Вызванная Log4Shell киберпандемия в сфере инфосек набирает новые обороты.
Наряду с выявленными более 1,8 млн. попыток эксплуатации первоначальной уязвимости CVE-2021-44228 в Log4j, хакеры начинают использовать вторую и третью уязвимости.
Это все при том, что выявлено более 60 использующих багу семейств malware, которые охватывают весь спектр вредоносных воздействий от майнеров и троянов удаленного доступа до ботнетов и веб-оболочек. И, что еще хуже, по данным MSTIC, брокеры первоначального доступа использовали уязвимость Log4Shell для проникновения в целевые сети, лазейки в которые затем были реализованы вымогателям.
Не менее активны оказались АРТ, связанные с Китаем (Hafnium), Ираном (APT 35 aka Phosphorus), Северной Корей и Турцией, в интересах которых отработать как можно больше уязвимых в моменте систем, начиная от интеграции уязвимости до развертывания полезных нагрузок в реальных условиях.
А теперь Cloudflare сообщают, что буквально вчера злоумышленники переориентировались на вторую CVE, обнаруженную в широко используемой утилите ведения журналов Log4j.
Уязвимость CVE-2021-45046 затрагивает все версии Log4j от 2.0-beta9 до 2.12.1 и от 2.13.0 до 2.15.0 и возникла неполного исправления Apache Software Foundation предыдущей CVE в некоторых нестандартных конфигурациях, отличных от настроек по умолчанию. Неполный патч для CVE-2021-44228 может быть использован для создания вредоносных входных данных с использованием шаблона поиска JNDI, что приводит к атаке типа отказ в обслуживании (DoS). В свою очередь, разработчики ее оперативно пофиксили в Log4j версии 2.16.0.
Еще большую тревогу вызывает исследование Praetorian, в котором исследователи предупреждают о третьей уязвимости в Log4j версии 2.15.0, которая дает возможность кражи конфиденциальных данных при определенных условиях. Технические подробности уязвимости не разглашаются, дабы предотвратить дальнейший коллапс, и, вероятно, еще и потому, что новая версия 2.16.0, по всей видимости, не содержит ее исправлений.
Можете сами оценить, как происходит эксфильтрация конфиденциальных данных в Log4j 2.15.0.
Наряду с выявленными более 1,8 млн. попыток эксплуатации первоначальной уязвимости CVE-2021-44228 в Log4j, хакеры начинают использовать вторую и третью уязвимости.
Это все при том, что выявлено более 60 использующих багу семейств malware, которые охватывают весь спектр вредоносных воздействий от майнеров и троянов удаленного доступа до ботнетов и веб-оболочек. И, что еще хуже, по данным MSTIC, брокеры первоначального доступа использовали уязвимость Log4Shell для проникновения в целевые сети, лазейки в которые затем были реализованы вымогателям.
Не менее активны оказались АРТ, связанные с Китаем (Hafnium), Ираном (APT 35 aka Phosphorus), Северной Корей и Турцией, в интересах которых отработать как можно больше уязвимых в моменте систем, начиная от интеграции уязвимости до развертывания полезных нагрузок в реальных условиях.
А теперь Cloudflare сообщают, что буквально вчера злоумышленники переориентировались на вторую CVE, обнаруженную в широко используемой утилите ведения журналов Log4j.
Уязвимость CVE-2021-45046 затрагивает все версии Log4j от 2.0-beta9 до 2.12.1 и от 2.13.0 до 2.15.0 и возникла неполного исправления Apache Software Foundation предыдущей CVE в некоторых нестандартных конфигурациях, отличных от настроек по умолчанию. Неполный патч для CVE-2021-44228 может быть использован для создания вредоносных входных данных с использованием шаблона поиска JNDI, что приводит к атаке типа отказ в обслуживании (DoS). В свою очередь, разработчики ее оперативно пофиксили в Log4j версии 2.16.0.
Еще большую тревогу вызывает исследование Praetorian, в котором исследователи предупреждают о третьей уязвимости в Log4j версии 2.15.0, которая дает возможность кражи конфиденциальных данных при определенных условиях. Технические подробности уязвимости не разглашаются, дабы предотвратить дальнейший коллапс, и, вероятно, еще и потому, что новая версия 2.16.0, по всей видимости, не содержит ее исправлений.
Можете сами оценить, как происходит эксфильтрация конфиденциальных данных в Log4j 2.15.0.
YouTube
Log4j 2.15.0 stills allows for exfiltration of sensitive data
Why we recommend upgrading to 2.16.0 as quickly as possible.
Forwarded from IT's positive investing
17 декабря в 11-00 акции ПАО «Группа Позитив» появятся в продаже
⚡️Сегодня объявляем о листинге обыкновенных акций ПАО «Группа Позитив» на Московской бирже.
❗️Акции с 17 декабря 2021 года можно будет купить на Московской бирже. Торговый код – POSI. Торги и расчеты будут проводиться в российских рублях.
Обыкновенные акции «Группы Позитив» также будут включены в сектор рынка инноваций и инвестиций (РИИ) Московской биржи.
В целях обеспечения ликвидности мы заключили маркетмейкинговые соглашения с тремя российскими брокерами, которые будут поддерживать заявки на покупку и продажу на торгах.
📣 «Группа Позитив» стала первой российской компанией из сектора кибербезопасности, которая приобрела публичный статус и акции которой обращаются на фондовой бирже, - заявил председатель совета директоров ПАО «Группа Позитив» Юрий Максимов. - В новом публичном статусе мы рассчитываем на привлечение и мотивацию талантливых людей индустрии, создание сплоченного сообщества единомышленников-совладельцев, которые понимают наш бизнес и высоко оценивают его перспективы. Мы также хотим выразить признательность Московской бирже за поддержку наших устремлений и инициатив».
📊 Оценка ПАО «Группа Позитив» от Евгения Когана.
Оценка ПАО «Группа Позитив» от ИК «Велес-Капитал».
Финансовая отчетность ПАО «Группа Позитив» открыта и прозрачна. Ознакомиться с ней можно на сайте.
#PositiveБиржа #security #cybersecurity
⚡️Сегодня объявляем о листинге обыкновенных акций ПАО «Группа Позитив» на Московской бирже.
❗️Акции с 17 декабря 2021 года можно будет купить на Московской бирже. Торговый код – POSI. Торги и расчеты будут проводиться в российских рублях.
Обыкновенные акции «Группы Позитив» также будут включены в сектор рынка инноваций и инвестиций (РИИ) Московской биржи.
В целях обеспечения ликвидности мы заключили маркетмейкинговые соглашения с тремя российскими брокерами, которые будут поддерживать заявки на покупку и продажу на торгах.
📣 «Группа Позитив» стала первой российской компанией из сектора кибербезопасности, которая приобрела публичный статус и акции которой обращаются на фондовой бирже, - заявил председатель совета директоров ПАО «Группа Позитив» Юрий Максимов. - В новом публичном статусе мы рассчитываем на привлечение и мотивацию талантливых людей индустрии, создание сплоченного сообщества единомышленников-совладельцев, которые понимают наш бизнес и высоко оценивают его перспективы. Мы также хотим выразить признательность Московской бирже за поддержку наших устремлений и инициатив».
📊 Оценка ПАО «Группа Позитив» от Евгения Когана.
Оценка ПАО «Группа Позитив» от ИК «Велес-Капитал».
Финансовая отчетность ПАО «Группа Позитив» открыта и прозрачна. Ознакомиться с ней можно на сайте.
#PositiveБиржа #security #cybersecurity
В конце ноября группа специалистов из Adversarial Counterintelligence Prevailion (PACT) выявила новый троян удаленного доступа (RAT) на основе javanoscript, который использует устойчивый алгоритм генерации доменов для идентификации своего центра управления и контроля (C2), а также новые методы для безфайлового хранения на целевой системе.
Кроме того, малварь скрывает свою активность динамически обновляясь и перекомпилируясь. Троян действительно уникален и использует реестр Windows для всех операций с хранением, что позволяет эффективно обходить механизмы защиты от вредоносных программ, так как работает ниже или около порога обнаружения большинства инструментов безопасности.
Новый RAT состоит из кода JavaScript и кейлоггера на основе C#, последний из которых как раз хранится в реестре, чтобы избежать обнаружения. Оба компонента очень легкие. Например, вредоносный код JavaScript занимает около 32 КБ, а кейлоггер всего 8,5 КБ.
Этот RAT специалисты из PACT назвали кодовым именем DarkWatchman. Новое вредоносное ПО, распространяется посредством социальной инженерии путем рассылки на электронную почту. К электронным письмам прилагается файл в виде ZIP-архива, который, в свою очередь, содержит полезную нагрузку, необходимую для заражения системы Windows.
Интересный факт, о котором сообщили в Prevailion состоит в том, что одной из целевых жертв было некое крупное предприятие в России и, по мнению экспертов DarkWatchman, мог использоваться для первоначального доступа с последующим применением ransomware.
Вектор атаки при этом начинался с доставки целевых фишинговых электронных писем, замаскированных под "уведомление об истечении срока бесплатного хранения для партии груза" российской транспортной компании Pony Express.
Информации о потерпевшей и атакующей стороне пока доподлинно не известно, но в ближайшее время уверены все станет ясно.
На самом деле получился очень познавательный и подробный отчет, который позволит окунуться в эволюцию безфайловых вредоносных программ.
Кроме того, малварь скрывает свою активность динамически обновляясь и перекомпилируясь. Троян действительно уникален и использует реестр Windows для всех операций с хранением, что позволяет эффективно обходить механизмы защиты от вредоносных программ, так как работает ниже или около порога обнаружения большинства инструментов безопасности.
Новый RAT состоит из кода JavaScript и кейлоггера на основе C#, последний из которых как раз хранится в реестре, чтобы избежать обнаружения. Оба компонента очень легкие. Например, вредоносный код JavaScript занимает около 32 КБ, а кейлоггер всего 8,5 КБ.
Этот RAT специалисты из PACT назвали кодовым именем DarkWatchman. Новое вредоносное ПО, распространяется посредством социальной инженерии путем рассылки на электронную почту. К электронным письмам прилагается файл в виде ZIP-архива, который, в свою очередь, содержит полезную нагрузку, необходимую для заражения системы Windows.
Интересный факт, о котором сообщили в Prevailion состоит в том, что одной из целевых жертв было некое крупное предприятие в России и, по мнению экспертов DarkWatchman, мог использоваться для первоначального доступа с последующим применением ransomware.
Вектор атаки при этом начинался с доставки целевых фишинговых электронных писем, замаскированных под "уведомление об истечении срока бесплатного хранения для партии груза" российской транспортной компании Pony Express.
Информации о потерпевшей и атакующей стороне пока доподлинно не известно, но в ближайшее время уверены все станет ясно.
На самом деле получился очень познавательный и подробный отчет, который позволит окунуться в эволюцию безфайловых вредоносных программ.
Продолжаем следить за развитием киберпандемии Log4Shell.
До настоящего времени большинство атак с использованием уязвимости Log4Jam, осуществлялись через службу LDAP (Lightweight Directory Access Protocol). Однако в последнее время злоумышленники начали менять тактику и переключились с URL-адресов обратного вызова LDAP на RMI, а то и вовсе используют оба варианта в одном запросе.
Переход на RMI (Remote Method Invocation) API может казаться нелогичным, учитывая, что этот механизм подвергается дополнительным проверкам и ограничениям, но это не всегда так. Некоторые версии JVM не имеют строгих политик, и в этом случае RMI иногда может быть более простым каналом для достижения RCE, чем LDAP.
Являясь частью цепочки заражения, многие инструменты IDS/IPS в настоящее время фильтруют запросы с помощью JNDI и LDAP. Поэтому есть вероятность, что RMI на этом этапе может быть проигнорирован.
Несмотря на то, что выявленные Juniper Labs атаки с переходом на RMI были направлены на майнинг Monero, вектор может быть использован и более серьёзными акторами.
Log4Shell постепенно превращается в Log4Hell для всего инфосек.
До настоящего времени большинство атак с использованием уязвимости Log4Jam, осуществлялись через службу LDAP (Lightweight Directory Access Protocol). Однако в последнее время злоумышленники начали менять тактику и переключились с URL-адресов обратного вызова LDAP на RMI, а то и вовсе используют оба варианта в одном запросе.
Переход на RMI (Remote Method Invocation) API может казаться нелогичным, учитывая, что этот механизм подвергается дополнительным проверкам и ограничениям, но это не всегда так. Некоторые версии JVM не имеют строгих политик, и в этом случае RMI иногда может быть более простым каналом для достижения RCE, чем LDAP.
Являясь частью цепочки заражения, многие инструменты IDS/IPS в настоящее время фильтруют запросы с помощью JNDI и LDAP. Поэтому есть вероятность, что RMI на этом этапе может быть проигнорирован.
Несмотря на то, что выявленные Juniper Labs атаки с переходом на RMI были направлены на майнинг Monero, вектор может быть использован и более серьёзными акторами.
Log4Shell постепенно превращается в Log4Hell для всего инфосек.
Juniper Networks
Log4j Vulnerability: Attackers Shift Focus From LDAP to RMI
Juniper Threat Labs has observed variants of the ongoing Log4j CVE-2021-44228 attacks that use an RMI service instead of LDAP.
Редакторы канала SecAtor ходят по большой комнате и хлопают в ладоши: "А где у нас APT, а куда они спрятались?!" Из-под детского столика выкарабкивается пухлый мальчуган с узким разрезом глаз и, испуганно оглядываясь, шустро улепетывает в сторону кухни.
"Малыш Сон, мы тебя видим!" - улыбаются редакторы и, схватив мальчиша в охапку, относят его в кроватку с надписью APT-C-06.
Как вы догадались из нашей небольшой художественной зарисовки дальнейшая речь пойдет о южнокорейской APT DarkHotel.
В прошлом году мы достаточно подробно рассказывали про киберподвиги этих сеульских хонгильдонов. Особенно заметны они были в первой половине 2020 года, но потом их активность пошла на спад.
И вот на днях (а конкретнее - вчера, мы всегда поставляем свежие новости, мы не ВкусВилл какой-нибудь) исследователи из команды ThreatLabz американской инфосек компании Zscaler выпустили отчет, в котором описали новую кампанию DarkHotel.
Первичным звеном атаки является многослойный вредоносный документ, вероятно доставляемый путем фишинга, в котором вредоносный скриптлет, в котором скрипт PowerShell, в котором утка, в которой заяц, в котором яйцо, в котором загрузчик малвари Ramsay, выявленный в 2020 году китайцами из Antiy и однозначно приписанный DarkHotel.
Кроме этого исследователи нашли еще ряд TTPs, которые весьма весомо указывают на DarkHotel в качестве автора кибероперации, в частности команды С2.
Основной целью кампании была подмена различных китайских доменов, в том числе правительственных. Однако в числе прочего, Zscaler обнаружили несколько фишинговых доменов ряда популярных в Китае криптовалютных проектов, с помощью которых хакеры стараются украсть закрытые криптоключи.
И это действительно интересно. Ранее таким промышляли, в основном, северокорейские APT, к примеру Lazarus. А вот о попытках украсть криптовалюту от южнокорейских хакеров слышной не было.
Поэтому логично было бы допустить версию, что под маской DarkHotel выступают другие хакеры. Например, те же Lazarus или Kimsuky. К сожалению Zscaler такого предположения не рассматривают, поэтому нам остается только гадать.
"Малыш Сон, мы тебя видим!" - улыбаются редакторы и, схватив мальчиша в охапку, относят его в кроватку с надписью APT-C-06.
Как вы догадались из нашей небольшой художественной зарисовки дальнейшая речь пойдет о южнокорейской APT DarkHotel.
В прошлом году мы достаточно подробно рассказывали про киберподвиги этих сеульских хонгильдонов. Особенно заметны они были в первой половине 2020 года, но потом их активность пошла на спад.
И вот на днях (а конкретнее - вчера, мы всегда поставляем свежие новости, мы не ВкусВилл какой-нибудь) исследователи из команды ThreatLabz американской инфосек компании Zscaler выпустили отчет, в котором описали новую кампанию DarkHotel.
Первичным звеном атаки является многослойный вредоносный документ, вероятно доставляемый путем фишинга, в котором вредоносный скриптлет, в котором скрипт PowerShell, в котором утка, в которой заяц, в котором яйцо, в котором загрузчик малвари Ramsay, выявленный в 2020 году китайцами из Antiy и однозначно приписанный DarkHotel.
Кроме этого исследователи нашли еще ряд TTPs, которые весьма весомо указывают на DarkHotel в качестве автора кибероперации, в частности команды С2.
Основной целью кампании была подмена различных китайских доменов, в том числе правительственных. Однако в числе прочего, Zscaler обнаружили несколько фишинговых доменов ряда популярных в Китае криптовалютных проектов, с помощью которых хакеры стараются украсть закрытые криптоключи.
И это действительно интересно. Ранее таким промышляли, в основном, северокорейские APT, к примеру Lazarus. А вот о попытках украсть криптовалюту от южнокорейских хакеров слышной не было.
Поэтому логично было бы допустить версию, что под маской DarkHotel выступают другие хакеры. Например, те же Lazarus или Kimsuky. К сожалению Zscaler такого предположения не рассматривают, поэтому нам остается только гадать.
Zscaler
New DarkHotel APT attack chain identified | Zscaler
ThreatLabz identified a previously undocumented variant of an attack-chain used by the South Korea-based Dark Hotel APT group.
Специалистами из IBM Security X-Force обнаружена деятельность хакерской группировки, которая, по мнению экспертов, относится к иранской APT.
По данным компании, деятельность злоумышленников началась еще в 2019 году и была нацелена на азиатскую авиакомпанию (на какую пока умалчивается).
Основываясь на TTP, наблюдаемой в сети с 2019 по 2021 год, исследователи связали атаку с предполагаемой группировкой отслеживаемой как ITG17 или известной под названием MuddyWater.
Вредоносная активность была обнаружена в начале октября 2019 года и начиналась с развертывания Aclip - бэкдора, написанного на PowerShell, который способен получать команды и отправлять данные с помощью прикладного программного интерфейса популярного приложения для обмена сообщениями Slack.
Использование для C2 легитимной платформы Slack, широко используемой в корпоративных средах, дает злоумышленникам возможность смешивать трафик вредоносных программ, что затрудняет аналитикам по безопасности замечать вредоносную активность.
В наблюдаемой атаке хакеры создавали управляемое рабочее пространство в Slack и каналы, по которым могли получать системную информацию, включая файлы и снимки экрана. В ходе анализа исследователи обнаружили, что Aclip изначально запускался с помощью пакетного сценария Windows с именем aclip.bat, который был добавлен в ключ запуска реестра Windows, что непосредственно позволяло ему сохраняться при перезагрузках и запускаться с включением системы.
При первом запуске бэкдор собирал основную системную информацию, включая имя хоста, имя пользователя и внешний IP-адрес. Эти данные кодировались с помощью Base64 и передавались в центр управления. Снимки экрана, сделанные Aclip с помощью графической библиотеки PowerShell сохранялись в каталоге TEMP и после загрузки на сервер злоумышленника удалялись оттуда.
Учитывая рост и популярность перехода на удаленный формат работы во многих компаниях и активного использования приложения для корпоративного общения и контроля производственной деятельности, X-Force предполагает аналогичную тенденцию в использовании бэкдора злоумышленниками для контроля и распространения вредоносного ПО.
По данным компании, деятельность злоумышленников началась еще в 2019 году и была нацелена на азиатскую авиакомпанию (на какую пока умалчивается).
Основываясь на TTP, наблюдаемой в сети с 2019 по 2021 год, исследователи связали атаку с предполагаемой группировкой отслеживаемой как ITG17 или известной под названием MuddyWater.
Вредоносная активность была обнаружена в начале октября 2019 года и начиналась с развертывания Aclip - бэкдора, написанного на PowerShell, который способен получать команды и отправлять данные с помощью прикладного программного интерфейса популярного приложения для обмена сообщениями Slack.
Использование для C2 легитимной платформы Slack, широко используемой в корпоративных средах, дает злоумышленникам возможность смешивать трафик вредоносных программ, что затрудняет аналитикам по безопасности замечать вредоносную активность.
В наблюдаемой атаке хакеры создавали управляемое рабочее пространство в Slack и каналы, по которым могли получать системную информацию, включая файлы и снимки экрана. В ходе анализа исследователи обнаружили, что Aclip изначально запускался с помощью пакетного сценария Windows с именем aclip.bat, который был добавлен в ключ запуска реестра Windows, что непосредственно позволяло ему сохраняться при перезагрузках и запускаться с включением системы.
При первом запуске бэкдор собирал основную системную информацию, включая имя хоста, имя пользователя и внешний IP-адрес. Эти данные кодировались с помощью Base64 и передавались в центр управления. Снимки экрана, сделанные Aclip с помощью графической библиотеки PowerShell сохранялись в каталоге TEMP и после загрузки на сервер злоумышленника удалялись оттуда.
Учитывая рост и популярность перехода на удаленный формат работы во многих компаниях и активного использования приложения для корпоративного общения и контроля производственной деятельности, X-Force предполагает аналогичную тенденцию в использовании бэкдора злоумышленниками для контроля и распространения вредоносного ПО.
Security Intelligence
Nation State Threat Group Targets Airline with Aclip Backdoor
An attack on an Asian airline was uncovered, likely compromised by a state-sponsored adversary using a new backdoor that utilizes Slack. IBM Security X-Force experts share the findings from their research.
Ноутбуки Lenovo, включая семейства ThinkPad и Yoga, уязвимы для атак, позволяющих получать права администратора.
Рик Велдховен из Fox-IT, входящей в NCC Group, выявил 29 октября две ошибки повышения привилегий в службе ImControllerService («Служба System Interface Foundation») всех версий Lenovo System Interface Foundation ниже 1.1.20.3, CVE-2021-3922 и CVE-2021-3969.
Lenovo System Interface Foundation Service предоставляет интерфейсы для множества функций, включая управление питанием системы, оптимизацию системы, обновление драйверов и приложений. 17 ноября Lenovo выпустили исправления для уязвимостей, которые были публично раскрыты на этой неделе.
CVE-2021-3922 была обнаружена в IMController, программном компоненте Lenovo System Interface Foundation, которая могла позволить локальному злоумышленнику подключиться и взаимодействовать с именованным конвейером дочернего процесса IMController, а CVE-2021-3969, в свою очередь, затрагивала Time of Check Time of Use (TOCTOU) в IMController, предоставляя возможность локальному злоумышленнику повысить привилегии.
Согласно исследованию NCC Group, служба ImController устанавливается на определенных устройствах Lenovo и запускается на уровне SYSTEM, периодически выполняя дочерние процессы, связанные с задачами настройки и обслуживания системы.
Дело в том, что ImControllerService обрабатывает выполнение высокопривилегированных дочерних процессов, что позволяет непривилегированному злоумышленнику с локальным доступом к системе повышать свои привилегии. Родительский процесс устанавливает соединение с дочерним сервером как можно скорее, чтобы отправить сериализованные команды XML по именованному каналу. Дочерний элемент не проверяет источник соединения и анализирует сериализованные команды XML.
При этом одна из команд, которую может отправить родительский процесс, указывает дочернему процессу загрузить «плагин» из произвольного места в файловой системе. Дочерний процесс проверяет цифровую подпись файла DLL подключаемого модуля перед загрузкой файла в свое адресное пространство.
Таким образом, как заметили исследователи, дочерний процесс не проверяет источник соединения, а это означает, что он начнет принимать команды от злоумышленника, используя высокопроизводительные процедуры синхронизации файловой системы. А вторая уязвимость используется для остановки процесса загрузки и замены проверенного подключаемого модуля вредоносным файлом DLL, который выполняется с высокими привилегиями.
Исследователи и производители свое дело сделали, пора бы и пользователям заняться обновлением, пока багами не занялись специалисты другого профиля.
Рик Велдховен из Fox-IT, входящей в NCC Group, выявил 29 октября две ошибки повышения привилегий в службе ImControllerService («Служба System Interface Foundation») всех версий Lenovo System Interface Foundation ниже 1.1.20.3, CVE-2021-3922 и CVE-2021-3969.
Lenovo System Interface Foundation Service предоставляет интерфейсы для множества функций, включая управление питанием системы, оптимизацию системы, обновление драйверов и приложений. 17 ноября Lenovo выпустили исправления для уязвимостей, которые были публично раскрыты на этой неделе.
CVE-2021-3922 была обнаружена в IMController, программном компоненте Lenovo System Interface Foundation, которая могла позволить локальному злоумышленнику подключиться и взаимодействовать с именованным конвейером дочернего процесса IMController, а CVE-2021-3969, в свою очередь, затрагивала Time of Check Time of Use (TOCTOU) в IMController, предоставляя возможность локальному злоумышленнику повысить привилегии.
Согласно исследованию NCC Group, служба ImController устанавливается на определенных устройствах Lenovo и запускается на уровне SYSTEM, периодически выполняя дочерние процессы, связанные с задачами настройки и обслуживания системы.
Дело в том, что ImControllerService обрабатывает выполнение высокопривилегированных дочерних процессов, что позволяет непривилегированному злоумышленнику с локальным доступом к системе повышать свои привилегии. Родительский процесс устанавливает соединение с дочерним сервером как можно скорее, чтобы отправить сериализованные команды XML по именованному каналу. Дочерний элемент не проверяет источник соединения и анализирует сериализованные команды XML.
При этом одна из команд, которую может отправить родительский процесс, указывает дочернему процессу загрузить «плагин» из произвольного места в файловой системе. Дочерний процесс проверяет цифровую подпись файла DLL подключаемого модуля перед загрузкой файла в свое адресное пространство.
Таким образом, как заметили исследователи, дочерний процесс не проверяет источник соединения, а это означает, что он начнет принимать команды от злоумышленника, используя высокопроизводительные процедуры синхронизации файловой системы. А вторая уязвимость используется для остановки процесса загрузки и замены проверенного подключаемого модуля вредоносным файлом DLL, который выполняется с высокими привилегиями.
Исследователи и производители свое дело сделали, пора бы и пользователям заняться обновлением, пока багами не занялись специалисты другого профиля.
Nccgroup
Cyber Security Research
Cutting-edge cyber security research from NCC Group. Find public reports, technical advisories, analyses, & other novel insights from our global experts.
С января по ноябрь 2021 года было атаковано более 35000 устройств в 195 странах, включая АСУ ТП (ICS) и правительственный сектор, с помощью нового шпионского ПО PseudoManuscrypt.
Вредоносную активность обнаружили специалисты Лаборатории Касперского, назвавший новое шпионское ПО PseudoManuscrypt из-за его сходства с Manuscrypt, которое использовалось связанной с Северной Кореей АРТ Lazarus для атак на объекты в оборонной сфере.
С другой стороны, вредоносное ПО использует протокол KCP для подключения к своему серверу управления и контроля, который на практике редко встречался, только разве что связанной с Китаем группой угроз APT41 в своих атаках на промышленные организации.
Кроме того, образцы вредоносного ПО также содержат комментарии, исполненные на китайском языке, выявлены подключения к облачному хранилищу китайской компании Baidu, а китайский указывается malware в качестве предпочтительного языка при подключении к C2.
PseudoManuscrypt поддерживает широкий спектр шпионских функций: крадет учетные данные VPN, перехватывает нажатия клавиш, захватывает содержимое экрана, записывает звук с микрофона, а также копирует данные из буфера обмена и журнала событий ОС.
Распространяется через дистрибутивы пиратского ПО, включая архивы, относящиеся к программному обеспечению ICS, которые, вероятно, реализовывались по схеме Malware-as-a-Service (MaaS). В некоторых случаях malware доставлялось ботнетом Glupteba.
Эксперты выявили, что не менее 7,2% всех систем, пораженных вредоносным ПО PseudoManuscrypt, являются частью систем управления производством (ICS) в сфере машиностроения, автоматизаций зданий, энергетики, промышленности, строительстве, ЖКХ и водоснабжения. В числе целей также фигурировали военно-промышленные предприятия и НИИ. При этом во многих случаях злоумышленников интересовали хосты, используемые для моделирования и инженерных изысканий, что навело исследователей на мысль о возможном промышленном шпионаже.
В тоже время слишком широкая таргеттированность атак не свойственна прогосударственным АРТ. Почти треть устройств, не использующих АСУ ТП, на которые нацелена эта кампания, приходится на Россию (10,1%), Индию (10%) и Бразилию (9,3%), а случае с АСУ ТП - наибольший процент целевых показателей наблюдался в Индии, Вьетнаме и России.
До настоящего времени атрибутировать PseudoManuscrypt с Lazarus или другой АРТ исследователи Лаборатории однозначно не смогли, поскольку в совокупности изученные данные не укладываются в какие-либо известные схемы, равно как и понять, преследует ли кампания финансовую выгоду или реализуется в национальных интересах какого-либо государства.
Но всяко лучше атрибуции на «кофейной гуще», которая все чаще пронизывает отчеты уважаемых инфосек компании в угоду политическим тренда, впрочем, мы уже не раз об этом писали.
Вредоносную активность обнаружили специалисты Лаборатории Касперского, назвавший новое шпионское ПО PseudoManuscrypt из-за его сходства с Manuscrypt, которое использовалось связанной с Северной Кореей АРТ Lazarus для атак на объекты в оборонной сфере.
С другой стороны, вредоносное ПО использует протокол KCP для подключения к своему серверу управления и контроля, который на практике редко встречался, только разве что связанной с Китаем группой угроз APT41 в своих атаках на промышленные организации.
Кроме того, образцы вредоносного ПО также содержат комментарии, исполненные на китайском языке, выявлены подключения к облачному хранилищу китайской компании Baidu, а китайский указывается malware в качестве предпочтительного языка при подключении к C2.
PseudoManuscrypt поддерживает широкий спектр шпионских функций: крадет учетные данные VPN, перехватывает нажатия клавиш, захватывает содержимое экрана, записывает звук с микрофона, а также копирует данные из буфера обмена и журнала событий ОС.
Распространяется через дистрибутивы пиратского ПО, включая архивы, относящиеся к программному обеспечению ICS, которые, вероятно, реализовывались по схеме Malware-as-a-Service (MaaS). В некоторых случаях malware доставлялось ботнетом Glupteba.
Эксперты выявили, что не менее 7,2% всех систем, пораженных вредоносным ПО PseudoManuscrypt, являются частью систем управления производством (ICS) в сфере машиностроения, автоматизаций зданий, энергетики, промышленности, строительстве, ЖКХ и водоснабжения. В числе целей также фигурировали военно-промышленные предприятия и НИИ. При этом во многих случаях злоумышленников интересовали хосты, используемые для моделирования и инженерных изысканий, что навело исследователей на мысль о возможном промышленном шпионаже.
В тоже время слишком широкая таргеттированность атак не свойственна прогосударственным АРТ. Почти треть устройств, не использующих АСУ ТП, на которые нацелена эта кампания, приходится на Россию (10,1%), Индию (10%) и Бразилию (9,3%), а случае с АСУ ТП - наибольший процент целевых показателей наблюдался в Индии, Вьетнаме и России.
До настоящего времени атрибутировать PseudoManuscrypt с Lazarus или другой АРТ исследователи Лаборатории однозначно не смогли, поскольку в совокупности изученные данные не укладываются в какие-либо известные схемы, равно как и понять, преследует ли кампания финансовую выгоду или реализуется в национальных интересах какого-либо государства.
Но всяко лучше атрибуции на «кофейной гуще», которая все чаще пронизывает отчеты уважаемых инфосек компании в угоду политическим тренда, впрочем, мы уже не раз об этом писали.
Kaspersky ICS CERT | Kaspersky Industrial Control Systems Cyber Emergency Response Team
PseudoManuscrypt: a mass-scale spyware attack campaign | Kaspersky ICS CERT
Kaspersky products blocked PseudoManuscrypt on more than 35,000 computers in 195 countries of the world. Targets of attacks include a significant number of industrial and government organizations, including enterprises in the military-industrial complex and…
Непотопляемая банда вымогателей Clop продолжает злодействовать и в этот раз слила в сеть конфиденциальные данные полиции Великобритании.
Инцидент произошел еще в октябре, когда операторы ransomware получили доступ к данным, IT-компании Dacoll, содержащим личную информацию и записи 13 миллионов человек, а также конфиденциальные сведения некоторых британских департаментов полиции.
Очевидно, что переговоры по поводу выкупа зашли в тупик и Dacoll отказались платить. Тогда хакеры решили обнародовать данные из Национального компьютера полиции (PNC), содержащие информацию национальной системы автоматического распознавания номеров (ANPR), видеозаписи правонарушений и изображения лиц водителей.
Dacoll подтверждает утечку данных, сумму выкупа не называет и платить не намерена, несмотря на то что преступники продолжают угрозы дальнейшего распространения конфиденциальных сведений.
Британские СМИ отмечают, что одна из дочерних компаний Dacoll, NDI Technologies, оказывает «критически важные» услуги для более чем 90% правоохранительных структур Великобритании, предоставляя сотрудникам полиции удаленный доступ к PNC. Dacoll в свою очередь говорит, что работа информационных систем функционирует в штатном режиме, а инцидент был ограничен внутренней сетью и не связан ни с одной из сетей или услуг других клиентов.
В расследовании инцидента правоохранительным органам оказывает поддержку Национальный центр кибербезопасности Великобритании (NCSC). Посмотрим, насколько успешно будет проводиться расследование, так как уже какой раз предполагаемые участники банды Clop были арестованы в ходе международных правоохранительных операциях, проводимых Интерполом. Видимо название банды выбрано не просто так, их давят, а они не истребляются или ловят совсем не тех.
Инцидент произошел еще в октябре, когда операторы ransomware получили доступ к данным, IT-компании Dacoll, содержащим личную информацию и записи 13 миллионов человек, а также конфиденциальные сведения некоторых британских департаментов полиции.
Очевидно, что переговоры по поводу выкупа зашли в тупик и Dacoll отказались платить. Тогда хакеры решили обнародовать данные из Национального компьютера полиции (PNC), содержащие информацию национальной системы автоматического распознавания номеров (ANPR), видеозаписи правонарушений и изображения лиц водителей.
Dacoll подтверждает утечку данных, сумму выкупа не называет и платить не намерена, несмотря на то что преступники продолжают угрозы дальнейшего распространения конфиденциальных сведений.
Британские СМИ отмечают, что одна из дочерних компаний Dacoll, NDI Technologies, оказывает «критически важные» услуги для более чем 90% правоохранительных структур Великобритании, предоставляя сотрудникам полиции удаленный доступ к PNC. Dacoll в свою очередь говорит, что работа информационных систем функционирует в штатном режиме, а инцидент был ограничен внутренней сетью и не связан ни с одной из сетей или услуг других клиентов.
В расследовании инцидента правоохранительным органам оказывает поддержку Национальный центр кибербезопасности Великобритании (NCSC). Посмотрим, насколько успешно будет проводиться расследование, так как уже какой раз предполагаемые участники банды Clop были арестованы в ходе международных правоохранительных операциях, проводимых Интерполом. Видимо название банды выбрано не просто так, их давят, а они не истребляются или ловят совсем не тех.
Еще раз Merry Christmas!
Log4shell все никак не отступит. Казалось бы с тех пор, как на прошлой неделе началась длинная эпопея с критическими 0-day в log4j, для многих версия 2.16 на какое-то мгновение показалась выходом из сложной ситуации. Но, как выяснилось, она включала ранее необнаруженные баги предыдущей версии и собственные новые, которые исправили с выходом версии 2.17.0.
Дело в том, что предпоследняя версия ПО содержала уязвимость отказа в обслуживании (DoS), которой был присвоен CVE-2021-45105. Ошибка была обнаружена сразу после того, как 2.15.0 был признан уязвимым к незначительной уязвимости DoS (CVE-2021-45046). Позже уровень был повышен Apache с низкого (3,7) до критического (9,0) после того, как новые обходы позволили красть данные из уязвимых систем.
После публичного обсуждения проблемы в течение трех дней Apache присвоил новую CVE и выпустил новую пропеченную версию log4j 2.17.0.
CVE-2021-45105 получивший «высокий» (7,5) балл по шкале CVSS, существует, поскольку log4j 2.16 не всегда защищает от неконтролируемой рекурсии при самореференциальном поиске JNDI, который, казалось бы, был полностью отключен в версии 2.16, но оставался возможным при определенных обстоятельствах и приводил к ошибке StackOverflowError. Версия доступна на крупнейшем Java-репозитории - Maven Central. Выпуск 2.12.3 также на подходе для тех, кто находится в версиях ветки 2.12.x.
Абстрагируясь от очередной уязвимости, по данным Google, более 35 000 пакетов Java содержат уязвимости log4j, составляющих более 8% репозитория Maven Central. Большая часть из пакетов заимствуют баги log4j «косвенно» по принципу транзитивной зависимости. Кроме того, из 35 863 идентифицированных Google пакетов, около 7000 заимствовали log4j напрямую. Учитывая показатели зависимостей, исследователи Google прогнозируют, что устранение недостатков log4j затянется на годы.
Тем временем, в нынешних условиях следует выполнить обновление до последних версий log4j и продолжать мониторить Apache на предмет обновлений.
Log4shell все никак не отступит. Казалось бы с тех пор, как на прошлой неделе началась длинная эпопея с критическими 0-day в log4j, для многих версия 2.16 на какое-то мгновение показалась выходом из сложной ситуации. Но, как выяснилось, она включала ранее необнаруженные баги предыдущей версии и собственные новые, которые исправили с выходом версии 2.17.0.
Дело в том, что предпоследняя версия ПО содержала уязвимость отказа в обслуживании (DoS), которой был присвоен CVE-2021-45105. Ошибка была обнаружена сразу после того, как 2.15.0 был признан уязвимым к незначительной уязвимости DoS (CVE-2021-45046). Позже уровень был повышен Apache с низкого (3,7) до критического (9,0) после того, как новые обходы позволили красть данные из уязвимых систем.
После публичного обсуждения проблемы в течение трех дней Apache присвоил новую CVE и выпустил новую пропеченную версию log4j 2.17.0.
CVE-2021-45105 получивший «высокий» (7,5) балл по шкале CVSS, существует, поскольку log4j 2.16 не всегда защищает от неконтролируемой рекурсии при самореференциальном поиске JNDI, который, казалось бы, был полностью отключен в версии 2.16, но оставался возможным при определенных обстоятельствах и приводил к ошибке StackOverflowError. Версия доступна на крупнейшем Java-репозитории - Maven Central. Выпуск 2.12.3 также на подходе для тех, кто находится в версиях ветки 2.12.x.
Абстрагируясь от очередной уязвимости, по данным Google, более 35 000 пакетов Java содержат уязвимости log4j, составляющих более 8% репозитория Maven Central. Большая часть из пакетов заимствуют баги log4j «косвенно» по принципу транзитивной зависимости. Кроме того, из 35 863 идентифицированных Google пакетов, около 7000 заимствовали log4j напрямую. Учитывая показатели зависимостей, исследователи Google прогнозируют, что устранение недостатков log4j затянется на годы.
Тем временем, в нынешних условиях следует выполнить обновление до последних версий log4j и продолжать мониторить Apache на предмет обновлений.
Googleblog
Understanding the Impact of Apache Log4j Vulnerability
Posted by James Wetter and Nicky Ringland, Open Source Insights Team Editors Note: The below numbers were calculated based on both log4j-co...
Специалисты из лаборатории Citizen Lab совместно с Facebook Meta выявили еще одного игрока в частном секторе разработки шпионского ПО для мобильных устройств.
В поле зрения попала небольшая компания Cytrox из крошечной Македонии в качестве производителя высококачественных эксплойтов для iPhone. В подробном техническом отчете Citizen Lab заявляет, что Cytrox причастна к разработке вредоносного ПО для перехвата сообщений на iPhone, которое было установлено на мобильные телефоны двум достаточно известным египтянам.
Вредоносная программа под названием Predator была способна заразить последнюю на тот момент версию iOS (14.6) за один клик по ссылке, отправленной через WhatsApp.
Одной из жертв слежки оказался изгнанный египетский политик Айман Нур, на айфоне которого было обнаружено две различные шпионские программы, управляемыми двумя разными правительственными субъектами APT. Citizen Lab приписывает эту атаку правительству Египта, которое является клиентом Cytrox. Помимо Predator Cytrox, телефон был заражен скандально известным шпионским ПО Pegasus от NSO Group.
В своем разоблачении Citizen Lab проследила корпоративную историю Cytrox. Компания была создана в 2017 году, как стартап некого Иво Малинковски - гражданина Северной Македонии, который объединил компанию с Intellexa и публично продавал инструменты для цифровой криминалистической экспертизы.
Специалисты по безопасности в Meta, связывают Cytrox вместе с компаниями Cobwebs Technologies, Cognate, Black Cupe, Bluehawk CI, BellTroX и двумя неизвестными китайскими организациями, специализирующихся на подобном ремесле. По мнению экспертов эти компании занимаются разведкой и разработкой вредоносного ПО в интересах правительств и правоохранительных органов ряда стран. Целями Cytrox и его клиентов были политики и журналисты со всего мира, в том числе в Египте и Армении.
Полный цикл шпионского романа из уст исследователей Citizen Lab определенно стоит вашего внимания.
В поле зрения попала небольшая компания Cytrox из крошечной Македонии в качестве производителя высококачественных эксплойтов для iPhone. В подробном техническом отчете Citizen Lab заявляет, что Cytrox причастна к разработке вредоносного ПО для перехвата сообщений на iPhone, которое было установлено на мобильные телефоны двум достаточно известным египтянам.
Вредоносная программа под названием Predator была способна заразить последнюю на тот момент версию iOS (14.6) за один клик по ссылке, отправленной через WhatsApp.
Одной из жертв слежки оказался изгнанный египетский политик Айман Нур, на айфоне которого было обнаружено две различные шпионские программы, управляемыми двумя разными правительственными субъектами APT. Citizen Lab приписывает эту атаку правительству Египта, которое является клиентом Cytrox. Помимо Predator Cytrox, телефон был заражен скандально известным шпионским ПО Pegasus от NSO Group.
В своем разоблачении Citizen Lab проследила корпоративную историю Cytrox. Компания была создана в 2017 году, как стартап некого Иво Малинковски - гражданина Северной Македонии, который объединил компанию с Intellexa и публично продавал инструменты для цифровой криминалистической экспертизы.
Специалисты по безопасности в Meta, связывают Cytrox вместе с компаниями Cobwebs Technologies, Cognate, Black Cupe, Bluehawk CI, BellTroX и двумя неизвестными китайскими организациями, специализирующихся на подобном ремесле. По мнению экспертов эти компании занимаются разведкой и разработкой вредоносного ПО в интересах правительств и правоохранительных органов ряда стран. Целями Cytrox и его клиентов были политики и журналисты со всего мира, в том числе в Египте и Армении.
Полный цикл шпионского романа из уст исследователей Citizen Lab определенно стоит вашего внимания.
The Citizen Lab
Pegasus vs. Predator
Two Egyptians—exiled politician Ayman Nour and the host of a popular news program (who wishes to remain anonymous)—were hacked with Predator spyware, built and sold by the previously little-known mercenary spyware developer Cytrox. The phone of Ayman Nour…
Коварные хакеры из неназванной АРТ на днях препарировали и блокнули по итогу внутреннюю сеть федерального правительства США, точнее одного из его подразделений. Разбирались специалисты Avast.
Исследователи не стали называть ни конкретного актора, ни жертву атаки, но несмотря на это, жертва все же стала известна - Комиссия США по международной религиозной свободе (USCIRF).
Орган занимается мониторингом за соблюдением прав на свободу религии и убеждений за рубежом, консультируя по этим вопросам высшее руководство страны: Президента, Госсекретаря и конгрессменов. Стало быть, решают, кого похлопать по плечу, а на кого наложить санкции, определяя таким образом политику США в отношении нарушений прав человека.
Исследователи Avast обнаружили в сети следы двух вредоносных файлов, которые фактически предоставили злоумышленникам полный контроль над внутренними системами, перехватив фактически весь локальный сетевой трафик в этой организации. А значит, хакерам удалось провентилировать достаточно многие вопросы и изучить всю внутреннюю кухню USCIRF.
Как выяснилось, злоумышленники настолько виртуозно все сделали, что даже могут запускать код по своему выбору в контексте операционной системы на зараженных системах. Учитывая, что чешских специалистов так и не подпустили (по крайней мере, официально) к более предметным деталям инцидента, кроме двух файлов публике более не представлено никакой информации.
Первый файл маскируется под oci.dll и использует программу WinDivert для перехвата всех сетевых пакетов. Это позволяет злоумышленнику загрузить и запустить любой вредоносный код в зараженной системе. Основная задача этого загрузчика может заключаться в использовании привилегированных локальных прав для преодоления межсетевых экранов и мониторинга сети.
Второй файл также маскируется под oci.dll, он меняет первый загрузчик oci.dll и, вероятно, представляет собой другой, более поздний этап той же атаки. Его назначение - расшифровать и запустить в памяти файл SecurityHealthServer.dll.
Это показывает в целом на то, что атака проводилась как минимум в два этапа, о чем свидетельствуют две разные версии oci.dll, которые нашли исследователи.
Вместе с тем, это не помешало Avast признать атаку классической операцией типа APT и заметить и без того тонкую связь с отчетом Operation Red Signature от 2018 года, представленного компанией Trend Micro, поскольку вторая версия oci.dll имеет несколько общих маркеров и копирует функционал с rcview40u.dll, который использовался в той операции. Конечно же, на официальную атрибуцию не натянуть, но пальцем все же тыкнуть на потенциальных КНДР и КНР можно.
Учитывая, что USCIRF определенно играет одну из ключевых ролей, в том числе и в разжиганий религиозных конфликтов на территории КНР, напрашивается вывод о геополитических разборках руками АРТ, как это было, когда команда Insikt Group выявила киберкампанию, проводимую китайским актором против Ватикана и Католической епархии Гонконга, накануне предстоящих межгосударственных переговоров.
Исследователи не стали называть ни конкретного актора, ни жертву атаки, но несмотря на это, жертва все же стала известна - Комиссия США по международной религиозной свободе (USCIRF).
Орган занимается мониторингом за соблюдением прав на свободу религии и убеждений за рубежом, консультируя по этим вопросам высшее руководство страны: Президента, Госсекретаря и конгрессменов. Стало быть, решают, кого похлопать по плечу, а на кого наложить санкции, определяя таким образом политику США в отношении нарушений прав человека.
Исследователи Avast обнаружили в сети следы двух вредоносных файлов, которые фактически предоставили злоумышленникам полный контроль над внутренними системами, перехватив фактически весь локальный сетевой трафик в этой организации. А значит, хакерам удалось провентилировать достаточно многие вопросы и изучить всю внутреннюю кухню USCIRF.
Как выяснилось, злоумышленники настолько виртуозно все сделали, что даже могут запускать код по своему выбору в контексте операционной системы на зараженных системах. Учитывая, что чешских специалистов так и не подпустили (по крайней мере, официально) к более предметным деталям инцидента, кроме двух файлов публике более не представлено никакой информации.
Первый файл маскируется под oci.dll и использует программу WinDivert для перехвата всех сетевых пакетов. Это позволяет злоумышленнику загрузить и запустить любой вредоносный код в зараженной системе. Основная задача этого загрузчика может заключаться в использовании привилегированных локальных прав для преодоления межсетевых экранов и мониторинга сети.
Второй файл также маскируется под oci.dll, он меняет первый загрузчик oci.dll и, вероятно, представляет собой другой, более поздний этап той же атаки. Его назначение - расшифровать и запустить в памяти файл SecurityHealthServer.dll.
Это показывает в целом на то, что атака проводилась как минимум в два этапа, о чем свидетельствуют две разные версии oci.dll, которые нашли исследователи.
Вместе с тем, это не помешало Avast признать атаку классической операцией типа APT и заметить и без того тонкую связь с отчетом Operation Red Signature от 2018 года, представленного компанией Trend Micro, поскольку вторая версия oci.dll имеет несколько общих маркеров и копирует функционал с rcview40u.dll, который использовался в той операции. Конечно же, на официальную атрибуцию не натянуть, но пальцем все же тыкнуть на потенциальных КНДР и КНР можно.
Учитывая, что USCIRF определенно играет одну из ключевых ролей, в том числе и в разжиганий религиозных конфликтов на территории КНР, напрашивается вывод о геополитических разборках руками АРТ, как это было, когда команда Insikt Group выявила киберкампанию, проводимую китайским актором против Ватикана и Католической епархии Гонконга, накануне предстоящих межгосударственных переговоров.
Avast Threat Labs
Avast Finds Backdoor on US Government Commission Network - Avast Threat Labs
Avast has found a targeted attack on a small US federal government commission. Despite the fact that they did not cooperate with us, we were able to analyze two files involved in this attack.
Forwarded from SecurityLab.ru
В этом спецвыпуске мы посетили Positive Launch Day 2021.
Мероприятие было посвящено запуску инновационного решения от компании Positive Technologies — PT XDR.
Решение предназначено для обнаружения киберугроз и реагирования на них и помогает кратно ускорить реагирование на атаки.
https://www.youtube.com/watch?v=z3wChv7ycgg
Мероприятие было посвящено запуску инновационного решения от компании Positive Technologies — PT XDR.
Решение предназначено для обнаружения киберугроз и реагирования на них и помогает кратно ускорить реагирование на атаки.
https://www.youtube.com/watch?v=z3wChv7ycgg
YouTube
Спецвыпуск! PT XDR | 12+
💰📊👉 Новости об инвестициях в кибербезопасность предоставлены каналом It’s positive investing - https://news.1rj.ru/str/positive_investing
В этом спецвыпуске мы посетили Positive Launch Day 2021.
Мероприятие было посвящено запуску инновационного решения от компании…
В этом спецвыпуске мы посетили Positive Launch Day 2021.
Мероприятие было посвящено запуску инновационного решения от компании…
Очередная классика жанра, когда приборы, созданные для того, чтобы сделать жизнь более безопасной сами подвержены угрозам безопасности.
В этот раз угроза коснулась продукции для обнаружения металлов, небезызвестной компании Garrett из Техаса. Как оказалось ее арочные металлодетекторы GARRETT, которые продаются более чем в 100 странах мира подвержены потенциально серьезным уязвимостям и могут быть использованы для взлома устройств, а также изменения их конфигурации.
Металлодетекторы компании, которые видел почти каждый используются на стадионах, площадках для проведения мероприятий, школах, зданиях судов, больницах, тюрьмах и правительственных организациях почти во всей Европе, на Ближнем Востоке и в Австралии
Об угрозах безопасности сообщили специалисты из Cisco Talos, когда один из исследователей обнаружил несколько уязвимостей в модуле Garrett iC, который обеспечивает проводное или беспроводное сетевое соединение с PD 6500i - многозонными проходными металлодетекторами компании.
Так как поставщик выпустил исправления еще 13 декабря, Talos раскрыл информацию о семи уязвимостях, обнаруженных в модуле iC, пяти из которым был присвоен критический рейтинг серьезности.
Три баги в безопасности можно использовать без аутентификации, отправив на устройство специально созданный пакет, позволяющий злоумышленнику выполнить произвольный код. В Talos пояснили, что после эксплуатации уязвимостей злоумышленник может манипулировать этим модулем, чтобы удаленно отслеживать статистику, например, сработала ли тревога или сколько посетителей прошло, а также вносить изменения в конфигурацию металлодетектора, например изменять уровень чувствительности, что потенциально представляет угрозу безопасности для контролеров, которые полагаются на эти устройства.
Еще три недостатка позволяют аутентифицированному злоумышленнику читать, записывать или удалять файлы с устройства, а последняя бага может быть использована для взлома сеанса аутентифицированного пользователя.
Учитывая, что такие устройства преимущественно не подключены к интернету, соответственно для эксплуатации уязвимости злоумышленнику потребуется доступ к локальной сети.
В этот раз угроза коснулась продукции для обнаружения металлов, небезызвестной компании Garrett из Техаса. Как оказалось ее арочные металлодетекторы GARRETT, которые продаются более чем в 100 странах мира подвержены потенциально серьезным уязвимостям и могут быть использованы для взлома устройств, а также изменения их конфигурации.
Металлодетекторы компании, которые видел почти каждый используются на стадионах, площадках для проведения мероприятий, школах, зданиях судов, больницах, тюрьмах и правительственных организациях почти во всей Европе, на Ближнем Востоке и в Австралии
Об угрозах безопасности сообщили специалисты из Cisco Talos, когда один из исследователей обнаружил несколько уязвимостей в модуле Garrett iC, который обеспечивает проводное или беспроводное сетевое соединение с PD 6500i - многозонными проходными металлодетекторами компании.
Так как поставщик выпустил исправления еще 13 декабря, Talos раскрыл информацию о семи уязвимостях, обнаруженных в модуле iC, пяти из которым был присвоен критический рейтинг серьезности.
Три баги в безопасности можно использовать без аутентификации, отправив на устройство специально созданный пакет, позволяющий злоумышленнику выполнить произвольный код. В Talos пояснили, что после эксплуатации уязвимостей злоумышленник может манипулировать этим модулем, чтобы удаленно отслеживать статистику, например, сработала ли тревога или сколько посетителей прошло, а также вносить изменения в конфигурацию металлодетектора, например изменять уровень чувствительности, что потенциально представляет угрозу безопасности для контролеров, которые полагаются на эти устройства.
Еще три недостатка позволяют аутентифицированному злоумышленнику читать, записывать или удалять файлы с устройства, а последняя бага может быть использована для взлома сеанса аутентифицированного пользователя.
Учитывая, что такие устройства преимущественно не подключены к интернету, соответственно для эксплуатации уязвимости злоумышленнику потребуется доступ к локальной сети.
Вышедший в свет PoC для CVE-2021-42287 и CVE-2021-42278 вызывает большую обеспокоенность у разработчиков и клиентов Microsoft.
Дело в том, что исправленные ноябрьским Patch Tuesday ошибки Active Directory позволяют злоумышленникам получать административные привилегии и захватывать домены Windows.
Microsoft настоятельно предупреждает пользователей о необходимости незамедлительного решения обоих уязвимостей в кратчайшие сроки. IT-гигант также разработал отдельное руководство и предупреждение по эти проблемам.
Уязвимость CVE-2021-42278 с настройками по умолчанию дает обычному пользователю разрешение на изменение учетной записи компьютера (до 10 машин), и как его владелец, он также имеет права редактировать его атрибут sAMAccountName.
Вторая ошибка CVE-2021-42287 представляет собой уязвимость обхода безопасности, которая затрагивает сертификат атрибута привилегий Kerberos (PAC) и позволяет потенциальным злоумышленникам выдавать себя за контроллеры домена. Уязвимость приводит к тому, что центр распространения ключей (KDC) создает билеты службы с более высокими уровнями привилегий, чем у учетной записи домена. Это достигается тем, что KDC не может определить, для какой учетной записи предназначен билет службы с более высокими привилегиями.
Объединив обе уязвимости, злоумышленник может создать прямой путь к пользователю с правами администратора домена в среде Active Directory, где баги не пропатчены. По итогу атака позволяет злоумышленникам легко повысить свои привилегии до привилегий администратора домена, как только они скомпрометируют обычного пользователя.
Как всегда, мы настоятельно рекомендуем как можно скорее развернуть последние исправления на контроллерах домена и не испытывать судьбу.
Дело в том, что исправленные ноябрьским Patch Tuesday ошибки Active Directory позволяют злоумышленникам получать административные привилегии и захватывать домены Windows.
Microsoft настоятельно предупреждает пользователей о необходимости незамедлительного решения обоих уязвимостей в кратчайшие сроки. IT-гигант также разработал отдельное руководство и предупреждение по эти проблемам.
Уязвимость CVE-2021-42278 с настройками по умолчанию дает обычному пользователю разрешение на изменение учетной записи компьютера (до 10 машин), и как его владелец, он также имеет права редактировать его атрибут sAMAccountName.
Вторая ошибка CVE-2021-42287 представляет собой уязвимость обхода безопасности, которая затрагивает сертификат атрибута привилегий Kerberos (PAC) и позволяет потенциальным злоумышленникам выдавать себя за контроллеры домена. Уязвимость приводит к тому, что центр распространения ключей (KDC) создает билеты службы с более высокими уровнями привилегий, чем у учетной записи домена. Это достигается тем, что KDC не может определить, для какой учетной записи предназначен билет службы с более высокими привилегиями.
Объединив обе уязвимости, злоумышленник может создать прямой путь к пользователю с правами администратора домена в среде Active Directory, где баги не пропатчены. По итогу атака позволяет злоумышленникам легко повысить свои привилегии до привилегий администратора домена, как только они скомпрометируют обычного пользователя.
Как всегда, мы настоятельно рекомендуем как можно скорее развернуть последние исправления на контроллерах домена и не испытывать судьбу.
TECHCOMMUNITY.MICROSOFT.COM
SAM Name impersonation | Microsoft Community Hub
During the November security update cycle, Microsoft released a patch for two new vulnerabilities, CVE-2021-42287 and CVE-2021-42278. Both vulnerabilities...
Как мы и предполагали, по прошествии определенного времени после хаоса, возникшего в сфере инфосек после обнаружения в начале декабря уязвимостей Log4j, начинают всплывать реальные последствия киберпандемии.
Log4Shell начал активно использоваться для заражения устройств Windows трояном Dridex и Linux с помощью Meterpreter. Хакеры используют вариант эксплойта Log4j RMI (Remote Method Invocation), чтобы заставить уязвимые устройства загружать и выполнять Java с удаленного сервера, управляемого злоумышленником.
Malware представляет собой банковский троян, изначально разработанный для кражи учетных данных клиентов онлайн-банкинга, а впоследствии вобравший в себя функции загрузчика различных модулей, в том числе для развертывания полезных нагрузок, распространения на другие устройства, слежения и др. вредоносных функций, самые болезненные из которых - вновь ransomware. На памяти BitPaymer, DoppelPaymer и Evil Corp уже встречались в связке с Dridex.
И без этого Log4Shell уже вовсю вошел в арсенал вымогателей, отличись Conti, которые наряду с Lockbit опустились в рейтинге ransomware, заняв строчки ниже более активных вымогателей PYSA, согласно последнему отчету ФБР США и данным NCC Group, но тем не менее отметились в квесте Log4Jam. В реальности Log4Shell станет настоящей находкой и реальным шансом на успех для новой банды вымогателей Everest, которые вместо слива украденных данных продают доступ к корпоративной сети жертвы другим злоумышленникам, в случае неполучения выкупа.
И вот, как мы и предполагали, очередной жертвой стали бельгийские военные заявили, которые на протяжении недели пытаются восстановить свою инфраструктуру после разрушительной атаки. Пока неизвестен виновник инцидента и то, какие конкретно системы и как глубоко пострадали, однако точно понятно, что что злоумышленники использовали уязвимости в Log4j.
Еще раз отметим, что DLS для всех жертв ransomware вполне может не хватить, успевайте обновиться и просканить системы на предмет компрометации, дабы не занять места с ними по соседству.
Log4Shell начал активно использоваться для заражения устройств Windows трояном Dridex и Linux с помощью Meterpreter. Хакеры используют вариант эксплойта Log4j RMI (Remote Method Invocation), чтобы заставить уязвимые устройства загружать и выполнять Java с удаленного сервера, управляемого злоумышленником.
Malware представляет собой банковский троян, изначально разработанный для кражи учетных данных клиентов онлайн-банкинга, а впоследствии вобравший в себя функции загрузчика различных модулей, в том числе для развертывания полезных нагрузок, распространения на другие устройства, слежения и др. вредоносных функций, самые болезненные из которых - вновь ransomware. На памяти BitPaymer, DoppelPaymer и Evil Corp уже встречались в связке с Dridex.
И без этого Log4Shell уже вовсю вошел в арсенал вымогателей, отличись Conti, которые наряду с Lockbit опустились в рейтинге ransomware, заняв строчки ниже более активных вымогателей PYSA, согласно последнему отчету ФБР США и данным NCC Group, но тем не менее отметились в квесте Log4Jam. В реальности Log4Shell станет настоящей находкой и реальным шансом на успех для новой банды вымогателей Everest, которые вместо слива украденных данных продают доступ к корпоративной сети жертвы другим злоумышленникам, в случае неполучения выкупа.
И вот, как мы и предполагали, очередной жертвой стали бельгийские военные заявили, которые на протяжении недели пытаются восстановить свою инфраструктуру после разрушительной атаки. Пока неизвестен виновник инцидента и то, какие конкретно системы и как глубоко пострадали, однако точно понятно, что что злоумышленники использовали уязвимости в Log4j.
Еще раз отметим, что DLS для всех жертв ransomware вполне может не хватить, успевайте обновиться и просканить системы на предмет компрометации, дабы не занять места с ними по соседству.
Twitter
Cryptolaemus
We have verified distribution of #Dridex 22203 on Windows via #Log4j #Log4Shell. Class > MSHTA > VBS > rundll32. Class: virustotal.com/gui/url/d13029… Payload URLs: urlhaus.abuse.ch/browse/tag/222… DLL sample: bazaar.abuse.ch/sample/ee14add… HTA > DLL run:…
Под ширмой истерии вокруг Log4Shell тлеет и периодически разгорается настоящая кибервойна, ну вы помните.
На этот раз иранской хакерской группе SharpBoys удалось взломать ряд крупных израильских сайтов и опубликовать личную информацию о более чем четырех миллионах израильтян, в том числе и достаточно высокопоставленных и известных персон.
На этот раз иранской хакерской группе SharpBoys удалось взломать ряд крупных израильских сайтов и опубликовать личную информацию о более чем четырех миллионах израильтян, в том числе и достаточно высокопоставленных и известных персон.
- Партнёрский пост -
Крутая карьерная возможность для высококлассного пентестера – ищет команда ИБ «Лаборатории Касперского».
Вы будете проводить сканирование уязвимостей, оценивать их критичность, придумывать планы по устранению новых и развивать внутренние системы автоматизированного контроля. Скучно не будет.
Что нужно у(и)меть:
- Высшее техническое образование, разговорный английский
- Опыт в области практического анализа защищенности и тестирования на проникновение от 5 лет
- Опыт выявления и эксплуатации уязвимостей Web и сетевых приложениях
- Знание и опыт применения методик анализа защищенности (PTES, MITRE ATT&CK, OWASP)
- Знание скриптовых языков программирования (для автоматизации рутины, написания Proof of Concept).
За это вас ждет клевый офис и спортзал, щедрая страховка и постоянное обучение, вкусный кофе и крутая команда!
Откликаться тут: https://hh.ru/vacancy/50586314
Крутая карьерная возможность для высококлассного пентестера – ищет команда ИБ «Лаборатории Касперского».
Вы будете проводить сканирование уязвимостей, оценивать их критичность, придумывать планы по устранению новых и развивать внутренние системы автоматизированного контроля. Скучно не будет.
Что нужно у(и)меть:
- Высшее техническое образование, разговорный английский
- Опыт в области практического анализа защищенности и тестирования на проникновение от 5 лет
- Опыт выявления и эксплуатации уязвимостей Web и сетевых приложениях
- Знание и опыт применения методик анализа защищенности (PTES, MITRE ATT&CK, OWASP)
- Знание скриптовых языков программирования (для автоматизации рутины, написания Proof of Concept).
За это вас ждет клевый офис и спортзал, щедрая страховка и постоянное обучение, вкусный кофе и крутая команда!
Откликаться тут: https://hh.ru/vacancy/50586314
hh.ru
Вакансия Эксперт по тестированию на проникновение в Москве, работа в компании Лаборатория Касперского (вакансия в архиве c 27 января…
Зарплата: не указана. Москва. Требуемый опыт: 3–6 лет. Полная занятость. Дата публикации: 20.12.2021.
Уголок политинформаци.
Associated Press сообщает, что Citizen Lab, ранее неоднократно публиковавшие данные о неправомерном использовании спецслужбами различных стран кибершпионского ПО Pegasus от израильской NSO Group, обвинила польские власти в слежке за двумя критиками польско-качиньского режыма - адвокатом Романом Гертых и прокурором Евой Врзосек - в самый канун парламентских выборов 2019 года. Само собой с использованием этого самого Pegasus.
Журналисты называли этот прецедент "эрозией демократии". Официальный представитель польских спецслужб Станислав Зарын опроверг обвинения и назвал их необоснованными.
Напомним, что летом Citizen Lab обвинили власти Венгрии во взломе, по меньшей мере, десяти местных оппозиционеров с помощью ПО от NSO Group.
К чему мы все это - нет никакой разницы между режимами "демократическими" и "недемократическими". Каждая власть применяет все доступные ей средства, чтобы остаться властью. Каждая власть транслирует только ту точку зрения, которая выгодна ей. В том числе и в области информационной безопасности.
Поэтому когда в следующий раз прочитаете про то, что "наблюдается активное использование Log4Shell прогосударственными хакерами из Китая, Ирана, России, КНДР (и немножечко из Турции)", то имейте в виду, что это не значит, что британские или израильские APT ее не используют. Еще как используют, просто про это не напишут "принципиальные" инфосек эксперты и журналисты.
Что же касается американских спецслужб, то тут - да, они действительно сейчас Log4Shell не эксплуатируют. Потому что они ее сами в Apache и засунули, к гадалке не ходи.
Dixi, kurwa.
Associated Press сообщает, что Citizen Lab, ранее неоднократно публиковавшие данные о неправомерном использовании спецслужбами различных стран кибершпионского ПО Pegasus от израильской NSO Group, обвинила польские власти в слежке за двумя критиками польско-качиньского режыма - адвокатом Романом Гертых и прокурором Евой Врзосек - в самый канун парламентских выборов 2019 года. Само собой с использованием этого самого Pegasus.
Журналисты называли этот прецедент "эрозией демократии". Официальный представитель польских спецслужб Станислав Зарын опроверг обвинения и назвал их необоснованными.
Напомним, что летом Citizen Lab обвинили власти Венгрии во взломе, по меньшей мере, десяти местных оппозиционеров с помощью ПО от NSO Group.
К чему мы все это - нет никакой разницы между режимами "демократическими" и "недемократическими". Каждая власть применяет все доступные ей средства, чтобы остаться властью. Каждая власть транслирует только ту точку зрения, которая выгодна ей. В том числе и в области информационной безопасности.
Поэтому когда в следующий раз прочитаете про то, что "наблюдается активное использование Log4Shell прогосударственными хакерами из Китая, Ирана, России, КНДР (и немножечко из Турции)", то имейте в виду, что это не значит, что британские или израильские APT ее не используют. Еще как используют, просто про это не напишут "принципиальные" инфосек эксперты и журналисты.
Что же касается американских спецслужб, то тут - да, они действительно сейчас Log4Shell не эксплуатируют. Потому что они ее сами в Apache и засунули, к гадалке не ходи.
Dixi, kurwa.
AP NEWS
AP Exclusive: Polish opposition duo hacked with NSO spyware
WARSAW, Poland (AP) — The aggressive cellphone break-ins of a high-profile lawyer representing top Polish opposition figures came in the final weeks of pivotal 2019 parliamentary elections. Two years later, a prosecutor challenging attempts by the populist…
Порция дыр в очередном продукте от Microsoft.
Специалистами по кибербезопасности из Positive Security обнаружены критические уязвимости в популярной платформе бизнес-коммуникаций Microsoft Teams. Речь идет о четырех недостатках безопасности, которые могут быть использованы злоумышленником для подделки предварительного просмотра ссылок, утечки IP-адресов, доступа к внутренним службам, а также DoS приложений.
По непонятным причинам из четырех уязвимостей Microsoft устранила только одну, которая приводит к утечке IP-адресов с девайсов под управлением Android, при этом софтверный гигант отмечает, что исправление ошибки отказа в обслуживании (DoS) будет рассмотрено в будущей версии продукта.
Главный же недостаток связан с уязвимостью подделки запросов на стороне сервера (SSRF), которая может быть использована для получения информации из локальной сети Microsoft.
Также не менее критичная ошибка обнаружена в функции предварительного просмотра ссылок, которые в свою очередь могут быть изменены так, чтобы указывать на любой URL, при этом изображение предварительного просмотра и описание основной ссылки остаются неизменными, что позволяет злоумышленникам скрывать вредоносные ссылки и проводить более качественные фишинговые атаки.
Пусть обнаруженные уязвимости имеют ограниченное влияние, тем не менее эпично наблюдать, когда такие простые векторы атак не тестировались разработчиками раньше, и что у Microsoft нет желания или ресурсов для защиты своих пользователей от них.
Специалистами по кибербезопасности из Positive Security обнаружены критические уязвимости в популярной платформе бизнес-коммуникаций Microsoft Teams. Речь идет о четырех недостатках безопасности, которые могут быть использованы злоумышленником для подделки предварительного просмотра ссылок, утечки IP-адресов, доступа к внутренним службам, а также DoS приложений.
По непонятным причинам из четырех уязвимостей Microsoft устранила только одну, которая приводит к утечке IP-адресов с девайсов под управлением Android, при этом софтверный гигант отмечает, что исправление ошибки отказа в обслуживании (DoS) будет рассмотрено в будущей версии продукта.
Главный же недостаток связан с уязвимостью подделки запросов на стороне сервера (SSRF), которая может быть использована для получения информации из локальной сети Microsoft.
Также не менее критичная ошибка обнаружена в функции предварительного просмотра ссылок, которые в свою очередь могут быть изменены так, чтобы указывать на любой URL, при этом изображение предварительного просмотра и описание основной ссылки остаются неизменными, что позволяет злоумышленникам скрывать вредоносные ссылки и проводить более качественные фишинговые атаки.
Пусть обнаруженные уязвимости имеют ограниченное влияние, тем не менее эпично наблюдать, когда такие простые векторы атак не тестировались разработчиками раньше, и что у Microsoft нет желания или ресурсов для защиты своих пользователей от них.
positive.security
MS Teams: 1 feature, 4 vulnerabilities | Positive Security
Microsoft Team's link preview feature is susceptible to spoofing and vulnerable to Server-Side Request Forgery. Team's Android users can be DoS'ed and, in the past, their IP address could be leaked.
К 2025 году в сети будут функционировать более 40 миллиардов IoT-устройств, которые потенциально в совокупности будут представлять серьезный инструмент для майнинга криптовалют и организации масштабных DDoS-атак.
К таким и не только выводам пришли исследователи из NIST и Университета Флориды по итогам 3-х летнего эксперимента с расстановкой Honeypot, имитирующих различные типы устройств Интернета вещей, в различных локациях и форматах. Благодаря кластеризации сгенерированных в ходе исследований данных специалисты получили четкое представление о том, почему хакеры нацелены на те или иные устройства.
Устройства IoT - это динамично развивающийся рынок, который охватывает в себя такие популярные у пользователей устройства, как камеры, освещение, дверные звонки, интеллектуальные телевизоры, датчики движения, динамики, термостаты и многое другое.
Исследовательская экосистема из Honeypot включала инфраструктуру из серверов, систем сбора, проверки и анализа данных, включая Cowrie, Dionaea, KFSensor и HoneyCamera, которые представляют собой готовые эмуляторы приманок для Интернета вещей, которые отображались в Censys и Shodan как реальные устройства.
При этом применялись 3 основных типа приманок: HoneyShell (эмуляция Busybox), HoneyWindowsBox (эмуляция устройств Интернета вещей под управлением Windows) и HoneyCamera (эмуляция различных IP-камер Hikvision, D-Link и других устройств). Все Honeypot реагировали соответствующим образом на трафик злоумышленников и их атаки, что позволило исследователям обнаружить реакцию акторов на изменения конфигураций защиты IoT, происходившие в момент их обращзений.
В ходе эксперимента было зафиксировано и проанализировано более 22,6 миллионов обращений, подавляющее большинство из которых было нацелено на HoneyShell. При этом злоумышленники в целом демонстрировали схожие модели атак.
Например, большинство акторов инициировали такие команды, как masscan для поиска открытых портов и /etc/init.d/iptables stop для отключения межсетевых экранов, а также free-m, lspci grep VGA и cat/proc/cpuinfo для сбора информации о спецификации целевого устройства. И почти миллион раз хакеры проверяли комбинацию аутентификационных данных «admin/1234».
87% всех атак имели цель проверки этой комбинации, в то время как 314 112 (13%) обращений были связаны с выполнением иных команд внутри приманки.
Исследователи обнаружили, что атаки на HoneyShell и HoneyCamera имели конечной целью организацию DDoS, были рекрутированы в ботнет Mirai или использовались в качестве майнера крипты. Последняя схема была свойственна в основном HoneyWindowsBox, словившую вирусы, дропперы и трояны.
Намеренно оставив уязвимость раскрытия учетных данных в HoneyCamera, исследователи обнаружили, что 29 злоумышленников эксплуатировали багу вручную.
Многих негативных сценариев в случае атак на IoT-устройства можно избежать, если соблюдать определённые условия их использования: менять дефолтные учетные данные, выделить IoT в отдельную сеть, закрыть ее брандмауэрами или VPN и своевременно обновлять прошивку.
К таким и не только выводам пришли исследователи из NIST и Университета Флориды по итогам 3-х летнего эксперимента с расстановкой Honeypot, имитирующих различные типы устройств Интернета вещей, в различных локациях и форматах. Благодаря кластеризации сгенерированных в ходе исследований данных специалисты получили четкое представление о том, почему хакеры нацелены на те или иные устройства.
Устройства IoT - это динамично развивающийся рынок, который охватывает в себя такие популярные у пользователей устройства, как камеры, освещение, дверные звонки, интеллектуальные телевизоры, датчики движения, динамики, термостаты и многое другое.
Исследовательская экосистема из Honeypot включала инфраструктуру из серверов, систем сбора, проверки и анализа данных, включая Cowrie, Dionaea, KFSensor и HoneyCamera, которые представляют собой готовые эмуляторы приманок для Интернета вещей, которые отображались в Censys и Shodan как реальные устройства.
При этом применялись 3 основных типа приманок: HoneyShell (эмуляция Busybox), HoneyWindowsBox (эмуляция устройств Интернета вещей под управлением Windows) и HoneyCamera (эмуляция различных IP-камер Hikvision, D-Link и других устройств). Все Honeypot реагировали соответствующим образом на трафик злоумышленников и их атаки, что позволило исследователям обнаружить реакцию акторов на изменения конфигураций защиты IoT, происходившие в момент их обращзений.
В ходе эксперимента было зафиксировано и проанализировано более 22,6 миллионов обращений, подавляющее большинство из которых было нацелено на HoneyShell. При этом злоумышленники в целом демонстрировали схожие модели атак.
Например, большинство акторов инициировали такие команды, как masscan для поиска открытых портов и /etc/init.d/iptables stop для отключения межсетевых экранов, а также free-m, lspci grep VGA и cat/proc/cpuinfo для сбора информации о спецификации целевого устройства. И почти миллион раз хакеры проверяли комбинацию аутентификационных данных «admin/1234».
87% всех атак имели цель проверки этой комбинации, в то время как 314 112 (13%) обращений были связаны с выполнением иных команд внутри приманки.
Исследователи обнаружили, что атаки на HoneyShell и HoneyCamera имели конечной целью организацию DDoS, были рекрутированы в ботнет Mirai или использовались в качестве майнера крипты. Последняя схема была свойственна в основном HoneyWindowsBox, словившую вирусы, дропперы и трояны.
Намеренно оставив уязвимость раскрытия учетных данных в HoneyCamera, исследователи обнаружили, что 29 злоумышленников эксплуатировали багу вручную.
Многих негативных сценариев в случае атак на IoT-устройства можно избежать, если соблюдать определённые условия их использования: менять дефолтные учетные данные, выделить IoT в отдельную сеть, закрыть ее брандмауэрами или VPN и своевременно обновлять прошивку.