Log4 Jam, но пока сосредоточены более на максимально широком таргетинге. А по истечении пары тройки недель мест на DLS, судя по всему, не будет хватать, чтоб упорядочить всех новых жертв ransomware.

Тем временем к настоящему моменту помимо исправления уязвимости, перед специалистами по ИБ стоит куда более сложная задача: выявить вероятного злоумышленника в сети.

​​Microsoft традиционно выпустил последний в 2021 году Patch Tuesday, исправив в общей сложности 67 уязвимостей во всей экосистеме Windows, из них 21 уязвимость связана с повышением привилегий, 26 - удаленным выполнением кода, 10 - с раскрытием информации, 3 - с отказом в обслуживании, 7 - спуфингом. 7 из пропатченных дыр оцениваются как «критические», а оставшимся 60 недостаткам присвоена «важная» степень серьезности.

Согласно данным брокера уязвимостей ZDI, последняя партия довела общее количество CVE в этом году до 887, что почти на 30% меньше, чем в 2020 году.

Отдельно Microsoft исправила 16 недостатков браузера в продукте Microsoft Edge (на основе Chromium), в результате чего общее количество ошибок CVE за декабрь составило 83.

Особое внимание разработчиками из Редмонда было уделено уязвимости подделки в установщике Windows AppX Installer - CVE-2021-43890, которая используется в различных кампаниях по распространению вредоносных программ, включая Emotet, TrickBot и BazarLoader. Ошибка позволяет злоумышленнику создавать вредоносные вложения для эффективных фишинговых кампаний и была обнаружена благодаря Эндрю Брандту из Sophos.

Помимо нее Microsoft также исправила пять публично раскрытых 0-day уязвимостей, которые, по официальным данным, не использовались в атаках:
- CVE-2021-43240 - уязвимость NTFS, связанная с повышением привилегий с помощью короткого имени;
- CVE-2021-41333 - уязвимость диспетчера очереди печати Windows, связанная с повышением привилегий;
- CVE-2021-43880 - уязвимость, связанная с повышением привилегий в системе управления устройствами Windows Mobile;
- CVE-2021-43883 - уязвимость установщика Windows, связанная с повышением привилегий;
- CVE-2021-43893 - уязвимость, связанная с повышением привилегий в шифрованной файловой системе Windows (EFS).

Исследователи также присвоили высокие оценки CVSS 9,8 и 9,6 ошибкам CVE-2021-43215 (критическая уязвимость удаленного выполнения кода на сервере iSNS путем специально созданного запроса) и CVE-2021-43899 (ошибка в адаптере беспроводного дисплея Microsoft 4K, связанная с риском атак удаленного выполнения кода).

Полное описание каждой уязвимости и систем, на которые она влияет, представлено здесь.

Wi-fi и Bluetooth могут стать причиной кражи данных миллиардов устройств

Исследователи выяснили, что с помощью Wi-Fi можно управлять трафиком в телефоне, а через Bluetooth узнавать пароли и прочие данные.

Хоть в смартфоны встроены отдельные чипы Wi-fi, Bluetooth и LTE, они всё же пользуются общими ресурсами смартфона для оптимизации энергоэффективности. Поэтому, их можно без проблем использовать для атаки извне.

Так, исследователям удалось закрыть доступ к обновлениям ПО и узнать пароли дистанционно. В заключение они добавили, что сработало это лишь с популярными микросхемами, которые стоят в миллиардах устройств: Broadcom, Cypress и Silicon Lab.

​​Производитель программного обеспечения Adobe выпустила критическое предупреждение об уязвимостях безопасности в популярных продуктах под управлением Windows и macOS.

Обнаружено более 60 недостатков безопасности в широком спектре известных программных продуктов и компания предупреждает, что злоумышленники могут использовать эти ошибки для выполнения кода, повышения привилегий и проведения атак типа «отказ в обслуживании».

Пока представители из Сан-Хосе уверяют, что ей ничего не известно об эксплуатации какой-либо из задокументированных уязвимостей в дикой природе.

Вместе с тем, Adobe обратила особое внимание на исправления, доступные для своего флагманского инструмента Photoshop и предупредила, что три проблемы, связанные с безопасностью памяти могут быть использованы для выполнения кода или утечек памяти, которые могут использоваться в связке эксплойтов. Речь идет об уязвимостях в Photoshop - CVE-2021-43018, CVE-2021-43020 и CVE-2021-44184, которые относятся к категории «критических» и применяются к Photoshop 2021 и Photoshop 2022 в системах Windows и macOS.

В другом бюллетене с рейтингом критичности содержится предупреждение как минимум о 16 уязвимостях в Adobe Premiere Rush, успешная эксплуатация которых может привести к выполнению произвольного кода, отказу в обслуживании приложений и повышению привилегий в контексте текущего пользователя.

Пул исправленных недостатков в продуктовой линейке достаточно приличный и разработчик призывает пользователей немедленно применить доступные исправления.

​​Вызванная Log4Shell киберпандемия в сфере инфосек набирает новые обороты.

Наряду с выявленными более 1,8 млн. попыток эксплуатации первоначальной уязвимости CVE-2021-44228 в Log4j, хакеры начинают использовать вторую и третью уязвимости.

Это все при том, что выявлено более 60 использующих багу семейств malware, которые охватывают весь спектр вредоносных воздействий от майнеров и троянов удаленного доступа до ботнетов и веб-оболочек. И, что еще хуже, по данным MSTIC, брокеры первоначального доступа использовали уязвимость Log4Shell для проникновения в целевые сети, лазейки в которые затем были реализованы вымогателям.

Не менее активны оказались АРТ, связанные с Китаем (Hafnium), Ираном (APT 35 aka Phosphorus), Северной Корей и Турцией, в интересах которых отработать как можно больше уязвимых в моменте систем, начиная от интеграции уязвимости до развертывания полезных нагрузок в реальных условиях.

А теперь Cloudflare сообщают, что буквально вчера злоумышленники переориентировались на вторую CVE, обнаруженную в широко используемой утилите ведения журналов Log4j.

Уязвимость CVE-2021-45046 затрагивает все версии Log4j от 2.0-beta9 до 2.12.1 и от 2.13.0 до 2.15.0 и возникла неполного исправления Apache Software Foundation предыдущей CVE в некоторых нестандартных конфигурациях, отличных от настроек по умолчанию. Неполный патч для CVE-2021-44228 может быть использован для создания вредоносных входных данных с использованием шаблона поиска JNDI, что приводит к атаке типа отказ в обслуживании (DoS). В свою очередь, разработчики ее оперативно пофиксили в Log4j версии 2.16.0.

Еще большую тревогу вызывает исследование Praetorian, в котором исследователи предупреждают о третьей уязвимости в Log4j версии 2.15.0, которая дает возможность кражи конфиденциальных данных при определенных условиях. Технические подробности уязвимости не разглашаются, дабы предотвратить дальнейший коллапс, и, вероятно, еще и потому, что новая версия 2.16.0, по всей видимости, не содержит ее исправлений.

Можете сами оценить, как происходит эксфильтрация конфиденциальных данных в Log4j 2.15.0.

​​17 декабря в 11-00 акции ПАО «Группа Позитив» появятся в продаже

⚡️Сегодня объявляем о листинге обыкновенных акций ПАО «Группа Позитив» на Московской бирже.

❗️Акции с 17 декабря 2021 года можно будет купить на Московской бирже. Торговый код – POSI. Торги и расчеты будут проводиться в российских рублях.

Обыкновенные акции «Группы Позитив» также будут включены в сектор рынка инноваций и инвестиций (РИИ) Московской биржи.

В целях обеспечения ликвидности мы заключили маркетмейкинговые соглашения с тремя российскими брокерами, которые будут поддерживать заявки на покупку и продажу на торгах.

📣 «Группа Позитив» стала первой российской компанией из сектора кибербезопасности, которая приобрела публичный статус и акции которой обращаются на фондовой бирже, - заявил председатель совета директоров ПАО «Группа Позитив» Юрий Максимов. - В новом публичном статусе мы рассчитываем на привлечение и мотивацию талантливых людей индустрии, создание сплоченного сообщества единомышленников-совладельцев, которые понимают наш бизнес и высоко оценивают его перспективы. Мы также хотим выразить признательность Московской бирже за поддержку наших устремлений и инициатив».

📊 Оценка ПАО «Группа Позитив» от Евгения Когана.

Оценка ПАО «Группа Позитив» от ИК «Велес-Капитал».

Финансовая отчетность ПАО «Группа Позитив» открыта и прозрачна. Ознакомиться с ней можно на сайте.

#PositiveБиржа #security #cybersecurity

В конце ноября группа специалистов из Adversarial Counterintelligence Prevailion (PACT) выявила новый троян удаленного доступа (RAT) на основе javanoscript, который использует устойчивый алгоритм генерации доменов для идентификации своего центра управления и контроля (C2), а также новые методы для безфайлового хранения на целевой системе.

Кроме того, малварь скрывает свою активность динамически обновляясь и перекомпилируясь. Троян действительно уникален и использует реестр Windows для всех операций с хранением, что позволяет эффективно обходить механизмы защиты от вредоносных программ, так как работает ниже или около порога обнаружения большинства инструментов безопасности.

Новый RAT состоит из кода JavaScript и кейлоггера на основе C#, последний из которых как раз хранится в реестре, чтобы избежать обнаружения. Оба компонента очень легкие. Например, вредоносный код JavaScript занимает около 32 КБ, а кейлоггер всего 8,5 КБ.

Этот RAT специалисты из PACT назвали кодовым именем DarkWatchman. Новое вредоносное ПО, распространяется посредством социальной инженерии путем рассылки на электронную почту. К электронным письмам прилагается файл в виде ZIP-архива, который, в свою очередь, содержит полезную нагрузку, необходимую для заражения системы Windows.

Интересный факт, о котором сообщили в Prevailion состоит в том, что одной из целевых жертв было некое крупное предприятие в России и, по мнению экспертов DarkWatchman, мог использоваться для первоначального доступа с последующим применением ransomware.

Вектор атаки при этом начинался с доставки целевых фишинговых электронных писем, замаскированных под "уведомление об истечении срока бесплатного хранения для партии груза" российской транспортной компании Pony Express.

Информации о потерпевшей и атакующей стороне пока доподлинно не известно, но в ближайшее время уверены все станет ясно.

На самом деле получился очень познавательный и подробный отчет, который позволит окунуться в эволюцию безфайловых вредоносных программ.

Продолжаем следить за развитием киберпандемии Log4Shell.

До настоящего времени большинство атак с использованием уязвимости Log4Jam, осуществлялись через службу LDAP (Lightweight Directory Access Protocol). Однако в последнее время злоумышленники начали менять тактику и переключились с URL-адресов обратного вызова LDAP на RMI, а то и вовсе используют оба варианта в одном запросе.

Переход на RMI (Remote Method Invocation) API может казаться нелогичным, учитывая, что этот механизм подвергается дополнительным проверкам и ограничениям, но это не всегда так. Некоторые версии JVM не имеют строгих политик, и в этом случае RMI иногда может быть более простым каналом для достижения RCE, чем LDAP.

Являясь частью цепочки заражения, многие инструменты IDS/IPS в настоящее время фильтруют запросы с помощью JNDI и LDAP. Поэтому есть вероятность, что RMI на этом этапе может быть проигнорирован.

Несмотря на то, что выявленные Juniper Labs атаки с переходом на RMI были направлены на майнинг Monero, вектор может быть использован и более серьёзными акторами.

Log4Shell постепенно превращается в Log4Hell для всего инфосек.

​​Редакторы канала SecAtor ходят по большой комнате и хлопают в ладоши: "А где у нас APT, а куда они спрятались?!" Из-под детского столика выкарабкивается пухлый мальчуган с узким разрезом глаз и, испуганно оглядываясь, шустро улепетывает в сторону кухни.

"Малыш Сон, мы тебя видим!" - улыбаются редакторы и, схватив мальчиша в охапку, относят его в кроватку с надписью APT-C-06.

Как вы догадались из нашей небольшой художественной зарисовки дальнейшая речь пойдет о южнокорейской APT DarkHotel.

В прошлом году мы достаточно подробно рассказывали про киберподвиги этих сеульских хонгильдонов. Особенно заметны они были в первой половине 2020 года, но потом их активность пошла на спад.

И вот на днях (а конкретнее - вчера, мы всегда поставляем свежие новости, мы не ВкусВилл какой-нибудь) исследователи из команды ThreatLabz американской инфосек компании Zscaler выпустили отчет, в котором описали новую кампанию DarkHotel.

Первичным звеном атаки является многослойный вредоносный документ, вероятно доставляемый путем фишинга, в котором вредоносный скриптлет, в котором скрипт PowerShell, в котором утка, в которой заяц, в котором яйцо, в котором загрузчик малвари Ramsay, выявленный в 2020 году китайцами из Antiy и однозначно приписанный DarkHotel.

Кроме этого исследователи нашли еще ряд TTPs, которые весьма весомо указывают на DarkHotel в качестве автора кибероперации, в частности команды С2.

Основной целью кампании была подмена различных китайских доменов, в том числе правительственных. Однако в числе прочего, Zscaler обнаружили несколько фишинговых доменов ряда популярных в Китае криптовалютных проектов, с помощью которых хакеры стараются украсть закрытые криптоключи.

И это действительно интересно. Ранее таким промышляли, в основном, северокорейские APT, к примеру Lazarus. А вот о попытках украсть криптовалюту от южнокорейских хакеров слышной не было.

Поэтому логично было бы допустить версию, что под маской DarkHotel выступают другие хакеры. Например, те же Lazarus или Kimsuky. К сожалению Zscaler такого предположения не рассматривают, поэтому нам остается только гадать.