Вышедший в свет PoC для CVE-2021-42287 и CVE-2021-42278 вызывает большую обеспокоенность у разработчиков и клиентов Microsoft.
Дело в том, что исправленные ноябрьским Patch Tuesday ошибки Active Directory позволяют злоумышленникам получать административные привилегии и захватывать домены Windows.
Microsoft настоятельно предупреждает пользователей о необходимости незамедлительного решения обоих уязвимостей в кратчайшие сроки. IT-гигант также разработал отдельное руководство и предупреждение по эти проблемам.
Уязвимость CVE-2021-42278 с настройками по умолчанию дает обычному пользователю разрешение на изменение учетной записи компьютера (до 10 машин), и как его владелец, он также имеет права редактировать его атрибут sAMAccountName.
Вторая ошибка CVE-2021-42287 представляет собой уязвимость обхода безопасности, которая затрагивает сертификат атрибута привилегий Kerberos (PAC) и позволяет потенциальным злоумышленникам выдавать себя за контроллеры домена. Уязвимость приводит к тому, что центр распространения ключей (KDC) создает билеты службы с более высокими уровнями привилегий, чем у учетной записи домена. Это достигается тем, что KDC не может определить, для какой учетной записи предназначен билет службы с более высокими привилегиями.
Объединив обе уязвимости, злоумышленник может создать прямой путь к пользователю с правами администратора домена в среде Active Directory, где баги не пропатчены. По итогу атака позволяет злоумышленникам легко повысить свои привилегии до привилегий администратора домена, как только они скомпрометируют обычного пользователя.
Как всегда, мы настоятельно рекомендуем как можно скорее развернуть последние исправления на контроллерах домена и не испытывать судьбу.
Дело в том, что исправленные ноябрьским Patch Tuesday ошибки Active Directory позволяют злоумышленникам получать административные привилегии и захватывать домены Windows.
Microsoft настоятельно предупреждает пользователей о необходимости незамедлительного решения обоих уязвимостей в кратчайшие сроки. IT-гигант также разработал отдельное руководство и предупреждение по эти проблемам.
Уязвимость CVE-2021-42278 с настройками по умолчанию дает обычному пользователю разрешение на изменение учетной записи компьютера (до 10 машин), и как его владелец, он также имеет права редактировать его атрибут sAMAccountName.
Вторая ошибка CVE-2021-42287 представляет собой уязвимость обхода безопасности, которая затрагивает сертификат атрибута привилегий Kerberos (PAC) и позволяет потенциальным злоумышленникам выдавать себя за контроллеры домена. Уязвимость приводит к тому, что центр распространения ключей (KDC) создает билеты службы с более высокими уровнями привилегий, чем у учетной записи домена. Это достигается тем, что KDC не может определить, для какой учетной записи предназначен билет службы с более высокими привилегиями.
Объединив обе уязвимости, злоумышленник может создать прямой путь к пользователю с правами администратора домена в среде Active Directory, где баги не пропатчены. По итогу атака позволяет злоумышленникам легко повысить свои привилегии до привилегий администратора домена, как только они скомпрометируют обычного пользователя.
Как всегда, мы настоятельно рекомендуем как можно скорее развернуть последние исправления на контроллерах домена и не испытывать судьбу.
TECHCOMMUNITY.MICROSOFT.COM
SAM Name impersonation | Microsoft Community Hub
During the November security update cycle, Microsoft released a patch for two new vulnerabilities, CVE-2021-42287 and CVE-2021-42278. Both vulnerabilities...
Как мы и предполагали, по прошествии определенного времени после хаоса, возникшего в сфере инфосек после обнаружения в начале декабря уязвимостей Log4j, начинают всплывать реальные последствия киберпандемии.
Log4Shell начал активно использоваться для заражения устройств Windows трояном Dridex и Linux с помощью Meterpreter. Хакеры используют вариант эксплойта Log4j RMI (Remote Method Invocation), чтобы заставить уязвимые устройства загружать и выполнять Java с удаленного сервера, управляемого злоумышленником.
Malware представляет собой банковский троян, изначально разработанный для кражи учетных данных клиентов онлайн-банкинга, а впоследствии вобравший в себя функции загрузчика различных модулей, в том числе для развертывания полезных нагрузок, распространения на другие устройства, слежения и др. вредоносных функций, самые болезненные из которых - вновь ransomware. На памяти BitPaymer, DoppelPaymer и Evil Corp уже встречались в связке с Dridex.
И без этого Log4Shell уже вовсю вошел в арсенал вымогателей, отличись Conti, которые наряду с Lockbit опустились в рейтинге ransomware, заняв строчки ниже более активных вымогателей PYSA, согласно последнему отчету ФБР США и данным NCC Group, но тем не менее отметились в квесте Log4Jam. В реальности Log4Shell станет настоящей находкой и реальным шансом на успех для новой банды вымогателей Everest, которые вместо слива украденных данных продают доступ к корпоративной сети жертвы другим злоумышленникам, в случае неполучения выкупа.
И вот, как мы и предполагали, очередной жертвой стали бельгийские военные заявили, которые на протяжении недели пытаются восстановить свою инфраструктуру после разрушительной атаки. Пока неизвестен виновник инцидента и то, какие конкретно системы и как глубоко пострадали, однако точно понятно, что что злоумышленники использовали уязвимости в Log4j.
Еще раз отметим, что DLS для всех жертв ransomware вполне может не хватить, успевайте обновиться и просканить системы на предмет компрометации, дабы не занять места с ними по соседству.
Log4Shell начал активно использоваться для заражения устройств Windows трояном Dridex и Linux с помощью Meterpreter. Хакеры используют вариант эксплойта Log4j RMI (Remote Method Invocation), чтобы заставить уязвимые устройства загружать и выполнять Java с удаленного сервера, управляемого злоумышленником.
Malware представляет собой банковский троян, изначально разработанный для кражи учетных данных клиентов онлайн-банкинга, а впоследствии вобравший в себя функции загрузчика различных модулей, в том числе для развертывания полезных нагрузок, распространения на другие устройства, слежения и др. вредоносных функций, самые болезненные из которых - вновь ransomware. На памяти BitPaymer, DoppelPaymer и Evil Corp уже встречались в связке с Dridex.
И без этого Log4Shell уже вовсю вошел в арсенал вымогателей, отличись Conti, которые наряду с Lockbit опустились в рейтинге ransomware, заняв строчки ниже более активных вымогателей PYSA, согласно последнему отчету ФБР США и данным NCC Group, но тем не менее отметились в квесте Log4Jam. В реальности Log4Shell станет настоящей находкой и реальным шансом на успех для новой банды вымогателей Everest, которые вместо слива украденных данных продают доступ к корпоративной сети жертвы другим злоумышленникам, в случае неполучения выкупа.
И вот, как мы и предполагали, очередной жертвой стали бельгийские военные заявили, которые на протяжении недели пытаются восстановить свою инфраструктуру после разрушительной атаки. Пока неизвестен виновник инцидента и то, какие конкретно системы и как глубоко пострадали, однако точно понятно, что что злоумышленники использовали уязвимости в Log4j.
Еще раз отметим, что DLS для всех жертв ransomware вполне может не хватить, успевайте обновиться и просканить системы на предмет компрометации, дабы не занять места с ними по соседству.
Twitter
Cryptolaemus
We have verified distribution of #Dridex 22203 on Windows via #Log4j #Log4Shell. Class > MSHTA > VBS > rundll32. Class: virustotal.com/gui/url/d13029… Payload URLs: urlhaus.abuse.ch/browse/tag/222… DLL sample: bazaar.abuse.ch/sample/ee14add… HTA > DLL run:…
Под ширмой истерии вокруг Log4Shell тлеет и периодически разгорается настоящая кибервойна, ну вы помните.
На этот раз иранской хакерской группе SharpBoys удалось взломать ряд крупных израильских сайтов и опубликовать личную информацию о более чем четырех миллионах израильтян, в том числе и достаточно высокопоставленных и известных персон.
На этот раз иранской хакерской группе SharpBoys удалось взломать ряд крупных израильских сайтов и опубликовать личную информацию о более чем четырех миллионах израильтян, в том числе и достаточно высокопоставленных и известных персон.
- Партнёрский пост -
Крутая карьерная возможность для высококлассного пентестера – ищет команда ИБ «Лаборатории Касперского».
Вы будете проводить сканирование уязвимостей, оценивать их критичность, придумывать планы по устранению новых и развивать внутренние системы автоматизированного контроля. Скучно не будет.
Что нужно у(и)меть:
- Высшее техническое образование, разговорный английский
- Опыт в области практического анализа защищенности и тестирования на проникновение от 5 лет
- Опыт выявления и эксплуатации уязвимостей Web и сетевых приложениях
- Знание и опыт применения методик анализа защищенности (PTES, MITRE ATT&CK, OWASP)
- Знание скриптовых языков программирования (для автоматизации рутины, написания Proof of Concept).
За это вас ждет клевый офис и спортзал, щедрая страховка и постоянное обучение, вкусный кофе и крутая команда!
Откликаться тут: https://hh.ru/vacancy/50586314
Крутая карьерная возможность для высококлассного пентестера – ищет команда ИБ «Лаборатории Касперского».
Вы будете проводить сканирование уязвимостей, оценивать их критичность, придумывать планы по устранению новых и развивать внутренние системы автоматизированного контроля. Скучно не будет.
Что нужно у(и)меть:
- Высшее техническое образование, разговорный английский
- Опыт в области практического анализа защищенности и тестирования на проникновение от 5 лет
- Опыт выявления и эксплуатации уязвимостей Web и сетевых приложениях
- Знание и опыт применения методик анализа защищенности (PTES, MITRE ATT&CK, OWASP)
- Знание скриптовых языков программирования (для автоматизации рутины, написания Proof of Concept).
За это вас ждет клевый офис и спортзал, щедрая страховка и постоянное обучение, вкусный кофе и крутая команда!
Откликаться тут: https://hh.ru/vacancy/50586314
hh.ru
Вакансия Эксперт по тестированию на проникновение в Москве, работа в компании Лаборатория Касперского (вакансия в архиве c 27 января…
Зарплата: не указана. Москва. Требуемый опыт: 3–6 лет. Полная занятость. Дата публикации: 20.12.2021.
Уголок политинформаци.
Associated Press сообщает, что Citizen Lab, ранее неоднократно публиковавшие данные о неправомерном использовании спецслужбами различных стран кибершпионского ПО Pegasus от израильской NSO Group, обвинила польские власти в слежке за двумя критиками польско-качиньского режыма - адвокатом Романом Гертых и прокурором Евой Врзосек - в самый канун парламентских выборов 2019 года. Само собой с использованием этого самого Pegasus.
Журналисты называли этот прецедент "эрозией демократии". Официальный представитель польских спецслужб Станислав Зарын опроверг обвинения и назвал их необоснованными.
Напомним, что летом Citizen Lab обвинили власти Венгрии во взломе, по меньшей мере, десяти местных оппозиционеров с помощью ПО от NSO Group.
К чему мы все это - нет никакой разницы между режимами "демократическими" и "недемократическими". Каждая власть применяет все доступные ей средства, чтобы остаться властью. Каждая власть транслирует только ту точку зрения, которая выгодна ей. В том числе и в области информационной безопасности.
Поэтому когда в следующий раз прочитаете про то, что "наблюдается активное использование Log4Shell прогосударственными хакерами из Китая, Ирана, России, КНДР (и немножечко из Турции)", то имейте в виду, что это не значит, что британские или израильские APT ее не используют. Еще как используют, просто про это не напишут "принципиальные" инфосек эксперты и журналисты.
Что же касается американских спецслужб, то тут - да, они действительно сейчас Log4Shell не эксплуатируют. Потому что они ее сами в Apache и засунули, к гадалке не ходи.
Dixi, kurwa.
Associated Press сообщает, что Citizen Lab, ранее неоднократно публиковавшие данные о неправомерном использовании спецслужбами различных стран кибершпионского ПО Pegasus от израильской NSO Group, обвинила польские власти в слежке за двумя критиками польско-качиньского режыма - адвокатом Романом Гертых и прокурором Евой Врзосек - в самый канун парламентских выборов 2019 года. Само собой с использованием этого самого Pegasus.
Журналисты называли этот прецедент "эрозией демократии". Официальный представитель польских спецслужб Станислав Зарын опроверг обвинения и назвал их необоснованными.
Напомним, что летом Citizen Lab обвинили власти Венгрии во взломе, по меньшей мере, десяти местных оппозиционеров с помощью ПО от NSO Group.
К чему мы все это - нет никакой разницы между режимами "демократическими" и "недемократическими". Каждая власть применяет все доступные ей средства, чтобы остаться властью. Каждая власть транслирует только ту точку зрения, которая выгодна ей. В том числе и в области информационной безопасности.
Поэтому когда в следующий раз прочитаете про то, что "наблюдается активное использование Log4Shell прогосударственными хакерами из Китая, Ирана, России, КНДР (и немножечко из Турции)", то имейте в виду, что это не значит, что британские или израильские APT ее не используют. Еще как используют, просто про это не напишут "принципиальные" инфосек эксперты и журналисты.
Что же касается американских спецслужб, то тут - да, они действительно сейчас Log4Shell не эксплуатируют. Потому что они ее сами в Apache и засунули, к гадалке не ходи.
Dixi, kurwa.
AP NEWS
AP Exclusive: Polish opposition duo hacked with NSO spyware
WARSAW, Poland (AP) — The aggressive cellphone break-ins of a high-profile lawyer representing top Polish opposition figures came in the final weeks of pivotal 2019 parliamentary elections. Two years later, a prosecutor challenging attempts by the populist…
Порция дыр в очередном продукте от Microsoft.
Специалистами по кибербезопасности из Positive Security обнаружены критические уязвимости в популярной платформе бизнес-коммуникаций Microsoft Teams. Речь идет о четырех недостатках безопасности, которые могут быть использованы злоумышленником для подделки предварительного просмотра ссылок, утечки IP-адресов, доступа к внутренним службам, а также DoS приложений.
По непонятным причинам из четырех уязвимостей Microsoft устранила только одну, которая приводит к утечке IP-адресов с девайсов под управлением Android, при этом софтверный гигант отмечает, что исправление ошибки отказа в обслуживании (DoS) будет рассмотрено в будущей версии продукта.
Главный же недостаток связан с уязвимостью подделки запросов на стороне сервера (SSRF), которая может быть использована для получения информации из локальной сети Microsoft.
Также не менее критичная ошибка обнаружена в функции предварительного просмотра ссылок, которые в свою очередь могут быть изменены так, чтобы указывать на любой URL, при этом изображение предварительного просмотра и описание основной ссылки остаются неизменными, что позволяет злоумышленникам скрывать вредоносные ссылки и проводить более качественные фишинговые атаки.
Пусть обнаруженные уязвимости имеют ограниченное влияние, тем не менее эпично наблюдать, когда такие простые векторы атак не тестировались разработчиками раньше, и что у Microsoft нет желания или ресурсов для защиты своих пользователей от них.
Специалистами по кибербезопасности из Positive Security обнаружены критические уязвимости в популярной платформе бизнес-коммуникаций Microsoft Teams. Речь идет о четырех недостатках безопасности, которые могут быть использованы злоумышленником для подделки предварительного просмотра ссылок, утечки IP-адресов, доступа к внутренним службам, а также DoS приложений.
По непонятным причинам из четырех уязвимостей Microsoft устранила только одну, которая приводит к утечке IP-адресов с девайсов под управлением Android, при этом софтверный гигант отмечает, что исправление ошибки отказа в обслуживании (DoS) будет рассмотрено в будущей версии продукта.
Главный же недостаток связан с уязвимостью подделки запросов на стороне сервера (SSRF), которая может быть использована для получения информации из локальной сети Microsoft.
Также не менее критичная ошибка обнаружена в функции предварительного просмотра ссылок, которые в свою очередь могут быть изменены так, чтобы указывать на любой URL, при этом изображение предварительного просмотра и описание основной ссылки остаются неизменными, что позволяет злоумышленникам скрывать вредоносные ссылки и проводить более качественные фишинговые атаки.
Пусть обнаруженные уязвимости имеют ограниченное влияние, тем не менее эпично наблюдать, когда такие простые векторы атак не тестировались разработчиками раньше, и что у Microsoft нет желания или ресурсов для защиты своих пользователей от них.
positive.security
MS Teams: 1 feature, 4 vulnerabilities | Positive Security
Microsoft Team's link preview feature is susceptible to spoofing and vulnerable to Server-Side Request Forgery. Team's Android users can be DoS'ed and, in the past, their IP address could be leaked.
К 2025 году в сети будут функционировать более 40 миллиардов IoT-устройств, которые потенциально в совокупности будут представлять серьезный инструмент для майнинга криптовалют и организации масштабных DDoS-атак.
К таким и не только выводам пришли исследователи из NIST и Университета Флориды по итогам 3-х летнего эксперимента с расстановкой Honeypot, имитирующих различные типы устройств Интернета вещей, в различных локациях и форматах. Благодаря кластеризации сгенерированных в ходе исследований данных специалисты получили четкое представление о том, почему хакеры нацелены на те или иные устройства.
Устройства IoT - это динамично развивающийся рынок, который охватывает в себя такие популярные у пользователей устройства, как камеры, освещение, дверные звонки, интеллектуальные телевизоры, датчики движения, динамики, термостаты и многое другое.
Исследовательская экосистема из Honeypot включала инфраструктуру из серверов, систем сбора, проверки и анализа данных, включая Cowrie, Dionaea, KFSensor и HoneyCamera, которые представляют собой готовые эмуляторы приманок для Интернета вещей, которые отображались в Censys и Shodan как реальные устройства.
При этом применялись 3 основных типа приманок: HoneyShell (эмуляция Busybox), HoneyWindowsBox (эмуляция устройств Интернета вещей под управлением Windows) и HoneyCamera (эмуляция различных IP-камер Hikvision, D-Link и других устройств). Все Honeypot реагировали соответствующим образом на трафик злоумышленников и их атаки, что позволило исследователям обнаружить реакцию акторов на изменения конфигураций защиты IoT, происходившие в момент их обращзений.
В ходе эксперимента было зафиксировано и проанализировано более 22,6 миллионов обращений, подавляющее большинство из которых было нацелено на HoneyShell. При этом злоумышленники в целом демонстрировали схожие модели атак.
Например, большинство акторов инициировали такие команды, как masscan для поиска открытых портов и /etc/init.d/iptables stop для отключения межсетевых экранов, а также free-m, lspci grep VGA и cat/proc/cpuinfo для сбора информации о спецификации целевого устройства. И почти миллион раз хакеры проверяли комбинацию аутентификационных данных «admin/1234».
87% всех атак имели цель проверки этой комбинации, в то время как 314 112 (13%) обращений были связаны с выполнением иных команд внутри приманки.
Исследователи обнаружили, что атаки на HoneyShell и HoneyCamera имели конечной целью организацию DDoS, были рекрутированы в ботнет Mirai или использовались в качестве майнера крипты. Последняя схема была свойственна в основном HoneyWindowsBox, словившую вирусы, дропперы и трояны.
Намеренно оставив уязвимость раскрытия учетных данных в HoneyCamera, исследователи обнаружили, что 29 злоумышленников эксплуатировали багу вручную.
Многих негативных сценариев в случае атак на IoT-устройства можно избежать, если соблюдать определённые условия их использования: менять дефолтные учетные данные, выделить IoT в отдельную сеть, закрыть ее брандмауэрами или VPN и своевременно обновлять прошивку.
К таким и не только выводам пришли исследователи из NIST и Университета Флориды по итогам 3-х летнего эксперимента с расстановкой Honeypot, имитирующих различные типы устройств Интернета вещей, в различных локациях и форматах. Благодаря кластеризации сгенерированных в ходе исследований данных специалисты получили четкое представление о том, почему хакеры нацелены на те или иные устройства.
Устройства IoT - это динамично развивающийся рынок, который охватывает в себя такие популярные у пользователей устройства, как камеры, освещение, дверные звонки, интеллектуальные телевизоры, датчики движения, динамики, термостаты и многое другое.
Исследовательская экосистема из Honeypot включала инфраструктуру из серверов, систем сбора, проверки и анализа данных, включая Cowrie, Dionaea, KFSensor и HoneyCamera, которые представляют собой готовые эмуляторы приманок для Интернета вещей, которые отображались в Censys и Shodan как реальные устройства.
При этом применялись 3 основных типа приманок: HoneyShell (эмуляция Busybox), HoneyWindowsBox (эмуляция устройств Интернета вещей под управлением Windows) и HoneyCamera (эмуляция различных IP-камер Hikvision, D-Link и других устройств). Все Honeypot реагировали соответствующим образом на трафик злоумышленников и их атаки, что позволило исследователям обнаружить реакцию акторов на изменения конфигураций защиты IoT, происходившие в момент их обращзений.
В ходе эксперимента было зафиксировано и проанализировано более 22,6 миллионов обращений, подавляющее большинство из которых было нацелено на HoneyShell. При этом злоумышленники в целом демонстрировали схожие модели атак.
Например, большинство акторов инициировали такие команды, как masscan для поиска открытых портов и /etc/init.d/iptables stop для отключения межсетевых экранов, а также free-m, lspci grep VGA и cat/proc/cpuinfo для сбора информации о спецификации целевого устройства. И почти миллион раз хакеры проверяли комбинацию аутентификационных данных «admin/1234».
87% всех атак имели цель проверки этой комбинации, в то время как 314 112 (13%) обращений были связаны с выполнением иных команд внутри приманки.
Исследователи обнаружили, что атаки на HoneyShell и HoneyCamera имели конечной целью организацию DDoS, были рекрутированы в ботнет Mirai или использовались в качестве майнера крипты. Последняя схема была свойственна в основном HoneyWindowsBox, словившую вирусы, дропперы и трояны.
Намеренно оставив уязвимость раскрытия учетных данных в HoneyCamera, исследователи обнаружили, что 29 злоумышленников эксплуатировали багу вручную.
Многих негативных сценариев в случае атак на IoT-устройства можно избежать, если соблюдать определённые условия их использования: менять дефолтные учетные данные, выделить IoT в отдельную сеть, закрыть ее брандмауэрами или VPN и своевременно обновлять прошивку.
- Партнерский пост -
В пятом (и завершающем) отчете исследования Hi-Tech Crime Trends 2021/2022 аналитики CERT-GIB и Group-IB Digital Risk Protection раскрыли современные тенденции фишинга и мошенничества, разобрали преступные схемы, инструменты и инфраструктуру злоумышленников.
По данным Group-IB, в условиях продолжающейся пандемии коронавируса 74,5% всех кибератак за изученный период приходились именно на скам и фишинг, в то время как оставшиеся 25,5% перекрывали высокотехнологичные преступления. Потери пользователей, по оценкам экспертов Group-IB, могут составлять до $80 млн в месяц.
Только силами Group-IB инициирована блокировка более 14 000 фишинговых ресурсов, расположенных на 12 000 уникальных доменов. При этом 20% фишинга было реализовано посредством взломанных легитимных ресурсов.
Все более популярный среди хакеров фишинг показывает рост на 18% по сравнению с предыдущим аналогичным периодом.
Во многом такая негативная тенденция складывается благодаря распространению партнерской модели Phishing-as-a-Service. Схема базируется на выгодных (а иногда даже бесплатных) предложениях покупки или аренды готовых фишинговых сайтов/скриптов, фишинговых панелей и решений для быстрой монетизации краденых данных. Конечно, не обходится без кидалова, когда соискатели быстрых заработков сами становятся жертвами мошенников.
Предпочтения при этом злоумышленники отдавали популярным среди пользователей онлайн-сервисам (25%) и социальным сетям (22,6%), доступ в которые многие современные юзеры используют для аутентификации и на других площадках.
Грибам также удалось отследить одну из самых масштабных, длительных и технически продвинутых гибридных кампаний в мире - Classiscam («Мамонт» или «Курьер» в России). На конец 2021 года по этой схеме работают до 70 активных партнерских программ, а под атакой оказался 71 международный бренд из 36 стран.
При этом отработанные техники Classiscam по факту позволили хакерам возродить старые схемы с кражей денежных средств под видом приглашения на свидание. Грибы обнаружили более 700 доменов фейковых сайтов театров, стендап-шоу, ресторанов, кинотеатров.
Самое печальное, что порог входа в фишинг начал снижаться. Популярность партнерки Scam-as-a-Service привела к масштабированию мошеннических схем на международный уровень и пополнению рядов хакеров новичками-новобранцами, не обладающими особыми навыками для проведения скам-атак. От воркеров (т. е. исполнителей) требуется лишь направлять новых жертв на уже созданные мошеннические ресурсы и откатывать процент разработчикам инструментов для скама.
Растет и число жертв таргетированного мошенничества, когда для каждого конкретного пользователя генерируется отдельная ссылка. Такая схема замечена более чем в 100 странах мира, а в качестве приманки используются более 120 брендов.
В рамках масштабирования преступного бизнеса злоумышленники продвигают фишинговые ресурсы при помощи QR-кодов, СМС, рекламы в поисковых системах. В целях конспирации используют легитимные сервисы с функцией рассылки по почте (Google Forms, Jivo, Wordpress и другие), а также техники iframe для подгрузки фишингового контента со стороннего ресурса.
Оптимизм внушает то, что в первом полугодии 2021 года по сравнению со вторым полугодием 2020-го использование русских хостингов для фишинга уменьшилось в 7 раз, что свидетельствует об эффективности мер по блокировке фишинговых ресурсов.
В общем, пятый отчет не должен пройти незамеченным, в особенности он актуален для ритейлеров и участников рынка Е-Commerce. Скачать можно здесь
В пятом (и завершающем) отчете исследования Hi-Tech Crime Trends 2021/2022 аналитики CERT-GIB и Group-IB Digital Risk Protection раскрыли современные тенденции фишинга и мошенничества, разобрали преступные схемы, инструменты и инфраструктуру злоумышленников.
По данным Group-IB, в условиях продолжающейся пандемии коронавируса 74,5% всех кибератак за изученный период приходились именно на скам и фишинг, в то время как оставшиеся 25,5% перекрывали высокотехнологичные преступления. Потери пользователей, по оценкам экспертов Group-IB, могут составлять до $80 млн в месяц.
Только силами Group-IB инициирована блокировка более 14 000 фишинговых ресурсов, расположенных на 12 000 уникальных доменов. При этом 20% фишинга было реализовано посредством взломанных легитимных ресурсов.
Все более популярный среди хакеров фишинг показывает рост на 18% по сравнению с предыдущим аналогичным периодом.
Во многом такая негативная тенденция складывается благодаря распространению партнерской модели Phishing-as-a-Service. Схема базируется на выгодных (а иногда даже бесплатных) предложениях покупки или аренды готовых фишинговых сайтов/скриптов, фишинговых панелей и решений для быстрой монетизации краденых данных. Конечно, не обходится без кидалова, когда соискатели быстрых заработков сами становятся жертвами мошенников.
Предпочтения при этом злоумышленники отдавали популярным среди пользователей онлайн-сервисам (25%) и социальным сетям (22,6%), доступ в которые многие современные юзеры используют для аутентификации и на других площадках.
Грибам также удалось отследить одну из самых масштабных, длительных и технически продвинутых гибридных кампаний в мире - Classiscam («Мамонт» или «Курьер» в России). На конец 2021 года по этой схеме работают до 70 активных партнерских программ, а под атакой оказался 71 международный бренд из 36 стран.
При этом отработанные техники Classiscam по факту позволили хакерам возродить старые схемы с кражей денежных средств под видом приглашения на свидание. Грибы обнаружили более 700 доменов фейковых сайтов театров, стендап-шоу, ресторанов, кинотеатров.
Самое печальное, что порог входа в фишинг начал снижаться. Популярность партнерки Scam-as-a-Service привела к масштабированию мошеннических схем на международный уровень и пополнению рядов хакеров новичками-новобранцами, не обладающими особыми навыками для проведения скам-атак. От воркеров (т. е. исполнителей) требуется лишь направлять новых жертв на уже созданные мошеннические ресурсы и откатывать процент разработчикам инструментов для скама.
Растет и число жертв таргетированного мошенничества, когда для каждого конкретного пользователя генерируется отдельная ссылка. Такая схема замечена более чем в 100 странах мира, а в качестве приманки используются более 120 брендов.
В рамках масштабирования преступного бизнеса злоумышленники продвигают фишинговые ресурсы при помощи QR-кодов, СМС, рекламы в поисковых системах. В целях конспирации используют легитимные сервисы с функцией рассылки по почте (Google Forms, Jivo, Wordpress и другие), а также техники iframe для подгрузки фишингового контента со стороннего ресурса.
Оптимизм внушает то, что в первом полугодии 2021 года по сравнению со вторым полугодием 2020-го использование русских хостингов для фишинга уменьшилось в 7 раз, что свидетельствует об эффективности мер по блокировке фишинговых ресурсов.
В общем, пятый отчет не должен пройти незамеченным, в особенности он актуален для ритейлеров и участников рынка Е-Commerce. Скачать можно здесь
Group-IB
Research Hub
Deep dives on previously unknown APTs, insights into the most recent cybersecurity trends and technologies, and predictions and recommendations that can help shape your security strategy.
В службе приложений Microsoft Azure была обнаружена уязвимость безопасности, в результате которой исходный код клиентских приложений, написанных на Java, Node, PHP, Python и Ruby, был открыт как минимум четыре года.
Об уязвимости под кодовым названием NotLegit сообщили исследователи из Wiz еще в октябре 2021 года, а в ноябре софтверным гигантом уже были приняты меры для исправления ошибки раскрытия информации.
В Microsoft заявили, что риску подверглась крайне ограниченная группа клиентов, а именно те, кто развернули код в App Service Linux через локальный Git только после того, как файлы были созданы в корневом каталоге приложения.
Собственно небезопасное поведение в службе приложений Azure возникает по умолчанию, когда для развертывания используется метод Local Git, в результате которого отрабатывается сценарий, где репозиторий Git создается в общедоступном каталоге (home/site /wwwroot).
По сути все, что нужно было сделать злоумышленнику - это получить каталог /.git из целевого приложения и получить его исходный код. Использовалась ли бага в дикой природе доподлинно не известно, но как мы знаем Интернет постоянно сканируют, в том числе и в поисках открытых папок Git, из которых можно собирать сведения или иную интеллектуальную собственность.
Кроме того, часто бывает, когда исходники содержат пароли и токены доступа, утечка которых может быть использована для более изощренных атак.
Об уязвимости под кодовым названием NotLegit сообщили исследователи из Wiz еще в октябре 2021 года, а в ноябре софтверным гигантом уже были приняты меры для исправления ошибки раскрытия информации.
В Microsoft заявили, что риску подверглась крайне ограниченная группа клиентов, а именно те, кто развернули код в App Service Linux через локальный Git только после того, как файлы были созданы в корневом каталоге приложения.
Собственно небезопасное поведение в службе приложений Azure возникает по умолчанию, когда для развертывания используется метод Local Git, в результате которого отрабатывается сценарий, где репозиторий Git создается в общедоступном каталоге (home/site /wwwroot).
По сути все, что нужно было сделать злоумышленнику - это получить каталог /.git из целевого приложения и получить его исходный код. Использовалась ли бага в дикой природе доподлинно не известно, но как мы знаем Интернет постоянно сканируют, в том числе и в поисках открытых папок Git, из которых можно собирать сведения или иную интеллектуальную собственность.
Кроме того, часто бывает, когда исходники содержат пароли и токены доступа, утечка которых может быть использована для более изощренных атак.
wiz.io
NotLegit: Azure App Service vulnerability exposed hundreds of source code repositories | Wiz Blog
Read about the NotLegit vulnerability discovered by the Wiz Research Team, where the Azure App Service exposed hundreds of source code repositories.
Forwarded from Social Engineering
💬 true story... Social Engineering.
Вопрос не в том «Взломают Вас или нет?», а «Насколько быстро Вы сможете обнаружить, что Вас уже взломали?!»
• Основатель компании The Security Awareness Уинн Швартау занимается аудитом более 25 лет. К нему обычно приходят за экспертной оценкой уже проведенных мероприятий по усилению безопасности. Однажды его попросили сделать это для крупного финансового учреждения в Нью-Йорке. Дело в том, что сотрудников банка только что напугали предыдущие аудиторы, которые нашли тонну проблем. Целый месяц весь персонал инструктировали на интенсивных тренингах. Сотрудники стали настоящими параноиками: не открывают подозрительных писем, не переходят по фишинговым ссылкам, не подбирают флешки, не разглашают ничего по телефону и строго следуют должностным инструкциям.
• «Да это же идеальные жертвы!» — подумал Швартау и принялся за работу. Он скопировал с сайта компании образец шапки делового письма, там же взял часть адресов обычной почты сотрудников, а остальные узнал из справочников. Вместе с помощниками Швартау составил примерно 1200 персонально адресованных бумажных писем, напечатал их на самодельных бланках проверяемой организации и отправил старым дедовским способом.
• В каждом письме говорилось, что недавно репутация их компании сильно пострадала из-за действий отдельных сотрудников, пренебрегавших элементарными мерами безопасности. Руководство не может допустить новых проколов, поэтому идет на беспрецедентные меры.
• Далее для усыпления бдительности следовал детальный план с обилием технических терминов, которые офисный сотрудник вряд ли сможет понять. Затем шла стандартная просьба информировать обо всех подозрительных действиях. В заключение письма говорилось, что с ИТ-отделом и службой безопасности теперь требуется общаться только посредством физической почты, так как это единственный канал связи, недоступный хакерам.
• P.S: указанный адрес не принадлежит компании, чтобы эти письма никто не мог вычислить и перехватить. «Мы будем помещать их в надежно охраняемый почтовый ящик, доступ к которому будет только у руководства и службы безопасности" — говорилось в письме. — "Прямо сейчас вам надлежит прислать свои учетные данные, чтобы мы проверили их вручную и завершили обновление системы». 30% сотрудников ответили на следующий же день, указав в письме все свои данные. Ни один тренинг не помог им понять, что и в 21 веке хакер может отправить письмо на бумаге.
• Вывод: Как бы долго и тщательно организация ни тренировала людей, какие бы административные и технические меры в ней ни принимались, она никогда не достигнет 100% защищенности. Любые высокие показатели безопасности — лишь временный эффект. Люди делают определенные выводы, становятся осторожнее, но не могут эффективно сопротивляться свойствам своей натуры. Каждый раз, сталкиваясь с необходимостью принять безотлагательное решение, испытывая жажду легкой наживы или страх чего угодно, они делают уязвимыми себя и свою компанию. Твой S.E. #СИ #Пентест #Взлом.
Вопрос не в том «Взломают Вас или нет?», а «Насколько быстро Вы сможете обнаружить, что Вас уже взломали?!»
🖖🏻 Приветствую тебя user_name.• Бывает, что одну фирму нанимают проверить качество работы другой. Когда речь идет о социальной инженерии, это особенно актуальная практика.
• Основатель компании The Security Awareness Уинн Швартау занимается аудитом более 25 лет. К нему обычно приходят за экспертной оценкой уже проведенных мероприятий по усилению безопасности. Однажды его попросили сделать это для крупного финансового учреждения в Нью-Йорке. Дело в том, что сотрудников банка только что напугали предыдущие аудиторы, которые нашли тонну проблем. Целый месяц весь персонал инструктировали на интенсивных тренингах. Сотрудники стали настоящими параноиками: не открывают подозрительных писем, не переходят по фишинговым ссылкам, не подбирают флешки, не разглашают ничего по телефону и строго следуют должностным инструкциям.
• «Да это же идеальные жертвы!» — подумал Швартау и принялся за работу. Он скопировал с сайта компании образец шапки делового письма, там же взял часть адресов обычной почты сотрудников, а остальные узнал из справочников. Вместе с помощниками Швартау составил примерно 1200 персонально адресованных бумажных писем, напечатал их на самодельных бланках проверяемой организации и отправил старым дедовским способом.
• В каждом письме говорилось, что недавно репутация их компании сильно пострадала из-за действий отдельных сотрудников, пренебрегавших элементарными мерами безопасности. Руководство не может допустить новых проколов, поэтому идет на беспрецедентные меры.
• Далее для усыпления бдительности следовал детальный план с обилием технических терминов, которые офисный сотрудник вряд ли сможет понять. Затем шла стандартная просьба информировать обо всех подозрительных действиях. В заключение письма говорилось, что с ИТ-отделом и службой безопасности теперь требуется общаться только посредством физической почты, так как это единственный канал связи, недоступный хакерам.
• P.S: указанный адрес не принадлежит компании, чтобы эти письма никто не мог вычислить и перехватить. «Мы будем помещать их в надежно охраняемый почтовый ящик, доступ к которому будет только у руководства и службы безопасности" — говорилось в письме. — "Прямо сейчас вам надлежит прислать свои учетные данные, чтобы мы проверили их вручную и завершили обновление системы». 30% сотрудников ответили на следующий же день, указав в письме все свои данные. Ни один тренинг не помог им понять, что и в 21 веке хакер может отправить письмо на бумаге.
• Вывод: Как бы долго и тщательно организация ни тренировала людей, какие бы административные и технические меры в ней ни принимались, она никогда не достигнет 100% защищенности. Любые высокие показатели безопасности — лишь временный эффект. Люди делают определенные выводы, становятся осторожнее, но не могут эффективно сопротивляться свойствам своей натуры. Каждый раз, сталкиваясь с необходимостью принять безотлагательное решение, испытывая жажду легкой наживы или страх чего угодно, они делают уязвимыми себя и свою компанию. Твой S.E. #СИ #Пентест #Взлом.
Сравнивая математику инцидентов, связанных с утечкой данных 4 млн. (о котором мы писали еще позавчера) и 637 тыс. пользователей, можно ошибиться, ведь слитые в сеть данные на 637 138 граждан Албании затрагивают по факту более 22% всего населения страны.
Премьер-министр страны Эди Рама подтвердил инцидент и официально принес извинения за утечку, в результате которой была раскрыта личная информация граждан, включая также имена, номера удостоверений личности, зарплаты, должности и имена работодателей.
Файл в формате Excel начал распространяться с выходных в WhatsApp и Telegram, в том числе на теневых площадках со скамом. После его изучения, стало понятно, что это налоговые отчеты переданные бизнесом в правительство Албании за январь 2021 года. Расследование указывает на то, что данные были украдены не в результате внешней атаки, а скорее один из сотрудников Налогового управления или Института социального страхования.
Но гражданам Албании удивляться нечему, ведь незадолго до выборов в апреле этого года был другой инцидент с утечкой сведений в отношении более чем 910 тыс. лиц. По слухам, эти сведения были базой избирателей, которая перекочевала таким образом в адрес правящей Социалистической партии, и понятно для каких целей.
Наметившаяся отставка, отправленные на растерзание онлайн-мошенникам албанцы и медиахардкор - вот и все бонусы отчаянной борьбы за власть, в которой все средства оказались хороши. Очков не прибавило никому, только что разве - хакерам.
Премьер-министр страны Эди Рама подтвердил инцидент и официально принес извинения за утечку, в результате которой была раскрыта личная информация граждан, включая также имена, номера удостоверений личности, зарплаты, должности и имена работодателей.
Файл в формате Excel начал распространяться с выходных в WhatsApp и Telegram, в том числе на теневых площадках со скамом. После его изучения, стало понятно, что это налоговые отчеты переданные бизнесом в правительство Албании за январь 2021 года. Расследование указывает на то, что данные были украдены не в результате внешней атаки, а скорее один из сотрудников Налогового управления или Института социального страхования.
Но гражданам Албании удивляться нечему, ведь незадолго до выборов в апреле этого года был другой инцидент с утечкой сведений в отношении более чем 910 тыс. лиц. По слухам, эти сведения были базой избирателей, которая перекочевала таким образом в адрес правящей Социалистической партии, и понятно для каких целей.
Наметившаяся отставка, отправленные на растерзание онлайн-мошенникам албанцы и медиахардкор - вот и все бонусы отчаянной борьбы за власть, в которой все средства оказались хороши. Очков не прибавило никому, только что разве - хакерам.
Balkan Insight
Albanian Prosecutors Probe Huge Suspected Leak of Personal Data
Prosecutors in Tirana said they are trying to verify the facts about a list allegedly detailing the salaries of around 630,000 Albanians that is being circulated online.
Вслед за коллегами из REvil, BlackMatter и Snatch вымогатели AvosLocker стали перезагружать скомпрометированные системы Windows в безопасном режиме в ходе своих последних атак.
Дело в том, что такая тактика значительно упрощает шифрование файлов жертв, ведь безопасный режим позволяет отключить большинство инструментов безопасности. Благодаря этому простому, но эффективному приему даже самые защищенные машины могут стать беззащитными перед ransomware.
И практика показывает, что новый подход оказался весьма рентабельным, поскольку количество жертв группы прилично растет.
Согласно отчету SophosLabs, операторы AvosLocker используют PDQ Deploy, легальный инструмент развертывания для автоматизации управления исправлениями, чтобы разместить несколько пакетных сценариев Windows на целевой машине, это помогает им подготовить основу для атаки.
Сценарии изменяют или удаляют ключи реестра, принадлежащие определенным инструментам безопасности, включая Защитник Windows, Carbon Black, Trend Micro, Symantec, Bitdefender и Cylance, создавая новую учетную запись пользователя на скомпрометированной машине newadmin и добавляя ее в группу пользователей Администраторы.
Затем они настраивают эту учетную запись для автоматического входа в систему при перезагрузке системы в безопасном режиме с подключением к сети и отключают разделы реестра диалогового окна Правовое уведомление, которые могут помешать автоматическому входу.
После чего скрипты выполняют команду перезагрузки, которая переводит компьютер в безопасный режим. После включения полезная нагрузка программы-вымогателя запускается из контроллера домена. Если автоматический процесс выполнения полезной нагрузки завершается неудачно, актор может запустить его вручную с помощью AnyDesk.
Особенностью является также и то, что в процессе заражения создается ключ RunOnce в реестре, который безфайлово выполняет полезную нагрузку вымогателя.
Чтобы избежать произвольных команд перезагрузки на машинах, рекомендуем убедиться, что инструменты безопасности могут обнаруживать и предотвращать добавление подозрительных ключей реестра.
При этом ни одно предупреждение не должно рассматриваться как низкоприоритетное, поскольку небольшая и, казалось бы, безобидная мелочь может быть ключевым звеном в цепочке заражения ransomware.
Дело в том, что такая тактика значительно упрощает шифрование файлов жертв, ведь безопасный режим позволяет отключить большинство инструментов безопасности. Благодаря этому простому, но эффективному приему даже самые защищенные машины могут стать беззащитными перед ransomware.
И практика показывает, что новый подход оказался весьма рентабельным, поскольку количество жертв группы прилично растет.
Согласно отчету SophosLabs, операторы AvosLocker используют PDQ Deploy, легальный инструмент развертывания для автоматизации управления исправлениями, чтобы разместить несколько пакетных сценариев Windows на целевой машине, это помогает им подготовить основу для атаки.
Сценарии изменяют или удаляют ключи реестра, принадлежащие определенным инструментам безопасности, включая Защитник Windows, Carbon Black, Trend Micro, Symantec, Bitdefender и Cylance, создавая новую учетную запись пользователя на скомпрометированной машине newadmin и добавляя ее в группу пользователей Администраторы.
Затем они настраивают эту учетную запись для автоматического входа в систему при перезагрузке системы в безопасном режиме с подключением к сети и отключают разделы реестра диалогового окна Правовое уведомление, которые могут помешать автоматическому входу.
После чего скрипты выполняют команду перезагрузки, которая переводит компьютер в безопасный режим. После включения полезная нагрузка программы-вымогателя запускается из контроллера домена. Если автоматический процесс выполнения полезной нагрузки завершается неудачно, актор может запустить его вручную с помощью AnyDesk.
Особенностью является также и то, что в процессе заражения создается ключ RunOnce в реестре, который безфайлово выполняет полезную нагрузку вымогателя.
Чтобы избежать произвольных команд перезагрузки на машинах, рекомендуем убедиться, что инструменты безопасности могут обнаруживать и предотвращать добавление подозрительных ключей реестра.
При этом ни одно предупреждение не должно рассматриваться как низкоприоритетное, поскольку небольшая и, казалось бы, безобидная мелочь может быть ключевым звеном в цепочке заражения ransomware.
Sophos News
Avos Locker remotely accesses boxes, even running in Safe Mode
Infections involving this relatively new ransomware-as-a-service spiked in November and December
Исследователи компании Elastic задетектили вредоносную кампанию, которая использует действующий сертификат подписи кода для маскировки вредоносного кода под легитимные исполняемые файлы в системах Windows.
Одна из полезных нагрузок, которую исследователи назвали Stealthy BLISTER, действует как загрузчик для других вредоносных программ и, по-видимому, представляет собой новую угрозу с низким уровнем обнаружения.
Не менее трех месяцев, начиная с 15 сентября, длилась кампания по распространению вредоносного ПО Blister. Злоумышленники использовали сертификат подписи кода, действующий с 23 августа, который был выпущен поставщиком цифровой идентификации Sectigo для компании Blist LLC на адрес электронной почты Mail.Ru (Привет, Вконтакте!).
Что же сказать: старый добрый прием с кражей уже выпущенных сертификатов, только в современных реалиях краду возможность выпуска и запрашивают действительный сертификат за спиной у компании (или вовсе на подставную).
Исследователи Elastic обнаружили подписанные и неподписанные версии Blister, и обе они имели низкий уровень обнаружения согласно VirusTotal. Для сокрытия кампании, хакеры использовали несколько методов.
Один из них заключался в том, чтобы встроить Blister в легитимную библиотеку (например, colorui.dll), после чего вредоносная программа запускалась с повышенными привилегиями с помощью команды rundll32. Наличие действующего сертификата и выполнение с админскими правами администратора позволяло Blister четко обходить решения безопасности.
Для сокрытия кода начальной загрузки Blister применяется сильная обсуфакция. В течение десяти минут код остается бездействующим, вероятно, избегая анализа песочницы, после чего расшифровывает встроенные полезные данные, которые обеспечивают удаленный доступ и разрешают боковое перемещение: Cobalt Strike и BitRAT - оба общеизвестны.
Вредоносная программа также обеспечивает свою стабильность с помощью одной копии в папке ProgramData, и второй - под именем rundll32.exe, а также запускается при каждой загрузке как дочерний элемент explorer.exe.
Безусловно, Sectigo своевременно сообщили о злоупотреблении сертификатом, но это как мы понимаем расходники. Несмотря на то, что цель обнаруженных атак остается неясной до настоящего времени, тем не менее, Elastic создали правило Yara для выявления активности Blister и предоставили индикаторы компрометации. На заметку.
Одна из полезных нагрузок, которую исследователи назвали Stealthy BLISTER, действует как загрузчик для других вредоносных программ и, по-видимому, представляет собой новую угрозу с низким уровнем обнаружения.
Не менее трех месяцев, начиная с 15 сентября, длилась кампания по распространению вредоносного ПО Blister. Злоумышленники использовали сертификат подписи кода, действующий с 23 августа, который был выпущен поставщиком цифровой идентификации Sectigo для компании Blist LLC на адрес электронной почты Mail.Ru (Привет, Вконтакте!).
Что же сказать: старый добрый прием с кражей уже выпущенных сертификатов, только в современных реалиях краду возможность выпуска и запрашивают действительный сертификат за спиной у компании (или вовсе на подставную).
Исследователи Elastic обнаружили подписанные и неподписанные версии Blister, и обе они имели низкий уровень обнаружения согласно VirusTotal. Для сокрытия кампании, хакеры использовали несколько методов.
Один из них заключался в том, чтобы встроить Blister в легитимную библиотеку (например, colorui.dll), после чего вредоносная программа запускалась с повышенными привилегиями с помощью команды rundll32. Наличие действующего сертификата и выполнение с админскими правами администратора позволяло Blister четко обходить решения безопасности.
Для сокрытия кода начальной загрузки Blister применяется сильная обсуфакция. В течение десяти минут код остается бездействующим, вероятно, избегая анализа песочницы, после чего расшифровывает встроенные полезные данные, которые обеспечивают удаленный доступ и разрешают боковое перемещение: Cobalt Strike и BitRAT - оба общеизвестны.
Вредоносная программа также обеспечивает свою стабильность с помощью одной копии в папке ProgramData, и второй - под именем rundll32.exe, а также запускается при каждой загрузке как дочерний элемент explorer.exe.
Безусловно, Sectigo своевременно сообщили о злоупотреблении сертификатом, но это как мы понимаем расходники. Несмотря на то, что цель обнаруженных атак остается неясной до настоящего времени, тем не менее, Elastic создали правило Yara для выявления активности Blister и предоставили индикаторы компрометации. На заметку.
www.elastic.co
Elastic Security uncovers BLISTER malware campaign — Elastic Security Labs
Elastic Security has identified active intrusions leveraging the newly identified BLISTER malware loader utilizing valid code-signing certificates to evade detection. We are providing detection guidance for security teams to protect themselves.
- Партнёрский пост -
👨🏻💻 Все ваши данные могут быть украдены через роутер — пароли, email, залив фото и контактов в облако, данные банковских карт.
📶 Wi-Fi как и любое другое подключение к Сети, несет в себе угрозы.
@NeKaspersky опубликовал главные уязвимости роутеров и чёткие шаги — как защитить свои данные и роутер.
Осталось мест 57/100!!
Ссылка 👇🏻 на вступление
👨🏻💻 Все ваши данные могут быть украдены через роутер — пароли, email, залив фото и контактов в облако, данные банковских карт.
📶 Wi-Fi как и любое другое подключение к Сети, несет в себе угрозы.
@NeKaspersky опубликовал главные уязвимости роутеров и чёткие шаги — как защитить свои данные и роутер.
Осталось мест 57/100!!
Ссылка 👇🏻 на вступление
Никто и не сомневался, зная как Microsoft исправляют свои косяки, допуская при этом кучу других.
Согласно сведениям Sophos, хакеры нашли способ обойти патч для недавней уязвимости Microsoft Office и использовали его для кратковременного распространения вредоносного ПО Formbook.
Ошибка CVE-2021-40444 (с оценкой CVSS 8,8) затрагивающая MSHTML может быть использована для удаленного выполнения кода в уязвимых системах. Для эксплуатации необходимо добиться открытия жертвой вредоносного документа.
Об уязвимости стало известно 7 сентября, сразу после выявлении серии атак, в результате чего она была исправлена сентябрьским Patch Tuesday. Также был опубликован PoC, вызвавший резкую активизацию попыток ее эксплуатации в дикой природе.
Предоставленный Microsoft патч предназначен для предотвращения выполнения кода для загрузки архива Microsoft Cabinet (CAB), содержащего вредоносный исполняемый файл. Однако похоже, что злоумышленники нашли способ обойти патч, включив документ Word в специально созданный архив RAR.
Sophos утверждает, что злоумышленники распространили архивы в рамках кампании по рассылке спама в период 24 - 25 октября, после чего была быстро свернута, что указывает на «пробный запуск». При этом для добавления вредоносного документа Word в архив использовался PowerShell, и как только жертва открывала его для доступа к документу, сценарий выполнялся, что приводило к заражению вредоносным ПО Formbook.
Вложения представляют собой эскалацию злоупотреблений злоумышленником с ошибкой -40444 и демонстрируют, что даже патч не всегда может смягчить действия мотивированного и достаточно квалифицированного злоумышленника.
По заявлению компании, атака была возможна, потому что предоставленный патч был слишком узкоспециализированным и не учитывал до конца всех особенностей обработки WinRAR файлов.
Чего и следовало ожидать.
Согласно сведениям Sophos, хакеры нашли способ обойти патч для недавней уязвимости Microsoft Office и использовали его для кратковременного распространения вредоносного ПО Formbook.
Ошибка CVE-2021-40444 (с оценкой CVSS 8,8) затрагивающая MSHTML может быть использована для удаленного выполнения кода в уязвимых системах. Для эксплуатации необходимо добиться открытия жертвой вредоносного документа.
Об уязвимости стало известно 7 сентября, сразу после выявлении серии атак, в результате чего она была исправлена сентябрьским Patch Tuesday. Также был опубликован PoC, вызвавший резкую активизацию попыток ее эксплуатации в дикой природе.
Предоставленный Microsoft патч предназначен для предотвращения выполнения кода для загрузки архива Microsoft Cabinet (CAB), содержащего вредоносный исполняемый файл. Однако похоже, что злоумышленники нашли способ обойти патч, включив документ Word в специально созданный архив RAR.
Sophos утверждает, что злоумышленники распространили архивы в рамках кампании по рассылке спама в период 24 - 25 октября, после чего была быстро свернута, что указывает на «пробный запуск». При этом для добавления вредоносного документа Word в архив использовался PowerShell, и как только жертва открывала его для доступа к документу, сценарий выполнялся, что приводило к заражению вредоносным ПО Formbook.
Вложения представляют собой эскалацию злоупотреблений злоумышленником с ошибкой -40444 и демонстрируют, что даже патч не всегда может смягчить действия мотивированного и достаточно квалифицированного злоумышленника.
По заявлению компании, атака была возможна, потому что предоставленный патч был слишком узкоспециализированным и не учитывал до конца всех особенностей обработки WinRAR файлов.
Чего и следовало ожидать.
Sophos News
Attackers test “CAB-less 40444” exploit in a dry run
An updated exploit takes a circuitous route to trigger a Word document into delivering an infection without using macros
Похоже, французская IT-компания отличилась по итогам года не в лучшую сторону, ведь вместо подарков Inetum Group получили ransomware.
Inetum - это международная компания в сфере цифровых услуг и решений для бизнеса. Компания представлена в 26 странах, с общим штатам около 27 000 сотрудников. В 2020 году выручка конгломерата составила 1,966 млрд. евро.
Атака состоялась 19 декабря, вторжение повлияло на операционную деятельность компании во Франции. Официальное заявление Inetum Group по поводу атаки вымогателей вышло на следующий день, согласно которому в результате инцидента ни одна из основных инфраструктур, ориентированных на клиентов Inetum, не пострадала.
Среагировавшем на инцидент, компания изолировала все серверы в скомпрометированном периметре, а клиентские VPN были отключены. Как показало первичное расследование, Inetum Group совместно с ANSSI (Французское агентство по сетевой и информационной безопасности) уже идентифицировали конкретного актора, а опровергли слухи о возможном задействовании хакерами Log4Shell.
По данным LeMagIt, компания пострадала от вымогателей BlackCat (или ALPHV), работающих по схеме RaaS и впервые замеченные исследователями из Recorded Future и MalwareHunterTeam, о которых мы делали подробный разбор в начале декабря.
На текущий момент BlackCat охватили не так много целей, в основном атаковали корпоративный сектор в США, Австралии и Индии, теперь и Европа подтянулась. Учитывая, что BlackCat являются выходцами из REvil, можем уверенно сказать, что подарочки и сюрпризы еще впереди.
Inetum - это международная компания в сфере цифровых услуг и решений для бизнеса. Компания представлена в 26 странах, с общим штатам около 27 000 сотрудников. В 2020 году выручка конгломерата составила 1,966 млрд. евро.
Атака состоялась 19 декабря, вторжение повлияло на операционную деятельность компании во Франции. Официальное заявление Inetum Group по поводу атаки вымогателей вышло на следующий день, согласно которому в результате инцидента ни одна из основных инфраструктур, ориентированных на клиентов Inetum, не пострадала.
Среагировавшем на инцидент, компания изолировала все серверы в скомпрометированном периметре, а клиентские VPN были отключены. Как показало первичное расследование, Inetum Group совместно с ANSSI (Французское агентство по сетевой и информационной безопасности) уже идентифицировали конкретного актора, а опровергли слухи о возможном задействовании хакерами Log4Shell.
По данным LeMagIt, компания пострадала от вымогателей BlackCat (или ALPHV), работающих по схеме RaaS и впервые замеченные исследователями из Recorded Future и MalwareHunterTeam, о которых мы делали подробный разбор в начале декабря.
На текущий момент BlackCat охватили не так много целей, в основном атаковали корпоративный сектор в США, Австралии и Индии, теперь и Европа подтянулась. Учитывая, что BlackCat являются выходцами из REvil, можем уверенно сказать, что подарочки и сюрпризы еще впереди.
Inetum
Cyberattack on Inetum in France
Press Release
Forwarded from SecurityLab.ru
Итоги года от Александра Антипова: 5 трендов кибербезопасности, топ-3 уязвимостей, конкурсы.
В предновогоднем выпуске «Security-новостей» главред SecurityLab.ru Александр Антипов представил 5 самых актуальных трендов информационной безопасности в уходящем году, три главные уязвимости по версии белых хакеров PT SWARM и рассказал о выходе Positive Technologies на биржу. А еще Дед Мороз информационной безопасности обещал подарки победителям новогодних конкурсов.
https://youtu.be/RYsZ4AvA_Uw
В предновогоднем выпуске «Security-новостей» главред SecurityLab.ru Александр Антипов представил 5 самых актуальных трендов информационной безопасности в уходящем году, три главные уязвимости по версии белых хакеров PT SWARM и рассказал о выходе Positive Technologies на биржу. А еще Дед Мороз информационной безопасности обещал подарки победителям новогодних конкурсов.
https://youtu.be/RYsZ4AvA_Uw
YouTube
Итоги 2021: 5 трендов кибербезопасности, топ-3 уязвимостей, конкурсы. Security-новости #44 | 12+
💰📊👉 Новости об инвестициях в кибербезопасность предоставлены каналом It’s positive investing - https://news.1rj.ru/str/positive_investing
0:00 Новогодний выпуск жарких новостей 🎄
ИБ тренды 2021 года
1:00 Совершенствование дипфейк технологий
3:31 Рост числа атак при…
0:00 Новогодний выпуск жарких новостей 🎄
ИБ тренды 2021 года
1:00 Совершенствование дипфейк технологий
3:31 Рост числа атак при…
На горизонте нарисовались новые дерзкие вымогатели Rook. Без особых манер хакеры публично заявили о своих аппетитах, сообщив о намерении срубить много бабла.
По началу казалось, что на поле вышли клоуны и смелые сообщения группы в даркнете вызывали усмешки, однако после первых публикаций на DLS стало понятно, что парни вовсе не шутили.
А вот исследователи из SentinelLabs добавили вымогателям еще больше репутации, обнаружив сходство кода с авторитетными на поле ransomware вымогателями Babuk.
Как выяснили SentinelLabs в ходе изучения нового штамма, Rook обычно доставляется через Cobalt Strike. Первоначальным вектором заражения выступают фишинговые письма и торренты.
Полезная нагрузка упакована UPX или другими шифрами, чтобы помочь избежать обнаружения. При выполнении вредоносное ПО завершить процессы, связанные с программным обеспечением безопасности или другим приложением, которые могут помешать процессу шифрования. Rook также использует vssadmin.exe для удаления теневых копий томов для предотвращения восстановления файлов.
В некоторых случаях вступает в игру драйвер kph.sys от Process Hacker, что необходимо для отключения локальных решений по безопасности при определенных условиях. Кроме того, выявленные и изученные образцы не реализуют никаких механизмов стойкости.
Вместе с тем, SentinelLabs обнаружил многочисленные сходства кода между Rook и Babuk, полный исходный код которого был слить на одном из русскоязычных форумах в сентябре 2021 года.
Например, Rook использует одни и те же команды API EnumDependentServicesA для получения имени и статуса каждой запущенной службы и функций для их завершения. Используя OpenSCManagerA API, код получает Service Control Manager, получает дескриптор, а затем перечисляет все службы в системе.
Список блокируемых процессов и служб Windows также схожи у обоих программ-вымогателей, в том числе Steam, Microsoft Office и Outlook, Mozilla Firefox и Thunderbird.
Кроме того, используется один и тот же механизм удаления теневых копий томов. И Rook, и Babuk используют функции CreateToolhelp32Snapshot, Process32FirstW, Process32NextW, OpenProcess и TerminateProcess для составления перечня запущенных процессов и блокирования любых найденных из жестко запрограммированного списка.
Все это указывает на то, что в основу Rook был положен код Babuk, а в случае, если к новому RaaS подтянутся квалифицированные операторы - Rook может повторить и даже превзойти своего сенсея, ведь уже на раннем этапе ещё 30 ноября вымогатели положили сходу банк - Kazkh.
По началу казалось, что на поле вышли клоуны и смелые сообщения группы в даркнете вызывали усмешки, однако после первых публикаций на DLS стало понятно, что парни вовсе не шутили.
А вот исследователи из SentinelLabs добавили вымогателям еще больше репутации, обнаружив сходство кода с авторитетными на поле ransomware вымогателями Babuk.
Как выяснили SentinelLabs в ходе изучения нового штамма, Rook обычно доставляется через Cobalt Strike. Первоначальным вектором заражения выступают фишинговые письма и торренты.
Полезная нагрузка упакована UPX или другими шифрами, чтобы помочь избежать обнаружения. При выполнении вредоносное ПО завершить процессы, связанные с программным обеспечением безопасности или другим приложением, которые могут помешать процессу шифрования. Rook также использует vssadmin.exe для удаления теневых копий томов для предотвращения восстановления файлов.
В некоторых случаях вступает в игру драйвер kph.sys от Process Hacker, что необходимо для отключения локальных решений по безопасности при определенных условиях. Кроме того, выявленные и изученные образцы не реализуют никаких механизмов стойкости.
Вместе с тем, SentinelLabs обнаружил многочисленные сходства кода между Rook и Babuk, полный исходный код которого был слить на одном из русскоязычных форумах в сентябре 2021 года.
Например, Rook использует одни и те же команды API EnumDependentServicesA для получения имени и статуса каждой запущенной службы и функций для их завершения. Используя OpenSCManagerA API, код получает Service Control Manager, получает дескриптор, а затем перечисляет все службы в системе.
Список блокируемых процессов и служб Windows также схожи у обоих программ-вымогателей, в том числе Steam, Microsoft Office и Outlook, Mozilla Firefox и Thunderbird.
Кроме того, используется один и тот же механизм удаления теневых копий томов. И Rook, и Babuk используют функции CreateToolhelp32Snapshot, Process32FirstW, Process32NextW, OpenProcess и TerminateProcess для составления перечня запущенных процессов и блокирования любых найденных из жестко запрограммированного списка.
Все это указывает на то, что в основу Rook был положен код Babuk, а в случае, если к новому RaaS подтянутся квалифицированные операторы - Rook может повторить и даже превзойти своего сенсея, ведь уже на раннем этапе ещё 30 ноября вымогатели положили сходу банк - Kazkh.
SentinelOne
New Rook Ransomware Feeds Off the Code of Babuk
Scavenging code leaked from Babuk, Rook's first victim was a bank and the theft of 1123 GB of data. Learn more about this new ransomware operator.
Vektor Security Channel - канал Дмитрия Момота (aka VektorT13). Он рассказывает про уникализацию, антидетекты, методики отслеживания, анти-фрод системы, отпечатки браузера, железа и операционной системы.
А еще у них отличный чат по мультиаккаунтингу.
А еще у них отличный чат по мультиаккаунтингу.
Telegram
Vektor T13 Security Channel
Канал посвящен технологиям уникализации и отслеживания пользователей, а также методам защиты от них. Support @VektorT13
Наш сайт https://detect.expert/
Наш сайт https://detect.expert/
Команда исследователей из Университета Стоуни-Брук и Palo Alto Networks обнаружили более 1200 фишинговых инструментов в дикой природе, которые за последние три года стали неотъемлемой частью арсенала современной киберпреступной экосистемы.
Известные также как наборы фишинговых инструментов MitM (Man-in-the-Middle) позволяют хакерам перехватывать и обходить двухфакторную аутентификацию (2FA) в ходе своих атак.
Дело в том, что крупный бизнес и многие технологические компании стали учитывать Bad Practice и уделять больше внимания безопасности, внедряя функции 2FA по умолчанию в свои продукты и системы.
В ответ на новые вызовы даркнет стал предлагать своим участникам новые инструменты. Примерно с 2017 года появились инфотеллеры, позволяющие украсть cookie аутентификации с заражённых хостов после завершения процесса 2FA.
Однако другим более популярным способом получения файлов аутентификации стал фишинг в моменте передачи трафика.
Для этого хакеры в течение последнего времени активно старые наборы инструментов для фишинга, добавляя функционал для обхода 2FA, полагаясь на фишинг в реальном времени и обратные прокси.
В первом случае используется фишинговая веб-панель, куда пользователь вводит свои учетные данные и код 2FA (полученный по электронной почте, SMS или приложению аутентификации), а оператор использует их для аутентификации на реальном сайте.
Технология применяется для быстрых атак, когда злоумышленнику не требуется долгих активных сессий и нет необходимости контроля файлов cookie аутентификации. К примеру, списания средств с систем онлайн-банкинга.
Но для более скрытного и стабильного доступа, в том числе атак на электронную почту или аккаунт соцсети, требуются cookie. И для этого современные преступники взяли на вооружение наборы фишинговых инструментов MitM, адаптированные в качестве обратных прокси, реализуя прохождение трафика между жертвой, фишинговым сайтом и реальным сервисом.
Поскольку весь трафик проходит через систему обратного прокси, злоумышленник получает необходимые файлы cookie аутентификации, которые он может впоследствии отработать самостоятельно или перепродать. При этом многие инструменты основаны на известных в инфосек Evilginx, Muraena и Modlishka.
Исследователи проанализировали 13 версий этих трех фишинговых наборов MitM и создали своеобразные фингерпринты, которые легли в основу инструмента PHOCA, который мог бы определить, использует ли фишинговый сайт обратный прокси - явный признак того, что злоумышленник пытался обойти 2FA и собрать файлы cookie аутентификации, а не только учетные данные.
Посредством PHOCA они просканили известные фишинговые URL-адреса в период с марта 2020 года по март 2021 года, и обнаружили, что 1220 из этих сайтов используют наборы фишинговых инструментов MitM. Ранее в период 2018-2019 гг. показатель не превышал 200, по данным RiskIQ.
Такая популярность MitM фишинга обусловлена не только растущим спросом, а, прежде всего, доступностью технологии. Большинство из приблуд бесплатны для скачивания, просты в экспликации, и имеют даже инструкции. Кроме того, хакеры практикуют совместные атаки и кооперацию.
Новый тренд указывает на дальнейшее эволюционирование современных фишинговых операций, которые по факту нивелируют усилия сообщества по переходу на 2FA.
Печальные, но достаточно значимые выводы. Настоятельно рекомендуем ознакомиться с полной версией отчета.
Известные также как наборы фишинговых инструментов MitM (Man-in-the-Middle) позволяют хакерам перехватывать и обходить двухфакторную аутентификацию (2FA) в ходе своих атак.
Дело в том, что крупный бизнес и многие технологические компании стали учитывать Bad Practice и уделять больше внимания безопасности, внедряя функции 2FA по умолчанию в свои продукты и системы.
В ответ на новые вызовы даркнет стал предлагать своим участникам новые инструменты. Примерно с 2017 года появились инфотеллеры, позволяющие украсть cookie аутентификации с заражённых хостов после завершения процесса 2FA.
Однако другим более популярным способом получения файлов аутентификации стал фишинг в моменте передачи трафика.
Для этого хакеры в течение последнего времени активно старые наборы инструментов для фишинга, добавляя функционал для обхода 2FA, полагаясь на фишинг в реальном времени и обратные прокси.
В первом случае используется фишинговая веб-панель, куда пользователь вводит свои учетные данные и код 2FA (полученный по электронной почте, SMS или приложению аутентификации), а оператор использует их для аутентификации на реальном сайте.
Технология применяется для быстрых атак, когда злоумышленнику не требуется долгих активных сессий и нет необходимости контроля файлов cookie аутентификации. К примеру, списания средств с систем онлайн-банкинга.
Но для более скрытного и стабильного доступа, в том числе атак на электронную почту или аккаунт соцсети, требуются cookie. И для этого современные преступники взяли на вооружение наборы фишинговых инструментов MitM, адаптированные в качестве обратных прокси, реализуя прохождение трафика между жертвой, фишинговым сайтом и реальным сервисом.
Поскольку весь трафик проходит через систему обратного прокси, злоумышленник получает необходимые файлы cookie аутентификации, которые он может впоследствии отработать самостоятельно или перепродать. При этом многие инструменты основаны на известных в инфосек Evilginx, Muraena и Modlishka.
Исследователи проанализировали 13 версий этих трех фишинговых наборов MitM и создали своеобразные фингерпринты, которые легли в основу инструмента PHOCA, который мог бы определить, использует ли фишинговый сайт обратный прокси - явный признак того, что злоумышленник пытался обойти 2FA и собрать файлы cookie аутентификации, а не только учетные данные.
Посредством PHOCA они просканили известные фишинговые URL-адреса в период с марта 2020 года по март 2021 года, и обнаружили, что 1220 из этих сайтов используют наборы фишинговых инструментов MitM. Ранее в период 2018-2019 гг. показатель не превышал 200, по данным RiskIQ.
Такая популярность MitM фишинга обусловлена не только растущим спросом, а, прежде всего, доступностью технологии. Большинство из приблуд бесплатны для скачивания, просты в экспликации, и имеют даже инструкции. Кроме того, хакеры практикуют совместные атаки и кооперацию.
Новый тренд указывает на дальнейшее эволюционирование современных фишинговых операций, которые по факту нивелируют усилия сообщества по переходу на 2FA.
Печальные, но достаточно значимые выводы. Настоятельно рекомендуем ознакомиться с полной версией отчета.
Предлагаем вам сегодня на вечер несколько статей для чтения:
Ловушка для хакера: проверяем не читает ли кто-то ваши переписки (а если читают - пробиваем, кто это делает) 👉 https://news.1rj.ru/str/cyberyozh_official/736
Как VPN-провайдеры работают с логами. Реальные кейсы выдачи данных "по запросу" (крайне неприятная информация, но лучше это знать). 👉 https://news.1rj.ru/str/cyberyozh_official/737
Три ошибки Рассела Кнаггса, или 20 лет тюрьмы за неотправленное письмо (захватывающая дух статья про деанонимизацию и арест наркоторговца). 👉 https://news.1rj.ru/str/cyberyozh_official/738
Ловушка для хакера: проверяем не читает ли кто-то ваши переписки (а если читают - пробиваем, кто это делает) 👉 https://news.1rj.ru/str/cyberyozh_official/736
Как VPN-провайдеры работают с логами. Реальные кейсы выдачи данных "по запросу" (крайне неприятная информация, но лучше это знать). 👉 https://news.1rj.ru/str/cyberyozh_official/737
Три ошибки Рассела Кнаггса, или 20 лет тюрьмы за неотправленное письмо (захватывающая дух статья про деанонимизацию и арест наркоторговца). 👉 https://news.1rj.ru/str/cyberyozh_official/738